Worry-FreeTM. Business Security Services. Guide de l'utilisateur. For Small Business Security

Transcription

1 Worry-FreeTM Business Security Services For Small Business Security Guide de l'utilisateur

2

3 Trend Micro Incorporated se réserve le droit de modifier ce document et les produits décrits ici sans préavis. Avant d'installer et d'utiliser votre logiciel, veuillez donc consulter les fichiers Lisez-moi, les notes de mise à jour et la dernière version de la documentation utilisateur applicable que vous trouverez sur le site Web de Trend Micro à l'adresse suivante : Trend Micro, le logo t-ball, TrendProtect, TrendSecure, Worry-Free, OfficeScan, ServerProtect, PC-cillin and InterScan sont des marques ou des marques déposées de Trend Micro Incorporated. Tous les autres noms de sociétés ou de produits sont des marques commerciales ou des marques déposées de leurs propriétaires respectifs. Copyright Trend Micro Incorporated. Tous droits réservés. Date de publication : Décembre 2009 Nom du produit et numéro de version : Trend Micro Worry-Free Business Security Services 3.0 Numéro de référence du document : 1.03 Protégé par les brevets américains no 5,951,698 et 7,188,369

4 La documentation utilisateur de Trend Micro Worry-Free Business Security Services présente les fonctions principales du logiciel et les instructions d installation pour votre environnement de production. Nous vous conseillons de le lire avant d'installer ou d utiliser le logiciel. Vous trouverez des informations détaillées sur l'utilisation des fonctions spécifiques du logiciel dans le fichier d'aide en ligne et dans la Base de connaissances sur le site Web de Trend Micro.

5 Sommaire Sommaire Chapitre 1 : Présentation de Worry-Free Business Security Services Présentation de Trend Micro Worry-Free Business Security Services WFBS, WFBS-A, WFBS-SVC Choix de votre édition Version complète et version d évaluation Nouveautés de cette version Principales fonctions Trend Micro Smart Protection Network Smart Feedback Réputation de sites Web Réputation des fichiers Smart Scan Protection de votre réseau Moteur de scan Avantages de la protection Composants Description des menaces Terminologie relative aux composants du produit Conventions typographiques du document Chapitre 2 : Préparation de l'installation de l'agent Informations préalables Phase 1 : planification du déploiement Phase 2 : installation des agents Phase 3 : configuration des options de sécurité Configuration minimale requise Enregistrement de WFBS-SVC Licence et contrat de maintenance Liste de contrôle du déploiement Identification du nombre de clients Prévision du trafic réseau Détermination du nombre de groupes de postes de travail et de serveurs Choix des options de déploiement pour les agents Liste de contrôle des ports Chapitre 3 : Installation de l'agent Présentation de l installation d'agent Installation de l'agent - Web Installation de l'agent - Options supplémentaires Vérification de l'installation de l'agent iii

6 Sommaire Test de l'installation client avec un script de test EICAR Suppression d'agents Suppression d'un agent à l aide de son programme de désinstallation Suppression de l'agent à l'aide de la console Web Chapitre 4 : Migration et mise à niveau Migration depuis d'autres applications antivirus Migration depuis Trend Micro Anti-Spyware Migration depuis d'autres applications antivirus Mise à niveau de Client/Server Security Agent Prévention de la mise à niveau pour des clients sélectionnés Chapitre 5 : Console Web Accès à la console Web État actuel Section État Affichage des ordinateurs et des groupes Chapitre 6 : Gestion des groupes Présentation des groupes Affichage des clients d'un groupe Ajout de clients aux groupes Déplacement de clients Ajout de groupes Suppression d'ordinateurs et de groupes de la console Web Suppression des agents Client/Server Security Agent inactifs Réplication des paramètres de groupe Chapitre 7 : Configuration des paramètres de sécurité de groupe Configuration des groupes de postes de travail et de serveurs Méthodes de scan Antivirus/Anti-spyware Pare-feu Configuration du pare-feu Gestion des exceptions du pare-feu Modification des exceptions du pare-feu Système de détection d'intrusion Désactivation du pare-feu Réputation de sites Web Surveillance des comportements Configuration de la surveillance des comportements Affichage des ordinateurs enfreignant les stratégies de surveillance des comportements iv

7 Sommaire Barres d'outils TrendSecure Scan du courrier Privilèges client Chapitre 8 : Gestion des scans À propos du scan Méthodes de scan Types de scan Configuration du scan en temps réel Activation du scan en temps réel Scans programmés Scans manuels Configuration des scans manuels et programmés Modification de la liste des spywares/graywares approuvés Exclusion de fichiers et de dossiers des actions de scan Affichage des échecs d'actions sur les postes de travail et les serveurs Incidents nécessitant le redémarrage de l'ordinateur Chapitre 9 : Utilisation de la défense anti-épidémies Stratégie de défense anti-épidémies Détails de la défense anti-épidémies Paramètres d'alerte d'épidémie Chapitre 10 : Gestion des notifications À propos des messages de notification Configuration des seuils d'alerte Personnalisation des alertes de notification Configuration des paramètres de notification Chapitre 11 : Configuration des paramètres généraux Paramètres généraux Chapitre 12 : Gestion des mises à jour À propos des mises à jour Agents inactifs Agent actif À propos d ActiveUpdate Composants pouvant être mis à jour Mises à jour manuelles v

8 Sommaire Chapitre 13 : Utilisation des journaux et des rapports Rapports Génération de rapports Modification des rapports Interprétation des rapports Suppression de rapports Journaux Utilisation d une requête de journal Chapitre 14 : Administration WFBS-SVC Outils clients Exemple de script de déploiement Restore Encrypted Virus Modification du mot de passe Affichage des détails sur la licence du produit Participation à Smart Protection Network Worry-Free Remote Manager Annexe A : Informations sur les clients Icônes des clients normaux...a-2 Clients 32 et 64 bits...a-5 Annexe B : Services Trend Micro Stratégie de prévention des épidémies de Trend Micro...B-2 Trend Micro IntelliScan...B-2 Trend Micro ActiveAction...B-2 Trend Micro IntelliTrap...B-3 Réputation des sites Web de Trend Micro...B-4 Annexe C : Pratiques recommandées pour protéger vos clients Annexe D : Dépannage et questions fréquentes Dépannage... D-2 Foire aux questions (FAQ)... D-3 Où trouver mes informations d'enregistrement?...d-3 Enregistrement... D-3 Installation, mise à niveau et compatibilité... D-3 Comment retrouver un mot de passe perdu ou oublié?... D-4 Protection des logiciels Intuit... D-4 Est-ce que je dispose du dernier fichier de signatures ou Service Pack?... D-4 Liste d exclusions des produits... D-4 Problèmes connus... D-7 vi

9 Sommaire Annexe E : Obtenir de l'aide Documentation produit...e-2 Base de connaissances...e-2 Assistance technique...e-2 Contacter Trend Micro...E-3 Envoi de fichiers suspects à Trend Micro...E-3 Centre d'informations sur les virus de Trend Micro...E-4 À propos des TrendLabs...E-4 Annexe F : Glossaire vii

10 Sommaire viii

11 Chapitre 1 Présentation de Worry-Free Business Security Services Le présent chapitre offre un aperçu des principales fonctions de Trend Micro Worry-Free Business Security Services (WFBS-SVC). Les rubriques de ce chapitre comprennent: Présentation de Trend Micro Worry-Free Business Security Services à la page 1-2 WFBS, WFBS-A, WFBS-SVC à la page 1-2 Choix de votre édition à la page 1-3 Nouveautés de cette version à la page 1-3 Principales fonctions à la page 1-4 Protection de votre réseau à la page 1-6 Moteur de scan à la page 1-7 Avantages de la protection à la page 1-8 Composants à la page 1-8 Description des menaces à la page 1-10 Terminologie relative aux composants du produit à la page 1-13 Conventions typographiques du document à la page

12 Présentation de Worry-Free Business Security Services Présentation de Trend Micro Worry-Free Business Security Services Trend Micro Worry-Free Business Security Services pour petites entreprises protège plusieurs ordinateurs de bureau et ordinateurs portables situés au sein et à l extérieur de l entreprise contre les virus et autres menaces Internet. La protection contre les menaces Internet arrête les menaces avant qu'elles n'atteignent les ordinateurs et provoquent des dommages ou dérobent des données. Cette protection plus sûre, plus intelligente et plus simple contre les menaces Web ne ralentit pas le fonctionnement des ordinateurs. Vous pouvez centraliser la gestion de la sécurité en n'importe quel point sans devoir ajouter un serveur, installer un logiciel serveur, configurer des paramètres ou gérer des mises à jour. Les experts de la sécurité Trend Micro hébergent le service dont vous bénéficiez et le mettent automatiquement à jour. Trend Micro Worry-Free Business Security Services est : Plus sûr : protégez plusieurs ordinateurs de bureau et ordinateurs portables situés au sein et à l extérieur de l entreprise grâce à une solution unique contre les virus et les spywares. Plus intelligent : arrêtez les virus et autres menaces sans configurer des paramètres ou gérer des mises à jour. Plus simple : gérez et vérifiez de manière centralisée l'état des ordinateurs protégés, où qu'ils se trouvent (aucun serveur n'est nécessaire). WFBS, WFBS-A, WFBS-SVC Le tableau ci-dessous répertorie les fonctions prises en charge par chaque édition. TABLEAU 1-1. Fonctions disponibles par édition de produit Fonctions Worry-Free Business Security Worry-Free Business Security Advanced Worry-Free Business Security Services Mises à jour des composants Oui Oui Oui Antivirus/anti-spyware Oui Oui Oui Pare-feu Oui Oui Oui Réputation de sites Web Oui Oui Oui Surveillance des comportements Oui Oui Oui TrendSecure Oui Oui Oui Filtrage du contenu de messagerie instantanée Oui Oui Oui Scan de la messagerie (POP3) Oui Oui Oui Anti-spam (POP3) Oui Oui Oui Scan de la messagerie (IMAP) Non Oui Non Anti-spam (IMAP) Non Oui Non Filtrage du contenu des messages électroniques Non Oui Non Blocage des pièces jointes Non Oui Non Filtrage des URL Oui Oui Non Serveur requis Oui Oui Non 1-2

13 Présentation de Worry-Free Business Security Services Le tableau ci-dessous répertorie les fonctions prises en charge pour chaque type de licence. TABLEAU 1-2. Conséquences liées à l état de la licence Licence complète Évaluation (60 jours) Expiré Notification de l expiration Oui Oui Oui Mises à jour des fichiers de signatures de virus Oui Oui Non Mises à jour du programme Oui Oui Non Assistance technique Oui Non Non Scan en temps réel* Oui Oui Non *Pour les licences expirées, le scan en temps réel utilisera des composants obsolètes. Remarque : pour mettre à niveau votre édition, contactez un représentant Trend Micro. Choix de votre édition Version complète et version d évaluation Vous pouvez choisir soit une version complète de WFBS-SVC, soit une version d'évaluation gratuite. Version complète : Inclut le support technique, les téléchargements de signatures de virus, le scan en temps réel et les mises à jour du programme pour une durée d un an. Vous pouvez renouveler une version complète en achetant un renouvellement de votre contrat de maintenance. Version d'évaluation : Permet le scan en temps réel et fournit des mises à jour pendant 60 jours. Vous pouvez à tout moment effectuer une mise à niveau de votre version d'évaluation pour obtenir la version complète. Périodes de grâce Si votre licence arrive à expiration, vous disposez d'une période de grâce de 60 jours pour la version complète et de 30 jours pour la version d'évaluation. Durant la période de grâce, vous pouvez toujours recevoir les mises à jour des fichiers de signatures et du moteur. De plus, toutes les fonctions sont opérationnelles. Une fois cette période terminée, vous ne pouvez plus vous connecter. Dans le cadre d'une licence complète, dix jours après la période de grâce, toutes les données des clients sont supprimées du système WFBS-SVC. Dans le cadre d'une licence d'évaluation, toutes les données sont supprimées le jour d'expiration de cette licence. Nouveautés de cette version Worry-Free Business Security Hosted (WFBS-H) a été renommé en Worry-Free Business Security Services (WFBS-SVC). WFBS-SVC comporte une toute nouvelle interface qui offre bien plus de fonctions que WFBS-H. WFBS-SVC inclut la plupart des fonctions de WFBS 6.0. Les fonctions suivantes sont nouvelles dans cette version de Trend Micro Worry-Free Business Security Services : 1-3

14 Présentation de Worry-Free Business Security Services Sécurité Smart Scan Intégration de Smart Protection Network Protection contre les menaces d'exécution automatique sur les périphériques USB Prévention des épidémies Surveillance des comportements Gestion État actuel plus simple Amélioration des notifications de l'état actuel Integration à Worry-Free Remote Manager Autres Scan variable en fonction de l'utilisation de l'uc Prise en charge de Windows 7 Principales fonctions Les fonctions de cette version offrent une meilleure intégration à Trend Micro Smart Protection Network. Trend Micro Smart Protection Network Trend Micro Smart Protection Network est une infrastructure de sécurité du contenu en ligne de nouvelle génération conçue pour protéger les clients contre les menaces Internet. Les principaux éléments de Smart Protection Network sont les suivants. Smart Feedback Trend Micro Smart Feedback assure une communication continue entre les produits Trend Micro et entre les centres et technologies de recherche sur les menaces de la société, 24 heures sur 24 et 7 jours sur 7. La détection de chaque nouvelle menace via un contrôle de réputation de routine du client met automatiquement à jour toutes les bases de données de menaces de Trend Micro, ce qui bloque ultérieurement chaque nouvelle occurrence d'une menace donnée. En traitant en permanence les informations sur les menaces collectées via son vaste réseau de clients et de partenaires, Trend Micro assure une protection automatique en temps réel contre les menaces les plus récentes et une sécurité commune accrue, tout comme le fait la surveillance automatique du voisinage au sein d'une communauté. Les informations sur les menaces qui sont collectées reposent sur la réputation de la source, et non sur le contenu de la communication concernée. La confidentialité des informations personnelles ou commerciales du client est donc toujours protégée. 1-4

15 Présentation de Worry-Free Business Security Services Réputation de sites Web Disposant de l'une des plus grandes bases de données mondiales sur la réputation des domaines, la technologie de réputation des sites Web de Trend Micro assure le suivi de la crédibilité des sites Web en affectant un score reposant sur les facteurs suivants : ancienneté du site Web, historique des changements d'emplacement et activités suspectes détectées via une analyse du comportement des programmes malveillants. Cette technologie continue ainsi de scanner les sites et d'empêcher les utilisateurs d'accéder aux sites infectés. Pour accroître la précision et réduire les faux positifs, la technologie de réputation des sites Web de Trend Micro affecte des scores de réputation à des pages et des liens spécifiques plutôt que de classifier ou de bloquer des sites entiers. Souvent, en effet, seules des parties de sites Web légitimes sont attaquées et la réputation peut évoluer dans le temps. Réputation des fichiers La technologie de réputation des fichiers de Trend Micro contrôle la réputation de chaque fichier par rapport à une vaste base de données en ligne avant d'autoriser l'accès aux utilisateurs. Les informations sur les programmes malveillants étant stockées en ligne, elles sont immédiatement accessibles à tous les utilisateurs. Les réseaux de diffusion de contenu à hautes performances offrent un temps d'attente minimal durant le processus de vérification. L'architecture en ligne assure une protection plus rapide et rend inutile de déploiement de fichiers de signatures tout en réduisant notablement la quantité de ressources utilisées par le client. Smart Scan Trend Micro Worry-Free Business Security Services utilise une nouvelle technologie appelée Smart Scan. Auparavant, les clients WFBS-SVC utilisaient le scan traditionnel pour lequel ils devaient télécharger des composants spécifiques. Avec Smart Scan, le client utilise le fichier de signatures du serveur Smart Scan. Seules les ressources du serveur de scan sont utilisées pour scanner les fichiers. 1-5

16 Présentation de Worry-Free Business Security Services Protection de votre réseau La protection WFBS-SVC fait appel aux composants suivants : Console Web : gère tous les agents depuis un emplacement unique. WFBS-SVC Serveur : héberge la console Web dans un centre de données Trend Micro. Il collecte et stocke les journaux, tout en permettant de contrôler les épidémies de virus/programmes malveillants. Client/Server Security Agent : petit programme installé sur l'ordinateur client qui protège les ordinateurs Windows Vista/Windows 7/2000/XP/Server 2003/Server 2008 contre les virus/programmes malveillants, spywares/graywares, chevaux de Troie et autres menaces Serveur de scan : permet de scanner les clients via des fichiers de signatures résidant sur le serveur, ce qui réduit la charge globale sur le client. La console Web La console Web est une console de gestion centralisée à interface Web située dans les centres de données Trend Micro. Utilisez la console Web pour configurer votre environnement de protection. De même, utilisez la console Web pour : Combiner des postes de travail, des ordinateurs portables et des serveurs en groupes logiques pour permettre leur configuration et leur gestion simultanées. Définir des configurations de scan antivirus et anti-spyware et exécuter un scan manuel sur un ou plusieurs groupes. Réception de notifications et consultation des journaux d'activité des virus/programmes malveillants. Recevoir des notifications et envoyer des alertes d'épidémie via des messages électroniques lorsque des menaces sont détectées sur les clients. Contrôler les épidémies en activant la fonction de prévention contre les épidémies. Serveur WFBS-SVC Le serveur est au cœur de la solution WFBS-SVC. Le serveur héberge la console de gestion centralisée à interface Web pour WFBS-SVC. Le serveur et les agents établissent une relation client-serveur. Le serveur WFBS-SVC permet de consulter les informations relatives à l'état de sécurité, d'afficher les agents, de configurer la sécurité système et de télécharger des composants à partir d'un emplacement centralisé. Le serveur contient également une base de données dans laquelle il stocke les journaux de menaces Internet détectées qui lui sont signalées par les agents. Client/Server Security Agent L'agent Client/Server Security Agent dépend du serveur WFBS-SVC. L'agent envoie les informations relatives à l'état et aux événements en temps réel pour fournir au serveur les informations les plus récentes concernant le client. Les agents signalent des événements tels que la détection d'une menace, leur démarrage ou arrêt, le lancement d'un scan et la réalisation d'une mise à jour. Client/Server Security Agent met à votre disposition trois méthodes de scan : le scan en temps réel, le scan programmé et le scan manuel. Il est possible de configurer les paramètres de scan de l'agent depuis la console Web ou sur l'agent lui-même. Pour garantir une protection uniforme des postes sur l'ensemble du réseau, n'accordez aucun privilège aux utilisateurs afin qu'ils ne puissent pas modifier les paramètres de scan. Serveur de scan Dans le cadre de Smart Protection Network, WFBS-SVC permet de scanner les clients au moyen d'un serveur de scan. Le serveur de scan assure le scan des ordinateurs à la place des clients. 1-6

17 Présentation de Worry-Free Business Security Services Moteur de scan Le moteur de scan est la partie centrale de tous les produits Trend Micro. Initialement développé pour répondre aux premiers virus en mode fichier, le moteur de scan est devenu un outil extrêmement élaboré et capable de détecter des vers Internet, des expéditeurs de courrier en masse, des menaces représentées par les chevaux de Troie, les sites de phishing et les formes d'exploitation du réseau, ainsi que les virus. Le moteur de scan détecte deux types de menaces : En circulation active : menaces qui circulent activement sur Internet. Connus et contrôlés : virus contrôlés qui ne sont pas en circulation, mais qui sont développés et utilisés à des fins de recherche. Plutôt que de scanner chacune des parties de chaque fichier, le moteur et le fichier de signatures travaillent ensemble à la fois pour identifier les caractéristiques révélatrices du code de virus, mais aussi pour trouver l'emplacement précis où un virus est susceptible de se cacher dans un fichier. Si l'agent Client/Server Security Agent détecte un virus, il peut le supprimer et restaurer l'intégrité du fichier. Le moteur de scan reçoit de Trend Micro des fichiers de signatures mis à jour de façon incrémentielle (pour réduire la bande passante). Le moteur de scan est capable de déchiffrer les principaux formats de chiffrement (y compris MIME et BinHex). Il reconnaît et scanne les formats de compression courants, y compris ZIP, ARJ et CAB. L'agent Client/Server Security Agent peut également scanner plusieurs couches de compression au sein d'un fichier (six au maximum). Il est important que le moteur de scan reste à jour pour les nouvelles menaces. Trend Micro garantit cette mise à jour de deux façons : Des mises à jour fréquentes du fichier de signatures de virus Des mises à niveau du logiciel du moteur, déclenchées par une modification de la nature des menaces des virus, par exemple une augmentation des menaces mixtes telles que SQL Slammer Le moteur de scan Trend Micro est certifié chaque année par des organisations internationales de sécurité informatique, notamment l'icsa (International Computer Security Association). mises à jour du moteur de scan Grâce à l'enregistrement des informations de virus à durée de vie critique dans le fichier de signatures de virus, Trend Micro peut minimiser le nombre de mises à jour du moteur de scan, tout en maintenant la protection à jour. Néanmoins, Trend Micro met régulièrement à disposition de nouvelles versions du moteur de scan. Trend Micro fournit de nouveaux moteurs dans les circonstances suivantes : De nouvelles technologies de recherche et de détection sont intégrées au logiciel. Un nouveau virus, potentiellement dangereux est détecté. Les performances de recherche sont améliorées. Une assistance technique est ajoutée pour les formats de fichiers supplémentaires, pour les langages d'élaboration de script, les encodages et/ou les formats de compression. Pour consulter le numéro de la version la plus récente du moteur de scan, consultez le site Web Trend Micro : 1-7

18 Présentation de Worry-Free Business Security Services Avantages de la protection Le tableau suivant indique comment les divers composants de WFBS-SVC protègent vos ordinateurs contre les menaces. TABLEAU 1-3. Avantages de la protection MENACE PROTECTION Virus/programmes malveillants. Virus, chevaux de Troie, vers, backdoors et rootkits Spywares/graywares. Spywares, numéroteurs, outils de piratage, applications de piratage des mots de passe, adwares, canulars et enregistreurs de frappes Virus/programmes malveillants et spywares/graywares transmis via et spam Vers/virus de réseau Intrusions Sites Web/sites de phishing potentiellement dangereux Comportement malveillant Points d'accès fictifs Contenu explicite/restreint dans les applications de messagerie instantanée Moteur de scan antivirus et anti-spyware avec les fichiers de signatures dans Client/Server Security Agent Scan de la messagerie POP3 de Client/Server Security Agent Pare-feu dans Client/Server Security Agent Pare-feu dans Client/Server Security Agent Réputation des sites Web et TrendProtect dans Client/Server Security Agent Surveillance des comportements dans Client/Server Security Agent Transaction Protector dans Client/Server Security Agent Filtrage de contenu de la messagerie instantanée dans Client/Server Security Agent Composants Antivirus Moteur de scan (32 bits/64 bits) pour les agent Client/Server Security Agent : le moteur de scan utilise le fichier de signatures de virus/programmes malveillants pour détecter des virus et autres risques pour la sécurité dans des fichiers ouverts et/ou enregistrés par vos utilisateurs. Le moteur de scan s associe au fichier de signatures des virus afin de réaliser le premier niveau de détection en utilisant un processus appelé correspondance de signature. Comme chaque virus contient une «signature» ou chaîne de caractères révélatrice unique le distinguant de tous les autres codes, les experts de Trend Micro capturent des parties inertes de ce code dans le fichier de signatures. Le moteur compare alors certaines parties de chaque fichier scanné aux signatures qui se trouvent dans le fichier de signatures, afin de rechercher les correspondances. Fichier de signatures de virus : fichier aidant les agents Client/Server Security Agent à identifier les signatures de virus, signatures uniques des octets et des bits signalant la présence d'un virus. Modèle de nettoyage antivirus : modèle utilisé par le moteur de nettoyage des virus qui contribue à identifier les fichiers et processus de chevaux de Troie, les vers et les spywares/graywares de manière à les éliminer. Moteur de nettoyage de virus (32 bits/64 bits) : moteur que les services de nettoyage utilisent pour scanner et supprimer les fichiers et processus de chevaux de Troie, les vers et les spywares/graywares. Signature d'exception IntelliTrap : signature d'exception utilisée par IntelliTrap et moteurs de scan utilisés pour scanner le code malveillant dans les fichiers compressés. 1-8

