Annexe 1. Protection des systèmes. Consulting Team. K A S P E R S K Y L A B Immeuble l Européen 2, rue Joseph Monier Rueil Malmaison Cedex

Transcription

1 Annexe 1 Protection des systèmes Consulting Team K A S P E R S K Y L A B Immeuble l Européen 2, rue Joseph Monier Rueil Malmaison Cedex

2 Table des matières Table des matières Protection des postes et des serveurs windows: Configuration minimum Pour les OS de type postes de travail Pour les OS de type serveur Configuration pour les smartphones & tablettes Fonctionnalités globales Liste des modules de protection Modules de protection communs Postes et Serveurs Système de réputation KSN (cloud) Antivirus fichier Pare-feu et détection des intrusions (IDS) Détection des vulnérabilités Modules de protection des Postes Windows Protection antivirus du courrier Protection antivirus Internet Protection antivirus IM Surveillance du système Contrôle d application Contrôle du lancement des applications Contrôle de l'activité des applications (HIPS) Contrôle des périphériques avancés Contrôle Internet Fonctionnalités additionnelles (License Advence) Chiffrement Chiffrement intégral Authentification et autorisation Chiffrement Utilisation Sauvegarde et recouvrement Sureté de fonctionnement

3 Autres fonctions de chiffrement Contrôle de conformité (NAC/NAP) NAC Kaspersky (KL NAC) Architecture et principe La stratégie d accès Portail d accès Intégration avec Cisco NAC Intégration avec Microsoft NAP Nettoyage du poste Mécanismes de réparation automatique des postes en cas d infection Modalités d analyses Tâches d'analyses Analyse des disques amovibles lors de leur connexion à l'ordinateur Analyse à la demande de l utilisateur Comportements sur détections Gestion des quarantaines Interaction utilisateur Utilisation du programme en ligne de commande Interface du produit Notification des évènements Rapports Sécurité de l'application Mécanismes d'autoprotection Protection application Optimisation de la protection sur les postes / serveurs windows Méthodes d exclusions Processus de confiances Exclusions de fichiers Optimisation des tâches d'analyse Optimisation de la protection en temps réel Principes de fonctionnement de ichecker : Principes de fonctionnement de iswift : Protection des postes MAC

4 Configuration logicielle Introduction ANTIVIRUS FICHIERS ANALYSE MISE À JOUR QUARANTAINE DOSSIER DE SAUVEGARDE RAPPORTS NOTIFICATIONS Fonctionnalités détaillées Protection antivirus du système de fichiers de l'ordinateur Le processus d'analyse contient les étapes suivantes : Mise à jour de l application Sélection de la source de la mise à jour Copie des mises à jour Quarantaine Dossier de sauvegarde Rapports & notifications Notifications État de la protection de l'ordinateur Constitution de la zone de confiance Ressources Intégration dans la console d administration Kaspersky Concepts et définitions Kaspersky Security for Mobile Principe de fonctionnement Environnements et installation Ordre d installation Fonctionnalités Nouveautés Conteneurs Privilèges des applications et Installation du Conteneur Contrôle d applications pour Android Antivol

5 Autres fonctions Gestion de l appareil Fonctionnalités ( mise à jour dernière version ) Contrôle d applications pour Android Protection Web Android /ios/ Windows Phone Gestion de l appareil (Android) Gestion KNOX (Samsung uniquement) Contrôle de conformités (Android) Administration globale Antivirus (Android / Symbian / Windows Mobile) Antispam SMS et APPEL (Android / Blackberry / Windows Mobile / Symbian) Antivol ( Android ) Mobile Device Management (MDM) Types de MDM proposés par Kaspersky MDM for Exchange ActiveSync Fonctionnement Périphériques administrables Prérequis pour MDM for Exchange Gestion des profils Exemple de fonctionnalités disponibles dans la gestion des profils Tableau détaillé des possibilités d administration par rapport au système d exploitation MDM for ios Introduction Fonctionnement Prérequis Systèmes et installation Ordre d installation Possibilités d administration Protection des système Linux Pour les systèmes d exploitation : Noyaux supportés : Administration centralisée : Administration en ligne de commande : Kaspersky Endpoint Security for Linux

6 4.6 Pré-requis Configuration matérielle requise: Configuration logicielle : Certifications Points clés Nouveau moteur antivirus Gestion centralisée améliorée Analyseur heuristique amélioré Protection efficace contre les programmes malveillants Moteur antivirus 8.0 de Kaspersky Analyse à l'accès Analyse à la demande Mises à jour fréquentes des bases antivirus Performances optimisées Performances élevées pour un impact réduit Nouvelle architecture d'application Utilisation optimisée du CPU Administration centralisée Déploiement à distance Gestion de la sécurité des postes de travail Mises à jour automatiques Prise en charge de référentiels de quarantaine et de stockage centralisés Kaspersky Anti-Virus for Storage Présentation Pour EMC Systèmes de stockage supportés Caractéristiques Avantages Administration Configuration requise Configuration requise pour le serveur Configuration requise pour la Console Composants et architecture d administration

7 5.1 Structure technique de la solution Principe de fonctionnement client / serveur Sécurisation des flux Spécificités des communications Ports réseaux utilisés Ports à ouvrir sur le Serveur d'administration Ports à ouvrir sur les Agents de mise à jour / ou les Agents passerelles Port à ouvrir sur les postes clients Informations complémentaires : Haute disponibilité (cluster de serveur) et Sauvegarde Service de Cluster Sauvegarde du serveur Architectures Gestion des clients er cas Architecture centralisée 2 niveau de serveur de supervision: ème cas Architecture centralisée 3 niveaux de serveur de supervision: Schéma de mises à jour Schéma de déploiement Déploiement des solutions Détection des clients Méthode de détection Utilisation des agents relais / passerelles Planification des détections Déplacement automatique Paramétrage des paquets Méthodes de déploiement Planification Format des paquets d installation Désinstallation Prise en charge des produits concurrents Administration centralisée: Kaspersky Security Center Interface de gestion Administration Centralisée

8 7.2 Authentification et droits de gestion Délégations et privilèges Paramétrage des applications Tâches de groupes Wake On Lan Notifications des tâches Diffusion et application des tâches Mises à jour Paramètres Planification des mises à jour Vérification des mises à jour Déploiement et gestion Exploitation du serveur Gestion de l Etat des postes Le tableau de bord dynamique Les rapports programmable HTML Audit des administrateurs Notifications, alertes et logs Limitation des notifications Dossiers de stockage Inventaire des applications Inventaire matériel Gestion des machines virtuelles Gestion des environnements virtualisés Gestion des environnements VDI Serveurs d administration virtuels Gestion des risques Gestion des correctifs et des vulnérabilités Microsoft Gestion des vulnérabilités Utiliser le Serveur d'administration dans le rôle du serveur WSUS Contrôle des fichiers exécutables Gestion des clients mobiles Une administration centralisée malgré Internet Stratégie de paramétrage Mobiles

9 Profils de connexion / Roaming Interface Web de supervision Métriques et prérequis materiel / logiciel Configuration Générale Serveur d administration Console d administration Agent d'administration et agent de mises à jour Charge réseau des communications Tableau des communications Gestion de la bande passante et du trafic réseau ANNEXE 1 : Structure du moteur Formats de fichiers supportes Fichiers supportés Autres Formats Niveaux d analyse Mise à jour Les catégories de programmes malicieux complémentaires : Sécurité des mises à jour et flexibilité des mises à jour: Fonctionnement Modulaire Méthodes détection et d analyses

10 1 Protection des postes et des serveurs windows: Produits proposés: Kaspersky Endpoint Security 10 for Windows Kaspersky Antivirus 6 MP4 (pour la protection des postes/serveurs) sous OS windows Configuration minimum Pour garantir le fonctionnement normal, l'ordinateur doit répondre aux exigences minimales suivantes : Pour les OS de type postes de travail Général : Intel Pentium 1 GHz ou supérieur; 1 GB RAM; 1 GB d espace disque; Microsoft Internet Explorer 7.0 ou supérieur; Microsoft Windows Installer 3.0 ou supérieur; Logiciel : Microsoft Windows 8 Professional / Enterprise; Microsoft Windows 8 Professional / Enterprise x64 Edition; Microsoft Windows 7 Professional / Enterprise / Ultimate SP0 or higher; Microsoft Windows 7 Professional / Enterprise / Ultimate x64 Edition SP0 or higher; Microsoft Windows Vista Business / Enterprise / Ultimate SP2; Microsoft Windows Vista Business / Enterprise / Ultimate x64 Edition SP2; Microsoft Windows XP Professional SP3 or higher 10

11 Pour les OS de type serveur Général : Intel Pentium 1 GHz ou supérieur; 1 GB RAM; 1 GB d espace disque; Microsoft Internet Explorer 7.0 ou supérieur; Microsoft Windows Installer 3.0 ou supérieur; Logiciel (pour Serveur de Fichier) : Microsoft Small Business Server 2011 Essentials х64 Edition; Microsoft Small Business Server 2011 Standard х64 Edition; Microsoft Windows Server 2012 Foundation х64 Edition (ReFS is not supported; Core mode is not supported); Microsoft Windows Server 2012 Essentials х64 Edition (ReFS is not supported; Core mode is not supported); Microsoft Windows Server 2012 Standard х64 Edition (ReFS is not supported; Core mode is not supported); Microsoft Windows Server 2008 R2 Standard / Enterprise х64 Edition SP0 or higher; Microsoft Windows Server 2008 Standard / Enterprise х64 Edition SP2 or higher; Microsoft Windows Server 2008 Standard / Enterprise SP2 or higher; Microsoft Windows Server 2003 R2 Standard / Enterprise SP2 or higher; Microsoft Windows Server 2003 R2 Standard х64 Edition SP2 or higher; Microsoft Windows Server 2003 Standard SP2; Microsoft Windows Server 2003 Standard х64 Edition SP Configuration pour les smartphones & tablettes Logiciel : Android OS Apple ios 6 7 Symbian OS 9.x Series 60 UI, Symbian^3, Symbian Anna, Symbian Belle (uniquement les appareils mobiles de la marque Nokia) Windows Mobile Windows Phone 8 (prend en charge uniquement Kaspersky Safe Browser) Blackberry 4.5, 4.6, 4.7, 5.0, 6.0, 7.0,

12 1.2 Fonctionnalités globales Il existe une différence dans la liste des modules de protection disponibles entre les systèmes d'exploitation pour poste de travail et serveurs lors de l'installation du produit. Ceci s'explique dans le fait que certains éléments ne sont pas nécessaires dans la protection d'un serveur. En effet, ce type de système d'exploitation n'est pas installé sur les terminaux des utilisateurs. Par ailleurs la charge et les temps de réponses liés aux nombres de connexion externes sur les serveurs nécessitent d'installer que le strict minimum afin de limiter l'impact des interceptions réalisées par les différents modules de protection Liste des modules de protection Modules de sécurité Endpoint 10 for Windows Poste de travail Serveur Antivirus Fichiers + + Antivirus Courrier + - Antivirus Internet + - Antivirus IM (Messagerie Instantanée) + - Désinfection avancée + - System watcher (Surveillance d activité) + - Défense proactive + - Hosted Intrusion Prevention System: KSN Urgent Detection System + - Hosted Intrusion Prevention System: KSN File Reputation + - Pare-feu + + Détection des intrusions (IDS) + + Contrôle des applications + - Contrôle des périphériques + - Filtrage de contenu Internet + - Détection des vulnérabilités + + KSN (Kaspersky Security Network) + + Chiffrement + - L'ensemble de ces modules sont détaillés plus loin dans ce document. 12

13 1.3 Modules de protection communs Postes et Serveurs Système de réputation KSN (cloud) Le service Kaspersky Security Network permet aux utilisateurs des produits de sécurité Kaspersky Lab du monde entier d aider à faciliter l identification et à réduire le temps requis pour assurer une protection contre les nouveaux risques de sécurité ciblant votre ordinateur. Cette protection aide à identifier les nouvelles menaces et leurs sources et à contribuer à améliorer le niveau de sécurité de l utilisateur. Ces informations ne contiennent pas de renseignements personnels d identification de l utilisateur et sont seulement utilisées par Kaspersky Lab pour améliorer ses produits de sécurité et proposer de meilleures solutions contre les menaces et les virus. Ce service permet de vérifier la réputation des fichiers et également des URLs. Il se base sur plusieurs milliards d'enregistrements qui ont été ajoutés à une base existante provenant de Bit9 et entretenues avec nos propres sources et les utilisateurs des produits Kaspersky depuis Les bases de réputation sont également composées de listes blanches d'éléments provenant d'une collaboration avec des éditeurs tiers et ceci afin de se prémunir des fausses alertes. L'administrateur peut définir les bases de réputation à utiliser (fichiers et URLs) ainsi que la configuration de la source utilisée, le serveur d'administration (utilisant un cache) ou les serveurs directs Kaspersky. Incidence du KSN sur le verdic d analyse : 13

14 Antivirus fichier Kaspersky Endpoint Security contient un composant spécial qui permet d'éviter l'infection du système de fichiers de votre ordinateur. Il est lancé en même temps que le système d'exploitation, demeure en permanence dans la mémoire vive de l'ordinateur et analyse tous les fichiers ouverts, enregistrés ou exécutés. Par défaut, l'antivirus de fichiers analyse uniquement les NOUVEAUX fichiers ou les fichiers MODIFIES, c'est-à-dire les fichiers dans lesquels des données ont été ajoutées ou modifiées depuis la dernière requête. Cette technologie repose sur l'utilisation d'un identifiant basé soit sur une somme de contrôle des fichiers ou de l'identifiant du fichier au niveau de la table NTFS. L'analyse des fichiers est réalisée selon l'algorithme suivant : Toute accès provenant d'un utilisateur ou d'un programme quelconque adressé à chaque fichier est intercepté par le composant. L'antivirus de fichiers consulte les référentiels ichecker et iswift, la décision d'analyser ou non le fichier est prise sur la base des informations obtenues. Le processus d'analyse contient les étapes suivantes : Le fichier est soumis à la recherche d'éventuels virus. L'identification des objets malveillants s'opère sur la base : des signatures des menaces utilisées par le composant. Les signatures contiennent la définition de tous les programmes malveillants, menaces et attaques de réseau connus à ce jour et leur mode d'infection. d'un algorithme heuristique qui analyse les objets/fichiers dans un environnement virtuel utilisation des bases KSN afin de vérifier le niveau de réputation sur l'objet 14

15 Les comportements suivants du programme sont possibles en fonction des résultats de l'analyse : Si le fichier contient un code malveillant, l'antivirus Fichiers le bloque, place une copie dans le dossier de sauvegarde et tente de le neutraliser. Si la réparation réussit, l'utilisateur peut utiliser le fichier. Dans le cas contraire, le fichier est supprimé. Si le fichier contient un code semblable à un code malveillant et que ce verdict ne peut pas être garanti à 100%, le fichier est réparé et placé en quarantaine. Si aucun code malveillant n'a été découvert dans le fichier, le destinataire pourra l'utiliser immédiatement. Note : Les bases virales Kaspersky contiennent toutes les catégories de codes malicieux (virus, backdoor, trojan, spywares, pornwares, worms,.). Le moteur de détection est unifié pour la protection contre l'ensemble des codes malicieux. Suspension de l'analyse temps réelle sur évènements : La protection en temps réelle peutêtre suspendu lors du lancement d'un processus ou sur une plage horaire définie (permettant par exemple de désactiver l'analyse lors du lancement d'un logiciel de sauvegarde) Pare-feu et détection des intrusions (IDS) A l'heure actuelle, les ordinateurs sont particulièrement vulnérables lorsqu'ils sont connectés à Internet. Ils sont exposés non seulement aux épidémies de virus, mais également à divers types d'attaques qui exploitent les vulnérabilités des systèmes d'exploitation et des applications. Afin de protéger votre travail sur les réseaux locaux et sur Internet, Kaspersky Endpoint Security 10 vous propose un composant spécial : Anti-Hacker. Ce composant de type Stateful Inspection protège votre ordinateur au niveau du réseau (support IPv4 et IPv6) et au niveau des applications et rend votre machine invisible sur le réseau, ce qui permet de déjouer les attaques. Voici une présentation du fonctionnement de la protection réseau. 15

16 La protection au niveau du réseau est garantie grâce à l'utilisation de règles globales pour les paquets du réseau qui, suite à l'analyse de paramètres tels que le sens de circulation des paquets, le protocole de transfert, le port d'envoi et de réception du paquet, autorise ou interdit l'activité de réseau. Les règles pour les paquets définissent l'accès au réseau quelles que soient les applications installées sur votre ordinateur qui utilisent le réseau. 16

17 En plus des règles pour les paquets, la protection au niveau du réseau est garantie par le sous-système d'identification des intrusions (IDS). La tâche de ce sous-système consiste à analyser les connexions entrantes, définir les balayages des ports de l'ordinateur et à filtrer les paquets de réseaux envoyés pour exploiter une vulnérabilité logicielle. Dès que le sous-système d'identification des intrusions s'active, toutes les connexions entrantes émanant de l'ordinateur attaquant seront bloquées pendant une durée déterminée et l'utilisateur sera averti de la tentative d'attaque menée contre son ordinateur. Le fonctionnement du sous-système de détection des intrusions repose sur l'utilisation pendant l'analyse d'une base spéciale de signatures d'attaques régulièrement enrichie par nos experts et mise à jour en même temps que les signatures des menaces. L'administrateur peut définir des exclusions sur des listes d'adresses IP afin d'éviter le contrôle IDS. La protection au niveau des applications est garantie grâce à l'application de règles d'utilisation des ressources de réseau pour les applications installées sur l'ordinateur. A l'instar de la protection au niveau du réseau, la protection au niveau des applications repose sur l'analyse des paquets de réseau du point de vue du sens de circulation des paquets, du type de protocole de transfert, du port utilisé. Cependant, au niveau de l'application non seulement les caractéristiques du paquet sont prises en compte mais également l'application concrète à laquelle le paquet est destiné ou qui a initialisé l'envoi de ce paquet. 17

18 L'utilisation de règles pour les applications permet une configuration plus fine de la protection, par exemple lorsque un type de connexion est interdit pour certaines applications et autorisé pour d'autres Détection des vulnérabilités Les vulnérabilités dans le système d'exploitation peuvent être le résultat, par exemple, d'erreurs de programmation ou de planification, de mots de passe faibles, de l'action de programmes malveillants, etc. La recherche de vulnérabilités permet d'étudier le système d'exploitation, à rechercher des anomalies et des corruptions dans les paramètres des applications de Microsoft et des autres éditeurs. Elle consiste à fonder un diagnostic sur la sécurité du système d'exploitation et à identifier dans les applications les particularités qui pourraient être exploitées par des individus malintentionnés désireux de diffuser des objets malveillants ou d'accéder aux données personnelles. Pour la protection des postes de travail cette opération peut être réalisée en temps réel ce qui permet d'obtenir l'information sur le risque d'utilisation d'une application non corrigée également de façon centralisée. L'administrateur peut définir les objets et les éditeurs concernés par la recherche à la fois pour les postes et les serveurs : Rapport local sur les vulnérabilités découvertes : 18

19 Depuis l'interface de l'application l'utilisateur ou l'administrateur peuvent accéder à des informations détaillées en provenance de Secunia ou de Kaspersky Lab afin d'obtenir les informations détaillées sur la vulnérabilité. 1.4 Modules de protection des Postes Windows Protection antivirus du courrier L'Antivirus Courrier analyse l'ensemble du courrier entrant et sortant à la recherche de virus et d'autres applications présentant une menace. Il démarre au lancement de Kaspersky Endpoint Security, se trouve en permanence dans la mémoire vive de l'ordinateur et analyse tous les messages reçus ou envoyés via les protocoles POP3, SMTP, IMAP, MAPI et NNTP. La protection du courrier est réalisée par défaut selon l'algorithme suivant : Chaque message envoyé ou reçu par l'utilisateur est intercepté par l'antivirus de messagerie électronique. Le message est décomposé selon ses parties constitutives, à savoir: l'en-tête du message, le corps du message et la pièce jointe. Le corps et la pièce jointe (y compris les objets OLE) sont soumis à la recherche d'éventuels objets dangereux. L'identification des objets malveillants est réalisée à l'aide : des signatures de menaces utilisées par le logiciel 19

20 d'un algorithme heuristique qui analyse des scripts ou des objets contenus dans le message dans un environnement virtuel d'un filtre de pièce jointe d'un filtre d'urls vérification de la réputation via les serveurs clouds KSN Les signatures contiennent la définition de tous les programmes malveillants connus à ce jour et de leur mode d'infection. L'algorithme heuristique permet d'identifier les nouveaux virus dont les définitions ne sont pas encore reprises dans les signatures de menaces par l'intermédiaire d'une analyse dans un environnement virtuel. Les comportements suivants sont envisageables à l'issue de l'analyse : Si le corps du message ou la pièce jointe contient un code malveillant, l'antivirus de messagerie électronique bloque le message, place une copie de l'objet infecté dans le dossier de sauvegarde et tente de réparer l'objet. Si la réparation réussit, l'utilisateur peut accéder au message. Dans le cas contraire, l'objet infecté est supprimé du message. Suite au traitement antivirus, un texte spécial est inclus dans l'objet du message. Ce texte indique que le message a été traité par Kaspersky Endpoint Security. Si le corps du message ou la pièce jointe contient un code semblable à un code malveillant, sans garantie, la partie suspecte du message est placée dans un dossier spécial : la quarantaine. Si aucun code malveillant n'a été découvert dans le message, le destinataire pourra y accéder immédiatement. Un plug-in spécial permet de réaliser une configuration plus fine de l'analyse du courrier a été ajouté à Microsoft Outlook notamment pour l analyse des courriers entrant/sortant avec un serveur MS Exchange. S'agissant des autres clients de messageries (dont Microsoft Outlook Express, Mozilla Thunderbird, Eudora, Incredimail), l'antivirus de messagerie analyse le courrier entrant et sortant via les protocoles SMTP, POP3, IMAP et NNTP. Protection antivirus Internet Chaque fois que vous utilisez Internet, vous exposez votre ordinateur à un risque d'infection par des programmes dangereux. Ceux-ci peuvent s'infiltrer dans votre ordinateur pendant que vous lisez certains articles en ligne. L'Antivirus Internet protège les informations qui arrivent sur l'ordinateur des utilisateurs et qui sont envoyées depuis celui-ci via les protocoles HTTP et FTP. Il permet également de déterminer si un lien est suspect ou s'il mène à un site d'hameçonnage 20

21 Détails du fonctionnement de ce composant. L'antivirus Internet est composé de modules qui garantissent: La protection du trafic http et FTP : analyse de tous les objets qui arrivent sur l'ordinateur via le protocole http ou FTP. Analyse des liens selon des URL suspectes : analyse des URL de sites référencés comme dangereux (hébergement de code malicieux par exemple) Analyse des liens selon des URL de phishing : analyse des URL de sites référencés comme usurpés (faux site bancaire par exemple) Analyse heuristique : Analyse des scripts ou des objets contenus sur les pages web dans un environnement virtuel Vérification de la réputation via les serveurs clouds KSN Protection antivirus IM L'Antivirus IM est prévu pour analyser le trafic transmis par les clients de messagerie instantanée. Il est lancé au démarrage du système d'exploitation, se trouve en permanence dans la mémoire système de l'ordinateur et analyse tous les messages envoyés et reçus via les protocoles de type ICQ, MSN, IRC, AIM et Mail.ru. 21

22 Les messages transmis via les clients de messagerie instantanée peuvent contenir les types suivants de menaces contre la sécurité de l'ordinateur : Des liens dont l'activation déclenche le téléchargement d'une application malveillante sur l'ordinateur de la victime. Des liens sur les applications et les pages Internet malveillantes que les individus malintentionnés utilisent pour les attaques d'hameçonnage (phishing). Le but des attaques de phishing est de voler les informations personnelles des utilisateurs, notamment les numéros des cartes de crédit, les informations sur leurs passeports, les mots de passe pour les systèmes de payement des établissements bancaires ou pour d'autres services en ligne (par exemple, les réseaux sociaux ou les services de messagerie en ligne). Les clients de messagerie instantanée permettent la transmission des fichiers. Pendant la tentative d'enregistrement de ces fichiers, ils sont analysés par le module Antivirus Fichiers. L'Antivirus IM intercepte chaque message envoyé ou reçu via un client de messagerie instantanée et recherche dans ceux-ci la présence éventuelle d'objets dangereux pour l'ordinateur : En l'absence d'objets présentant une menace, le message devient accessible à l'utilisateur. Si le message contient des objets présentant une menace, l'antivirus IM remplace le message par les informations sur la menace détectée dans la fenêtre des messages du client de messagerie instantanée. Surveillance du système La Surveillance du système récolte des données sur l'activité des applications sur l'ordinateur et offre ces informations aux autres modules afin qu'ils puissent offrir une protection plus efficace. 22

23 Modèles de comportement dangereux : Les modèles de comportement dangereux BSS (Behavior Stream Signatures) contiennent les séquences d'actions des applications que Kaspersky Endpoint Security juge dangereuses. Lorsque l'activité de l'application est identique à un modèle de comportement dangereux, Kaspersky Endpoint Security exécute l'action définie. La fonction de Kaspersky Endpoint Security qui repose sur les modèles de comportement dangereux garantit la protection proactive de l'ordinateur. Par défaut, lorsque l'activité de l'application est parfaitement identique à un modèle de comportement dangereux, la Surveillance du système place le fichier exécutable de cette application en quarantaine. Annulation des actions exécutées par des applications malveillantes : Sur la base des informations recueillies par la Surveillance du système, Kaspersky Endpoint Security peut annuler les actions exécutées par les applications malveillantes dans le système d'exploitation lors de la réparation des applications malveillantes. Lors de la restauration des actions de l'application malveillante dans le système d'exploitation, Kaspersky Endpoint Security agit sur les types suivants d'activité d'application malveillante : Activité de fichiers. 23

24 o Kaspersky Endpoint Security supprime les fichiers exécutables créés par l'application malveillante et placés sur n'importe quel support, sauf les disques réseau. o Kaspersky Endpoint Security supprime les fichiers exécutables créés par l'application dans laquelle une application malveillante s'est introduite. o Kaspersky Endpoint Security ne restaure pas les fichiers modifiés ou supprimés. Activité sur la base de registres. o Kaspersky Endpoint Security supprime les sections et les clés de registre créées par l'application malveillante. o Kaspersky Endpoint Security ne restaure pas les sections et les clés de registre supprimées ou modifiées. Activité système. o Kaspersky Endpoint Security arrête les processus lancés par l'application malveillante. o Kaspersky Endpoint Security arrête les processus dans lesquels l'application malveillante s'est introduite. o Kaspersky Endpoint Security ne rétablit pas les processus arrêtés par l'application malveillante. Activité réseau. o Kaspersky Endpoint Security interdit l'activité réseau de l'application malveillante. o Kaspersky Endpoint Security interdit l'activité réseau des processus dans lesquels l'application malveillante s'est introduite. L'annulation des actions des applications malveillantes peut être initiée par la défense proactive, l'antivirus Fichier et pendant la recherche des virus. Le retour à l'état antérieur aux actions du programme malveillant touche un ensemble de données clairement délimité. Cette procédure n'a aucun impact négatif sur le fonctionnement du système d'exploitation, ni sur l'intégrité des informations enregistrées sur l'ordinateur 1.5 Contrôle d application Contrôle de l activité des applications (classify) Contrôle du lancement des applications (control) Contrôle des privilèges sur les applications (enforce) Surveillance des vulnérabilités des applications (inspect) Contrôle du lancement des applications 24

