Sophos Enterprise Console, version 3.1 manuel utilisateur

Transcription

1 , version 3.1 manuel utilisateur Date du document : octobre 2008

2

3 Table des matières 1 A propos... de Sophos Endpoint Security and Control 5 2 Présentation... de l'enterprise Console 7 3 Comment... dois-je démarrer? 13 4 Comment... créer et utiliser des groupes? 20 5 Comment... créer et utiliser des stratégies? 24 6 Comment... ajouter des ordinateurs dans la console? 31 7 Comment... puis-je me synchroniser avec Active Directory? 36 8 Comment... protéger les nouveaux ordinateurs? 45 9 Comment... m'assurer que mon réseau est protégé? Comment... mettre à jour les ordinateurs? Comment... modifier les paramètres antivirus et HIPS? 80 Comment modifier les paramètres de contrôle des applications 12? Comment... modifier les paramètres du pare-feu? Comment... modifier les paramètres NAC? Comment... effectuer le contrôle des ordinateurs? Comment... configurer les alertes? Comment... gérer les alertes? Comment... nettoyer les ordinateurs? Comment... générer des rapports? 127 Comment un autre utilisateur peut-il utiliser l'enterprise 20 Console...? 135 3

4 21 Comment... activer ou désactiver l'édition de rapports? Résolution... des problèmes Glossaire

5 1 A propos de Sophos Endpoint Security and Control A propos de Sophos Endpoint Security and Control Sophos Endpoint Security and Control protège vos serveurs de fichiers, vos ordinateurs et vos ordinateurs portables contre les menaces connues et inconnues, contre les adwares et contre toutes autres applications potentiellement indésirables tout en vous assurant une administration simplifiée et centralisée de votre réseau. La solution comprend Sophos Anti-Virus, Sophos Client Firewall, Sophos Network Access Control et la Sophos Enterprise Console (incluant EM Library pour le téléchargement automatique des logiciels et des mises à jour depuis Sophos). Le schéma ci-dessous vous montre comment les composants de Sophos Endpoint Security and Control fonctionnent ensemble. Sophos Enterprise Console vous permet depuis un point central de déployer, mettre à jour et surveiller les logiciels antivirus et de parefeu sur vos ordinateurs et ainsi d'assurer leur protection contre les virus, les vers, les chevaux de Troie, les spywares, les pirates 5

6 informatiques, les menaces inconnues et autres comportements indésirables. L'Enterprise Console inclut EM Library qui télécharge automatiquement les logiciels et les mises à jour depuis Sophos. Sophos Anti-Virus (pour Windows 98/Me/2000 et supérieur, Mac OS X, Linux et Unix) détecte et élimine les virus, les vers, les chevaux de Troie et les spywares de votre ordinateur ou de votre réseau. Sophos Anti-Virus pour Windows 2000 et supérieur détecte et bloque aussi les menaces inconnues, les adwares et autres applications potentiellement indésirables, comportements indésirables et rootkits. En particulier, Sophos Anti-Virus : contrôle votre ordinateur ou votre réseau à la recherche de menaces, fichiers suspects, adwares et autres applications potentiellement indésirables. vérifie chaque fichier auquel vous accédez à la recherche de menaces et de tout comportement suspect. vous alerte lorsqu'il trouve une menace, un fichier suspect ou une application indésirable. nettoie les éléments infectés en supprimant tout virus présent dans un fichier ou un secteur de démarrage. empêche l'exécution des applications potentiellement indésirables sur votre ordinateur. supprime les applications potentiellement indésirables de votre ordinateur. bloque les "applications contrôlées" - des applications «grand public» légitimes qui risquent d affecter la productivité et les performances des réseaux. conserve un journal de son activité. peut être mis à jour pour détecter les nouvelles menaces et applications potentiellement indésirables. Sophos Client Firewall (pour Windows 2000 et supérieur) restreint l'accès au réseau d'entreprise ou à Internet aux seules applications ou classes d'applications autorisées. Il verrouille les ordinateurs de manière proactive afin d assurer la protection des réseaux contre les vers Internet, les pirates informatiques et contre le risque d infection virale introduit par la connexion d ordinateurs non protégés, surtout ceux se connectant directement à Internet. Sophos Network Access Control (NAC) (pour Windows 2000 et 6

7 supérieur) assure la protection du réseau de l'entreprise contre les ordinateurs non conformes ou non fiables. Il contrôle l'accès conformément aux politiques de sécurité définies et contrôlées par l'administrateur et garantit le respect de l'application de ces politiques. Pour en savoir plus sur Sophos EM Library, Sophos Anti-Virus, Sophos Client Firewall ou Sophos Network Access Control, reportez-vous à l'aide ou au manuel utilisateur leur correspondant. Pour en savoir plus sur les menaces, rendez-vous sur la page Web Sophos d'informations sur la sécurité. 2 Présentation de l'enterprise Console Cette section vous donne un aperçu de l'interface et des fonctionnalités principales de la Sophos Enterprise Console. A propos de l'interface Qu'est-ce qu'un groupe? Qu'est-ce qu'une stratégie? Qu'est-ce que le dossier Non affectés? Qu'est-ce que sont les bibliothèques? Que signifient les icônes? A propos de l'interface L'interface de l'enterprise Console vous permet de protéger les ordinateurs de votre réseau, de vous assurer qu'ils sont à jour et de visualiser toutes les menaces, menaces potentielles ou applications indésirables détectées puis les nettoyer. Voir ci-dessous pour une description des fonctions. 7

8 Le tableau de bord Le tableau de bord fournit un aperçu rapide de l'état de la sécurité du réseau. Pour afficher ou masquer le tableau de bord, cliquez sur le bouton Tableau de bord de la barre d'outils. Le volet Groupes Dans le volet Groupes, créez des groupes et placez-y les ordinateurs en réseau. Vous pouvez créer vous-même des groupes ou les importer, avec ou sans ordinateurs, depuis Active Directory. Vous pouvez aussi paramétrer la synchronisation avec Active Directory afin que les nouveaux ordinateurs et groupes ainsi que d'autres changements dans Active Directory soient copiés automatiquement dans l'enterprise Console. Le dossier Non affectés est destiné aux ordinateurs qui n'appartiennent pas encore à un groupe. Pour configurer un groupe, sélectionnez-le et cliquez avec le bouton droit de la souris dessus. Le volet Stratégies Dans le volet Stratégies, vous créez ou modifiez les stratégies 8

9 appliquées aux groupes d'ordinateurs. Pour configurer une stratégie, sélectionnez-la et cliquez avec le bouton droit de la souris dessus. La liste des ordinateurs La liste des ordinateurs (volet de droite) affiche les ordinateurs appartenant au groupe sélectionné. Si vous avez des ordinateurs Linux ou UNIX administrés depuis la console, assurez-vous qu'un nom d'hôte unique est configuré pour chaque ordinateur. Autrement, chaque ordinateur apparaîtra dans la console avec le nom par défaut "localhost." L'onglet Etat indique si les ordinateurs sont protégés par le contrôle sur accès, si le pare-feu est activé, si NAC (contrôle d'accès réseau) est activé et si le logiciel est mis à jour. Cette page indique aussi la présence d'alertes. Les autres onglets fournissent des informations plus détaillées sur chacun de ces sujets. Pour plus d'explications concernant les icônes affichées dans la liste des ordinateurs, reportez-vous à la section Que signifient les icônes? La barre d'outils Rechercher de nouveaux ordinateurs recherche des ordinateurs sur le réseau et les ajoute à la console. Créer un groupe crée un nouveau groupe pour les ordinateurs. Voir/modifier une stratégie vous permet d'ouvrir et de changer une stratégie sélectionnée dans le volet Stratégies. Protéger vous permet d'installer les logiciels antivirus et pare-feu sur les ordinateurs sélectionnés dans la liste des ordinateurs. Bibliothèques ouvre Sophos EM Library dont vous vous servez pour télécharger les plus récents packages logiciels et les mettre à disposition sur votre réseau. Rapports vous permet de générer des rapports concernant les alertes sur vos réseaux. Tableau de bord ouvre le tableau de bord qui vous fournit un aperçu de l'état de la sécurité du réseau. NAC ouvre Sophos NAC Manager qui vous sert à modifier les 9

10 stratégies NAC (contrôle accès réseau). Qu'est-ce qu'un groupe? Un groupe est un dossier contenant un certain nombre d'ordinateurs. Vous pouvez créer vous-même des groupes ou les importer, avec ou sans ordinateurs, depuis Active Directory. Vous pouvez aussi paramétrer la synchronisation avec Active Directory afin que les nouveaux ordinateurs et groupes ainsi que d'autres changements dans Active Directory soient copiés automatiquement dans l'enterprise Console. Chaque groupe dispose de paramètres pour la mise à jour, la protection antivirus et HIPS, la protection pare-feu, le contrôle des applications et NAC (contrôle d'accès réseau). Tous les ordinateurs d'un groupe doivent généralement utiliser ces paramètres aussi appelés une "stratégie". Un groupe peut contenir des sous-groupes. Qu'est-ce qu'une stratégie? Une stratégie est un ensemble de paramètres s'appliquant à tous les ordinateurs d'un groupe. La stratégie de Mise à jour définit la manière dont les ordinateurs sont mis à jour avec les nouveaux logiciels de sécurité. La stratégie antivirus et HIPS définit la manière dont le logiciel de sécurité effectue le contrôle des ordinateurs à la recherche de virus, chevaux de Troie, vers, spywares, adwares, applications potentiellement indésirables, comportements et fichiers suspects et la manière dont il élimine ceux-ci. La stratégie Contrôle des applications définit quelles applications sont bloquées et autorisées sur vos ordinateurs. La stratégie de Pare-feu définit la manière dont le pare-feu assure la protection des ordinateurs. La stratégie NAC définit les conditions auxquelles les 10

11 ordinateurs doivent se conformer avant qu'ils ne puissent accéder au réseau. Qu'est-ce que le dossier Non affectés? Le dossier Non affectés est un dossier dans lequel l'enterprise Console garde les ordinateurs avant de les placer dans des groupes. Vous ne pouvez pas : appliquer de stratégies au dossier Non affectés créer de sous-dossiers dans le dossier Non affectés déplacer ou supprimer le dossier Non affectés. Qu'est-ce que sont les bibliothèques? Les bibliothèques téléchargent le logiciel le plus récent depuis Sophos puis elles le mettent à disposition sur votre serveur pour effectuer l'installation sur les ordinateurs en réseau. Un composant nommé EM Library maintient à jour les bibliothèques. Pour utiliser EM Library, cliquez sur l'icône Bibliothèques de la barre d'outils. Que signifient les icônes? Dans la liste des ordinateurs, les icônes sont utilisées pour indiquer : les alertes une protection désactivée ou obsolète l'état de chaque ordinateur, par exemple, si le logiciel est en cours d'installation ou non. Alertes 11

12 Symbole Explication L'apparition d'un signal d'avertissement rouge dans la colonne Alertes et erreurs signifie qu'un virus, un ver, un cheval de Troie, un spyware ou un comportement suspect a été détecté. L'apparition d'un signal d'avertissement jaune dans la colonne Alertes et erreurs indique l'un des problèmes suivants : Un fichier suspect a été détecté. Un adware ou toute autre application potentiellement indésirable a été détecté. Une application contrôlée a été détectée. Le pare-feu a bloqué une application. Une erreur a eu lieu. L'apparition d'un signal d'avertissement jaune dans les colonnes Stratégie antivirus et HIPS, Stratégie de pare-feu, Stratégie de mise à jour ou Stratégie de contrôle des applications signifie que l'ordinateur n'utilise pas les mêmes stratégies que les autres ordinateurs de son groupe. S'il y a plusieurs alertes ou erreurs sur un ordinateur, l'icône de l'alerte ayant la priorité la plus haute apparaît dans la colonne Alertes et erreurs. Les types d'alertes sont répertoriés ci-dessous par ordre de priorité décroissant. Priorité des alertes 1. Alertes de virus/spyware 2. Alertes de comportement suspect 3. Alertes de fichiers suspects 4. Alertes de pare-feu 5. Alertes d'adwares/pua 6. Alertes des applications contrôlées 7. Erreurs de Sophos Anti-Virus, de mise à jour et de Sophos Client Firewall Protection désactivée ou non à jour 12

13 Explication Un bouclier gris signifie que le contrôle sur accès est inactif. L'icône pare-feu gris signifie que le pare-feu est désactivé. L'icône horloge signifie que le logiciel n'est pas à jour. Etat de l'ordinateur Symbole Symbole Explication Un symbole affichant un ordinateur bleu signifie que l'ordinateur est géré par l'enterprise Console. Un symbole avec un ordinateur et une flèche jaune signifie que l'installation des logiciels antivirus et pare-feu est en attente. Un symbole avec un ordinateur et une flèche verte signifie que l'installation est en progrès. Un symbole avec un ordinateur et un sablier signifie que le composant de mise à jour automatique de Sophos Anti- Virus a été installé et qu'il est désormais en train de télécharger la plus récente version du produit. Un symbole affichant un ordinateur gris signifie que l'ordinateur n'est pas géré par l'enterprise Console. Un symbole affichant un ordinateur avec une croix rouge signifie que l'ordinateur est déconnecté. 3 Comment dois-je démarrer? Pour protéger votre réseau à l'aide de l'enterprise Console, procédez comme suit : Ce qui suit n'est qu'un aperçu, reportez-vous aux autres documents et sections évoqués dans le présent document. Etape 1 : Configurer une bibliothèque pour les logiciels et les 13