19 Présentation de Worry-Free Business Security Services Signature IntelliTrap : signature utilisée par IntelliTrap et moteurs de scan utilisés pour scanner le code malveillant dans les fichiers compressés. Fichier de signatures Smart Scan Agent : fichier de signatures utilisé par le client pour identifier les menaces. Ce fichier est stocké sur l'ordinateur de l'agent. Moteur de commentaires 32 bits et 64 bits : moteur permettant d'envoyer des commentaires à Trend Micro Smart Protection Network. Fichier de signatures Smart Scan : fichier de signatures contenant les données spécifiques aux fichiers des ordinateurs du client. Anti-spyware Moteur de scan anti-spyware (32 bits) : moteur de scan distinct qui recherche, détecte et supprime les spywares/graywares sur les ordinateurs et les serveurs infectés fonctionnant sous les systèmes d'exploitation i386 (32 bits). Moteur de scan anti-spyware (64 bits) : similaire au moteur de scan anti-spyware/grayware pour les systèmes 32 bits, ce moteur de scan recherche, détecte et supprime les spywares sur les systèmes d'exploitation x64 (64 bits). Fichier de signatures de spywares : contient des signatures de spywares connues et est utilisé par les moteurs de scan anti-spyware/grayware (32 bits et 64 bits) pour détecter les spywares/graywares sur les ordinateurs et serveurs pour les scans manuels et programmés. Fichier de signatures de surveillance active de spywares : s'apparente au fichier de signatures de spywares, mais est utilisé par le moteur de scan pour les scans anti-spyware. Défense anti-épidémies La défense anti-épidémies avertit très tôt des menaces Internet et des conditions d'épidémie mondiale. La défense anti-épidémies répond automatiquement par des mesures préventives pour protéger vos ordinateurs et votre réseau, puis prend des mesures de protection pour identifier le problème et réparer les dommages. Fichier de signatures de failles : fichier incluant la base de données de toutes les failles. La signature de faille fournit les instructions permettant au moteur de scan de rechercher les failles connues. Virus de réseau Moteur de pare-feu commun (32 bits/64 bits) : le pare-feu utilise ce moteur, ainsi que le fichier de signatures de virus de réseau, pour protéger les ordinateurs des attaques de pirates et des virus de réseau. Fichier de signatures de pare-feu commun : comme le fichier de signatures des virus, ce fichier aide WFBS-SVC à identifier les signatures de virus. Pilote TDI (Transport Driver Interface ) (32 bits/64 bits) : module qui redirige le trafic réseau vers les modules de scan. Pilote WFP (32 bits/64 bits) : pour les clients Windows Vista, le pare-feu utilise ce pilote avec le fichier de signatures de virus de réseau pour rechercher des virus de réseau. Réputation de sites Web Base de données de sécurité de Trend Micro : La réputation des sites Web évalue le risque potentiel pour la sécurité, de la page Web demandée avant de l'afficher. Selon le résultat retourné par la base de données et le niveau de sécurité configuré, l'agent Client/Server Security Agent bloque ou approuve la demande. Moteur de filtrage d'url (32 bits/64 bits) : moteur qui interroge la base de données de sécurité de Trend Micro pour évaluer la page. TrendProtect Base de données de sécurité de Trend Micro : TrendProtect évalue le risque potentiel pour la sécurité, des liens hypertexte affichés sur une page Web. Selon le résultat retourné par la base de données et le niveau de sécurité configuré sur le plug-in du navigateur, celui-ci évalue le lien. 1-9

20 Présentation de Worry-Free Business Security Services Protection des logiciels Liste de protection des logiciels : Les fichiers programmes protégés (EXE et DLL) ne peuvent être ni modifiés ni supprimés. Pour désinstaller, mettre à jour ou mettre à niveau un programme, supprimez temporairement la protection du dossier. Surveillance des comportements Pilote de surveillance des comportements : ce pilote détecte le comportement des processus sur les clients. Service principal de surveillance des comportements : CSA utilise ce service pour gérer les pilotes principaux de surveillance des comportements. Modèle de conformité aux stratégies : liste des stratégies configurées sur la console WFBS-SVC et devant être appliquées par les agents. Modèle de signature numérique : liste des entreprises agréées par Trend Micro, dont les logiciels sont sûrs. Modèle de configuration de surveillance des comportements : ce modèle stocke les stratégies de surveillance des comportements par défaut. Les fichiers contenus dans ce modèle seront ignorés par toutes les stratégies correspondantes. Modèle de détection de surveillance des comportements : modèle contenant les règles qui permettent de détecter le comportement de menaces suspectes. État actuel et notifications L'écran État actuel permet de connaître l état de sécurité global de la défense anti-épidémies, de l'antivirus, de l'anti-spyware et des virus de réseau. WFBS-SVC peut envoyer des notifications aux administrateurs lorsque des événements importants surviennent. Description des menaces La sécurité des ordinateurs est un domaine qui évolue rapidement. Les administrateurs et les experts en sécurité de l'information inventent et adoptent une gamme de termes et d'expressions pour décrire les risques potentiels ou les incidents inattendus au niveau des ordinateurs et des réseaux. Cette section aborde ces termes et leurs significations tels qu'ils sont utilisés dans la présente documentation. Virus/programmes malveillants Un virus/programme malveillant informatique est un programme (c'est-à-dire du code exécutable) ayant la possibilité unique de se multiplier. Les virus/programmes malveillants peuvent se joindre à tout type de fichier exécutable et se propagent comme des fichiers copiés et transmis d'un utilisateur à un autre. Outre leur capacité à se multiplier, certains virus/programmes malveillants informatiques possèdent un autre point en commun: une routine de dommages activant la charge du virus (action effectuée par le virus). Il peut s'agir non seulement de l'affichage de messages ou d'images, mais également de la destruction de fichiers, du reformatage de votre disque dur ou d'autres dégâts. Programme malveillant : Un programme malveillant est un logiciel conçu pour infiltrer ou endommager un système informatique à l'insu et sans le consentement de son propriétaire. Chevaux de Troie : Un cheval de Troie est un programme malveillant dissimulé sous les apparences d une application inoffensive. À la différence des virus/programmes malveillants, les chevaux de Troie ne se reproduisent pas, mais ils n'en restent pas moins destructeurs. Sous prétexte d'éradiquer des virus/programmes malveillants sur votre ordinateur, les chevaux de Troie sont des applications qui y introduisent de nouveaux virus/programmes malveillants. Vers : Un ver informatique est un programme (ou ensemble de programmes) autonome qui peut répandre des copies fonctionnelles de lui-même ou de ses segments au sein d'autres systèmes informatiques. La propagation se produit généralement par le biais de connexions réseau ou de pièces jointes à des messages électroniques. À la différence des virus/programmes malveillants, les vers n'ont pas besoin de se joindre à des programmes hôtes. 1-10

21 Présentation de Worry-Free Business Security Services Backdoors : Le terme «backdoor» représente une méthode permettant de contourner l'authentification normale, de sécuriser l'accès à distance à un ordinateur et/ou d'obtenir des informations d'accès, tout en essayant de ne pas se faire repérer. Rootkit : Le terme «rootkit» représente un ensemble de programmes conçu pour corrompre le contrôle légitime d'un système d'exploitation par ses utilisateurs. Généralement, un rootkit masque son installation et tente d'empêcher sa suppression en troublant la sécurité du système standard. Virus de macro : Les virus de macro sont propres à chaque application. Ils résident dans les fichiers destinés aux applications comme Microsoft Word (.doc) et Microsoft Excel (.xls). Par conséquent, ils peuvent être détectés dans des fichiers dont les extensions sont couramment utilisées par des applications prenant en charge les macros, comme.doc,.xls et.ppt. Les virus de macro se propagent dans les fichiers de données de l'application et peuvent finalement infecter des centaines de fichiers s'ils ne sont pas éradiqués. Les programmes agents sur les ordinateurs clients, appelés agents Client/Server Security Agent, peuvent détecter les virus/programmes malveillants durant un scan antivirus. L'action recommandée par Trend Micro pour les virus/programmes malveillants est le nettoyage. Spywares/graywares Un grayware est un programme qui exécute des actions inattendues ou non autorisées. Il s'agit d'un terme général utilisé pour faire référence aux spywares, logiciels publicitaires, numéroteurs, canulars, outils d'accès à distance et tout autre fichier et programme indésirables. Selon son type, il peut éventuellement inclure du code malveillant parfois capable de se multiplier. Spyware : Un spyware est un logiciel informatique, installé sur un ordinateur à l'insu ou sans le consentement de l'utilisateur, qui recueille et transmet des informations personnelles. Numéroteur : Les numéroteurs sont nécessaires pour se connecter à Internet dans le cas de connexions bas débit. Les numéroteurs malveillants sont conçus pour se connecter via des numéros spéciaux au lieu de se connecter directement à votre fournisseur de services Internet. Les fournisseurs de ces numéroteurs malveillants empochent les sommes supplémentaires. Les numéroteurs peuvent également être utilisés pour transmettre des données personnelles et télécharger des logiciels malveillants. Outils de piratage : Un outil de piratage est un programme ou un ensemble de programmes, conçu pour aider au piratage. Adware : Un programme publicitaire est un pack logiciel qui exécute, affiche ou télécharge automatiquement du contenu publicitaire sur un ordinateur une fois le logiciel installé sur celui-ci ou l'application utilisée. Enregistreurs de frappe : Un enregistreur de frappe est un logiciel informatique qui enregistre toutes les séquences de touches de l'utilisateur. Ces informations peuvent ensuite être récupérées et utilisées par un pirate. Zombies : un zombie (en anglais «bot», abréviation de «robot») est un programme qui agit en tant qu'agent pour un utilisateur ou un autre programme, ou simule une activité humaine. Une fois exécutés, les zombies peuvent se multiplier, se compresser et se propager en s'autocopiant. Les zombies peuvent être utilisés pour coordonner une attaque automatisée d'ordinateurs en réseau. Certaines applications sont classées par Trend Micro comme spywares/graywares, non pas parce qu'elles risquent d'endommager le système sur lequel elles sont installées, mais parce qu'elles peuvent exposer le client ou le réseau à des attaques de pirates ou de programmes malveillants. Hotbar, par exemple, est un programme qui ajoute une barre d'outils aux navigateurs Web. Hotbar recueille les URL visités par les utilisateurs et enregistre les mots ou les phrases saisis dans les moteurs de recherche. Ces éléments d'information sont utilisés pour afficher des publicités ciblées, y compris des fenêtres publicitaires, dans les navigateurs des utilisateurs. Dans la mesure où les informations collectées par Hotbar peuvent potentiellement être envoyées à des tiers et utilisées par des programmes malveillants ou des pirates pour recueillir des informations sur vos utilisateurs, Worry-Free Business Security Services empêche cette application de s'installer et de s'exécuter par défaut. Si vous souhaitez exécuter Hotbar ou toute autre application que WFBS-SVC classifie comme spyware/grayware, vous devez l'ajouter à la liste sécurisée des spywares/graywares. 1-11

22 Présentation de Worry-Free Business Security Services En empêchant les applications à risque potentiel de s'exécuter et en vous laissant entièrement contrôler la liste sécurisée des spywares/graywares, WFBS-SVC contribue à garantir que seules les applications approuvées s'exécutent sur les clients. Les agents Client/Server Security Agent peuvent détecter les graywares. L'action recommandée par Trend Micro pour les spywares/graywares est le nettoyage. Virus de réseau Un virus qui se répand sur le réseau n'est pas, à proprement parler, un virus de réseau. Seules certaines des menaces mentionnées ci-dessus, comme les vers, peuvent être appelées virus de réseau. Plus spécifiquement, les virus de réseau utilisent les protocoles réseau tels que TCP, FTP, UDP, HTTP et les protocoles d' pour se multiplier. Le pare-feu utilise un fichier de signatures de virus de réseau pour identifier et bloquer les virus de réseau. Intrusions Les intrusions se rapportent à des entrées dans le réseau ou dans un ordinateur, de force ou sans autorisation. Elles peuvent également impliquer le contournement de la sécurité d'un réseau ou d'un ordinateur. Comportement malveillant Un comportement malveillant signifie que des modifications non autorisées sont apportées par un logiciel au système d'exploitation, aux entrées de Registre, aux autres logiciels ou aux fichiers et aux dossiers. Points d'accès fictifs Les points d'accès fictifs, également connus sous l'expression «Evil Twin», représentent des points d'accès Wi-Fi malins qui semblent légitimes au départ, mais qui ont en fait été conçus par des pirates pour écouter les communications sans fil. Contenu explicite/restreint dans les applications de messagerie instantanée Contenu textuel explicite ou restreint au niveau de votre entreprise et transmis via des applications de messagerie instantanée. Par exemple, des informations d'entreprise confidentielles. Enregistreurs de frappe en ligne Il s'agit de la version en ligne du traditionnel enregistreur de frappe. Voir Spywares/graywares à la page 1-11 pour obtenir des informations complémentaires. Utilitaires de compression Les utilitaires de compression sont des outils permettant de compresser les programmes exécutables. La compression d un fichier exécutable rend le code qu il contient plus difficile à scanner par les antivirus traditionnels. Un utilitaire de compression peut dissimuler un cheval de Troie ou un ver. Le moteur de scan de Trend Micro peut détecter des fichiers compressés et l action recommandée pour ce type de fichier est la mise en quarantaine. 1-12

23 Présentation de Worry-Free Business Security Services Terminologie relative aux composants du produit Le tableau suivant définit les termes apparaissant dans la documentation WFBS-SVC : TABLEAU 1-4. Terminologie relative aux composants du produit ÉLÉMENT Serveur WFBS-SVC Serveur de scan CSA Client Console Web DESCRIPTION Le serveur WFBS-SVC situé dans le centre de données de Trend Micro héberge la console Web, console de gestion centralisée à interface Web pour l'ensemble de la solution WFBS-SVC. Le serveur de scan global de Trend Micro permet de scanner les clients configurés pour Smart Scan. L'agent Client/Server Security Agent. Les agents protègent le client sur lequel ils sont installés. Les clients sont les postes de travail, les ordinateurs portables et les serveurs sur lesquels un agent Client/Server Security Agent est installé. La console Web est une console de gestion centralisée à interface Web qui gère tous les agents. La console Web réside sur le serveur WFBS-SVC. Conventions typographiques du document Pour faciliter la recherche et la compréhension des informations, cette documentation de WFBS-SVC utilise les conventions suivantes. TABLEAU 1-5. Conventions et termes utilisés dans ce document CONVENTION/TERME MAJUSCULES Gras Italique Monospace Remarque : Conseil AVERTISSEMENT! Chemin de navigation DESCRIPTION Acronymes, abréviations, noms de certaines commandes et touches du clavier Menus et commandes de menu, options, onglets, boutons de commande et tâches Références à des documentations annexes Exemples de lignes de commande, code de programme, adresses Internet, noms de fichier et sortie de programme Remarques de configuration Recommandations Actions stratégiques et options de configuration Chemin de navigation pour accéder à un écran particulier. Par exemple, Scans > Scans manuels indique de cliquer sur Scans, puis sur Scans manuels dans l'interface. 1-13

24 Présentation de Worry-Free Business Security Services 1-14

25 Chapitre 2 Préparation de l'installation de l'agent Les étapes de ce chapitre vous aideront à mettre au point un plan pour l'installation et le déploiement de WFBS-SVC. Trend Micro recommande de créer un plan pour l'installation et le déploiement avant d'exécuter l'installation. Cela vous aide à bien intégrer les fonctionnalités du produit à votre stratégie antivirus et de protection du réseau. Les rubriques de ce chapitre comprennent : Informations préalables à la page 2-2 Configuration minimale requise à la page 2-3 Enregistrement de WFBS-SVC à la page 2-5 Licence et contrat de maintenance à la page 2-5 Liste de contrôle du déploiement à la page 2-6 Liste de contrôle des ports à la page

26 Préparation de l'installation de l'agent Informations préalables Étudiez les phases suivantes de l'installation et du déploiement. Phase 1 : planification du déploiement La planification du déploiement de WFBS-SVC comprend les tâches suivantes: 1. Vérification de la configuration du système. Voir Configuration minimale requise à la page Identification du nombre de clients. Voir Identification du nombre de clients à la page Prévision du trafic réseau. Voir Prévision du trafic réseau à la page Détermination des groupes de postes de travail et de serveurs. Voir Détermination du nombre de groupes de postes de travail et de serveurs à la page Choix des options d'installation/de déploiement pour les agents Client/Server Security Agent. Voir Choix des options de déploiement pour les agents à la page 2-7. Phase 2 : installation des agents Installez Client/Server Security Agent sur tous les serveurs et postes de travail. Cette phase inclut les tâches suivantes: Remarque : Voir Présentation de l installation d'agent à la page 3-2 pour une consulter une présentation. 1. Sélection d'une méthode d'installation 2. Installation ou mise à niveau des agents 3. Vérification de l'installation 4. Test de l'installation Phase 3 : configuration des options de sécurité Après l'installation de Client/Server Security Agent sur les clients, personnalisez les paramètres par défaut, si nécessaire. Cela inclut les tâches suivantes: 1. Configuration des groupes. Consultez la rubrique Présentation des groupes à la page Configuration des préférences. Consultez la rubrique Configuration des groupes de postes de travail et de serveurs à la page

27 Préparation de l'installation de l'agent Configuration minimale requise Pour installer l'agent et utiliser WFBS-SVC, les conditions suivantes sont requises : Remarque : Client/Server Security Agent prend en charge Citrix Presentation Server 4.0/4.5/5.0 et Remote Desktop. TABLEAU 2-6. Configuration système requise pour l'agent Élément Spécifications minimales Console Web Navigateur Internet Lecteur de fichiers PDF (pour les rapports) Afficher Internet Explorer 6.0 ou supérieur (32 et 64 bits) Firefox 3.5 et supérieur (Firefox est uniquement pris en charge pour la console WFBS-SVC. Internet Explorer doit être utilisé pour télécharger le programme d'installation de l'agent). Adobe Acrobat Reader 4.0 ou version ultérieure Écran couleur avec une résolution de 1024x768 ou plus Client/Server Security Agent Processeur Mémoire Espace disque Intel Pentium x86 ou processeur compatible Processeur x64 prenant en charge les technologies AMD64 et Intel 64 La vitesse d'horloge requise dépend du système d'exploitation : 1 GHz (Windows Server 2008, SBS 2008 ou EBS 2008) 800 MHz (Windows Vista, Windows 7) 450 MHz (Windows 2000, SBS 2000, XP, Server 2003, SBS 2003 ou Home Server) 128 Mo (systèmes x86) ; 256 Mo recommandés 600 Mo 2-3

28 Préparation de l'installation de l'agent TABLEAU 2-6. Configuration système requise pour l'agent Élément Spécifications minimales Système d'exploitation Série ou famille Service Packs ou versions prises en charges Windows 2000 Windows Small Business Server (SBS) 2000 Windows XP Édition Familiale Windows XP Tablet PC Windows XP Windows Server 2003 R2 (avec Storage Server 2003) Windows Server 2003 (avec Storage Server 2003) Windows SBS 2003 R2 Windows SBS 2003 Windows Vista Windows Home Server Windows Server 2008 R2 Windows Server 2008 Windows SBS 2008 Windows 2008 Foundation Windows Essential Business Server (EBS) 2008 Windows 7 SP3 ou SP4 Pas de Service Pack ou SP1a SP2 ou SP3 SP2 ou SP3 SP2 ou SP3 SP1 ou SP2 SP1 ou SP2 SP1 ou SP2 SP1 ou SP2 SP1 ou SP2 Pas de Service Pack Pas de Service Pack SP1 ou SP2 SP1 ou SP2 SP1 ou SP2 SP1 ou SP2 Pas de Service Pack Remarque : toutes les éditions principales et les versions 64 bits de ces systèmes d'exploitation sont prises en charge, sauf indication contraire. Navigateur Web (pour télécharger le programme d'installation de l'agent) Afficher Internet Explorer 6.0 ou version ultérieure Écran 256 couleurs ou plus avec une résolution de 800x600 ou plus Remarque : CSA prend en charge les cartes d'interface réseau Gigabit. 2-4

29 Préparation de l'installation de l'agent Autres éléments requis Les clients qui utilisent Smart Scan doivent être connectés à Internet. Les clients hors ligne ne peuvent pas utiliser Smart Scan. Prise en charge du protocole TCP/IP (Transmission Control Protocol/Internet Protocol) installée Enregistrement de WFBS-SVC Pour enregistrer votre produit, suivez les instructions figurant dans le Guide de démarrage rapide WFBS-SVC approprié, téléchargeable depuis le site Si vous avez des questions à propos de l'enregistrement, consultez le site Web de Trend Micro à l'adresse suivante : Vous pouvez également contacter votre revendeur ou l'assistance technique de Trend Micro. Licence et contrat de maintenance Lors de l'achat de Trend Micro Worry-Free Business Security Services, vous recevez une licence et un contrat de maintenance standard. Le contrat de maintenance standard est un contrat entre votre organisation et Trend Micro vous concédant le droit de bénéficier d'une assistance technique et de mises à jour de produit moyennant le paiement des frais en vigueur. La licence concédée avec les logiciels Trend Micro comprend généralement l'accès aux mises à jour des produits et des fichiers de signatures ainsi qu'à la maintenance de l'assistance technique de base pendant une période d'un (1) an à compter de la date d'achat uniquement. Au terme de la première année, le contrat de maintenance doit être renouvelé sur une base annuelle, au tarif alors en vigueur chez Trend Micro. Remarque : Le contrat de maintenance est limité par une date d'expiration, contrairement au contrat de licence. Lorsque le contrat de maintenance expire, la fonction de scan est toujours activée, mais il est impossible de mettre à jour le fichier de signatures de virus, le moteur de scan ou les fichiers programmes (même manuellement). Vous ne pouvez pas non plus bénéficier du service d'assistance technique de Trend Micro. Soixante (60) jours avant la date d'expiration de votre contrat de maintenance, l'écran État actuel affiche un message vous recommandant de renouveler votre licence. Vous pouvez mettre à jour votre contrat de maintenance en payant le renouvellement de la maintenance auprès de votre revendeur Trend Micro ou en vous inscrivant en ligne à l'adresse suivante : Conséquences de l'expiration du contrat de licence Lorsque le code d'activation d'une version complète expire, il n'est plus possible de télécharger les mises à jour du moteur ou du fichier de signatures. Cependant, à la différence d'un code d'activation d'une version d'évaluation, lorsqu'un code d'activation de version complète expire, toutes les configurations existantes et les autres paramètres restent applicables. Ceci permet de maintenir un niveau de protection au cas où vous autoriseriez accidentellement l'expiration de votre licence. 2-5