25 Le module Contrôle du lancement des applications surveille les tentatives de lancement d'applications par les utilisateurs et utilise pour ce faire les règles de contrôle de leur exécution. Le lancement des applications dont aucun paramètre ne respecte les règles de contrôle du lancement des applications est régi par la règle par défaut "Tout autoriser". La règle "Tout autoriser" permet à n'importe quel utilisateur de lancer n'importe quelle application. Le module Contrôle du lancement des applications peut fonctionner selon deux modes : Liste noire. Mode dans le cadre duquel le Contrôle du lancement des applications autorise tous les utilisateurs à lancer n'importe quelle application, à l'exception de celles qui figurent dans les règles d'interdiction du Contrôle du lancement des applications. Il s'agit du mode de fonctionnement du Contrôle du lancement des applications par défaut. L'autorisation du lancement de toutes les applications repose sur la règle du Contrôle du lancement des applications "Tout autoriser" créée par défaut. Liste blanche. Mode dans le cadre duquel le Contrôle du lancement des applications interdit à tous les utilisateurs de lancer n'importe quelle application, à l'exception de celles qui figurent dans les règles d'autorisation du Contrôle du lancement des applications. Si les règles d'autorisation du Contrôle du lancement des applications sont rédigées complètement, le Contrôle du lancement des applications interdit le lancement de toutes les nouvelles applications qui n'ont pas été vérifiées par l'administrateur du réseau local, mais il garantit le fonctionnement du système d'exploitation et des applications vérifiées nécessaires aux utilisateurs dans l'exécution de leurs tâches. La configuration du Contrôle du lancement des applications pour le fonctionnement dans ces modes est possible au départ de l'interface locale de Kaspersky Endpoint Security ou dans Kaspersky Security Center. 25

26 La règle de contrôle du lancement des applications est un ensemble de paramètres qui déterminent les fonctions suivantes du module Contrôle du lancement des applications : Classification des applications à l'aide des conditions de déclenchement de la règle. La condition de déclenchement de la règle est une équivalence : critères de la condition valeur de la condition type de condition Le critère de déclenchement de la règle peut être : Le chemin d'accès au dossier contenant le fichier exécutable de l'application ou le chemin d'accès au fichier exécutable de l'application. Les métadonnées : nom d'origine du fichier exécutable de l'application, nom du fichier exécutable de l'application sur le disque, version du fichier exécutable de l'application, nom de l'application et éditeur de l'application. Le code de hachage (MD5) du fichier exécutable de l'application. L'appartenance de l'application à une catégorie KL. La liste Catégorie KL est une liste composée par les experts de Kaspersky Lab. Elle regroupe plus de 80 catégories. Les applications qui partagent des traits communs. 26

27 Par exemple, la catégorie KL "Applications de bureautique" reprend les applications de la suite Microsoft Office, Adobe Acrobat et d'autres. Le type de condition du déclenchement de la règle détermine le rapport de l'application à la règle : Conditions d'inclusion. L'application respecte la règle si ces paramètres répondent au moins à une condition d'inclusion de déclenchement de la règle. Conditions d'exception. L'application ne satisfait pas à la règle si ces paramètres répondent à au moins une condition d'exception de déclenchement de la règle ou ne répondent à aucune des conditions d'inclusion de déclenchement de la règle. La règle ne contrôle pas le lancement de telles applications. L'autorisation octroyée aux utilisateurs ou groupes d'utilisateurs sélectionnés pour lancer l'application. Vous pouvez sélectionner l'utilisateur et/ou le groupe d'utilisateurs basé sur les groupes ou d'utilisateurs Windows (local ou Active Directory) autorisé à lancer l'application qui satisfait à la règle. L'interdiction pour les utilisateurs ou groupes d'utilisateurs sélectionnés de lancer l'application. Vous pouvez sélectionner l'utilisateur et/ou le groupe d'utilisateurs basé sur les groupes ou d'utilisateurs Windows (local ou Active Directory) qui n'est pas autorisé à lancer l'application qui satisfait aux règles de contrôle du lancement des applications. 27

28 Contrôle de l'activité des applications (HIPS) Le module Contrôle de l'activité des applications empêche l exécution des actions dangereuses pour le système, et il assure aussi le contrôle de l'accès aux ressources du système d exploitation et aux données personnelles. Le module contrôle les applications, y compris l accès des applications aux ressources protégées (fichiers et dossiers, clés du registre, adresses de réseau), à l'aide des règles du contrôle des applications. Les règles du contrôle des applications représentent un ensemble de restrictions pour différentes actions des applications dans le système d'exploitation et un ensemble de privilèges d'accès aux ressources de l'ordinateur. 28

29 Le module Pare-feu contrôle l'activité réseau des applications. Au premier lancement de l'application sur l'ordinateur, le module Contrôle de l'activité des applications vérifie le niveau de danger de l'application et la place dans un des groupes de confiance. Le groupe de confiance définit les règles du contrôle des applications que Kaspersky Endpoint Security applique pour contrôler les applications. Les applications sont réparties en groupes de confiance selon le niveau de danger que ces applications peuvent représenter pour le système d'exploitation. Les zones de confiances suivantes sont : De confiance. Ce groupe reprend les applications qui satisfont à une ou plusieurs des conditions suivantes : Les applications sont dotées de la signature numérique d'un éditeur de confiance. La base des applications de confiance de Kaspersky Security Network contient des enregistrements relatifs à ces applications. L'utilisateur a placé les applications dans le groupe "De confiance". 29

30 Il n'existe aucune opération interdite pour ces applications. Restrictions faibles. Ce groupe reprend les applications qui satisfont aux conditions suivantes : Les applications ne sont pas dotées de la signature numérique d'un éditeur de confiance. La base des applications de confiance de Kaspersky Security Network ne contient pas d'enregistrements relatifs à ces applications. L'indice de danger de ces applications est inférieur à 50. L'utilisateur a placé les applications dans le groupe "De confiance". Il existe des restrictions minimes sur les actions que ces applications peuvent exercer sur les ressources du système d'exploitation. Restrictions élevées. Ce groupe reprend les applications qui satisfont aux conditions suivantes : Les applications ne sont pas dotées de la signature numérique d'un éditeur de confiance. La base des applications de confiance de Kaspersky Security Network ne contient pas d'enregistrements relatifs à ces applications. L'indice de danger ces applications est compris entre 51 et 71. L'utilisateur a placé les applications dans le groupe "Restrictions élevées". Il existe des restrictions considérables sur les actions que ces applications peuvent exercer sur les ressources du système d'exploitation. Douteuses. Ce groupe reprend les applications qui satisfont aux conditions suivantes : Les applications ne sont pas dotées de la signature numérique d'un éditeur de confiance. La base des applications de confiance de Kaspersky Security Network ne contient pas d'enregistrements relatifs à ces applications. L'indice de danger ces applications est compris entre 71 et 100. L'utilisateur a placé les applications dans le groupe "Douteuses". Il existe des restrictions considérables sur les actions que ces applications peuvent exercer sur les ressources du système d'exploitation. Pour contribuer au fonctionnement plus efficace du Contrôle de l'activité des applications, il est conseillé de participer au Kaspersky Security Network. Les données obtenues à l'aide de Kaspersky Security Network permettent de référer plus précisément les applications à un groupe de confiance ou à un autre, et aussi appliquer les règles optimales du contrôle des applications. Lors du lancement suivant de l'application, le Contrôle de l'activité des applications analyse l'intégrité de l'application. Si l'application n'a pas été modifiée, le module applique les règles de contrôle des applications existantes. En cas de modification de l'application, le Contrôle de l'activité des applications l'analyse comme s'il s'agit de sa première exécution. Kaspersky Endpoint Security répartit toutes les applications lancées sur l'ordinateur en groupes de confiance. A la première étape de l'analyse de l'application, Kaspersky Endpoint Security cherche l'enregistrement sur l'application dans la base interne des applications connues, puis envoie une demande à la base Kaspersky Security Network (s'il existe une connexion à Internet). Si l'enregistrement a été trouvé dans la base de Kaspersky Security Network, l'application se place dans le groupe de confiance enregistré dans la base de Kaspersky Security Network. Pour répartir les applications inconnues selon les groupes de confiance, Kaspersky Endpoint Security utilise par défaut l'analyse heuristique. Pendant l'analyse heuristique, Kaspersky Endpoint Security définit le niveau de danger de l'application. En fonction du niveau de danger de l'application, Kaspersky Endpoint Security place l'application dans un groupe de confiance approprié. Au lieu d'utiliser l'analyse 30

31 heuristique, vous pouvez définir le groupe de confiance où Kaspersky Endpoint Security doit mettre automatiquement les applications inconnues. Par défaut, Kaspersky Endpoint Security analyse l'application pendant 30 secondes. Si à l'issue de ce temps, le niveau de danger de l'application n'a pas été défini, Kaspersky Endpoint Security place l'application dans le groupe de confiance Restrictions faibles et continue le processus de définition du niveau de danger de l'application en arrière-plan. Ensuite, Kaspersky Endpoint Security place l'application dans un groupe de confiance définitif. Vous pouvez modifier la durée consacrée à l'analyse du niveau de danger des applications exécutées. Si vous êtes convaincu que toutes les applications exécutées sur l'ordinateur de l'utilisateur ne menacent pas la sécurité, vous pouvez réduire la durée d'évaluation du niveau de danger de l'application. Si, au contraire, vous installez sur l'ordinateur de l'utilisateur des applications dont vous ne pouvez pas garantir la fiabilité en matière de sécurité, il est conseillé d'augmenter la durée d'évaluation du niveau de danger des applications. 1.6 Contrôle des périphériques avancés Le contrôle des périphériques garantit la sécurité des informations confidentielles en limitant l'accès utilisateur aux périphériques installés ou connectés à l'ordinateur : périphériques de mémoire (disques durs, supports amovibles, lecteurs de bande, CD/DVD.) ; dispositifs de transmission des informations (modems, carte de réseau externe, wifi, ) ; dispositifs de conversion en sortie papier (imprimantes) ; bus de connexion et interfaces qui permettent de connecter les périphériques à l'ordinateur (USB, FireWire, Infrarouge, etc.). La règle d'accès aux périphériques est un ensemble des paramètres qui définit les fonctions suivantes du module Contrôle des périphériques : 31

32 L'autorisation aux utilisateurs et/ou aux groupes d'utilisateurs basés sur les groupes ou d'utilisateurs Windows (local ou Active Directory) sélectionnés d'accéder les types des périphériques pour les périodes définies. Vous pouvez sélectionner les utilisateurs et/ou les groupes d'utilisateurs basés sur les groupes ou d'utilisateurs Windows (local ou Active Directory) et leur créer une programmation de l'accès aux périphériques. Définition de privilèges de lecture du contenu des périphériques de mémoire. Définition de privilèges de modification du contenu des périphériques de mémoire. La règle d'accès au bus de connexion représente une extension ou une interdiction d'accès au bus de connexion. 32

33 Par défaut, les règles qui autorisent l'accès à tous les bus ont été créées pour les bus de connexion de la classification du module Contrôle des périphériques. Vous ne pouvez pas créer et supprimer les règles d'accès aux périphériques et les règles d'accès aux bus de connexion, vous ne pouvez que les modifier. Les Périphériques de confiance sont les périphériques que les utilisateurs basés sur les groupes ou utilisateurs Windows (local ou Active Directory) définis dans les paramètres du périphérique de confiance peuvent accéder librement à tout moment. Les actions suivantes peuvent être exécutées sur les périphériques de confiance : ajout du périphérique à la liste des périphériques de confiance ; modification de l'utilisateur et/ou groupe d'utilisateurs qui ont l'accès au périphérique de confiance ; suppression du périphérique de la liste des périphériques de confiance 33

34 L'application affiche la liste des périphériques en cours de connexion ou ayant été connectés ce qui permet de faciliter la création des autorisations basées sur les type ou n de série.. Quand l'utilisateur tente d'accéder au périphérique bloqué, Kaspersky Endpoint Security affiche le message sur le blocage d'accès au périphérique ou sur l'interdiction de l'opération sur le contenu du périphérique. Si l'utilisateur croit que le blocage d'accès au périphérique ou l'interdiction de l'opération sur le contenu du périphérique sont intervenus par erreur, il peut cliquer sur le lien dans le message de blocage pour envoyer une réclamation à l'administrateur du réseau local d'entreprise. 1.7 Contrôle Internet Le module de Filtrage de contenu Internet permet de contrôler l'activité utilisateur du réseau local d'entreprise : limiter ou autoriser l'accès aux sites Internet. Une ressource Internet désigne aussi bien une page Internet individuelle ou plusieurs pages ainsi qu'un site Internet ou plusieurs sites regroupés selon des traits communs. Le Contrôle Internet offre les possibilités suivantes : Economie du trafic. Pour contrôler le trafic le module offre la possibilité de limiter ou interdire le téléchargement des fichiers multimédia et de limiter ou interdire l'accès aux sites Internet sans rapport avec l'activité professionnelle. Délimitation de l'accès selon les catégories de contenu des sites Internet. Pour minimiser le trafic et les pertes éventuelles dues à abus d'accès, vous pouvez limiter ou interdire l'accès aux 34

35 sites Internet de catégories spécifiques (par exemple, interdire l'accès aux sites Internet appartenant à la catégorie "Réseaux sociaux"). Une gestion centralisée d'accès aux sites Internet. Dans le cadre de l'utilisation de Kaspersky Security Center, il est possible de configurer l'accès aux ressources Internet tant pour des individus que pour des groupes basés sur des comptes ou groupes de sécurités Windows (local ou Active Directory). Après l'installation de l'application Kaspersky Endpoint Security la liste des règles du module Contrôle Internet n'est pas vide. Deux règles sont préinstallées : La règle "Scripts et tables de styles" qui autorise tous les utilisateurs à accéder à tout moment à tous les sites dont l'url contient des fichiers portant l'extension css, js, vbs. Par exemple, La "Règle par défaut" qui autorise tous les utilisateurs à accéder à tous les sites Internet à tout moment. La règle d'accès aux ressources Internet est un ensemble de filtres et d'actions que Kaspersky Endpoint Security exécute lorsque les utilisateurs consultent les ressources Internet définies dans la règle à l'heure planifiée indiquée du fonctionnement de la règle. Les filtres permettent de préciser les sites Internet dont l'accès est contrôlé par le Contrôle Internet. Les filtres suivants sont accessibles : Filtrage selon le contenu. Le Contrôle Internet organise les ressources en catégories de contenu et en catégories de type de données. Vous pouvez contrôler l'accès des utilisateurs aux sites Internet des catégories de contenu et/ou des catégories de types de données spécifiques. Lorsque les utilisateurs consultent les sites Internet qui appartiennent à la catégorie de contenu sélectionnée et/ou à la 35

36 catégorie de type de données sélectionnée, Kaspersky Endpoint Security exécute l'action indiquée dans la règle. Filtrage selon les URL des ressources Internet. Vous pouvez contrôler l'accès des utilisateurs à toutes les adresses des sites Internet ou à certaines adresses des sites Internet/ou à certains groupes d'adresses des sites Internet. Si le filtre de contenu et le filtre par les adresses des sites Internet sont activés et les adresses des sites Internet définies et/ou les groupes d'adresses des sites Internet définis appartiennent aux catégories de contenu ou aux catégories de types de données sélectionnées, Kaspersky Endpoint Security ne contrôle pas l'accès à tous les sites Internet des catégories de contenu sélectionnées et/ou des catégories de types de données sélectionnées, mais uniquement aux adresses des sites Internet définies et/ou aux groupes d'adresses des sites Internet. Filtrer par nom d'utilisateur et de groupe d'utilisateurs basés sur Windows (local ou active directory). Vous pouvez définir les utilisateurs et/ou les groupes d'utilisateurs pour lesquels l'accès aux sites Internet est contrôlé conformément à la règle. Planification de l'application de la règle. Vous pouvez planifier l'application de la règle. La planification de l'application de la règle définit le moment où Kaspersky Endpoint Security contrôle l'accès aux ressources Internet indiquées dans la règle. En fonction de l'action définie dans les propriétés des règles du Contrôle Internet, lorsque les utilisateurs essaient d'accéder aux sites Internet Kaspersky Endpoint Security affiche un message (en remplaçant la réponse du serveur HTTP par une page HTML avec le message) d'un des types suivants : Message d'avertissement. Ce message avertit sur le danger éventuel du site Internet et/ou sur la non-conformité à la stratégie d'entreprise. Kaspersky Endpoint Security affiche le message d'avertissement si dans les propriétés de la règle qui décrit ce site Internet dans la liste déroulante Action l'élément Avertir est sélectionné. Si vous croyez recevoir ce message d'avertissement par erreur, en cliquant sur le lien dans le corps du message d'avertissement vous pouvez ouvrir un message de réclamation destiné à l'administrateur du réseau local d'entreprise. Message de blocage du site Internet. Kaspersky Endpoint Security affiche le message de blocage du site Internet, si dans les propriétés de la règle qui décrit ce site Internet dans la liste déroulante Action l'élément Interdire est sélectionné. Si vous croyez que l'accès au site Internet a été bloqué par erreur, cliquez sur le lien dans le corps du message de blocage du site Internet pour ouvrir un message de réclamation destiné à l'administrateur du réseau local d'entreprise. 36

37 L'administrateur peut définir manuellement ou par le biais de l'import d'un fichier une liste de sites et d'url. Ces listes permettent de créer des listes blanches ou noires afin d'autoriser ou bloquer des sites web ou des contenus en complément des règles définies par défaut. Les adresses peuvent être composées par des masques. 37

38 2 Fonctionnalités additionnelles (License Advence) 2.1 Chiffrement Chiffrement intégral Installation La solution de chiffrement de Kaspersky supporte les environnements suivant : Microsoft Windows 8.1 Enterprise x86 / x64; Microsoft Windows 8.1 Pro x86 / х64; Microsoft Windows 8 Pro x86 / x64; Microsoft Windows 8 Enterprise x86 / x64; Microsoft Windows 7 Professional x86 / x64 SP1 or higher; Microsoft Windows 7 Enterprise x86 / x64 SP1 or higher; Microsoft Windows 7 Professional x86 / x64; Microsoft Windows 7 Enterprise / Ultimate x86 / x64; Microsoft Windows Vista x86 / x64 SP2 or higher; Microsoft Windows XP Professional SP3 or higher; La solution de chiffrement s appuie sur les mêmes composants que la solution de protection à savoir : Console d administration Security Center 10 Network Agent 10 Kaspersky Endpoint Security 10 Un seul client est donc nécessaire sur le poste de travail. La console d administration est également la même que celle pour la gestion de la protection. La technologie de chiffrement de Kaspersky Lab reste transparente pour les applications, y compris lors de la configuration. Les informations sont protégées à la volée ce qui permet de préserver la productivité de l'utilisateur. L'authentification au système de chiffrement se fait en toute transparence grâce à un mécanisme de SSO (Single Sign On). Le déploiement du module de chiffrement AES peut être réalisé par la console d administration Security Center déjà en place ou bien par n importe quels outils tiers supportant le déploiement des fichiers MSI. L installation du module AES est effectuée de manière silencieuse sur le poste client et ne nécessite aucune intervention de l utilisateur 38

39 La solution permet de chiffrer tous les disques durs. Si l administrateur choisi cette option, l'application chiffre tous les disques durs lors de l'application de la stratégie de Kaspersky Security Center. La stratégie permet également de définir les disques durs que l'application ne chiffre pas. Authentification et autorisation Lors de l activation du chiffrement intégral du/des disque(s) dur(s) l authentification de l utilisateur est réalisé lors du démarrage du poste dans un pre-boot cette action permet de déchiffrer à la volé le démarrage du poste et il n est pas possible de chiffrer l intégralité d un disque system sans passer par la phase de pré-boot. 39

40 L'authentification au système de chiffrement peut se faire en toute transparence grâce à un mécanisme de SSO (Single Sign On). Dans ce cas les paramètres de complexités des mots de passe seront contrôlés conformément à la stratégie de mots de passe de Windows. Un mécanisme de synchronisation permet a l utilisateur de changer de mot de passe dans sa session Windows et d utiliser ce nouveau mot de passe dans le pre-boot lors du redémarrage de son poste. La prochaine version du chiffrement disponible en version RC et prévu pour le début de l année 2015 supportera les Token et/ou Smartcard pour l authentification des utilisateurs. 40

41 (Capture non contractuel) Les 7 modèles de Tokens et Smartcards supportés pour le moment sont : etoken PRO 72K Java (USB), etoken PRO 72K Java (Smart Card), RSA SecureID 800 (USB), Rutoken EDS (USB), Aladdin JaCarta PKI (USB), Aladdin JaCarta PKI (Smart Card) + etoken 32/64k Pro (Cette liste n est pas définitive et peut être amené à changer) Le système permet à l installation ou post installation d activer les comptes qui auront accès à la machine, il est possible d activer plusieurs compte pour une seul et même machine et permettre à plusieurs utilisateur d utiliser un même poste sans contrainte. Le mécanisme de centralisation des clefs de chiffrement et de déchiffrement par le serveur d administration permet au utilisateur d un même poste (ou de postes différent) d échanger des fichiers chiffrés sans action contraignante et en toute transparence. L administrateur peut s il le souhaite mettre en place une politique de complexité des mots de passe directement au sein de la solution de chiffrement. 41

42 Chiffrement La solution de chiffrement Kaspersky utilise algorithme de chiffrement symétrique AES. Pour se conformer à la législation en vigueur dans certains pays, l administrateur peut choisir entre une clé de type 56 ou 256 bits pour effectuer le chiffrement de ses postes de travails. Une autorisation d exportation de moyens de cryptologie a été déposée auprès de l ANSSI le 10 juin

43 Utilisation La technologie de chiffrement de Kaspersky Lab reste transparente pour les applications, y compris lors de la configuration. Les informations sont protégées à la volée ce qui permet de préserver la productivité de l'utilisateur. L'authentification au système de chiffrement se fait en toute transparence grâce à un mécanisme de SSO (Single Sign On). Il est impossible de définir l impact de la solution de chiffrement sur le matériel chiffré. Cela dépend en effet de la performance du matériel en question, ainsi, sur un disque de type SSD, dernière génération, l impact du chiffrement est quasi nul alors que pour un disque ancien et lent, l impact sera plus important. Pour cela un POC en condition réel doit être réalisé. Sauvegarde et recouvrement Compte de sauvegarde L administrateur, au moment du chiffrement des disques des postes de travail peut intégrer un compte de sauvegarde permettant de démarrer la machine en cas d oubli du mot de passe par l utilisateur Challenge/Response L agent de pre-boot crée une séquence d'interrogation (5 lignes, 17 symboles). L'utilisateur informe l'administrateur système. En utilisant la valeur de séquence d'interrogation, l'administrateur du système crée une séquence de réponse et envoie cette dernière à l'utilisateur. Cette réponse est alors utilisée pour modifier le mot de passe d authentification mot de passe. 43

44 Utilitaire de restauration des périphériques chiffrés Si le disque dur ou le disque amovible chiffré est endommagé, il est possible de restaurer les données à l'aide d'un utilitaire spécial de restauration. Cet utilitaire peut être utilisé de différente manière - En connectant le disque endommagé sur une machine en fonctionnement relié au serveur d administration - En incluant l outil sur un support bootable de type USB / CD en mode autonome Sauvegarde du serveur d administration La copie de sauvegarde permet de conserver toutes les données sur le réseau logique et son fonctionnement, de transférer le Serveur d administration d un ordinateur à un autre sans aucune perte de données, ainsi que de restaurer les données lors d un crash. La copie des données du Serveur 44

45 d administration peut s exécuter automatiquement grâce à une tâche de copie de sauvegarde, ou manuellement à l aide d un utilitaire en ligne de commande. Lors de ce processus, sont notamment sauvegardés : Les certificats du serveur d administration Les clefs de chiffrements maîtres Sureté de fonctionnement Lorsque le système est monté et l agent de communication actif, celui est en mesure d émettre des alertes concernant le fonctionnement et l état de chiffrement du poste de travail. Les erreurs sont alors remontées dans la console d administration et subissent les processus d information traditionnels et disponibles du serveur d administration. L utilisateur, quand à lui est averti au moyen de la console locale du produit. Les informations affichées à l utilisateur peuvent être activées ou désactivées unitairement. Lorsque le poste est arrêté, celui-ci est protégé par le système de chiffrement. Lorsque celui-ci est en cours de fonctionnement ( qu il soit online ou offline), des artifices d autoprotection sont mis en place afin d éviter toute attaque à l encontre de la solution de sécurité. L attaque par dump et reverse-engineering du mode d hibernation est quant à elle non supportée pour le moment. Lors du démarrage de Windows et tant que le service qui assure la protection en temps réel n est pas pleinement actif, la solution de sécurité n est pas encore pleinement opérationnelle néanmoins la solution de chiffrement garantie la protection au démarrage 45

46 L utilisation d un média externe ne permet pas d obtenir les informations nécessaires pour déchiffrer et rendre lisible le contenu du poste de travail. L administrateur dispose de capacités d action sur un poste en LAN et WAN (si l infrastructure est compatible) afin d envoyer des ordres spécifiques. Cette opération ci-dessus commentée n est pas une fonctionnalité intrinsèque du logiciel mais les capacités logicielles d administration de la console de supervision. L utilisation d une telle méthode nécessite que le poste soit connecté à Internet et le système Windows qui héberge la solution actif et pleinement opérationnel. 46

47 Autres fonctions de chiffrement Chiffrement des fichiers sur les disques locaux de l'ordinateur L administrateur peut former des listes à partir de fichiers selon l'extension ou selon les groupes d'extensions situés sur les disques locaux de l'ordinateur. Il peut aussi indiquer l'action conformément à laquelle Kaspersky Endpoint Security chiffre les fichiers créés par les différents programmes. Après l'application de la stratégie de Kaspersky Security Center, l'application Kaspersky Endpoint Security chiffre et déchiffre les fichiers ajoutés séparément dans les listes pour le chiffrement et le déchiffrement, les fichiers stockés dans les dossiers ajoutés aux listes pour le chiffrement et le déchiffrement, ainsi que les fichiers créés par les programmes. Chiffrement des données sur les disques amovibles L'administrateur peut indiquer la règle de chiffrement par défaut conformément à laquelle l'application exécute la même action sur tous les disques amovibles ou indiquer des règles de chiffrement pour des disques amovibles distincts. 47