14 mises à jour Etape 2 : Créer des groupes Etape 3 : Configurer des politiques Etape 4 : Ajouter des ordinateurs à la console Etape 5 : Protéger les ordinateurs Etape 6 : Vérifier que les ordinateurs sont protégés Etape 7 : Assurer une protection contre les adwares, les autres applications potentiellement indésirables (PUA) et les comportements suspects ou indésirables Etape 8 : Nettoyer les ordinateurs Etape 1 : Configurer une bibliothèque pour les logiciels et les mises à jour Suite à l'installation de l'enterprise Console, vous devez configurer une bibliothèque qui va télécharger et mettre à jour les logiciels de sécurité et les données depuis Sophos et les mettre à disposition de vos ordinateurs en réseau. Lorsque vous démarrez l'enterprise Console pour la première fois, la boîte de dialogue Bienvenue dans Sophos Endpoint Security and Control apparaît. Dans cette boîte de dialogue, sélectionnez le type de configuration de votre choix. Vous avez le choix entre deux options : Configuration rapide - sélectionnez cette option si vous désirez vous abonner rapidement aux mises à jour Sophos en utilisant les paramètres par défaut. L'Assistant d'abonnement aux mises à jour Sophos démarre. Le logiciel de votre choix va être placé dans les emplacements par défaut et mis à jour toutes les heures. Si vous disposez d'active Directory, les groupes et les ordinateurs seront importés depuis Active Directory dans l'enterprise Console. Configuration étendue - sélectionnez cette option si vous désirez avoir plus de contrôle sur les paramètres de la bibliothèque. La console EM Library s'ouvre. Pour plus d'instructions sur la manière d'utiliser la console pour configurer une bibliothèque, reportez-vous à la rubrique "Comment dois-je démarrer?" de l'aide d'em Library. 14

15 La boîte de dialogue Bienvenue dans Sophos Endpoint Security and Control apparaît seulement une fois lorsque vous démarrez l'enterprise Console pour la première fois. Dès que cette boîte de dialogue est fermée, elle n'apparaît plus et vous ne serez plus en mesure d'utiliser l'option Configuration rapide. Etape 2 : Créer des groupes Vous pouvez choisir parmi les trois approches suivantes pour la création de groupes, en fonction de ce qui vous convient le mieux. Utilisation de l'option Configuration rapide Si vous avez Active Directory et avez sélectionné l'option Configuration rapide décrite dans l'étape 1, l'assistant d'abonnement aux mises à jour Sophos a déjà importé des groupes et des ordinateurs depuis Active Directory dans l'enterprise Console. Inutile de faire quoi que ce soit dans ce cas. Création de groupes un par un Vous pouvez créer des groupes un par un à l'aide de l'option Créer un groupe. Pour ce faire, cliquez sur l'icône Créer un groupe de la barre d'outils. Un nouveau groupe apparaît dans le volet Groupes. Renommez-le. Pour plus d'informations, reportez-vous à la rubrique Comment créer et utiliser des groupes? Importation de groupes depuis Active Directory Vous pouvez importer votre structure de groupe depuis Active Directory, avec ou sans les ordinateurs. Pour ce faire, suivez les instructions de la rubrique Importation de groupes depuis Active Directory. Etape 3 : Configurer des politiques Stratégie de mise à jour Si après l'installation de l'enterprise Console, vous avez choisi 15

16 l'option Configuration rapide et terminé l'assistant d'abonnement aux mises à jour Sophos, la stratégie de mise à jour par défaut a déjà été paramétrée. Si vous n'avez pas terminé l'assistant d'abonnement aux mises à jour Sophos, saisissez les détails de l'emplacement à partir duquel les mises à jour sont récupérées (reportez-vous à la rubrique Configuration de la mise à jour automatique). Les ordinateurs ne peuvent pas être protégés et mis à jour si la stratégie n'a pas d'emplacement de mise à jour. Pour plus d'informations sur la configuration de la mise à jour, reportez-vous à la rubrique Comment mettre à jour les ordinateurs? Stratégie antivirus et HIPS Si vous souhaitez modifier le contrôle et configurer les alertes, cliquez deux fois sur Antivirus et HIPS. Puis cliquez deux fois sur Par défaut. Voir les rubriques Comment modifier les paramètres antivirus et HIPS? et Comment configurer les alertes? Stratégie de contrôle des applications Pour plus d'instructions sur le paramétrage d'une stratégie de contrôle des applications, reportez-vous à la section Comment modifier les paramètres de contrôle des applications? Stratégie de pare-feu Pour plus d'instructions sur la configuration d'une stratégie de parefeu, reportez-vous à la section Comment modifier les paramètres du pare-feu? Stratégie NAC Pour plus d'instructions sur la configuration d'une stratégie NAC, reportez-vous à la section Comment modifier les paramètres NAC? Etape 4 : Ajouter des ordinateurs à la console Vous pouvez choisir parmi les quatre approches suivantes pour l'ajout de groupes dans la console, en fonction de ce qui vous 16

17 convient le mieux. Utilisation de l'option Configuration rapide Si vous avez Active Directory et avez sélectionné l'option Configuration rapide décrite dans l'étape 1, l'assistant d'abonnement aux mises à jour Sophos a déjà importé des groupes et des ordinateurs depuis Active Directory dans l'enterprise Console. Inutile de faire quoi que ce soit dans ce cas. Utilisation de l'option Rechercher de nouveaux ordinateurs Dans la barre d'outils, cliquez sur l'icône Rechercher de nouveaux ordinateurs. Sélectionnez la méthode de recherche que vous voulez utiliser, cliquez sur OK et suivez les instructions de l'assistant ou la boîte de dialogue qui s'affiche. Pour plus de détails, reportez-vous à la rubrique Comment ajouter des ordinateurs dans la console? Si vous avez utilisé une option autre que Importation depuis Active Directory, cliquez sur le dossier Non affectés pour voir les ordinateurs qui ont été trouvés. Sélectionnez les ordinateurs que vous souhaitez placer dans le nouveau groupe. Faites glisser et déposer les ordinateurs dans le nouveau groupe. Importation de groupes et d'ordinateurs depuis Active Directory Sélectionnez un groupe dans lequel vous voulez importer vos conteneurs et vos ordinateurs Active Directory, cliquez avec le bouton droit de la souris et sélectionnez Importer depuis Active Directory. Sinon, dans le menu Groupes, sélectionnez Importer depuis Active Directory. Cette option est aussi disponible dans la boîte de dialogue Recherche de nouveaux ordinateurs décrite ci-dessus. Suivez les instructions de l'assistant d'importation depuis Active Directory. Pour importer des ordinateurs ainsi que des groupes, dans la page Sélection de ce que vous voulez importer de l'assistant d'importation depuis Active Directory, sélectionnez Ordinateurs et groupes. Pour plus d'informations, reportez-vous à la rubrique Importation de groupes depuis Active Directory. Synchronisation avec Active Directory 17

18 Sélectionnez un groupe que vous voulez synchroniser avec Active Directory, cliquez avec le bouton droit de la souris et sélectionnez Synchroniser avec Active Directory. Sinon, dans le menu Groupes, sélectionnez Synchroniser avec Active Directory. Suivez les instructions de l'assistant de synchronisation avec Active Directory. Pour plus d'informations, reportez-vous à la rubrique Comment puis-je me synchroniser avec Active Directory? Etape 5 : Protéger les ordinateurs Vous pouvez choisir entre deux approches pour protéger vos ordinateurs en réseau, en fonction de ce qui vous convient le mieux. Utilisation de l'assistant de protection des ordinateurs Lorsque vous faites glisser un ordinateur depuis le dossier Non affectés et le déposez dans un groupe, un assistant se lance pour vous aider à protéger les ordinateurs. Reportez-vous à la rubrique Comment protéger les nouveaux ordinateurs? Si vous voulez utiliser Sophos Client Firewall, installez-le tout d'abord sur quelques ordinateurs échantillons. Le pare-feu doit être configuré avant que vous ne l'installiez sur tous les ordinateurs car il est conçu pour empêcher l'accès réseau à des applications non autorisées. Reportezvous à la section Configuration du pare-feu. Protégez les ordinateurs qui exigent une installation manuelle comme le décrit la rubrique Protection des ordinateurs nécessitant une installation manuelle. Protection automatique des ordinateurs lors de la synchronisation avec Active Directory Si vous avez choisi de synchroniser avec Active Directory, vous pouvez aussi choisir de protéger automatiquement vos ordinateurs Windows 2000 ou supérieur. Vous pouvez exécuter cette opération dans la boîte de dialogue Assistant de synchronisation avec Active Directory ou Propriétés de synchronisation. Pour plus d'instructions, reportez-vous à la rubrique Protection automatique des ordinateurs. 18

19 Les ordinateurs exécutant Windows 95/98/Me, des systèmes d'exploitation serveur Windows, Mac, Linux ou UNIX ne seront pas protégés automatiquement. Protégez ces ordinateurs manuellement comme décrit à la rubrique Protection des ordinateurs nécessitant une installation manuelle. Etape 6 : Vérifier que les ordinateurs sont protégés Une fois l'installation achevée, regardez de nouveau la liste des ordinateurs dans le nouveau groupe. Dans la colonne Sur accès, vous devriez voir apparaître le mot "Actif" qui indique que l'ordinateur est protégé par le contrôle sur accès et qu'il est désormais géré par l'enterprise Console. Pour plus d'informations, reportez-vous à la rubrique Comment m'assurer que mon réseau est protégé? Etape 7 : Assurer une protection contre les adwares, les autres applications potentiellement indésirables (PUA) et les comportements suspects ou indésirables Par défaut, Sophos Anti-Virus détecte les virus, les chevaux de Troie, les vers et les spywares. Sophos Anti-Virus 7 et supérieur pour Windows 2000 et supérieur analyse aussi le comportement des programmes s'exécutant sur le système. Pour plus de protection, vous pouvez effectuer le : Contrôle à la recherche des fichiers suspects Contrôle des ordinateurs à la recherche d'adwares et autres applications potentiellement indésirables Contrôle des applications sur votre réseau Etape 8 : Nettoyer les ordinateurs En cas de détection d'un virus, d'un élément ou de toute autre 19

20 application indésirable sur votre réseau, procédez au nettoyage des ordinateurs affectés comme décrit dans la rubrique Comment nettoyer les ordinateurs? 4 Comment créer et utiliser des groupes? Cette section décrit comment créer et gérer des groupes d'ordinateurs. Lorsque vous planifiez et créez une structure de groupe, n'oubliez pas qu'une bonne structure de groupe doit : Etre gérable Décidez de la taille maximum acceptable pour une bonne gestion des groupes que vous créez. Vous devriez être en mesure de pouvoir facilement déployer les logiciels et de contrôler et nettoyer les ordinateurs. Ceci est tout particulièrement important lors du déploiement initial. Prendre en compte les besoins des différents utilisateurs de votre entreprise Prenez en compte les exigences individuelles de vos utilisateurs lors de la création de groupes. Par exemple, si vous souhaitez bloquer une application spécifique sur certains ordinateurs et autoriser son exécution sur d'autres, créez alors deux groupes différents à cet effet. Vous pouvez soit créer des groupes manuellement et configurer par vous-même la structure du groupe, soit importer la structure du groupe depuis Active Directory. Si vous souhaitez définir une structure de groupe qui va correspondre à vos conteneurs Active Directory, reportez-vous à la rubrique Importation de groupes depuis Active Directory. A quoi servent les groupes? Création d'un groupe Ajout d'ordinateurs dans un groupe Suppression d'ordinateurs d'un groupe Opération de couper-coller d'un groupe 20

21 Suppression d'un groupe Attribution d'un nouveau nom à un groupe Application d'une stratégie à un groupe Affichage des stratégies utilisées par un groupe A quoi servent les groupes? Vous devez créer des groupes et y placer des ordinateurs avant de pouvoir commencer à protéger et à gérer ces ordinateurs. Grâce aux groupes, vous pouvez : mettre à jour les ordinateurs présents dans différents groupes depuis des sources différentes ou selon des planifications différentes. utiliser différentes stratégies antivirus et HIPS, de pare-feu, de contrôle des applications ou de contrôle d'accès réseau (NAC) pour différents groupes. gérer les ordinateurs plus facilement. Vous pouvez créer des groupes au sein des groupes et appliquer un ensemble de règles spécifiques à chaque groupe et sousgroupe. Création d'un groupe Pour créer un nouveau groupe pour des ordinateurs, procédez comme suit : 1. Dans le volet Groupes (sur le côté gauche de la console), sélectionnez l'endroit où vous souhaitez créer le groupe. Cliquez sur le nom de l'ordinateur en haut de la liste si vous souhaitez créer un nouveau groupe principal. Cliquez sur un groupe déjà existant si vous souhaitez créer un sous-groupe. 2. Dans la barre d'outils, cliquez sur l'icône Créer un groupe. 3. Un "Nouveau groupe" est ajouté à la liste et son nom est mis en surbrillance. Saisissez un nouveau nom pour le groupe. Les stratégies de mise à jour, antivirus et HIPS, de contrôle des applications, de pare-feu et NAC (contrôle d'accès réseau) sont automatiquement appliquées au nouveau groupe. Vous pouvez 21