30 Préparation de l'installation de l'agent Liste de contrôle du déploiement Lisez ce qui suit avant de déployer WFBS-SVC. Prêtez attention aux deux problèmes suivants : CSA et OneCare L'agent Client/Server Security Agent (CSA) ne peut pas être installé avec le client Microsoft Windows Live OneCare. Le programme d'installation de CSA supprime automatiquement OneCare des ordinateurs clients. Autres applications de pare-feu Trend Micro vous recommande de supprimer ou de désactiver les autres applications de pare-feu (y compris Internet Connection Firewall (ICF) fourni par Windows Vista, Windows XP SP2 et Windows Server 2003) si vous souhaitez installer le pare-feu WFBS-SVC. Identification du nombre de clients Un client est un ordinateur sur lequel vous prévoyez d'installer Client/Server Security Agent. Cela inclut les postes de travail, les serveurs, les ordinateurs portables, y compris ceux qui appartiennent aux utilisateurs qui travaillent à distance. Prévision du trafic réseau Lorsque vous planifiez le déploiement, tenez compte du trafic réseau que WFBS-SVC va générer. WFBS-SVC génère du trafic réseau lorsque le serveur WFBS-SVC et ses clients communiquent entre eux. Le serveur WFBS-SVC/serveur de scan génère du trafic dans les situations suivantes : Notification des clients à propos des changements de configuration qui ont eu lieu Notification des clients les invitant à télécharger des composants mis à jour Connexion au serveur ActiveUpdate de Trend Micro afin de vérifier et de télécharger les composants mis à jour Scans sur les clients configurés pour Smart Scan Envoi de commentaires à Trend Micro Smart Protection Network Les clients génèrent du trafic dans les situations suivantes: Démarrage Arrêt Génération des journaux Exécution de mises à jour programmées Exécution de mises à jour manuelles («Mettre à jour») Connexion au serveur de scan pour Smart Scan Remarque : Hormis les mises à jour et la génération de journaux, toutes les autres actions génèrent une petite quantité de trafic. Trafic réseau pendant les mises à jour du fichier de signatures Le trafic réseau est généré chaque fois que Trend Micro publie une mise à jour d'un composant de produit. Pour réduire le trafic réseau généré pendant les mises à jour du fichier de signatures, WFBS-SVC utilise une méthode appelée mise à jour incrémentielle. Le fichier de signatures complet n'est pas téléchargé à chaque mise à jour. Seuls les nouveaux fichiers de signatures qui ont été ajoutés depuis la dernière version sont téléchargés. WFBS-SVC utilise également des agents actifs et inactifs. L'agent actif se met à jour lui-même depuis le serveur Trend Micro Active Update Server, ce qui génère du trafic Internet. Les agents inactifs se mettent à jour eux-mêmes depuis l'agent actif, ce qui génère du trafic réseau interne. 2-6

31 Préparation de l'installation de l'agent Il suffit aux clients régulièrement mis à jour de télécharger le fichier de signatures incrémentiel, dont la taille approximative est comprise entre 5 Ko et 200 Ko. Le fichier de signatures complet est nettement plus volumineux, même compressé, et prend plus de temps à télécharger. Trend Micro édite quotidiennement des nouveaux fichiers de signatures. Toutefois, si un virus particulièrement ravageur circule activement, Trend Micro publie un nouveau fichier de signatures dès qu'une signature de la menace est disponible. Détermination du nombre de groupes de postes de travail et de serveurs Chaque agent Client/Server Security Agent doit appartenir à un groupe de sécurité. Les membres d'un groupe de sécurité partagent tous la même configuration et exécutent les mêmes tâches. En organisant les clients en groupes, vous pouvez simultanément configurer une configuration personnalisée, la gérer et l'appliquer à un groupe sans affecter la configuration d'autres groupes. Un groupe de sécurité WFBS-SVC est différent d'un domaine Windows. Vous pouvez créer plusieurs groupes de sécurité au sein d'un unique domaine Windows. Vous pouvez également assigner des ordinateurs de différents domaines Windows au même groupe de sécurité. Vous pouvez regrouper les clients en fonction du service auquel ils appartiennent ou des fonctions qu'ils exécutent. Vous pouvez aussi regrouper les clients exposés à un risque d'infection plus élevé et leur appliquer une configuration plus sécurisée que celle d'autres clients. Vous aurez besoin d'au moins un groupe pour chaque configuration de client unique que vous souhaitez créer. Si vous disposez d'une petite entreprise, vous ne pouvez avoir qu'un groupe. Choix des options de déploiement pour les agents WFBS-SVC fournit plusieurs options pour déployer des agents Client/Server Security Agent. Déterminez quelles options conviennent le mieux à votre environnement en fonction de vos pratiques de gestion actuelles et des privilèges de compte des utilisateurs. Pour un déploiement monosite, les administrateurs informatiques peuvent choisir de l'effectuer au moyen d'une configuration du script de connexion. L'agent Client/Server Security Agent est déployé en arrière-plan, ce qui rend l'installation transparente pour l'utilisateur final. Dans les entreprises qui appliquent des règles strictes en matière d'informatique, la configuration du script de connexion est recommandée. Pour la configuration du script de connexion, il n'est pas nécessaire d'attribuer des privilèges d'administrateur à l'utilisateur final. Au lieu de cela, l'administrateur configure le programme d'installation lui-même avec le mot de passe d'un compte administrateur. Il n'est pas nécessaire de modifier les autorisations de l'utilisateur final. Remarque : l'installation à distance ne fonctionne que sous Windows Vista/2000/XP (édition professionnelle uniquement) et Server Dans les entreprises qui appliquent des règles moins strictes en matière d'informatique, l'installation de l'agent Client/Server Security Agent via le simple téléchargement de l'agent est recommandée. L'administrateur envoie un message électronique indiquant aux utilisateurs de visiter le site de téléchargement sur lequel ils peuvent installer l'agent Client/Server Security Agent. Cependant, avec cette méthode, les utilisateurs qui vont installer l'agent doivent disposer de suffisamment de privilèges d'administrateur. Pour plus d informations sur les méthodes d'installation, consultez la rubrique Présentation de l installation d'agent à la page

32 Préparation de l'installation de l'agent Liste de contrôle des ports WFBS-SVC utilise les ports suivants par défaut. TABLEAU 2-7. Liste de contrôle des ports PORT ÉCHANTILLON VOTRE VALEUR Client/Server Security Agent Serveur HTTP de l'agent Diffusion de l'agent

33 Chapitre 3 Installation de l'agent L'agent Client/Server Security Agent dépend du serveur WFBS-SVC. L'agent envoie les informations relatives à l état et aux événements en temps réel pour fournir au serveur les informations les plus récentes concernant le client. Les agents signalent des événements tels que la détection d'une menace, leur démarrage ou arrêt, le lancement d'un scan et la réalisation d'une mise à jour. Client/Server Security Agent met à votre disposition trois méthodes de scan : le scan en temps réel, le scan programmé et le scan manuel. Le présent chapitre décrit les procédures d'installation, de mise à niveau et de suppression d'agents. Présentation de l installation d'agent à la page 3-2 Installation de l'agent - Web à la page 3-2 Installation de l'agent - Options supplémentaires à la page 3-6 Vérification de l'installation de l'agent à la page 3-8 Test de l'installation client avec un script de test EICAR à la page 3-9 Suppression d'agents à la page

34 Installation de l'agent Présentation de l installation d'agent Chemin de navigation : Ordinateurs > Ajouter > Ordinateurs Cette section fournit des informations sur l'installation de l'agent Client/Server Security Agent. WFBS-SVC propose deux catégories d'installation d'agent : Installation Web : Téléchargement direct et installation immédiate de l'agent (voir Installation de l'agent - Web à la page 3-2) Options d'installation supplémentaires : Téléchargez le programme d'installation de l'agent (voir Installation de l'agent - Options supplémentaires à la page 3-6) que vous pouvez déployer via : Installation traditionnelle : Téléchargez le fichier d'installation et copiez-le sur les ordinateurs clients. Script de démarrage Windows : Permet de déployer l'agent via le script de démarrage Windows, option avancée utile lorsque de nombreux agents doivent être installés. Remarque : Pour installer l'agent Client/Server Security Agent, vous devez disposez de droits d'administrateur local sur les clients. Installation de l'agent - Web Chemin de navigation : Ordinateurs > Ajouter > Ajouter des ordinateurs L'installation Web est un moyen pratique pour déployer l'agent Client/Server Security Agent. Il vous suffit d'envoyer par aux utilisateurs le texte (qui contient l'url du fichier d'installation) depuis la console WFBS-SVC. Les clients peuvent ensuite télécharger le fichier d'installation de l'agent et installer celui-ci. Les utilisateurs doivent disposer de Microsoft Internet Explorer 6.0 ou version ultérieure, dont le niveau de sécurité est paramétré pour autoriser les cookies, afin de télécharger les fichiers d'installation de Client/Server Security Agent. Remarque : L'agent utilise les paramètres de proxy d'internet Explorer figurant sous Outils > Options Internet > Connexions > Paramètres réseau pour accéder à Internet. 3-2

35 Installation de l'agent Pour distribuer les instructions d'installation aux utilisateurs : 1. Dans la console WFBS-SVC, accédez à Ordinateurs > Ajouter > Ajouter des ordinateurs. FIGURE 3-1. Envoyez ce message et cette URL aux clients en vue d'une installation Web. Remarque : Chaque compte WFBS-SVC se voit affecter une clé d'entreprise spécifique. La clé d'entreprise est un ensemble de caractères unique contenu dans un cookie téléchargé. Cette clé est ensuite combinée à l'agent pendant le processus d'installation. La clé lie l'agent au compte d'entreprise approprié sur la console WFBS-SVC. De ce fait, le programme d'installation de l'agent ne peut pas être copié d'un ordinateur vers un autre. Pour obtenir une version du programme d'installation de l'agent qu'il est possible de copier d'un ordinateur vers un autre, suivez les instructions relatives aux autres options d'installation (voir Installation de l'agent - Options supplémentaires à la page 3-6). 2. Cliquez sur Utiliser mon adresse par défaut pour copier l'url de téléchargement dans votre client de messagerie par défaut afin de l'envoyer aux utilisateurs (ou sélectionnez Copier le texte pour copier l'url et la coller dans le client de messagerie). AVERTISSEMENT! Si vous êtes revendeur, vous devez vous connecter à chaque entreprise que vous administrez pour obtenir l'url de téléchargement en vue d'une distribution par ou pour télécharger le programme de téléchargement de l'agent pour une installation traditionnelle ou via un script. Si vous installez l'agent au moyen d'une URL ou d'un programme d'installation incorrect, l'agent s'affiche sous le client incorrect et doit être réinstallé à l'aide du programme d'installation approprié. 3-3

36 Installation de l'agent Les instructions ci-dessous ont été rédigées du point de vue de l'utilisateur final. Pour installer l'agent via l'installation Web : 1. Cliquez sur l'url de téléchargement dans l' . FIGURE 3-2. Envoyer par l'url de téléchargement aux utilisateurs 2. Lorsque la page Web s'ouvre, cliquez sur Télécharger pour lancer le processus d'installation. FIGURE 3-3. Cliquez sur Télécharger pour lancer le processus d'installation de l'agent. 3. Lorsque le premier avertissement de sécurité s'affiche, cliquez sur Exécuter. Ne cliquez pas sur Enregistrer. (Ce fichier ne peut pas être copié sur un autre ordinateur. Pour obtenir une copie du programme d'installation de l'agent pouvant être copiée d'un ordinateur vers un autre, reportez-vous à Installation de l'agent - Options supplémentaires à la page 3-6.) 3-4

37 Installation de l'agent FIGURE 3-4. Ne cliquez pas sur Enregistrer lorsque le premier avertissement de sécurité s'affiche. Ce fichier n'est utilisable que pour l'installation sur l'ordinateur de téléchargement d'origine. 4. Lorsque le deuxième avertissement de sécurité s'affiche, cliquez de nouveau sur Exécuter. FIGURE 3-5. Cliquez sur Exécuter lorsque le deuxième avertissement de sécurité s'affiche. 5. Le programme d'installation de l'agent continue le téléchargement (ce qui peut prendre un certain temps). Lorsque le programme d'installation de l'agent s'ouvre, cliquez sur Suivant pour commencer à installer l'agent Client/Server Security Agent. L'installation démarre. Une fois l'installation terminée, le message suivant s'affiche : Installation réussie. 6. Vérifiez l installation en vous assurant que l icône Client/Server Security Agent figure dans la barre d état système de Windows. Il doit s'agir de l'une des icônes suivantes : Pour le scan traditionnel : Pour Smart Scan : 3-5

38 Installation de l'agent Installation de l'agent - Options supplémentaires Chemin de navigation : Ordinateurs > Ajouter > Ajouter des ordinateurs Les options d'installation supplémentaires sont les suivantes : Installation traditionnelle : permet l'installation via un seul fichier. Script de démarrage Windows : permet le déploiement de l'agent via un script de démarrage Windows, une option plus efficace, utile lorsque de nombreux agents doivent être installés. Le processus de téléchargement s'applique d'abord au fichier WFBS-SVC_Downloader.exe. Le programme de téléchargement télécharge ensuite le programme d'installation de l'agent, WFBS-SVC_Agent_Installer.msi, et un cookie contenant la clé d'entreprise. Le programme de téléchargement insère alors la clé d'entreprise dans le programme d'installation de l'agent afin que celui-ci puisse être distribué. AVERTISSEMENT! Il est impossible de distribuer le programme de téléchargement (WFBS-SVC_Downloader.exe) aux ordinateurs cients. Seul WFBS-SVC_Agent_Installer.msi, téléchargé selon la procédure appropriée décrite dans cette section, peut être utilisé pour déployer des agents sur les autres ordinateurs. Pour télécharger le programme d'installation de l'agent : 1. Dans la console WFBS-SVC, accédez à Ordinateurs > Ajouter > Ajouter des ordinateurs. 2. Cliquez sur le signe plus (+) en regard de Options d'installation supplémentaires pour afficher ces options. FIGURE 3-6. Téléchargez le programme d'installation de l'agent pour l'installation traditionnelle et via un script. 3-6

39 Installation de l'agent 3. Lorsque la page Web s'ouvre, cliquez sur Télécharger pour lancer le processus de téléchargement. FIGURE 3-7. Cliquez sur Télécharger pour lancer le processus de téléchargement de l'agent. 4. Lorsque le premier avertissement de sécurité s'affiche, cliquez sur Exécuter. Ne cliquez pas sur Enregistrer. Ce fichier n'est utilisable que durant ce processus de téléchargement particulier. FIGURE 3-8. Cliquez sur Exécuter lorsque le premier avertissement de sécurité s'affiche. Ne cliquez pas sur Enregistrer. 5. Lorsque le deuxième avertissement de sécurité s'affiche, cliquez de nouveau sur Exécuter. Cette action lance le téléchargement du programme de téléchargement de l'agent (WFBS-SVC_Downloader.exe). FIGURE 3-9. Cliquez sur Exécuter lorsque le deuxième avertissement de sécurité s'affiche. 3-7

40 Installation de l'agent 6. Une fois téléchargé, le programme de téléchargement de l'agent s'exécute. Cliquez sur Suivant pour télécharger le programme d'installation de l'agent. Vous pouvez alors installer le fichier WFBS-SVC_Agent_Installer.msi sur chacun des ordinateurs de la même entreprise : En copiant le programme d'installation sur chaque ordinateur et en exécutant le fichier En exécutant le programme d'installation depuis un répertoire partagé du réseau local de l'entreprise En distribuant le programme d'installation via le script de démarrage Windows AVERTISSEMENT! Si vous êtes revendeur, vous devez vous connecter à chaque entreprise que vous administrez pour obtenir l'url de téléchargement en vue d'une distribution par ou pour télécharger le programme de téléchargement de l'agent pour une installation traditionnelle ou via un script. Si vous installez l'agent au moyen d'une URL ou d'un programme d'installation incorrect, l'agent s'affiche sous le client incorrect et doit être réinstallé à l'aide du programme d'installation approprié. Pour déployer l'agent WFBS-SVC via le script de déploiement : 1. Téléchargez le programme d'installation de l'agent depuis le menu Ordinateurs > Ajouter > Ajouter des ordinateurs > Options d'installation supplémentaires. 2. Placez le programme d'installation de l'agent (WFBS-SVC_Agent_Installer.msi) dans un dossier (par exemple D:\share) sur un de vos serveurs (pr exemple MYFILESERVER). 3. Partagez le dossier (D:\share) au moyen d'autorisations afin que chaque utilisateur puisse accéder à ce dossier et au programme d'installation de l'agent WFBS-SVC. 4. Téléchargez l'exemple de script de déploiement depuis le menu Administration > Outils. 5. Ouvrez l'exemple de script (WFBS-SVC Example Deployment Script.vbs) dans un éditeur. Modifez la première ligne pathofwfbshinstaller="msiexec /qn /i WFBS-SVC_Agent_Installer.msi" en fonction du chemin d'accès à votre environnement, par exemple pathofwfbshinstaller="msiexec /qn /i \\MYFILESERVER\share\WFBS-SVC_Agent_Installer.msi" 6. Définissez le script de démarrage de l'ordinateur en fonction du chemin d'accès au script, par exemple \\MYFILESERVER\share\ WFBS-SVC Example Deployment Script.vbs (le script de connexion de l'utilisateur n'est pas employé car l'utilisateur ne dispose peut-être pas des autorisations nécessaires pour installer le logiciel). Pour en savoir plus sur la configuration d'un script de démarrage Windows dans un contrôleur de domaine Windows, cliquez sur les deux liens suivants : Vérification de l'installation de l'agent Une fois l'installation terminée, vérifiez que l'agent Client/Server Security Agent est correctement installé. Pour vérifier l'installation: Recherchez les raccourcis du programme Trend Micro Client/Server Security Agent dans le menu Démarrer de Windows du client exécutant l'agent. Vérifiez si Trend Micro Client/Server Security Agent se trouve dans la liste Ajout/Suppression de programmes du Panneau de configuration du client. 3-8

41 Installation de l'agent Test de l'installation client avec un script de test EICAR L'Institut européen pour la recherche des virus informatiques (EICAR) a mis au point un virus de test que vous pouvez utiliser pour tester votre installation et votre configuration. Ce fichier est un texte inerte dont la structure binaire est incluse dans le fichier de signatures de virus de la plupart des distributeurs d'antivirus. Il ne s'agit pas d'un virus et il ne contient aucun code de programme. Obtenir le fichier de test EICAR : Vous pouvez télécharger le virus de test EICAR à l'adresse suivante : Une autre solution consiste à créer votre propre virus de test EICAR en tapant le texte suivant dans un fichier texte, puis en nommant celui-ci eicar.com : X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* videz la mémoire cache dans le serveur cache ainsi que le navigateur local avant de procéder au test. Suppression d'agents Il existe deux méthodes pour supprimer des agents : Exécution du programme d'installation de l'agent Utilisation de la console Web Suppression d'un agent à l aide de son programme de désinstallation Vous pouvez supprimer l'agent Client/Server Security Agent au moyen du programme de désinstallation. Pour exécuter le programme de désinstallation de l'agent: 1. Dans le menu Démarrer de Windows, cliquez sur Paramètres > Panneau de configuration > Ajout/Suppression de programmes (ou sur Programmes et fonctionnalités dans Windows Vista). 2. Sélectionnez Trend Micro Client/Server Security Agent et cliquez sur Modifier/Supprimer. L'écran Désinstallation de l'agent Client/Server Security Agent s'affiche. 3. Cliquez sur OK. Suppression de l'agent à l'aide de la console Web Vous pouvez également supprimer Client/Server Security Agent à l'aide de la console Web. Pour supprimer un agent à distance à l'aide de la console Web: 1. Connectez-vous à la console Web. 2. Cliquez sur l'onglet Ordinateurs. 3. Dans l'arborescence du réseau, commencez par sélectionner le groupe. Ensuite, dans le volet de droite, sélectionnez le client duquel vous voulez supprimer l'agent. Cliquez sur Supprimer. L écran Supprimer un ordinateur apparaît. 4. Cliquez sur OK. Pour vérifier que l'agent a été supprimé, actualisez l'écran Ordinateurs. Le client ne doit plus figurer dans l'arborescence du réseau. 3-9

42 Installation de l'agent 3-10

43 Chapitre 4 Migration et mise à niveau Ce chapitre explique comment mettre à niveau l'agent ou le faire migrer à partir d'autres applications antivirus. Les rubriques de ce chapitre comprennent: Migration depuis d'autres applications antivirus à partir de la page 4-2 Mise à niveau de Client/Server Security Agent à partir de la page

44 Migration et mise à niveau Migration depuis d'autres applications antivirus WFBS-SVC prend en charge la migration depuis d'autres applications antivirus. WFBS-SVC peut faire migrer automatiquement le logiciel client. Migration depuis Trend Micro Anti-Spyware Si Trend Micro Anti-Spyware est installé sur votre réseau, tenez compte des points suivants : La suppression du client TMASY avant l'installation de Client/Server Security Agent n'est pas nécessaire. Le programme d'installation de Client/Server Security Agent supprime automatiquement le client TMASY lorsqu'il le détecte sur le même ordinateur client et installe ensuite Client/Server Security Agent. Les paramètres de la fonction anti-spyware de Client/Server Security Agent et de TMASY sont différents. Une fois les agents Client/Server Security Agent installés, il peut être nécessaire de configurer les paramètres de la fonction anti-spyware de la même manière que les paramètres de votre client TMASY précédent. Consultez le Table 4-1 pour obtenir une comparaison des paramètres de la fonction anti-spyware de Client/Server Security Agent et de TMASY. TABLEAU 4-1. Comparaison des paramètres de la fonction anti-spyware de Client/Server Security Agent et de TMASY CLIENT/SERVER SECURITY AGENT CLIENT TREND MICRO ANTI-SPYWARE Scan en temps réel Activé Désactivé (surveillance active des applications) Action par défaut Nettoyer Refuser les fichiers exécutables Scan manuel Type de scan Scan complet Scan rapide Action par défaut Nettoyer Scanner uniquement (le nettoyage automatique est désactivé par défaut) Scanner au démarrage N/A Activé Vérifier le réseau N/A Activé Scan programmé Désactivé Activé Programmation du scan Tous les lundis Quotidien Heure du scan 12:30 23:00 Type de scan Scan complet Scan rapide Action par défaut Nettoyer Scanner uniquement (le nettoyage automatique est désactivé par défaut) 4-2