48 2.2 Contrôle de conformité (NAC/NAP) Network Access Control (NAC) est un terme générique pour indiquer un ensemble de mesures techniques et des outils permettant la sécurité du réseau. Le contrôle est basé sur les informations portant sur l'état de l'ordinateur qui accède au réseau, en particulier, sur le logiciel antivirus installé sur celui-ci. Diverses solutions NAC sont disponibles sur le marché, les plus connus d'entre eux sont Cisco Network Admission Control (Cisco NAC) et Microsoft Network Access Protection (Microsoft NAP) NAC Kaspersky (KL NAC) Lorsqu un périphérique se connecte au réseau, le système NAC doit s assurer que celui-ci est sécurisé et que sa configuration respecte les règles d accès aux ressources réseau. Il prend alors automatiquement la décision d autoriser, de bloquer ou de limiter l accès du périphérique. Le module NAC de Kaspersky permet de : Bloquer les connexions des machines dont le statut de protections n est pas OK (Mise à jour, stratégie non conforme, scan non effectué, AV désactivé, ) Rediriger les machines non gérées par le serveur d administration Security center 9 (Intervenant extérieur, clients, etc ) vers un portail d authentification De bloquer l activité réseau des nouveaux périphériques. Pour les nouvelles machines d autorisé uniquement un accès à un subnet isolé Architecture et principe Les composants du KL NAC sont : Les Enforcers : Ce sont des agents d administrations Kaspersky qui détecte les périphériques et redirige le trafic en fonction des règles de sécurités établies. Ils agissent comme un composant de coupure sur le réseau. Chaque Subnet doit posséder un Enforcers. Le serveur de stratégie (Kaspersky Security Center) qui contrôle les Enforcer du réseau. La stratégie d accès qui définit les règles d accès au réseau. Les périphériques réseau. N importe quel périphérique qui dispose d une adresse MAC 48

49 Principe de fonctionnement : 1. L administrateur définit une stratégie d accès au niveau du serveur d administration 2. Les Enforcers reçoivent et appliquent la stratégie sur chaque Subnet. 3. Lorsqu un périphérique se connecte au réseau, les Enforcers interceptent le trafic, vérifie les règles d accès et prennent la décision d autoriser de bloquer ou de rediriger le trafic En cas de problème sur un Enforcer, il est possible de mettre en place plusieurs Enforcer de réserve sur le réseau 49

50 Exclusions Il est également possible de créer des listes blanches de périphérique qui ne seront pas soumis aux règles des Enforcers. 50

51 La stratégie d accès La stratégie d accès est basée sur des règles. Chaque règle possède les attributs suivants : Source du trafic Adresse du trafic Action Les règles se configurent de manière similaire à celles d un Firewall. La source du trafic est représenté sous la forme d élément du réseau qui utilisent différent critères tels que : L attribut réseau : IP ou MAC adresse Périphérique d entreprise Par constructeur Par membre du domaine AD Par statuts de la machine (OK, Avertissement, critique) Par logiciel (OS, Status du Firewall, Mise à jour Windows installée ) Les adresses du trafic sont configurées sous la forme d adresse de service réseau. 51

52 Les actions suivantes peuvent être spécifiées Bloquer Rediriger vers le portail d accès Autoriser certaines adresses du réseau Au final, les règles d accès peuvent être facilement créées pour limiter le trafic sur le réseau Portail d accès L administrateur peut créer depuis l interface d administration des comptes temporaires permettant aux machines occasionnellement de se connecter au réseau au travers le portail d accès 52

53 Intégration avec Cisco NAC Kaspersky Security Center peut fonctionner conjointement avec Cisco Network Admission Control (NAC). Cette fonctionnalité permet d établir une correspondance entre les conditions de protection antivirus de l ordinateur et les statuts de Cisco NAC. Lors du fonctionnement avec Cisco NAC, le Serveur d administration joue le rôle de composant standard Posture Validation Server (PVS) que l administrateur peut utiliser pour autoriser ou interdire l accès au réseau à un ordinateur (en fonction des conditions de la protection antivirus). 53

54 Lors de l installation de l Agent d administration sur l ordinateur client, le plug-in pour le fonctionnement avec Cisco NAC est également installé. Ce plug-in fonctionne si l application Cisco Trust Agent est installée sur l ordinateur. Les paramètres du fonctionnement avec Cisco NAC sont définis dans les propriétés du Serveur d administration sous l onglet Cisco NAC. Sous cet onglet, vous pouvez établir une correspondance entre les conditions de protection antivirus de l ordinateur client et les statuts Cisco NAC. Le même onglet est disponible dans la stratégie du Serveur d administration. Sélectionnez un des états de l'ordinateur Cisco NAC dans la liste déroulante : Healthy, Checkup, Quarantine ou Infected. Dans le tableau, spécifiez les conditions de protection antivirus correspondantes en cochant les cases nécessaires. Il est possible, pour certaines conditions, de modifier la valeur limite. Les niveaux Checkup, Quarantine ou Infected ont les mêmes listes de conditions. Le niveau Healthy contient les conditions contraires à celles qui correspondent aux autres niveaux. L état Healthy est attribué uniquement si toutes les conditions sont remplies, les états Checkup, Quarantine ou Infected sont attribués si au moins l une des conditions est remplie. 54

55 55

56 Intégration avec Microsoft NAP Kaspersky Lab SHV (System Health Validator)est un module destiné à recevoir les informations de l agent NAP présent sur les machines et les comparer aux stratégies mises en place. Si le poste est conforme, il obtient une permission sans restriction aux ressources réseau dans le cas contraire, l accès est limité au serveur NAP et au serveur de remédiation Le rôle du serveur de remédiation est de permettre au poste client de se mettre en conformité avec la politique du réseau (installation de l antivirus, exécution d un scan, exécution de la mise à jour de la base, etc ) Le paramétrage s effectue au travers la console de gestion du serveur NAP Différentes conditions nécessaires à l allocation de la permission d accès au réseau peuvent être sélectionnées o o o L Anti-Virus est installé L Anti-virus est démarré; La protection en temps réel est activée; 56

57 o o o o La protection en temps réel est conforme au niveau paramétré par l administrateur; Le scan complet de la machine a été effectué récemment Le produit est à jour; Le poste client s est connecté récemment à son serveur d administration; Si le poste client ne respecte pas les conditions requises par la stratégie d accès au réseau, une icône apparait dans la barre des tâches du poste à côté de l heure. Un message informe l utilisateur sur cette non-conformité. L accès au réseau est limité pour cette machine et se résume à un accès au serveur d administration et au serveur NAP/DHCP. 57

58 Après avoir correctement passé les vérifications de conformité avec les paramètres KasperskyLab SHV, apparaissent dans la barre des tâches du poste à côté de l heure et un message informe l utilisateur que son poste est conforme aux règles d accès. Le poste reçoit une permission d accès complet au réseau de l entreprise 58

59 3 Nettoyage du poste 3.1 Mécanismes de réparation automatique des postes en cas d infection Kaspersky Endpoint Security utilise un mécanisme de réparation complètement intégré au produit. Cette technique appelée «technique de réparation de l infection active» permet grâce à des mises à jour régulières de scénarii de réparer automatiquement un ordinateur infecté. Lors de la découverte d un virus, dont la réparation classique ne peut s effectuer, l antivirus propose à l utilisateur de redémarrer son ordinateur. Ceci afin d activer l exécution d un processus Kaspersky avant la demande de session Windows. L exécution de ce processus est effectuée avant le démarrage de certains services Windows pouvant être amené à exécuter et verrouiller le code malicieux. Dans 90% des cas, cette technique permet de s abroger d une quelconque intervention sur l ordinateur infecté. Le cas échéant d autres techniques sont proposées : Utilisation d'un CD de secours disponible sur le site de Kaspersky : Lancement d'un outil de nettoyage pour un code malicieux spécifique : Modalités d analyses Tâches d'analyses Il est primordial de rechercher régulièrement la présence éventuelle de virus sur votre ordinateur. Cette activité est indispensable afin d'éviter la propagation de programmes malveillants qui n'auraient pas été interceptés par les composants de la protection en raison d'un niveau de protection trop bas ou de tout autre motif. Kaspersky Endpoint Security propose les tâches suivantes pour la recherche de virus et d'autres applications présentant une menace : Analyse complète. Analyse minutieuse de tout le système. Kaspersky Internet Endpoint analyse par défaut les objets suivants : o mémoire vive ; o objets chargés au démarrage du système d'exploitation ; o sauvegarde du système d'exploitation ; o tous les disques durs et amovibles. Analyse rapide. Kaspersky Endpoint Security analyse par défaut les objets chargés au démarrage du système d'exploitation. Analyse personnalisée. Kaspersky Endpoint Security analyse les objets sélectionnés par l'utilisateur. Vous pouvez analyser n'importe quel objet de la liste suivante : 59

60 o mémoire vive ; o objets chargés au démarrage du système d'exploitation ; o sauvegarde du système d'exploitation ; o bases de messagerie ; o tous les disques durs, disques de réseau et disques amovibles ; o n'importe quel fichier sélectionné. En plus de l'utilisation des bases virales, le produit utilise des technologies d'analyse complémentaire afin de détecter des codes malicieux inconnus ou cachées au sein du système : Le groupe Méthodes d'analyse vous permet de configurer l'utilisation de l'analyse heuristique : 60

61 L'analyse est réalisée sur la base de séquences d'opérations typiques qui permettent de tirer des conclusions sur la nature du fichier avec un certain degré de certitude. L'avantage de cette méthode tient au fait que les nouvelles menaces peuvent être identifiées avant que leur activité ne soit remarquée par les spécialistes des virus. Vous pouvez qui plus est sélectionner le niveau de détail de l'analyse : superficielle, moyenne ou minutieuse. Il suffit de déplacer le curseur sur la position souhaitée. Vous pouvez aussi saisir les paramètres complémentaires de la recherche d'éventuels virus : Recherche d'outils de dissimulation d'activité. Un outil de dissimulation d'activité est un utilitaire qui permet de dissimuler la présence de programmes malveillants dans le système d'exploitation. Ces utilitaires s'introduisent dans le système en masquant leur présence et celle des processus, des répertoires et des clés de registre de n'importe quel programme malveillant décrit dans la configuration de l'outil de dissimulation d'activité. Lorsque la recherche est activée, vous pouvez définir le niveau de détail d'identification des outils de dissimulation d'activité en cochant la case Recherche étendue. Dans ce cas, une recherche minutieuse de ces programmes sera lancée via l'analyse d'une grande quantité d'objets de divers types. Les cases sont désélectionnées par défaut car l'activation de ce mode requiert des ressources considérables pour le système d'exploitation. Analyse des disques amovibles lors de leur connexion à l'ordinateur Ces derniers temps, les programmes malveillants qui exploitent les vulnérabilités du système d'exploitation pour se diffuser via les réseaux locaux et les disques amovibles sont fort répandus. Kaspersky Endpoint Security prend en charge la recherche de virus et d'autres applications présentant une menace sur les disques amovibles lors de leur connexion à l'ordinateur. L'administrateur peut définir le type d'analyse a effectuer en fonction de la taille du périphérique amovible. Analyse à la demande de l utilisateur L utilisateur et si l administrateur lui en donne les privilèges peut effectuer sur demande la programmation d une analyse manuelle. Cette analyse manuelle peut être programmée afin d analyser certaines zones très précises du système comme la mémoire système, les secteurs d amorçage, les points de restauration et les espaces de stockage. 61

62 62

63 Comportements sur détections Lors d une détection d un virus, par défaut et avant toute opération antivirale, le fichier est sauvegarder dans une zone chiffrée afin d être restauré. Cette fonctionnalité (en surcroit d une mise en quarantaine) assure la conservation des données. D autres paramètres peuvent être programmés après la sauvegarde comme la suppression du fichier ou la tentative de réparation. 2 types d'action sont disponibles : automatisée Choix des actions : Réparation Suppression si réparation impossible informer si aucune action sélectionnée Gestion de l'objet : déplacement en dossier de sauvegarde si virus déplacement en dossier de quarantaine si code suspect (permet d'être analysé après mises à jour) En cas d échec d analyse le fichier est laissé tel quel, un évènement est inscrit dans le rapport du module de protection. 63

64 Gestion des quarantaines. La restauration des fichiers détectés et sauvegardés peut s effectuer via la console locale du poste de travail mais aussi à distance via la console d administration centrale. L espace de stockage reste quand à lui stocké sur le poste. Seul des «pointeurs» sont envoyés sur la console d administration centrale. Les éléments sont supprimés automatiquement en fonction d'un nombre de jour de rétention et/ou lors du dépassement de la taille maximale du dossier de stockage. 3.3 Interaction utilisateur Utilisation du programme en ligne de commande lancement, arrêt, suspension et reprise du fonctionnement des composants de l'application; lancement, arrêt, suspension et reprise de l'exécution des tâches liées à la recherche de virus; 64

65 obtention d'informations relatives à l'état actuel des composants et aux tâches et à leur statistiques; Analyse des objets sélectionnés; Mise à jour des signatures des menaces et des modules du programme; Appel de l'aide relative à la syntaxe de la ligne de commande; Interface du produit Distinction entre les privilèges de l administrateur de la sécurité et ceux de l utilisateur du poste de travail présentés dans deux interfaces : une interface optimisée présentant le minimum de fonctions indispensables pour renforcer la productivité de l utilisateur et une interface élargie pour l administrateur permettant une administration en souplesse des paramètres de l application. L affichage de l interface du produit et de l icône de l application dans la barre des tâches peuvent être désactivés. Notification des évènements Le service de notification propose de gérer les évènements selon 4 types : Pop-up Son Message Observateur d évènement Windows En fonction des actions proposées à l utilisateur lors d évènement de détection de virus ou de comportement suspect, l utilisateur reçoit des informations qui sont : 65

66 acquittées automatiquement (cas du blocage automatique) ou par l utilisateur (demande de confirmation) L application affiche des pop-up dans la fenêtre Windows pour les évènements liés à l application. 66

67 Rapports Chaque module utilise son rapport temps réel ce qui permet de visualiser l état d analyse des fichiers : Ces rapports décrivent toutes les actions du module ou de la tâche. Il peut être enregistré au format txt (délimité). Un moteur de recherche est disponible pour affiner l affichage des informations. 67

68 3.4 Sécurité de l'application Mécanismes d'autoprotection Afin d éviter toute malveillance et sabotage de la zone de protection, le produit dispose de mécanismes de protection de ses organes vitaux. Les moyens mis en œuvre sont les suivants : Mise en Lecture seule du répertoire de stockage de l application et des bases de signatures. Interdiction d écriture des éléments et paramètres dans la base de registres Interdiction sur les opérations liées au service Windows (arrêt/redémarrage) Console GUI inaccessible via un programme externe (prise de contrôle à distance, programmateurs de mouvements de souris.). Protection application Afin de protéger l'application contre les mauvaises manipulations l'utilisateur met en place un mot de passe permettant de protéger l'application contre : modification de la configuration arrêt de l'application désactivation des modules de protection la suppression de l'application (peut être défini dès l'installation) 68

69 4 Optimisation de la protection sur les postes / serveurs windows 4.1 Méthodes d exclusions Processus de confiances Cette section permet de mettre en avant l indépendance du produit vis-à-vis des autres applications exploitées. La fonctionnalité ci-dessous permet de «forcer» la cohabitation avec des applications «critiques». Cette fonctionnalité permet d éviter le dérèglement du fonctionnement ou la dégradation des performances. L application dispose d une fonctionnalité nommée «Application de confiance» Cette fonctionnalité permet de retirer de l analyse toute activité d un processus nommé. L application mise en «zone de non-droits» sera entièrement libre d activité. Les chargements de librairies, lectures de fichiers et activité systèmes ne seront pas contrôlés. Il est possible de spécifier quels sont les modules de l antivirus qui seront exclus : Ne pas analyser les fichiers ouverts. Ne pas surveiller l'activité de l'application. Restriction non héritée du processus parent (application). Ne pas surveiller l'activité des applications enfants. 69

70 Autoriser l'interaction avec l'interface de l'application. accès à l'interface via outil de prise en main à distance (VNC, dameware, Radmin, PcAnywhere,...) Ne pas analyser le trafic réseau Exclusions de fichiers La règle d'exclusion est un ensemble de paramètres qui détermine si un objet quelconque sera analysé ou non par Kaspersky Endpoint Security Vous pouvez exclure de l'analyse des fichiers d'un format défini, des fichiers selon un masque, certains secteurs (par exemple : un répertoire ou un programme), des processus ou des objets selon un verdict Le verdict est l'état que Kaspersky Endpoint Security a attribué à un objet après l'analyse. Le verdict est rendu sur la base du classement des programmes malveillants et des Riskwares présentés dans l'encyclopédie des virus de Kaspersky Lab. L'ajout d'une exclusion s'accompagne de la création d'une règle qui pourra être exploitée par certains composants du programme : Antivirus Fichiers Antivirus Courrier. Antivirus Internet. Contrôle de l'activité des applications. Tâches d'analyse. Surveillance du système. Vous pouvez composer la règle dans une boîte de dialogue spéciale accessible au départ de la fenêtre de configuration de l'application, au départ de la notification de la découverte d'un objet ou au départ de la fenêtre du rapport. 4.2 Optimisation des tâches d'analyse Afin de réduire l'impact des tâches d'analyse à la demande (planifiée ou manuelle), les développeurs ont mis en place plusieurs technologies : Démarrage de l'analyse lors de la mise en veille du système d'exploitation ou le verrouillage de la session utilisateur. Céder les ressources aux applications, dans ce cas la tâche réduit sa charge voir se met en pause si les ressources systèmes ne sont pas disponible en fonction d'un algorithme de gestion interne au logiciel Ne pas démarrer la tâche d'analyse si l'ordinateur portable est alimentée par sa batterie. 70

71 4.3 Optimisation de la protection en temps réel Les technologies ichecker et iswift permettent d'accélerer le fonctionnement de l'application Anti- Virus au niveau de la protection en temps réel et de l'analyse à la demande des fichiers. Ces technologies atteignent leur maximum d'efficacité quelques temps après l'installation des produits Kaspersky Principes de fonctionnement de ichecker : Lors de la première analyse, la somme de contrôle de l'objet analysé est sauvegardé. La somme de contrôle est une signature digitale unique d'un objet (fichier) qui permet d'identifier cet objet (fichier). La somme de contrôle change à chaque modification de l'objet. Cette information est stockée dans une table spécifique. Lors de chaque analyse de l'objet, la somme de contrôle est calculée et comparée avec l'ancien résultat. Si la valeur est différente, cela siginifie que l'objet a été modifié et qu'il doit être analysé à nouveau afin de vérifier qu'il n'est pas infecté. Si la valeur est identique, cela siginifie que l'objet n'a pas été modifié depuis la dernière analyse et qu'il n'est pas nécessaire de l'analyser à nouveau. Avantages de la technologie ichecker : Lorsqu'un objet est analysé, puis copier dans un autre emplacement (dossier, message ou archive), la somme de contrôle de l'objet est conservée et reconnue. Cette technologie fonctionne sur les objets stockés sur les périphériques externes, sur les objets de démarrage, les pièces jointes attachées à des s, etc. Elle utilise les ressources du système d'exploitation afin d'optimiser et d'accélerer la vitesse de fonctionnement lors de la 1ère analyse des objets de démarrage et du poste de travail Principes de fonctionnement de iswift : Cette technologie a été développée pour le système de fichier NTFS, qui permet notamment d'attribuer à chaque objet un identifiant NTFS. Cet identifiant est réinitialisé lors de la modification où de la copie de l'objet, et cela signifie donc que l'objet doit être analysé à la recherche d'un code malicieux. Ces identifiants NTFS sont stockés dans une base de données spécifique. Avantages de la technologie iswift : iswift est plus rapide que ichecker, car le calcul de la somme de contrôle des objets analysés n'est pas effectué. Cette technologie fonctionne avec tous les objets quel que soit le format, la taille et l'extension. 71

72 1 Protection des postes MAC Kaspersky Endpoint Security 8.0 for Mac protège l ordinateur contre les logiciels malveillants, en assurant un fonctionnement sûr au quotidien. Les fonctionnalités principales de Kaspersky Endpoint Security 8.0 for Mac sont : o Kaspersky Endpoint Security est basé sur un noyau antivirus amélioré et démontre une grande efficacité à la recherche de programmes malveillants. o L analyse des fichiers peut être exécutée automatiquement en temps réel ou à la demande de l utilisateur. o Mise à jour automatique des bases antivirus. o Administration à distance de la protection de l ordinateur à l aide de Kaspersky Administration Kit. o L application est conçue dans un style Mac en respectant les principes de cette plateforme, afin de rendre l utilisation de Kaspersky Endpoint Security plus conviviale pour les utilisateurs Mac. o Kaspersky Endpoint Security intègre un assistant de sécurité permettant ainsi à l utilisateur de résoudre les soucis de sécurité dans une seule fenêtre de son ordinateur Configuration logicielle o Ordinateur Mac avec le processeur Intel o Système d'exploitation Mac OS X , Mac OS X 10.5, Mac OS X 10.6, Mac OS X 10.7, Mac OS X Server 10.6 o 1Go de RAM o 500 Mo d'espace libre maximum sur le disque dur 72

73 Note : La version présentée dans ce document est administrable via la console d administration Kaspersky (Kaspersky Administration Kit 8). Important : Kaspersky Endpoint Security 8.0 for Mac permet de détecter également les virus destinés aux plates formes Windows et Linux. Cela permet de bloquer toute menace située par exemple sur un disque réseau ou provenant d une machine infectée par un malware «Windows». 73

74 1.1 Introduction Kaspersky Endpoint Security 8.0 for Mac, une nouvelle génération de solutions pour la protection des données. Il a été développé pour assurer la protection des ordinateurs tournant sous Mac OS contre les virus et les programmes malveillants. Le logiciel offre les fonctions suivantes ANTIVIRUS FICHIERS Protection en temps réel du système de fichiers de l'ordinateur : interception et analyse des requêtes adressées au système de fichiers, réparation et suppression des fichiers infectés et isolement des objets potentiellement infectés en vue d'une analyse ultérieure ANALYSE Recherche et neutralisation du code malveillant à la demande de l'utilisateur : recherche et analyse des objets infectés ou potentiellement infectés dans les zones d'analyse définies, réparation, suppression ou isolement des objets en vue d'une analyse ultérieure. L'application est livrée avec les tâches d'analyse les plus souvent utilisées : analyse complète de tous les objets de l'ordinateur et analyse rapide des secteurs critiques MISE À JOUR Mise à jour des bases et des modules faisant partie de Kaspersky Endpoint Security 8.0 for Mac depuis les serveurs de Kaspersky Lab, création d'une copie de sauvegarde de tous les fichiers actualisés au cas où il faudrait revenir à la version antérieure à la mise à jour, copie des mises à jour récupérées dans la source locale en vue de la proposer aux autres ordinateurs du réseau afin de réduire le trafic Internet QUARANTAINE Placement des objets potentiellement infectés en quarantaine : conservation des objets potentiellement infectés dans la quarantaine, analyse ultérieure de ceux-ci à l'aide des mises à jour, restauration des objets de la quarantaine à la demande de l'utilisateur DOSSIER DE SAUVEGARDE Création d une copie de l objet infecté dans la sauvegarde avant la réparation et la suppression afin de pouvoir éventuellement le restaurer à la demande au cas où il contiendrait des données importantes ou d étudier l infection RAPPORTS Création de rapports détaillés sur le fonctionnement de chaque composant de Kaspersky Endpoint Security 8.0 for Mac NOTIFICATIONS Avertissement de l'utilisateur en cas d'événements déterminés. Vous pouvez choisir le mode de notification pour chaque type d'événement : notification sonore ou message contextuel. Kaspersky Endpoint Security 8.0 for Mac propose une interface simple qui permet d'accéder aisément à n'importe quelle fonction de l'application. Vous pouvez modifier l'apparence du logiciel en utilisant vos propres éléments graphiques et la palette de couleurs sélectionnée. Vous recevez toutes les informations relatives au fonctionnement de l'application. Kaspersky Endpoint Security 8.0 for Mac affiche des messages sur l'état de la protection et vous propose un fichier d'aide détaillé. L Assistant 74

75 de sécurité, inclus dans l application, dresse le tableau complet de la protection actuelle de l ordinateur et permet de résoudre les problèmes immédiatement. 75

76 1.2 Fonctionnalités détaillées Protection antivirus du système de fichiers de l'ordinateur Le système de fichiers peut contenir des virus ou d'autres programmes malveillants qui peuvent être conservés des années après leur intrusion via un disque amovible ou via Internet sans jamais se manifester. Pourtant, il suffit d'ouvrir le fichier infecté, et le virus commence tout de suite son action malveillante. L Antivirus Fichiers est le composant qui contrôle le système de fichiers de l'ordinateur en temps réel. Il est lancé par défaut au lancement du système d'exploitation, reste en permanence dans la mémoire vive de l'ordinateur et analyse tous les fichiers ouverts, exécutés ou enregistrés sur l'ordinateur ainsi que tous les disques connectés Le processus d'analyse contient les étapes suivantes : o Toute requête provenant d'un utilisateur ou d'un programme quelconque adressé à chaque fichier est interceptée par le composant. o Le fichier est soumis à la recherche d'éventuels virus. L'identification des objets malveillants est réalisée à l'aide des bases de l'application. Les bases contiennent la définition de tous les programmes malveillants connus à ce jour et de leur mode d'infection. o Les comportements suivants du programme sont possibles en fonction des résultats de l'analyse : Si le fichier contient un code malveillant, Antivirus Fichiers le bloque, place une copie dans le dossier de sauvegarde et tente de le réparer. Si la réparation réussit, l'utilisateur peut utiliser le fichier. Dans le cas contraire, le fichier est supprimé. En cas de réparation du fichier ou de sa suppression, une copie est placée dans la sauvegarde. Si le fichier contient un code semblable à un code malveillant et que ce verdict ne peut pas être garanti à 100%, le fichier est placé en quarantaine. Il sera possible par la suite de tenter de le réparer à l'aide des bases actualisées. Si aucun code malveillant n'a été découvert dans le fichier, le destinataire pourra l utiliser immédiatement 76

77 77

78 Outre la protection en temps réel de l'ordinateur garantie par Antivirus Fichiers, il est primordial de rechercher la présence éventuelle de virus sur l'ordinateur à intervalles réguliers. Cette activité est indispensable afin d'éviter la propagation de programmes malveillants qui n'auraient pas été interceptés par les composants de la protection en raison, par exemple, d'un niveau de protection trop bas ou de tout autre motif. Pour ce faire, Kaspersky Endpoint Security 8.0 for Mac prévoit les tâches suivantes : Analyse Recherche de virus d'un objet particulier (fichier, dossier, disque, disques amovibles). Analyse complète Recherche de virus sur l'ordinateur avec une analyse minutieuse de tous les disques connectés. Analyse rapide Recherche de virus éventuels uniquement dans les secteurs critiques de l'ordinateur : dossiers contenant les fichiers du système d'exploitation (/System) et les bibliothèques système (/Library). 78

79 79

80 Mise à jour de l application L'actualité de la protection est le garant de la sécurité de l ordinateur. Chaque jour, de nouveaux virus, chevaux de Troie et autres programmes malveillants apparaissent. Il est donc primordial de s'assurer que toutes les données sont bien protégées. La mise à jour du logiciel suppose le téléchargement et l'installation sur l ordinateur des : Bases d'antivirus La protection des données est réalisée à l'aide des bases de l'application. Antivirus Fichiers et les tâches de recherche de virus utilisent les bases pour rechercher les objets dangereux présents sur l'ordinateur et les neutraliser. Ces bases sont enrichies toutes les heures des définitions des nouvelles menaces et des moyens de lutter contre celles-ci. Pour cette raison, il est vivement recommandé de les actualiser régulièrement. Modules de l'application En plus des bases de l'application, vous pouvez actualiser les modules de Kaspersky Endpoint Security 8.0 for Mac. Des paquets de mises à jour sont diffusés régulièrement par Kaspersky Lab. Les serveurs de mise à jour de Kaspersky Lab sont la principale source pour les mises à jour de Kaspersky Endpoint Security 8.0 for Mac. Le téléchargement des mises à jour s'opère selon l'un des modes suivants : o Automatique. Kaspersky Endpoint Security 8.0 for Mac vérifie selon une fréquence déterminée si les fichiers de mise à jour sont présents sur la source de la mise à jour. La fréquence d'analyses peut être augmentée en cas d'épidémie et réduit en situation normale. Lorsque Kaspersky Endpoint Security 8.0 for Mac découvre de nouvelles mises à jour, il les télécharge et les installe sur l'ordinateur. Ce mode est utilisé par défaut. o Selon la programmation. La mise à jour du logiciel est réalisée selon un horaire défini. o Manuel. Vous lancez vous-même la procédure de mise à jour de l'application. Au cours du processus, les modules logiciels et les bases installées sur l ordinateur sont comparés à ceux du serveur. Si les bases et les composants installés sur l ordinateur sont toujours d'actualité, le message correspondant apparaîtra à l'écran. Si les bases et les modules diffèrent de celles qui sont 80