22 modifier ces stratégies ou appliquer des stratégies différentes. Si le nouveau groupe est un sous-groupe, il utilisera en premier lieu les mêmes paramètres que le groupe auquel il appartient. Ajout d'ordinateurs dans un groupe Pour ajouter des ordinateurs à un groupe, procédez de lamanière suivante : 1. Sélectionnez les ordinateurs que vous souhaitez ajouter à un groupe. Par exemple, cliquez sur le dossier Non affectés et sélectionnez les ordinateurs à partir de là. 2. Faites glisser et déposer les ordinateurs dans le nouveau groupe. Si vous déplacez des ordinateurs non protégés du dossier Non affectés dans un groupe avec des paramètres de mise à jour automatique, un assistant se lance pour vous aider à les protéger. Si vous déplacez les ordinateurs d'un groupe à un autre, ils utiliseront les mêmes stratégies que les ordinateurs qui sont déjà présents dans leur groupe de destination. Suppression d'ordinateurs d'un groupe Vous pouvez supprimer des ordinateurs d'un groupe si, par exemple, vous souhaitez supprimer des entrées pour des ordinateurs n'étant plus connectés au réseau. Si vous supprimez des ordinateurs qui sont encore connectés au réseau, ceux-ci ne seront plus du tout répertoriés ou administrés sur la console. Pour supprimer des ordinateurs : 1. Sélectionnez les ordinateurs que vous souhaitez supprimer. 2. Cliquez dessus avec le bouton droit de la souris et sélectionnez Supprimer. Si vous désirez visualiser de nouveau les ordinateurs, cliquez sur l'icône Rechercher de nouveaux ordinateurs de la barre d'outils. Ces ordinateurs ne s'affichent pas dans la vue "Ordinateurs administrés" tant qu'ils n'ont pas été redémarrés. 22

23 Opération de couper-coller d'un groupe Pour couper et coller un groupe, procédez comme suit : 1. Sélectionnez le groupe que vous désirez couper et coller. Dans le menu Editer, cliquez sur Couper. 2. Sélectionnez le groupe dans lequel vous souhaitez placer le groupe. Dans le menu Editer, cliquez sur Coller. Suppression d'un groupe Pour supprimer un groupe, procédez comme suit : Tout ordinateur qui était dans le groupe supprimé sera placé dans le dossier Non affectés. 1. Sélectionnez le groupe que vous souhaitez supprimer. 2. Cliquez dessus avec le bouton droit de la souris et sélectionnez Supprimer. Lorsqu'on vous le demande, confirmez que vous voulez supprimer le groupe ainsi que ses sous-groupes si le groupe en possède. Attribution d'un nouveau nom à un groupe Pour renommer un groupe, procédez comme suit : 1. Sélectionnez le groupe que vous souhaitez renommer. 2. Cliquez dessus avec le bouton droit de la souris et sélectionnez Renommer. Application d'une stratégie à un groupe Pour appliquer une stratégie à un groupe, procédez comme suit : 1. Dans le volet Stratégies, sélectionnez la stratégie. 2. Cliquez sur la stratégie et faites la glisser sur le groupe sur lequel vous désirez appliquer la stratégie. Lorsque vous y êtes invité, confirmez que vous désirez continuer. 23

24 Autrement, vous pouvez cliquer avec le bouton droit de la souris sur un groupe et sélectionnez Voir les stratégies de ce groupe. Vous pouvez ensuite sélectionner les stratégies pour ce groupe depuis les menus déroulants. Affichage des stratégies utilisées par un groupe Pour voir quelles stratégies ont été appliquées à un groupe, procédez comme suit : 1. Dans le volet Groupes, cliquez avec le bouton droit de la souris sur le groupe. Sélectionnez Voir les stratégies de ce groupe. 2. Dans la boîte du dialogue des détails du groupe apparaissent les stratégies en cours d'utilisation. 5 Comment créer et utiliser des stratégies? Cette section décrit comment créer des stratégies et les appliquer à des groupes d'ordinateurs. Cette section vous explique aussi comment vous assurer que tous les ordinateurs d'un groupe utilisent les mêmes paramètres de mise à jour, antivirus et HIPS, de contrôle des applications, de pare-feu et NAC (contrôle d'accès réseau). A quoi servent les stratégies? Quelles sont les stratégies par défaut? Dois-je créer mes propres stratégies? Création d'une stratégie Application d'une stratégie Modification d'une stratégie Attribution d'un nouveau nom à une stratégie Suppression d'une stratégie Affichage des groupes utilisant une stratégie Vérification de l'utilisation de la stratégie de groupe par les ordinateurs Application de la stratégie de groupe par les ordinateurs 24

25 A quoi servent les stratégies? Une stratégie est un ensemble de paramètres s'appliquant à tous les ordinateurs d'un groupe. La stratégie de Mise à jour définit la manière dont les ordinateurs sont mis à jour avec les nouveaux logiciels de sécurité. La stratégie antivirus et HIPS définit la manière dont le logiciel de sécurité effectue le contrôle des ordinateurs à la recherche de virus, chevaux de Troie, vers, spywares, adwares, applications potentiellement indésirables, comportements et fichiers suspects et la manière dont il élimine ceux-ci. La stratégie Contrôle des applications définit quelles applications sont bloquées et autorisées sur vos ordinateurs. La stratégie de Pare-feu définit la manière dont le pare-feu assure la protection des ordinateurs. La stratégie NAC définit les conditions auxquelles les ordinateurs doivent se conformer avant qu'ils ne puissent accéder au réseau. Vous pouvez créer plusieurs stratégies pour chaque type. Vous pouvez appliquer la même stratégie à plusieurs groupes. Quelles sont les stratégies par défaut? Lorsque vous installez l'enterprise Console, les stratégies "par défaut" sont créées pour vous. Stratégie de mise à jour La stratégie de mise à jour par défaut assure : la mise à jour automatique des ordinateurs toutes les cinq minutes, dans la mesure où la stratégie inclut des détails de l'emplacement depuis lequel les mises à jour sont récupérées. Si après l'installation de l'enterprise Console, vous avez choisi l'option Configuration rapide et terminé l'assistant d'abonnement aux mises à jour Sophos, la stratégie de mise à jour par défaut inclut un emplacement de mise à jour. 25

26 Si vous n'avez pas terminé l'assistant d'abonnement aux mises à jour Sophos, saisissez les détails de l'emplacement à partir duquel les mises à jour sont récupérées (reportez-vous à la rubrique Configuration de la mise à jour automatique). Les ordinateurs ne peuvent pas être protégés et mis à jour si la stratégie n'a pas d'emplacement de mise à jour. Stratégie antivirus et HIPS La stratégie antivirus et HIPS par défaut assure : le contrôle sur accès des virus et des spywares (mais pas des fichiers suspects, des adwares et autres applications potentiellement indésirables). l'analyse de l'exécution des programmes s'exécutant sur le système (Sophos Anti-Virus 7 pour Windows 2000 et supérieur). l'affichage d'alertes de sécurité sur le bureau de l'ordinateur affecté et leur ajout au journal des événements. Stratégie de contrôle des applications Par défaut, toutes les applications et tous les types d'applications sont autorisés. Le contrôle sur accès des applications que vous pourriez souhaiter contrôler sur votre réseau est désactivé. Stratégie de pare-feu Par défaut, Sophos Client Firewall est activé et bloque tout le trafic non indispensable. Avant de l'utiliser sur votre réseau, configurez le pour autoriser les applications que vous désirez utiliser, comme décrit dans la section Configuration du pare-feu. Les autres paramètres par défaut du pare-feu sont les suivants : Applique des règles sans demander confirmation à l'utilisateur (mode "non-interactif"). Affiche les alertes dans l'enterprise Console si les règles sont modifiées localement sur les ordinateurs administrés. Bloque les processus si la mémoire est modifiée par une autre application. Injecte des paquets qui sont envoyés vers des ports bloqués 26

27 (mode "furtif"). Utilise les sommes de contrôle pour identifier des applications nouvelles et modifiées. Signale à l'enterprise Console les applications nouvelles et modifiées. Prévient que des applications sont susceptibles de lancer des processus cachés. Stratégie NAC Par défaut, les ordinateurs sont autorisés à accéder au réseau (sauf si vous avez modifié la stratégie par défaut ou changé le "mode stratégie" dans le serveur NAC). Dois-je créer mes propres stratégies? Lorsque vous installez l'enterprise Console, les stratégies "par défaut" sont créées pour vous. Ces stratégies sont appliquées à tous les groupes que vous avez créés. Les stratégies par défaut offrent un niveau de sécurité de base. Si vous souhaitez utiliser les fonctions de contrôle d'accès réseau ou de contrôle des applications, vous devez créer de nouvelles stratégies ou changer les stratégies par défaut. Stratégie de mise à jour Suite à l'installation de l'enterprise Console, si vous avez choisi l'option Configuration rapide et terminé avec l'assistant d'abonnement aux mises à jour Sophos, la stratégie de mise à jour par défaut a déjà été paramétrée pour vous. Si vous n'avez pas terminé l'assistant d'abonnement aux mises à jour Sophos, saisissez les détails de l'emplacement à partir duquel les mises à jour sont récupérées (reportez-vous à la rubrique Configuration de la mise à jour automatique). Les ordinateurs ne peuvent pas être protégés et mis à jour si la stratégie n'a pas d'emplacement de mise à jour. Antivirus et HIPS La stratégie antivirus et HIPS par défaut assure la protection des 27

28 ordinateurs contre les virus et autres malwares. Toutefois, vous pouvez créer de nouvelles stratégies ou changer la stratégie par défaut pour activer la détection d'autres applications ou comportements indésirables. Voir les rubriques Comment modifier les paramètres antivirus et HIPS? Contrôle des applications Vous devez configurer une stratégie de contrôle des applications pour définir quelles applications peuvent être utilisées. Reportezvous à la section Comment modifier les paramètres de contrôle des applications? Pare-feu Vous devez configurer le pare-feu pour autoriser les applications qui sont utilisées sur vos ordinateurs. Reportez-vous à la section Configuration du pare-feu. NAC Par défaut, Sophos NAC autorise tous les ordinateurs à accéder au réseau. Vous devez configurer une stratégie NAC pour contrôler l'accès. Reportez-vous à la section Modification d'une stratégie NAC. Création d'une stratégie Pour créer une stratégie, procédez comme suit : Vous ne pouvez pas créer de stratégies NAC. Vous pouvez uniquement les modifier. Reportez-vous à la section Modification d'une stratégie NAC. 1. Dans le volet Stratégies, cliquez avec le bouton droit de la souris sur le type de stratégie que vous désirez créer, par exemple "Stratégie de mise à jour" et sélectionnez Créer une stratégie. 2. Une "Nouvelle stratégie" est ajoutée à la liste et son nom est mis en surbrillance. Saisissez un nouveau nom pour la stratégie. 3. Cliquez deux fois sur la nouvelle stratégie. Saisissez les paramètres de votre choix. 28

29 Pour plus d'instructions sur la manière de configurer différentes stratégies, reportez-vous aux rubriques suivantes : Comment modifier les paramètres antivirus et HIPS? Comment modifier les paramètres de contrôle des applications? Comment modifier les paramètres du pare-feu? Comment mettre à jour les ordinateurs? Vous avez créé une stratégie qui peut à présent être appliquée aux groupes. Application d'une stratégie Pour appliquer une stratégie à un groupe, procédez comme suit : 1. Dans le volet Stratégies, sélectionnez la stratégie. 2. Cliquez sur la stratégie et faites la glisser sur le groupe sur lequel vous désirez appliquer la stratégie. Lorsque vous y êtes invité, confirmez que vous désirez continuer. Autrement, vous pouvez cliquer avec le bouton droit de la souris sur un groupe et sélectionnez Voir les stratégies de ce groupe. Vous pouvez ensuite sélectionner les stratégies pour ce groupe depuis les menus déroulants. Modification d'une stratégie Pour modifier la stratégie d'un groupe ou de groupes d'ordinateurs, procédez de lamanière suivante : 1. Dans le volet Stratégies, cliquez deux fois sur la stratégie que vous désirez modifier. 2. Modifiez les paramètres. Pour plus d'instructions sur la manière de configurer différentes stratégies, reportez-vous aux rubriques suivantes : Comment modifier les paramètres antivirus et HIPS? Comment modifier les paramètres de contrôle des applications? Comment modifier les paramètres du pare-feu? Comment modifier les paramètres NAC? Comment mettre à jour les ordinateurs? 29