45 Migration et mise à niveau Migration depuis d'autres applications antivirus La migration automatique des clients fait référence au remplacement de logiciels antivirus clients existants par le programme Client/Server Security Agent. Le programme d'installation client supprime automatiquement les autres logiciels antivirus de vos ordinateurs clients et les remplace par Client/Server Security Agent. Consultez le Table 4-2 pour obtenir la liste des applications client que WFBS-SVC peut supprimer automatiquement. Remarque : WFBS-SVC ne supprime que les installations client suivantes, pas les installations serveur. TABLE 4-2. Applications antivirus pouvant être supprimées ALWIL Avast 4.6 NT Armour Virus Control 5.8 avast! Antivirus 4.7 CA etrust 7.1 CA etrust CA etrust InoculateIT 6.0 CA etrust InoculateIT 7.0 CA etrust ITM Agent CA etrust ITM Agent CA etrustitm Agent 8.0 CA etrustitm Server 8.0 CA etrustitm Server CA InocuLAN 5 CA InocuLAN_NT 4.53 CA InoculateIT Clients for Windows 6.0 CA itechnology igateway 4.0 CA itechnology igateway CA itechnology igateway Cheyenne AntiVirus 9X Command AntiVirus for Windows 2000/XP Command AV 4.8 Enterprise Command AV 4.9 Enterprise Command AV Standalone Command AV Enterprise Cheyenne AntiVirus NT Command AV x Command AV 4.8 Standalone Command AV 4.9 Standalone Command AV Enterprise Command AV Standalone Dr Solomon 7.77,7.95 NT Dr. Solomon Dr.Solomon NT epoagent2000 esafe Desktop v3 epoagent1000 epoagent3000 F-Prot for Windows F-Secure 4.04 F-Secure 4.08, 4.3, 5.3, 5.4x, 5.5x F-Secure Anti-Virus 2008 F-Secure Client Security 7.10 F-Secure Client Security Internet Shield F-Secure Client Security Web Traffic Scanning F-Secure BackWeb F-Secure Client Security Scanning F-Secure Client Security System Control F-Secure Scanning F-Secure Internet Security 2005 F-Secure Internet Security 2008 F-Secure Internet Shield F-Secure Management Agent F-Secure Web Traffic Scan Grisoft AVG 6.0 Grisoft AVG 7.0 Hauri VMS 2.0 Kaspersky (TM) Anti-Virus 5.0 for Windows Workstation Kaspersky (TM) Anti-Virus Workstation Kaspersky (TM) Anti-Virus Personal 4.0 Kaspersky Anti-Virus 5.0 for Windows Workstations 4-3

46 Migration et mise à niveau TABLE 4-2. Applications antivirus pouvant être supprimées Kaspersky Anti-virus 6.0 Kaspersky Internet Security 7.0 Kaspersky Anti-Virus 6.0 for Windows Workstations LANDesk VirusProtect5.0 McAfee Anti-Spyware Enterprise 8.0 McAfee Desktop Firewall 8.0 McAfee Internet Security 6.0 Mcafee Managed VirusScan McAfee NetShield 4.5 McAfee NetShield NT 4.03a McAfee Security Center 7 McAfee SecurityCenter McAfee SpamKiller McAfee VirusScan 4.5 McAfee VirusScan 4.51 McAfee VirusScan 6.01 McAfee VirusScan 95(1) McAfee VirusScan 95(2) McAfee VirusScan ASaP McAfee VirusScan Enterprise 7 McAfee VirusScan Enterprise 7.1 McAfee VirusScan Enterprise 8.0 McAfee VirusScan Enterprise 8.5 McAfee VirusScan Enterprise McAfee VirusScan NT McAfee VirusScan Professional 9.0 McAfee VirusScan TC McAfee WebScanX v3.1.6 Microsoft Forefront Client Security Antimalware Service NOD32 AV Norman Virus Control 5.90 Corporate Norton AntiVirus 2.0 NT Norton AntiVirus 2000 NT Norton AntiVirus 2001 NT Norton AntiVirus 2003 McAfee VirusScan(MSPlus98) Microsoft Forefront Client Security Antimalware Service Microsoft Forefront Client Security State Assessment Service Norman Virus Control Norman Virus Control 5.90 Single User Norton AntiVirus X Norton AntiVirus X Norton AntiVirus 2002 NT Norton AntiVirus 2003 cht Norton AntiVirus 2003 Professional Norton AntiVirus 2004 Norton AntiVirus 2004 Pro Norton AntiVirus 2005 Norton AntiVirus 5.0 9X Norton AntiVirus X Norton AntiVirus X Norton AntiVirus Norton AntiVirus 7.0 NT Norton AntiVirus 7.5 NT Norton AntiVirus 8.0/8.1 NT Norton AntiVirus CE Norton AntiVirus CE 7.0 NT Norton AntiVirus CE 7.5 NT Norton AntiVirus CE 8.0 NT Norton AntiVirus Corporate Edition 7.0 for Windows NT Norton AntiVirus 5.0 NT Norton AntiVirus 5.31 NT Norton AntiVirus 5.32 NT Norton AntiVirus 7.0 9X Norton AntiVirus 7.5 9X Norton AntiVirus 8.0/8.1 9x Norton AntiVirus 8.1 server Norton AntiVirus CE 7.0 9X Norton AntiVirus CE 7.5 9X Norton AntiVirus CE 8.0 9x Norton AntiVirus CE 8.1 server Norton Internet Security

47 Migration et mise à niveau TABLE 4-2. Applications antivirus pouvant être supprimées Norton Internet Security 2004 JP Norton Internet Security 2005 Panda Administrator 2006 Panda Antivirus 6.0 Panda Antivirus Windows NT WS Panda AdminSecure Reports Component Panda Antivirus Local Networks Panda Communucation Agent 3.0 NT Panda CVPSecure Panda Endpoint Agent Panda FileSecure Panda FileSecure Workstation Panda Platinum 7.0 Panda Platinum Internet Security 2004/2005 Panda Titanium Antivirus 2004 Panda Titanium Antivirus 2006 Panda Titanium Antivirus 2007 ServerProtect for Windows NT Sophos Anti-Virus 9X PER Antivirus Softed ViGUARD 2004 for Windows NT Sophos Anti-Virus NT Sophos Anti-Virus NT 5.0 Sophos Anti-Virus NT 7.0 Sophos AutoUpdate Sophos AutoUpdate Sophos Remote Management System Spybot Search & Destroy 1.3/1.4 Sophos Remote Update NT Symantec AMS Server Symantec AntiVirus Symantec AntiVirus Symantec AntiVirus x64 Symantec AntiVirus Symantec AntiVirus DE Symantec AntiVirus Symantec AntiVirus Symantec AntiVirus x32 Symantec AntiVirus x32 Symantec AntiVirus Symantec AntiVirus x64 Symantec AntiVirus x64 Symantec AntiVirus x64 Symantec AntiVirus x64 Symantec AntiVirus Public Beta Symantec AntiVirus / / Symantec AntiVirus / / Symantec AntiVirus Symantec AntiVirus Symantec AntiVirus Symantec AntiVirus CE 10.0 NT Symantec Client Firewall X Symantec Client Firewall 2004 NT Symantec Client Security Symantec Client Security Symantec Client Security Symantec Client Security Symantec Client Security Symantec Client Security 3.0 Symantec Client Security 3.0 NT Symantec Client Security 3.1 Symantec Client Security / Symantec Endpoint Protection Symantec Endpoint Protection BIT Symantec Endpoint Protection Symantec Endpoint Protection Symantec Endpoint Protection x64 Symantec Endpoint Protection Symantec Endpoint Protection x64 Symantec Endpoint Protection Symantec Endpoint Protection x64 Symantec Packager Symantec Quarantine Console Symantec Quarantine Server Tegam ViGUARD 9.25e for Windows NT The Hacker Anti-Virus

48 Migration et mise à niveau TABLE 4-2. Applications antivirus pouvant être supprimées Trend Micro Anti-Spyware Client for SMB 30 Trend Micro Anti-Spyware Client for SMB 32 Trend Micro Client/Server Messaging (CSM) 3.6 Trend Micro HouseClean Trend Micro HouseCall Pro Trend Micro Internet Security Trend Micro Internet Security 2008 Trend Micro Internet Security 2009 Trend Micro Internet Security 2009 Pro Trend Micro Internet Security 2009 x64 Trend Micro Office Scan 7.0, 8.0, 10.0 Trend Micro Internet Security 2009 Pro Trend Micro Internet Security x64 Trend Micro Pc-cillin 2004 (AV) Trend Micro Pc-cillin 2004 (TIS) Trend Micro Pc-cillin 2005 Trend Micro Pc-cillin 2006 Trend Micro Pc-cillin 2007 Trend Micro Titanium 1.0 Trend Micro Worry-Free Business Security 5.0, 5.1, 6.0 Trend PC-cillin (WinNT) Trend PC-cillin 2000(Win9X) Trend PC-cillin 2000(WinNT) Trend PC-cillin 2002 Trend PC-cillin 2003 Trend PC-cillin 6 Trend PC-cillin Trend PC-cillin Lite Trend PC-cillin Trend PC-cillin Trend PC-cillin 98 Trend PC-cillin 98 Plus(WinNT) Trend PC-cillin NT 6 V3Pro 98 Trend PC-cillin 98 Plus(Win95) Trend PC-cillin NT V3Pro 2000 Deluxe V3Pro 98 Deluxe ViRobot 2k Professional ViRobot Desktop 5.5 ViRobot Expert 4.0 ViRobot ISMS client 3.5 Virus Buster 2000 Virus Buster 2000 for NT ver Virus Buster 2000 for NT ver Virus Buster 2001 Virus Buster 98 Virus Buster 98 for NT Virus Buster NT VirusBuster VirusBuster 97 VirusBuster 97 Lite VirusBuster Lite 1.0 VirusBuster Lite

49 Migration et mise à niveau Mise à niveau de Client/Server Security Agent Vous pouvez mettre à niveau votre version précédente ou d'évaluation de l'agent vers une version complète. Prévention de la mise à niveau pour des clients sélectionnés La mise à niveau simultanée d'un grand nombre d'agents peut considérablement augmenter le trafic réseau. WFBS-SVC propose une option permettant d'empêcher des groupes sélectionnés d'effectuer une mise à niveau vers la version actuelle. Si de nombreux clients doivent être mis à niveau, Trend Micro vous recommande de désactiver la mise à jour du programme pour certains groupes de clients avant la mise à niveau, puis d'effectuer la mise à niveau ultérieurement. Pour désactiver la mise à jour du programme : 1. Sur la console Web WFBS-SVC, sélectionnez Ordinateurs > {groupe} > Configurer > Privilèges client. 2. Sous Paramètres de mise à jour, sélectionnez Désactiver la mise à niveau du programme et le déploiement des correctifs, puis enregistrez les paramètres. Remarque : Ces clients ne seront pas mis à niveau vers la version suivante, mais continueront de recevoir les mises à jour des composants (par exemple le fichier de signatures de virus) pour que leur protection soit à jour. 3. Lorsque vous êtes prêt à mettre à niveau ces clients, désélectionnez la même case et enregistrez les paramètres. Ensuite, effectuez l'installation de l'agent pour les clients à l'aide de la méthode de votre choix. 4-7

50 Migration et mise à niveau 4-8

51 Chapitre 5 Console Web Ce chapitre explique comment rendre opérationnel WFBS-SVC. Les rubriques de ce chapitre comprennent: Accès à la console Web à la page 5-2 État actuel à la page 5-3 Affichage des ordinateurs et des groupes à la page

52 Console Web Accès à la console Web Pour accéder à la console Web WFBS-SVC, à l'adresse utilisez un navigateur Web. FIGURE 5-1. Écran de connexion de WFBS-SVC Tapez votre mot de passe dans la zone de texte Mot de passe, puis cliquez sur Connexion. L'écran État actuel de la console Web s'affiche dans le navigateur. TABLEAU 5-1. Principales fonctions de la console Web Fonction Menu principal Zone de configuration Arborescence du réseau Barre d'outils des paramètres de sécurité Description Dans la partie supérieure de la console Web se trouve le menu principal. Ce menu est toujours disponible. La zone de configuration se situe sous les éléments du menu principal. Utilisez cette zone pour sélectionner des options correspondant à l'élément de menu que vous avez sélectionné. Dans l'écran Ordinateurs, l'arborescence du réseau affiche les groupes de postes de travail et de serveurs. Elle permet également de configurer ces groupes. L'écran Ordinateurs propose une barre d'outils comportant plusieurs icônes. Lorsque vous cliquez sur un client ou sur un groupe dans l'arborescence du réseau, puis sur une icône de la barre d'outils, le serveur WFBS-SVC exécute la tâche associée. Icônes de la console Web Le tableau ci-dessous décrit les icônes affichées sur la console Web et explique leur utilisation. TABLEAU 5-2. Icônes de la console Web Icône Description Icône d'aide. permet d'ouvrir l'aide en ligne. / Icône Activer/Désactiver. Cliquez pour activer ou désactiver certains paramètres. Icône Information: permet d'afficher les informations relatives à un élément particulier. 5-2

53 Console Web État actuel Utilisez l'écran État actuel pour afficher une vue globale de la sécurité de votre réseau. La fréquence d'actualisation des informations affichées sur l'écran État actuel varie d'une section à l'autre. Il est généralement compris entre 1 et 10 minutes. Pour actualiser manuellement les informations affichées, cliquez sur le bouton Actualiser de votre navigateur. FIGURE 5-2. Écran État actuel 5-3

54 Console Web Présentation des icônes Les icônes vous alertent si vous devez intervenir pour sécuriser les ordinateurs du réseau. Développez une section pour afficher davantage d'informations. Vous pouvez également cliquer sur les éléments du tableau pour afficher des détails spécifiques. Pour obtenir plus d'informations sur des clients spécifiques, cliquez sur les liens numérotés des tableaux. TABLEAU 5-3. Icônes État actuel Icône Description Normal Seuls quelques clients requièrent un correctif. L'activité des virus, spywares et autres programmes malveillants sur vos ordinateurs et votre réseau représente un risque insignifiant. Avertissement Prenez les mesures nécessaires pour éviter d'exposer votre réseau à des risques supplémentaires. En général, une icône Avertissement signifie que vous disposez d'ordinateurs vulnérables signalant un nombre trop élevé d'incidents de virus ou d'autres programmes malveillants. Lorsqu'une alerte jaune est émise par Trend Micro, l'avertissement s'affiche dans le cadre de la défense anti-épidémies. Action requise Une icône d'avertissement indique que l'administrateur doit intervenir pour résoudre un problème de sécurité. Les informations affichées dans l'écran État actuel sont générées par le serveur WFBS-SVCet reposent sur les données collectées sur les clients. Section État Les trois sections suivantes de la page État actuel sont les principaux indicateurs de Trend Micro Worry-Free Business Security Services : État des menaces L'écran État des menaces affiche des informations relatives aux activités suivantes : Antivirus : détection des virus. À partir du cinquième incident, l'icône d'état change pour afficher l'avertissement. Si vous devez intervenir : Échec de l'action : L'agent Client/Server Security Agent n'a pas pu correctement exécuter l'action qu'il était censé entreprendre. Cliquez sur le lien numéroté pour obtenir des informations détaillées sur les ordinateurs pour lesquels l'agent Client/Server Security Agent n'a pas réussi à exécuter une action. Scan en temps réel désactivé : Le scan en temps réel est désactivé sur les agents Client/Server Security Agent. Cliquez sur Activer pour relancer le scan en temps réel. Anti-spyware : la section Anti-spyware affiche les derniers résultats de scan anti-spyware et les entrées des journaux de spywares. La colonne de nombres du tableau Anti-spyware indique les résultats du dernier scan anti-spyware. Incidents de spywares/graywares : pour obtenir plus d'informations sur des clients spécifiques, cliquez sur les liens numérotés du tableau Anti-spyware. À partir de là, vous pouvez obtenir des informations sur les menaces de spywares qui affectent les clients. Incidents nécessitant le redémarrage de l'ordinateur : Cliquez pour identifier les ordinateurs qu'il est impossible de nettoyer entièrement tant qu'ils n'ont pas été redémarrés. Réputation de sites Web : sites considérés comme potentiellement dangereux par Trend Micro. À partir du deux centième incident, l'icône d'état change pour afficher l'avertissement. 5-4

55 Console Web Surveillance des comportements : violations des stratégies de surveillance des comportements. Virus de réseau : détection de virus de réseau déterminée par les paramètres de pare-feu. Défense anti-épidémies : possibilité d'une épidémie virale sur votre réseau. Voir Stratégie de défense anti-épidémies à la page 9-2 pour obtenir des informations complémentaires. État du système Consultez les informations concernant les composants mis à jour sur les ordinateurs sur lesquels les agents sont installés. Mise à jour : état des mises à jour des composants de l'agent. Conseil : Vous pouvez personnaliser les paramètres qui permettent à la console Web de façon d'afficher un avertissement ou une action requise. Pour ce faire, cliquez sur le lien Personnaliser les notifications en haut de la page État actuel ou sélectionnez l'option Administration > Notifications. Smart Scan : clients qui ne peuvent pas se connecter au serveur de scan. Cela peut indiquer un problème lié au réseau. État de la licence Consultez les informations relatives à l'état de la licence. Licence : informations relatives à l'état de vos licences : nombre de licences achetées et de licences utilisées. Affichage des ordinateurs et des groupes L'onglet Ordinateurs vous permet de gérer les ordinateurs sur lesquels les agents sont installés. Pour des raisons d'administration, les ordinateurs ne sont pas classés par groupe. Lorsque vous sélectionnez un groupe dans l'arborescence du réseau, un tableau répertoriant tous les ordinateurs de ce groupe s'affiche à droite. Lorsque vous cliquez sur l'option de menu Configurer (après la sélection d'un groupe dans l'arborescence), la zone de configuration de ce groupe s'affiche. L'écran Ordinateurs comprend quatre sections principales : Arborescence du réseau Tableau d'informations de groupe Barre de menus Zone de configuration (une fois que vous avez cliqué sur Configurer) Barre de menus Certaines options de menu sont en grisé selon qu'un groupe a été ou non sélectionné : Configurer : l'outil Configurer n'est disponible que si l'un des groupes de l'arborescence du réseau est sélectionné. L'outil Configuration vous permet de configurer les paramètres pour tous les agents de ce groupe. Tous les ordinateurs d'un groupe partagent la même configuration. Vous pouvez configurer les paramètres suivants : Mode de scan, Antivirus/Anti-spywares, Pare-feu, Réputation de sites Web, Surveillance des comportements, Barres d'outils TrendSecure, Scan du courrier et Privilèges client. Ajouter : l'outil Ajouter vous permet d'ajouter des ordinateurs à des groupes spécifiques en déployant des agents Client/Server Security Agent sur des ordinateurs que vous spécifiez. Ajouter un groupe : Ajouter un groupe vous permet d'ajouter de nouveaux groupes de postes de travail ou de serveurs. Ajouter un ordinateur : Ajouter un ordinateur vous permet d'ajouter un ordinateur à un groupe. Supprimer : Supprimer permet de supprimer l'agent des ordinateurs indiqués. 5-5

56 Console Web Autres Répliquer les paramètres : L'outil Répliquer les paramètres n'est disponible que si l'un des éléments est sélectionné dans l'arborescence du réseau et qu'au moins un autre élément du même type est présent dans cette arborescence. Scan immédiat : tous les ordinateurs d'un groupe sont scannés. Arrêter le scan : arrête le scan en cours. Mettre à jour : met à jour tous les composants. Réinitialiser les compteurs : L'outil Réinitialiser s'applique à tous les ordinateurs d'un groupe. Si vous cliquez sur cette option, les valeurs des colonnes Virus détectés et Spywares détectés du tableau d'informations sur les agents de sécurité sont remises à zéro. Personnaliser les colonnes : permet de sélectionner uniquement les colonnes à afficher. Autres commandes : Clic droit : si vous cliquez avec le bouton droit sur un groupe, un menu contextuel s'affiche. Déplacer : il est possible de déplacer des ordinateurs d'un groupe vers un autre en les faisant glisser. 5-6

57 Chapitre 6 Gestion des groupes Ce chapitre explique le concept et l'utilisation de groupes dans WFBS-SVC. Les rubriques de ce chapitre comprennent: Présentation des groupes à la page 6-2 Affichage des clients d'un groupe à la page 6-2 Ajout de clients aux groupes à la page 6-3 Déplacement de clients à la page 6-3 Ajout de groupes à la page 6-4 Suppression d'ordinateurs et de groupes de la console Web à la page 6-5 Réplication des paramètres de groupe à la page

58 Gestion des groupes Présentation des groupes Dans WFBS-SVC, un groupe est un ensemble d'ordinateurs et de serveurs qui partagent une configuration commune et exécutent des tâches similaires. En regroupant les clients, vous pouvez configurer et gérer simultanément plusieurs agents. Pour une gestion plus simple, regroupez les clients en fonction du service auquel ils appartiennent ou des fonctions qu'ils exécutent. Regroupez également les clients exposés à un risque d'infection plus élevé afin de leur appliquer une configuration plus sécurisée par l'intermédiaire d'un seul paramètre. Affichage des clients d'un groupe Chemin de navigation : Ordinateurs > {groupe} Dans l'onglet Clients, vous pouvez gérer tous les clients sur lesquels vous avez installé l'agent Client/Server Security Agent et personnaliser les paramètres de sécurité des agents. FIGURE 6-1. Onglet Ordinateur affichant les clients d'un groupe L'arborescence du réseau est une liste de groupes logiques de clients qui peut être développée. Les clients s'affichent en fonction de leur groupe dans l'arborescence du réseau. Lorsque vous sélectionnez un groupe sur le côté gauche et cliquez sur Configurer, la console Web affiche une nouvelle zone de configuration. Lorsque vous sélectionnez un groupe dans l'arborescence du réseau sur le côté gauche, la liste des clients du groupe s'affiche à droite. Utilisez les informations de cet écran pour : Vous assurer que les agents utilisent les derniers moteurs Régler les paramètres de sécurité en fonction du nombre d'incidents de virus et de spyware détectés Prendre des mesures spéciales sur les clients dont les comptes sont anormalement élevés Comprendre la condition générale du réseau Vérifier la méthode de scan sélectionnée pour les agents À partir de là, vous pouvez: Configurer les groupes : Consultez la rubrique Configuration des groupes de postes de travail et de serveurs à la page 7-2. Répliquer les paramètres d'un groupe vers un autre : Consultez la rubrique Réplication des paramètres de groupe à la page

59 Gestion des groupes Ajouter des groupes : Consultez la rubrique Ajout de groupes à la page 6-4. Supprimer des groupes : Consultez la rubrique Suppression d'ordinateurs et de groupes de la console Web à la page 6-5. Pour déplacer des client d'un groupe vers un autre : Consultez la rubrique Déplacement de clients à la page 6-3. Ajout de clients aux groupes Worry-Free Business Security Services propose deux méthodes d'installation de l'agent Client/Server Security Agent (CSA). Consultez la rubrique Présentation de l installation d'agent à la page 3-2. Une fois l'agent installé sur votre client, il commence à générer un rapport d'informations relatives à la sécurité pour le serveur WFBS-SVC. Par défaut, le serveur WFBS-SVC fait référence à chaque client en fonction de son nom d'ordinateur. Vous pouvez déplacer des clients d'un groupe vers un autre. Pour ajouter un client à un groupe : 1. Dans l'onglet Ordinateurs, cliquez sur Ajouter > Ajouter des ordinateurs dans la barre d'outils. 2. Mettez à jour les éléments suivants, si nécessaire : Méthode Installation Web : Téléchargement direct et installation immédiate de l'agent. Pour plus d'informations, consultez la rubrique Installation de l'agent - Web à la page 3-2. Options d'installation supplémentaires : Téléchargez le programme d'installation de l'agent, que vous pouvez déployer via une installation traditionnelle ou un script de démarrage Windows. Voir Installation de l'agent - Options supplémentaires à la page 3-6 pour obtenir des informations complémentaires. 3. Au cours de l'installation de l'agent, les ordinateurs sont automatiquement ajoutés au groupe Serveur (par défaut) ou Poste de travail (par défaut). Vous pouvez faire glisser un ordinateur vers un autre groupe. Déplacement de clients Chemin de navigation : Ordinateurs > {groupe} WFBS-SVC vous permet de déplacer des clients d'un groupe vers un autre. FIGURE 6-2. Faites glisser des clients d'un groupe vers un autre. 6-3