81 présentes dans la source de mise à jour, justement la partie manquante de la mise à jour sera installée sur l ordinateur. La copie des bases et des modules complets n'a pas lieu, ce qui permet d'augmenter sensiblement la vitesse de la mise à jour et de réduire le volume du trafic. Avant de lancer la mise à jour des bases de l'application, Kaspersky Endpoint Security 8.0 for Mac réalise une copie des signatures installées. La possibilité d'annuler une mise à jour est indispensable, par exemple si les bases que vous avez téléchargées sont corrompues. Vous pouvez ainsi revenir à la version précédente des bases et tenter de les actualiser à nouveau ultérieurement. Parallèlement à la mise à jour, vous pouvez copier les mises à jour obtenues dans une source locale. Ce service permet d'actualiser les bases de données et les modules utilisés par l'application sur les ordinateurs du réseau afin de limiter le trafic Internet Sélection de la source de la mise à jour La source des mises à jour est une ressource qui contient les mises à jour des bases et des modules de Kaspersky Endpoint Security 8.0 for Mac. Il peut s'agir d'un serveur HTTP ou FTP, voire d'un répertoire local ou réseau. La source principale de mises à jour - les serveurs de mise à jour de Kaspersky Lab. Il s'agit de sites Internet spéciaux prévus pour la diffusion des bases et des modules de l'application pour tous les produits de Kaspersky Lab. Les mises à jour obtenues sur un disque amovible peuvent être par la suite placées sur un site FTP ou HTPP ou dans un répertoire local ou de réseau Copie des mises à jour Si les ordinateurs domestiques font partie d un réseau local, il n est pas nécessaire de télécharger et d installer les mises à jour sur chacun des postes séparés, car cela entraînerait une augmentation du trafic. Le service de copie des mises à jour permet de réduire le trafic Internet. La procédure d'obtention des mises à jour est organisée de manière suivante : Un des ordinateurs du réseau récupère les mises à jour pour l application sur les serveurs de Kaspersky Lab ou sur tout autre serveur en ligne proposant les mises à jour les plus récentes. Les mises à jour ainsi obtenues sont placées dans un dossier partagé. 81

82 Les autres ordinateurs du réseau accèdent à ce dossier partagé afin d obtenir les mises à jour. Remarque : N'oubliez pas que Kaspersky Endpoint Security 8.0 for Mac récupère sur les serveurs de mise à jour de Kaspersky Lab uniquement les paquets nécessaires à sa propre actualisation. 82

83 Quarantaine La quarantaine est un dossier spécial dans lequel on retrouve les objets qui ont peut-être été infectés par des virus. Les objets potentiellement infectés sont des objets qui ont peut-être été infectés par des virus ou leur modification. Il n'est pas toujours possible de définir si un objet est infecté ou non. Les raisons sont diverses : o Le code de l'objet analysé est semblable à celui d'une menace connue mais a été partiellement modifié. o Les bases de l application contiennent les menaces qui ont été étudiées à ce jour par les experts de Kaspersky Lab. Si le programme malveillant a été modifié et que ces modifications ne figurent pas encore dans les bases, Kaspersky Endpoint Security 8.0 for Mac considère l'objet comme étant infecté par une modification d'un programme malveillant et le classe comme objet potentiellement infecté. Il indique obligatoirement à quelle menace cette infection ressemble. o Le code de l'objet infecté rappelle, par sa structure, celui d'un programme malveillant mais les bases de l application ne recensent rien de similaire. o Il est tout à fait possible qu'il s'agisse d'un nouveau type de menace et que pour cette raison, Kaspersky Endpoint Security 8.0 for Mac considère cet objet comme un objet potentiellement infecté. L'objet potentiellement infecté peut être découvert et placé en quarantaine durant l'analyse ou par Antivirus Fichiers. Vous pouvez vous-même placer un objet en quarantaine en cliquant sur le lien Quarantaine dans la notification spéciale qui apparaît à l'écran suite à la découverte d'un objet potentiellement infecté. Quand un objet est placé en quarantaine, il est déplacé et non pas copié : l'objet est supprimé du disque ou du message et il est enregistré dans le répertoire de quarantaine. Les fichiers mis en quarantaine sont convertis dans un format spécial et ne représentent aucun danger. 83

84 Dossier de sauvegarde Il n'est pas toujours possible de préserver l'intégrité des objets lors de la réparation. Si le fichier réparé contenait des informations importantes et que celles-ci ne sont plus accessibles (complètement ou partiellement) suite à la réparation, il est possible de le restaurer au départ de sa copie de sauvegarde. La copie de sauvegarde est une copie de l'objet dangereux original qui est créée lors de la première réparation ou suppression de l'objet en question et qui est conservée dans le dossier de sauvegarde. Le dossier de sauvegarde est un dossier spécial qui contient les copies des objets dangereux traités ou supprimés. La fonction principale du dossier de sauvegarde est de permettre à n'importe quel moment la restauration de l'objet original. Les fichiers placés dans le dossier de sauvegarde sont convertis dans un format spécial et ne représentent aucun danger. 84

85 Rapports & notifications Kaspersky Endpoint Security 8.0 for Mac offre la possibilité de consulter des statistiques détaillées sur les résultats du travail ainsi que tous les événements survenus durant le fonctionnement de l'application. Un rapport détaillé est également généré pour chaque composant de l'application : Antivirus Fichiers, les analyses et les mises à jour. La fenêtre du rapport contient les rubriques suivantes : o Détectés. Liste de l'ensemble des objets dangereux et suspects découverts par Antivirus Fichiers ou les analyses. o Événements. Il s'agit de la liste de tous les événements survenus pendant l'utilisation de Kaspersky Endpoint Security 8.0 for Mac. o Quarantaine. Liste des objets placés en quarantaine. o Dossier de sauvegarde. Liste des objets placés dans la sauvegarde. o Tâches exécutées. Liste des tâches en cours d'exécution. Si aucune tâche n'a été lancée et qu'antivirus Fichiers est désactivé, la liste sera vide. o Tâches terminées. Liste des tâches terminées. Vous pouvez consulter toutes les tâches terminées ou les vingt dernières. La fenêtre des rapports permet de gérer directement le fonctionnement d'antivirus Fichiers ainsi que les tâches d'analyse et de mise à jour ainsi que de les lancer, les suspendre ou les reprendre Notifications Divers événements peuvent survenir pendant l'utilisation de Kaspersky Endpoint Security 8.0 for Mac. Ils peuvent avoir un caractère informatif ou contenir les informations importantes. Par exemple, un événement peut vous signaler la réussite de la mise à jour de l'application ou indiquer une erreur de fonctionnement d'antivirus Fichiers ou de la tâche d'analyse qu'il faut corriger de toute urgence. La notification peut être réalisée par fenêtre contextuelle ou notification sonore. 85

86 86

87 État de la protection de l'ordinateur L'état de la protection de l ordinateur reflète la présence ou l'absence de menaces qui influencent le niveau général de sécurité du système. Dans ce cas, les menaces sont non seulement les programmes malveillants découverts, mais aussi l'utilisation de bases de l'application dépassées, la désactivation de certains composants, l'utilisation des paramètres minimum de fonctionnement, etc. L état de la protection est repris dans la fenêtre principale et il est exprimé par des couleurs identiques à celles des feux de circulation. La couleur affichée dans la fenêtre dépend de la situation et quand une menace existe, la zone de couleur s accompagne d un texte d'information. L'indice de couleur de la protection peut prendre une des valeurs suivantes : o Vert. Cet état signale que l ordinateur est protégé au niveau requis. Cet état indique que vous avez actualisé les bases de l'application en temps voulus, que Kaspersky Endpoint Security 8.0 for Mac est activé, que l'application fonctionne selon les paramètres recommandés par les spécialistes de Kaspersky Lab et que l'analyse complète de l'ordinateur n'a décelé aucun objet malveillant ou que les objets malveillants découverts ont été neutralisés. o Jaune. Le niveau de protection de l ordinateur est inférieur au niveau précédent. Cet état signale la présence de quelques problèmes au niveau du fonctionnement ou de la configuration de l'application. Par exemple, l'écart par rapport au mode de fonctionnement recommandé est important ou les bases de l'application n'ont plus été actualisées depuis quelques jours. o Rouge. L ordinateur est exposé à un sérieux risque d'infection. Cet état signale l'existence de problèmes qui pourraient entraîner l'infection de l'ordinateur ou la perte de données. Par exemple, un échec s'est produit dans le fonctionnement d'antivirus Fichiers, l'application n'a plus été actualisée depuis longtemps ou des programmes malveillants qu'il faut absolument neutraliser ont été découverts, l'application n'est pas activée. Il est conseillé de résoudre les problèmes du système de protection dès qu'ils se présentent. Utilisez pour ce faire l'assistant de sécurité ouvert lorsque vous cliquez sur l'indicateur de couleur de la fenêtre principale. 87

88 Constitution de la zone de confiance La zone de confiance est une liste d'objets composée par l'utilisateur qui ne seront pas contrôlés par Kaspersky Endpoint Security 8.0 for Mac. En d'autres termes, il s'agit des éléments exclus de la protection offerte par le programme. Cette zone de confiance peut être définie par l'utilisateur sur la base des particularités des objets qu'il manipule et des programmes installés sur l'ordinateur. La constitution de cette liste d'exclusions peut s'avérer utile si Kaspersky bloque l'accès à un objet ou un programme quelconque alors que vous êtes convaincu que celui-ci est tout à fait sain. Les règles d'exclusions sont des ensembles de conditions qui permettent à Kaspersky de savoir qu'il ne doit pas analyser un objet. Vous pouvez exclure de l'analyse des fichiers d'un format défini, des fichiers selon un masque, certains secteurs (par exemple : un répertoire ou un programme), des processus ou des objets selon un type de menace conforme à la classification de l'encyclopédie des virus Ressources Efficace mais discret, Kaspersky Endpoint Security 8.0 for Mac consomme peu de ressources. 1.3 Intégration dans la console d administration Kaspersky Kaspersky Endpoint Security for MAC est entièrement administrable depuis la console Kaspersky. Grâce à elle, l'administrateur peut exécuter les tâches suivantes o Installer Kaspersky Endpoint Security à distance sur les ordinateurs du réseau ; o Configurer Kaspersky Endpoint Security à distance sur les ordinateurs du réseau via les stratégies; o Actualiser les bases antivirus et les modules de l'application et revenir à l'état antérieur à la mise à jour ; o Lancer la recherche de la présence éventuelle de virus sur les ordinateurs du réseau ; o Activer l'application à distance à l'aide d'un fichier clé ; o Consulter les statistiques et composer un rapport sur le fonctionnement de Kaspersky Endpoint Security sur les ordinateurs du réseau Concepts et définitions En cas d'utilisation de Kaspersky Administration Kit, l'administration de Kaspersky Endpoint Security s'opère selon les paramètres des stratégies, les paramètres des tâches et les paramètres de l'application définis par l'administrateur. Une action portant un nom et exécutée par l'application s'appelle une tâche. Les types de tâche suivants sont identifiés selon les fonctions exécutées : 88

89 o recherche de virus ; o mise à jour de l'application ; o annulation de la dernière mise à jour ; o installation du fichier clé. Exemple d une tâche de mise à jour pour les clients antivirus MAC Un groupe de paramètres de fonctionnement de l'application correspond à chaque tâche. Les paramètres communs à tous les types de tâche sont appelés les paramètres de l'application. Les paramètres spécifiques à chaque type de tâche s'intitulent les paramètres de tâche. Aucun conflit n'est possible entre les paramètres de l'application et les paramètres de tâche. Parmi les particularités de l'administration centralisée, citons la répartition des ordinateurs distants en groupe et l'administration des paramètres via la création et la définition de stratégies de groupe. La stratégie est un ensemble de paramètres de fonctionnement de l'application dans le groupe ainsi qu'un ensemble de restrictions sur la redéfinition des paramètres lors de la configuration de l'application et des tâches sur un ordinateur client distant. La stratégie inclut les paramètres permettant de configurer toutes les fonctionnalités de l'application, à l'exception de paramètres spécifiques à certains modèles de tâche. Il peut notamment s'agir des paramètres de programmation. La stratégie comprend par exemple les paramètres : o communs à tous les types de tâche, à savoir les paramètres de l'application ; o communs à tous les modèles de tâche d'un type donné, à savoir la majeure partie des paramètres de tâche. En d'autres termes, la stratégie de Kaspersky Endpoint Security, dont font partie les tâches de protection et de recherche de virus, comprend tous les paramètres utilisés par l'ensemble des tâches 89

90 exécutées mais n'inclut pas la programmation des tâches de recherche de virus et les paramètres définissant la zone d'analyse. Exemple de paramétrage de l antivirus fichiers dans une stratégie MAC 90

91 2 Kaspersky Security for Mobile Principe de fonctionnement 91

92 2.2 Environnements et installation o Symbian 9.1, 9.2, 9.3, 9.4 Series 60 UI, Symbian 3, Symbian Anna, Symbian Belle (Périphériques mobiles Nokia uniquement) o BlackBerry 4.5, 4.6, 4.7, 5.0, 6.0, 7.0 o Android o Windows Mobile o ios 4-6 Remarque : les fonctionnalités disponibles dépendent de l environnement. De plus, Kaspersky Security for Mobile peut être utilisé conjointement avec les 2 précédents modules Ordre d installation o Préparation et configuration du Serveur d Administration KSC10 o Préparation de la Console d Administration o Création : D une stratégie pour Kaspersky Security for Mobile Optionnellement, des règles de déplacement automatique D un paquet d installation o Démarrage de l installation via une des méthodes ci-dessous 92

93 2.3 Fonctionnalités 93

94 Nouveautés La nouvelle version de Kaspersky Security 10 for Mobile a reçu les améliorations suivantes: o o o o o o o o Un nouveau schéma de déploiement de l'application sur les appareils tournant sous Android via Kaspersky Security Center à l'aide d'une diffusion des messages textes vers les numéros des téléphones d'utilisateurs ou des messages électroniques vers les adresses de messagerie d'entreprise d'utilisateurs. La prise en charge des appareils tournant sous le système d'exploitation Android version 4.0 ou supérieure. La prise en charge des appareils mobiles tournant sous ios. Pour ce système d'exploitation, Kaspersky Security 10 bloque les sites Web appartenant à des catégories spécifiées. L'installation à distance de l'application sur les appareils tournant sous ios et son administration à l'aide de Kaspersky Security Center. Désormais, l'application peut bloquer des ressources Web en fonction des catégories spécifiées dans le service nuage Kaspersky Security Network ce qui permet de limiter l'accès aux ressources Web classées malveillantes, d'hameçonnage ou appartenant à une autre catégorie indésirable. La prise en charge de la création et l'utilisation des conteneurs qui sont des programmes mobiles dans une enveloppe spéciale permettant de coordonner les activités des applications incluses dans le conteneur pour assurer la protection des données d'entreprise stockées dans l'appareil. Les applications dans le conteneur peuvent être utilisées comme des applications autorisées ou obligatoires pour l'installation. L'analyse heuristique lors du fonctionnement de la protection. La détection de l'accès à l'appareil avec les privilèges de l'administrateur (l'accès racine ROOT) pour les appareils tournant sous Android et du jailbreaking pour les appareils tournant sous ios, ainsi que la sélection des actions à effectuer dans les deux cas. o Les appareils tournant sous Android ont reçu les améliorations suivantes : o Kaspersky Security Center permet d'indiquer les applications dont le lancement sur l'appareil est autorisé ou interdit et de spécifier les applications obligatoires pour l'installation sur l'appareil de l'utilisateur. L'application assure l'analyse de nouveaux programmes après l'installation à l'aide du service nuage Kaspersky Security Network. La détection des logiciels publicitaires et des programmes que les individus malintentionnés peuvent utiliser pour nuire à l'appareil et aux données de l'utilisateur. Activation de l'application Kaspersky Security 10 en tant qu'administrateur de l'appareil. Cette opération donne l'accès à des fonctionnalités avancées de la protection des appareils tournant sous Android. Suppression de l'application de l'appareil depuis ses paramètres sur l'appareil ou à distance à l'aide de Kaspersky Security Center. Des fonctionnalités supplémentaires pour le composant Antivol : désormais vous pouvez lancer l'antivol à distance et supprimer toutes les données de l'appareil à l'aide d'une instruction envoyée à l'aide de Kaspersky Security Center. 94

95 o Les fonctionnalités du composant Filtre des appels et SMS sont améliorées : désormais, vous pouvez importer les listes des contacts autorisés et interdits depuis le journal des appels et la liste des SMS. o La liste des événements consignés dans les rapports sur le fonctionnement de l'application a été élargie Conteneurs Toutes les applications peuvent être installées dans un container permettant ainsi à Kaspersky Security for Mobile de contrôler : o o o La nécessite ou pas d un mot de passe d accès Le chiffrement des données issues de l application en question D interdire si besoin l enregistrement des données, la connexion à Internet, d effectuer des appels et d envoyer des SMS Remarque : seuls Android et ios supportent les containers 95

96 Exemple ci-dessus d une nouvelle application référencée pour Adroid Tous les paquets sont automatiquement publiés sur le Serveur Web intégré 96

97 Privilèges des applications et Installation du Conteneur Il suffit pour cela d éditer la stratégie Kaspersky Security 10 for Mobile et de remarquer que dans la section Conteneurs, les applications enregistrées dans la section Paquets s y trouvent. 97

98 Vous pourrez alors éditer les droits liés à cette application : La liste déroulante pour bloquer ou autoriser l'autorisation lors du lancement de l'application dans le conteneur sur l'appareil mobile de l'utilisateur. Valeurs possibles : o o o Désactiver. Lors du lancement de l'application dans le conteneur, Kaspersky Security ne requiert pas d'autorisation supplémentaire de la part de l'utilisateur. Données du domaine. Lors du lancement de l'application dans le conteneur, Kaspersky Security demande l'autorisation de l'utilisateur et l'utilisateur doit donc indiquer son login et son mot de passe dans l'active Directory. L'application ne peut se lancer dans le conteneur sans l'autorisation de l'utilisateur. L'utilisateur saisit le mot de passe. Lors du lancement de l'application dans le conteneur, Kaspersky Security a besoin de l'autorisation de l'utilisateur. L'utilisateur doit saisir le mot de passe qui lui a été transmis lors du premier lancement de cette application dans le conteneur. L'application ne peut se lancer dans le conteneur sans l'autorisation de l'utilisateur. Le groupe Privilèges d'enregistrement des données permet de limiter l'enregistrement des données de l'application dans le conteneur sur l'appareil de l'utilisateur. Le groupe Accès à Internet permet de limiter l'accès de l'application dans le conteneur à Internet. o La liste déroulante permet de sélectionner le mode de restriction d'accès du conteneur à l'échange de données avec Internet. Valeurs possibles : Autoriser. Dans le conteneur, l'application échange sans restriction des données avec Internet. Demander. Kaspersky Security informe l'utilisateur de l'appareil que l'application dans le conteneur tente de se connecter à Internet et demande à l'utilisateur les actions à effectuer. Refuser. Dans le conteneur, l'application ne peut échanger de données avec Internet. La liste déroulante Messages permet de sélectionner le mode de restriction d'envoi de SMS par l'application dans le conteneur et enfin, le groupe Appels permet de limiter la réception des appels par l'application dans le conteneur. Si le téléphone est compromis (smartphone rooté par exemple), l administrateur pourra ainsi décider : o o o o D être averti. L'application crée le rapport Les privilèges d'administrateur ont été obtenus sur l'appareil qui peut être consulté dans la Console d'administration Kaspersky Security Center ou dans les propriétés locales de l'application. De bloquer les conteneurs. L'application bloque l'accès du conteneur. De supprimer les données d'entreprise. L'application supprime toutes les données du conteneur. De supprimer toutes les données sur l'appareil. L'application supprime toutes les données et efface les paramètres sur l'appareil mobile de l'utilisateur. 98

99 Contrôle d applications pour Android Sur le même écran ci-dessus, il est possible grâce à Applications interdites d autoriser toutes les applications sauf celles qui sont listées et vice-versa, en sélectionnant Applications autorisées, il est possible de bloquer toutes les applications sauf celles qui sont listées Antivol L antivol est un autre composant essentiel dans la politique de sécurité des smartphones et tablettes. Il est ainsi possible à travers cette interface d utiliser : La fonction Suppression. o o o Quand la case est cochée, Kaspersky Security est en mesure de supprimer à distance les données personnelles et de l'entreprise de l'utilisateur ou toutes les données sont supprimées sans possibilité de restauration. La fonction est activée sur l'appareil de l'utilisateur grâce à l'instruction de l'administrateur reçue par SMS ou lors de la synchronisation avec le Serveur d administration. L'administrateur doit indiquer un code à usage unique lors de l'activation de la fonction par SMS. Le code à usage unique s'affiche dans les propriétés locales de l'application, dans la section Antivol. Ainsi, il convient d'envoyer un SMS contenant le texte suivant : fullreset:<code à usage unique> pour supprimer toutes les données ; wipe:<code à usage unique> pour supprimer les données personnelles et de l'entreprise. Quand la case est décochée, la fonction Suppression est désactivée. 99

100 La fonction Verrouillage Quand la case est cochée, Kaspersky Security est en mesure de verrouiller à distance l'appareil mobile de l'utilisateur. o o o La fonction est activée sur l'appareil de l'utilisateur grâce à l'instruction de l'administrateur reçue par SMS ou lors de la synchronisation avec le Serveur d administration. L'administrateur doit indiquer un code à usage unique lors de l'activation de la fonction par SMS. Le code à usage unique s'affiche dans les propriétés locales de l'application, dans la section Antivol. Ainsi, il convient d'envoyer un SMS contenant le texte suivant : lock:<code à usage unique>. Pour que la fonction Verrouillage fonctionne sur l'appareil Android, il faut que l'application Kaspersky Security soit activée en tant qu'administrateur de l'appareil. 100

101 Activer SIM-Surveillance Quand la case est cochée, Kaspersky Security verrouille l'appareil mobile à distance si la carte SIM est remplacée ou si l'appareil est allumé sans carte. L'utilisateur peut spécifier un numéro de téléphone et/ou une adresse électronique pour envoyer le nouveau numéro de téléphone et activer le verrouillage de l'appareil en cas de remplacement de la carte SIM. Utilisation de la fonction Localisation. Si la case est cochée, Kaspersky Security est en mesure de déterminer à distance la position de l'appareil et la recevoir par SMS ou par courrier électronique à l'adresse indiquée. Par défaut, l'application envoie les coordonnées de l'appareil par SMS au numéro de téléphone qui a émis l'instruction SMS spéciale. o o La fonction est activée sur l'appareil de l'utilisateur grâce à l'instruction de l'administrateur reçue par SMS ou lors de la synchronisation avec le Serveur d administration. L'administrateur doit indiquer un code à usage unique lors de l'activation de la fonction par SMS. Le code à usage unique s'affiche dans les propriétés locales de l'application, dans la section Antivol. Ainsi, l'administrateur doit envoyer un SMS contenant le texte suivant : locate:<code à usage unique>. Envoi des instructions Le groupe «Envoi des instructions» permet d'envoyer les instructions du module Antivol à tous les appareils mobiles de l'utilisateur qui appartiennent au groupe. Pour envoyer des commandes (Suppression de toutes les données, Suppression des données personnelles, Verrouillage, Géolocalisation), l'administrateur doit activer leur utilisation selon les fonctions Antivol. Exemple : quand la case est cochée, Kaspersky Security verrouille l'appareil. Pour déverrouiller l'appareil, il faudra saisir le code à usage unique Autres fonctions o o o Scan Anti-Virus programmé : disponible pour tous les OS sauf ios et BlackBerry Antivirus temps réel : disponible pour tous les OS sauf ios et BlackBerry Réseau : période de synchronisation, pare-feu, Protection Internet La protection Internet restreint l'accès de l'utilisateur de l'appareil aux sites Internet en fonction de leur contenu. Quand la case est cochée, Kaspersky Security bloque l'accès des utilisateurs aux sites Internet appartenant aux catégories sélectionnées. Quand la case est cochée, l'accès de l'utilisateur est limité uniquement aux catégories Phishing et Logiciel malveillant qui sont définis par défaut dans la Liste des catégories. 101

102 102

103 Gestion de l appareil Ce groupe permet de configurer l'utilisation du mot de passe système lorsque l'appareil mobile est allumé. o o Exiger la saisie d'un mot de passe pour bloquer l'appareil Vérifie l'existence d'un mot de passe système lorsque l'appareil est allumé. Quand la case est cochée, Kaspersky Security vérifie si un mot de passe système a été défini pour l'appareil. Si ce n'est pas le cas, l'utilisateur doit le définir. Le mot de passe est affiché selon paramètres définis par l'administrateur Nombre minimal de caractères dans le mot de passe Le groupe Restrictions permet d'autoriser ou d'interdire l'utilisation de la fonction Wi-Fi, de la caméra ou de Bluetooth sur l'appareil mobile de l'utilisateur. o Quand la case est cochée, Kaspersky Security désactive l'appareil photo sur l'appareil mobile de l'utilisateur. L'appareil photo peut être débranché sur les appareils dotés d'android avec un système d'exploitation supérieur à la version à

104 2.3.1 Fonctionnalités ( mise à jour dernière version ) Contrôle d applications pour Android Sur le même écran ci-dessus, il est possible grâce à Applications interdites d autoriser toutes les applications sauf celles qui sont listées et vice-versa, en sélectionnant Applications autorisées, il est possible de bloquer toutes les applications sauf celles qui sont listées. Il est possible de recommander une application à l utilisateur ou de lui imposer Il est également possible d autoriser ou de bloquer des catégories d application 104

105 Protection Web Android /ios/ Windows Phone o La protection Internet restreint l'accès de l'utilisateur de l'appareil aux sites Internet en fonction de leur contenu. o Il est possible de : Bloquer les sites web de catégories prédéterminées Nouveautés La nouvelle version Kaspersky Security 10 Service Pack 1, Bloquer tous les sites web à l exception de ceux spécifiés Bloquer l intégralité des sites web o 105