30 Attribution d'un nouveau nom à une stratégie Pour renommer une stratégie, procédez comme suit : Il est impossible de renommer une stratégie "Par défaut". 1. Dans le volet Stratégies, sélectionnez la stratégie que vous désirez renommer. 2. Cliquez dessus avec le bouton droit de la souris et sélectionnez Renommer une stratégie. Suppression d'une stratégie Pour supprimer une stratégie, procédez comme suit : Il est impossible de supprimer une stratégie "Par défaut". 1. Dans le volet Stratégies, cliquez avec le bouton droit de la souris sur la stratégie que vous désirez supprimer et sélectionnez Supprimer une stratégie. 2. Tout groupe utilisant la stratégie supprimée passera de nouveau à l'utilisation de la stratégie par défaut. Affichage des groupes utilisant une stratégie Pour voir à quels groupes a été appliquée une stratégie spécifique, procédez comme suit : 1. Sur le volet Stratégies, cliquez avec le bouton droit de la souris sur la stratégie et sélectionnez Voir les groupes utilisant la stratégie. 2. Une liste des groupes qui utilisent la stratégie apparaît. Vérification de l'utilisation de la stratégie de groupe par les ordinateurs Vous pouvez vérifier si tous les ordinateurs d'un groupe sont conformes aux stratégies antivirus et HIPS, de mise à jour, de parefeu et de contrôle des applications de ce groupe. 1. Sélectionnez le groupe que vous désirez vérifier. 30

31 2. Sur la page Etat, vous pouvez vérifier l'état de chaque stratégie, par exemple Stratégie antivirus et HIPS. Si l'ordinateur n'utilise pas la même stratégie que le reste du groupe, vous pouvez voir un signal d'avertissement accompagné des mots "Diffère de la stratégie". Si vous souhaitez que vos ordinateurs soient en conformité avec leurs stratégies de groupe, reportez-vous à la rubrique Application de la stratégie de groupe par les ordinateurs. Application de la stratégie de groupe par les ordinateurs Si vous découvrez qu'un ou plusieurs ordinateurs ne sont pas conformes aux stratégies antivirus et HIPS, de mise à jour, de parefeu ou de contrôle des application de leur groupe, vous pouvez appliquer la stratégie de groupe à ce ou ces ordinateurs. 1. Sélectionnez le ou les ordinateurs non conformes à la stratégie de groupe. 2. Cliquez avec le bouton droit de la souris et sélectionnez Appliquer. Puis, sélectionnez le type de stratégie approprié, par exemple, Stratégie antivirus et HIPS du groupe. 6 Comment ajouter des ordinateurs dans la console? Vous pouvez utiliser la fonction "Rechercher de nouveaux ordinateurs" et choisir parmi les différentes options qui vous permettront de retrouver les ordinateurs en réseau et de les ajouter à l'enterprise Console. Si vous utilisez Active Directory, vous pouvez importer votre structure de groupe Active Directory ainsi que les ordinateurs. Si vous choisissez d'ajouter uniquement les ordinateurs, ceux-ci seront placés dans le dossier Non affectés du volet Groupes. Avant de pouvoir protéger et gérer les ordinateurs, vous devez créer des groupes, définir des stratégies de groupe et placer les ordinateurs dans les groupes. Utilisez une des options suivantes pour rechercher les ordinateurs en 31

32 réseau et les répertorier dans l'enterprise Console : Importation depuis Active Directory Recherche avec Active Directory Recherche sur le réseau Recherche par plage IP Importation depuis un fichier Importation de groupes depuis Active Directory La fonction d'importation de groupes depuis Active Directory récupère la structure du groupe Active Directory et la copie dans l'enterprise Console. Vous pouvez uniquement importer la structure du groupe ou les groupes et les ordinateurs. Si vous optez pour la dernière solution, les ordinateurs retrouvés dans Active Directory sont placés dans leurs groupes respectifs et pas dans le dossier Non affectés. Vous pouvez avoir à la fois des groupes "normaux" que vous créez et gérez vous-même et des groupes importés depuis Active Directory. Vous pouvez aussi synchroniser les groupes importés avec Active Directory. Pour importer des groupes depuis Active Directory : 1. Dans la barre d'outils, cliquez sur l'icône Rechercher de nouveaux ordinateurs. 2. Dans la boîte de dialogue Rechercher de nouveaux ordinateurs, sélectionnez Importation depuis Active Directory et cliquez sur OK. L'Assistant d'importation depuis Active Directory se lance. Sinon, sélectionnez un groupe dans lequel vous voulez importer votre ou vos conteneur(s) Active Directory, cliquez avec le bouton droit de la souris et sélectionnez Importer depuis Active Directory. Vous pouvez aussi sélectionner Importer depuis Active Directory dans le menu Groupes. 3. Dans la page Aperçu de l'assistant, cliquez sur Suivant. 4. Sur la page Sélection du groupe Enterprise Console, sélectionnez ou créez un groupe Enterprise Console dans lequel vous souhaitez effectuer l'importation. Cliquez sur Suivant. 5. Sur la page Sélection d'un conteneur Active Directory, 32

33 sélectionnez un conteneur Active Directory depuis lequel vous souhaitez importer les ordinateurs et les sous-groupes. Saisissez le nom du conteneur (par exemple, LDAP:// CN=Ordinateurs,DC=nom_domaine,DC=local) ou cliquez sur Parcourir pour naviguer jusqu'au conteneur dans Active Directory. Cliquez sur Suivant. 6. Sur la page Sélection de ce que vous voulez importer, sélectionnez Ordinateurs et groupes ou Groupes seulement selon ce que vous souhaitez importer. 7. Sur la page Confirmation de vos choix, vérifiez les détails saisis et cliquez sur Suivant pour continuer. 8. Sur la dernière page de l'assistant apparaissent les détails des groupes et ordinateurs qui ont été importés. Pour fermer l'assistant, cliquez sur Terminer. 9. Dès que vous avez importé les groupes depuis Active Directory, appliquez les stratégies aux groupes. Reportez-vous à la rubrique Comment créer et utiliser des stratégies? Dès que vous avez importé les groupes depuis Active Directory et appliqué les stratégies de groupe aux groupes, vous avez la possibilité de synchroniser les groupes avec Active Directory. Pour de plus amples instructions, reportez-vous à la rubrique Synchronisation avec Active Directory. Recherche d'ordinateurs en utilisant Active Directory Vous pouvez utiliser Active Directory pour rechercher les ordinateurs en réseau et les répertorier dans le dossier Non affectés. 1. Dans la barre d'outils, cliquez sur l'icône Rechercher de nouveaux ordinateurs. 2. Dans la boîte de dialogue Recherche de nouveaux ordinateurs, sélectionnez Recherche avec Active Directory et cliquez sur OK. 3. Vous êtes invité à saisir un nom utilisateur et un mot de passe. Procédez de cette manière si vous avez des ordinateurs (Windows XP Service Pack 2 par exemple) dont l'accès est impossible sans les détails de compte. Le compte doit être un compte d'administrateur de domaine ou doit avoir des droits administratifs complets sur les machines XP cibles. 33

34 Si vous utilisez un compte de domaine, vous devez saisir le nom utilisateur au format domaine\utilisateur. 4. Dans la boîte de dialogue Recherche des ordinateurs, sélectionnez les domaines dans lesquels vous souhaitez effectuer la recherche. Cliquez sur OK. 5. Cliquez sur le dossier Non affectés pour visualiser les ordinateurs qui n'ont pas été trouvés. Pour gérer les ordinateurs, sélectionnez-les et glissez-les jusque dans un groupe. Recherche d'ordinateurs sur le réseau Pour ajouter une liste d'ordinateurs trouvés dans les domaines et les groupes de travail Windows dans le dossier Non affectés : 1. Dans la barre d'outils, cliquez sur l'icône Rechercher de nouveaux ordinateurs. 2. Dans la boîte de dialogue Recherche de nouveaux ordinateurs, sélectionnez Recherche sur le réseau et cliquez sur OK. 3. Vous êtes invité à saisir un nom utilisateur et un mot de passe. Procédez de cette manière si vous avez des ordinateurs (Windows XP Service Pack 2 par exemple) dont l'accès est impossible sans les détails de compte. Le compte doit être un compte d'administrateur de domaine ou doit avoir des droits administratifs complets sur les machines XP cibles. Si vous utilisez un compte de domaine, vous devez saisir le nom utilisateur au format domaine\utilisateur. 4. Dans la boîte de dialogue Recherche des ordinateurs, sélectionnez les domaines ou groupes de travail dans lesquels vous souhaitez rechercher. Cliquez sur OK. 5. Cliquez sur le dossier Non affectés pour visualiser les ordinateurs qui n'ont pas été trouvés. Pour gérer les ordinateurs, sélectionnez-les et glissez-les jusque dans un groupe. Recherche d'ordinateurs en utilisant une plage IP Vous pouvez utiliser une plage d'adresses IP pour rechercher les 34

35 ordinateurs en réseau et les répertorier dans le dossier Non affectés. Vous ne pouvez pas utiliser les adresses IPV6. 1. Dans la barre d'outils, cliquez sur l'icône Rechercher de nouveaux ordinateurs. 2. Dans la boîte de dialogue Recherche de nouveaux ordinateurs, sélectionnez Recherche par plage IP et cliquez sur OK. 3. Dans la boîte de dialogue Recherche d'ordinateurs, saisissez le Début de plage IP et la Fin de plage IP. Cliquez sur OK. 4. Cliquez sur le dossier Non affectés pour visualiser les ordinateurs qui n'ont pas été trouvés. Pour gérer les ordinateurs, sélectionnez-les et glissez-les jusque dans un groupe. Importation d'ordinateurs depuis un fichier Pour que l'enterprise Console puisse répertorier vos ordinateurs, vous pouvez importer les noms des ordinateurs depuis un fichier. Le fichier contenant les noms des ordinateurs doit impérativement être l'un des suivants : un fichier utilisant les conventions répertoriées ci-dessous. un fichier SGR exporté depuis Sophos SAVAdmin. Vous pouvez créer un fichier en utilisant des entrées semblables à celles-ci : [NomGroupe1] Domaine1 Windows2000 NomOrdinateur1 Domaine1 Windows2000Serveur NomOrdinateur2 Il n'est pas nécessaire de spécifier dans quel groupe seront placés les ordinateurs. Si vous saisissez [] pour le nom du groupe, les ordinateurs seront placés dans le dossier Non affectés. Les systèmes d'exploitation valides sont : Windows95, Windows98, Windows9x, WindowsMe, WindowsNT, WindowsNTServer, Windows2000, Windows2000Server, WindowsXP, Windows2003, WindowsVista, Windows Server 2008, MACOS9, MACOSX, Linux et Unix. Le nom de domaine et le système d'exploitation sont tous deux 35

36 optionnels. Ainsi, une entrée peut apparaître sous la forme suivante : [NomGroupe1] NomOrdinateur1 Pour importer les noms des ordinateurs, procédez comme suit : 1. Dans le menu Fichier, cliquez sur Importer les ordinateurs depuis un fichier. 2. Dans la fenêtre du navigateur, sélectionnez le fichier. 3. Cliquez sur le dossier Non affectés pour visualiser les ordinateurs qui n'ont pas été trouvés. 4. Pour gérer les ordinateurs, sélectionnez-les et glissez-les jusque dans un groupe. 7 Comment puis-je me synchroniser avec Active Directory? Cette section décrit comment synchroniser les groupes de l'enterprise Console avec les conteneurs Active Directory. A propos de la synchronisation avec Active Directory Qu'est-ce qu'un point de synchronisation? Qu'est-ce qu'un groupe synchronisé? Synchronisation avec Active Directory Protection automatique des ordinateurs Consultation et modification des propriétés de synchronisation Activation ou désactivation de la synchronisation A propos de la synchronisation avec Active Directory Que m'apporte la synchronisation avec Active Directory? Grâce à la synchronisation avec Active Directory, vous pouvez synchroniser les groupes Enterprise Console avec les conteneurs Active Directory. Les nouveaux ordinateurs et groupes trouvés dans Active Directory seront copiés automatiquement dans l'enterprise Console. Vous pouvez aussi choisir de protéger automatiquement les postes de travail Windows 2000 ou supérieur trouvés. De cette 36

37 manière, vous réduisez au minimum le temps au cours duquel vos ordinateurs pourraient être infectés ainsi que le temps de travail que vous consacrez à l'organisation et à la protection des ordinateurs. Les ordinateurs exécutant Windows 95/98/Me, des systèmes d'exploitation serveur Windows, Mac, Linux ou UNIX ne seront pas protégés automatiquement. Protégez ces ordinateurs manuellement. Suite à la configuration de la synchronisation, vous pouvez configurer l'envoi des alertes par courriel aux destinataires de votre choix pour les informer des nouveaux ordinateurs et groupes trouvés au cours des prochaines synchronisations. Si vous optez pour une protection automatique des ordinateurs dans les groupes synchronisés, vous pouvez aussi définir l'envoi d'alertes informant des échecs de la protection automatique. Comment fonctionne la synchronisation avec Active Directory? Dans l'enterprise Console, vous pouvez avoir des groupes "normaux" et non synchronisés que vous gérez vous-même ainsi que des groupes synchronisés avec Active Directory. Lors de la configuration de la synchronisation, vous sélectionnez ou créez un point de synchronisation, un groupe Enterprise Console qui sera synchronisé avec un conteneur Active Directory. Tous les sous-groupes et les ordinateurs présents dans le conteneur Active Directory seront copiés dans l'enterprise Console et maintenus synchronisés avec Active Directory. Pour en savoir plus sur les points de synchronisation, reportezvous à la rubrique Qu'est-ce qu'un point de synchronisation? Pour en savoir plus sur les groupes synchronisés, reportez-vous à la rubrique Qu'est-ce qu'un groupe synchronisé? Suite à la configuration de la synchronisation avec Active Directory, la partie synchronisée de la structure du groupe Enterprise Console correspond exactement au conteneur Active Directory avec lequel elle est synchronisée. C'est-à-dire : Si un nouvel ordinateur est ajouté au conteneur Active Directory, il apparaît également dans l'enterprise Console. Si un ordinateur est supprimé d'active Directory ou déplacé dans un conteneur non synchronisé, alors cet ordinateur est 37