60 Gestion des groupes Pour déplacer un client d'un groupe vers un autre : 1. Dans l'écran Paramètres de sécurité, sélectionnez le groupe, puis le client. 2. Faites glisser le client vers un autre groupe. Le client héritera des paramètres du nouveau groupe. Ajout de groupes Chemin de navigation : Ordinateurs > Ajouter > Ajouter des groupes Créez des groupes pour gérer plusieurs clients collectivement. Remarque: les clients doivent être associés à un groupe. Un client ne peut pas résider hors d'un groupe. FIGURE 6-3. Écran Ajouter un groupe Pour ajouter un groupe : 1. À partir de l'écran Ajouter un groupe, mettez à jour les éléments suivants, si nécessaire: Type de groupe : sélectionnez Postes de travail ou Serveurs. Nom du groupe Paramètres : importe des paramètres de sécurité d'un groupe existant. 2. Cliquez sur Enregistrer. 6-4

61 Gestion des groupes Suppression d'ordinateurs et de groupes de la console Web Chemin de navigation : Ordinateurs > {groupe} Vous pouvez utiliser cette option de suppression pour réaliser deux objectifs : Supprimer l'icône du client de la console Web : dans certains cas, un client peut devenir inactif, par exemple lorsque l'ordinateur a été reformaté ou que l'utilisateur désactive l'agent Client/Server Security Agent pour une longue période. Dans ce cas, si vous le souhaitez, vous pouvez supprimer l'icône de l'ordinateur de la console Web. Désinstaller l'agent Client/Server Security Agent d'un client (et, de ce fait, supprimer l'icône du client de la console Web) : Tant que l'agent Client/Server Security Agent est installé sur un ordinateur ou un serveur, ce dernier peut devenir actif et apparaître sur la console Web. Pour supprimer définitivement un client inactif, désinstallez d'abord l'agent Client/Server Security Agent. Vous pouvez supprimer soit un seul ordinateur, soit un groupe de la console Web. AVERTISSEMENT! La suppression de l'agent d'un ordinateur peut exposer ce dernier aux virus et autres logiciels malveillants. Pour supprimer un client ou un groupe : 1. Cliquez sur le groupe ou l'ordinateur que vous souhaitez supprimer. 2. Dans la barre d'outils, cliquez sur Supprimer. 3. Cliquez sur OK. Remarque : s'il reste des clients enregistrés dans le groupe, vous ne pourrez pas supprimer ce dernier. Supprimez ou désinstallez les agents avant de supprimer le groupe. Suppression des agents Client/Server Security Agent inactifs Lorsque vous utilisez le programme de désinstallation de l'agent Client/Server Security Agent sur le client pour supprimer les agents d'un client, ce programme en informe automatiquement le serveur WFBS-SVC. Dès qu'il reçoit cette information, le serveur supprime l'icône du client dans l'arborescence du réseau, indiquant ainsi que le client n'existe plus. Cependant, si l'agent Client/Server Security Agent est supprimé d'une autre façon (reformatage du disque dur de l'ordinateur ou suppression manuelle des fichiers clients, par exemple), le serveur WFBS-SVC n'est pas informé de cette suppression et affiche l'agent Client/Server Security Agent comme étant inactif. Si un utilisateur décharge ou désactive l'agent sur une longue période, le serveur WFBS-SVC affiche également l'agent Client/Server Security Agent comme étant inactif. 6-5

62 Gestion des groupes Réplication des paramètres de groupe Utilisez Répliquer les paramètres pour copier les paramètres d'un groupe de votre réseau à un autre. Ces paramètres s'appliqueront à tous les clients composant le groupe de destination. Chemin de navigation : Ordinateurs > {groupe} > Autre > Répliquer les paramètres FIGURE 6-4. Écran Réplication des paramètres Pour répliquer les paramètres d'un groupe vers un autre : 1. Dans l'onglet Ordinateurs, sélectionnez le groupe source à partir duquel répliquer les paramètres vers d'autres groupes. 2. Cliquez sur Autres > Répliquer les paramètres. 3. Sélectionnez les groupes cibles qui hériteront des paramètres du groupe source. 4. Cliquez sur Enregistrer. 6-6

63 Chapitre 7 Configuration des paramètres de sécurité de groupe Ce chapitre explique comment configurer des paramètres pour protéger votre réseau. Les rubriques de ce chapitre comprennent : Configuration des groupes de postes de travail et de serveurs à la page 7-2 Méthodes de scan à la page 7-2 Antivirus/Anti-spyware à la page 7-3 Pare-feu à la page 7-3 Réputation de sites Web à la page 7-8 Surveillance des comportements à la page 7-10 Barres d'outils TrendSecure à la page 7-14 Scan du courrier à la page 7-15 Privilèges client à la page

64 Configuration des paramètres de sécurité de groupe Configuration des groupes de postes de travail et de serveurs Dans WFBS-SVC, un groupe est un ensemble de clients qui partagent une configuration commune et exécutent des tâches similaires. En regroupant les clients, vous pouvez configurer et gérer simultanément plusieurs clients. Pour plus d informations, voir Présentation des groupes à la page 6-2. Chemin de navigation : Ordinateurs > {groupe} > Configurer Les éléments suivants sont accessibles en sélectionnant un groupe dans l'arborescence du réseau de l'onglet Ordinateurs et en cliquant sur Configurer : TABLEAU 7-1. Options de configuration pour les groupes de postes de travail et de serveurs Option Description Par défaut Mode de scan Scan traditionnel (pour une mise à niveau) Smart Scan (pour une nouvelle installation) Antivirus/anti-spyware Basculer entre Smart Scan et le scan traditionnel Configurer les options de scan en temps réel, d'antivirus et d'anti-spyware Activé (scan en temps réel) Pare-feu Configurer les options de pare-feu Désactivé Réputation de sites Web Surveillance des comportements Barres d'outils TrendSecure Activer/désactiver et sélectionner la valeur Élevé, Moyen ou Faible Configurer les options de surveillance des comportements Activer l'évaluation des réseaux Wi-Fi et les évaluations de pages Activé, Faible Activé Évaluation des réseaux Wi-Fi : Désactivé Évaluation des pages : Désactivé Scan du courrier Configurer le scan des messages POP3 Désactivé Privilèges client Configurer l'accès aux paramètres depuis la console client N/A Remarque : D'autres paramètres de client comme le filtrage de contenu de messagerie instantanée s'appliquent à tous les clients et sont accessibles via le menu Administration > Paramètres généraux. Méthodes de scan Chemin de navigation : Ordinateurs> {Groupe} > Configurer > Méthode de scan WFBS-SVC propose deux méthodes de scan : Smart Scan : le client utilise son propre moteur de scan, mais au lieu de faire appel uniquement à un fichier de signatures local pour identifier les menaces, il s'appuie principalement sur le fichier de signatures du serveur de scan. Scan traditionnel : le client utilise son moteur de scan et son fichier de signatures pour identifier les menaces. Pour plus de détails, consultez le chapitre Méthodes de scan à la page 8-2. AVERTISSEMENT! Les clients configurés pour Smart Scan doivent être en ligne pour pouvoir se connecter au service du serveur de scan. Les clients configurés pour Smart Scan qui sont hors ligne sont vulnérables face aux menaces se trouvant déjà sur l'ordinateur ou à celles provenant de périphériques externes. 7-2

65 Configuration des paramètres de sécurité de groupe Antivirus/Anti-spyware Pour obtenir des informations complètes sur l'antivirus/anti-spyware, consultez le chapitre Gestion des scans à la page 8-1. Pare-feu Chemin de navigation : Ordinateurs > {Groupe} > Configurer > Pare-feu Protégez les clients contre les attaques de pirates et les virus de réseau en créant une barrière entre le client et le réseau. Le pare-feu peut bloquer ou autoriser certains types de trafic réseau. En outre, le pare-feu identifie les signatures dans les paquets réseau qui sont susceptibles d'indiquer une attaque visant les clients. WFBS-SVC propose deux options lors de la configuration du pare-feu : le mode simple et le mode avancé. Le mode simple active le pare-feu avec les paramètres par défaut recommandés par Trend Micro. Le mode avancé permet de personnaliser les paramètres du pare-feu. Conseil : Trend Micro recommande de désinstaller les autres pare-feux logiciels avant de déployer et d activer le pare-feu. Paramètres par défaut du pare-feu en mode simple Le pare-feu fournit des paramètres par défaut que vous pouvez utiliser comme référence pour la mise en place de votre stratégie de protection des clients par pare-feu. Les paramètres par défaut sont conçus pour inclure des conditions habituelles propres aux clients, comme le besoin d'accéder à Internet et de télécharger des fichiers au moyen du protocole FTP. Remarque : Par défaut, WFBS-SVC désactive le pare-feu pour tous les nouveaux groupes et clients. TABLEAU 7-2. Paramètres par défaut du pare-feu Niveau de sécurité Faible Description Trafic entrant et sortant (bidirectionnel) autorisé : seuls les virus de réseau sont bloqués. Paramètres Système de détection d'intrusion Message d'alerte (envoyé) État Désactivé Désactivé Nom de l'exception Action Direction Protocole Port DNS Autoriser Bidirectionnel TCP/UDP 53 NetBIOS Autoriser Bidirectionnel TCP/UDP 137, 138, 139, 445 HTTPS Autoriser Bidirectionnel TCP 443 HTTP Autoriser Bidirectionnel TCP 80 Telnet Autoriser Bidirectionnel TCP 23 SMTP Autoriser Bidirectionnel TCP 25 FTP Autoriser Bidirectionnel TCP 21 POP3 Autoriser Bidirectionnel TCP

66 Configuration des paramètres de sécurité de groupe Filtrage du trafic Le pare-feu surveille l'ensemble du trafic entrant et sortant, permettant ainsi de bloquer certains types de trafic en fonction des critères suivants : Direction (trafic entrant ou sortant) Protocole (TCP/UDP/ICMP) Ports de destination Ordinateur de destination Recherche de virus de réseau Le pare-feu examine chaque paquet de données afin de déterminer s'il est infecté par un virus de réseau. Stateful Inspection (Inspection avec état) Le pare-feu est un pare-feu de type Stateful Inspection (inspection avec état) ; il surveille toutes les connexions au client afin de s'assurer que les transactions sont valides. Il peut identifier les conditions spécifiques de toute transaction, prédire les transactions qui devraient suivre et détecter tout viol des conditions normales. Les décisions de filtrage reposent dès lors non seulement sur les profils et stratégies, mais aussi sur le contexte défini par l'analyse des connexions et par le filtrage des paquets qui sont déjà passés par le pare-feu. Configuration du pare-feu Chemin de navigation : Ordinateurs > {groupe} > Configurer > Pare-feu Le pare-feu est conçu pour protéger les ordinateurs des menaces Internet. Paramètre par défaut de Trend Micro Pare-feu désactivé FIGURE 7-1. Écran Configuration du pare-feu 7-4

67 Configuration des paramètres de sécurité de groupe Pour configurer le pare-feu : 1. À partir de l'écran Pare-feu, mettez à jour les options suivantes, si nécessaire: Activer le pare-feu : sélectionnez cette option pour activer le pare-feu pour le groupe et l'emplacement. Mode simple : activez le pare-feu avec les paramètres par défaut. Trend Micro a conçu le mode simple pour protéger la plupart des petites et moyennes entreprises contre les menaces Internet. Voir Paramètres par défaut du pare-feu en mode simple à la page 7-3. Mode avancé : active le pare-feu avec des paramètres personnalisés. Sélectionnez ce mode lorsque vous voulez configurer les paramètres manuellement. Consultez la section Options de pare-feu avancées à la page 7-5 pour connaître les options de configuration. 2. Cliquez sur Enregistrer. Les modifications prennent immédiatement effet. Options de pare-feu avancées Utilisez les options de pare-feu avancées pour configurer des paramètres de pare-feu personnalisés pour un groupe particulier de clients. Pour configurer les options de pare-feu avancées: 1. À partir de l'écran Pare-feu, sélectionnez Mode avancé. 2. Mettez à jour les options suivantes, comme indiqué: Niveau de sécurité : le niveau de sécurité contrôle les règles de trafic à appliquer pour les ports qui ne figurent pas dans la liste d'exceptions. Élevé : bloque l'ensemble du trafic entrant et sortant, excepté le trafic autorisé dans la liste d'exceptions Moyen : bloque l'ensemble du trafic entrant et autorise l'intégralité du trafic sortant, excepté le trafic autorisé et bloqué dans la liste d'exceptions Faible : autorise l'ensemble du trafic entrant et sortant excepté tout trafic bloqué dans la liste d'exceptions. Il s'agit du paramètre par défaut pour le Mode simple. Paramètres Activer le système de détection d'intrusion : le système de détection d'intrusion identifie les signatures des paquets réseau susceptibles d'indiquer une attaque. Voir Système de détection d'intrusion à la page 7-7 pour obtenir des informations complémentaires. Activer la notification des alertes : lorsque WFBS-SVC détecte une violation, le client en est informé. Exceptions : les ports de la liste d'exceptions ne seront pas bloqués. Voir Gestion des exceptions du pare-feu à la page 7-5 pour obtenir des informations complémentaires. 3. Cliquez sur Enregistrer. Gestion des exceptions du pare-feu Chemin de navigation : Ordinateurs > {groupe} > Configurer > Pare-feu > Mode avancé > Paramètres d'exception Les exceptions sont constituées de paramètres spécifiques qui permettent d'autoriser ou de bloquer les divers types de trafic en fonction de la direction, du protocole, du port et des ordinateurs. Par exemple, pendant une épidémie, vous pouvez choisir de bloquer tout le trafic des clients, y compris le port HTTP (port 80). Cependant, si vous souhaitez accorder l accès Internet aux clients bloqués, vous pouvez ajouter le serveur proxy Web à la liste des exceptions. 7-5

68 Configuration des paramètres de sécurité de groupe Ajout d'exceptions Pour ajouter une exception: 1. À partir de l'écran Pare-feu - Mode avancé de la section Exceptions, cliquez sur Ajouter. 2. Mettez à jour les options, si nécessaire: Nom : spécifiez un nom unique pour l'exception. Action : bloquez ou autorisez le trafic pour le protocole, les ports et les clients sélectionnés. Direction : le trafic entrant est celui qui vient d'internet vers votre réseau. Le trafic sortant est celui qui va de votre réseau vers Internet. Protocole : protocole de trafic réseau pour cette exclusion. Port/plage de ports Tous les ports (par défaut) Plage Ports spécifiés : séparez les entrées individuelles par une virgule. Ordinateur Toutes les adresses IP (par défaut) Adresse IP unique : adresse IP d'un client particulier. Intervalle IP 3. Cliquez sur Enregistrer. L écran Configuration du pare-feu apparaît avec la nouvelle exception ajoutée à la liste des exceptions. Modification des exceptions Pour modifier une exception: 1. À partir de l'écran Pare-feu - Mode avancé de la section Exceptions, sélectionnez l'exclusion à modifier. 2. Cliquez sur Modifier. 3. Mettez à jour les options, si nécessaire. 4. Cliquez sur Enregistrer. Suppression d'exceptions Pour supprimer une exception: 1. À partir de l'écran Pare-feu - Mode avancé de la section Exceptions, sélectionnez l'exclusion à supprimer. 2. Cliquez sur Supprimer. Modification des exceptions du pare-feu Chemin de navigation : Ordinateurs > {groupe} > Configurer > Pare-feu > Mode avancé > Paramètres d'exception {exception} > Modifier La liste des exceptions du pare-feu contient des entrées que vous pouvez configurer de manière à autoriser ou à bloquer divers types de trafic réseau en fonction des numéros de port du client et de la ou des adresses IP. Lors d'une épidémie, le serveur WFBS-SVC applique les exceptions aux stratégies Trend Micro, qui sont automatiquement déployées pour protéger votre réseau. Pour modifier une exception : 1. Depuis l'écran Configuration du pare-feu, sélectionnez les exceptions que vous souhaitez modifier. 2. Cliquez sur Modifier. L'écran Modifier une exception apparaît. 3. Modifiez le nom donné à l'exception. 7-6

69 Configuration des paramètres de sécurité de groupe 4. En regard de Action, cliquez sur l'une des options suivantes : Autoriser le trafic réseau Refuser le trafic réseau 5. En regard de Direction, cliquez sur Entrant ou Sortant pour sélectionner le type de trafic auquel appliquer les paramètres de cette exception. 6. Dans la liste des protocoles, sélectionnez le type de protocole réseau : Tous (par défaut) TCP/UDP TCP UDP ICMP 7. Cliquez sur l'une des options suivantes pour spécifier les ports clients : Tous les ports (par défaut) Ports spécifiés : spécifiez des ports individuels. Utilisez une virgule (,) pour séparer les numéros de port. Plage : saisissez une plage de ports 8. Sous Clients, sélectionnez les adresses IP des clients à inclure dans l'exception. Par exemple, si vous sélectionnez Refuser tout le trafic réseau (Entrant et Sortant) et que vous tapez l'adresse IP d'un ordinateur unique sur le réseau, les clients dont la stratégie contient cette exception ne pourront pas envoyer de données à cette adresse ni en recevoir. Choisissez l'une des options suivantes : Toutes les adresses IP (par défaut) Adresse IP unique : saisissez le nom de l'hôte ou l'adresse IP d'un client. Pour résoudre le nom d'hôte du client en adresse IP, cliquez sur Résoudre. Plage d'adresses IP : tapez une plage d'adresses IP. 9. Cliquez sur Enregistrer. Système de détection d'intrusion Le pare-feu contient aussi un Système de détection d'intrusion (SDI). Un système SDI peut contribuer à identifier des signatures dans les paquets réseau indiquant une attaque visant le client. Le pare-feu contribue à empêcher les intrusions connues suivantes: Fragment surdimensionné : cette faille contient des fragments très volumineux dans le datagramme IP. Certains systèmes d'exploitation ne gèrent pas correctement ces fragments surdimensionnés et peuvent lever des exceptions ou se comporter d'autres façons tout aussi indésirables. Ping of Death : une attaque de type «Ping of Death» (ou POD) implique l'envoi d'une requête ping incorrecte ou malveillante à un ordinateur. Une requête ping fait normalement 64 octets (ou 84 lorsque l'en-tête IP est pris en compte); bon nombre des systèmes informatiques ne peuvent pas gérer une requête ping supérieure à la taille de paquet IP maximale, c'est-à-dire octets. L'envoi d'une requête ping de cette taille peut faire planter l'ordinateur cible. ARP conflictuel : ce problème survient lorsque les adresses IP de provenance et de destination sont les mêmes. SYN flood : une attaque de type «SYN flood» est une forme d'attaque de refus de service dans laquelle un assaillant envoie une succession de requêtes SYN vers le système cible. Fragment de chevauchement : cette exploitation contient deux fragments dans le même datagramme IP et présente des décalages indiquant qu'ils se chevauchent au sein du datagramme. Ainsi, le fragment A est peut-être complètement remplacé par le fragment B ou le fragment A est peut-être partiellement remplacé par le fragment B. Certains systèmes d'exploitation ne gèrent pas correctement les fragments qui se chevauchent et peuvent lever des exceptions ou se comporter d'autres façons tout aussi indésirables. Cette méthode sert de base aux attaques de refus de service connues sous le nom de Teardrop. 7-7

70 Configuration des paramètres de sécurité de groupe Attaque Teardrop : l'attaque Teardrop implique l'envoi de fragments IP avec des charges surdimensionnées qui se chevauchent à l'ordinateur cible. Un bogue au niveau du code de réassemblage de la fragmentation TCP/IP de divers systèmes d'exploitation a empêché une gestion correcte des fragments et les a fait planter. Attaque par fragment minuscule : lorsqu'un fragment autre que le fragment final est inférieur à 400 octets, cela indique que le fragment a probablement été intentionnellement créé. De petits fragments peuvent être utilisés dans des attaques de refus de service ou dans une tentative de contournement des mesures de sécurité ou de la détection. IGMP fragmenté : Lorsqu'un client reçoit un paquet IGPM (Internet Group Management Protocol) fragmenté, ses performances peuvent en être affectées ou l'ordinateur peut cesser de répondre (se bloquer) et nécessiter un redémarrage. Attaque terrestre : une attaque LAND est une attaque de refus de service impliquant l'envoi d'un paquet falsifié incohérent à un ordinateur pour que ce dernier se comporte de façon indésirable. L'attaque implique l'envoi d'un paquet SYN TCP falsifié (initialisation de la connexion) avec l'adresse IP de l'hôte cible et un port ouvert en tant que source et destination. Désactivation du pare-feu Chemin de navigation : Ordinateurs > {groupe} > Configurer > Pare-feu Pour désactiver le pare-feu : 1. Pour désactiver le pare-feu au niveau du groupe et du type de connexion, désactivez la case Activer le pare-feu. 2. Cliquez sur Enregistrer. Réputation de sites Web Chemin de navigation : Ordinateurs > {groupe} > Configurer > Réputation de sites Web La fonction de réputation des sites Web améliore la protection contre les sites Web malveillants. La réputation des sites Web utilise la base de données de sécurité Web étendue de Trend Micro pour vérifier la réputation des URL HTTP auxquelles les clients tentent d'accéder ou des URL incorporées dans des messages électroniques menant à des sites Web. Si la réputation des sites Web bloque un URL que vous pensez sûr, ajoutez-le à la liste des URL approuvés. La définition d'url approuvées n'est possible que de manière globale. Pour plus d'informations sur l'ajout d'une URL à la liste des URL approuvées, consultez la rubrique URL approuvées à la page La fonction de réputation des sites Web évalue le risque que présente une URL demandée pour la sécurité. Pour ce faire, elle interroge la base de données de sécurité Web de Trend Micro lors de chaque requête HTTP. En fonction du niveau de sécurité défini, l'accès aux sites Web dont on sait ou dont on suspecte qu'ils représentent une menace Web ou qui ne sont pas évalués dans la base de données de réputation peut être bloqué. La fonction de réputation des sites Web envoie une notification par à l'administrateur et une notification en ligne à l'utilisateur concernant les détections. Score de réputation Le «score de réputation» d'un URL détermine s'il s'agit d'une menace Internet ou non. Trend Micro calcule le score à l'aide de mesures propriétaires. Trend Micro considère un URL comme étant une «menace Internet», «très vraisemblablement une menace Internet» ou «vraisemblablement une menace Internet» si le score atteint se situe dans la plage définie pour l'une de ces trois catégories. Trend Micro considère l'accès à un URL sécurisé si son score dépasse un seuil déterminé. 7-8