106 Gestion de l appareil (Android) Ce groupe permet de configurer l'utilisation du mot de passe système lorsque l'appareil mobile est allumé. Exiger la saisie d'un mot de passe pour bloquer l'appareil Vérifie l'existence d'un mot de passe système lorsque l'appareil est allumé. Quand la case est cochée, Kaspersky Security vérifie si un mot de passe système a été défini pour l'appareil. Si ce n'est pas le cas, l'utilisateur doit le définir. Le mot de passe est affiché selon paramètres définis par l'administrateur Nombre minimal de caractères dans le mot de passe Le groupe Restrictions permet d'autoriser ou d'interdire l'utilisation de la fonction Wi-Fi, de la caméra ou de Bluetooth sur l'appareil mobile de l'utilisateur. Quand la case est cochée, Kaspersky Security désactive l'appareil photo sur l'appareil mobile de l'utilisateur. L'appareil photo peut être débranché sur les appareils dotés d'android avec un système d'exploitation supérieur à la version à 4.0. La prise en charge de profil Touchdown est également possible L administrateur peut, si il le souhaite, déployer les profils des accès Wifi sans avoir a communiquer les clefs aux utilisateurs. o o 106

107 Gestion KNOX (Samsung uniquement) Pour les périphériques Samsung compatibles KNOX 1, des fonctionnalités complémentaires d administration sont géré depuis la stratégie : APN : Paramétrages des APN sur les terminaux. Firewall applicatif : Permets d autoriser ou d interdire l accès internet aux applications sélectionnées. VPN : déploiement des configurations VPN. Exchange : Déploiement des profils exchange. Nouveautés La nouvelle version Kaspersky Security 10 Service Pack 1apporte : le support de KNOX 2 o 107

108 Contrôle de conformités (Android) Notifie l administrateur en cas de non-conformité du terminal sur les points suivants : Protection AV activé Signature à jour Aucune application bloquée ou appartenant à une catégorie blacklistée n a été installée Dernière version de l OS Android installé Synchronisation régulière du terminal avec son serveur Terminal non rooté Mot de passe défini en accord avec la stratégie 108

109 Administration globale Prise en charge du fonctionnement de l'application Kaspersky Security 10 for Mobile avec les systèmes d'administration à distance. Installation des applications mobiles de Kaspersky Security sur les appareils et activation avec un système d'administration à distance. Synchronisation des appareils avec les systèmes d'administration à distance. Configuration des paramètres de fonctionnement des applications Kaspersky Security : soit en une seule fois pour plusieurs appareils, soit individuellement pour chaque appareil. Application des stratégies à l'aide du système d'administration à distance. Transmission des rapports sur l'état de la protection des appareils mobiles et sur les événements des applications Kaspersky Security Antivirus (Android / Symbian / Windows Mobile) Scan Anti-Virus programmé Analyse du système de fichiers de l'appareil à la demande de l'utilisateur ou selon une programmation, à la recherche de virus et d'autres applications malveillantes. Antivirus temps réel Protection par signature Protection heuristique Protection étendue pour android (scan en temps réel tout les fichiers que l utilisateur ouvre, modifie, déplace, copie, démarre ou enregistre) Analyse complémentaire du système fichiers en temps réel à la recherche de toute activité suspecte via le service Cloud Kaspersky Security Network. Détection des adware, dialer, riskware,. Réparation des fichiers infectés, ou placement en quarantaine ou suppression si leur réparation est impossible. Mise à jour des bases antivirus de l'application à la demande de l'utilisateur ou selon une programmation : nécessite une connexion à Internet. 109

110 Qu est-ce que le Kaspersky Security Network (KSN)? Kaspersky Security Network (KSN) est un réseau de la sécurité informatique qui permet d'obtenir : Un niveau de protection supplémentaire ; Les données actuelles sur la réputation des applications ; Les données actuelles sur la réputation des sites Internet ; Une réaction immédiate sur l'apparition de nouvelles menaces. Le service Kaspersky Security Network (KSN) est une technologie antivirus de "nuage" ("cloud"). Nouveautés La nouvelle version Kaspersky Security 10 Service Pack 1 apporte : Amélioration de l analyse heuristique 110

111 Antispam SMS et APPEL (Android / Blackberry / Windows Mobile / Symbian) Blocage des appels et des SMS entrants indésirables. Basé sur des listes blanches et noires que l utilisateur peut compléter ou modifier. Antivol ( Android ) L antivol est un autre composant essentiel dans la politique de sécurité des smartphones et tablettes. Il est ainsi possible à travers cette interface d utiliser : La fonction Suppression. Quand la case est cochée, Kaspersky Security est en mesure de supprimer à distance les données personnelles et de l'entreprise de l'utilisateur ou toutes les données sont supprimées sans possibilité de restauration. La fonction est activée sur l'appareil de l'utilisateur grâce à l'instruction de l'administrateur reçue par SMS ou lors de la synchronisation avec le Serveur d administration. L'administrateur doit indiquer un code à usage unique lors de l'activation de la fonction par SMS. Le code à usage unique s'affiche dans les propriétés locales de l'application, dans la section Antivol. Ainsi, il convient d'envoyer un SMS contenant le texte suivant : 111

112 fullreset:<code à usage unique> pour supprimer toutes les données ; wipe:<code à usage unique> pour supprimer les données personnelles et de l'entreprise. Quand la case est décochée, la fonction Suppression est désactivée. La fonction Verrouillage Quand la case est cochée, Kaspersky Security est en mesure de verrouiller à distance l'appareil mobile de l'utilisateur. La fonction est activée sur l'appareil de l'utilisateur grâce à l'instruction de l'administrateur reçue par SMS ou lors de la synchronisation avec le Serveur d administration. L'administrateur doit indiquer un code à usage unique lors de l'activation de la fonction par SMS. Le code à usage unique s'affiche dans les propriétés locales de l'application, dans la section Antivol. Ainsi, il convient d'envoyer un SMS contenant le texte suivant : lock:<code à usage unique>. Pour que la fonction Verrouillage fonctionne sur l'appareil Android, il faut que l'application Kaspersky Security soit activée en tant qu'administrateur de l'appareil. Activer SIM-Surveillance Quand la case est cochée, Kaspersky Security verrouille l'appareil mobile à distance si la carte SIM est remplacée ou si l'appareil est allumé sans carte. L'utilisateur peut spécifier un numéro de téléphone et/ou une adresse électronique pour envoyer le nouveau numéro de téléphone et activer le verrouillage de l'appareil en cas de remplacement de la carte SIM. Utilisation de la fonction Localisation. Si la case est cochée, Kaspersky Security est en mesure de déterminer à distance la position de l'appareil et la recevoir par SMS ou par courrier électronique à l'adresse indiquée. Par défaut, l'application envoie les coordonnées de l'appareil par SMS au numéro de téléphone qui a émis l'instruction SMS spéciale. 112

113 La fonction est activée sur l'appareil de l'utilisateur grâce à l'instruction de l'administrateur reçue par SMS ou lors de la synchronisation avec le Serveur d administration. L'administrateur doit indiquer un code à usage unique lors de l'activation de la fonction par SMS. Le code à usage unique s'affiche dans les propriétés locales de l'application, dans la section Antivol. Ainsi, l'administrateur doit envoyer un SMS contenant le texte suivant : locate:<code à usage unique>. Envoi des instructions Le groupe «Envoi des instructions» permet d'envoyer les instructions du module Antivol à tous les appareils mobiles de l'utilisateur qui appartiennent au groupe. Pour envoyer des commandes (Suppression de toutes les données, Suppression des données personnelles, Verrouillage, Géolocalisation), l'administrateur doit activer leur utilisation selon les fonctions Antivol. Exemple : quand la case est cochée, Kaspersky Security verrouille l'appareil. Pour déverrouiller l'appareil, il faudra saisir le code à usage unique. 113

114 3 Mobile Device Management (MDM) Les solutions de Mobile Device Management (MDM) sécurisent, surveillent et administrent des périphériques mobiles en entreprises. Les fonctionnalités MDM classiques regroupent le déploiement d applications Over-The-Air (OTA), le paramétrage de la gestion des données et la configuration des périphériques mobiles tels que les téléphones portables, les smartphones, les tablettes, etc. Cela s applique aux matériels appartenant à l entreprise et à l employé (BYOD). Objectifs du MDM : o o o Réduire les coûts de support Réduire les risques liés à l activité de l entreprise Optimiser le fonctionnement d un réseau de périphériques mobiles 3.1 Types de MDM proposés par Kaspersky Du MDM à la carte et complémentaire: o MDM Kaspersky : KMS 10 o o MDM ios : APNS Kaspersky composants : MDM ActiveSync : MS Exchange o KMS 10 + KSC 10 Apple Push Notification Service composants : o Kaspersky MDM ios + KSC 10 + certificat APNS Microsoft Exchange ActiveSync composants : o Microsoft Exchange 2007/2010 et ActiveSync + Kaspersky MDM Exchange + KSC

115 1.2. MDM for Exchange ActiveSync Fonctionnement Périphériques administrables Tous ceux qui sont supportés par Exchange ActiveSync o Au travers du client de messagerie intégré au système d exploitation : MS Windows Mobile 6.1 ou version supérieure Apple ios 5.0 ou version supérieure Google Android 2.2, 2.3, 4.0 ou version supérieure Nokia Symbian 3 / Maemo 5 PR 1.2 o Au travers des applications suivantes : NotifySync 4.10 for BlackBerry NitroDesk TouchDown for Android 7.3 Palm WebOS (Pre/Pixi) MailSite AstraSync Prérequis pour MDM for Exchange o Microsoft Exchange Server 2007 ou 2010 avec Exchange ActiveSync configuré 115

116 o o o KSC Network Agent préinstallé Authentification Windows de PowerShell dans IIS activée Dans un cluster, doit être installé sur tous les serveurs ayant le rôle Client Access Le serveur des périphériques mobiles pour Exchange ActiveSync apparait dans la console d administration Kaspersky, rubrique «Périphériques mobiles». Tous les smartphones et tablettes connectés sont affichés dans le section «Périphériques mobiles Exchange ActiveSync. 3.2 Gestion des profils Les tablettes et les Smartphones sont administrés via des profils dans Exchange ActiveSync. Un profil contient des paramètres (taille et complexité du mot de passe, blocage Bluetooth, appareil photo, etc.), cela équivaut à une stratégie Kaspersky Security Center 10. L administrateur peut créer ainsi un ou plusieurs profils et les appliquer à des comptes utilisateurs. Si un utilisateur dispose de plusieurs périphériques, le même profil s applique à tous ses périphériques. Un profil est appliqué sur un périphérique lors de la synchronisation avec Exchange (par exemple, lors de la réception ou l envoi de mails). 116

117 L édition et le paramétrage des profils se trouvent dans les propriétés du serveur des périphériques. Une fois celui-ci paramétré, il suffira de cliquer sur «Désigner le profil» pour l attribuer à 1 ou plusieurs utilisateurs Exemple de fonctionnalités disponibles dans la gestion des profils o Complexité du mot de passe de verrouillage du périphérique o Chiffrement de la totalité des données du téléphone / Carte SD o Désactivation de l appareil photo, Bluetooth, Wi-Fi o Blocage des applications non signées, navigateurs web, clients de messagerie D une manière générale, tout ce qui est supporté par Exchange ActiveSync 117

118 Tableau détaillé des possibilités d administration par rapport au système d exploitation. 118

119 1.3. MDM for ios Introduction Pour information, il n existe pas d Anti-Virus au sens strict du terme sur ios. Cependant, vous pourrez configurer des profils et y spécifier des paramètres de sécurité comme l imposition et la complexité des mots de passe dans l entreprise, l interdiction d installation d applications, le bridage du matériel comme l appareil photo ou le Bluetooth, etc. Vous pourrez également installer et désinstaller des applications ou encore bloquer et/ou effacer un iphone ou ipad perdu. Kaspersky MDM for ios permet d installer à distance et d administrer des profils via la Console d Administration Fonctionnement Configuration matérielle requise : Apple ios 3.0 ou version supérieure Note : Kaspersky Security for Mobile peut être déployé via des profils pour ios 119

120 Prérequis Systèmes et installation Côté ipad et iphone (ipod également), le prérequis est donc seulement d avoir ios 3.0 ou supérieur. Côté système : o o o o o o Serveur d Administration KSC 10.0 préinstallé Une clé de licence pour le Serveur d Administration autorisant l utilisation du MDM Accès au serveur via Internet configuré par nom de domaine ou adresse IP iphone Configuration Utility installé Certificats installés Certificat Apple Inc. Root Certificat Apple Application Integration Certificat Apple Push Notification Service (APNS) Ordre d installation 1. Préparation du portail: Configurer le Serveur d Administration KSС et l accès via Internet Installer les certificats Apple : Apple Inc. Root Certificate 2. Installer MDM for ios 3. Enregistrer sur le service Apple Push Notification Service (APNS) pour obtenir le certificat 4. Installer le certificat sur le Serveur d Administration 5. Installer iphone Configuration Utility 120

121 Écran ci-dessus : installation des Profils via les comptes utilisateurs Écran ci-dessus : après l installation du Profil, le périphérique apparaît parmi les Périphériques mobiles ios MDM 121

122 Écran ci-dessus : la création des profils se fait directement via l utilitaire de configuration iphone / ipad, ipod Possibilités d administration Côté console d administration Kaspersky o Information réseau (opérateur, adresse MAC, etc.) o Visualisation de la liste des applications installées o Visualisation de la liste des certificats présents o Liste des paramètres de sécurité Chiffrement et mot de passe o Installation/désinstallation d applications o Blocage/nettoyage (reset usine) à distance des périphériques perdus o Suppression de profils Côté ios Voir le tableau détaillé suivant des fonctionnalités 122

123 Section Sous-section Option Description Valeur Général Code Restrictions Fonctionnalité de l appareil Nom Identifiant Société Description Message de consentement Sécurité Supprimer le profil automatiquement Nom du profil affiché sur l'appareil Identifiant unique pour le profil (ex. com.societe.profil) Nom de la société pour le profil Brève explication du contenu ou de l'objectif du profil Court message affiché pendant l'installation du profil Contrôler quand le profil peut être supprimé Contrôle si le profil peut être supprimé automatiquement Toujours Authentification Jamais Jamais A une date précise Après un intervalle Accepter les valeurs simples Autoriser l'utilisation de séquences de caractères répétitives, ascendantes et descendantes Exiger des valeurs alphanumériques Oblige les codes à contenir au moins une lettre Longueur minimum du mot de passe Nombre minimum de caractères autorisé pour le code (1-16) Nombre minimum de caractères complexes Nombre minimum de caractères non alphanumériques autorisés (1-4) Âge maximum du code Nombre de jours (1-730) après lequel le code doit être modifié Verrouillage auto. Maximal L'appareil se verrouille automatiquement après cette période (1-5, 10, 15) Historique de code Période de grâce maximum pour le verrouillage de l appareil Nombre maximum de tentatives Autoriser l installation d applications Autoriser l utilisation de l appareil photo Nombre (1-50) de codes uniques requis après cette durée Nombre maximal de verrouillages qu'un appareil peut subir sans demande de code Immédiat 1, 5, 15 minutes 1, 4 heures Nombre de tentatives d'entrée de code autorisé avant que toutes les données soient effacées de l'appareil (4-10) Activer l'utilisation des fonctionnalités de l'appareil 123

124 Applications icloud Autoriser FaceTime Autoriser la capture d écran Autoriser la synchronisation manuelle lors du roaming Autoriser Siri Autoriser Siri lorsque l appareil est verrouillé Autoriser la composition vocale Autoriser Passbook lorsque l appareil est verrouillé Autoriser les achats intégrés Forcer l utilisateur à saisir le code pour tout achat Autoriser les jeux multijoueurs Autoriser l ajout d amis Game Center Autoriser l utilisation de YouTube Autoriser l utilisation d itunes Store Autoriser l utilisation de Safari Activer le remplissage automatique Forcer l alerte de fraude Activer JavaScript Bloquer les fenêtres surgissantes Accepter les cookies Autoriser la sauvegarde Autoriser la synchronisation de documents Autoriser le Flux de photos (risque de perte de données sinon) Autoriser les flux de photos partagés Activer l'accès aux applications sur l'appareil Contrôle quand Safari accepte les cookies Activer l'accès aux services icloud Jamais Des sites visités Toujours 124

125 Sécurité et confidentialité Autoriser l envoi des données de diagnostic à Apple Autoriser l utilisateur à accepter des certificats TLS Forcer les copies de sauvegardes chiffrées Appliquer les politiques de sécurité et de confidentialité Classement de contenu Autoriser la musique, les podcasts et les contenus itunes U explicites Autoriser le contenu érotique dans l'ibookstore Contrôler l'accès aux applications et au contenu multimédia Séquence de classements Définit la région pour les classements autorisés United States Australia Canada Germany France Ireland Japan New Zealand United Kingdom Classement de contenu Films Définit le nombre maximum de classements autorisés Ne pas autoriser les films G PG PG-13 R NC-17 Autoriser tous les films Séries TV Ne pas autoriser les séries TV TV-Y TV-Y7 TV-G 125

126 Wi-Fi VPN Applications SSID (Service Set Identifier) Connexion automatique Réseau masqué Type de sécurité Mot de passe Configuration du proxy Nom de la connexion Type de connexion Identification du réseau sans fil auquel se connecter Se connecter automatiquement au réseau cible Activer si le réseau cible n'est pas ouvert ou en train de diffuser Chiffrement du réseau sans fil à utiliser lors de la connexion Mot de passe utilisé pour l'authentification sur le réseau sans fil Réglages proxy pour cette connexion Wi-Fi Nom de la connexion affiché sur l'appareil Type de connexion activée par ces règles TV-PG TV-14 TV-MA Autoriser toutes les séries TV Ne pas autoriser les Apps Autoriser toutes les Apps Aucun WEP WPA/WPA2 Tous (Personnel) WEP Enterprise WPA/WPA2 Enterprise Tous (Enterprise) Aucun Manuelle Automatique L2TP PPTP IPSec (Cisco) Cisco AnyConnect Juniper SSL F5 SSL 126

127 Mail Courrier entrant Courrier sortant Serveur Compte Authentification de l'utilisateur Mot de passe Secret partagé Envoyer tout le trafic Configuration du proxy Description du compte Type de compte Nom d'utilisateur affiché Adresse électronique Autoriser le déplacement Serveur et port de courrier Nom d'utilisateur Type d'authentification Mot de passe Utiliser SSL Serveur et port de courrier Nom d'utilisateur Nom d'hôte ou adresse IP du serveur compte d'utilisateur pour l'authentification de la connexion Type d'authentification pour la connexion Mot de passe pour l'authentification de la connexion Secret partagé pour la connexion Achemine tout le trafic réseau via la connexion VPN Configure les proxies à utiliser avec cette connexion VPN Nom d'affichage du compte (ex : "Compte de courrier de la société") Protocole d'accès au compte de courrier Nom d'utilisateur (ex. "Jean Dupont") Adresse du compte (ex. "jean@societe.com") Autoriser l'utilisateur à déplacer les messages de ce compte Nom d'hôte ou IP et n de port pour le courrier entrant Nom d'utilisateur pour se connecter au serveur de courrier entrant La méthode d'authentification pour le serveur de réception Mot de passe pour le serveur de messagerie entrante Retrieve incoming mail through secure socket layer Nom d'hôte ou IP et n de port pour le courrier sortant Nom d'utilisateur pour se connecter au serveur de courrier sortant 127 SonicWALL Mobile Connect Aruba VIA Check Point Mobile VPN SSL personnalisé Mot de passe RSA SecurID Aucun Manuelle Automatique IMAP POP None Mot de passe MD5 Challenge- Response NTLM HTTP MD5 condensé

128 Exchange ActiveSync Type d'authentification La méthode d'authentification pour le serveur d'envoi Mot de passe Mot de passe pour le serveur de messagerie sortante Mot de passe envoyé L'authentification SMTP et POP/IMAP utilisent le même mot identique à celui reçu de passe Autoriser la synchronisation d adresses Inclure ce compte à la synchronisation des adresses récentes récentes N utiliser que dans Mail Utiliser SSL Utiliser S/MIME Nom du compte N'envoyer le courrier sortant que depuis l'app Mail Envoyer le courrier sortant via SSL Envoyer le courrier sortant à l'aide du chiffrement S/MIME Nom du compte Exchange ActiveSync Hôte Exchange ActiveSync Microsoft Exchange Server Autoriser le déplacement Autoriser l'utilisateur à déplacer les messages de ce compte Autoriser la synchronisation d adresses Inclure ce compte à la synchronisation des adresses récentes récentes N utiliser que dans Mail Utiliser SSL Utiliser S/MIME Domaine Utilisateur Adresse électronique Mot de passe Derniers jours de Mail à synchroniser Utiliser SSL Certificat d identité Rendre le certificat d identité compatible avec ios 4 N'envoyer le courrier sortant que depuis l'app Mail Envoyer toutes les communications via SSL Envoyer le courrier sortant à l'aide du chiffrement S/MIME Domaine pour le compte. Les champs Domaine et Utilisateur doivent être vides pour que l'appareil demande les informations à l'utilisateur Utilisateur pour le compte. Les champs Domaine et Utilisateur doivent être vides pour que l'appareil demande les informations à l'utilisateur Adresse du compte (ex. "jean@societe.com") Le mot de passe du compte (ex. "MonMotdePasse!") Le nombre de jours passés de Mail à synchroniser Envoyer toutes les communications via SSL Références pour la connexion à ActiveSync Incorporer certif. aux données utiles pour assurer la compatibilité ios4 128 None Mot de passe MD5 Challenge- Response NTLM HTTP MD5 condensé Illimité Un jour Trois jours Une semaine Deux semaines Un mois

129 LDAP Rechercher les réglages Description du compte Nom d'utilisateur du compte Mot de passe du compte Nom d'hôte du compte Utiliser SSL Description Étendue Nom d'affichage du compte (ex : "Compte de courrier de la société") Nom d'utilisateur pour ce compte LDAP Le mot de passe du compte LDAP Nom d'hôte LDAP ou adresse IP Activer Secure Socket Layer pour cette connexion Rechercher les réglages pour ce serveur LDAP Calendrier Abonnements calendriers Contacts Clips web Base de recherche Description du compte Nom d'hôte CalDAV URL principale Nom d'utilisateur du compte Mot de passe du compte Utiliser SSL Description du compte URL Nom d'utilisateur Mot de passe Utiliser SSL Description du compte Nom d'hôte et port du compte URL principale Nom d'utilisateur du compte Mot de passe du compte Utiliser SSL Étiquette URL Amovible Nom d'affichage du compte (ex : "Compte CalDAV de la société") Nom d'hôte CalDAV ou adresse IP et n de port URL principale pour le compte CalDAV Nom d'utilisateur CalDAV Le mot de passe CalDAV Activer Secure Socket Layer avec le serveur CalDAV Description de l'abonnement au calendrier L'URL du fichier calendrier Nom d'utilisateur pour cet abonnement Mot de passe pour cet abonnement Nom d'affichage du compte (ex : "Compte CardDAV de la société") Nom d'hôte CalDAV ou adresse IP et n de port URL principale pour le compte CalDAV Nom d'utilisateur CalDAV Le mot de passe CalDAV Activer Secure Socket Layer avec le serveur CalDAV Nom à afficher pour le clip web L'URL affichée par le clip web Activer la suppression du clip web 129

130 Icône Icône précomposée Plein écran L'icône à utiliser pour le clip web L'icône s'affichera sans effet visuel supplémentaire Contrôle si le clip web se lance comme une app plein écran Références Nom de la référence Données du certificat Nom ou description Détails du certificat indiqué SCEP URL Nom Objet Type de nom alternatif du sujet La base URL pour le serveur SCEP Nom de l'instance : CA-IDENT Représentation d'un nom X.500 (ex. O=Company, CN=Foo) Le type de nom alternatif du sujet Aucun Nom RFC 822 Nom DNS Valeur du nom alternatif du sujet Nom NT principal Challenge Tentatives RetryDelay Dimension de clé Valeur du nom alternatif utilisé dans la demande de certificat Nom principal facultatif utilisé dans la demande de certificat Utilisé comme secret prépartagé pour l'inscription automatique Nombre de tentatives après une réponse EN ATTENTE Secondes d'attente entre les tentatives Dimension de clé en bits Uniform Resource Identifier 1024 Dispositifs Droits d accès Utiliser comme signature numérique Utiliser pour le chiffrement de clé Empreinte digitale URL du serveur URL de réservation Rubrique Identité Signer les messages Terminer après suppression Droits d accès accordés aux administrateurs distants The URL of the Mobile Device Management server The URL that the device will use to check in during installation Push notification Topic for Management messages Cryptographic credential used for authentication Notify server when profile is removed from device Access Rights granted to remote administrators

131 Réglages généraux Réglages de réseaux Réglages de sécurité Réglages de restrictions Profils de configuration Nom du point d'accès Ajouter / Supprimer Sécurité Service de notification Push d Apple Nom du point d'accès Nom d'utilisateur du point d'accès Mot de passe du point d'accès Serveur proxy et port Réglages Nom du point d'accès (GPRS) de l'opérateur Nom d'utilisateur du point d'accès Mot de passe pour se connecter au point d'accès L'adresse complète et le port du proxy Profils d'approvisionnement Applications Paramètres Profils de configuration Profils d'approvisionnement Applications Changer MDP Balayage distant Utiliser le serveur APNS de développement 131

132 4 Protection des système Linux 4.1 Pour les systèmes d exploitation : 32-bit Red Hat Enterprise Linux 6 Desktop Red Hat Enterprise Linux 5.5 Desktop Fedora 14 CentOS-5.5 SUSE Linux Enterprise Desktop 10 SP3 SUSE Linux Enterprise Desktop 11 SP1 opensuse Linux 11.3 Mandriva Linux Ubuntu LTS Desktop Debian GNU/Linux bit Red Hat Enterprise Linux 6 Desktop Red Hat Enterprise Linux 5.5 Desktop Fedora 14 CentOS-5.5 SUSE Linux Enterprise Desktop 10 SP3 SUSE Linux Enterprise Desktop 11 SP1 opensuse Linux 11.3 Ubuntu LTS Desktop Debian GNU/Linux Noyaux supportés : La liste des noyaux supportés évolue en fonction de l actualité. Concernant la protection des postes de travail Linux l administrateur peut publier les paquets d installation pour un déploiement à distance de la solution à partir du moment où l agent de communication établissant le lien avec le serveur d administration est installé ainsi que les pré-requis (kernel-header, gcc,.) pour la compilation du module d interception. 132

133 à supportés en version inclus à partir de Q3/2012 en version 8.1 Support de DKMS afin de pouvoir mettre à jour automatiquement les noyaux Linux (et notamment incluant la version 3) à partir de Q3/2012 en version 8.1 Interface graphique compatible avec Gnome et KDE 133

134 4.3 Administration centralisée : 4.4 Administration en ligne de commande : 4.5 Kaspersky Endpoint Security for Linux Kaspersky Endpoint Security for Linux est une solution de protection centralisée contre tous les types de programmes malveillants et potentiellement malveillants développée pour les réseaux d'entreprise dont les postes de travail fonctionnent sous un système d'exploitation de la famille Unix. Issue d'une famille de produits qui repose sur un ensemble de technologies de pointe dans la lutte contre les programmes malveillants, le nouveau moteur antivirus novateur de Kaspersky Lab utilise une architecture de composant très pointu afin d'améliorer les performances et la stabilité, offrant ainsi une protection fiable et une gestion simplifiée. 134