38 aussi déplacé dans le dossier Non affectés dans l'enterprise Console. Lorsqu'un ordinateur est déplacé dans le dossier Non affectés, il ne reçoit plus les nouvelles stratégies. Si un ordinateur est déplacé d'un conteneur synchronisé vers un autre, alors cet ordinateur est aussi déplacé d'un groupe Enterprise Console vers un autre. Si un ordinateur existe déjà dans un groupe Enterprise Console lorsqu'il est synchronisé pour la première fois, alors il est aussi déplacé de ce groupe vers le groupe synchronisé qui correspond à son emplacement dans Active Directory. Lorsqu'un ordinateur est déplacé dans un nouveau groupe avec des stratégies différentes, alors les nouvelles stratégies sont envoyées à cet ordinateur. Par défaut, la synchronisation a lieu toutes les 60 minutes. Vous pouvez modifier l'intervalle de synchronisation si vous le souhaitez. Comment planifier la synchronisation? Vous décidez des groupes à synchroniser avec Active Directory et du nombre de points de synchronisation à configurer. Vous décidez si la taille des groupes qui vont être créés suite à la synchronisation est gérable. Vous devriez être en mesure de pouvoir facilement déployer les logiciels et de contrôler et nettoyer les ordinateurs. Ceci est tout particulièrement important lors du déploiement initial. La procédure recommandée est la suivante : 1. Importez la structure du groupe (sans les ordinateurs) en utilisant la fonction Importation depuis Active Directory. Pour de plus amples instructions, reportez-vous à la rubrique Importation de groupes depuis Active Directory. 2. Vérifiez la structure du groupe importé et choisissez vos points de synchronisation. 3. Configurez les stratégies de groupe et appliquez-les aux groupes et aux sous-groupes. Pour de plus amples instructions, reportez-vous à la rubrique Comment créer et utiliser des stratégies? 4. Synchronisez les points de synchronisation de votre choix, (l'un après l'autre) avec Active Directory. Pour de plus amples instructions, reportez-vous à la rubrique Synchronisation avec Active Directory. 38

39 Qu'est-ce qu'un point de synchronisation? Un point de synchronisation est un groupe Enterprise Console qui dirige vers un conteneur (ou une sous-arborescence) dans Active Directory. Un point de synchronisation peut contenir des groupes synchronisés importés depuis Active Directory. Dans le volet Groupes, un point de synchronisation apparaît comme suit : Vous pouvez déplacer, renommer ou supprimer un point de synchronisation. Vous pouvez aussi modifier les paramètres des stratégies et de la synchronisation, y compris les paramètres de la protection automatique, pour un point de synchronisation. Vous ne pouvez pas créer ou supprimer de sous-groupes dans un point de synchronisation ou y déplacer d'autres groupes. Vous ne pouvez pas déplacer des ordinateurs dans ou depuis un point de synchronisation. Qu'est-ce qu'un groupe synchronisé? Un groupe synchronisé est un sous-groupe d'un point de synchronisation importé depuis Active Directory. Dans le volet Groupes, un groupe synchronisé apparaît comme suit : Vous pouvez modifier les stratégies affectées à un groupe synchronisé. Vous ne pouvez pas modifier d'autres paramètres d'un groupe synchronisé que ceux concernant les stratégies de groupe. Vous ne pouvez pas, renommer, déplacer ou supprimer un groupe synchronisé. Vous ne pouvez pas déplacer des ordinateurs ou des groupes dans ou depuis le groupe. Vous ne pouvez pas créer ou supprimer de sous-groupes dans le groupe. Vous ne pouvez pas modifier les paramètres de synchronisation du groupe. 39

40 Synchronisation avec Active Directory Pour synchroniser avec Active Directory : 1. Sélectionnez un groupe qui va devenir votre point de synchronisation, cliquez avec le bouton droit de la souris et sélectionnez Synchroniser avec Active directory. L'assistant de Synchronisation avec Active Directory se lance. 2. Dans la page Aperçu de l'assistant, cliquez sur Suivant. 3. Sur la page Sélection du groupe Enterprise Console, sélectionnez ou créez un groupe Enterprise Console dont vous souhaitez qu'il reste synchronisé avec Active Directory (point de synchronisation). Cliquez sur Suivant. 4. Sur la page Sélection d'un conteneur Active Directory, sélectionnez un conteneur Active Directory que vous souhaitez synchroniser avec le groupe. Saisissez le nom du conteneur (par exemple, LDAP://CN=Ordinateurs,DC=nom_domaine, DC=local) ou cliquez sur Parcourir pour naviguer jusqu'au conteneur dans Active Directory. Cliquez sur Suivant. 5. Si vous désirez assurer la protection automatique des postes de travail Windows 2000 ou supérieur, sur la page Protection automatique des ordinateurs, sélectionnez le logiciel que vous souhaitez installer. Conservez la case Supprimer les logiciels de sécurité tiers sélectionnée si vous souhaitez que le logiciel d'un autre éditeur soit supprimé automatiquement. Si vous avez besoin de supprimer l'outil de mise à jour d'un autre éditeur, reportez-vous à la section Suppression des logiciels de sécurité tiers. Vous ne pouvez pas installer le pare-feu sur des ordinateurs fonctionnant sous des systèmes d'exploitation de type serveur. Avant d'installer Sophos NAC sur les ordinateurs, cliquez sur le lien pour définir l'url du serveur NAC. Tous les postes de travail Windows 2000 ou supérieur découverts au cours de cette synchronisation et de celles à venir seront automatiquement protégés conformément à leurs stratégies de groupe respectives. 40

41 Les ordinateurs exécutant Windows 95/98/Me, des systèmes d'exploitation serveur Windows, Mac OS, Linux ou UNIX ne seront pas protégés automatiquement. Protégez ces ordinateurs manuellement comme décrit à la rubrique Protection des ordinateurs nécessitant une installation manuelle. Vous avez la possibilité d'activer ou de désactiver la protection automatique ultérieurement comme décrit à la rubrique Consultation et modification des propriétés de synchronisation. Cliquez sur Suivant. 6. Si vous avez choisi d'assurer la protection automatique de vos ordinateurs, sur la page Saisie des codes d'accès Active Directory, saisissez les détails d'un compte administrateur qui sera utilisé pour installer les logiciels sur les ordinateurs. Cliquez sur Suivant. 7. Sur la page Sélection de l'intervalle de synchronisation, choisissez la fréquence à laquelle vous souhaitez synchroniser le groupe Enterprise Console avec le conteneur Active Directory. La valeur par défaut est 60 minutes. Vous avez la possibilité de modifier l'intervalle de synchronisation ultérieurement comme décrit à la rubrique Consultation et modification des propriétés de synchronisation. 8. Sur la page Confirmation de vos choix, vérifiez les détails saisis et cliquez sur Suivant pour continuer. 9. Sur la dernière page de l'assistant apparaissent les détails des groupes et ordinateurs qui ont été synchronisés. Vous pouvez aussi définir l'envoi des alertes par courriel aux destinataires de votre choix pour les informer des nouveaux ordinateurs et groupes découverts au cours des prochaines synchronisations. Si vous avez opté pour une protection automatique des ordinateurs dans les groupes synchronisés, vous pouvez aussi définir l'envoi d'alertes informant des échecs de la protection automatique. Pour ouvrir la boîte de dialogue Configuration des alertes par courriel après avoir cliqué sur Terminer, cochez la case se trouvant sur la dernière page de l'assistant. Pour plus d'instructions, reportez-vous à la rubrique Configuration des alertes par courriel Active Directory. 41

42 Pour fermer l'assistant, cliquez sur Terminer. Protection automatique des ordinateurs Seuls les postes de travail exécutant Windows 2000 ou supérieur sont protégés automatiquement lorsqu'ils sont découverts lors de la synchronisation avec Active Directory. Les ordinateurs exécutant Windows 95/98/Me, des systèmes d'exploitation serveur Windows, Mac OS, Linux ou UNIX ne seront pas protégés automatiquement. Protégez ces ordinateurs manuellement comme décrit à la rubrique Protection des ordinateurs nécessitant une installation manuelle. Vous pouvez protéger automatiquement les ordinateurs au sein de groupes synchronisés en lançant l'assistant de Synchronisation avec Active Directory ou en modifiant les propriétés dans la boîte de dialogue Propriétés de synchronisation. Vous ne pouvez pas installer le pare-feu sur des ordinateurs fonctionnant sous des systèmes d'exploitation de type serveur. Avant d'installer Sophos NAC sur les ordinateurs, cliquez sur le lien pour définir l'url du serveur NAC. Activation de la protection automatique dans l'assistant de synchronisation avec Active Directory 1. Sur la page Protection automatique des ordinateurs, sélectionnez le logiciel que vous souhaitez installer. Conservez la case Supprimer les logiciels de sécurité tiers sélectionnée si vous souhaitez que le logiciel d'un autre éditeur soit supprimé automatiquement. Si vous avez besoin de supprimer l'outil de mise à jour d'un autre éditeur, reportez-vous à la section Suppression des logiciels de sécurité tiers. 2. Sur la page Saisie des codes d'accès Active Directory de l'assistant, saisissez le nom utilisateur et le mot de passe d'un compte administrateur qui sera utilisé pour installer les logiciels sur les ordinateurs. Cliquez sur Suivant et fermez l'assistant. 42

43 Activation de la protection automatique dans la boîte de dialogue Propriétés de synchronisation 1. Dans le volet Groupes, sélectionnez le groupe (point de synchronisation) sur lequel vous souhaitez activer la protection automatique. Cliquez avec le bouton droit de la souris sur le groupe et sélectionnez Propriétés de synchronisation. 2. Dans la boîte de dialogue Propriétés de synchronisation, sélectionnez le logiciel que vous souhaitez installer. Conservez la case Supprimer les logiciels de sécurité tiers sélectionnée si vous souhaitez que le logiciel d'un autre éditeur soit supprimé automatiquement. 3. Saisissez le nom utilisateur et le mot de passe d'un compte administrateur qui sera utilisé pour installer les logiciels sur les ordinateurs. Cliquez sur OK. Désactivation de la protection automatique Si vous désirez désactiver la protection automatique ultérieurement, dans la boîte de dialogue Propriétés de synchronisation, dessélectionnez la case Installer Sophos Anti-Virus automatiquement. Consultation et modification des propriétés de synchronisation 1. Dans le volet Groupes, sélectionnez le groupe (point de synchronisation) sur lequel vous souhaitez modifier les propriétés de synchronisation. Cliquez avec le bouton droit de la souris sur le groupe et sélectionnez Propriétés de synchronisation. 2. Dans la boîte de dialogue Propriétés de synchronisation, paramétrez les options comme décrit ci-dessous. Conteneur Active Directory Ce champ affiche un conteneur Active Directory avec lequel le groupe est synchronisé. Ce champ n'est pas modifiable. Vous ne pouvez pas modifier le 43

44 conteneur depuis la boîte de dialogue Propriétés de la synchronisation. Si vous désirez synchroniser le groupe avec un conteneur Active Directory différent, supprimez la synchronisation et exécutez de nouveau l'assistant de Synchronisation avec Active Directory. Intervalle de synchronisation Par défaut, la synchronisation a lieu toutes les 60 minutes. Vous pouvez modifier l'intervalle de synchronisation. L'intervalle de synchronisation minimum est de 5 minutes. Protection automatique Sélectionnez la case Installer Sophos Anti-Virus automatiquement si vous souhaitez protéger automatiquement tous les nouveaux postes de travail Windows 2000 ou supérieur trouvés, conformément à leurs stratégies de groupe respectives. Si vous souhaitez installer le pare-feu ou le contrôle d'accès réseau avec le logiciel antivirus, sélectionnez Installer Sophos Client Firewall automatiquement ou Installer Sophos Network Access Control automatiquement. Avant d'installer Sophos NAC sur les ordinateurs, cliquez sur le lien pour définir l'url du serveur NAC. Seuls les postes de travail Windows 2000 ou supérieur seront protégés automatiquement. Les ordinateurs exécutant Windows 95/98/Me, des systèmes d'exploitation serveur Windows, Mac OS, Linux ou UNIX ne seront pas protégés automatiquement. Protégez ces ordinateurs manuellement comme décrit à la rubrique Protection des ordinateurs nécessitant une installation manuelle. Dans le champ Nom utilisateur, saisissez le nom utilisateur d'un compte administrateur qui sera utilisé pour installer les logiciels sur les ordinateurs. Dans le champ Mot de passe, saisissez le mot de passe d'un compte administrateur qui sera utilisé pour installer les logiciels sur les ordinateurs. 44