71 Configuration des paramètres de sécurité de groupe Trois niveaux de sécurité déterminent si CSA autorisera ou bloquera l'accès à une URL. Élevé : Bloque les pages qui sont : Des pages frauduleuses ou des sources de menaces avérées Des pages frauduleuses ou des sources de menaces présumées Associées à des spams ou potentiellement compromises Moyen : Bloque les pages qui sont : Des pages frauduleuses ou des sources de menaces avérées Des pages frauduleuses ou des sources de menaces présumées Faible : Bloque les pages qui sont des pages frauduleuses ou des sources de menaces avérées FIGURE 7-2. Configuration de la réputation des sites Web Pour modifier les paramètres de réputation des sites Web : 1. À partir de l'écran Réputation des sites Web, mettez à jour les éléments suivants, comme indiqué: Activer la réputation des sites Web Niveau de sécurité Élevé : bloque les pages qui sont des pages frauduleuses ou des sources de menaces avérées ou présumées, les pages associées à des spams ou les pages non classifiées éventuellement compromises. Moyen : bloque les pages qui sont des pages frauduleuses ou des sources de menaces avérées ou présumées. Faible : Bloque les pages qui sont des pages frauduleuses ou des sources de menaces avérées 2. Pour modifier la liste des sites Web approuvés, cliquez sur URL générales approuvées et changez les paramètres dans l'écran Paramètres généraux. 3. Cliquez sur Enregistrer. 7-9

72 Configuration des paramètres de sécurité de groupe Surveillance des comportements Les agents surveillent constamment les clients pour détecter d'éventuelles modifications inhabituelles apportées au système d'exploitation ou aux logiciels installés. Les administrateurs (ou utilisateurs) peuvent créer des listes d'exceptions pour permettre à certains programmes de démarrer alors qu'ils enfreignent une modification surveillée ou pour bloquer totalement des programmes spécifiques. De plus, les programmes dotés d'une signature numérique valide sont toujours autorisés à démarrer. Pour connaître la description et la valeur par défaut des modifications surveillées, consultez le tableau suivant. TABLEAU 7-3. Modifications possibles surveillées Modification surveillée Description Valeur par défaut Fichier système dupliqué Modification du fichier d'hôtes Modification de fichiers système Nouveau plug-in Internet Explorer Modification des paramètres d'internet Explorer Modification de la stratégie de sécurité Modification de la stratégie de pare-feu Injection de la bibliothèque de programmes De nombreux programmes malveillants créent des copies d'eux-mêmes ou d'autres programmes malveillants à l'aide de noms de fichiers utilisés par les fichiers système Windows. Cette opération vise généralement à remplacer les fichiers système, à éviter la détection ou à décourager les utilisateurs de supprimer les fichiers malveillants. Le fichier d'hôtes fait correspondre les noms de domaines aux adresses IP. De nombreux programmes malveillants modifient le fichier d'hôtes pour que le navigateur Web soit redirigé vers des sites Web infectés, inexistants ou fictifs. Certains fichiers système Windows déterminent le comportement du système, notamment les programmes de démarrage et les paramètres d'écran de veille. De nombreux programmes malveillants modifient les fichiers système pour se lancer automatiquement au démarrage et contrôler le comportement du système. Les spywares/graywares installent souvent des plug-ins Internet Explorer indésirables tels que des barres d'outils et des Browser Helper Objects. De nombreux virus/programmes malveillants modifient les paramètres d'internet Explorer, notamment la page d'accueil, les sites Web approuvés, les paramètres du serveur proxy et les extensions de menu. Les modifications de la stratégie de sécurité Windows peuvent permettre à des applications indésirables de s'exécuter ou de modifier les paramètres système. La stratégie de pare-feu Windows détermine quelles applications ont accès au réseau, quels ports sont ouverts à la communication et quelles adresses IP peuvent communiquer avec l'ordinateur. De nombreux programmes malveillants modifient cette stratégie pour pouvoir accéder au réseau et à Internet. De nombreux programmes malveillants configurent Windows pour que toutes les applications chargent automatiquement une bibliothèque de programmes (DLL). Les routines malveillantes de la DLL peuvent ainsi s'exécuter à chaque fois qu'une application démarre. Demander si nécessaire Toujours bloquer Toujours bloquer Demander si nécessaire Toujours bloquer Toujours bloquer Demander si nécessaire Demander si nécessaire 7-10

73 Configuration des paramètres de sécurité de groupe TABLEAU 7-3. Modifications possibles surveillées Modification surveillée Description Valeur par défaut Modification du shell Nouveau service Nouveau programme de démarrage De nombreux programmes malveillants modifient les paramètres du shell Windows pour les associer à certains types de fichiers. Cette routine leur permet de se lancer automatiquement si les utilisateurs ouvrent les fichiers associés dans l'explorateur Windows. Les modifications apportées aux paramètres du shell Windows peuvent également permettre aux programmes malveillants de suivre les programmes utilisés et de démarrer à côté des applications légitimes. Les services Windows sont des processus dotés de fonctions spéciales qui s'exécutent généralement en continu à l'arrière plan, avec un accès administratif total. Les programmes malveillants s'installent parfois sous forme de services pour rester cachés. De nombreux programmes malveillants configurent Windows pour que toutes les applications chargent automatiquement une bibliothèque de programmes (DLL). Les routines malveillantes de la DLL peuvent ainsi s'exécuter à chaque fois qu'une application démarre. Demander si nécessaire Demander si nécessaire Demander si nécessaire Une autre fonction de la surveillance des comportements vise à protéger les fichiers EXE et DLL des suppressions ou modifications. Les utilisateurs disposant de ce privilège peuvent protéger des dossiers particuliers. De plus, les utilisateurs peuvent choisir de protéger collectivement tous les programmes Intuit QuickBooks. 7-11

74 Configuration des paramètres de sécurité de groupe Configuration de la surveillance des comportements Chemin de navigation : Ordinateurs > {groupe} > Configurer > Surveillance des comportements La surveillance des comportements protège les clients contre les modifications non autorisées qui pourraient être apportées au système d'exploitation, aux entrées de Registre, aux autres logiciels ou aux fichiers et aux dossiers. FIGURE 7-3. Écran Surveillance des comportements 7-12

75 Configuration des paramètres de sécurité de groupe Pour modifier les paramètres de la surveillance des comportements : 1. À partir de l'écran Surveillance des comportements, mettez à jour les éléments suivants, si nécessaire: Activer la surveillance des comportements Activer la protection Intuit QuickBooks : cette fonctionnalité protège tous les fichiers et dossiers QuickBooks pour empêcher les modifications non autorisées par d'autres programmes. L'activation de cette fonction n'affecte pas les modifications apportées depuis les programmes Intuit QuickBooks, mais seulement les modifications apportées aux fichiers par d'autres applications non autorisées. Les produits suivants sont pris en charge: QuickBooks Simple Start QuickBooks Pro QuickBooks Premier QuickBooks Online Modifications possibles surveillées : sélectionnez Toujours autoriser, Demander si nécessaire ou Toujours bloquer pour chaque modification surveillée. Pour plus d'informations sur les différentes modifications, voir Tableau7-3 à la page7-10. Exceptions : les exceptions incluent une liste de programmes approuvés et une liste de programmes bloqués. Les programmes de la liste de programmes approuvés peuvent être démarrés même s'ils enfreignent une modification surveillée, alors que les programmes de la liste de programmes bloqués ne peuvent jamais être démarrés. Chemin complet du programme : tapez le chemin complet du programme. Séparez les entrées multiples par un point-virgule. Cliquez sur Ajouter à la liste de programmes approuvés ou Ajouter à la liste de programmes bloqués. Liste de programmes approuvés : les programmes de cette liste (100 au maximum) peuvent être démarrés. Cliquez sur l'icône correspondante pour supprimer une entrée. Liste de programmes bloqués : les programmes de cette liste (100 au maximum) ne peuvent jamais être démarrés. Cliquez sur l'icône correspondante pour supprimer une entrée. 2. Cliquez sur Enregistrer. Affichage des ordinateurs enfreignant les stratégies de surveillance des comportements Chemin de navigation : État actuel > Surveillance des comportements > {nombre d'incidents} Les informations affichées sur l'écran Cas de violation de stratégie détectés sont générées ou mises à jour dès qu'un ordinateur enfreint une stratégie de surveillance des comportements. Cliquez sur Réinitialiser pour effacer tous les enregistrements précédents. La prochaine fois qu'une URL sera bloquée, elle apparaîtra sur cet écran. Nom de l ordinateur : Nom de l'ordinateur tentant d'enfreindre une stratégie. Cliquez sur le nom pour afficher une liste du moment de violation, du programme enfreignant la stratégie, du programme affecté et de l'action déclenchée contre le programme de violation. Nombre de détections : Nombre de violations. 7-13

76 Configuration des paramètres de sécurité de groupe Barres d'outils TrendSecure TrendSecure comprend un ensemble d'outils basés sur navigateur (TrendProtect et Transaction Protector) permettant aux utilisateurs de surfer sur le Web en toute sécurité. TrendProtect avertit les utilisateurs des sites Web de phishing et malveillants. Transaction Protector détermine la sécurité de vos connexions sans fil en vérifiant l'authenticité du point d'accès. TrendSecure ajoute une barre d'outils de navigateur qui change de couleur en fonction de la sécurité de votre connexion sans fil. Vous pouvez également cliquer sur le bouton de la barre d'outils pour accéder aux fonctions suivantes: Évaluation des réseaux Wi-Fi : vérifie la sécurité des réseaux sans fil en fonction de la validité de leur SSID, de leurs méthodes d'authentification et de leurs conditions de chiffrement. Évaluation des pages : détermine la sécurité de la page en cours. Chemin de navigation : Ordinateurs > {groupe} > Configurer > Barres d'outils TrendSecure FIGURE 7-4. Barres d'outils TrendSecure - Écran Au bureau Pour configurer la disponibilité des outils TrendSecure : 1. Dans l'écran Barres d'outils TrendSecure, mettez à jour les éléments suivants, si nécessaire : Activer l'évaluation des réseaux Wi-Fi : vérifie la sécurité des réseaux sans fil en fonction de la validité de leur SSID, de leurs méthodes d'authentification et de leurs conditions de chiffrement. Activer les évaluations de pages Web : détermine la sécurité de la page en cours. 2. Cliquez sur Enregistrer. Remarque : les barres d'outils TrendSecure ne peuvent être mises à la disposition des agents qu'à partir de la console Web. Les utilisateurs doivent installer ou désinstaller les outils à partir de la console de l'agent. 7-14

77 Configuration des paramètres de sécurité de groupe Scan du courrier Le plug-in de scan du courrier POP3 protège en temps réel les clients contre les risques pour la sécurité et les spams transmis via les messages POP3. Configuration requise pour le scan du courrier POP3 Le scan du courrier POP3 prend en charge les clients de messagerie suivants : Microsoft Outlook 2000, 2002 (XP), 2003 et 2007 Outlook Express 6.0 avec Service Pack 2 (Windows XP uniquement) Windows Mail (Microsoft Vista uniquement) Mozilla Thunderbird 1.5 et 2.0 Chemin de navigation : Ordinateurs > {groupe} > Configurer > Scan du courrier Remarque : Par défaut, le scan du courrier POP3 scanne uniquement les nouveaux messages envoyés via le port 110 dans les dossiers de la boîte de réception et du courrier indésirable. Il ne prend pas en charge le protocole POP3 sécurisé (SSL-POP3), qui est utilisé par défaut par Exchange Server Pour modifier la disponibilité du scan de la messagerie: 1. Dans l'écran Scan du courrier, mettez à jour les éléments suivants, si nécessaire : Activer le scan en temps réel du courrier POP3 Activer la barre d'outils Trend Micro Anti-Spam 2. Cliquez sur Enregistrer. Privilèges client Chemin de navigation : Ordinateurs > {groupe} > Configurer > Privilèges client Accordez des privilèges client pour autoriser les utilisateurs à modifier les paramètres de l'agent installé sur leur ordinateur. Conseil : toutefois, pour réguler la stratégie de sécurité dans votre entreprise, Trend Micro vous recommande d'accorder aux utilisateurs des privilèges limités. Cela empêche les utilisateurs de modifier les paramètres ou de décharger l'agent Client/Server Security Agent. 7-15

78 Configuration des paramètres de sécurité de groupe FIGURE 7-5. Écran Privilèges client Pour accorder des privilèges aux clients : 1. À partir de l'écran Privilèges client, mettez à jour les éléments suivants, si nécessaire: Antivirus/anti-spyware Paramètres de scan manuel Paramètres de scan programmé Paramètres de scan en temps réel Arrêter le scan programmé Pare-feu Afficher l'onglet Pare-feu Autoriser les clients à activer/désactiver le pare-feu Remarque : si vous autorisez les utilisateurs à activer ou à désactiver le pare-feu, vous ne pouvez pas modifier ces paramètres depuis la console Web. Si vous n'accordez pas ce privilège aux utilisateurs, vous pouvez modifier ces paramètres depuis la console Web. Les informations contenues dans la section Paramètres locaux du pare-feu de l'agent reflètent toujours les paramètres configurés à partir de l'agent, et non de la console Web. Réputation de sites Web Modifier la liste des URL approuvées 7-16

79 Configuration des paramètres de sécurité de groupe Surveillance des comportements Afficher l'onglet Surveillance des comportements et autoriser les utilisateurs à personnaliser les listes : Permettre aux utilisateurs d'activer/de désactiver la surveillance des comportements et de configurer la liste d'exceptions et la liste de protection des logiciels. Scan du courrier Autoriser les utilisateurs à configurer le scan en temps réel du courrier POP3 Paramètres de mise à jour Désactiver la mise à jour du programme et le déploiement du correctif de type hotfix Niveau de sécurité du client Élevé : empêche l'accès aux dossiers, fichiers et entrées de Registre de l'agent. Normal : fournit l'accès en lecture/écriture aux dossiers, fichiers de l'agent et aux entrées de Registre. Remarque : Si vous sélectionnez Élevé, les paramètres d'autorisation d'accès des dossiers, des fichiers et des entrées de Registre de l'agent sont hérités du dossier Program Files (pour les clients sous Windows Vista/2000/XP/Server 2003). Par conséquent, si les paramètres d'autorisation (paramètres de sécurité dans Windows) du fichier Windows ou du dossier Program Files sont définis pour autoriser l'accès complet en lecture/écriture, la sélection de la valeur Élevé permet toujours aux clients d'accéder en lecture/écriture aux dossiers, aux fichiers et aux entrées de Registre de l'agent Client/Server Security Agent. 2. Cliquez sur Enregistrer. 7-17

80 Configuration des paramètres de sécurité de groupe 7-18

81 Chapitre 8 Gestion des scans Ce chapitre explique comment utiliser les différents types de scan pour protéger votre réseau et vos clients contre les virus/programmes malveillants et autres menaces. Les rubriques de ce chapitre comprennent: À propos du scan à la page 8-2 Méthodes de scan à la page 8-2 Types de scan à la page 8-2 Configuration du scan en temps réel à la page 8-3 Activation du scan en temps réel à la page 8-5 Scans programmés à la page 8-6 Scans manuels à la page 8-7 Configuration des scans manuels et programmés à la page 8-8 Modification de la liste des spywares/graywares approuvés à la page 8-10 Exclusion de fichiers et de dossiers des actions de scan à la page 8-11 Affichage des échecs d'actions sur les postes de travail et les serveurs à la page 8-12 Incidents nécessitant le redémarrage de l'ordinateur à la page

82 Gestion des scans À propos du scan WFBS-SVC propose deux méthodes de scan et trois types de scan pour protéger vos clients contre les menaces Internet : Smart Scan Scan traditionnel Scan manuel Scan programmé Scan en temps réel: Chaque scan a un but et une fonction qui lui sont propres, mais tous sont configurés de façon similaire. Méthodes de scan Chemin de navigation : Ordinateurs > {Groupe} > Configurer > Méthode de scan Les méthodes de scan sont les suivantes : Smart Scan : le client utilise son propre moteur de scan, mais au lieu de faire appel uniquement à un fichier de signatures local pour identifier les menaces, il s'appuie principalement sur le fichier de signatures du serveur de scan. Scan traditionnel : le client utilise son moteur de scan et son fichier de signatures pour identifier les menaces. AVERTISSEMENT! Les clients configurés pour Smart Scan doivent être en ligne pour pouvoir se connecter au service du serveur de scan. Les clients configurés pour Smart Scan qui sont hors ligne sont vulnérables face aux menaces se trouvant déjà sur l'ordinateur ou à celles provenant de périphériques externes. Si les scans ralentissent les ordinateurs clients, envisagez de passer à Smart Scan. Par défaut, Smart Scan est activé. Vous pouvez désactiver Smart Scan pour des groupes de clients en sélectionnant Ordinateurs > {Groupe} > Configurer > Méthode de scan. Cliquez sur Smart Scan ou sur Scan traditionnel. Types de scan Durant un scan, le moteur de scan de Trend Micro s'associe au fichier de signatures des virus afin de réaliser le premier niveau de détection en utilisant un processus appelé correspondance de signature. Comme chaque virus contient une signature ou chaîne de caractères révélatrice unique le distinguant de tous les autres codes, les experts des TrendLabs capturent des parties inertes de ce code dans le fichier de signatures. Le moteur compare alors certaines parties de chaque fichier scanné aux signatures qui se trouvent dans le fichier de signatures, afin de rechercher les correspondances. Lorsque le moteur de scan détecte un fichier contenant un virus ou un programme malveillant, il exécute une action telle que nettoyer, mettre en quarantaine, supprimer ou remplacer par un texte/fichier. Vous pouvez personnaliser ces actions lorsque vous définissez vos tâches de scan. WFBS-SVC propose trois types de scan pour protéger les clients contre les menaces Internet : Scan en temps réel : le scan en temps réel s effectue en continu. Chaque fois qu'un fichier est reçu, ouvert, téléchargé, copié ou modifié, le scan en temps réel s'exécute pour détecter les menaces éventuelles. 8-2

83 Gestion des scans Scan manuel : le scan manuel est un scan à la demande. Ce scan éradique également d'anciennes infections éventuellement latentes dans les fichiers afin de limiter les risques de réinfection. Durant un scan manuel, les agents prennent des mesures contre les menaces d'après les actions définies par l'administrateur (ou l'utilisateur). Pour arrêter le scan, tandis qu'il est en cours d'exécution, cliquez sur Arrêter le scan. Remarque : Le temps nécessaire à l'exécution complète du scan dépend des ressources matérielles du client et du nombre de fichiers à scanner. Scan programmé : Un scan programmé est similaire au scan manuel, à la différence près qu'il scanne tous les fichiers à l'heure et à la fréquence configurées. Utilisez les scans programmés pour automatiser les scans de routine de vos clients et améliorer l'efficacité de la gestion des menaces. Pour configurer un scan programmé, cliquez sur Scans > Scan programmé. Voir Scans programmés à la page 8-6 pour obtenir des informations complémentaires. Remarque : Ne confondez pas les types de scan ci-dessus avec le mode de scan. Le mode de scan fait référence à Smart Scan et au scan traditionnel (Méthodes de scan à la page 8-2). Configuration du scan en temps réel Chemin de navigation : Ordinateurs > {groupe} > Configurer > Antivirus/Anti-spyware FIGURE 8-1. Écran Ordinateurs > {groupe} > Configurer > Antivirus/Anti-spyware 8-3

84 Gestion des scans Pour configurer le scan en temps réel : 1. Sous l'onglet Cible de l'écran Antivirus/Anti-spyware, mettez à jour les éléments suivants tel qu'indiqué: Activer le scan antivirus/anti-spyware en temps réel Sélectionnez une méthode : Tous les fichiers scannables : seuls les fichiers protégés par mot de passe ou chiffrés sont exclus. IntelliScan : Scanne les fichiers d'après le véritable type de fichier. Voir Trend Micro IntelliScan à la page B-2 pour obtenir des informations complémentaires. Scanner les fichiers dotés des extensions suivantes : WFBS-SVC scanne les fichiers dotés des extensions sélectionnées. Séparez les entrées multiples par une virgule (,). Sélectionnez une condition : Scanner les fichiers en cours de création, modification ou récupération Scanner les fichiers en cours de récupération Scanner les fichiers en cours de création ou de modification Exclusions : exclut du scan les fichiers ou dossiers présentant certaines extensions. Activer les exclusions Ne pas scanner les répertoires suivants : Tapez le nom du dossier à exclure du scan. Cliquez sur Ajouter. Pour supprimer un dossier, sélectionnez-le et cliquez sur Supprimer. Ne pas scanner les répertoires d'installation des produits Trend Micro Ne pas scanner les fichiers suivants : Tapez le nom du fichier à exclure du scan. Cliquez sur Ajouter. Pour supprimer un fichier, sélectionnez-le et cliquez sur Supprimer. Scanner les fichiers dotés des extensions suivantes : Tapez le nom de l'extension à exclure du scan. Cliquez sur Ajouter. Pour supprimer une extension, sélectionnez-la et cliquez sur Supprimer. Remarque : Si Microsoft Exchange Server est exécuté sur le client, Trend Micro vous recommande d'exclure du scan tous les dossiers Microsoft Exchange Server. Pour exclure le scan des dossiers de serveur Microsoft Exchange de façon globale, accédez à Administration > Paramètres généraux > Paramètres de scan généraux et sélectionnez l option Exclure les dossiers de serveur Microsoft Exchange lors d une installation sur serveur Microsoft Exchange. Paramètres avancés Activer IntelliTrap (pour l'antivirus) : IntelliTrap détecte les codes malicieux tels que les zombies dans les fichiers compressés. Voir Trend Micro IntelliTrap à la page B-3 pour obtenir des informations complémentaires. Scanner les lecteurs mappés et dossiers partagés sur le réseau (pour l'antivirus) Scanner le lecteur de disquette pendant l'arrêt du système (pour l'antivirus) Scanner les couches de fichiers compressés (pour l'antivirus) : sélectionnez le nombre de couches à scanner. Liste des spywares/graywares approuvés (pour l'anti-spyware) : cette liste contient les détails des applications de spywares/graywares approuvées. Cliquez sur le lien pour mettre la liste à jour. Voir Modification de la liste des spywares/graywares approuvés à la page 8-10 pour obtenir des informations complémentaires. 8-4

85 Gestion des scans 2. Sous l'onglet Action de l'écran Antivirus/Anti-spyware, indiquez comment WFBS-SVC doit gérer les menaces détectées: Pour les détections de virus ActiveAction : Utilisez les actions préconfigurées de Trend Micro pour les menaces. Voir Trend Micro ActiveAction à la page B-2 pour obtenir des informations complémentaires. Exécuter la même action pour toutes les menaces Internet détectées : choisissez Ignorer, Supprimer, Renommer, Quarantaine ou Nettoyer. Si vous sélectionnez Nettoyer, définissez l'action pour une menace non nettoyable. Action personnalisée pour les menaces détectées suivantes : choisissez Ignorer, Supprimer, Renommer, Quarantaine ou Nettoyer pour chaque type de menace. Si vous sélectionnez Nettoyer, définissez l'action pour une menace non nettoyable. Sauvegarder le fichier détecté avant le nettoyage : enregistre une copie chiffrée du fichier infecté dans le répertoire suivant du client : C:\Program Files\Trend Micro\ Client Server Security Agent\Backup Pour les détections de spywares/graywares Nettoyer : lorsqu'il nettoie des spywares/graywares, WFBS-SVC peut supprimer des entrées de Registre, fichiers, cookies et raccourcis associés. Les processus connexes des spywares/graywares peuvent également être arrêtés. Refuser l'accès AVERTISSEMENT! Refuser l'accès des spywares/graywares au client ne permet pas de supprimer le spyware/grayware des clients infectés. Paramètres avancés Afficher un message d'alerte sur le poste de travail ou le serveur lorsqu'un virus/spyware est détecté 3. Cliquez sur Enregistrer. De plus, configurez les destinataires des notifications lorsqu'un événement se produit. Voir Configuration des seuils d'alerte à la page Activation du scan en temps réel Par défaut, le scan en temps réel est activé à la fois pour l'antivirus et l'anti-spyware. AVERTISSEMENT! En désactivant le scan en temps réel, vos postes de travail et serveurs deviennent vulnérables aux fichiers infectés. Pour activer le scan en temps réel sur le client : 1. Cliquez sur Ordinateurs > {groupe} > Configurer. 2. Cliquez sur Antivirus/Anti-spywares. 3. Cliquez sur Activer le scan antivirus/anti-spyware en temps réel. Le serveur WFBS-SVC envoie une notification à l'agent Client/Server Security Agent afin d'activer le scan en temps réel. Remarque : Le scan anti-spyware en temps réel dépend du scan antivirus en temps réel. Vous ne pouvez donc pas activer uniquement le scan anti-spyware en temps réel. 8-5