135 4.6 Pré-requis Configuration matérielle requise: Processeur Intel Pentium II 400 MHz ou supérieur 1 Go de RAM. Espace de pagination d'au moins 1 Go 2 Go sur le disque dur pour l installation de Kaspersky Endpoint Security et la conservation des fichiers temporaires et des journaux Configuration logicielle : 1. Les systèmes d'exploitation compatibles : Systèmes d'exploitation 32 bits compatibles : o Red Hat Enterprise Linux 6 Desktop o Red Hat Enterprise Linux 5.5 Desktop o Fedora 14 o CentOS-5.5 o SUSE Linux Enterprise Desktop 10 SP3 o SUSE Linux Enterprise Desktop 11 SP1 o opensuse Linux 11.3 o Mandriva Linux o Ubuntu LTS Desktop o Debian GNU/Linux Systèmes d'exploitation 64 bits compatibles : o Red Hat Enterprise Linux 6 Desktop o Red Hat Enterprise Linux 5.5 Desktop o Fedora 14 o CentOS-5.5 o SUSE Linux Enterprise Desktop 10 SP3 o SUSE Linux Enterprise Desktop 11 SP1 o opensuse Linux 11.3 o Ubuntu LTS Desktop o Debian GNU/Linux

136 2. Le Processeur de langage Perl de la version 5.0 ou plus récente ( 3. L Utilitaire which installé. 4. Les Paquets installés pour la compilation des applications (gcc, binutils, glibc, glibc-devel, make, ld), ainsi que le code du nœud d origine installé du système d exploitation pour la compilation des modules de Kaspersky Endpoint Security. 5. Le module libc6-i386 doit être installé sur une version 64 bits de Debian et Ubuntu avant l'installation de Kaspersky Endpoint Security. 6. La résolution minimale recommandée de l écran : 1024* Certifications 4.8 Points clés Nouveau moteur antivirus 8.0 L'application repose sur un tout nouveau moteur antivirus qui améliore sensiblement la vitesse d'analyse du système, optimise l'utilisation des ressources système et a un impact minime sur les autres programmes Gestion centralisée améliorée La facilité de gestion de l'application a atteint un niveau supérieur grâce à une série d'améliorations. La nouvelle version de Kaspersky Endpoint Security for Linux est entièrement prise en charge par Kaspersky Security Center, un outil de gestion centralisée qui facilite l'exécution de toute une série de tâches de gestion de la sécurité informatique, depuis le déploiement à distance des applications de sécurité sur les postes de travail jusqu'à la génération de rapports sur les événements du système. 136

137 Analyseur heuristique amélioré L'analyse traditionnelle sur la base de signatures est renforcée par une version optimisée de l'analyseur heuristique. Celui-ci permet de détecter les menaces inconnues à l'heure actuelle mais qui ressemblent à des menaces déjà détectées. Le niveau de protection global est ainsi considérablement renforcé. 4.9 Protection efficace contre les programmes malveillants Moteur antivirus 8.0 de Kaspersky Le nouveau moteur antivirus garantit une protection efficace contre les programmes malveillants et les menaces informatiques. Il prévient les épidémies de virus et préserve la sécurité et l'accessibilité des données Analyse à l'accès Les fichiers sont analysés en temps réel lorsqu'ils sont ouverts, copiés, exécutés et enregistrés. Les menaces pour la sécurité informatique sont détectées et neutralisées chaque fois que le système de fichiers est sollicité Analyse à la demande Grâce au moteur proactif de l'analyseur heuristique optimisé qui augmente les taux de détection des programmes malveillants, Kaspersky Endpoint Security for Linux peut réaliser des analyses à la demande de zones particulières du système, à la demande ou selon un horaire défini. 137

138 Mises à jour fréquentes des bases antivirus Les mises à jour des bases antivirales sont réalisées automatiquement selon un intervalle régulier ou en urgence afin de garantir des taux élevés de détection des virus et d'augmenter les niveaux de protection des infrastructures de l'entreprise Performances optimisées Performances élevées pour un impact réduit En plus de l'amélioration des taux de détection, le nouveau moteur antivirus accélère sensiblement la vitesse d'analyse afin d'optimiser la consommation des ressources. Par conséquent, l'impact de l'application sur les autres programmes et sur les performances globales du système est minime Nouvelle architecture d'application Kaspersky Endpoint Security for Linux possède une toute nouvelle architecture de composant qui contribue à la stabilité de l'application et permet d'enregistrer d'excellentes performances Utilisation optimisée du CPU La version la plus récente de l'application réduit sensiblement l'utilisation des ressources du système (CPU, utilisation du disque, E/S du disque). 138

139 4.11 Administration centralisée Déploiement à distance Vous pouvez utiliser Kaspersky Security Center, un outil d'administration centralisée, pour installer et déployer les applications de sécurité sur les postes de travail et les gérer après l'installation localement ou à distance Gestion de la sécurité des postes de travail Il est possible d'appliquer diverses stratégies et tâches à n'importe quel groupe de postes de travail afin d'offrir aux administrateurs système des méthodes souples de configuration de Kaspersky Endpoint Security for Linux au niveau des groupes ou des individus Mises à jour automatiques Les mises à jour des bases antivirales et des modules de l'application peuvent être récupérées à la demande ou automatiquement selon un horaire défini. Parmi les nouvelles fonctionnalités de l'application, citons la possibilité d'utiliser le Serveur d'administration Kaspersky en tant que source de mises à jour et l'agent de réseau en tant que transport. 139

140 Prise en charge de référentiels de quarantaine et de stockage centralisés Kaspersky Endpoint Security for Linux place non seulement les fichiers suspects ou infectés en quarantaine ou dans la sauvegarde, mais il fournit également des informations adéquates aux référentiels correspondant du serveur d'administration centralisée. L'administrateur de la sécurité peut ainsi gérer les incidents depuis Kaspersky Security Center et réaliser les actions requises. 140

141 2. Kaspersky Anti-Virus for Storage 2.1. Présentation Dans les environnements hétérogènes actuels, un seul virus peut se répandre très rapidement, car il est quasiment impossible d'isoler immédiatement une infection récemment détectée sur le réseau. Les utilisateurs professionnels placent souvent divers fichiers sur les systèmes de stockage, ce qui menace l'ensemble des nœuds du réseau de l'entreprise, des postes de travail aux systèmes de stockage de fichiers partagés. Kaspersky Anti-Virus for Storage est la solution de Kaspersky Lab dédiée à la protection des systèmes de stockage Pour EMC EMC Celerra et VNX. Intégralement compatible avec l'ensemble des systèmes de stockage réseau des gammes EMC Celerra et VNX, ce produit fournit un niveau de sécurité inégalé. Il détecte et supprime tous les types de programmes malveillants des fichiers et des archives stockés sur les systèmes EMC Celerra et VNX. L'ensemble des données sont analysées à la volée dès leur écriture sur le système et à chaque modification Systèmes de stockage supportés NetApp network data storage: Data ONTAP 7.x Data ONTAP 8.x 7-mode Data ONTAP Hitachi NAS: HNAS 4100 HNAS 4080 HNAS 4060 HNAS 4040 HNAS 3090 HNAS 3080 IBM NAS: IBM System Storage N series 141

142 2.2. Caractéristiques Protection antivirus permanente et analyses à la demande. Le produit analyse chaque fichier ouvert ou modifié, traite ou supprime les objets suspects et/ou les place en quarantaine à des fins d'analyse supplémentaire. Protection proactive contre les programmes malveillants. Le nouveau moteur antivirus incorpore des méthodes de protection avancées contre les programmes malveillants, tels qu'un analyseur heuristique capable d'identifier les programmes malveillants avec une précision inégalée. Copies de sauvegarde. Les objets suspects supprimés sont placés en quarantaine. Avant d'effectuer une opération sur un objet infecté, le produit place une copie non modifiée dans le stockage de sauvegarde. Paramètres d'analyse flexibles. Les paramètres d'analyse des fichiers permettent à l'administrateur d'effectuer les opérations suivantes : exclusion de l'analyse de certains processus, définition de l'étendue de la protection antivirus, indication des types de fichiers devant toujours être analysés et toujours exclus, etc. Cette méthode permet d'optimiser la charge sur le serveur et garantit une gestion flexible de la sécurité du réseau d'entreprise Avantages HAUTE PERFORMANCE Le nouveau moteur antivirus, la technologie d'analyse optimisée et les paramètres d'exclusion flexibles garantissent des performances maximales de la part du produit. PROTECTION EN TEMPS RÉEL 142

143 Le produit protège les systèmes de stockage de fichiers en temps réel, en supprimant les virus, vers et autres programmes malveillants. FIABILITÉ Le produit redémarre automatiquement en cas d'arrêt forcé, ce qui garantit une continuité optimale de la protection contre les programmes malveillants au sein de votre infrastructure. GESTION CONVIVIALE Le produit est à la fois simple et rapide à gérer pour l'administrateur système : hautement intuitif et d'une grande efficacité, il peut également être installé à distance. MISES À JOUR RÉGULIÈRES Les bases de données d'antivirus sont mises à jour automatiquement, ce qui garantit une protection continue, limite les tâches quotidiennes de l'administrateur et lui fait donc gagner du temps. SÉLECTION DES PROCESSUS FIABLES L'administrateur peut exclure de l'analyse les processus fiables, tels que les sauvegardes de données, si leurs performances sont affectées par le processus d'analyse. 143

144 PRISE EN CHARGE DES SYSTÈMES DE GESTION HIÉRARCHIQUE DU STOCKAGE Le produit est compatible avec les systèmes de gestion des stockages sur disque (gestion hiérarchique du stockage) et fournit une protection antivirus efficace aux systèmes de fichiers à la hiérarchie complexe. 144

145 PRISE EN CHARGE DE WINDOWS SERVER 2008 R2 Le produit est certifié compatible avec la nouvelle version de Windows Server 2008 R2, notamment Server Core et Microsoft Hyper-V Server 2008 R Administration CHOIX DES OUTILS DE GESTION Le produit peut être géré directement ou à distance via Microsoft Management Console, Kaspersky Security Center ou la ligne de commande. La console fournit des rapports graphiques sur l'état de protection de l'équipement EMC Celerra ou VNX. 145

146 INSTALLATION ET GESTION CENTRALISÉES Kaspersky Security Center est un outil de gestion centralisée prenant en charge l'installation et la configuration à distance du produit, et aidant à la gestion de son fonctionnement et à la réception des mises à jour et des notifications. L'installation de Kaspersky Anti-Virus 8.0 pour Storage inclut l'installation des composants suivants : l'application antivirus est installée directement sur le serveur à protéger ; la console de gestion de Kaspersky Anti-Virus (MMC) peut être installée directement sur le serveur à protéger ou sur un ordinateur distant ; le module externe pour la gestion de Kaspersky Anti-Virus via Kaspersky Administration Kit est installé sur chaque ordinateur équipé de la Console de gestion qui sera utilisée pour la gestion de Kaspersky Anti-Virus. Il existe plusieurs méthodes d'installation des composants cités ci-dessus : localement, à partir de la ligne de commande, à l'aide des stratégies Active Directory, à l'aide des tâches d'installation à distance de Kaspersky Security Center. Le tableau ci-dessous contient les diverses installations possibles des composants ainsi que les recommandations concernant leur utilisation. CONTRÔLE DES PRIVILÈGES ADMINISTRATEUR 146

147 Le produit permet d'affecter divers niveaux de privilèges à chaque administrateur du serveur, ce qui permet de répondre aux exigences de sécurité internes ou propres à un service informatique donné. SYSTÈME DE NOTIFICATIONS Le produit prend en charge les notifications destinées aux administrateurs via le service de messagerie ou les s pour un grand nombre d'événements. Le produit est intégré avec le protocole SNMP (Simple Network Management Protocol) et peut fonctionner avec Microsoft Operations Management (MOM). SYSTÈME DE CRÉATION DE RAPPORTS FLEXIBLE L'administrateur peut surveiller le fonctionnement du produit via des rapports graphiques ou en consultant les journaux d'événements de Microsoft Windows ou de Kaspersky Security Center. L'outil de recherche intégré prend en charge les filtres, ce qui permet d'effectuer des recherches rapides dans les journaux volumineux. 147

148 2.5. Configuration requise Configuration requise pour le serveur Prérequis généraux Système x86 compatible mono processeur et multi-processeur ; Système x86-64 compatible mono processeur et multi-processeur ; Espace disque : o Pour installer tous les composants du logiciel 70 Mo o Pour stocker les objets en quarantaine et du dossier de sauvegarde 400 Mo (recommandé) o Pour stocker les rapports 1 Go (recommandé) Configuration minimale Processeur Intel Pentium IV, 2,4 GHz ou supérieur ; 512 Mo RAM. Configuration recommandée Processeur - Intel Xeon 51xx ou Intel Xeon 53xx 1,86 GHz ou supérieur ; 2 Go RAM; 148

149 RAID monté sur un contrôleur PERC 5/i Kaspersky Anti-Virus 8.0 for Storage peut être installé sur un système d exploitation MS Windows 32 ou 64 bits. Le serveur doit être équipé de Microsoft Windows Installer 3.1 pour réaliser l installation de Kaspersky Anti-Virus 8.0 for Storage. Le serveur doit être équipé de l un des systèmes d exploitation Microsoft Windows 32 bits suivants : Microsoft Windows Server 2003 x86 Standard Edition SP2; Microsoft Windows Server 2003 x86 Enterprise Edition SP2; Microsoft Windows Server 2003 R2 x86 Standard Edition SP2; Microsoft Windows Server 2003 R2 x86 Enterprise Edition SP2; Microsoft Windows Server 2008 x86 Standard Edition SP1 ou supérieur Microsoft Windows Server 2008 x86 Enterprise Edition SP1 ou supérieur Microsoft Windows Server 2008 x86 DataCenter Edition SP1 ou supérieur Microsoft Windows Server 2008 Core x86 Standard Edition SP1 ou supérieur Microsoft Windows Server 2008 Core x86 Enterprise Edition SP1 ou supérieur Microsoft Windows Server 2008 Core x86 DataCenter Edition SP1 ou supérieur. Où de l un des systèmes d exploitation Microsoft Windows 64 bits suivants : Microsoft Windows Server 2003 x64 Standard Edition SP2; Microsoft Windows Server 2003 x64 Enterprise Edition SP2; Microsoft Windows Server 2003 R2 x64 Standard Edition SP2; Microsoft Windows Server 2003 R2 x64 Enterprise Edition SP2; Microsoft Windows Server 2008 x64 Standard Edition SP1 ou supérieur Microsoft Windows Server 2008 x64 Enterprise Edition SP1 ou supérieur Microsoft Windows Server 2008 x64 Dataсenter Edition SP1 ou supérieur Microsoft Windows Server 2008 Core x64 Standard Edition SP1 ou supérieur Microsoft Windows Server 2008 Core x64 Enterprise Edition SP1 ou supérieur Microsoft Windows Server 2008 Core x64 Dataсenter Edition SP1 ou supérieur Microsoft Windows Server 2008 R2 Standard Edition Release SP1; Microsoft Windows Server 2008 R2 Enterprise Edition Release SP1; Microsoft Windows Server 2008 R2 Datacenter Edition Release SP1; Microsoft Windows Server 2008 R2 Core Standard Edition Release SP1; Microsoft Windows Server 2008 R2 Core Enterprise Edition Release SP1; Microsoft Windows Server 2008 R2 Core Datacenter Edition Release SP1; Microsoft Windows Hyper-V Server 2008 R2 Release SP1. Kaspersky Anti-Virus 8.0 for Storage peut être installé sur les Terminal Servers suivant : Windows 2003 Server-based Microsoft Terminal; Windows Server 2008-based Microsoft Terminal; Citrix Presentation Server 4.0; Citrix Presentation Server 4.5; Citrix XenApp 4.5, 5.0 and 6.0 Stockage EMC Celerra / VNX : EMC DART où version supérieure; Celerra Antivirus Agent (CAVA) où version supérieure. 149

150 Configuration requise pour la Console Prérequis matériels Mémoire recommandé : 128Mo minimum Espace disque libre : 30Mo Prérequis logiciels L un des systèmes d exploitation suivants : o 32 bits : Microsoft Windows Server 2003 Standard Edition SP1 or above; Microsoft Windows Server 2003 Enterprise Edition SP1 or above; Microsoft Windows Server 2003 R2 Standard Edition SP1 or above; Microsoft Windows Server 2003 R2 Enterprise Edition SP1 or above; Microsoft Windows Server 2008 Standard Edition; Microsoft Windows Server 2008 Enterprise Edition; Microsoft Windows Server 2008 Datacenter Edition; Microsoft Windows XP Professional SP2 or above; Microsoft Windows Vista x86 Editions. Microsoft Windows 7 Editions. o 64 bits : Microsoft Windows Server 2003 x64 Standard Edition; Microsoft Windows Server 2003 x64 Enterprise Edition; Microsoft Windows Server 2003 R2 Standard x64 Edition; Microsoft Windows Server 2003 R2 Enterprise x64 Edition; Microsoft Windows Server 2008 x64 Standard Edition; Microsoft Windows Server 2008 x64 Enterprise Edition; Microsoft Windows Server 2008 x64 Datacenter Edition; Microsoft Windows Server 2008 R2 Standard Edition Release SP0 or above; Microsoft Windows Server 2008 R2 Enterprise Edition Release SP0 or above; Microsoft Windows Server 2008 R2 Datacenter Edition Release SP0 or above; Microsoft Windows XP Professional x64 Edition SP2 or above; Microsoft Windows Vista x64 Editions; Microsoft Windows 7 х64 Editions. Microsoft Windows Installer 3.1; 150

151 Мicrosoft Мanagement Сonsole version 1.2 où supérieure 5 Composants et architecture d administration 5.1 Structure technique de la solution Kaspersky Security Center possède quatre composants principaux : Le serveur d'administration et sa base de données permettant de centraliser l'ensemble des données de structure, d'information et d'évènements des clients administrés. Network Agent coordonne Administration Server et les applications Kaspersky Lab installés sur un poste réseau particulier (un poste de travail ou un serveur). La console d'administration, une interface utilisateur destinée aux services Administration et Agent, pour simplifier le travail avec Microsoft Management Console (MMC). Un serveur Web (facultatif), permettant d'assurer la surveillance et l'état des clients par l'intermédiaire d'un navigateur Web. Note : Le serveur d'administration Kaspersky permet aussi d'administrer les postes nomades ou en dehors du réseau local à travers Internet si le client le désire. Fonctionnement : Le serveur d'administration s'appui sur une base de données pour stocker les informations de gestion des applications. 151

152 Les clients se connectent au serveur d'administration via un agent de communication (Network Agent). L'agent réalise l'interface de dialogue entre l'application installée et le serveur d'administration permettant de remonter les informations d'états et les évènements vers le serveur et de récupérer les modifications de stratégies et de taches de paramétrages configurées sur le serveur. 5.2 Principe de fonctionnement client / serveur Le fonctionnement des connexions s'effectue selon 6 modes, de façon Bilatérale (mixte) et via relais : 1 - Mode Push (serveur clients) : Le serveur envoie des requêtes aux agents de communication (protocole UDP) sur les réseaux routables de façon à indiquer à l'agent de communication client de se connecter au serveur (protocole TCP sécurisé). Ceci permet de forcer des mises à jour de paramétrage, l'exécution de tâches immédiates (analyse, mise à jour, installation, etc ) ainsi que l'administration complète des applications Kaspersky (arrêt, démarrage, modifications de paramètres, etc ) installées localement sur les clients. 2 - Mode Pull (client serveur) : Dans le cas ou le serveur ne sait pas joindre les postes de travail (réseau non routable, NAT, Internet,..), l'agent client effectue une connexion (protocole TCP sécurisé) périodique toutes les 15 mn par défaut (temps modifiable) vers le serveur d'administration (adresse IP, nom DNS, nom NetBIOS). Cette connexion permet de connaître l'état du poste client dans les 15 dernières minutes. Pour les postes connectés à travers Internet la configuration d'un nom DNS publique dans l'agent de communication permettra de joindre ce serveur depuis l'extérieur de l'entreprise. Ceci permet de réaliser les mêmes opérations d'administration (paramétrage, installation, exécution de tâches, arrêt des modules ou du service) que sur les postes du réseau local. La fonction "Maintenir la connexion" permettra à l'administrateur de prendre la main sur les applications Kaspersky comme si il était en locale à travers Internet. 3 - Mode Relais (serveur agent client) : Les agents de communication agissent en tant que relais (ou référentiel) en lieu et place du serveur pour distribuer les mises à jour et les paquets d'installation aux clients appartenant au même groupe. Cette gestion est effectuée depuis les groupes d'administration des postes du serveur d'administration. De plus ces agents relais peuvent distribuer les paquets réseaux en Multicast aux autres clients du groupe. 4 - Mode passerelle (Client -> agent passerelle -> serveur) Les clients se connectent à travers le serveur d'administration par une passerelle. L'agent de communication agit comme une passerelle c'est-à-dire qu'un client passe obligatoirement par lui pour communiquer avec le serveur d'administration. 5 - Mode passerelle DMZ (serveur -> agent passerelle <- client) Les clients se connectent à une passerelle qui stocke les informations. C'est le serveur d'administration qui initie la communication avec la passerelle pour assurer l'exploitation des clients à intervalle régulier. Cela permet d'assurer l'administration des clients sans avoir à ouvrir de communication dans le sens DMZ -> LAN. 152

153 6 - Mode Tunnel (application cliente -> console -> serveur -> agent -> client -> application serveur): Création d'un tunnel depuis la console d'administration permettant de faire un passer un flux réseau applicatif sur un port défini à travers la connexion console->serveur->agent. 5.3 Sécurisation des flux L ensemble des flux sont sécurisés (SSL) par l échange d un certificat entre le serveur et l agent installé sur le poste client ou entre les serveurs d administration. Ce certificat est installé automatiquement à la première communication, peut être défini dans les propriétés du paquet d installation ou modifié par le biais d une tâche de modification depuis le serveur d administration. 153

154 5.4 Spécificités des communications Port :13000 Principalement, le mode de communication s effectue en mode «pull». L agent est initiateur des communications. Grâce à une fréquence prédéterminée, celui-ci se synchronise par défaut toutes les 15 minutes sur le port du serveur central. Lors de cette synchronisation, l agent remonte les éléments suivants : Evènements logiciels : infections, services, détails applicatifs de fonctionnement. Pendant cet échange, un différentiel des paramètres est appliqué. Si la politique a été modifiée, l agent sera amené à télécharger les paramètres modifiés et les faire appliquer par l antivirus local. Port :13000 TCP Port :15000 UDP Afin d obtenir une application des ordres en temps réel, l agent dispose d un port d écoute en UDP. Ce port permet au centre nerveux de forcer la synchronisation sans prendre en compte l intervalle de temps. De ce fait, le port d écoute de l agent est débrayable et n est pas obligatoire. La volumétrie échangée dépend surtout des évènements liés sur le poste de travail. Si il n y a pas d évènements spécifiques et qu il n y a pas de politiques à appliquer, seule une connexion TCP/IP est effectuée sur le centre nerveux. 5.5 Ports réseaux utilisés 154

155 Ports à ouvrir sur le Serveur d'administration TCP Pour connecter les postes clients (plus précisément, les postes sur lesquels Kaspersky Network Agent est installé) au Serveur d'administration en utilisant une connexion sécurisée SSL. Ou TCP Pour connecter les postes clients au Serveur d'administration sans utilisation d'une connexion sécurisée. TCP Utiliser pour se connecter au serveur d'administration par la console MMC TCP /UDP Utiliser pour le service proxy KSN (cloud Kaspersky) TCP Utiliser pour se connecter au serveur d'administration par la console Web (navigateur Internet). TCP Pour connecter les Smartphones / PDA au Serveur d'administration. UDP (facultatif) - Permet d'obtenir des informations sur les postes clients éteints. UDP (facultatif) - Utilisation de la fonction Wake-On-Lan TCP Permet au Serveur d'administration de récupérer les données du serveur d'authentification Cisco NAC. 155

156 Ports à ouvrir sur les Agents de mise à jour / ou les Agents passerelles TCP doit être ouvert pour que les postes clients se connectent à l'agent de mise à jour en utilisant une connexion sécurisée (SSL). ou TCP doit être ouvert pour que les postes clients se connectent à l'agent de mise à jour en utilisant une connexion sécurisée (SSL) si un poste de travail Serveur d'administration Kaspersky est défini en tant qu'agent de mise à jour. TCP doit être ouvert pour que les postes clients se connectent à l'agent de mise à jour en utilisant une connexion non sécurisée. ou TCP doit être ouvert pour que les postes clients se connectent à l'agent de mise à jour en utilisant une connexion non sécurisée si un poste de travail Serveur d'administration Kaspersky est défini en tant qu'agent de mise à jour Port à ouvrir sur les postes clients UDP (facultatif) doit être ouvert pour permettre au serveur d indiquer au poste client de se synchroniser immédiatement au serveur d administration. Permet d'obtenir des informations sur le poste client en temps réel (par exemple, lors de la visualisation des statistiques). Dans ce cas le Serveur d'administration force le composant Kaspersky Network Agent à se connecter au serveur. Par exemple, une synchronisation forcée à partir de la console (clic droit sur un poste > Synchroniser) ne fonctionnera pas si le port UDP est fermé sur le poste client. Mais Kaspersky Network Agent sera capable d'établir une connexion avec le Serveur afin de récupérer les stratégies, envoyer les rapports, etc. Note : Lors de la connexion au Serveur d'administration, le poste client envoie des données au Serveur d'administration de type statistiques sur l'état des applications Kaspersky Lab installées, leurs événements, etc., synchronise les paramètres de l'application, les tâches, etc. Par défaut, Kaspersky Network Agent tente de se connecter au Serveur toute les 15 minutes. Ce paramètre peut être modifié dans la stratégie de Kaspersky Network Agent. 156

157 Informations complémentaires : Attention, pour l'installation initiale de l'agent d'administration (Network Agent) à l'aide d'une tâche de déploiement de Kaspersky Security Center les ports suivants doivent être ouverts sur les postes clients : TCP 139 TCP 445 UDP 137 UDP

158 5.6 Haute disponibilité (cluster de serveur) et Sauvegarde Service de Cluster Afin d'assurer une continuité de service et la haute disponibilité, le serveur d'administration supporte la mise en place de d'un service de cluster. Ce type d'architecture est basé sur les services de mise en cluster applicatif de Microsoft et assure un fonctionnement en mode actif/passif. Le basculement de service est réalisé automatiquement par le biais de la technologie Microsoft lorsque l'un des composants service, disque, réseau, etc n'est plus disponible. Les environnements Windows suivants sont supportés pour la mise en place des services cluster : Windows 2003 Windows 2003 R2 Windows 2008 Windows 2008 R2 Nota : La mise en cluster nécessite la mise en place de la base de données Microsoft SQL serveur sur un serveur séparé. 158

159 Sauvegarde du serveur Le serveur d'administration contient une tâche de sauvegarde permettant d'automatiser la maintenance. Cette tâche peut planifiée de façon régulière et est protégé par un mot de passe. Cela permet de récupérer l'ensemble des données, certificat et l'ensemble des éléments fonctionnels en cas de crash du serveur ou de migration. Un utilitaire graphique de restauration permet de restaurer l'ensemble des objets. 5.7 Architectures Gestion des clients 159