45 Activation ou désactivation de la synchronisation Pour activer la synchronisation, exécutez l'assistant de synchronisation avec Active Directory comme décrit à la rubrique Synchronisation avec Active Directory. Pour désactiver la synchronisation, sélectionnez le groupe (point de synchronisation) que vous ne souhaitez plus synchroniser avec Active Directory, cliquez avec le bouton droit de la souris et sélectionnez Supprimer la synchronisation. Cliquez sur Oui pour confirmer. 8 Comment protéger les nouveaux ordinateurs? Cette section décrit comment installer Sophos Anti-Virus, Sophos Client Firewall et Sophos Network Access Control sur les ordinateurs en réseau. Protection des nouveaux ordinateurs Protection des nouveaux types d'ordinateurs Protection des ordinateurs appartenant déjà à un groupe Protection des ordinateurs nécessitant une installation manuelle Protection des ordinateurs avec un script de connexion Protection des ordinateurs Windows 95/98/Me avec un script de connexion Ajout du pare-feu aux ordinateurs protégés Sélection des packages logiciels Répertoires de mise à jour par défaut Suppression des logiciels de sécurité tiers Protection des nouveaux ordinateurs Il est possible de protéger les nouveaux ordinateurs Windows automatiquement depuis la console. Les instructions suivantes supposent que vous avez déjà créé des 45

46 groupes et leur avez appliqué une stratégie de mise à jour. L'installation automatique n'est pas possible sur les ordinateurs Windows 95/98/Me, Mac, Linux et UNIX. Utilisez plutôt l' installation manuelle. Si vous souhaitez protéger automatiquement les ordinateurs Windows XP depuis la console, assurez-vous que le "Partage de fichiers simple" est désactivé. Pour une liste complète des configurations requises pour les logiciels antivirus et pare-feu, consultez le Guide de démarrage réseau de Sophos Endpoint Security and Control. Pour une liste des configurations requises pour Sophos NAC, consultez le Guide d'installation de Sophos NAC. Si vous optez pour la synchronisation avec Active Directory et la protection automatique des ordinateurs, il n'est pas nécessaire de suivre les étapes ci-dessous. Voir la rubrique Comment puisje me synchroniser avec Active Directory? pour de plus amples détails. 1. Dans la barre d'outils, cliquez sur l'icône Rechercher de nouveaux ordinateurs. Dans la boîte de dialogue Recherche de nouveaux ordinateurs, spécifiez comment vous souhaitez rechercher les ordinateurs. Selon ce que vous choisissez, l'enterprise Console crée une structure de groupe qui reflète un conteneur Active Directory ou elle place les nouveaux ordinateurs dans le dossier Non affectés. (Voir la rubrique Comment ajouter des ordinateurs dans la console? pour de plus amples détails.) 2. Si vous avez des ordinateurs dans le dossier Non affectés, faites glisser le ou les ordinateurs dans un groupe. Si vous avez importé des groupes et des ordinateurs depuis Active Directory, sélectionnez les ordinateurs que vous souhaitez protéger, cliquez dessus avec le bouton droit de la souris et sélectionnez Protéger les ordinateurs. L'Assistant de protection des ordinateurs se lance. 3. Sur la page de Bienvenue de l'assistant, cliquez sur Suivant. 4. Sur la page Sélection des logiciels de sécurité, sélectionnez le logiciel que vous désirez. Conservez la case Supprimer les logiciels de sécurité tiers sélectionnée si vous souhaitez que le logiciel d'un autre éditeur soit supprimé automatiquement. 46

47 Si vous avez besoin de supprimer l'outil de mise à jour d'un autre éditeur, reportez-vous à la section Suppression des logiciels de sécurité tiers. La suppression des logiciels de sécurité tiers consiste à désinstaller uniquement les produits ayant les mêmes fonctionnalités que ceux que vous installez. Sophos Client Firewall et Sophos NAC sont uniquement disponibles s'ils sont inclus dans votre licence et uniquement pour Windows 2000 ou supérieur. Vous ne pouvez pas installer le pare-feu sur des ordinateurs fonctionnant sous des systèmes d'exploitation de type serveur. Avant d'installer Sophos NAC sur les ordinateurs, cliquez sur le lien pour définir l'url du serveur NAC. Si Sophos NAC est installé sur plusieurs serveurs, utilisez l'url de l'ordinateur exécutant l'application et non celle de l'ordinateur sur lequel se trouve la base de données. Cliquez sur Suivant. 5. Sur la page Récapitulatif de la protection, tout problème rencontré avec l'installation figure dans la colonne Problèmes de protection. Reportez-vous à la section Résolution des problèmes ou procédez à une installation manuelle de ces ordinateurs. Cliquez sur Suivant. 6. Sur la page Codes d'accès, saisissez les détails d'un compte qui peut être utilisé pour installer le logiciel. Généralement, ce compte est un compte d'administrateur de domaine. Il doit impérativement : posséder les droits administrateur sur les ordinateurs que vous souhaitez protéger pouvoir se connecter à l'ordinateur sur lequel vous avez installé le serveur d'administration avoir un accès en lecture à l'emplacement Serveur principal spécifié dans la stratégie de Mise à jour. Si vous utilisez un compte de domaine, vous devez saisir le nom utilisateur au format domaine\utilisateur. 47

48 Protection des nouveaux types d'ordinateurs Si vous ajoutez sur le réseau des ordinateurs utilisant un système d'exploitation dont vous n'avez pas assuré la protection auparavant, suivez les étapes ci-dessous : Sophos considère les ordinateurs Windows 2000 et supérieur comme un seul type d'ordinateur et les ordinateurs Windows 95, 98 et Me comme un autre type. Si les ordinateurs Windows 2000 sont déjà protégés sur votre réseau et que vous y ajoutez des ordinateurs Windows 2003, utilisez les étapes habituelles pour protéger de nouveaux ordinateurs. 1. Si vous ne l'avez pas déjà fait, utilisez EM Library pour sélectionner et télécharger le package logiciel pour le nouveau système d'exploitation. Pour plus d'instructions, reportez-vous à la rubrique Sélection des packages logiciels. 2. Dans l'enterprise Console, recherchez les nouveaux ordinateurs sur le réseau et placez-les dans le dossier Non affectés. 3. Cliquez avec le bouton droit de la souris sur le groupe dans lequel vous allez placer les nouveaux ordinateurs et sélectionnez Voir les stratégies de ce groupe. Notez la stratégie de mise à jour utilisée. 4. Dans le volet Stratégies, cliquez deux fois sur la stratégie de mise à jour. 5. Sélectionnez le nouveau système d'exploitation. Cliquez sur Configurer. 6. Dan la boîte de dialogue Définir la stratégie de mise à jour, sur l'onglet Serveur principal, saisissez les détails du dossier à partir duquel les ordinateurs vont être mis à jour. Saisissez le nom d'utilisateur et le mot de passe. Cliquez sur OK. Cliquez de nouveau sur OK. 7. Faites glisser les nouveaux ordinateurs dans le groupe. Un assistant se lance pour vous aider à protéger les ordinateurs. 8. Sur la page de Bienvenue de l'assistant, cliquez sur Suivant. 9. Sur la page Sélection des logiciels de sécurité, sélectionnez le logiciel que vous désirez. Conservez la case Supprimer les logiciels de sécurité tiers sélectionnée si vous souhaitez que le logiciel d'un autre éditeur soit supprimé automatiquement. Si vous avez besoin de supprimer l'outil de mise à jour d'un autre éditeur, reportez-vous à la section Suppression des 48

49 logiciels de sécurité tiers. Sophos Client Firewall et Sophos NAC sont uniquement disponibles s'ils sont inclus dans votre licence et uniquement pour Windows 2000 ou supérieur. Vous ne pouvez pas installer le pare-feu sur des ordinateurs fonctionnant sous des systèmes d'exploitation de type serveur. Avant d'installer Sophos NAC sur les ordinateurs, cliquez sur le lien pour définir l'url du serveur NAC. Cliquez sur Suivant. 10.Sur la page Récapitulatif de la protection, tout problème rencontré avec l'installation figure dans la colonne Problèmes de protection. Reportez-vous à la section Résolution des problèmes ou procédez à une installation manuelle de ces ordinateurs. Cliquez sur Suivant. 11.Sur la page Codes d'accès, saisissez les détails d'un compte qui peut être utilisé pour installer le logiciel. Généralement, ce compte est un compte d'administrateur de domaine. Il doit impérativement : posséder les droits administrateur sur les ordinateurs que vous souhaitez protéger pouvoir se connecter à l'ordinateur sur lequel vous avez installé le serveur d'administration avoir un accès en lecture à l'emplacement Serveur principal spécifié dans la stratégie de Mise à jour. Si vous utilisez un compte de domaine, vous devez saisir le nom utilisateur au format domaine\utilisateur. 12.Répétez les étapes 3 à 11 pour tout autre groupe dans lequel vous souhaitez placer de nouveaux ordinateurs. Protection des ordinateurs appartenant déjà à un groupe Si vous avez placé des ordinateurs dans un groupe d'utilisateurs définis et que vous ne les avez pas encore protégé, vous pouvez le faire de manière automatique comme suit : Ces instructions supposent que vous ayez déjà appliqué une stratégie de mise à jour au groupe. 49

50 L'installation automatique n'est pas possible sur les ordinateurs Windows 95/98/Me. Utilisez plutôt l'installation manuelle. 1. Sélectionnez le ou les ordinateurs. Cliquez avec le bouton droit de la souris et sélectionnez Protéger les ordinateurs. L' Assistant de protection des ordinateurs se lance. 2. Sur la page de Bienvenue de l'assistant, cliquez sur Suivant. 3. Sur la page Sélection des logiciels de sécurité, sélectionnez le logiciel que vous désirez. Conservez la case Supprimer les logiciels de sécurité tiers sélectionnée si vous souhaitez que le logiciel d'un autre éditeur soit supprimé automatiquement. Si vous avez besoin de supprimer l'outil de mise à jour d'un autre éditeur, reportez-vous à la section Suppression des logiciels de sécurité tiers. Sophos Client Firewall et Sophos NAC sont uniquement disponibles s'ils sont inclus dans votre licence et uniquement pour Windows 2000 ou supérieur. Vous ne pouvez pas installer le pare-feu sur des ordinateurs fonctionnant sous des systèmes d'exploitation de type serveur. Avant d'installer Sophos NAC sur les ordinateurs, cliquez sur le lien pour définir l'url du serveur NAC. Cliquez sur Suivant. 4. Sur la page Récapitulatif de la protection, tout problème rencontré avec l'installation figure dans la colonne Problèmes de protection. Reportez-vous à la section Résolution des problèmes ou procédez à une installation manuelle de ces ordinateurs. Cliquez sur Suivant. 5. Sur la page Codes d'accès, saisissez les détails d'un compte qui peut être utilisé pour installer le logiciel. Généralement, ce compte est un compte d'administrateur de domaine. Il doit impérativement : posséder les droits administrateur sur les ordinateurs que vous souhaitez protéger pouvoir se connecter à l'ordinateur sur lequel vous avez installé le serveur d'administration avoir un accès en lecture à l'emplacement Serveur principal spécifié dans la stratégie de Mise à jour. 50

51 Si vous utilisez un compte de domaine, vous devez saisir le nom utilisateur au format domaine\utilisateur. Protection des ordinateurs nécessitant une installation manuelle Si l'enterprise Console ne parvient pas à effectuer l'installation automatique du logiciel antivirus, pare-feu ou NAC sur certains ordinateurs, effectuez l'installation manuellement. L'Enterprise Console gérera et mettra à jour ces installations ultérieurement à condition que vous ayez ajouté les ordinateurs dans un ou plusieurs groupes. Autrement, vous pouvez effectuer l'installation automatiquement à l'aide d'un script. Reportez-vous à la section Protection des ordinateurs avec un script de connexion. Si vous avez une version antérieure de Sophos Anti-Virus sur Windows 95, 98 ou Me, vous devez impérativement la désinstaller avant de procéder à l'installation de la dernière version. Pour une installation manuelle, procédez comme suit : 1. Dans l'enterprise Console, sélectionnez le ou les ordinateurs sur lequel ou lesquels vous désirez effectuer une installation manuelle. Cliquez sur l'onglet Détails mise à jour et observez la colonne Serveur principal. Le répertoire à partir duquel chaque ordinateur se mettra à jour est affiché. Autrement, si vous utilisez les répertoires par défaut, reportez-vous à la rubrique Répertoires de mise à jour par défaut pour voir une liste des répertoires. Si votre licence inclut le pare-feu, vous pouvez l'installer en même temps que le logiciel NAC et antivirus sur des ordinateurs Windows 2000 ou supérieur. Recherchez le répertoire de Sophos Endpoint Security and Control. Le nom du répertoire est SAVSCFXP. 2. Rendez-vous sur l'ordinateur et naviguez jusqu'au répertoire depuis lequel il se mettra à jour. Sur un ordinateur Windows, cliquez deux fois sur setup.exe. 51