86 Gestion des scans Scans programmés Chemin de navigation : Scans > Scan programmé Programmez des scans pour rechercher périodiquement les menaces sur les clients. Conseil : Si vous lancez un scan manuel durant l'exécution d'un scan programmé, celui-ci est abandonné mais son exécution reprend conformément à son calendrier de programmation. Remarque : Pour désactiver le scan programmé, désélectionnez la case en regard du nom du groupe et cliquez sur Enregistrer. FIGURE 8-2. Écran Scan programmé Tous les groupes de l'arborescence du réseau sous l'onglet Ordinateurs sont répertoriés sur cette page. Pour programmer un scan: 1. Avant de programmer un scan, configurez ses paramètres. Voir Configuration des scans manuels et programmés à la page 8-8 pour obtenir des informations complémentaires. 2. Dans l'onglet Scan programmé, mettez à jour les options suivantes pour chaque groupe en fonction des besoins : Daily : le scan programmé s'exécute chaque jour à l'heure de début indiquée. Hebdomadaire, tous les : le scan programmé s'exécute une fois par semaine, le jour indiqué et à l'heure de début définie. Mensuelle, le : le scan programmé s'exécute une fois par mois, le jour indiqué et à l'heure de début définie. 8-6

87 Gestion des scans AVERTISSEMENT! Si vous sélectionnez le 31 alors que le mois n'a que 30 jours, WFBS-SVC n'effectuera pas de scan ce mois-là. Heure de début : heure à laquelle le scan programmé doit commencer. 3. Cliquez sur Enregistrer. De plus, configurez les destinataires des notifications lorsqu'un événement se produit. Voir Configuration des seuils d'alerte à la page Conseil : Trend Micro recommande de programmer des scans à intervalles réguliers pour une protection optimale. Scans manuels Chemin de navigation : Scans > Scan manuel L'écran Scan manuel répertorie tous les groupes d'ordinateurs. Si vous cliquez sur un nom de groupe, vous accédez à un nouvel écran qui vous permet de configurer le scan. Le scan manuel s'applique à tous les groupes spécifiés. Pour exécuter un scan manuel, sélectionnez les groupes à scanner et les éléments à rechercher. Cliquez sur Scan immédiat pour lancer un scan et sur Arrêter le scan pour mettre fin à un scan manuel. Client/Server Security Agent utilise les paramètres recommandés par Trend Micro pour rechercher les virus et autres programmes malveillants. Lorsqu'il détecte une menace pour la sécurité, il entreprend automatiquement une action contre cette menace en respectant les paramètres, puis il journalise l'action. Vous pouvez visualiser les résultats sur l'écran État actuel ou en générant des rapports ou des requêtes de journal. Pour exécuter un scan manuel : 1. Cliquez sur Scans > Scan manuel. 2. Configurez les paramètres voulus en cliquant sur le nom du groupe (voir Configuration des scans manuels et programmés à la page 8-8). 3. Sélectionnez un groupe ou plusieurs groupes à scanner. 4. Cliquez sur Scan immédiat. L écran Progression de la notification de scan apparaît. Lorsque le scan est terminé, l'écran Résultats de la notification de scan s'affiche. 8-7

88 Gestion des scans Configuration des scans manuels et programmés La configuration des options de scan implique la définition de la cible (fichiers à scanner) et de l'action (mesure à prendre contre les menaces détectées). Chemin de navigation : Scans > Scan manuel OU Scan programmé > {groupe} Les scans programmés pour les agents Client/Server Security Agent sont désactivés par défaut. Si vous activez les scans programmés, Trend Micro vous recommande de définir leur exécution au cours d'une période creuse pour les clients. Définissez d'abord les fichiers cibles à scanner (onglet Cible), y compris les paramètres facultatifs, puis les actions (onglet Action) que Client/Server Security Agent (CSA) doit effectuer contre les menaces détectées. FIGURE 8-3. Options de scan 8-8

89 Gestion des scans Pour configurer les options de scan : 1. Dans l'onglet Cible, mettez à jour les éléments suivants, si nécessaire : Fichiers à scanner Tous les fichiers scannables : seuls les fichiers protégés par mot de passe ou chiffrés sont exclus. IntelliScan : Scanne les fichiers d'après le véritable type de fichier. Voir Trend Micro IntelliScan à la page B-2 pour obtenir des informations complémentaires. Scanner les fichiers dotés des extensions suivantes : WFBS-SVC scanne les fichiers dotés des extensions sélectionnées. Séparez les entrées multiples par une virgule (,). Scanner les lecteurs mappés et les dossiers partagés sur le réseau Scanner les couches de fichier compressé jusqu'à : Le fichier ne sera pas scanné si le nombre de couches dépasse la valeur indiquée. Exclusions : exclut du scan les fichiers ou dossiers présentant certaines extensions. Activer les exclusions Ne pas scanner les répertoires d'installation des produits Trend Micro Exclusions de dossiers : Tapez le nom du dossier à exclure du scan. Cliquez sur Ajouter. Pour supprimer un dossier, sélectionnez-le et cliquez sur Supprimer. Exclusions de fichiers : Tapez le nom du fichier à exclure du scan. Cliquez sur Ajouter. Pour supprimer un fichier, sélectionnez-le et cliquez sur Supprimer. Exclusions d'extensions : Tapez le nom de l'extension à exclure du scan. Cliquez sur Ajouter. Pour supprimer une extension, sélectionnez-la et cliquez sur Supprimer. Paramètres avancés Activer IntelliTrap (pour l'antivirus) : IntelliTrap détecte les codes malicieux tels que les zombies dans les fichiers compressés. Voir Trend Micro IntelliTrap à la page B-3 pour obtenir des informations complémentaires. Scanner la zone d'amorçage Modifier la liste des spywares/graywares approuvés (pour l'anti-spyware) : cette liste contient les détails des applications de spywares/graywares approuvées. Cliquez sur le lien pour mettre la liste à jour. Voir Modification de la liste des spywares/graywares approuvés à la page 8-10 pour obtenir des informations complémentaires. 2. Dans l'onglet Action, indiquez comment WFBS-SVC doit gérer l'utilisation de l'uc et les menaces détectées : Utilisation de la CPU : choisissez la valeur Élevé, Moyen ou Faible. Le paramètre par défaut est «Élevée» afin de raccourcir la durée du scan. Pour les détections de virus ActiveAction : Utilisez les actions préconfigurées de Trend Micro pour les menaces. Voir Trend Micro ActiveAction à la page B-2 pour obtenir des informations complémentaires. Exécuter la même action pour toutes les menaces Internet détectées : choisissez Ignorer, Supprimer, Renommer, Quarantaine ou Nettoyer. Si vous sélectionnez Nettoyer, définissez l'action pour une menace non nettoyable. Action personnalisée pour les menaces détectées suivantes : choisissez Ignorer, Supprimer, Renommer, Quarantaine ou Nettoyer pour chaque type de menace. Si vous sélectionnez Nettoyer, définissez l'action pour une menace non nettoyable. Quarantaine est l'action par défaut pour les canulars, les vers/chevaux de Troie et les programmes malveillants compressés. Nettoyer est l'action par défaut pour les virus et les autres menaces. Ignorer est l'action par défaut pour les virus de test. 8-9

90 Gestion des scans Sauvegarder le fichier détecté avant le nettoyage : WFBS-SVC effectue une sauvegarde de la menace avant le nettoyage. Le fichier sauvegardé est chiffré et stocké dans le répertoire suivant sur le client : C:\Program Files\Trend Micro\ Client Server Security Agent\Backup Pour déchiffrer un fichier, consultez la rubrique Restore Encrypted Virus à la page Pour les détections de spywares/graywares Nettoyer : lorsqu'il nettoie des spywares/graywares, WFBS-SVC peut supprimer des entrées de Registre, fichiers, cookies et raccourcis associés. Les processus connexes des spywares/graywares peuvent également être arrêtés. Ignorer : n'effectuez aucune action sauf celle d'enregistrer le spyware détecté dans les fichiers journaux à des fins d'évaluation. 3. Cliquez sur Enregistrer. Paramètres par défaut de scan manuel recommandés par Trend Micro Fichiers à scanner Tous les fichiers scannables : Inclut tous les fichiers scannables. Les fichiers impossibles à analyser sont des fichiers protégés par un mot de passe, chiffrés ou dépassant les restrictions de scan définies par l'utilisateur Scanner la zone d'amorçage : Scanne le secteur d'amorçage du disque dur du client. Les fichiers compressés sont scannés sur un maximum de 2 couches de compression : Scanne les fichiers compressés qui disposent d'une ou deux couches de compression. Ne pas scanner les répertoires d'installation des produits Trend Micro : Ne scanne pas les dossiers qui contiennent des produits Trend Micro. Mesures contre les menaces détectées Utilisation de la CPU : Le paramètre par défaut est «Élevée» afin de raccourcir la durée du scan. Exécuter la même action pour toutes les menaces Internet détectées : Nettoie toutes les menaces ou supprime la menace si elle est non nettoyable. Sauvegarder le fichier détecté avant le nettoyage : Enregistre une copie du fichier détecté dans le répertoire de sauvegarde du client avant d'effectuer l'action. Modification de la liste des spywares/graywares approuvés Certaines applications sont classées par Trend Micro comme spywares/graywares, non pas parce qu'elles risquent d'endommager le système sur lequel elles sont installées, mais parce qu'elles peuvent exposer le client ou le réseau à des attaques de pirates ou de programmes malveillants. Worry-Free Business Security Services inclut une liste d'applications potentiellement dangereuses et, par défaut, empêche ces applications de s'exécuter sur les clients. En empêchant les applications potentiellement dangereuses de s'exécuter et en vous laissant entièrement contrôler la liste des spywares/graywares approuvés, WFBS-SVC contribue à garantir que seules les applications approuvées s'exécutent sur les clients et serveurs. Si les clients doivent exécuter une application classée par Trend Micro comme spyware/grayware, vous devez ajouter le nom de cette application à la liste des spywares/graywares approuvés. La liste des spywares/graywares approuvés détermine les applications de spyware ou de grayware dont les utilisateurs peuvent se servir. Consultez la rubrique Spywares/graywares à la page 1-11 pour connaître les différents types de spywares. Remarque : pour un groupe particulier, la même liste est utilisée pour les scans en temps réel, programmés et manuels. 8-10

91 Gestion des scans Chemin de navigation : Scans > {groupe} > Cible > Paramètres avancés > Modifier la liste des spywares/graywares approuvés FIGURE 8-4. Écran Liste des spywares/graywares approuvés Pour mettre à jour la liste des spywares/graywares approuvés : 1. À partir de l'écran Liste des spywares/graywares approuvés, mettez à jour les éléments suivants, si nécessaire: Panneau de gauche : Applications de spyware ou de grayware reconnues. Utilisez les liens Recherche rapide pour localiser l'application de spyware/grayware à autoriser. Remarque : les applications sont triées par type, puis par nom (TypeSpyware_NomApplication). Panneau de droite : applications de spyware ou de grayware approuvées. Ajouter > : sélectionnez le nom de l'application dans le panneau de gauche, puis cliquez sur Ajouter>. Pour sélectionner plusieurs applications, appuyez sur CTRL tout en cliquant sur les noms des applications. 2. Cliquez sur Enregistrer. Exclusion de fichiers et de dossiers des actions de scan Afin d'améliorer la performance du scan et ignorer les fichiers provoquant de fausses alertes, vous pouvez exclure certains fichiers et certains dossiers des actions de scan. Les fichiers et les dossiers que vous ajoutez à la liste d'exclusion seront ignorés lors des opérations de scan manuel, en temps réel et programmé. Conseil : Le serveur WFBS-SVC peut détecter plusieurs applications couramment utilisées, telles que Hotbar et les considérer comme des menaces. Pour éviter que l'agent ne détecte des applications couramment utilisées, ajoutez les fichiers d'application à la liste des exclusions pour tous les types de scans. 8-11

92 Gestion des scans Pour définir les fichiers et les dossiers exclus des actions de scan : 1. Dans le menu principal, cliquez sur Ordinateurs > {groupe} > Configurer > Antivirus/Anti-spyware. 2. Cliquez sur le bouton de développement en regard de la section Exclusions sur la page Antivirus/Anti-spyware. 3. Sous Exclusions, vérifiez que la case en regard de l option Activer les exclusions est cochée. 4. Pour exclure tous les dossiers contenant des produits et des composants Trend Micro, cochez la case Ne pas scanner les répertoires d installation des produits Trend Micro. 5. Pour exclure certains dossiers spécifiques, saisissez leur nom sous Entrer le chemin d'accès du répertoire (par ex. c:\temp\excludedir) et cliquez sur Ajouter. 6. Pour exclure des fichiers spécifiques en fonction de leur nom, tapez le nom de fichier ou le nom de fichier accompagné du chemin d accès complet sous Entrer le nom du fichier ou le nom du fichier accompagné du chemin d'accès complet (par ex. ExcludeDoc.hlp; c:\temp\excldir\excludedoc.hlp), puis cliquez sur Ajouter. Remarque : tous les sous-dossiers contenus dans le chemin d'accès spécifié sont également exclus. 7. Spécifiez les fichiers à exclure en fonction de leur extension. Pour utiliser les extensions spécifiées, sélectionnez les extensions à protéger dans Sélectionnez les extensions de fichiers dans la liste, puis cliquez sur Ajouter. Pour sélectionner une extension qui ne figure pas dans la liste proposée, tapez simplement cette extension dans la zone de texte, puis cliquez sur Ajouter. Remarque : les caractères génériques tels que "*" ne sont pas autorisés pour les extensions de fichier. 8. Cliquez sur Enregistrer. Affichage des échecs d'actions sur les postes de travail et les serveurs Chemin de navigation : État actuel > État des menaces > Antivirus > Échec de l'action effectuée Les informations affichées dans cette section sont générées ou mises à jour à chaque nouveau scan en temps réel, manuel ou programmé. Cliquez sur Réinitialiser pour effacer tous les enregistrements précédents. Le virus ou programme malveillant suivant détecté par le scan sera affiché sur cet écran. L'écran Virus détectés sur les postes de travail/serveurs contient les informations suivantes : Date/Heure : date et heure du dernier échec de tentative de nettoyage ou d'élimination du virus ou du programme malveillant Nom de l ordinateur : Nom de l'ordinateur infecté par le virus/programme malveillant. Nom du virus/programme malveillant : Cliquez sur le lien pour être redirigé vers l'encyclopédie des virus de Trend Micro afin d'obtenir une description approfondie du virus ou du programme malveillant ainsi que des instructions pour nettoyer manuellement des attaques correspondant à ce type de menace. Nom du fichier : Nom du fichier corrompu par le virus/programme malveillant. Chemin : emplacement du fichier. Type de scan : Type de scan utilisé pour détecter le virus/programme malveillant. Action entreprise : résultat de l'action entreprise face au virus/programme malveillant détecté. 8-12

93 Gestion des scans Incidents nécessitant le redémarrage de l'ordinateur Chemin de navigation : État actuel > État des menaces > Anti-spyware > Incidents nécessitant le redémarrage de l'ordinateur L'agent Client/Server Security Agent a détecté un spyware ou un grayware sur ces ordinateurs et a entrepris une action pour le supprimer. Pour éliminer entièrement certains spywares/graywares, il faut redémarrer l'ordinateur. Les commandes suivantes sont disponibles : Exporter : Permet d'exporter les éléments de la table vers un fichier CSV. Réinitialiser : Permet de réinitialiser la table Redémarrage de l'ordinateur requis pour le nettoyage des spywares/graywares. Les informations contenues dans l'écran État actuel sont également réinitialisées. Ce chapitre contient les informations suivantes : Date/Heure : Représente l'heure à laquelle l'agent Client/Server Security Agent a téléchargé les informations de détection du spyware vers le serveur de sécurité. Nom de l ordinateur : Nom de l'ordinateur à redémarrer. Nom du spyware/grayware : Nom du spyware/grayware. Lorsque vous cliquez sur le nom du spyware/grayware, l'encyclopédie des virus et spywares de Trend Micro s'affiche dans une nouvelle fenêtre du navigateur. Type de scan : Type de scan qui a détecté le spyware/grayware. 8-13

94 Gestion des scans 8-14

95 Chapitre 9 Utilisation de la défense anti-épidémies Ce chapitre décrit la stratégie de défense anti-épidémies, la procédure de configuration de cette option ainsi que son mode d utilisation pour protéger les réseaux et les clients. Les rubriques de ce chapitre comprennent: Stratégie de défense anti-épidémies à la page 9-2 Détails de la défense anti-épidémies à la page 9-3 Paramètres d'alerte d'épidémie à la page

96 Utilisation de la défense anti-épidémies Stratégie de défense anti-épidémies Composant clé de la solution WFBS-SVC, la défense anti-épidémies protège votre entreprise au cours d'une épidémie mondiale. La stratégie de défense anti-épidémies repose sur l'idée d'un cycle de vie des attaques Internet. Le cycle de vie d'une épidémie comprend trois étapes: la prévention des menaces, la protection contre les menaces et le nettoyage des menaces. Trend Micro intervient à chaque étape du cycle à l'aide d'une stratégie de défense appelée «Défense anti-épidémies». TABLEAU 9-1. Réponse de la défense anti-épidémies face aux différentes étapes du cycle de vie des attaques Étape de l'épidémie Lors de la première étape du cycle d'une épidémie, les experts de Trend Micro observent une menace qui circule activement sur Internet. À ce stade, il n'existe aucune solution connue pour cette menace. Au cours de la deuxième étape de l'épidémie, les ordinateurs ayant été infectés par la menace la transmettent à d'autres ordinateurs. La menace commence à se répandre rapidement sur les réseaux locaux, entravant les échanges commerciaux et endommageant les ordinateurs. Lors de la troisième et dernière étape d'une épidémie, la menace disparaît peu à peu à mesure que les incidents signalés se raréfient. Étape de la défense anti-épidémies Prévention des menaces La défense anti-épidémies empêche la menace d'attaquer vos ordinateurs et votre réseau en effectuant des actions qui s'appuient sur la stratégie en mode «épidémie» téléchargée sur les serveurs de mise à jour de Trend Micro. Il peut s'agir de l'envoi d'alertes, du blocage des ports et du refus de l'accès aux dossiers et fichiers. Protection contre les menaces La défense anti-épidémies protège les ordinateurs à risque en les invitant à télécharger les composants et les correctifs les plus récents. Nettoyage des menaces La défense anti-épidémies remédie aux dommages en exécutant des services de nettoyage. Les autres scans fournissent des informations que les administrateurs peuvent utiliser pour se préparer contre de nouvelles menaces. Actions de défense anti-épidémies La stratégie de défense anti-épidémies a été conçue pour gérer les épidémies à tous les stades du cycle de vie des épidémies. Selon la stratégie de prévention des épidémies, la fonction de traitement automatique des menaces prend des mesures préventives, notamment les suivantes : Blocage des dossiers partagés pour empêcher les virus/programmes malveillants d'infecter les fichiers y figurant Blocage des ports pour empêcher les virus/programmes malveillants d'exploiter les ports vulnérables dans le but de répandre l'infection sur le réseau et les clients Remarque : La défense anti-épidémies ne bloque jamais le port utilisé par le serveur WFBS-SVC pour communiquer avec les clients. Interdiction de tout accès en écriture aux fichiers et aux dossiers afin d'empêcher les virus/programmes malveillants de modifier des fichiers Analyse des clients du réseau afin de détecter les failles qui les rendent vulnérables face à l'épidémie en cours Déploiement des composants les plus récents comme la version du fichier de signatures et le moteur de nettoyage des virus Nettoyage de tous les clients affectés par l'épidémie Si l'option est activée, scan de vos clients et réseaux, et exécution d'actions contre les menaces 9-2

97 Utilisation de la défense anti-épidémies Détails de la défense anti-épidémies Chemin de navigation : État actuel > État des menaces > Défense anti-épidémies > Plus d'infos... Cette page affiche des informations complètes sur les épidémies en cours. Détails de la défense anti-épidémies automatique La section Détails de la défense anti-épidémies automatique affiche les informations relatives aux virus/programmes malveillants qui circulent actuellement sur Internet et qui sont capables d'infecter votre réseau et vos clients. D'après les informations sur les menaces, la stratégie de prévention des épidémies (Outbreak Prevention Policy ou OPP) prend des mesures pour protéger le réseau et les clients tandis que Trend Micro développe une solution (consultez la section Stratégie de prévention des épidémies de Trend Micro à la page B-2). Cette section fournit les informations suivantes: Type d'alerte : rouge ou jaune Niveau de risque : niveau de risque présenté par la menace pour les clients et les réseaux en fonction du nombre d'incidents de virus/programmes malveillants et de leur gravité. Méthode de livraison : propagation de la menace Réponse automatique : cliquez pour activer/désactiver la réponse automatique. Détails de la réponse automatique : Cliquez sur Plus d'infos pour afficher les actions spécifiques entreprises par la fonction de défense anti-épidémies pour protéger les clients face à la menace en cours. État des postes de travail/serveurs dans le cadre de l'application de la prévention des épidémies Cette section affiche le nombre total de clients avec et sans l'option d'alerte automatique activée. Cliquez sur le lien numéroté sous les colonnes Activé et Non activé pour obtenir de plus amples informations sur des clients spécifiques. Ordinateurs vulnérables La section Ordinateurs vulnérables affiche la liste des clients présentant des failles. Un ordinateur vulnérable présente des faiblesses au niveau de son système d'exploitation ou de ses applications. De nombreuses menaces exploitent ces failles pour causer des dommages ou accéder à des commandes non autorisées. Les failles représentent par conséquent non seulement des risques pour chaque ordinateur sur lequel elles sont présentes, mais également pour les autres ordinateurs du réseau. Rechercher les failles Lorsque vous cliquez sur Rechercher les failles, une notification est envoyée à tous les agents de sécurité pour exécuter une recherche de failles de sécurité sur les clients. Une fois que vous avez cliqué sur Rechercher les failles, l'écran Progression de la notification de scan apparaît temporairement afin d'indiquer la progression de la notification. Il est ensuite remplacé par l'écran Résultats de la notification de scan. L'écran Résultats de la notification de scan indique si le processus de notification d'un client par le serveur WFBS-SVC a réussi ou non. Un échec se produit lorsqu'un client n'est pas connecté ou dans des situations inattendues comme lors de coupures du réseau. 9-3

98 Utilisation de la défense anti-épidémies Paramètres d'alerte d'épidémie Chemin de navigation : État actuel > Défense anti-épidémies > Plus d'infos... > Paramètres d'alerte d'épidémie Si vous cliquez sur cette option, vous accédez à la page Administration > Paramètres généraux. Sur cette page, vous pouvez activer/désactiver les alertes rouges et jaunes émises par Trend Micro. Alertes rouges Ces alertes se déclenchent dans le cas de plusieurs rapports d'infection provenant de chaque unité commerciale et indiquant une propagation rapide d'un programme malveillant ainsi que la nécessité d'installer des correctifs au niveau des passerelles et des serveurs de messagerie. Le processus de la première solution d'alerte rouge de 45 minutes du marché est lancé : Une version officielle de signatures (official pattern release ou OPR) est déployée et une notification est envoyée concernant sa disponibilité. Toutes les autres notifications appropriées sont envoyées. Des outils de correction et des informations concernant les failles de sécurité sont également mis à disposition sur les pages de téléchargement. Alertes jaunes Des rapports d'infection sont reçus au niveau de plusieurs unités commerciales de même que des appels d'assistance confirmant des occurrences disséminées. Une version de signatures officielle (official pattern release ou OPR) est automatiquement transmise sur des serveurs de déploiement et rendue disponible par téléchargement. Dans le cas de programmes malveillants se propageant par messagerie électronique, des règles de filtrage de contenu, que l'on désigne par le terme de «stratégies de prévention des épidémies» (Outbreak Prevention Policies ou OPP), sont envoyées afin de bloquer automatiquement les pièces jointes correspondantes sur les serveurs dotés de cette fonctionnalité de produit. 9-4

99 Chapitre 10 Gestion des notifications Ce chapitre explique comment utiliser les différentes options de notification. Les rubriques de ce chapitre comprennent: À propos des messages de notification à la page 10-2 Configuration des seuils d'alerte à la page 10-3 Personnalisation des alertes de notification à la page 10-4 Configuration des paramètres de notification à la page

100 Gestion des notifications À propos des messages de notification Pour limiter le temps nécessaire aux administrateurs pour surveiller WFBS-SVC et pour garantir qu'ils reçoivent les alertes virales à temps par , configurez le serveur WFBS-SVC de façon qu'il envoie des notifications chaque fois que des événements anormaux surviennent sur le réseau. Les conditions des notifications ont également une incidence sur les seuils de l'écran État actuel (voir Configuration des seuils d'alerte à la page 3). Ces conditions provoquent le changement de l'icône d'état qui passe de Normal à Avertissement ou Action requise. Par défaut, tous les événements répertoriés sur l'écran Notifications sont sélectionnés et activent les notifications envoyées par le serveur WFBS-SVC à l'administrateur système. Événements de menaces Défense anti-épidémies : une alerte est déclenchée par TrendLabs ou des failles de sécurité très critiques sont détectées. Antivirus : les virus/programmes malveillants détectés sur les clients dépassent un certain nombre, les actions entreprises contre les virus/programmes malveillants échouent, le scan en temps réel est désactivé sur les clients. Anti-spyware : des spywares/graywares sont détectés sur les clients, y compris ceux exigeant le redémarrage du client infecté afin de supprimer entièrement la menace de spyware/grayware. Vous pouvez également configurer le seuil de notification de spyware/grayware, c'est-à-dire le nombre d'incidents de spyware/grayware détectés dans la période de temps spécifiée (une heure par défaut). Réputation de sites Web : le nombre de violations d'url dépasse le nombre configuré sur une certaine période. Surveillance des comportements : le nombre de violations de stratégies dépasse le nombre configuré sur une certaine période. Virus de réseau : le nombre de virus de réseau détectés dépasse une certaine limite. Événements système Smart Scan : les clients configurés pour Smart Scan ne peuvent pas se connecter au serveur Smart Scan ou celui-ci n'est pas disponible. Mise à jour des composants : le temps écoulé depuis la dernière mise à jour des composants est supérieur à un certain nombre de jours ou les composants mis à jour n'ont pas été déployés sur les agents assez rapidement. Événements liés aux licences La licence expire dans moins de 60 jours (licence complète) La licence expire dans moins de 14 jours (licence d'évaluation) La licence a expiré L'utilisation des licences de poste dépasse 80% L'utilisation des licences de poste dépasse 100% 10-2

101 Gestion des notifications Configuration des seuils d'alerte Chemin de navigation : Administration > Notifications > Événements Les seuils d'alerte ont une incidence sur les alertes dans l'écran État actuel et sur les alertes par . FIGURE Écran Événements de notification Pour configurer les événements de notification : 1. Dans l'onglet Événements de l'écran Administration, mettez à jour les éléments suivants, si nécessaire (cliquez sur pour développer chaque événement) : sélectionnez les événements pour lesquels vous voulez recevoir des notifications. Sinon, cochez les cases à cocher des événements individuels de votre choix. Seuil d'alerte : configurez le nombre d'incidents de chaque période pour lesquels déclencher une alerte. 2. Cliquez sur Enregistrer. 10-3

102 Gestion des notifications Personnalisation des alertes de notification Chemin de navigation : Administration > Notifications > Événements > {lien de notification} Il est possible de personnaliser la ligne d'objet et le corps du message de chaque notification d'événement. FIGURE (Alerte rouge) Écran de contenu de notification Pour personnaliser le contenu d'une notification : AVERTISSEMENT! Ne modifiez pas les informations entre crochets. 1. Cliquez sur l'événement à personnaliser. 2. Apportez les modifications nécessaires. 3. Cliquez sur Enregistrer. 10-4

103 Gestion des notifications Configuration des paramètres de notification Chemin de navigation : Administration > Notifications > Destinataires FIGURE Écran Notifications Les paramètres de notification consistent à définir uniquement les champs À. Dans le champ À, séparez plusieurs adresses par des points-virgules. 10-5

104 Gestion des notifications 10-6

105 Chapitre 11 Configuration des paramètres généraux Dans la console Web, vous pouvez configurer les paramètres généraux du serveur WFBS-SVC et des postes de travail et serveurs protégés par les agents Client/Server Security Agent. 11-1

106 Configuration des paramètres généraux Paramètres généraux Chemin de navigation : Administration > Paramètres généraux Les paramètres généraux de WFBS-SVC sont configurés ici. Les paramètres des groupes individuels remplacent ces paramètres. Si vous n'avez pas configuré d'option particulière pour un groupe, les paramètres généraux sont utilisés. Par exemple, si aucun URL n'est appliqué pour un groupe particulier, tous les URL approuvés sur cet écran pourront être appliqués au groupe. FIGURE Onglet Poste de travail/serveur de l'écran Paramètres généraux 11-2

107 Configuration des paramètres généraux Pour configurer les paramètres généraux : 1. Dans l'écran Paramètres généraux, mettez à jour les éléments suivants, si nécessaire : Prévention des épidémies à la page 11-3 Paramètres de scan généraux à la page 11-3 Paramètres de scan antivirus à la page 11-3 Paramètres de scan anti-spyware/grayware à la page 11-4 URL approuvées à la page 11-4 Surveillance des comportements à la page 11-4 Filtrage de contenu de la messagerie instantanée à la page 11-4 Paramètres d alerte à la page 11-5 Paramètres de surveillance à la page Cliquez sur Enregistrer. Prévention des épidémies Bien qu'il soit possible de les désactiver, les options suivantes doivent rester activées pour bénéficier de la prévention des épidémies. Activer les alertes rouges émises par Trend Micro Activer les alertes jaunes émises par Trend Micro Paramètres de scan généraux Dans l'écran Paramètres généraux, mettez à jour les éléments suivants, si nécessaire : Exclure les dossiers du serveur Microsoft Exchange lors d'une installation sur serveur Microsoft Exchange : empêche les agents installés sur le serveur Microsoft Exchange de scanner les dossiers Microsoft Exchange. Exclure les dossiers de contrôleur de domaine Microsoft (non applicable aux scans manuels et programmés anti-spyware/grayware) : empêche les agents installés sur le contrôleur de domaine de scanner ses dossiers. Ces dossiers stockent les informations relatives aux utilisateurs, noms d'utilisateurs, mots de passe et autres informations. Exclure les sections Shadow Copy : les services de Shadow Copy ou de Volume Snapshot (copies instantanées de volumes) effectuent des instantanés ou des copies de sauvegarde automatique ou manuelle d'un fichier ou d'un dossier sur un volume spécifique. Paramètres de scan antivirus Dans l'écran Paramètres généraux, mettez à jour les éléments suivants, si nécessaire : Configurer les paramètres de scan pour les fichiers compressés volumineux : indiquez la taille maximale du fichier extrait et le nombre de fichiers dans le fichier compressé que l'agent doit scanner. Nettoyer les fichiers compressés : les agents essaieront de nettoyer les fichiers infectés d'un fichier compressé. Scanner les couches OLE des fichiers compressés : les agents scanneront le nombre indiqué de couches OLE (Object Linking and Embedding). OLE permet aux utilisateurs de créer des objets dans une application puis de les lier ou de les imbriquer dans une autre application. Par exemple, un fichier.xls incorporé dans un fichier.doc. Ajouter le scan manuel au menu de raccourcis Windows sur les clients : ajoute un lien Scanner avec Client/Server Security Agent au menu contextuel. Ainsi, les utilisateurs peuvent cliquer avec le bouton droit sur un fichier ou un dossier (sur le Bureau ou dans l'explorateur Windows) pour le scanner manuellement. 11-3

108 Configuration des paramètres généraux Paramètres de scan anti-spyware/grayware Dans l'écran Paramètres généraux, mettez à jour les éléments suivants, si nécessaire : Recherche de cookies : les agents rechercheront et supprimeront les cookies de suivi téléchargés sur les clients depuis les sites Web visités. Les cookies de suivi détectés sont ajoutés au compteur de spyware/grayware sur l'écran État actuel. Ajoute la détection des cookies au journal des spywares : ajoute chaque cookie de spyware détecté dans le journal de spyware. URL approuvées Les URL approuvées remplacent les paramètres de réputation des sites Web. Voir Réputation de sites Web à la page 7-8. Dans l'écran Paramètres généraux, mettez à jour les éléments suivants, si nécessaire : Activer les journaux d'utilisation de Client/Server Agent : Les agents enverront des détails sur les URL visitées au serveur WFBS-SVC. URL à approuver : Séparez les URL par des points virgules (;). Cliquez sur Ajouter. Remarque : l'approbation d'un URL implique l'approbation de tous ses sous-domaines. URL approuvés : Les URL de cette liste ne seront pas bloqués. Pour supprimer une entrée, cliquez sur l'icône de suppression correspondante. Surveillance des comportements La surveillance des comportements protège les clients contre les modifications non autorisées qui pourraient être apportées au système d'exploitation, aux entrées de Registre, aux autres logiciels, aux fichiers et aux dossiers. Activer les messages d'avertissement pour les modifications à faible risque ou les autres actions surveillées : les agents avertissent les utilisateurs des modifications à faible risque ou des actions surveillées. Désactiver l'exécution automatique sur les périphériques USB Filtrage de contenu de la messagerie instantanée Les administrateurs peuvent restreindre l'utilisation de certains mots ou certaines locutions dans les applications de messagerie instantanée. Les agents peuvent restreindre les mots utilisés dans les applications de MI suivantes: America Online Instant Messenger (AIM) 6 (les compilations publiées après mars 2008 ne sont pas prises en charge) ICQ 6 (les compilations publiées après mars 2008 ne sont pas prises en charge) MSN Messenger 7.5, 8.1 Windows Messenger Live 8.1, 8.5 Yahoo! Messenger 8.1 Dans l'onglet Poste de travail/serveur de l'écran Paramètres généraux, utilisez les champs suivants, comme ci-après : Mots restreints : Utilisez le champ suivant pour ajouter des mots ou des expressions restreintes. Vous pouvez restreindre 31 mots ou expressions au maximum. Chaque mot ou locution ne peut pas dépasser 35 caractères (ou 17 caractères chinois). Tapez une ou plusieurs entrées séparées par des points-virgules (;), puis cliquez sur Ajouter>. Liste de mots/d'expressions restreints : les mots ou locutions de cette liste ne peuvent pas être utilisés dans des conversations instantanées. Pour supprimer une entrée, cliquez sur l'icône de suppression correspondante. 11-4

109 Configuration des paramètres généraux Paramètres d alerte Dans l'écran Paramètres généraux, mettez à jour les éléments suivants, si nécessaire : Afficher l'icône d'alerte dans la barre des tâches Windows si le fichier de signatures de virus n'a pas été mis à jour au bout de { } jours : affiche une icône d'alerte sur les clients lorsque le fichier de signatures n'a pas été mis à jour au bout d'un certain nombre de jours. Paramètres de surveillance L'option de surveillance garantit que l'agent Client/Server Security Agent protège en permanence les clients. Lorsqu'elle est activée, cette option vérifie la disponibilité de l'agent toutes les x minutes. Si l'agent n'est pas disponible, elle essaiera de le redémarrer. Conseil : Trend Micro vous recommande d'activer le service de surveillance pour garantir que l'agent Client/Server Security Agent protège correctement vos clients. Si l'agent Client/Server Security Agent s'arrête de façon inattendue (ce qui peut arriver lorsque le client subit l'attaque d'un pirate informatique), le service de surveillance redémarre l'agent Client/Server Security Agent. Sous l'onglet Poste de travail/serveur de l'écran Paramètres généraux, mettez à jour les éléments suivants, comme indiqué: Activer le service de surveillance de l'agent Vérifier l'état du client toutes les {} minutes : détermine la fréquence de vérification de l'état du client par le service de surveillance. Si le client ne parvient pas à démarrer, recommencer {} fois : détermine combien de fois le service de surveillance doit essayer de redémarrer Client/Server Security Agent. 11-5

110 Configuration des paramètres généraux 11-6

111 Chapitre 12 Gestion des mises à jour Ce chapitre explique comment utiliser et configurer des mises à jour manuelles et programmées. Les rubriques de ce chapitre comprennent: À propos des mises à jour à la page 12-2 À propos d ActiveUpdate à la page 12-2 Composants pouvant être mis à jour à la page 12-3 Mises à jour manuelles à la page

112 Gestion des mises à jour À propos des mises à jour WFBS-SVC facilite la mise à niveau vers les derniers composants car l'agent actif reçoit automatiquement les composants mis à jour à partir du serveur Trend Micro Active Update Server. Ensuite, tous les agents inactifs reçoivent les mises à jour de l'agent actif. Par défaut, les agents sont mis à jour toutes les deux heures. Les agents non connectés au réseau local reçoivent les mises à jour de Trend Micro Active Update et non de l'agent actif. Les paramètres recommandés par Trend Micro pour les mises à jour de composants offrent une protection correcte des PME. Si nécessaire, vous pouvez exécuter à tout moment des mises à jour manuelles pour tous les ordinateurs d'un groupe en cliquant sur Ordinateurs > {groupe} > Autres > Mettre à jour. Agents inactifs Tous les Worry-Free Business Security Services agents autres que l'agent actif sont des agents inactifs. Les agents inactifs sont mis à jour par l'agent actif. Agent actif L'agent actif sert de contact entre le serveur WFBS-SVC et tous les agents WFBS-SVC d'une entreprise. Il est en charge de : la communication avec le serveur WFBS-SVC Distribution de mises à jour et de fichiers de signatures à d'autres clients L'agent actif vérifie périodiquement la présence de mises à jour de composants et de fichiers de signatures sur le serveur Trend Micro ActiveUpdate (TMAU). Si des mises à jour sont disponibles, l'agent actif télécharge la mise à jour et en informe les agents inactifs. Les agents inactifs se voient alors attribuer un délai aléatoire compris entre 0 seconde et 15 minutes pour télécharger la mise à jour depuis l'agent actif. Cela évite la sollicitation excessive des ressources système de l'agent actif. Au moyen de l'algorithme de sélection de l'agent actif, les agents WFBS-SVC d'une entreprise choisissent un agent comme agent actif. Si l'ordinateur hébergeant l'agent actif actuel devient indisponible, tous les autres agents choisissent immédiatement un nouvel agent actif. À propos d ActiveUpdate ActiveUpdate est une fonction commune à de nombreux produits Trend Micro. Connecté au site Web de mises à jour de Trend Micro, ActiveUpdate propose les derniers téléchargements de signatures de virus, moteurs de scan et fichiers programmes via Internet. ActiveUpdate n'entraîne aucune interruption des services réseau et ne nécessite pas de redémarrage des clients. Un agent (l'agent actif) du réseau reçoit les mises à jour du serveur ActiveUpdate. Tous les autres agents (appelés agents inactifs) du réseau reçoivent les mises à jour de l'agent actif. Mises à jour incrémentielles des fichiers de signatures ActiveUpdate prend en charge les mises à jour incrémentielles des fichiers de signatures. Afin d'éviter d'avoir à télécharger systématiquement l'intégralité du fichier de signatures, ActiveUpdate permet de télécharger uniquement la portion du fichier incluant des éléments nouveaux et de l'ajouter au fichier de signatures existant. Cette méthode de mise à jour efficace permet de réduire de façon significative la bande passante nécessaire à la mise à jour de votre logiciel antivirus. 12-2

113 Gestion des mises à jour Composants pouvant être mis à jour Pour vous assurer que les clients sont protégés contre les dernières menaces, vérifiez que les agents Client/Server Security Agent sont mis à jour avec les composants les plus récents. Les composants WFBS-SVC sont mis à jour automatiquement ou peuvent l'être manuellement. Voir Mises à jour manuelles à la page TABLEAU Composants pouvant être mis à jour COMPOSANT Antivirus Anti-spyware Réputation de sites Web Comportement Surveillance Défense anti-épidémies Virus de réseau SOUS-COMPOSANT Fichier de signatures de virus Moteur de scan antivirus 32 bits Moteur de scan antivirus 64 bits Modèle de nettoyage de virus Moteur de nettoyage de virus 32 bits Moteur de nettoyage de virus 64 bits signatures d'exception IntelliTrap signatures IntelliTrap Moteur de commentaires 32 bits Moteur de commentaires 64 bits Fichier de signatures Smart Scan Fichier de signatures Smart Scan Agent Moteur de scan anti-spyware 32 bits Moteur de scan anti-spyware 64 bits Fichier de signatures de spywares Signature de surveillance active de spywares Moteur de filtre d'url 32 bits Moteur de filtre d'url 64 bits Pilote de surveillance des comportements Service principal de surveillance des comportements Modèle de conformité aux stratégies Modèle de signature numérique Modèle de configuration de surveillance des comportements Modèle de détection de surveillance des comportements Fichier de signatures de failles Fichier de signatures de pare-feu commun Moteur de pare-feu commun 32 bits Moteur de pare-feu commun 64 bits Pilote Transport Driver Interface (TDI) 32 bits Pilote Transport Driver Interface (TDI) 64 bits Pilote WFP 32 bits Pilote WFP 64 bits 12-3

114 Gestion des mises à jour Pour plus d'informations sur chaque composant, consultez la rubrique Composants à la page 1-8. Heures de mise à jour par défaut Par défaut, l'agent actif d'un réseau recherche les mises à jour et télécharge les composants, si nécessaire, à partir du serveur ActiveUpdate de Trend Micro comme suit : Lorsque vous installez le produit pour la première fois, tous les composants des agents sont immédiatement mis à jour. Client/Server Security Agent exécute une mise à jour programmée toutes les 2 heures. Les paramètres recommandés par Trend Micro pour les mises à jour de composants offrent une protection correcte aux PME. Au besoin, vous pouvez exécuter des mises à jour manuelles ou modifier les mises à jour programmées. Généralement, Trend Micro effectue la mise à jour du moteur de scan ou du programme uniquement lors de la diffusion d'une nouvelle version de WFBS-SVC. Toutefois, Trend Micro publie régulièrement des fichiers de signatures. Mises à jour manuelles Chemin de navigation : Ordinateurs > {groupe} > Autres > Mettre à jour L'agent actif vérifie périodiquement les commandes depuis WFBS-SVC. Si elles incluent Mettre à jour, l'agent actif télécharge la mise à jour depuis Trend Micro Active Update, puis envoie une notification aux agents inactifs pour qu'ils effectuent la mise à jour. 12-4

115 Chapitre 13 Utilisation des journaux et des rapports Ce chapitre décrit comment utiliser les journaux et les rapports pour surveiller votre système et analyser votre mécanisme de protection. Les rubriques de ce chapitre comprennent: Rapports à la page 13-2 Génération de rapports à la page 13-2 Modification des rapports à la page 13-4 Interprétation des rapports à la page 13-4 Suppression de rapports à la page 13-5 Journaux à la page 13-6 Utilisation d une requête de journal à la page

116 Utilisation des journaux et des rapports Rapports Worry-Free Business Security Services vous permet de créer et de consulter des rapports contenant des informations détaillées sur les menaces détectées. Les rapports comprennent également des classements pour identifier les ordinateurs les plus vulnérables. WFBS-SVC génère des rapports au format PDF. Vous pouvez générer une requête de journal à partir de l'écran Rapports. Une requête de journal affiche les informations concernant les virus/programmes malveillants, spywares/graywares ou URL malicieux détectés sur votre réseau pour l'intervalle de temps spécifié. La requête affiche aussi des informations détaillées sur les noms des ordinateurs affectés, les menaces et les fichiers affectés. Elle liste également le type de scan et les actions entreprises sur la menace en question. À partir de l'écran Rapports, vous pouvez : Créer un nouveau rapport Supprimer un rapport existant générer une requête de journal Vous pouvez créer des rapports pour une période ou un fuseau horaire spécifiques en fonction de vos besoins. Les rapports contiennent les informations suivantes : l'heure, la date et le fuseau horaire correspondant au rapport généré. Virus/programmes malveillants. Représente les informations concernant les activités, le nombre d'incidents et le pourcentage de virus/programmes malveillants. Ce résumé classe les virus/programmes malveillants en fonction du nombre d'incidents et du pourcentage. Il affiche également une représentation graphique des activités. Génération de rapports Chemin de navigation : Rapports > Nouveau Les rapports ponctuels fournissent un résumé, une seule fois. Les rapports programmés fournissent régulièrement un résumé. FIGURE Écran rapports 13-2

117 Utilisation des journaux et des rapports Pour créer ou programmer un rapport : 1. Dans l'écran Rapports, cliquez sur Nouveau. 2. Mettez à jour les éléments suivants, si nécessaire : Nom du rapport Programmation : applicable uniquement pour les rapports programmés. Ponctuel : crée une seule fois le rapport. Hebdomadaire, tous les : le rapport programmé s'exécute une fois par semaine, le jour indiqué et à l'heure définie. Mensuelle, le : le rapport programmé s'exécute une fois par mois, le jour indiqué et à l'heure définie. Si vous sélectionnez 31 jours alors que le mois n'a que 30 jours, WFBS-SVC ne générera pas de rapport pour ce mois. Générer le rapport à : l'heure à laquelle WFBS-SVC doit générer le rapport. Envoyer le rapport à : WFBS-SVC envoie le rapport généré aux destinataires spécifiés. Séparez les entrées multiples par un point-virgule. 3. Cliquez sur Générer. Pour consulter les rapports depuis l'écran Rapports, cliquez sur PDF ou sur le nombre de rapports générés dans la colonne Historique de rapports. Si vous cliquez sur un nombre, un écran secondaire s'ouvre pour vous permettre de consulter un rapport spécifique. Pour supprimer un rapport, à partir de l'écran Rapports à usage unique ou Rapports programmés, cochez la case correspondant au rapport et cliquez sur Supprimer. Pour modifier un rapport programmé, cliquez sur son nom dans l'écran Rapports et mettez à jour les options, si nécessaire. FIGURE Exemple de rapport de résumé des spywares/graywares 13-3