160 Les serveurs d'administrations peuvent être installés en mode hiérarchique horizontal (niveau 3) et vertical (niveaux 1, 2 et 3). Il n'existe pas de limites dans le nombre de niveaux hiérarchiques. Un serveur d'administration peut administrer jusqu'à serveurs de niveau inférieur (mode horizontal). Consolidation des données : L'administrateur peut consulter des rapports et établir des requêtes d'affichage des clients en incluant l'ensemble des niveaux hiérarchiques. Dans ce cas chaque serveur consolide les données des niveaux inférieurs lors des requêtes de recherche de poste ou de rapports. Ceci permet d avoir un serveur de niveau 1 (Maître) pour la consolidation (rapports et recherches de postes) de toutes les données de l arborescence. Consolidation du paramétrage : Les mises à jour les paquets d installation, les tâches et les stratégies peuvent être déployées sur l'ensemble de l'arborescence depuis le site central. Il est possible d'établir des stratégies et des tâches administratives depuis le niveau central pour l'ensemble de l'arborescence qui vont se propager par héritage. Voici des exemples d architecture, elle peut être complétée par l ajout ou la suppression de serveurs d administrations complémentaires ainsi que la mise en place d agent relais (fonction avancée de l agent de communication) en fonction du besoin. 160

161 NOTA : En effet afin de réduire la charge réseau entre les différents sites il peut être nécessaire d ajouter des serveurs sur chacun d entre eux (un poste de travail suffit pour héberger un serveur d administration ou un agent relais). 1 er cas Architecture centralisée 2 niveau de serveur de supervision: Il est proposé une gestion centralisée via un serveur principal pour l ensemble des postes rattachés au site réseau national (niveau 1) et un serveur secondaire par région (niveau 2) administrant des groupes de sites distant. Chaque site distant utilise : un Agent Relais comme référentiel pour les mises à jour et les paquets d installation. ou un agent passerelle comme référentiel pour les mises à jour et les paquets d installation ainsi que la transmission des évènements et le transport de la synchronisation de l'état des clients. 2ème cas Architecture centralisée 3 niveaux de serveur de supervision: Il est proposé une gestion pyramidale National (niveau 1) --> Régional (niveau 2) --> Local (niveau 3) afin de réduire la charge de communication entre les postes clients et le serveur National. Pour les sites importants avec une faible bande passante. Les autres sites communiquent directement avec le serveur de référence. Schéma de mises à jour Ce schéma représente les différentes possibilités de mises à jour des clients Antivirus. 161

162 Il est possible de définir plusieurs sources de mises à jour pour chaque groupe de clients de façon centralisé. Dans ce schéma sont représentées les sources de type : Internet : Serveur Kaspersky Lab Serveur de mises à jour intermédiaire (IIS, Apache, Proftpd, Samba,...) de type FTP, HTTP ou répertoire partagé dont les sources sont alimentées via un outil (Windows ou Linux) autonome fournit par Kaspersky Lab. Serveur d'administration National puis régional puis local Agent Relais : permettant de définir des postes clients comme source de mises à jour Chaque point de mises à jour peut communiquer avec les autres ou servir de point de mises à jour indépendant, l'ensemble des sources peuvent servir un même groupe de client. Les postes clients utilisent l'ensemble des points de mises à jour par priorité et chaque priorité peut être définie de façon différente pour chaque groupe de client. 162

163 Schéma de déploiement Ce schéma représente les différentes possibilités de déploiement des clients Antivirus. Il est possible de définir plusieurs référentiels de déploiement de façon centralisé. Dans ce schéma sont représentées les sources de type : Serveur d administration Primaire, Secondaire,. Serveur référentiel géré par un administrateur : FTP, http et répertoire partagé Agent Relais/Passerelles : permettant de définir des postes clients comme référentiel 163

164 6 Déploiement des solutions Kaspersky Security Center permet à l'administrateur du réseau de déployer sur les postes clients les applications Kaspersky Lab à distance. Les applications suivantes peuvent notamment être déployées: Kaspersky Network Agent (Windows, Linux* et Mac OS*) Kaspersky Endpoint Security (Windows, Linux et Mac OS) Kaspersky Anti-Virus for Windows File Servers Kaspersky Anti-Virus for Windows Servers Enterprise Edition * Pour le déploiement des agents de communication sous Linux et Mac OS, des pré-requis sont nécessaires (voir guides d'installation). 6.1 Détection des clients Afin de réaliser une protection des postes connectés au réseau d entreprise, l une des premières fonctionnalités du serveur d administration est de détecter les éléments présents et futurs et ce de façon automatique. Après l installation de Kaspersky Security Center, le dossier Réseau contient une hiérarchie de dossiers qui représente la structure des domaines et des groupes de travail du réseau Windows de l entreprise, la structure de l Active Directory et la structure des Réseaux IP tels qu ils ont été définis. Chacun de ces dossiers contient la liste des ordinateurs du domaine ou du groupe de travail qui ne sont pas repris dans le réseau logique (groupes de gestion). La liste des ordinateurs figure dans le panneau des résultats. Dès qu un ordinateur est intégré à un groupe d administration quelconque, les informations qui le concernent sont aussitôt supprimées. Dès qu un ordinateur est exclu du réseau 164

165 logique, les informations qui le concernent apparaissent à nouveau dans le dossier correspondant du nœud Réseau. Méthode de détection Les postes détectés sont regroupés dans les groupes de détection. Tout poste non géré est affiché dans l un de ces groupes. Le fonctionnement de l'algorithme de recherche est le suivant : Le Serveur d'administration récupère la liste de tous les groupes de travail et domaines du réseau Windows et recherche les postes appartenant à chacun d entre eux. Le Serveur d'administration récupère la liste de tous les conteneurs de Microsoft Active Directory et récupère les postes présents dans les Unités d organisation de l annuaire auquel il appartient pour chaque Domaine/forêt active directory défini. Le Serveur d'administration récupère la liste des postes visible dans le réseau local en utilisant des requêtes ICMP. L administrateur peut définir la liste des réseaux ou plages d adresses à analyser. 165

166 L administrateur peut ajouter une nouvelle plage d adresses à sonder. 166

167 Utilisation des agents relais / passerelles L'administrateur peut également utiliser des agents relais/passerelles pour effectuer des sondages et donc par exemple pour détecter de nouvelles machines sur un site distant Planification des détections L ensemble des méthodes de détection permettent de détecter les nouveaux postes de façon complètement automatisé. Les fréquences de sondage sont paramétrables individuellement pour chaque élément détecté (méthode et/ou groupe). L administrateur peut forcer une analyse à tout moment. Une requête permet d afficher l ensemble des nouveaux postes détectés. 167

168 Déplacement automatique La gestion des postes clients et leur déplacement dans les groupes de gestions est réalisée par un ensemble de règles. Celles-ci sont gérées de façon prioritaire et leur méthode d'exécution est paramétrable. Ces règles agissent en fonction d'un certains nombres de critères, Active Directory (UO, groupe de sécurité), définition Réseau (IP, nom,...), applications (OS, agent réseau kaspersky) permettant de changer l'appartenance à un groupe de gestion automatiquement. Exemple synchronisation complète de l Active directory : 6.2 Paramétrage des paquets 168

169 Pour installer à distance les applications à l'aide de Kaspersky Security Center, il est nécessaire de préparer les paquets d'installation sur le Serveur d'administration. Un paquet d'installation contient les fichiers nécessaires à l'installation et également le fichier de clé de licence. L administrateur peut choisir les composants à installer (Antivirus, Firewall, Contrôle d'accès,...) ainsi que le chemin d installation. Par ailleurs il est possible de définir la liste des produits concurrents à désinstaller intégré au paquet d'installation. Cette fonctionnalité peut être prise en charge par une tâche spécifique du serveur d'administration afin d'utiliser des scripts différents. 6.3 Méthodes de déploiement Les tâches de déploiement d'applications sont créées à partir d'un paquet d'installation. Lors de la création de cette tâche, spécifiez la méthode de : Installation par envoi (push) Installation par GPO Active Directory Installation via Agent de communication Création d'un paquet autonome publié sur un site de partage (fichier, web ou ftp) 169

170 Le choix de la méthode de déploiement dépend du système d'exploitation utilisés sur les postes clients et de la configuration du réseau (lien entre le Serveur d'administration et les postes clients). L installation est réalisée de façon silencieuse sans interaction avec l utilisateur. 170

171 6.4 Planification Méthode manuelle : Il est possible de créer une tâche d installation de Groupe Global permettant d être réutilisé en modifiant l ensemble de ses paramètres : Liste des ordinateurs cibles (détectés ou gérés) Choix du compte d installation Planification (horaire, jour, semaine, mois, immédiate, à la fin d'une autre tâche, ) Notifications Automatique L application est installée automatiquement lorsqu un poste est déplacé dans un groupe de gestion. Le choix des versions est spécifié dans les propriétés du groupe de gestion et elle est appliquée à l ensemble des postes et des sous-groupes rattachés. 171

172 Modifications des paramètres suivants : Choix du compte d installation Planification (horaire, jour, semaine, mois, immédiate, ) Notifications Depuis une requête de recherche de poste. L administrateur peut créer une requête de recherche de poste sur différents critères afin d afficher une liste correspondant à des critères comme le système d exploitation, un nom de poste, un nom de domaine, plage d adresses IP, etc.. Depuis le menu contextuel de la requête l administrateur peut lancer assistant de déploiement d application. L intégration de l application de protection s effectue au plus bas des couches Windows ce qui permet une détection des codes malicieux aux plus tôt et un déchargement de la protection au plus tard lors de l arrêt du système. Ceci engendre un redémarrage obligatoire du poste client en cas de migration. 172

173 Nota : Dans le cas d une migration Kaspersky organise la désinstallation du produit concurrent et l installation de l application de protection avec un seul redémarrage si besoin. Celui-ci est contrôlé par les options de redémarrage : Par ailleurs il est possible de paramétrer la tâche afin de donner la possibilité à l'utilisateur de la retarder. 6.5 Format des paquets d installation Les paquets d installation sont fournis sous forme d exécutables Auto-extractibles. Ces fichiers contiennent des fichiers MSI permettant des installations par Windows Installer en utilisant des options de commandes : Exemple pour installer l'application avec la définition d'un mot de passe qui confirme le privilège de suppression de l'application en mode non interactif avec redémarrage de l'ordinateur : msiexec /i <nom_du_paquetage> options de commandes (voir documentation produit) 173

174 6.6 Désinstallation La désinstallation des applications Kaspersky est possible depuis la console d administration. L administrateur peut créer une tâche de groupe pour l ensemble des postes et des sous groupes de l arborescence ou une tâche de type Globale permettant de sélectionner les postes individuellement ou par groupe. La désinstallation peut se faire par script à l aide de commandes msiexec : msiexec /u <nom_du_paquetage> options de commandes (voir documentation produit) 6.7 Prise en charge des produits concurrents Les produits concurrents sont pris en charge depuis la console d administration. La liste des produits à désinstaller est mise à jour par l ajout de fichiers de configuration dans un répertoire local du serveur d administration. Ce permet de désinstaller de nouvelles applications non intégré dans le paquet d'installation de l'application antivirus. Kaspersky Lab mettra tout en œuvre pour améliorer ou créer les scripts manquants. Le serveur d administration permet de lister les produits concurrents par des requêtes de recherche de poste, des rapports d états et dans les propriétés des postes clients : 174

175 Ils sont désinstallés de façon automatique depuis une tâche de désinstallation ou par les scripts intégrés de l'application antivirus Kaspersky. Cette tâche peut être crée depuis une requête de recherche (les critères de type nom d'hôte, version de système d'exploitation, emplacement, plage d'adresse IP, Unité d'organisation, ) ou une tâche de groupe une tâche globale. Les produits à désinstaller peuvent être sélectionnés de façon individuelle, par groupe de sélection ou de façon complète. 175

176 La tâche de désinstallation peut être lancée par script. Le script réalise les opérations de désinstallation en désactivant les redémarrages du produit désinstallé afin d éviter les redémarrages multiples. 176

177 7 Administration centralisée: Kaspersky Security Center 10 Une des fonctions clés d'un logiciel de sécurité informatique est la présence d'un module d'administration centralisée. Kaspersky Security Center est composé d'un ensemble d'outils qui permettent à l'administrateur système de paramétrer à sa guise l'ensemble des fonctionnalités produits Interface de gestion L interface de type MMC (Microsoft Management Console) s intègre parfaitement avec les outils d administration Microsoft. Son principe de fonctionnement en fait une interface de gestion : - Rapide (pas de temps de chargement lié à des composants complémentaires) - Peu de ressources utilisées - Simple (liens d accès rapide aux fonctions principales, nombreux assistants, ) - Conviviale (un environnement connu, celui des outils Microsoft) - Sécurisée (pas de gestion de vulnérabilité : exemple java) -. Des menus contextuels enrichis par des fonctionnalités 177

178 Lancement d action sur des requêtes de recherche de postes ou depuis les tableaux de bords d états temps réel dynamiques. Exemple ici depuis la sélection des postes en état critiques : Une utilisation aussi simple que l explorateur de fichiers Windows. 178

179 7.1 Administration Centralisée La gestion des postes clients s effectue sous la forme d une arborescence permettant d établir les règles de paramètres des applications, des tâches de fonctionnement, de définir les propriétés d état des postes, la gestion de la sécurité, avec un héritage sur l ensemble des niveaux. Il n y a pas de limite dans le nombre de niveaux de gestion ceci permet de regrouper les postes par région, site, service, type de poste, Cette architecture étant définie par l administrateur ou un opérateur en fonction de leur droit d accès dans l arborescence. La façon d organiser les sites distants et groupes de stations/serveurs s effectue de la même manière qu une structure de répertoire : Les organisations peuvent gérer d autres organisations offrant un système d héritage sur les paramètres antivirus et tâches antivirus créées. Les paramètres sont représentées comme un objet «stratégie» qui les englobe. Cet objet peut être amené à être dupliqué, exporté, déplacé, supprimé entre les différentes organisations. 7.2 Authentification et droits de gestion 2 choix d'authentifications sont possibles : Par un compte Windows pour accéder au serveur d administration. Soit le compte d ouverture de session possède des droits d accès soit l utilisateur est invité à renseigner un compte listé ou appartenant à un groupe de sécurité Windows dont les droits l autorise à entrer. Par un compte interne à la solution. 179

180 7.3 Délégations et privilèges Chaque groupe et élément administré peut être assujetti à des droits spécifiques par groupe d utilisateurs ou spécifiquement pas utilisateurs. Ces privilèges peuvent être globaux et peuvent affecter les sous-branches dépendantes. Les droits proposés se calquent sur des droits de type fichiers : 7.4 Paramétrage des applications Les applications sont paramétrées par le biais de stratégies. Elles contiennent l ensemble des paramètres de fonctionnement. Il existe 3 types de stratégies : Active Mobile Alerte Virale 180

181 La stratégie active assure le paramétrage de l application. La stratégie Mobile s applique automatiquement dès que le poste client sort du réseau de l entreprise ou que le câble réseau est débranché ceci permet d assurer un paramétrage avec une sécurité différente. Par exemple activation du firewall ou d une source de mise à jour différente qu en mode local. La stratégie sur Alerte Virale permet de définir une stratégie qui s applique automatiquement en fonction du seuil de détection de virus sur une plage de temps définie. Par exemple renforcement des objets détectés, suppression des exclusions d analyse,. Il est possible de créer des stratégies vi un fichier de configuration issu du poste client. L'ensemble des paramètres seront importés sous forme d'une stratégie pouvant être appliqué à des groupes de postes. Chaque option d une stratégie dispose d un système de cadenas. Ce système permet : De verrouiller les fonctionnalités pour les administrateurs des sous-branches concernés. De verrouiller les fonctionnalités sur les GUI de l antivirus local qui appartiennent au groupe concerné ou aux sous-groupes. 181

182 Ces paramètres peuvent être désactivés temporairement sur le poste client par l'utilisation d'un mot de passe. Tâches de groupes Des opérations «programmables» sont définies par la création de tâches que l on nomme «tâches d administration» Les tâches peuvent être de différentes natures : Déploiement d un logiciel antivirus ou autre. Désinstallation d un logiciel Kaspersky ou éditeurs tiers (applications de sécurité ou autres) Mise à jour de l antivirus Analyse ponctuelle sur les postes clients Arrêt/redémarrage des services Arrêt/redémarrage du poste Envoi d'un message aux utilisateurs Envoi de rapports aux administrateurs Réplication de paquetages sur les serveurs d administration fils Recherche de vulnérabilités Installation des mises à jour Windows Update Réparation des vulnérabilités Inventaire d'applications Mise à jour des licences Ces tâches affectent les postes stockés dans le groupe d administration et les sous-branches correspondantes. Elles s exécutent suivant différents contextes : Suivant un intervalle de temps en minutes, heures, jour, semaines, mois. A une date bien précise Au démarrage de l antivirus Lors d une mise à jour effectuée avec succès Lors de la découverte de virus A la fin d une autre tâche Lors de la mise à jour du serveur d administration Elles peuvent liées entre-elles ainsi, il est possible de séquencer/lier des tâches afin de rendre des opérations cohérentes entre-elles. 182

183 Wake On Lan Les tâches peuvent être exécutées par le biais du Wake On Lan, les administrateurs peuvent ainsi définir des tâches de maintenance en dehors des horaires de production. Cette fonctionnalité offre un intérêt très particulier lorsqu il faut programmer une tâche d analyse ponctuelle sur les postes. Lorsque cette fonctionnalité est activée l administrateur peut programmer l extinction de l ordinateur après l exécution de la tâche et aussi son temps d exécution maximal. 183

184 Notifications des tâches Chaque tâche est indépendante en ce qui concerne l opération d information aux administrateurs. Les administrateurs peuvent activer 5 vecteurs de communication Ils peuvent décider d être informé à chaque exécution d une tâche ou bien uniquement si les opérations demandées ont été mises en échec : Evènements sur la base SQL Evènements Windows NT Message électronique Boîte message (Net Send) Exécution d un programme spécifique 184

185 Diffusion et application des tâches Les objets antivirus ne sont pas limités qu à une seule tâche, le nombre de tâche dans les groupes sont presque illimités. Ainsi, et notamment pour les tâches de mises à jour, il est possible de développer différents scénarios en fonction de contextes liés à l entreprise. Chaque tâche ayant sont autonomie des paramètres. L'administrateur peut désactiver l'héritage d'une tâche afin d'éviter sa propagation automatique sur une arborescence de gestion : 7.5 Mises à jour Les mises à jour sont des éléments essentiels dans la qualité de protection d une solution antivirus. 185

186 Les produits Kaspersky implémentent une technologie qui ne nécessite pas de mettre à jour un moteur et sa base de signature mais uniquement des signatures apportant les compléments de protection du poste client (voir la présentation des fonctionnalités moteur à la fin de ce document). Le serveur d administration permet de centraliser l ensemble des mises à jour des produits Kaspersky. Kaspersky propose des mises à jour officielles toutes les heures, ces mises à jour varient entre 5 ko à 300 ko. Le Laboratoire Kaspersky Lab réalise des signatures régulières (non beta) en moyenne toutes les heures. Soit environ 20 mises à jour effectives 7/7j et 24/24h. De ce fait, lorsque l utilisateur nomade se connecte sur Internet, la mise à jour de l antivirus est presque transparente. La fourniture des mises à jour à haute fréquence garantie la détection en temps réel des nouveaux virus et limite le risque de pénétration d un nouveau code malicieux entre deux mises à jour. Paramètres L administrateur peut définir plusieurs serveurs de mises à jour afin de permettre au serveur de trouver une source disponible. La liste est utilisée de bas en haut. En cas d échec le serveur utilise la source suivante automatiquement. La tâche supporte l utilisation d un serveur Proxy avec authentification. Les modules et les mises à jour peuvent être sélectionnés individuellement. La tâche de mise à jour permet de copier les fichiers de base virale sur un dossier spécifique (local ou réseau) 186

187 Planification des mises à jour La planification du serveur peut être réalisée selon différents critères : Horaire (minute, heure, jour semaine, mois) Manuel A la fin d une autre tâche (tout tâche hors Installation/désinstallation d application) Lors de la détection d une attaque virale Vérification des mises à jour Le serveur d'administration peut déclencher une vérification des mises à jour avant mise à disposition dans son répertoire central. 187

188 Un scénario de test est réalisé sur un groupe d'ordinateur prédéfini. Le scénario de vérification va être exécuté après récupération des mises à jour par le serveur d'administration réalisé quelques tâches de fonctionnement sur l'échantillon de postes appartenant au groupe. Mises à jour des clients Analyses Redémarrage du poste Vérification de l'état de protection Chaque erreur ou évènement anormal bloquera la mise à disposition des mises à jour au niveau du référentiel publique. L'administrateur peut sélectionner les éléments de scénario en fonction du type de vérification. Les notifications associées lui permettront d'être averti des problèmes rencontrés. Déploiement et gestion Une fois mis à jour le serveur peut déclencher la mise à jour des serveurs secondaires, des agents relais et des postes clients. Dans le cas ou le serveur ne peut joindre l un de ces éléments, il enregistre l information afin que le client, le relais ou le serveur de niveau inférieur exécute la tâche lors de son délai de communication. Les clients peuvent aussi réaliser leur mise à jour suivants d autres type de planification : 188

189 Le démarrage aléatoire permet d éviter les goulots d étranglement sur le serveur ou sur le réseau. Cela évite que l ensemble des postes réalisent leur mise à jour en même temps à heure fixe mais avec un délai aléatoire supplémentaire. Le serveur maintient les dates des signatures des différents modules de protection ainsi que celles installées sur les postes clients ceci permet de visualiser par l intermédiaire de rapports ou de requête de recherche de poste les clients non à jour et de déclencher une mise à jour groupée. La liste des serveurs est illimitée et permet de définir des sources de type Serveur d administration (ou relais), ftp, http ou partage réseau. 189

190 Dans le cas ou un poste est connecté en dehors du réseau, le poste applique soit une stratégie spécifique (Mobile) utilisant directement la mise à jour vers les serveurs Internet ou dans le cas ou les sources locales ne sont pas disponibles la source Internet (listée dans les sources disponibles). 7.6 Exploitation du serveur Gestion de l Etat des postes L état des postes est défini depuis les propriétés des groupes de gestion. Il permet de définir des critères qui vont permettre de rechercher les postes selon des requêtes spécifique, changer la couleur d affichage du poste (vert=ok, orange=avertissement et rouge=critique). Chaque valeur est modifiable et les propriétés sont héritées par défaut de la description d état du groupe de niveau supérieur. 190

191 La liste des critères sont indiquées dans les propriétés du poste client. 191

192 Le tableau de bord dynamique Il existe des tableaux de bord prédéfini qui permettent d'avoir une vue en temps réel des différentes fonctions et états du serveur d'administration. Ces vues sont affichées par onglet. L'administrateur peut ajouter ses propres onglets définis sur une liste de volets d'information prédéfinis. 192

193 Le type de vue, la période de collecte des données, la taille, etc.... sont paramétrables. Certains volets contiennent des liens permettant d'afficher les clients concernés par le graphique. 193

194 Ceci permet ensuite de sélectionner les objets et d'appliquer des tâches spécifiques dans la liste des tâches du serveur d'administration. 194

195 Les rapports programmable HTML Outre les rapports dynamiques, les différents administrateurs peuvent créer leurs propres rapports et programmer leurs envois réguliers par sous formes de tâches d administration. Ces rapports sont émis en HTML, PDF ou XML Exemple de rapport: Inventaire des applications installées 195

196 Rapport des Bases de signature: Rapport sur les postes infectés: 196

197 Rapport des versions de logiciels: La console contient une dizaine de rapport prédéfinis depuis lesquels créer des rapports spécifiques personnalisés en fonction des éléments à afficher ou la liste des postes ou des groupes concernés. Ces rapports peuvent être générés et prendre en compte l ensemble des sous-branches du parc ainsi que les sous-branches des serveurs fils raccrochés. Choix du nombre de niveau de serveur pour établir le rapport. 197

198 Chaque rapport possède des champs qui peuvent être filtrés permettant de définir des critères de recherche supplémentaire. Ceci permet d augmenter le nombre de rapports. Les rapports peuvent être envoyés par mail de façon planifiée à un groupe d utilisateurs. Afin de minimiser l impact de création des critères sur le nombre d objets à afficher et le délai d attente de réception des données des serveurs de niveau inférieurs. Audit des administrateurs 198

199 La console offre les capacités de tracer l ensemble des opérations effectuer à travers les console d administrateurs clientes afin d établir un historique des maintenances effectuées. Ces évènements sont enregistrés par défaut dans les tables SQL sur serveur. Ils peuvent être toutefois véhiculés à travers les éléments suivants : Message électronique. Boîte message (Net Send) Exécution d un programme spécifique Evènements Windows NT Chaque évènement enregistré renseigne l administrateur principal sur l action menée en particulier. Des filtres «programmables» peuvent être mise en place afin d effectuer un historique spécifique. Notifications, alertes et logs Au même titre que les tâches d administration, les stratégies antivirus englobent les paramètres de gestion des évènements et de notification des administrateurs. Il n y a pas de fichiers de logs à proprement dit parlé, l ensemble des «logs» ou évènements sont stockés dans la base SQL (MS SQL ou MYSQL) par défaut. L administrateur peut décider de stocker sur le serveur ou le poste client les évènements. Ces évènements sont remontés en fonction de leur criticité. Ainsi un évènement critique tel que la détection d un virus sera remonté immédiatement. Les évènements d information seront remontés lors de la connexion de l agent dans le délai de communication (par défaut toutes les 15 mn). 199

200 L agent de communication conserve les évènements localement sur le poste client lorsque le serveur d administration n est pas disponible (exemple poste en dehors du réseau local). Ces évènements seront transmis dès la prochaine connexion possible avec le serveur. Ces évènements sont classés par catégorie ce qui permet de créer des requêtes d affichage spécifiques. Les filtres proposent de multiples sélection d affichage concernent les applications, les tâches, les évènements spécifiques, les noms de postes, l état, les dates, L administrateur peut filtrer et afficher les évènements depuis les propriétés du poste client. 200

201 Les informations peuvent êtres envoyés suivants les vecteurs suivants : Message électronique. Boîte message (Net Send) Exécution d un programme spécifique Evènements Windows NT Evènements sur la base SQL SNMP Les administrateurs peuvent créer des requêtes d évènements suivantes (liste non exhaustive): Découverte de virus Découverte de spywares Découverte de virus probable Détection d une règle de Firewall Autodéfense Réparation des objets infectés Suppression des objets infectés Objets placés en quarantaine Découverte d une archive avec mot de passe Attaque de réseau Réparation impossible Licence plus périmée Licence invalide Licence corrompue Licence qui arrive à échéance Erreur de mise à jour Echec de chargement du logiciel Désactivation intentionnelle d un module de protection. Signatures antivirus périmées Signatures antivirus absentes ou corrompues Fin d une mise à jour 201

202 nouveau périphérique détecté Site web bloqué Lancement application bloquée etc... Limitation des notifications Pour éviter les désagréments liés à de nombreuses émissions de notification, les administrateurs ont la possibilité de définir un seuil permettant de limiter leur émission. Ce seuil se paramètre en nombre de notifications envoyées suivant un intervalle de temps en minutes. 202

203 Dossiers de stockage Il existe 3 dossiers de stockage permettant de gérer les codes malicieux détectés sur les postes clients. Par défaut seul l'information est remontée sur le serveur d'administration. quarantaine : rassemblant les objets suspects détectés par l'analyse heuristique sauvegarde : rassemblant les objets détectés comme virus et sauvegardés avant nettoyage ou réparation fichiers avec traitement différé : rassemblant les objets qui attendent une action de la part de l'administrateur Chacun de ses dossiers permettent de réaliser des actions sur les objets ainsi, il est possible de les restaurer sur le client, les supprimer définitivement, les analyser de nouveau (quarantaine) ou les récupérer l'objet sur le serveur d'administration (quarantaine et sauvegarde) par l'administrateur pour des opérations spécifiques. Inventaire des applications L'agent de communication présent sur les postes clients permet de réaliser l'inventaire des applications installées. Ainsi il est possible de réaliser des rapports d'inventaire sur l'ensemble du parc ou sur des groupes de poste et sur différents niveaux de serveur d'administration et de visualiser l'ensemble de ces applications par le biais du groupe de stockage "Registre des applications". 203

204 Par l'intermédiaire de ses données l'administrateur peut filtrer des recherches de poste en fonction de l'éditeur, du nom d'application ou du correctif installé et ainsi exécuter des tâches ou exporter les informations sur les postes remontés. L'ensemble de ces informations sont visualisées de façon individuelles sur dans les propriétés des postes clients. Inventaire matériel L'agent de communication présent sur les postes clients permet de réaliser l'inventaire du matériel. Ainsi il est possible de réaliser des rapports d'inventaire sur l'ensemble du parc ou sur des groupes de poste et sur différents niveaux de serveur d'administration. 204

205 Par l'intermédiaire de ses données l'administrateur peut filtrer des recherches de poste en fonction du type de matériel. L'ensemble de ces informations sont visualisées de façon individuelles sur dans les propriétés des postes clients. 7.7 Gestion des machines virtuelles Gestion des environnements virtualisés Détection automatique des machines virtuelles par l'inventaire matériel : 205

206 Ceci permet de créer des règles de déplacement automatique et donc de ranger les clients dans des groupes spécifiques auxquels nous pouvons associer tâches et stratégies de paramétrage. Optimisation de la charge : prévention (et décalage) des opérations demandant beaucoup de ressources sur les machines virtuelles Support de tout type de virtualisation, VMware, Hyper-V, Xen, Gestion des environnements VDI Prise en charge au niveau de l'agent de communication du mode dynamique. Cette fonction permet de gérer automatiquement les machines non persistantes. 206

207 C'est-à-dire qu au démarrage la machine sera ajoutée et gérée. A l arrêt elle sera automatique supprimée car non persistante. 207

208 7.8 Serveurs d administration virtuels Une hiérarchie à 2 niveaux de serveur d administration mais avec sur un seul serveur physique Possibilité de créer jusqu à 10 serveurs virtuels sur un seul serveur physique Pas de logiciel de virtualisation nécessaire. La version Solution Provider Edition de Kaspersky Security Center 10 permet de gérer de 50 à 100 serveurs virtuels. Jusqu à endpoints (Workstation/serveurs) peuvent être gérer par hiérarchie. Les administrateurs des serveurs virtuels n ont pas accès aux données des serveurs réels. Principaux avantages : Baisse de la charge sur le serveur d administration principal Baisse du trafic Intranet et simplification de la gestion des sites distants Meilleur répartition des tâches aux niveaux des administrateurs et des responsables sécurité, chaque personne gérant ses propres groupes d utilisateurs 208

209 7.9 Gestion des risques Le serveur d'administration permet d'afficher les informations sur l'état des risques des clients administrés. En effet l'ensemble des informations concernant les correctifs Microsoft et les vulnérabilités des applications des éditeurs tiers ainsi que les exécutables lancés sur les clients sont remontées au niveau du serveur d'administration. Cela permet d'obtenir des tableaux de bords sur le niveau de sécurité des clients. Gestion des correctifs et des vulnérabilités Microsoft Le serveur d'administration concentre les informations sur les correctifs nécessaires au bon fonctionnement et à la correction des vulnérabilités des applications Microsoft. Ces informations sont remontées par l'intermédiaire de l'agent de communication. Des filtres sont disponibles afin de connaitre rapidement le niveau de criticité d'un correctif ainsi que la liste des clients concernés par le correctif. L'administrateur peut décider depuis la console d'installer les correctifs manquant sur les clients. 209

210 Gestion des vulnérabilités L agent d administration Windows permet d'analyser les postes clients à la recherche des vulnérabilités présentes sur les clients. Ces informations sont centralisées sur le serveur d'administration ce qui permet d'obtenir une vue des clients à risque par l'intermédiaire de tableaux de bord. L'ensemble des vulnérabilités Microsoft peuvent être corrigés automatiquement grâce à la centralisation des correctifs réalisés par le serveur d'administration. 210

211 Pour les applications d'éditeurs tiers hors Microsoft le serveur d administration peut trouver et installer le correctif approprié. Pour ensuite réaliser un déploiement automatique Utiliser le Serveur d'administration dans le rôle du serveur WSUS Le serveur d administration Kaspersky peut jouer le rôle de serveur WSUS. Auquel cas il synchronisera localement les updates Microsoft et servira de repository de mise à jour pour les postes de travail. 211

212 Il est possible de contrôler l installation des mises à jour avant leur propagation sur les ordinateurs du réseau. Les mises à jour peuvent être installées sur un groupe cible d ordinateurs, un pourcentage de machine ou des machines spécifier manuellement. Un temps d évaluation est paramétrable pour ce contrôle. À l expiration de ce temps, les mises à jour seront diffusées sur les ordinateurs du réseau. 212

213 Contrôle des fichiers exécutables L'ensemble des fichiers exécutés sur les postes de travail sont remontés dans la console d'administration par l'intermédiaire de l'application Kaspersky Endpoint 8 For Windows. Cela permet d'obtenir une liste complète d'exécutable. haque fichier est référencé avec son classement provenant de la technologie Cloud KSN, les méta data de l'application (nom éditeur, version, ), la catégorie Kaspersky, ainsi que sa somme de contrôle. Ces informations peuvent être triées et utilisées par le système de catégorisation personnalisé afin d'établir les règles d'autorisation ou de blocage d'applications du module de protection de l'application Kaspersky Endpoint Security 10 For Windows. 213

214 7.10 Gestion des clients mobiles Une administration centralisée malgré Internet. Bien souvent, les consoles d administration utilisent deux canaux de communication pour administrer leurs objets. La console d administration (le centre nerveux) appelle l antivirus installé sur le poste de travail via un port d écoute précis pour qu il effectue sa mise à jour ou son changement de configuration. Le poste de travail reçoit l ordre de mise à jour et effectue l opération demandée. Cette technique s applique surtout au réseau local où les postes de travail sont tous disponibles. Mais lorsqu il s agit d une population de postes itinérants, cette technique n est pas utilisable (sauf dans le cas d un VPN). En effet, si le poste nomade se connecte sur Internet via un fournisseur d accès X, il ne pourra être contacté par le serveur central. Son adresse TCP/IP sera inconnue et non atteignable. En effet, l antivirus Kaspersky, installé sur l ordinateur portable, utilise le même principe que les protocoles Internet les plus connus (FTP, http, POP3, IMAP ). Si nous prenons l exemple sur le protocole POP3 ; un client de messagerie POP va se connecter à fréquences régulières sur un serveur de messagerie afin de récupérer ses messages. Le serveur POP3 ne connaît pas l adresse TCP/IP du poste client, seul le client connaît l adresse du serveur. Cette technique permet alors à une multitude de postes de travail «isolés» de se connecter sur un système d information quelque soit leur emplacement sur le réseau. La structure des communications entre les clients antivirus Kaspersky et la console d administration Kaspersky peut être utilisée de la même façon qu une communication POP3. Le centre nerveux, installé en zone «démilitarisée», utilisera un port d écoutes 80, 445, 25 ou 110, ces ports étant très souvent ouverts en sortie dans les entreprises. 214

215 L antivirus sur le poste de travail nomade utilisera l adresse publique du centre nerveux et se connectera régulièrement sur celui-ci afin de prendre connaissance des changements des paramètres ou des mises à jour (cette communication s effectue de façon chiffrée par SSL). Les mises à jour des postes s effectuent soit directement sur les serveurs Internet de Kaspersky, soit sur une autre ressource précisée (serveur web ou FTP propriétaire, console d administration). La fréquence des connexions sur le serveur est paramétrable et le flux de communication à chaque connexion est très léger. De cette manière depuis n importe quel point d un réseau, utilisation à la maison, en Wifi dans un aéroport, en réseau dans un hôtel, en rendez-vous dans une autre entreprise, l utilisateur nomade bénéficiera des mises à jour et de la surveillance de son administrateur sécurité. Stratégie de paramétrage Mobiles Il existe une stratégie dit "Mobile" permettant de définir des paramètres lorsque le poste client sort du contexte du réseau local. 215

216 Ces paramètres sont automatiquement activés en fonction du profil de connexion réseau du poste client. Ainsi l'administrateur à la possibilité de définir des niveaux de sécurité différent lorsque le client sort du cadre de l'entreprise afin d'activer ou de renforcer la sécurité de certains modules. 216

217 Profils de connexion / Roaming L'administrateur peut définir des profils de connexion réseau afin de déterminer si un poste est dans un réseau local, un réseau de l'entreprise distant ou autre. Ceci lui permettra de définir une liste de serveur d'administrations à joindre lorsque par exemple il est sur un site distant. Dans ce cas le poste client peut activer une stratégie dite "Mobile" ou utiliser le serveur local comme serveur de mises à jour. Pour cela il défini des règles réseaux basés sur les paramètres et information de connexion afin de sélectionner le profil de connexion. La permutation de profil est définie selon un ordre de priorité. 217

218 Il est possible de définir si la valeur correspond ou non à celles indiquées dans la liste. 8 Interface Web de supervision Elle permet très simplement : 218

219 La vérification de l état de la protection des postes de travail et des serveurs La réalisation d installations distantes (KES 8 Windows) L affichage instantané de rapports sur les points essentiels de sécurité La gestion de l envoi des rapports (planification, adresses ) 9.1 Configuration Générale Serveur d administration Métriques et prérequis materiel / logiciel Configuration logicielle Compatible avec les systèmes d'exploitation suivants : Microsoft Windows Server 2003 ou supérieur x86 et x64; Microsoft Windows Server 2008 ; Microsoft Windows Server 2008 Server Core ; Microsoft Windows Server 2008 x64 SP1 ; Microsoft Windows Server 2008 x64 R2 ; Microsoft Windows Server 2008 x64 R2 Server Core ; Microsoft Windows XP Professional x64 ou supérieur ; Microsoft Windows Vista SP1 ou supérieur ; Microsoft Windows Vista x64 SP1 avec toutes les mises à jour actuelles ;

220 Microsoft Windows 7 Professional/Enterprise/Ultimate (x32/x64) Microsoft Windows XP Professional SP2 ou supérieur Serveur de la base de données (Peut être installé sur un ordinateur séparé): Microsoft SQL Express 2005 (intégrée) 5000 postes maximum Microsoft SQL Express 2008 Microsoft SQL Express 2008 R2 Microsoft SQL Server 2005 Microsoft SQL Server 2008 Microsoft SQL Server 2008 R2 MySQL Enterprise (voir site de support afin de connaitre les versions précises) 3000 postes maximum L'ensemble des produits proposés sont compatibles avec les environnements virtuels tels que Microsoft Hyper-V, Xen Server ou VMware ESX server. Microsoft Data Access Components (MDAC) version 2.8 ou version ultérieure (doit être présent sur le poste utilisé en tant que Serveur d Administration) Microsoft Management Console (MMC) 1.2 ou version ultérieure Nota : Les produits Kaspersky ne nécessitent aucune licence CAL pour la prise en charge des postes clients. Le calcul se fait sur la base des comptes utilisateurs Windows se connectant à l'aide de la console au serveur d'administration. Configuration matérielle postes : P4-2.8 Ghz / 1 GB RAM / HDD 10 GB (SQL 2005 ou 2008 Express) à postes : Système d exploitation 32 bits (processeur à 2 noyaux Intel Core 2 Duo E8400, 3.00 GHz, 4 Go RAM, disque dur SATA 500 Go) et Microsoft SQL 2005 ou 2008 serveur postes à postes : Système d exploitation 64 bits (processeur à 4 noyaux Intel Xeon E5450, 3.00 GHz, 8 Go RAM, disque dur SAS 2x320 RAID 0) et Microsoft SQL 2005 ou 2008 serveur Les configurations matérielles dépendent des temps de synchronisation entre les clients et le serveur d'administration. A savoir que plus le délai (15 mn par défaut) est court, plus les informations affichées sont récentes et donc précises. Tableau du test de charge Système d exploitation 32 bits: Période de synchronisation, min. Nombre d'ordinateurs administrés Tableau du test de charge Système d exploitation 64 bits: 220

221 Période de synchronisation, min. Nombre d'ordinateurs administrés Nota : Le matériel n est pas obligatoirement dédié. Plusieurs instances de bases de données MS SQL (voir FAQ Microsoft) peuvent être installées sur une même machine ce qui permet d installer le serveur d administration sur des serveurs contenant d autres applications utilisant des bases de données MS SQL (exemple WSUS, MS ISA serveur, BackupExec,.) Console d administration Configuration logicielle : Système d'exploitation Microsoft Windows. La version du système d'exploitation prise en charge est fixée par les exigences du Serveur d'administration. Microsoft Management Console version 2.0 et supérieure. Lors du fonctionnement sous Microsoft Windows XP, Microsoft Windows Server 2003, Microsoft Windows Server 2008, Microsoft Windows Server 2008 R2 ou Microsoft Windows Vista : la présence du navigateur installé Microsoft Internet Explorer 7.0 ou suivant est requise. L'utilisation sous Microsoft Windows 7 requiert Microsoft Internet Explorer 8.0 ou suivant. Configuration matérielle : Fonctionnement sous le système d exploitation Windows 32 bits : Processeur avec 1 GHz ou plus ; 512 Mo de mémoire vive ; 1 Go d'espace disque disponible. Fonctionnement sous le système d exploitation Windows 64 bits : Processeur avec 1.4 GHz ou plus ; 512 Mo de mémoire vive ; 1 Go d'espace disque disponible. Agent d'administration et agent de mises à jour Configuration logicielle : Système d'exploitation : Microsoft Windows. Linux. Mac OS. Configuration matérielle : 221

222 Fonctionnement sous le système d exploitation Windows 32 bits : Processeur avec 1 GHz ou plus ; 512 Mo de mémoire vive ; Espace disque disponible : 32 Mo pour l'agent d'administration, 500 Mo pour l'agent de mises à jour. Fonctionnement sous le système d exploitation Windows 64 bits : Processeur avec 1.4 GHz ou plus ; 512 Mo de mémoire vive ; Espace disque disponible : 32 Mo pour l'agent d'administration, 500 Mo pour l'agent de mises à jour. Fonctionnement sous le système d exploitation Linux 32 bits : Processeur avec 1 GHz ou plus ; 1 Go de mémoire vive ; Espace disque disponible : 32 Mo pour l'agent d'administration, 500 Mo pour l'agent de mises à jour. Fonctionnement sous le système d exploitation Linux 64 bits : Processeur avec 1.4 GHz ou plus ; 1 Go de mémoire vive ; Espace disque disponible : 32 Mo pour l'agent d'administration, 500 Mo pour l'agent de mises à jour. Fonctionnement sous le système d exploitation Mac OS : Processeur avec 1 GHz ou plus ; 1 Go de mémoire vive ; Espace disque disponible : 32 Mo pour l'agent d'administration, 500 Mo pour l'agent de mises à jour. 9.2 Charge réseau des communications Tableau des communications Information* Trafic entrant Trafic sortant Evénement unique 5 10 Kb 5 10 Kb Evénement lié à la détection d un code malicieux Kb Kb Application d une nouvelle tâche 10 Kb Kb Application d une stratégie KES Kb Kb Modification d un paramètre dans la stratégie de KES Kb Kb Trafic quotidien, incluant les mises à jour** 3-4 Mb Mb * Ces données correspondent à 1 hôte administré, il faut donc considérer toutes les machines gérées pour avoir une idée de la bande passante nécessaire sur le Serveur d Administration. 222

223 Ces données ne prennent pas en compte les possibilités d optimisation (agent relais, passerelle de connexion) du trafic. Gestion de la bande passante et du trafic réseau La charge réseau peut être réduite en augmentant les délais de communication des agents (par défaut toutes les 15 minutes). Mise en place des agents relais / passerelles pour créer des référentiels locaux pour les paquets d installation et les bases de mises à jour. Mise en place des planifications de communication pour l'envoi des évènements selon des tranches horaires afin de diminuer le trafic. Gestion du trafic par seuil (nombre de Ko/s), adresse de sous réseaux ou intervalle d'adresse IP par plage horaire. L'activation du multicast pour les agents relais permet de réduire considérablement la charge (voir explication plus bas). 223

224 Cette communication s'effectue par le biais de l'agent de communication, permettant de faire le lien avec le serveur de supervision de rattachement, avec l'agent ou les agents définis comme relais. Exemple : La taille de la mise à jour disponible est de 50 Ko. 20 postes utilisent un agent relais multicast. Dans ce cas la bande passante utilisée est d environ 50 Ko pour l'ensemble des postes au lieu de 50 Ko 20 soit 1Mo. Ce fonctionnement est identique dans le cas de l'installation des applications. C'est-à-dire que pour installer l'antivirus Kaspersky (environ 60 Mo), il sera utilisé uniquement 60 Mo de bande passant au lieu de 60 Mo 20 soit 1,2 Go. Pour les installations d application l administrateur peut définir le nombre de postes à installer simultanément. Par exemple on peut installer l application sur 200 postes mais 5 le seront en simultané. Il est aussi possible de vérifier le système d'exploitation afin de ne pas copier les sources d'installation sur les postes incompatibles avec l'application. L'agent de communication étant universel par rapport à l'os il remonte l'information au serveur permettant de définir si l'application qui doit être installée est compatible. 224

225 Mise en place d un délai aléatoire de connexion des postes clients lors de la mise à jour planifié ceci permet d'éviter les goulots d étranglement et de lisser la bande passante utile pour les mises à jour pour des planifications à des heures prédéfinies. En utilisant des serveurs d administration secondaires sur chacun des sites distants afin de dédier l exploitation à un serveur intermédiaire piloté par un serveur de niveau inférieur. Ce serveur sera dédié à la centralisation des mises à jour, des applications, des stratégies et tâches de paramétrage, du stockage des évènements en lieu et place du serveur principal. 225

226 226

227 10 ANNEXE 1 : Structure du moteur Lorsqu'une nouvelle technologie apparaît, comme par exemple celle de Bagle ayant les mots de passe dans une image, seul un nouveau fichier AVC (quelques Ko) est téléchargé au lieu d'appliquer un changement de binaire à l'antivirus. Les accès aux bases d'enrichissement de Kaspersky Antivirus s'effectuent par téléchargement FTP et/ou HTTP sur une liste de serveurs non exhaustive que l'administrateur pourra à sa guise enrichir sur plus d'une centaine de serveurs de mise à jour. En ce qui concerne les disponibilités des bases spécifiques sur un code malicieux nouveaux, deux cas de figures se présentent : Kaspersky reçoit la souche d'un nouvel échantillon via une soumission extérieure au client et que cela représente une émergence normale dans prolifération massive, l'antidote est développée et sera mise à disposition sur les sites de téléchargement avec les activités normales dans un intervalle horaire après soumission, rythme normal actuel des mises à jour actuelles. En cas d'urgence : contamination rapide et/ou dangereuse, l'antidote est développé et publiée sur le champ (crise virale) Si une nouvelle technologie non connue apparaît, Kaspersky met tout en œuvre pour apporter le plus rapidement possible la parade. 227

228 10.1 Formats de fichiers supportes Fichiers supportés Voici une liste non exhaustive des formats d objets communs supportés et détectés par le moteur Kaspersky Anti-Virus : SYS, EXE, ELF, Java, HLP, OLE2, Access, Shell, Perl, XML, CHM, REG, WSF, LNK, VBA, WordBasic, PIF, VBS, BAT, HTML (JavaScript, VBScript inclus), MIRC Le moteur Kaspersky supporte plus de 300 run-time packers (méthode pour formater les fichiers exécutables) dans plus de formats et plus de 80 utilitaires d archivage dans plus de 500 versions. Il supporte un grand nombre d outils de compression de fichiers exécutable ainsi que de système d encryptions. Voici une liste non exhaustive de ces formats : Diet, AVPACK, COMPACK, Epack, ExeLock, ExePack, Expert, HackStop, Jam, LzExe, LzCom, PaquetBuilder, PGMPAK, PkLite, PackWin, Pksmart, Protect, ProtEXE, RelPack, Rerp, Rjcrush, Rucc, Scramb, SCRNCH, Shrink, Six-2-Four, Syspack, Trap, UCEXE, Univac, UPD, UPX, WWPACK, ASPack, ASProtect, Astrum, BitArts, BJFnt, Cexe, Cheaters, Dialect, DXPack, Gleam, CodeSafe, ELFCrypt, JDPack, JDProtect, INFTool, Krypton, Neolite, ExeLock, NFO, NoodleCrypt, OptLink, PCPEC, PEBundle, PECompact, PCShrink, PE-Crypt, PE-Diminisher, PELock, PEncrypt, PE-Pack, PE-Protect, PE-Shield, Petite, Pex, PKLite32, SuperCede, TeLock, VBox, WWPack32, XLok and Yoda. Le moteur supporte également un grand nombre d archiveurs et d outils de compression tel que : CAB, ARJ, ZIP, GZIP, Tar, AIN, HA, LHA, RAR, ACE, BZIP2, WiseSFX [several versions], CreateInstall, Inno Installer, StarDust Installer, MS Expand, GKWare Setup, SetupFactory, SetupSpecialist, NSIS, Astrum, PCInstall, and Effect Office. Les fichiers sont extraits selon leur niveau de profondeur. Par exemple si un fichier est compressé par un utilitaire UPX, puis archivé au format ZIP et placé dans une archive CAB, le moteur sera capable d extraire le fichier original pour l analysé et détecté le virus. Nota : Pour des raisons de sécurité et de confidentialité les laboratoires Kaspersky ne peuvent indiquer la liste complète des packers ou archives supportés ceci afin que des pirates informatiques ne l utilise pour créer des codes malicieux sur des formats non analysés. Autres Formats Le moteur Kaspersky Anti-Virus retient des algorithmes spécifiques pour traiter tous les formats listés ci-dessus. Cette liste est continuellement mise à jour pour ajouter les formats et les extensions populaires et potentiellement dangereux. Tous les formats de fichiers non supportés peuvent être scannés en tant que fichiers binaires pour détecter les virus connus. C est le cas par exemple du format Macromedia Flash et des composants ActiveX 228

229 Niveaux d analyse Le moteur utilise un algorithme intelligent pour éviter d extraire des attaques de type archive bombs (fortement compressé) concernant des fichiers de taille énorme ou un même fichier compressé sur un nombre de niveau important. Ce type d archive peut engendre des temps d analyse important mais le moteur antivirus Kaspersky détecte instantanément ce type d attaque Mise à jour Fonctionnement : Kaspersky Lab met à disposition des mises à jour officielles toutes les heures Ces mises à jour sont récupérées par le logiciel antivirus de façon transparente et incrémentale. La taille moyenne est d environ 50 Ko (300 Ko dans le cas d une mise à jour avec amélioration des fonctions du moteur). Validation : Avant de charger et d'installer sa nouvelle base le produit vérifie l'intégralité des fichiers de signatures téléchargés par rapport à des fichiers de structure reprenant la signature d'intégrité de chacun d'entre eux. Les fichiers sont copiés dans un répertoire temporaire puis valider par le processus de vérification d intégrité du module Antivirus. Les catégories de programmes malicieux complémentaires : Elles comprennent les bases de données suivantes : Riskwares Cette base de données détecte les programmes malveillants qui permettent l'observation et la commande à distance de l'ordinateur de la victime. Par exemple : Les logiciels d'administration à distance ; Les enregistreurs de frappe au clavier ; Les logiciels de détection de mot de passe ; Les logiciels de connexion automatique à des sites payants. Pornwares Cette base de données contient des textes permettant d'identifier divers sites pornographiques: Les programmes permettant la connexion automatique à des sites pornographiques ; Les programmes qui téléchargent automatiquement des fichiers au contenu explicite. Adwares Cette base de données permet d'identifier plusieurs types de publicité et les logiciels associés. 229

230 Sécurité des mises à jour et flexibilité des mises à jour: Si aucune des données relatives à ce système de protection ne doit être automatiquement rendu visible à l extérieur des infrastructures, il est possible de modifier les paramètres du produit afin qu il puisse vivre en complète indépendance des serveurs Internet Kaspersky. Chaque produit dispose des capacités de récupération des mises à jour via les protocoles suivants : http ftp partages de fichiers Il est techniquement possible voir conseillé d utiliser et de maintenir des serveurs relais qui permettent d offrir une structure en cascade des mises à jour. En effet, chaque produit dispose de fonctionnalités de «stockage et de duplication» des mises à jour. Cette fonctionnalité permet à un objet de devenir lui-même source de mise à jour aux autres objets. D une autre manière, l administrateur peut définir une ressource partagée qui sera automatiquement mise à jour par les produits Kaspersky. Plus précisément, ces fonctionnalités permettent de : Le téléchargement des mises à jour, évolutions et correctifs depuis une source, sur protocole IP. Puis, automatiquement la mise à disposition de ces données pour les systèmes décentralisés (autres relais ou systèmes à protéger). 230

231 10.2 Fonctionnement Modulaire Le moteur Kaspersky est composé d un certain nombre de fichiers ce qui le rend modulaire. Chacun de ces fichiers composent les fonctions du moteur ainsi que ses signatures et ses scénarios heuristiques de détection. Schéma de principe : Laboratoire Flux Pattern matching Générique Heuristique Comportemental Fonctions Macro, OCR Flux sains Fichiers s, Scripts Objets I/O Disk HTTP FTP SMTP POP3 IMAP NNTP Chat / IM Moteur de Scan I/O Disk HTTP FTP SMTP POP3 IMAP NNTP Chat / IM Zip ARJ RAR CAB TAR UUE MIME + de 2000 formats de fichiers supportés Modules mis à jour automatiquement Il n est donc pas nécessaire de mettre à jour un programme moteur et des bases de signatures distinctes pour détecter des codes malveillants donnés. Cette modularité permet à l utilisateur du produit ou le partenaire (OEM) de choisir les fonctionnalités du produit à activer (type de codes malveillants à détecter, formats de fichiers, type de flux à détecter, ). A l aide de cette technologie modulaire Kaspersky Lab n a pas eu besoin d ajouter de moteur ou de module complémentaire pour détecter les codes malveillants de la famille des Spywares, ces fonction sont inclues. Il est unifié pour la détection de tous les codes malicieux. Lorsqu'une nouvelle technologie virale apparaît, seul un nouveau fichier AVC (quelques Ko) est téléchargé au lieu d'appliquer un changement de binaire à l'antivirus Méthodes détection et d analyses 231

232 Pattern matching : Recherche de virus suivant détection d une chaine binaire dans le fichier Générique ; Signature permettant de détecter plusieurs variantes d un même virus. Elle permet de détecter automatiquement de nouvelles variantes et de réduire la taille des bases de signature. Heuristique : Détection par scénario et analyses statistiques sur la base de techniques de virus ou comportements connus. Nota : Le module de protection Kaspersky Antivirus For Windows Workstation contient un module HIPS de détection des virus inconnus description au chapitre Contrôle de l'activité des applications (HIPS) 232

233 233