52 Pour protéger les ordinateurs Windows 2000 ou supérieur avec le pare-feu et le logiciel antivirus, ouvrez une invite de commande et exécutez setup.exe avec le bon qualificatif : Pour installer l'antivirus uniquement, saisissez : setup.exe - sav Pour installer l'antivirus et le pare-feu, saisissez : setup.exe - scf Pour installer l'antivirus, le pare-feu et NAC (et spécifier l'emplacement du serveur), saisissez : setup.exe -scf -nac Sur un ordinateur Mac OS X, cliquez deux fois sur Sophos Anti-Virus.mpkg. Sur un ordinateur Linux ou UNIX, installez Sophos Anti-Virus à l'aide du package de distribution comme décrit dans le Guide de démarrage réseau Sophos Endpoint Security and Control. Si vous avez des ordinateurs Linux ou UNIX administrés depuis la console, assurez-vous qu'un nom d'hôte unique est configuré pour chaque ordinateur. Autrement, chaque ordinateur apparaîtra dans la console avec le nom par défaut "localhost." Protection des ordinateurs avec un script de connexion Vous pouvez protéger les ordinateurs avec le logiciel antivirus (et avec le pare-feu s'il est inclus dans votre licence) en exécutant le programme d'installation avec un script ou un programme comme Microsoft SMS. L'Enterprise Console gérera et mettra à jour ces installations ultérieurement à condition que vous ayez ajouté les ordinateurs dans un ou plusieurs groupes. La recherche du programme d'installation requis Le programme d'installation se trouve dans le répertoire dans lequel EM Library place les mises à jour Sophos. Pour vérifier de quel répertoire il s'agit, parcourez la liste des ordinateurs et recherchez le ou les ordinateurs que vous désirez protéger. Cliquez sur l'onglet Détails mise à jour et observez la colonne Serveur principal. 52

53 Autrement, si vous utilisez les répertoires par défaut, reportezvous à la rubrique Répertoires de mise à jour par défaut pour voir une liste des répertoires. La protection des ordinateurs Windows 95/98/Me Sur les ordinateurs Windows 95/98/Me, utilisez un script de connexion pour exécuter setup.exe. Pour plus d'instructions, reportez-vous à la rubrique Protection des ordinateurs Windows 95/98/Me avec un script de connexion. La protection des ordinateurs Mac OS X Pour les ordinateurs Mac OS X, utilisez Apple Remote Desktop. Allez dans le répertoire d'installation centralisée et copiez le programme d'installation sur l'ordinateur exécutant Apple Remote Desktop avant de l'utiliser. La protection des ordinateurs Windows 2000 ou supérieur Si vous souhaitez protéger les ordinateurs Windows 2000 ou supérieur avec le pare-feu et/ou le contrôle d'accès réseau, ainsi qu'avec le logiciel antivirus, vous devez : vous assurer que vous utilisez le bon programme d'installation. Il s'agit du programme d'installation de Sophos Endpoint Security and Control qui se trouve dans le répertoire nommé SAVSCFXP. exécutez le programme d'installation avec le qualificatif -scf (pour le pare-feu) et avec le qualificatif -nac pour le contrôle d'accès réseau. Protection des ordinateurs Windows 95/98/Me avec un script de connexion Pour protéger les ordinateurs Windows 95/98/Me avec un script de connexion, procédez comme suit : 1. Si vous ne savez pas déjà où il se trouve, recherchez l'emplacement du répertoire qui contient le programme d'installation. Pour cela, vérifiez quelle stratégie de mise à jour est utilisée par 53

54 les ordinateurs. Dans le volet Stratégies, cliquez deux fois sur la stratégie. Sélectionnez Windows 95/98/Me et cliquez sur Configurer. Puis, notez l'adresse qui est affichée. 2. Ajoutez au script de connexion la ligne suivante : [Chemin]\setup.exe -user [domaine\nom] -pwd [mot de passe] -login -s où [Chemin] est l'emplacement du répertoire contenant le programme d'installation (par exemple, \\Nomserveur \InterChk\ES9x), et les nom utilisateur et mot de passe sont pour un compte capable de se connecter à vos ordinateurs Windows 95/98/Me, avec un accès en lecture au partage du CID (dans cet exemple, \\Nomserveur\InterChk). Si vous avez des ordinateurs Windows 95, vous devez exécuter un utilitaire sur ceux-ci avant d'effectuer l'installation. A partir du CD-ROM Sophos Endpoint Security and Control Network Install CD, copiez le fichier Tools/Utils/w95ws2setup.exe sur votre serveur. Puis, insérez une ligne au script de connexion, avant la ligne affichée ci-dessus, pour exécuter cet utilitaire. Le compte utilisateur que vous spécifiez doit impérativement pouvoir se connecter aux ordinateurs que vous désirez protéger posséder les droits administrateur sur les ordinateurs que vous souhaitez protéger avoir un accès en lecture à l'emplacement Serveur principal spécifié dans la stratégie de Mise à jour. Si vous ne désirez pas administrer les ordinateurs avec l'enterprise Console, ajoutez le paramètre -mng no A la prochaine connexion de vos utilisateurs, leurs ordinateurs installeront le logiciel antivirus. Ajout du pare-feu aux ordinateurs protégés Si vous avez déjà protégé vos ordinateurs avec Sophos Anti-Virus, vous pouvez installer Sophos Client Firewall sur ceux-ci à condition que le pare-feu soit inclus dans votre licence. 54

55 Le pare-feu peut uniquement être installé sur les ordinateurs exécutant Windows 2000 ou supérieur. Vous ne pouvez pas installer le pare-feu sur des ordinateurs fonctionnant sous des systèmes d'exploitation de type serveur. 1. Si vous ne l'avez pas déjà fait, utilisez EM Library pour sélectionner et télécharger le package "Sophos Endpoint Security and Control" qui inclut le pare-feu. Pour plus d'instructions, reportez-vous à la rubrique Sélection des packages logiciels. 2. Sélectionnez le ou les ordinateurs sur lesquels vous souhaitez installer le pare-feu. Cliquez avec le bouton droit de la souris et sélectionnez Protéger les ordinateurs. Un assistant se lance. 3. Sur la page de Bienvenue de l'assistant, cliquez sur Suivant. 4. Sur la page Sélection des logiciels de sécurité, sélectionnez Installer Sophos Client Firewall. 5. Sur la page Récapitulatif de la protection, tout problème rencontré avec l'installation figure dans la colonne Problèmes de protection. Reportez-vous à la section Résolution des problèmes ou procédez à une installation manuelle de ces ordinateurs. Cliquez sur Suivant. 6. Sur la page Codes d'accès, saisissez les détails d'un compte qui peut être utilisé pour installer le logiciel. Généralement, ce compte est un compte d'administrateur de domaine. Sélection des packages logiciels Avant de pouvoir installer de nouveaux logiciels antivirus, pare-feu ou de contrôle d'accès réseau sur vos ordinateurs en réseau, vous devez impérativement vous assurer d'avoir sélectionné les bons packages logiciels à télécharger depuis Sophos. Procédez comme suit : 1. Cliquez sur l'icône Bibliothèques sur la barre d'outils. La fenêtre Sophos EM Library apparaît. 2. La vue Configuration s'ouvre par défaut. Cliquez sur Select Packages. Cliquez avec le bouton droit de la souris sur le package désiré. Sélectionnez Subscribe et suivez les instructions. 55

56 Le package "Sophos Endpoint Security and Control" inclut Sophos Anti-Virus pour Windows 2000/XP/2003/Vista, Sophos Client Firewall et Sophos NAC. Pour obtenir plus rapidement un nouveau package, allez dans le menu Library et sélectionnez Select Packages. Cette opération place le package à un emplacement par défaut. 3. Cliquez sur Download Packages. 4. Dans la boîte de message EM Library, cliquez sur Yes. 5. Fermez la fenêtre d'em Library pour retourner dans l'enterprise Console. Répertoires de mise à jour par défaut Si vous avez accepté les paramètres par défaut lors de la configuration de Sophos EM Library, les dossiers depuis lesquels chaque produit est installé et mis à jour se présentent comme suit : Le répertoire de "Sophos Endpoint Security and Control" contient le programme d'installation de Sophos Anti-Virus, de Sophos Client Firewall et de Sophos NAC. Sophos Endpoint Security and Control pour Windows 2000/XP/2003/Vista Sophos Anti-Virus pour Windows 2000/ XP/2003/Vista Sophos Anti-Virus pour Windows NT Sophos Anti-Virus pour Windows 95/98/ Me Sophos Anti-Virus pour Mac OS X Sophos Anti-Virus pour Linux Sophos Anti-Virus pour UNIX \\Nomserveur\InterChk\SAVSCFXP \\Nomserveur\InterChk\ESXP \\Nomserveur\InterChk\ESNT \\Nomserveur\InterChk\ES9x \\Nomserveur\InterChk\ESOSX \\Nomserveur\InterChk\savlinux \\Nomserveur\InterChk\EESAVUNIX Suppression des logiciels de sécurité tiers Si vous souhaitez supprimer tout logiciel de sécurité tiers auparavant installé, procédez de la manière suivante AVANT d'exécuter l'option Supprimer les logiciels de sécurité tiers dans l'assistant de Protection des ordinateurs : si les ordinateurs exécutent le logiciel antivirus d'un autre éditeur, assurez-vous que son interface utilisateur est fermée. 56

57 si les ordinateurs exécutent le pare-feu ou le produit HIPS d'un autre éditeur, assurez-vous qu'il est désactivé ou configuré pour permettre l'exécution du programme d'installation de Sophos. si vous désirez supprimer le logiciel d'un autre éditeur ainsi que l'outil de mise à jour (pour l'empêcher de réinstaller automatiquement le logiciel) de cet autre éditeur, suivez les étapes ci-dessous. si aucun outil de mise à jour n'est installé sur les ordinateurs, vous pouvez ignorer les étapes ci-dessous. Redémarrez tous les ordinateurs sur lesquels vous avez supprimé le logiciel antivirus tiers. Si l'outil de mise à jour d'un autre éditeur est installé sur les ordinateurs et que vous souhaitez supprimer cet outil de mise à jour, vous allez devoir modifier le fichier de configuration avant d'exécuter l'option Supprimer les logiciels de sécurité tiers de l'assistant de Protection des ordinateurs : 1. Depuis le Répertoire d'installation centralisée, recherchez le fichier data.zi. 2. Procédez à l'extraction du fichier de configuration crt.cfg de l'archive data.zip. 3. Modifiez le fichier crt.cfg file pour changer la ligne mentionnant "RemoveUpdateTools=0" pour "RemoveUpdateTools=1". 4. Enregistrez vos modifications et enregistrez le fichier crt.cfg dans le même répertoire que celui contenant le fichier data.zip. Ne remettez pas le fichier crt.cfg dans le fichier data.zip car il sera remplacé à la prochaine mise à jour du fichier data.zip. Lorsque vous exécutez l'assistant de Protection des ordinateurs et sélectionnez Supprimer les logiciels de sécurité tiers, le fichier de configuration modifié supprime alors tout outil de mise à jour tiers ainsi que tout logiciel de sécurité tiers. Si les ordinateurs exécutent le pare-feu ou le produit HIPS d'un autre éditeur, vous devez conserver l'outil de mise à jour de cet éditeur. Reportez-vous à la documentation de cet éditeur pour plus de renseignements. 57

58 9 Comment m'assurer que mon réseau est protégé? Cette section vous décrit comment utiliser et configurer le tableau de bord et comment vous assurer que les ordinateurs sont correctement protégés. Elle vous indique aussi comment identifier les ordinateurs ayant un problème à l'aide des filtres de la liste des ordinateurs et quelle action à entreprendre pour résoudre le problème. Aperçu du tableau de bord Configuration du tableau de bord Quels ordinateurs sont protégés? Quels ordinateurs sont à jour? Recherche des ordinateurs non protégés Recherche des ordinateurs sans pare-feu Recherche des ordinateurs dont les alertes nécessitent d'être vigilant Recherche des ordinateurs non mis à jour Recherche des ordinateurs non administrés par la console Recherche des ordinateurs non connectés au réseau Vous pouvez aussi vérifier si tous les ordinateurs du groupe sont conformes aux stratégies du groupe comme le décrit la rubrique Vérification de l'utilisation des stratégies de groupe par les ordinateurs. Aperçu du tableau de bord Utilisez le tableau de bord pour vérifier l'état de la sécurité de votre réseau. Pour afficher ou masquer le tableau de bord, cliquez sur le bouton Tableau de bord de la barre d'outils. 58

59 L'interface du tableau de bord Le tableau de bord est constitué des six sections suivantes : Ordinateurs Cette section indique le nombre total d'ordinateurs sur le réseau ainsi que le nombre d'ordinateurs connectés, administrés et non administrés. Pour voir une liste des ordinateurs administrés, non administrés, connectés ou de tous les ordinateurs, cliquez sur l'un des liens de la section Ordinateurs. Mises à jour Cette rubrique indique la date et l'heure de la dernière mise à jour depuis Sophos. Pour ouvrir la console EM Library, cliquez sur le titre de la section Mises à jour. Ordinateurs avec alertes Cette rubrique indique le nombre et le pourcentage d'ordinateurs administrés avec des alertes concernant : des virus et des spywares connus et inconnus des fichiers au comportement suspect des applications bloquées par le pare-feu des adwares et autres applications potentiellement indésirables des applications contrôlées Pour voir une liste des ordinateurs administrés avec des alertes à 59

60 traiter, cliquez sur le titre de la section Ordinateurs avec alertes. Stratégies Cette section indique le nombre et le pourcentage d'ordinateurs administrés avec violations de leur stratégie de groupe ou erreurs de comparaison de stratégie. Elle inclut aussi les ordinateurs qui n'ont pas encore répondu à la stratégie modifiée que leur a transmis la console. Pour voir une liste des ordinateurs administrés qui diffèrent de la stratégie, cliquez sur le titre de la section Stratégies. Protection Cette section indique le nombre et le pourcentage d'ordinateurs administrés et connectés sur lesquels Sophos Anti-Virus est obsolète ou utilise des données de détection inconnues. Pour voir une liste des ordinateurs administrés connectés et obsolètes, cliquez sur le titre de la section Protection. Erreurs Cette section indique le nombre et le pourcentage d'ordinateurs administrés avec des erreurs Sophos Anti-Virus à traiter, des erreurs de mise à jour ou de Sophos Client Firewall. Pour voir une liste des ordinateurs administrés avec des erreurs de produits Sophos à traiter, cliquez sur le titre de la section Erreurs. Les indicateurs d'état sur la sécurité du tableau de bord Le tableau de bord affiche trois indicateurs d'état de sécurité. Symbole Explication Un indicateur vert correspond à l'état "normal". Le nombre d'ordinateurs affectés est en dessous du niveau d'alerte. Un indicateur orange correspond à l'état d'"alerte". Le seuil d'alerte a été dépassé. Un indicateur rouge correspond à l'état "critique". Le seuil critique a été dépassé. 60

61 Les indicateurs sont affichés pour chaque section et pour tout le tableau de bord. Un indicateur d'état d'une section du tableau de bord est une icône affichée dans le coin supérieur droit d'une section du tableau de bord au côté du titre de la section et qui indique l'état d'une zone de sécurité particulière représentée par la section. Un indicateur d'état d'une section du tableau de bord affiche l'état d'un indicateur de section ayant l'état le plus sérieux, c'est-à-dire : Un indicateur d'état d'une section passe de l'état "Normal" à l'état "Alerte" lorsque le seuil d'alerte est dépassé pour au moins un indicateur de la section. Un indicateur d'état d'une section passe de l'état "Alerte" à l'état "Critique" lorsque le seuil critique est dépassé pour au moins un indicateur de la section. L'indicateur d'état général du réseau est une icône affichée dans le coin inférieur droit de la fenêtre de l'enterprise Console, dans la barre d'état, et qui indique l'état général de la sécurité du réseau. Un indicateur d'état général du réseau affiche l'état de la section du tableau de bord ayant l'état le plus sérieux, c'est-à-dire : Un indicateur d'état général du réseau passe de l'état "Normal" à l'état "Alerte" lorsque le seuil d'alerte est dépassé pour au moins un indicateur du tableau de bord. Un indicateur d'état général du réseau passe de l'état "Alerte" à l'état "Critique" lorsque le seuil critique est dépassé pour au moins un indicateur du tableau de bord. A la première installation ou mise à niveau de l'enterprise Console, le tableau de bord utilise les niveaux d'alerte et critique par défaut. Vous pouvez configurer vos propres niveaux d'alerte ou critique dans la boîte de dialogue Configuration du tableau de bord. Pour plus d'instructions, reportez-vous à la rubrique Configuration du tableau de bord. Vous pouvez aussi configurer l'envoi des alertes par courriel aux destinataires de votre choix lorsqu'un niveau d'alerte ou critique a été dépassé pour une section du tableau de bord. Pour plus d'instructions, reportez-vous à la rubrique Configuration des alertes 61

62 par courriel sur l'état du réseau. Configuration du tableau de bord Le tableau de bord affiche des indicateurs d'alerte ou critique en fonction du pourcentage d'ordinateurs administrés avec des alertes ou des erreurs à traiter ou du temps écoulé depuis la dernière mise à jour depuis Sophos. Vous pouvez configurer les niveaux d'alerte ou critique que vous souhaitez utiliser. 1. Dans le menu Outils, sélectionnez Configurer et cliquez sur Tableau de bord. La boîte de dialogue Configuration du tableau de bord apparaît. Pour de plus amples informations sur les paramètres de configuration du tableau de bord par défaut, reportez-vous à la rubrique Quels sont les paramètres de configuration du tableau de bord par défaut? 2. Modifiez les valeurs seuil dans les champs Niveau d'alerte et Niveau critique. Si vous réglez un niveau sur zéro, les avertissements se déclencheront dès la réception de la première alerte. Sous Ordinateurs avec des alertes à traiter, Ordinateurs avec des erreurs de produits Sophos et Stratégie et protection, saisissez un pourcentage d'ordinateurs administrés affectés par un problème particulier et qui déclenchera le passage de l'indicateur respectif de l'état "alerte" à l'état "critique". Sous Dernière protection depuis Sophos, saisissez l'heure de la dernière mise à jour réussie depuis Sophos qui déclenchera la passage de l'indicateur "Mises à jour" à l'état "alerte" ou "critique." Cliquez sur OK. Vous pouvez aussi configurer l'envoi des alertes par courriel aux destinataires de votre choix lorsqu'un seuil d'alerte ou critique a été dépassé. Pour plus d'instructions, reportez-vous à la rubrique Configuration des alertes par courriel sur l'état du réseau. 62

63 Quels sont les paramètres de configuration du tableau de bord par défaut? Les paramètres de configuration du tableau de bord par défaut sont indiqués ci-dessous. Quels ordinateurs sont protégés? Les ordinateurs sont protégés s'ils exécutent le contrôle sur accès et le pare-feu (si vous l'avez installé). Pour une protection intégrale, le 63

64 logiciel doit aussi être mis à jour. Vous avez peut-être choisi de ne pas utiliser le contrôle sur accès sur certains types d'ordinateurs comme, par exemple, les serveurs de fichiers. Dans ce cas, assurez-vous que les ordinateurs utilisent les contrôles planifiés et qu'ils sont à jour. Pour vérifier que les ordinateurs sont protégés : 1. Sélectionnez le groupe d'ordinateurs que vous désirez vérifier. 2. Si vous désirez vérifier les ordinateurs dans les sous-groupes du groupe, sélectionnez A ce niveau et au-dessous dans la liste déroulante. 3. Dans la liste des ordinateurs, observez la colonne Sur accès. Si vous voyez "Actif", l'ordinateur exécute le contrôle sur accès. Si vous voyez un bouclier gris, il ne l'exécute pas. 4. Si vous avez installé le pare-feu, observez la colonne Pare-feu activé. Si "Oui" apparaît, l'ordinateur dispose de la protection pare-feu. 5. Observez ensuite la colonne A jour. Si vous voyez "Oui", l'ordinateur est à jour. Si vous voyez une horloge et une date, il ne l'est pas. Vous pouvez afficher une liste des ordinateurs qui ne sont pas correctement protégés ou qui ont d'autres problèmes liés à la protection. Dans la liste déroulante Vue, sélectionnez Ordinateurs avec problèmes éventuels. Vous pouvez aussi sélectionner une sous-entrée de cette entrée pour afficher les ordinateurs affectés par un problème spécifique (par exemple, les ordinateurs qui diffèrent de la stratégie de groupe ou lorsqu'une erreur sur un produit Sophos a lieu). 64

65 Quels ordinateurs sont à jour? Si vous avez configuré l'enterprise Console comme recommandé, les ordinateurs recevront automatiquement les mises à jour. 1. Sélectionnez le groupe d'ordinateurs que vous désirez vérifier. 2. Si vous désirez vérifier les ordinateurs dans un des sousgroupes, sélectionnez A ce niveau et au-dessous dans la liste déroulante. 3. Observez ensuite la colonne A jour. Si vous voyez "Oui", l'ordinateur est à jour. Si une horloge apparaît, l'ordinateur n'est pas à jour. Le texte indique depuis quand l'ordinateur n'est plus à jour. Pour mettre immédiatement à jour les ordinateurs, sélectionnez les ordinateurs. Cliquez avec le bouton droit de la souris et sélectionnez Mettre les ordinateurs à jour maintenant. Recherche des ordinateurs non protégés Un ordinateur n'est pas correctement protégé s'il n'exécute pas un contrôle sur accès ou si le pare-feu (lorsqu'il est installé) est désactivé. 65

66 Vous avez peut-être choisi de ne pas utiliser le contrôle sur accès sur certains types d'ordinateurs comme, par exemple, les serveurs de fichiers. Dans ce cas, assurez-vous que les ordinateurs utilisent les contrôles planifiés et qu'ils sont à jour. Si un ordinateur n'exécute pas le contrôle sur accès, un bouclier gris ainsi que le terme "Inactif" apparaissent dans la colonne Sur accès de la page d'etat. Si le pare-feu est désactivé, un icône (un mur de briques) pare-feu gris apparaît dans la colonne Pare-feu activé. Pour afficher tous les ordinateurs qui ne sont pas correctement protégés et pour gérer le problème, procédez comme suit : 1. Sélectionnez le groupe dans lequel vous souhaitez rechercher les ordinateurs. 2. Sur la barre d'outils, dans la liste déroulante Vue, sélectionnez Ordinateurs avec problèmes éventuels. Vous pouvez aussi sélectionner une sous-entrée de cette entrée pour afficher les ordinateurs affectés par un problème spécifique (par exemple, les ordinateurs qui diffèrent de la stratégie de groupe ou lorsqu'une erreur sur un produit Sophos a lieu). 3. Si le groupe contient des sous-groupes, sélectionnez également si vous souhaitez rechercher les ordinateurs A ce niveau seulement ou A ce niveau et au-dessous. 4. Tout ordinateur ayant des problèmes de protection sera répertorié. Si le contrôle sur accès ne s'exécute pas sur certains ordinateurs, vérifiez quelle stratégie antivirus est utilisée par ces ordinateurs. Assurez-vous que le contrôle sur accès est activé dans cette stratégie. Si le pare-feu est désactivé sur certains ordinateurs, vérifiez quelle stratégie de pare-feu est utilisée par ces ordinateurs. Assurez-vous que le pare-feu est activé dans cette stratégie. 5. Assurez-vous que les ordinateurs appliquent la stratégie de leur groupe. Recherche des ordinateurs sans pare-feu Si le pare-feu n'est pas installé sur un ordinateur, une icône (mur de briques) pare-feu gris apparaît dans la colonne Pare-feu activé de la 66

67 page d'etat. Pour afficher tous les ordinateurs dans ce cas et corriger le problème, procédez comme suit : 1. Sélectionnez le groupe dans lequel vous souhaitez rechercher les ordinateurs avec des alertes. 2. Sur la barre d'outils, dans la liste déroulante Vue, sélectionnez Ordinateurs sans pare-feu Sophos. 3. Si le groupe contient des sous-groupes, sélectionnez également si vous souhaitez rechercher les ordinateurs A ce niveau seulement ou A ce niveau et au-dessous. 4. Si vous désirez installer le pare-feu sur des ordinateurs, sélectionnez-les, cliquez dessus avec le bouton droit de la souris et sélectionnez Protéger les ordinateurs. Lorsqu'invité à choisir le logiciel, sélectionnez Installer Sophos Client Firewall. Recherche des ordinateurs dont les alertes nécessitent d'être vigilant Si un ordinateur possède une alerte qui nécessite votre vigilance, une icône d'alerte s'affiche dans la colonne Alertes et erreurs de la page d'etat. Un signal d'alerte rouge indique un virus ou un spyware. Un signal jaune indique un comportement ou un fichier suspect, un adware ou toute autre application potentiellement indésirable, une application bloquée par le pare-feu, une application contrôlée ou une erreur. Pour afficher les ordinateurs dont les alertes nécessitent toujours une attention particulière, procédez comme suit : 1. Sélectionnez le groupe dans lequel vous souhaitez rechercher les ordinateurs avec des alertes. 2. Sur la barre d'outils, dans la liste déroulante Vue, sélectionnez Ordinateurs administrés avec des alertes à traiter. 3. Si le groupe contient des sous-groupes, sélectionnez également si vous souhaitez rechercher les ordinateurs A ce niveau seulement ou A ce niveau et au-dessous. 4. En cas de présence d'un virus ou d'une application indésirable sur vos ordinateurs, reportez-vous à la rubrique Nettoyage 67

68 immédiat des ordinateurs. En cas de présence non souhaitée d'un adware ou de toute autre application potentiellement indésirable sur vos ordinateurs, reportez-vous à la rubrique Autorisation des adwares/pua. Si le pare-feu a bloqué une application que vous souhaitez vraiment exécuter, reportez-vous à la rubrique Autorisation des applications bloquées. