Sophos Endpoint Security and Control Guide de démarrage réseau. Inclut Enterprise Console 3.0 Sophos Anti-Virus Sophos Client Firewall

Transcription

1 Sophos Endpoint Security and Control Guide de démarrage réseau Inclut Enterprise Console 3.0 Sophos Anti-Virus Sophos Client Firewall Document daté de : Juin 2007

2 Cette page a été laissée blanche intentionellement

3 Table des matières A propos de ce guide...5 Protection de votre réseau 1 Préparation de l'installation Configuration requise Installation des outils d'administration Téléchargement des logiciels et configuration de la mise à jour Installation d'une console d'administration distante Création de groupes pour vos ordinateurs Configuration des stratégies Recherche d'ordinateurs et ajout dans les groupes Protection des ordinateurs Vérification de la protection des ordinateurs Garantie de la protection automatique des nouveaux ordinateurs Ajout d'une protection supplémentaire 12 Configuration d'une stratégie de pare-feu Détection de comportement suspect Recherche des fichiers suspects Recherche d'adwares et d'applications potentiellement indésirables (PUA) Recherche d'applications contrôlées...42

4 Vérification de bon fonctionnement et nettoyage 17 Vérification du bon fonctionnement de votre réseau Nettoyage des virus, PUA et fichiers suspects...48 Protection des ordinateurs nécessitant une installation manuelle 19 Protection des ordinateurs Windows et Mac nécessitant une installation manuelle Protection des ordinateurs Linux...52 Protection des ordinateurs autonomes 21 Protection des ordinateurs autonomes...56 Protection des ordinateurs NetWare et UNIX 22 Protection des serveurs NetWare Protection des ordinateurs UNIX...61 Annexes Annexe 1 Configuration avancée...64 Annexe 2 Protection des ordinateurs par un script...71 Support technique

5 A propos de ce guide Ce guide s'adresse aux clients qui souhaitent installer le logiciel Sophos pour la première fois ou le réinstaller disposent d'un réseau Windows (groupes de travail ou domaines) disposent d'ordinateurs Windows, Mac, Linux, NetWare ou UNIX sur ce réseau. Si cela ne correspond pas à votre situation, vous aurez besoin d'un guide différent, comme décrit ci-dessous. Si vous effectuez une mise à niveau à partir de versions antérieures du logiciel, reportez-vous au Guide de mise à niveau réseau de Sophos Endpoint Security and Control. Si vous êtes équipés d'un réseau NetWare, c'est à dire, si vous n'utilisez pas de réseaux informatiques Microsoft, reportez-vous au Guide de démarrage réseau de Sophos Endpoint Security and Control : édition NetWare. Retrouvez la documentation Sophos sur la page Documentation du CD-ROM Sophos Network Install CD ou sur le site Web de Sophos ( 5

6 6

7 Protection de votre réseau

8 1 Préparation de l'installation 8 Protégez vos ordinateurs en suivant les étapes ci-dessous : installation des outils d'administration Sophos configuration du téléchargement automatique des logiciels et des mises à jour Sophos création de groupes pour les ordinateurs configuration des stratégies de sécurité pour ces groupes recherche d'ordinateurs sur le réseau et placement de ceux-ci dans des groupes protection des ordinateurs. Si vous êtes un utilisateur Active Directory, certaines étapes peuvent être effectuées automatiquement, comme indiqué dans les sections ci-dessous. Cette section vous aide à déterminer quels choix vous allez faire à chaque étape. 1.1 Préparation de l'installation des outils d'administration Le logiciel d'administration de Sophos s'appelle l'enterprise Console. Il inclut quatre composants : Console d'administration Serveur d'administration Base de données réseau EM Library jour depuis Sophos Pour ce guide, on suppose que vous Protège et gère les ordinateurs placez tous les composants sur un ordinateur Gère la mise à jour et les communications Stocke les données sur les ordinateurs du Télécharge automatiquement les mises à installez une autre copie de la console d'administration sur un poste de travail pour pouvoir gérer plus facilement les ordinateurs en réseau.

9 En revanche, vous pouvez souhaiter installer certains composants séparément, par exemple, vous pouvez souhaiter installer la base de données sur un serveur avec beaucoup d'espace. Dans ce cas, reportez-vous au Guide de configuration pour vastes réseaux de Sophos Endpoint Security and Control. 1.2 Préparation de la configuration et de la mise à jour automatiques L'Enterprise Console télécharge les derniers logiciels dans une bibliothèque de logiciels et les place dans des répertoires d'installation centralisée. Cette opération les met à la disposition des ordinateurs en réseau. Ce guide décrit comment configurer une bibliothèque de logiciels unique et un ensemble de répertoires d'installation centralisée par défaut. Si vous avez un réseau étendu, il se peut que vous souhaitiez effectuer une mise à jour plus efficace en créant plusieurs répertoires d'installation centralisée des bibliothèques de logiciels supplémentaires. Reportez-vous au Guide de configuration pour vastes réseaux de Sophos Endpoint Security and Control, disponible sur le site Web de Sophos ou sur le CD-ROM Sophos Network Install CD. 1.3 Préparation des groupes d'ordinateurs Si vous utilisez Active Directory, il ne sera peut-être pas nécessaire de configurer des groupes d'ordinateurs. L'Enterprise Console peut utiliser vos groupes Active Directory existants. Déterminez si vous voulez regrouper vos ordinateurs par emplacement, par système d'exploitation ou selon d'autres critères. Par exemple, vous pouvez placer des serveurs Exchange dans un groupe qui leur sera propre, car vous ne voulez pas exécuter de contrôle sur accès sur ceux-la (voir l'article de la base de connaissances sur le site Web de Sophos). Vous ne devez normalement pas avoir plus de 1000 ordinateurs dans un groupe. 9

10 1.4 Préparation des stratégies de sécurité Une stratégie est un ensemble de paramètres pouvant être appliqués aux ordinateurs d'un ou de plusieurs groupes. Lorsque vous créez des groupes, les stratégies par défaut leur sont appliquées. Vous pouvez modifier ces stratégies ou en créer de nouvelles. Les stratégies sont les suivantes : Stratégie de mise à jour Si vous avez plus d'un groupe avec la même stratégie (ou simplement la stratégie par défaut), vous ne devez normalement pas avoir en tout plus de 1000 ordinateurs se mettant à jour depuis le même emplacement. Le nombre idéal pour une mise à jour optimale depuis le même emplacement est de ordinateurs. Le nombre d'ordinateurs pouvant se mettre à jour depuis le même répertoire dépend du serveur contenant ce répertoire et de la connectivité du réseau. Stratégie antivirus et HIPS (Host Intrusion Prevention System) Par défaut, un contrôle sur accès est effectué sur tous les fichiers susceptibles de contenir des virus/spywares. Toutefois, vous pouvez aussi souhaiter : désactiver le contrôle sur accès sur les serveurs Exchange ou sur d'autres serveurs dont les performances pourraient être affectées (voir l'article de la base de connaissances ). contrôler les ordinateurs à la recherche d'adwares/applications potentiellement indésirables (voir le chapitre 15). Le système de prévention des intrusions sur l'hôte (HIPS) est une technologie de sécurité protégeant les ordinateurs des fichiers suspects, des virus non identifiés et de tout comportement suspect. Stratégie de contrôle des applications Par défaut, l'exécution de toutes les applications est autorisée. Par contre, vous pouvez configurer Sophos Anti-Virus pour détecter et bloquer les "applications contrôlées, c'est-à-dire les applications légitimes qui ne constituent pas une menace pour la sécurité, mais dont vous considérez l'usage inadapté à votre environnement de bureau (chapitre 16). 10

11 Stratégie de pare-feu Par défaut, le pare-feu bloque toutes les connexions qui ne sont pas indispensables. Aussi, vous devez créer votre propre stratégie de pare-feu. Nous vous recommandons d'installer le pare-feu sur quelques ordinateurs spécimens, de le personnaliser puis d'utiliser ces paramètres en tant que stratégie (voir le chapitre 12). 1.5 Préparation de la recherche d'ordinateurs en réseau Si vous utilisez Active Directory, vous n'avez pas à rechercher les ordinateurs sur votre réseau. Si vous le souhaitez, l'enterprise Console peut importer vos groupes et ordinateurs Active Directory existants. Avant d'installer tout logiciel de sécurité sur vos ordinateurs en réseau, ils doivent être ajoutés à la liste des ordinateurs dans l'enterprise Console. Pour cela, utilisez l'une des méthodes suivantes : Active Directory Navigation sur le réseau Microsoft Plage IP. La recherche d'ordinateurs peut durer un certain temps, surtout si vous n'utilisez pas Active Directory, aussi vous pouvez effectuer la recherche par étapes (par exemple, une recherche par domaine). 1.6 Préparation de la méthode de protection des ordinateurs Vous pouvez procéder à une installation automatique des logiciels de sécurité sur Windows NT, Windows 2000 ou supérieur depuis la console. Vous ne pouvez pas installer Sophos Client Firewall sur les serveurs de fichiers. Si d'autres systèmes d'exploitation sont présents sur votre réseau, installez le logiciel manuellement ou à l'aide de scripts ou de toute autre méthode (par exemple Active Directory). Ce guide aborde en détail l'installation manuelle pour Windows/Mac (chapitre 19), l'installation manuelle pour Linux (chapitre 20) et l'installation à l'aide d'un script (Annexe 2). 11

12 2 Configuration requise 2.1 Configuration requise pour les outils d'administration Cette section répertorie les différentes configurations requises pour les outils qui constituent l'enterprise Console Configuration requise pour le serveur et la console d'administration L'ordinateur sur lequel vous installez le serveur et la console d'administration doit exécuter un des systèmes d'exploitation suivants : Windows 2000 Server (SP3+) Windows 2003 Server (SP0+) Windows 2003 Server R2 Standard et édition Enterprise (64 bits). L'ordinateur nécessite également : Internet Explorer 5 ou supérieur Au minimum 80 Mo d'espace disque pour l'installation. Votre bibliothèque de logiciels et votre base de données Sophos nécessitent également de l'espace disponible, comme décrit ci-dessous. Vous pouvez installer une console d'administration distante sur tous les ordinateurs qui sont conformes aux configurations requises mentionnées ci-dessus. Vous pouvez également l'installer sur : Windows 2000 Professionnel (SP3+) Windows XP Professionnel (SP1+) Configuration requise pour EM Library L'ordinateur sur lequel vous placez EM Library, c'est-à-dire l'outil de téléchargement des mises à jour, doit avoir la configuration requise décrite à la section Il doit également avoir : une connexion Internet. environ 120 Mo d'espace disque pour la bibliothèque créée. jusqu'à 300 Mo d'espace disque pour les répertoires d'installation centralisée où les mises à jour sont mises à disposition pour les ordinateurs en réseau. 12

13 Si vous utilisez une connexion Internet par numérotation, reportezvous au Supplément EM Library pour les entreprises utilisant une connexion à Internet par numérotation (en anglais), disponible sur le CD-ROM Sophos Network Install CD. Si vous accédez à Internet via un proxy, utilisez l'un des ces protocoles d'authentification : Anonyme, Basique ou NT défi/réponse (NTLM) Configuration requise pour la base de données Sophos L'ordinateur sur lequel vous placez la base de données doit avoir la configuration requise décrite à la section Il doit aussi avoir : 300 Mo d'espace disque minimum. Si vous utilisez MSDE, la taille maximum qu'une base de données peut atteindre s'élève à 2 Go. Si vous utilisez une base de données Microsoft SQL, aucune limite n'est imposée en dehors de celle définie par l'administrateur. 2.2 Configuration requise pour les logiciels antivirus et pare-feu Cette section indique la configuration requise pour que les logiciels de sécurité Sophos fonctionnent sur les ordinateurs Windows, Mac, Linux, NetWare et UNIX. Le logiciel pare-feu peut être installé sur Windows 2000 ou supérieur. Désinstallez le logiciel antivirus de tout autre éditeur avant d'installer Sophos Anti-Virus. Si vous désirez protéger les ordinateurs avec Sophos Client Firewall, désinstallez d'abord tout autre logiciel pare-feu (sauf le pare-feu Windows) Ordinateurs Windows 2000, XP Professionnel, 2003 et NT Les ordinateurs Windows 2000, XP Professionnel, 2003 et NT doivent : avoir Internet Explorer 5 ou supérieur (fourni avec Windows, sauf NT) 120 Mo d'espace disque libre (90 Mo pour NT) 256 Mo de mémoire. 13

14 Pour installer les logiciels sur ces ordinateurs directement depuis la console (méthode recommandée), ces ordinateurs doivent aussi : exécuter les services suivants : Registre distant, Serveur, Explorateur d'ordinateur et Planificateur de tâches avoir le partage admin C$ activé avoir le "Partage de fichiers simple" désactivé (XP seulement) Ordinateurs Windows XP Service Pack 2 Les ordinateurs Windows XP Service Pack 2 doivent avoir la configuration requise décrite à la section Vous devez aussi : activer le Partage des fichiers et imprimantes pour les réseaux Microsoft" vous assurer que les ports TCP 8192, 8193 et 8194 sont ouverts redémarrer l'ordinateur pour appliquer les changements Ordinateurs Windows Vista Les ordinateurs Windows Vista doivent avoir la configuration requise décrite à la section D'autres conditions requises figurent cidessous. Assurez-vous que le Service Registre distant est démarré et que son type de démarrage est défini sur Automatique. Ce service n'est pas actif par défaut sur Windows Vista. Désactivez Contrôle du compte utilisateur. Ceci est accessible via Démarrer Panneau de configuration Comptes utilisateur Activer ou désactiver le contrôle du compte utilisateur. Une fois l'installation terminée, activez de nouveau cette option. Ouvrez le Pare-feu Windows avec fonctions avancées de sécurité. Ceci est accessible via Démarrer Panneau de configuration Outils d'administration. Changez les Règles de trafic entrant pour activer les éléments suivants : Administration à distance (NP-Entrée) Administration à distance (NP-Entrée) Domaine Privé 14

15 Administration à distance (RPC) Administration à distance (RPC) Administration à distance (RPC-EPMAP) Administration à distance (RPC-EPMAP) Domaine Privé Domaine Privé Une fois l'installation terminée, désactivez de nouveau ces processus Ordinateurs Windows 95/98/Me Les ordinateurs Windows 95/98/Me doivent avoir : 90 Mo d'espace disque 64 Mo de mémoire. En outre : Si vous avez une version antérieure de Sophos Anti-Virus pour ordinateurs Windows 95/98/Me, désinstallez-la avant d'installer la version la plus récente. Installez d'abord la mise à jour Windows Socket 2 avant d'exécuter le programme d'installation sur un ordinateur Windows 95. Cette mise à jour est disponible en anglais sur : wuadmintools/s_wunetworkingtools/w95sockets2/ Ordinateurs Mac Vous pouvez installer les logiciels Sophos sur des ordinateurs Mac de type Intel ou PowerPC. Ces ordinateurs doivent avoir : Mac OS X 10.2 ou supérieur 77 Mo d'espace disque 128 Mo de mémoire Ordinateurs Linux Consultez l'article de la base de connaissances du support Sophos ( 15

16 2.2.7 Ordinateurs NetWare Vous pouvez installer Sophos Anti-Virus sur des serveurs qui exécutent Novell NetWare 5.1 ou supérieur sur lesquels des correctifs ont été appliqués au niveau défini dans la liste des correctifs de Novell. Consultez Ordinateurs Unix AIX sur PowerPC Solaris sur SPARC Solaris sur Intel Linux sur Intel (avec libc6) Linux sur Intel (avec libc6) (glibc 2.2 et supérieur) Linux sur AMD64 FreeBSD Version 3+ sur Intel (utilisant le format ELF) FreeBSD Version 4.5+ sur Intel (utilisant le format ELF) FreeBSD Version 5.2+ sur Intel (utilisant le format ELF) FreeBSD Version 6+ sur AMD64 SCO UnixWare sur Intel SCO OpenServer sur Intel Tru64/Digital UNIX sur Alpha HP-UX sur HP-PA HP-UX sur Itanium (IA64) OpenBSD sur i386 OpenBSD sur AMD64 16

17 3 Installation des outils d'administration Vous devez être connecté à Internet avant de commencer. S'il est impossible d'établir une connexion avec la Databank Sophos, l'installation ne pourra pas se poursuivre. Si vous effectuez l'installation sur un serveur Windows 2000, il devra être redémarré après l'installation. 1. Si l'ordinateur est dans un domaine, nous vous recommandons de vous connecter en tant qu'administrateur de domaine (pour autoriser l'utilisation de l'enterprise Console à d'autres utilisateurs). Si l'ordinateur est dans un groupe de travail, connectez-vous en tant qu'administrateur local. 2. Insérez le CD-ROM Sophos Network Install CD. Le CD-ROM doit se lancer automatiquement. Lorsque la page de bienvenue apparaît, cliquez sur Installer. Autrement, téléchargez Sophos Endpoint Security and Control Network Installer depuis le site Web de Sophos et exécutez-le. 3. Un assistant d'installation se lance. Dans la boîte de dialogue de bienvenue, cliquez sur Suivant Dans la boîte de dialogue Contrat de licence, acceptez les termes de ce contrat de licence si vous voulez continuer. Cliquez sur Suivant. Dans la boîte de dialogue Dossier cible, acceptez la sélection par défaut et cliquez sur Suivant. 17

18 6. Dans la boîte de dialogue Type d'installation, la sélection par défaut est Installation standard. Cliquez sur Suivant. 7. Dans la boîte de dialogue Envoi de rapports à Sophos, il vous est demandé si vous souhaitez que l'enterprise Console envoie chaque semaine à Sophos des détails sur le nombre et le type d'ordinateurs administrés. Si vous acceptez, sélectionnez Je suis d'accord et cliquez sur Suivant. Autrement, laissez cette option dessélectionnée et passez à l'étape Si vous avez accepté d'envoyer des informations à Sophos, vous êtes invité à saisir votre Nom utilisateur de téléchargement EM (imprimé sur votre annexe de licence) ainsi qu'une adresse électronique de contact. Les deux sont facultatifs. Cliquez sur Suivant. 9. Dans la boîte de dialogue L'installation du programme peut commencer, cliquez sur Installer. Si l'ordinateur est dans un domaine et que vous avez ouvert une session en tant qu'administrateur de domaine, vous voyez apparaître la boîte de dialogue mentionnée à l'étape 10. Autrement, vous voyez apparaître la boîte de message évoquée à l'étape Si l'ordinateur est dans un domaine, la boîte de dialogue Groupe d'utilisateur Enterprise Console apparaît. Vous pouvez ici spécifier qui peut utiliser l'enterprise Console. Sélectionnez un groupe global existant ou saisissez le nom d'un nouveau groupe global. Cliquez sur Suivant. 11. Lorsque l'installation est terminée, vous êtes invité à fermer la session ou à redémarrer. Cliquez sur Oui ou sur Terminer pour continuer l'installation. Si vous avez effectué l'installation dans un domaine mais avec les droits de l'administrateur local, ajoutez le groupe d'utilisateur Enterprise Console dans les groupes locaux Sophos Console Administrators et SophosDBUsers. Si vous remplacez le serveur, assurez-vous que le nouveau serveur porte le même nom et la même adresse IP afin que l'enterprise Console puisse continuer à administrer les ordinateurs. Téléchargez ensuite les logiciels dont vous avez besoin et paramétrez la mise à jour automatique (chapitre 4). 18

19 4 Téléchargement des logiciels et configuration de la mise à jour Lorsque vous ouvrez une session la première fois après l'installation des outils d'administration, vous êtes invité à configurer les téléchargements et la mise à jour. Si vous avez installé la Sophos Enterprise Console à l'aide d'un poste de travail distant, il ne vous sera pas demandé de poursuivre l'installation. Sélectionnez Démarrer Programmes Sophos EM Library puis, rendez-vous à l'annexe Dans la boîte de dialogue Bienvenue dans Sophos Endpoint Security and Control, sélectionnez le type de configuration que vous préférez. Configuration rapide est recommandé pour la plupart des utilisateurs. Il vous permet de : télécharger les logiciels Sophos nécessaires dans les emplacements par défaut, prêts pour une distribution sur les ordinateurs en réseau configurer l'heure de la mise à jour automatique de ces logiciels créer des groupes pour vos ordinateurs en réseau (si vous utilisez Active Directory). Configuration étendue vous procure plus de contrôle des paramètres de téléchargement et de mise à jour. Si vous sélectionnez une configuration étendue, passez immédiatement à l'annexe Si vous sélectionnez Configuration rapide, l'assistant d'abonnement aux mises à jour Sophos se lance. Dans la boîte de dialogue de bienvenue, cliquez sur Suivant. 3. Dans la boîte de dialogue Sélection des logiciels, sélectionnez les logiciels Sophos que vous voulez télécharger et maintenir à jour automatiquement. Cliquez sur Suivant. 4. Sélectionnez seulement les logiciels dont vous avez besoin maintenant. Si vos besoins changent ultérieurement, vous pourrez toujours changer votre sélection. Dans la boîte de dialogue Saisie des détails du compte de téléchargement Sophos, saisissez le nom utilisateur et le mot de 19

20 passe Téléchargement EM. Celui-ci est imprimé sur l'annexe de votre licence. Cliquez sur Suivant. Dans la boîte de dialogue Téléchargement des logiciels, vous pouvez voir les étapes de l'assistant. Cliquez sur Suivant. La boîte de dialogue Progression du téléchargement apparaît. Attendez que le téléchargement se termine. Dans la boîte de dialogue Fin de l'assistant d'abonnement aux mises à jour Sophos, cliquez sur Terminer pour fermer l'assistant. L'Enterprise Console est lancée pour la première fois. Pour ouvrir l'enterprise Console la prochaine fois, dans la barre des tâches Windows, cliquez sur Démarrer Programmes Sophos Sophos Enterprise Console. Vous êtes prêt à préconfigurer vos logiciels de sécurité et à les installer sur vos ordinateurs en réseau. Si vous voulez installer et gérer le logiciel à partir d'un autre ordinateur, par exemple, un poste de travail, allez sur ce dernier et poursuivez jusqu'au chapitre 5. Si vous voulez tout effectuer depuis cet ordinateur, laissez l'enterprise Console ouverte et passez directement au chapitre 6. 20

21 5 Installation d'une console d'administration distante Pour installer une console d'administration distante, exécutez le même programme d'installation que vous avez utilisé au chapitre Rendez-vous sur l'ordinateur depuis lequel vous souhaitez administrer les logiciels Sophos sur votre réseau. Insérez le CD- ROM Sophos Network Install CD. Le CD-ROM doit se lancer automatiquement. Lorsque la page de bienvenue apparaît, cliquez sur Installer. Autrement, téléchargez le Sophos Endpoint Security and Control Network Installer depuis le site Web de Sophos et exécutez-le. 2. Un assistant d'installation se lance. Dans la boîte de dialogue de bienvenue, cliquez sur Suivant. 3. Dans la boîte de dialogue Contrat de licence, acceptez les termes de ce contrat de licence si vous voulez continuer. Cliquez sur Suivant. 4. Dans la boîte de dialogue Dossier cible, acceptez le dossier par défaut et cliquez sur Suivant. 5. Dans la boîte de dialogue Type d'installation, sélectionnez Installation personnalisée. La Console d'administration est sélectionnée par défaut. Cliquez sur Suivant. 6. Dans la boîte de dialogue Service d'administration, naviguez jusqu'à l'ordinateur sur lequel est installé le serveur d'administration (si vous avez effectué une installation Standard, il s'agit de l'ordinateur du chapitre 3). Cliquez sur Suivant. 7. Si l'ordinateur est dans un domaine, la boîte de dialogue Groupe d'utilisateur Enterprise Console apparaît. Vous pouvez ici spécifier qui peut utiliser l'enterprise Console. Sélectionnez un groupe global existant (si vous en avez un) ou saisissez le nom du nouveau groupe global qui sera créé pour vous. 8. Dans la boîte de dialogue L'installation du programme peut commencer, cliquez sur Installer. 9. A la fin de l'installation, vous êtes invité à réouvrir une session. 21

22 Ouvrez une session en tant que membre du groupe d'utilisateurs autorisé à utiliser l'enterprise Console. 10. Lors de la réouverture de session, l'enterprise Console se lance pour la première fois. Vous êtes maintenant prêt à protéger vos ordinateurs. Pour ouvrir l'enterprise Console la prochaine fois, dans la barre des tâches Windows, cliquez sur Démarrer Programmes Sophos Sophos Enterprise Console. Vous pouvez autoriser l'utilisation de la console à d'autres utilisateurs. Si l'ordinateur est dans un domaine, ajoutez l'utilisateur au groupe que vous avez sélectionné à l'étape 7. Si l'ordinateur est dans un groupe de travail, ajoutez l'utilisateur au groupe Sophos Console Administrators et au groupe Sophos DB users sur l'ordinateur sur lequel est installé le serveur d'administration. 22

23 6 Création de groupes pour vos ordinateurs Si vous utilisez Active Directory et avez terminé avec l'assistant d'abonnement aux mises à jour Sophos, vous pouvez ignorer ce chapitre. Passez directement au chapitre 7. Vous pouvez protéger les ordinateurs seulement s'ils sont dans des groupes et si des stratégies leur sont appliquées. Un groupe contient un certain nombre d'ordinateurs (qui ne fonctionnent pas tous avec le même système d'exploitation). Les ordinateurs du groupe utilisent les mêmes stratégies et se mettent à jour depuis le même emplacement. Vous pouvez utiliser des groupes pour rassembler les ordinateurs qui nécessitent une configuration particulière. Par exemple, vous pouvez avoir un groupe pour les serveurs Exchange sur lesquels vous ne désirez pas exécuter de contrôle sur accès Pour créer votre premier groupe, cliquez sur l'icône Créer un groupe. Un Nouveau groupe est ajouté dans le volet de gauche et son nom est mis en surbrillance. Saissez le nom que vous voulez attribuer au groupe. 3. Pour créer d'autres groupes, allez dans le volet de gauche. Sélectionnez le serveur qui figure au sommet si vous désirez créer un autre groupe principal. Sélectionnez un groupe si vous voulez créer un sous-groupe dans le groupe principal. Puis répétez l'étape 1. Chaque nouveau groupe dispose d'une série de stratégies par défaut qui leur sont appliquées. 23

24 7 Configuration des stratégies 24 Une stratégie est un ensemble de paramètres pouvant être appliqué aux ordinateurs d'un ou de plusieurs groupes. Lorsque des groupes sont créés, des stratégies par défaut sont appliquées. Ce chapitre aborde les stratégies par défaut et vous indique si vous devez les changer. 7.1 Stratégie de mise à jour Si vous utilisez la Configuration rapide (chapitre 4), vous n'avez pas besoin de configurer une stratégie de mise à jour. Les ordinateurs se mettront à jour depuis les répertoires d'installation centralisée par défaut qui ont été créés sur l'ordinateur sur lequel est installée l'enterprise Console. Si vous avez choisi Configuration étendue, vous devez configurer des stratégies de mise à jour comme suit. 1. Dans le volet des Stratégies (en bas, à gauche de la fenêtre), cliquez deux fois sur Mise à jour puis cliquez deux fois sur Par défaut. Vous pouvez ici modifier la stratégie par défaut qui est déjà appliquée à votre ou vos nouveaux groupes Autrement, vous pouvez créer une nouvelle stratégie. Cliquez avec le bouton droit de la souris sur Mise à jour et sélectionnez Créer une stratégie. Dans la boîte de dialogue Stratégie de mise à jour, sélectionnez le système d'exploitation qu'utilisent les ordinateurs de ce groupe, par exemple Windows 2000 ou supérieur. Cliquez sur Configurer. Cliquez sur l'onglet Serveur principal. Dans le champ Adresse, cliquez sur la flèche du menu déroulant et sélectionnez le répertoire à partir duquel les ordinateurs récupéreront les mises à jour, par exemple, le répertoire \\Nomserveur\InterChk\ SAVSCFXP pour les ordinateurs Windows 2000 ou supérieur. Saisissez le Nom utilisateur et le Mot de passe du compte qui fonctionne sur les ordinateurs du groupe a un accès en lecture à l'adresse que vous venez de saisir. Si le Nom utilisateur a besoin d'être qualifié pour indiquer le domaine, utilisez la forme domaine\nom utilisateur.

25 7.2 Stratégie antivirus et HIPS Par défaut, Sophos Anti-Virus va : refuser l'accès à tout fichier contenant des virus/spywares détecter tout comportement suspect des programmes en cours d'exécution envoyer une alerte à la console à chaque fois qu'une menace est détectée. Vous pouvez, si vous le souhaitez : désactiver le contrôle sur accès sur les serveurs Exchange ou sur d'autres serveurs dont les performances pourraient être affectées (voir l'article de la base de connaissances ). bloquer tout comportement suspect (voir le chapitre 13) rechercher les fichiers suspects (voir le chapitre 14) rechercher les applications potentiellement indésirables (voir le chapitre 15). Pour modifier la stratégie antivirus et HIPS : 1. Vérifiez quelle stratégie antivirus et HIPS est utilisée par le(s) groupe(s) d'ordinateurs que vous voulez configurer. Procédez en recherchant le groupe dans le volet Groupes, puis cliquez dessus avec le bouton droit de la souris et sélectionnez Voir les stratégies de ce groupe. 2. Dans le volet Stratégies, cliquez deux fois sur Antivirus et HIPS. Puis, cliquez deux fois sur la stratégie que vous désirez modifier. 3. Dans la boîte de dialogue Stratégie antivirus et HIPS, modifiez les paramètres. 7.3 Stratégie de contrôle des applications Par défaut, le contrôle des applications n'est pas activé. Le chapitre 16 vous explique comment le configurer. 7.4 Stratégie de pare-feu Par défaut, le pare-feu bloque toutes les connexions qui ne sont pas indispensables. Aussi, vous devez créer votre propre stratégie de parefeu. Le chapitre 12 vous explique comment procéder. 25

26 8 Recherche d'ordinateurs et ajout dans les groupes Si vous utilisez Active Directory et avez terminé avec l'assistant d'abonnement aux mises à jour Sophos, vous pouvez ignorer ce chapitre. Passez directement au chapitre 9. Vous devez rechercher les ordinateurs sur le réseau avant que l'enterprise Console ne puisse les protéger et les gérer. 1. Cliquez sur l'icône Rechercher de nouveaux ordinateurs dans la barre d'outils. 2. Sélectionnez la méthode que vous voulez utiliser pour rechercher des ordinateurs. Importation depuis Active Directory est conseillée. Ceci vous permet d'importer vos groupes et vos ordinateurs existants. Vous pourrez maintenir la synchronisation de ces groupes à l'avenir et vous assurer que les nouveaux ordinateurs du réseau sont protégés automatiquement. Si vous sélectionnez Importation depuis Active Directory, un assistant est lancé pour vous guider tout au long du processus. Fermez l'assistant et passez au chapitre 10. Si vous sélectionnez Recherche avec Active Directory, Recherche sur le réseau ou Recherche par plage IP, passez à l'étape Si vous avez sélectionné l'une des options de Recherche, vous êtes invité à entrer un nom utilisateur et un mot de passe. Ceci est indispensable si vous avez des ordinateurs (par exemple, Windows XP Service Pack 2) dont l'accès est impossible sans les détails d'un compte. Le compte doit être un compte d'administrateur de domaine ou disposer des pleins droits administratifs sur l'ordinateur XP cible. 4. Si vous utilisez un compte de domaine, saisissez le nom utilisateur au format domaine\utilisateur. Sélectionnez ensuite les domaines ou les groupes de travail où vous voulez rechercher les ordinateurs. Cliquez sur OK. La console recherche des ordinateurs et les ajoute dans le dossier Non affectés. 26

27 5. Cliquez sur le dossier Non affectés. Sélectionnez les ordinateurs que vous voulez glisser-déposer dans le groupe de votre choix dans le volet Groupes. Un assistant se lance pour vous aider à protéger les ordinateurs (voir le chapitre 9). Vous pouvez placer dans le même groupe des ordinateurs ayant des systèmes d'exploitation différents. 27

28 9 Protection des ordinateurs Protégez maintenant vos ordinateurs en y installant les logiciels de sécurité Sophos. Si vous voulez utiliser Sophos Client Firewall, installez-le uniquement sur quelques ordinateurs spécimens. Le pare-feu empêche d'abord l'accès réseau et doit être configuré avant d'être installé sur tous les ordinateurs. Pour de plus amples détails, consultez l'article de la base de connaissances sur le site Web de Sophos. 1. Sélectionnez les ordinateurs que vous voulez protéger. Cliquez avec le bouton droit de la souris et sélectionnez Protéger les ordinateurs pour lancer un assistant. 2. L'assistant se lance automatiquement si vous déplacez des ordinateurs non protégés dans un groupe. Dans la boîte de dialogue Bienvenue, cliquez sur Suivant. 3. Dans la boîte de dialogue Sélection des logiciels de sécurité, sélectionnez les logiciels que vous voulez installer. Sophos Client Firewall est uniquement disponible pour Windows 2000 ou supérieur. Cliquez sur Suivant. Vous ne pouvez pas installer Sophos Client Firewall sur les serveurs. Vous devrez redémarrer tous les ordinateurs sur lesquels vous installez Sophos Client Firewall. 28

29 Si vous avez sélectionné le logiciel de pare-feu, il vous est demandé de vérifier que votre licence vous donne le droit de l'utiliser. Cliquez sur OK pour continuer. Dans la boîte de dialogue Récapitulatif de la protection, tous les problèmes rencontrés avec l'installation apparaissent dans la colonne Problèmes de protection. Les problèmes les plus courants sont L'installation automatique est impossible sur ce système d'exploitation. Procédez à une installation manuelle (chapitre 19 pour Windows/Mac et chapitre 20 pour Linux). Le système d'exploitation n'a pas pu être déterminé. Vous n'avez peut-être pas saisi votre nom utilisateur au format domaine\nomutilisateur lors de la recherche des ordinateurs. Les ordinateurs exécutent un pare-feu (ceci concerne généralement les ordinateurs Windows XP SP2). Cliquez sur Suivant. Dans la boîte de dialogue Codes d'accès de protection des ordinateurs, saisissez les détails d'un compte qui peut être utilisé pour installer le logiciel sur les ordinateurs. Généralement, il s'agit d'un compte d'administrateur de domaine. Il doit impérativement posséder les droits d'administrateur local sur les ordinateurs que vous souhaitez protéger pouvoir se connecter à l'ordinateur sur lequel vous avez installé le serveur d'administration (voir le chapitre 3) avoir un accès en lecture à l'emplacement à partir duquel les ordinateurs se mettront à jour (pour vérifier cet emplacement, dans le volet Stratégies, cliquez deux fois sur Mise à jour, puis cliquez deux fois sur Par défaut). Cliquez sur Terminer. L'installation s'effectue par étapes, ainsi l'opération peut prendre un certain temps avant de se terminer sur tous les ordinateurs. Une fois l'installation terminée, consultez de nouveau la liste des ordinateurs. Dans la colonne Sur accès, vous devriez voir le terme Actif : celui-ci indique que le contrôle viral sur accès est activé sur cet ordinateur. 29

30 8. Si vous avez installé le pare-feu pour la première fois, assurez-vous d'avoir rempli les instructions du chapitre 12 de ce guide. Il est nécessaire de redémarrer les ordinateurs pour effectuer un contrôle des fichiers faisant l'objet d'accès par DFS (Windows 2000/XP) ou par l'intermédiaire de systèmes de fichiers autres que Microsoft (Windows 2000). Répétez les étapes ci-dessus pour chaque groupe d'ordinateurs. Vérifiez maintenant que les ordinateurs sont pleinement protégés et à jour (chapitre 10). Si vous êtes un utilisateur Active Directory, vous pouvez aussi configurer l'enterprise Console pour protéger les nouveaux ordinateurs automatiquement lorsqu'ils sont ajoutés au réseau (chapitre 11). 30

31 10 Vérification de la protection des ordinateurs Vos ordinateurs sont intégralement protégés si le contrôle sur accès est en cours d'exécution, si le pare-feu est activé (s'il est installé) et si les ordinateurs sont mis à jour. Ceci est valable pour les stations de travail. Vous pouvez désactiver le contrôle sur accès sur les serveurs Exchange ou sur tout serveur dont les performances pourraient être affectées. Pour vérifier que les ordinateurs sont protégés, procédez ainsi : 1. Sélectionnez le groupe d'ordinateurs que vous désirez vérifier. 2. Pour vérifier les ordinateurs dans les sous-groupes du groupe, sélectionnez A ce niveau et au-dessous dans le menu déroulant. 3. Dans la colonne Sur accès. Si "Actif " apparaît l'ordinateur est protégé par le contrôle sur accès. Si vous voyez un bouclier gris et le mot "Inactif ", il ne l'est pas. Dans la colonne Pare-feu activé. Si "Oui" apparaît, l'ordinateur est protégé par le pare-feu. Si vous voyez un mur de briques gris et "Non", il ne l'est pas. Enfin, dans la colonne A jour. Si Oui apparaît, l'ordinateur est à jour. Si vous voyez une horloge accompagnée du message "Pas depuis..., il n'est pas à jour. Si tous les ordinateurs sont non protégés, reportez-vous aux fichiers d'aide de l'enterprise Console pour plus de conseils. Ouvrez la rubrique Comment m'assurer que mon réseau est protégé? et cliquez sur Rechercher les ordinateurs non protégés. Pour protéger automatiquement les nouveaux ordinateurs, reportez-vous au chapitre

32 11 Garantie de la protection automatique des nouveaux ordinateurs Vous pouvez synchroniser vos groupes avec Active Directory, de façon à ce que l'enterprise Console : vérifie régulièrement Active Directory à la recherche des nouveaux ordinateurs et groupes et les ajoute automatiquement à la liste des ordinateurs protège automatiquement les nouveaux ordinateurs. Pour configurer la synchronisation, procédez ainsi Dans le menu Groupes, sélectionnez Synchroniser avec Active Directory. Un assistant se lance pour vous guider tout au long de la procédure. Dans la boîte de dialogue Aperçu, cliquez sur Suivant. Dans la boîte de dialogue Sélection du groupe Enterprise Console, sélectionnez un groupe. Cliquez sur Suivant. Dans la boîte de dialogue Sélection d'un conteneur Active Directory, sélectionnez un conteneur Active Directory avec lequel vous voulez synchroniser le groupe. Saisissez le nom du conteneur, par exemple : LDAP://CN=Computers,DC=domain_name,DC=local) ou cliquez sur Parcourir pour naviguer vers le conteneur dans Active Directory. Cliquez sur Suivant. Dans la boîte de dialogue Protéger automatiquement les ordinateurs, sélectionnez Installer Sophos Anti-Virus automatiquement si vous voulez que Sophos Anti-Virus soit installé sur les nouveaux ordinateurs Windows 2000 ou supérieur. Sélectionnez Installer Sophos Client Firewall automatiquement si vous voulez installer le pare-feu ainsi que le logiciel antivirus. Cliquez sur Suivant. 32

33 Tous les postes de travail Windows 2000 ou supérieur découverts lors de cette synchronisation et de celles à venir seront protégés automatiquement, selon leurs stratégies de groupe respectives Vous pouvez activer ou désactiver la protection automatique ultérieurement. Cliquez avec le bouton droit de la souris sur le groupe, sélectionnez Propriétés de synchronisation et modifiez les paramètres. Les ordinateurs Windows 95/98/Me, sous systèmes d'exploitation serveur Windows, Mac ou Linux ne seront pas protégés automatiquement. Protégez impérativement ces ordinateurs manuellement, comme décrit au chapitre 19 (Windows/Mac) et au chapitre 20 (Linux). Si vous avez choisi de protéger les ordinateurs automatiquement, la boîte de dialogue Saisie des codes d'accès Active Directory apparaît. Saisissez les détails d'un compte administrateur qui sera utilisé pour installer les logiciels sur les ordinateurs. Cliquez sur Suivant. Dans la boîte de dialogue Sélection de l'intervalle de synchronisation, choisissez la fréquence de synchronisation souhaitée du groupe Enterprise Console avec le conteneur Active Directory. La valeur par défaut est 60 minutes. Dans la boîte de dialogue Confirmation de vos choix, vérifiez les détails, puis cliquez sur Suivant pour continuer. Dans la dernière boîte de dialogue, vous pouvez voir les détails des groupes et des ordinateurs qui ont été synchronisés. 33

34 34

35 Ajout d'une protection supplémentaire

36 12 Configuration d'une stratégie de pare-feu 36 Par défaut, le pare-feu bloque toutes les connexions qui ne sont pas indispensables. Aussi, vous devez créer votre propre stratégie de pare-feu. Nous vous recommandons d'installer le pare-feu sur quelques ordinateurs spécimens, de le personnaliser puis d'utiliser ces paramètres en tant que stratégie. Dès que vous avez installé le pare-feu sur les ordinateurs habituellement connectés à votre réseau (étapes du chapitre 9), procédez comme suit : 1. Allez sur chaque ordinateur et redémarrez-le pour activer le parefeu. Cliquez avec le bouton droit de la souris sur l'icône pare-feu de la zone de notification et sélectionnez Configurer. 2. Dans la boîte de dialogue Editeur de configuration SCF, cliquez sur l'onglet Applications. Cliquez sur Ajouter et naviguez jusqu'à l'application désirée. L'application est alors fiable. Pour une plus grande sécurité, cliquez sur Personnaliser (en bas à droite de la boîte de dialogue) et créez une règle. Autrement, sur la page à onglet Général, sélectionnez Interactif. Le pare-feu vous invite à autoriser ou à bloquer chaque application lors de son utilisation. 3. Lorsque le pare-feu est configuré, sur la page à onglet Général, cliquez sur Exporter pour exporter la configuration sur l'emplacement de votre choix. 4. Répétez les étapes ci-dessus sur chaque ordinateur que vous voulez utiliser comme spécimen. 5. A présent, rendez-vous sur l'enterprise Console. Dans le volet Stratégies, cliquez deux fois sur Pare-feu puis cliquez deux fois sur la stratégie que vous souhaitez modifier. 6. Dans la boîte de dialogue Stratégie de pare-feu, sur la page à onglet Général, cliquez sur Importer et importer une configuration créée plus tôt. Lors de l'importation de chaque configuration, il vous est proposé l'option de fusionner cette configuration avec d'autres configurations que vous avez déjà importées. 7. Vous êtes maintenant prêt à protéger le reste de vos ordinateurs. Répétez les étapes du chapitre 9.

37 13 Détection de comportement suspect Par défaut, Sophos Anti-Virus analyse le comportement de tous les programmes fonctionnant sur un ordinateur et peut bloquer : tout comportement suspect, par exemple les changements dans le registre qui pourraient permettre à un virus de s'exécuter automatiquement au redémarrage de l'ordinateur les attaques par dépassement de la mémoire tampon. La détection du dépassement de la mémoire tampon n'est pas disponible pour Windows Vista et les versions 64 bits de Windows. Ces systèmes d'exploitation sont protégés contre les dépassements de la mémoire tampon par la fonctionnalité de prévention de l'exécution des données (DEP, Data Execution Prevention) de Microsoft. Lorsque Sophos Anti-Virus est installé pour la première fois, il détecte de tels comportements et envoie des alertes à l'enterprise Console. Par contre, il ne bloque pas tous les programmes détectés. Sophos vous conseille d'introduire le blocage du comportement suspect comme suit : autoriser de manière préalable tous les programmes que vous voulez continuer à exécuter à l'avenir (section 13.1) lorsque vous êtes prêt, configurez Sophos Anti-Virus pour bloquer les programmes qui sont détectés à partir de maintenant (section 13.2). Cette approche évite le blocage des programmes dont vos utilisateurs pourraient avoir besoin Autorisation des programmes désirés Si un comportement suspect est détecté, une icône d'alerte apparaît près du nom de l'ordinateur dans l'enterprise Console. Pour voir plus de détails, cliquez sur l'onglet Détails des alertes et des erreurs. Autorisez les programmes désirés comme suit : 37

38 Vérifiez quelle stratégie antivirus et HIPS est utilisée par le(s) groupe(s) d'ordinateurs que vous voulez configurer. Procédez en recherchant le groupe dans le volet Groupes, puis cliquez dessus avec le bouton droit de la souris et sélectionnez Voir les stratégies de ce groupe. Dans le volet Stratégies, cliquez deux fois sur Antivirus et HIPS. Puis, cliquez deux fois sur la stratégie que vous désirez modifier. Dans la boîte de dialogue Stratégie antivirus et HIPS, cliquez sur Autorisation. Dans la boîte de dialogue Gestionnaire d'autorisation, sélectionnez l'onglet correspondant au type de comportement qui a été détecté, par exemple, un dépassement de la mémoire tampon. Recherchez le programme qui a été détecté et déplacez-le de la liste Connus vers la liste Autorisés. Cliquez sur OK. Une fois que vous avez exécuté Sophos Anti-Virus en mode alerte seulement pendant un certain temps et êtes sûr d'avoir autorisé les programmes nécessaires, vous êtes prêt à activer le blocage automatique de tout comportement suspect Activation du blocage du comportement suspect Ouvrez la boîte de dialogue Stratégie antivirus et HIPS (comme lors de l'étape 2 du chapitre précédent). Cliquez sur Comportement runtime HIPS. Dans la boîte de dialogue Paramètres d'analyse comportementale runtime HIPS, assurez-vous que les formes de détection que vous voulez utiliser sont activées. Puis dessélectionnez la case à cocher Alerte seulement. Cliquez sur OK. Dorénavant, Sophos Anti-Virus bloquera les programmes dont le comportement est suspect, en fonction des règles définies par Sophos. Sophos met régulièrement à jour les règles comportementales pour répondre aux nouvelles menaces. Pour être averti à l'avance de tout changement et décider d'autoriser des programmes susceptibles d'être bloqués, inscrivez-vous à l'alerte par courriel sur

39 14 Recherche des fichiers suspects Par défaut, Sophos détecte les virus, chevaux de Troie, vers et spywares connus et inconnus. Vous pouvez aussi le configurer pour qu'il détecte des fichiers suspects. Un fichier suspect est un fichier qui contient certaines caractéristiques communes aux malwares mais dont le nombre n'est pas suffisant pour identifier le fichier comme un nouveau morceau de malware (par exemple, un fichier contenant du code de décompression dynamique fréquemment utilisé par les malwares). Cette option s'applique uniquement à Sophos Anti-Virus 7 ou supérieur pour Windows 2000 ou supérieur Vérifiez quelle stratégie antivirus et HIPS est utilisée par le(s) groupe(s) d'ordinateurs que vous voulez configurer. Procédez en recherchant le groupe dans le volet Groupes, puis cliquez dessus avec le bouton droit de la souris et sélectionnez Voir les stratégies de ce groupe. Dans le volet Stratégies, cliquez deux fois sur Antivirus et HIPS. Puis, cliquez deux fois sur la stratégie que vous désirez modifier. La boîte de dialogue Stratégie antivirus et HIPS apparaît. Assurez-vous que la case à cocher Activer le contrôle sur accès est sélectionnée. Cliquez sur Sur accès. Sur l'onglet Contrôle, dans le volet Options de contrôle, sélectionnez la case à cocher Rechercher les fichiers suspects (HIPS). Cliquez sur OK. Si vous souhaitez autoriser l'exécution de fichiers suspects sur les ordinateurs, ouvrez la stratégie Anti-virus et HIPS leur correspondant, cliquez sur Autorisation, puis, sélectionnez la page à onglets Fichiers suspects. 39

40 15 Recherche d'adwares et d'applications potentiellement indésirables (PUA) 40 Par défaut, Sophos Anti-Virus détecte les virus, les chevaux de Troie et les vers. Vous pouvez aussi le configurer pour la détection des adwares et des applications potentiellement indésirables (PUA). Cette option s'applique uniquement à Sophos Anti-Virus 6 ou supérieur sur Windows 2000 ou supérieur. Lorsque vous utilisez cette forme de contrôle pour la première fois, il peut générer de nombreuses alertes et entraîner des problèmes pour les applications déjà en cours d'exécution sur votre réseau. Sophos vous conseille d'utiliser un contrôle intégral du système pour détecter les adwares/pua d'autoriser ou de supprimer toutes les applications qui sont détectées d'activer le contrôle sur accès pour protéger vos ordinateurs à l'avenir Exécution d'un contrôle intégral du système Nous vous recommandons d'utiliser un contrôle intégral du système qui effectuera un contrôle immédiat des ordinateurs. Vous pouvez aussi choisir de paramétrer un contrôle planifié, comme décrit dans les fichiers d'aide de la Sophos Enterprise Console. Ouvrez la rubrique Comment modifier les paramètres antivirus et HIPS? et cliquez sur Contrôle des ordinateurs à des heures définies. 1. Sélectionnez les ordinateurs que vous souhaitez contrôler dans la liste des ordinateurs ou le groupe dans le volet Groupes. Cliquez avec le bouton droit de la souris et sélectionnez Contrôle intégral du système. 2. Dans la boîte de dialogue Contrôle intégral du système, vérifiez les détails des ordinateurs à contrôler et cliquez sur OK pour lancer le contrôle. Lorsque le contrôle s'effectue, Sophos Anti-Virus peut signaler certains adwares/pua. Vous pouvez autoriser l'utilisation de ces applications ou les supprimer (section 15.2).

41 15.2 Autorisation des applications désirées Si vous voulez que vos ordinateurs exécutent les applications, procédez ainsi Dans la boîte de dialogue Stratégie antivirus et HIPS, cliquez sur Autorisation. Dans la boîte de dialogue Gestionnaire d'autorisation, sélectionnez l'onglet Adwares/PUA. Les applications détectées apparaissent dans la liste Adwares/PUA connus. Sélectionnez les applications que vous désirez et ajoutez-les à la liste des Adwares/ PUA autorisés. Cliquez sur OK. Pour supprimer des applications, reportez-vous au chapitre 18. Vous pouvez maintenant activer le contrôle sur accès des adwares/ PUA (section 15.3) Activation du contrôle sur accès Si vous désirez activer le contrôle sur accès, procédez comme suit : Dans la boîte de dialogue Stratégie antivirus et HIPS, cliquez sur Sur accès. Dans la boîte de dialogue Paramètres de contrôle sur accès, sélectionnez Rechercher les adwares/pua. Certaines applications surveillent les fichiers et tentent d'y accéder régulièrement. Si votre contrôle sur accès est activé, il détecte tous les accès et envoie de nombreuses alertes. Si vous souhaitez une détection et un nettoyage complets des applications potentiellement indésirables ou des menaces à plusieurs composants sur les lecteurs de disque externes, vous devez configurer Windows pour qu'il indique ces lecteurs comme locaux. 41

42 16 Recherche d'applications contrôlées Vous pouvez configurer Sophos Anti-Virus pour la détection et le blocage des "applications contrôlées, c'est-à-dire les applications légitimes qui ne constituent pas une menace pour la sécurité, mais que vous considérez comme inadaptées dans votre environnement de bureau comme les jeux ou les programmes de messagerie instantanée. Cette option s'applique uniquement à Sophos Anti-Virus 7 ou supérieur sur Windows 2000 ou supérieur. Lorsque Sophos Anti-Virus est installé pour la première fois, toutes les applications sont autorisées par défaut. Sophos vous conseille d'introduire le contrôle des applications comme suit : sélectionnez les applications que vous voulez contrôler exécutez un contrôle intégral du système pour rechercher les applications contrôlées. supprimez toutes les applications que vous ne voulez pas activez le contrôle sur accès pour les applications contrôlées. En choisissant cette approche, vous évitez de générer des grands nombres d'alertes et de bloquer les applications dont vos utilisateurs peuvent avoir besoin Sélection des applications que vous voulez contrôler Pour sélectionner des applications à contrôler, procédez comme suit : Dans le volet Stratégies, cliquez deux fois sur Contrôle des applications. Puis, cliquez deux fois sur la stratégie que vous désirez modifier. La boîte de dialogue Stratégie de contrôle des applications apparaît. Cliquez sur l'onglet Autorisation. Dans la page à onglet Autorisation, sélectionnez un Type d'application, par exemple Application de partage de fichiers. Une liste complète des applications incluses dans ce groupe apparaît dans la liste Autorisées ci-dessous. 42

43 4. Pour bloquer une application, sélectionnez-la et déplacez-la dans la liste Bloquées. Pour bloquer toutes les prochaines nouvelles applications que Sophos ajoutera à ce type, déplacez Toutes ajoutées par Sophos à l'avenir dans la liste Bloquées. Il est conseillé de laisser les applications installées avec Windows (comme les jeux) non bloquées jusqu'à ce que vous exécutiez un contrôle pour trouver quelles autres applications sont utilisées. Ceci parce que ces applications fréquentes donneront naissance à un grand nombre d'alertes. Sur la page à onglets Contrôle, sélectionnez Activer le contrôle sur accès et planifié. Cliquez sur OK. Exécutez à présent un contrôle intégral du système Exécution d'un contrôle intégral du système Nous vous recommandons d'utiliser un contrôle intégral du système qui effectuera un contrôle immédiat des ordinateurs. Si vous préférez, vous pouvez lancer un contrôle planifié. Vous pouvez aussi choisir de paramétrer un contrôle planifié, comme décrit dans les fichiers d'aide de la Sophos Enterprise Console. Ouvrez la rubrique Comment modifier les paramètres antivirus et HIPS? et cliquez sur Contrôle des ordinateurs à des heures définies Sélectionnez les ordinateurs que vous souhaitez contrôler dans la liste des ordinateurs ou le groupe dans le volet Groupes. Cliquez avec le bouton droit de la souris et sélectionnez Contrôle intégral du système. Autrement, dans le menu Actions, sélectionnez Contrôle intégral du système. Dans la boîte de dialogue Contrôle intégral du système, vérifiez les détails des ordinateurs à contrôler et cliquez sur OK pour lancer le contrôle. Lorsque le contrôle est exécuté, les alertes apparaissent dans l'enterprise Console pour toutes les applications contrôlées trouvées. 43

44 16.3 Désinstallation des applications contrôlées indésirables Avant de désinstaller les applications contrôlées, assurez-vous que le contrôle sur accès à la recherche des applications contrôlées est désactivée. Ce type de contrôle empêche les programmes utilisés d'installer et de désinstaller les applications et peut donc gêner la désinstallation. Supprimez une application de l'une des deux façons suivantes : Allez sur chaque ordinateur et exécutez le programme de désinstallation pour ce produit. Vous pouvez généralement faire ceci en ouvrant le Panneau de configuration de Windows et en utilisant Ajout/Suppression de programmes. Sur le serveur, utilisez votre script habituel ou votre outil d'administration pour lancer la désinstallation du produit sur les ordinateurs en réseau. Vous pouvez maintenant activer le contrôle sur accès Activation du contrôle sur accès Dans le volet Stratégies, cliquez deux fois sur Contrôle des applications. Puis cliquez deux fois sur une stratégie. Dans la boîte de dialogue Stratégie de contrôle des applications, sur la page à onglets Contrôle, sélectionnez Activer le contrôle sur accès. Vos paramètres de stratégie antivirus et HIPS déterminent quels fichiers vont être contrôlés (c'est-à-dire les extensions et les exclusions). Il vous est aussi possible de faire envoyer les alertes à des utilisateurs particuliers lorsqu'une application contrôlée est découverte sur un des ordinateurs du groupe. Pour plus d'instructions, reportez-vous aux fichiers d'aide de la Sophos Enterprise Console. Ouvrez la rubrique Comment configurer les alertes? et cliquez sur Configuration des alertes de contrôle des applications. 44

45 Vérification de bon fonctionnement et nettoyage

46 17 Vérification du bon fonctionnement de votre réseau Vous pouvez vérifier la santé de votre réseau en un coup d'oeil grâce au tableau de bord de l'enterprise Console. Dans la barre de menu, cliquez sur l'icône Tableau de bord. Le tableau de bord apparaît dans la partie supérieure de la fenêtre. Dans le volet gauche, le tableau de bord vous indique combien d'ordinateurs sont administrés par l'enterprise Console quand vos logiciels ont été mis à jour pour la dernière fois depuis Sophos. dans les volets central et droit, il indique aussi les statistiques des ordinateurs sur lesquels des menaces ou des applications contrôlées ont été détectées qui sont obsolètes qui ne sont pas conformes à vos stratégies sur lesquels des erreurs ont été signalées. Pour voir une liste des ordinateurs affectés, cliquez sur l'en-tête de chaque section. 46

47 Dans chaque section, le tableau de bord affiche un indicateur de statut comme suit : Sain Niveau d'alerte Niveau critique Si vous le souhaitez, vous pouvez personnaliser le seuil auquel l'enterprise Console affiche chacun de ces indicateurs. configurer l'enterprise Console pour qu'elle envoie des alertes par courriel lorsque ces seuils sont dépassés. Pour ce faire, sur la barre de menu, cliquez sur Outils Configurer le tableau de bord. D'autres informations sont disponibles dans les fichiers d'aide de l'enterprise Console. Reportez-vous au chapitre Comment m'assurer que mon réseau est protégé? qui inclut une page Configuration du tableau de bord. 47

48 18 Nettoyage des virus, PUA et fichiers suspects Vous pouvez utiliser l'enterprise Console pour nettoyer les ordinateurs qui signalent des virus/spywares ou des adwares/ applications potentiellement indésirables (PUA) Dans la liste des ordinateurs, cliquez avec le bouton droit de la souris sur le ou les ordinateurs que vous voulez nettoyer. Sélectionnez Nettoyer les éléments détectés. La boîte de dialogue Nettoyage des éléments détectés apparaît. Sélectionnez la case de chaque menace à nettoyer ou cliquez sur Sélectionner tout. Cliquez sur OK pour nettoyer le ou les ordinateurs. En cas de nettoyage réussi, la liste des ordinateurs n'affiche plus la ou les alertes. En cas d'échec du nettoyage, rendez-vous à l'adresse fr/virusinfo/analyses pour y rechercher des informations à propos de la menace ainsi que des conseils sur la manière de la nettoyer. Puis, rendez-vous sur chaque ordinateur et procédez à un nettoyage manuel. Si vous souhaitez, qu'à l'avenir, Sophos Anti-Virus tente de procéder à un nettoyage automatique, reportez-vous aux fichiers d'aide de l'enterprise Console. Ouvrez la rubrique Comment nettoyer les ordinateurs? et cliquez sur Configurer un nettoyage automatique. 48

49 Protection des ordinateurs nécessitant une installation manuelle

50 19 Protection des ordinateurs Windows et Mac nécessitant une installation manuelle Vous pouvez protéger des ordinateurs en exécutant le programme d'installation manuellement. Si vous êtes équipé d'une version antérieure de Sophos Anti-Virus pour ordinateurs Windows 95, 98 ou Me, désinstallez-la avant d'installer la dernière version. Si vous avez plusieurs ordinateurs, utilisez un script ou un programme comme Microsoft SMS pour exécuter le programme d'installation automatiquement. Reportez-vous à l'annexe Le programme d'installation est dans le même répertoire que celui à partir duquel vos ordinateurs se mettront à jour à l'avenir. Pour vérifier de quel répertoire il s'agit, sélectionnez le ou les ordinateurs que vous désirez protéger. Cliquez sur l'onglet Détails mise à jour et observez la colonne Serveur principal. Si votre licence inclut le pare-feu, vous pouvez l'installer conjointement avec le logiciel antivirus sur les ordinateurs Windows 2000 ou ultérieure. Recherchez le répertoire nommé SAVSCFXP. Allez sur chaque ordinateur et connectez-vous avec les droits d'administrateur local. Naviguez jusqu'au répertoire d'installation centralisée. Sur un ordinateur Windows, cliquez deux fois sur setup.exe Sur un ordinateur Mac OS X 10.2+, cliquez deux fois sur Sophos Anti-Virus.mpkg. Pour protéger les ordinateurs Windows 2000 ou supérieur avec le pare-feu ainsi qu'avec le logiciel antivirus, ouvrez une invite de commandes et exécutez setup.exe avec le qualificatif -scf. 50

51 3. Si vous réalisez l'installation sur un ordinateur Windows, il se peut que vous ayez à saisir vos codes d'accès utilisateur. Le compte peut être celui que vous avez utilisé au chapitre 9. Il doit : pouvoir se connecter sur les ordinateurs à protéger avoir un accès en lecture sur les répertoires d'installation centralisée (voir l'étape 1). Si vous effectuez une installation sur un ordinateur Mac OS X, une fois l'installation terminée, allez dans Préférences Système et ouvrez les pages de préférences Sophos Anti-Virus. Cliquez sur l'onglet AutoUpdate et saisissez les codes d'accès de l'utilisateur. Il est nécessaire de redémarrer les ordinateurs Windows pour pouvoir contrôler les fichiers faisant l'objet d'accès par DFS (Windows 2000/XP) ou par l'intermédiaire de systèmes de fichiers autres que Microsoft (Windows 2000). 51

52 20 Protection des ordinateurs Linux Pour protéger les ordinateurs Linux, vous devez : télécharger Sophos Anti-Virus pour Linux créer un package de distribution installer Sophos Anti-Virus sur le ou les ordinateurs Linux Téléchargement de Sophos Anti-Virus pour Linux Si vous n'avez pas encore téléchargé le logiciel Sophos Anti-Virus pour Linux, procédez ainsi : Allez sur l'ordinateur Windows sur lequel vous avez installé l'enterprise Console. Ouvrez l'enterprise Console et cliquez sur l'icône Bibliothèques. Dans Sophos EM Library, sélectionnez Library Select Packages. Dans la boîte de dialogue Select Packages, assurez-vous d'avoir dessélectionné la case Show default packages only. Puis sélectionnez le package Sophos Anti-Virus for Linux (on-access scanning). Cliquez sur OK. Dans le menu Library, sélectionnez Download Packages. Par défaut, Sophos EM library crée un répertoire partagé de la plus récente version du logiciel Sophos dans [nomserveur]\interchk\savlinux 52

53 20.2 Création d'un package de distribution Vous pouvez utiliser le script mkinstpkg pour créer un package de distribution pour vos utilisateurs finaux. Ce script vous invite à donner des informations sur la manière dont Sophos Anti-Virus sera installé sur vos ordinateurs Linux après quoi les réponses réunies sont insérées dans le package de distribution. Lorsque l'utilisateur final installe depuis ce package de distribution, ce dernier ne demande aucune information et configure correctement à la fois l'emplacement et les codes d'accès de mise à jour. Vous pouvez créer un package au format tar ou RPM. Le script mkinstpkg est uniquement réservé à une utilisation au sein de votre entreprise. Veuillez lire le contrat de licence et la notice légale affichés par le script mkinstpkg. 1. Ouvrez une session sur votre serveur Linux en tant que root. 2. Montez le répertoire partagé dans lequel le logiciel Sophos Anti- Virus pour Linux a été placé (répertoire d'installation centralisée ou CID). Par défaut, il s'agit du répertoire \InterChk\savlinux sur le serveur sur lequel l'enterprise Console est installée. (Pour autoriser le montage automatique de ce répertoire au redémarrage du système, utilisez les outils de distribution spécifiques à cette tâche ou éditez fstab.) 3. Allez dans le CID. Pour créer un package de distribution au format tar, nommé savinstpkg.tgz, exécutez./mkinstpkg.sh Pour créer un package de distribution au format RPM, nommé savinstpkg i586.rpm, exécutez./mkinstpkg.sh -r Le nom de fichier peut varier selon la configuration RPM. 4. Lorsqu'il vous est demandé l'emplacement, saisissez l'emplacement du CID (comme aperçu depuis les ordinateurs Linux). 5. Lorsqu'on vous le demande, choisissez de faire administrer les ordinateurs par l'enterprise Console. Vous êtes maintenant prêt à installer Sophos Anti Virus à l'aide du package de distribution (section 20.3). 53

54 20.3 Installation de Sophos Anti-Virus à l'aide du package de distribution 54 Utilisez le package d'installation de Sophos Anti-Virus de deux manières différentes : Automatiquement sur l'ensemble du réseau. Uniquement possible avec un package au format RPM. Reportez-vous à la section Manuellement sur chaque ordinateur. Possible avec un package au format RPM ou tar. Reportez-vous à la section Installation automatique de Sophos Anti-Virus Vous pouvez installer automatiquement Sophos Anti Virus depuis le package de distribution à l'aide d'un des outils d'administration Linux qui prend en charge le déploiement à distance. Reportez-vous à la documentation concernant cet outil. Dès que Sophos Anti-Virus est installé, il démarre et se met à jour automatiquement à chaque mise à jour du CID Installation manuelle de Sophos Anti-Virus Vous pouvez installer Sophos Anti-Virus manuellement comme suit. 1. Utilisez vos propres outils pour copier le package de distribution sur les ordinateurs sur lesquels vous voulez installer Sophos Anti-Virus. 2. Rendez-vous sur chaque ordinateur et ouvrez une session en tant que root. 3. Placez le package de distribution dans un répertoire temporaire et passez à ce répertoire. 4. Pour décompresser le package tar et exécuter le script de mise à jour manuelle, saisissez tar -zxvf savinstpkg.tgz./sophos-av/install.sh Pour installer depuis le package RPM, saisissez rpm -i <RPM package> Cette opération copie les fichiers nécessaires depuis le serveur et installe Sophos Anti-Virus. Désormais, Sophos Anti-Virus sera mis à jour automatiquement à chaque mise à jour du CID.

55 Protection des ordinateurs autonomes

56 21 Protection des ordinateurs autonomes 56 Certains ordinateurs, par exemple les ordinateurs que le personnel utilise à domicile ne sont jamais connectés au réseau et ne sont pas faciles d'accès. Pour les protéger, demandez à chaque utilisateur d'installer Sophos Anti Virus individuellement à l'aide d'un programme d'installation autonome. Le logiciel sera ensuite maintenu à jour via Internet. Il existe trois méthodes possibles : L'utilisateur télécharge le logiciel depuis Sophos. Le logiciel est ensuite automatiquement mis à jour depuis le même emplacement. Consultez l'article de la base de connaissances de Sophos. Vous publiez de nouveau le logiciel et toutes les mises à jour à venir sur votre propre site Web. L'utilisateur y télécharge le logiciel et les mises à jour. Pour plus d'informations sur la publication de mises à jour de Sophos sur votre propre site web, consultez l'article de la base de connaissances de Sophos. Vous copiez le logiciel sur un CD-ROM et l'envoyez à l'utilisateur. L'utilisateur installe Sophos Anti-Virus et le configure pour effectuer la mise à jour depuis l'emplacement de votre choix. Consultez l'article de la base de connaissances de Sophos Informations nécessaires à l'utilisateur autonome Envoyez à tous les utilisateurs non présents sur votre réseau ce qui suit : L'emplacement depuis lequel ils peuvent télécharger Sophos Anti-Virus (à moins que vous ne fournissiez un CD-ROM). Une copie du Guide de démarrage de Sophos Anti-Virus pour postes autonomes. Il s'agit d'un document électronique disponible sur le CD-ROM Sophos Network Install CD ou sur le site Web de Sophos. Leur nom utilisateur et leur mot de passe (pour un téléchargement direct depuis Sophos ou depuis votre propre site web). Lorsque vous envoyez le nom utilisateur et le mot de passe : N'envoyez pas les codes d'accès par courriel à un ordinateur infecté car ils pourraient être volés. Si nécessaire, envoyez les codes d'accès par fax ou par la poste. Pour les codes d'accès Sophos, le nom utilisateur correct commence par em.

57 Protection des ordinateurs NetWare et UNIX

58 22 Protection des serveurs NetWare Pour protéger les serveurs NetWare, vous devez : créer un répertoire pour les mises à jour Sophos télécharger Sophos Anti-Virus installer Sophos Anti-Virus charger Sophos Anti-Virus Création d'un répertoire pour les mises à jour Sophos Sur chaque serveur NetWare que vous désirez protéger, vous devez créer un répertoire dans lequel EM Library pourra placer la version la plus récente du logiciel Sophos. Ce répertoire doit être \\[serveur Netware]\SYS\SWEEP où [serveur Netware] correspond au nom du serveur NetWare Téléchargement de Sophos Anti-Virus pour NetWare Sur l'ordinateur Windows où l'entreprise Console et EM Library ont été installés, ouvrez EM Library et sélectionnez Library Select Packages. Dans la boîte de dialogue Packages, vérifiez que la case Show default packages only soit dessélectionnée. Sélectionnez le package Sophos Anti-Virus for NetWare. Cliquez sur OK. Sélectionnez Library Download Packages. Dans l'arborescence de la console, cliquez sur Central Installations. 58.

59 5. 6. Les CID créés par défaut par EM Library apparaissent. Cliquez avec le bouton droit de la souris sur Sophos Anti-Virus for NetWare CID et sélectionnez Properties. Dans la boîte de dialogue Properties, cliquez sur l'onglet Location. Sélectionnez Custom CID location et saisissez \\[serveur NetWare]\SYS\SWEEP\NLMINST EM Library va vous créer le sous-répertoire NLMINST Installation de Sophos Anti-Virus Ouvrez une session sur le serveur Netware avec des droits d'accès en écriture équivalents à ADMIN. Allez dans \\[Serveur NetWare]\SYS\SWEEP\NLMINST où [Serveur NetWare] est le nom du serveur NetWare. Copiez tous les fichiers présents sous \\[serveur Netware]\SYS\SWEEP Vous venez d'installer Sophos Anti-Virus. A présent, chargez Sophos Anti-Virus Chargement de Sophos Anti-Virus Sur la console du serveur ou en utilisant RCONSOLE depuis un poste de travail, ajoutez le répertoire d'installation par défaut au chemin de recherche : SEARCH ADD SYS:\SWEEP\ Puis saisissez LOAD SWEEP Sophos vous recommande d'ajouter ces commandes dans le même ordre que celui du fichier AUTOEXEC.NCF, afin que Sophos Anti Virus soit redémarré si le serveur est lui-même redémarré. La première fois que vous chargez Sophos Anti Virus, il vous invite à saisir les détails Administrateur. Appuyez sur une touche quelconque. 59

60 3. A l'invite de connexion, saisissez le nom distinctif pleinement qualifié d'un administrateur et appuyez sur Entrée, par exemple 4. Saisissez le mot de passe de l'administrateur et appuyez sur Entrée. Notez le nom distinctif pleinement qualifié de l'administrateur ainsi que le mot de passe (conservez ceux-ci dans un endroit sûr). Sophos Anti Virus ouvrira une session sous ce nom à chaque démarrage afin de voir l'arborescence edirectory complète. L'écran Sophos Anti-Virus apparaît. Vous venez de charger Sophos Anti-Virus. Dorénavant, Sophos Anti-Virus sera mis à jour automatiquement. 60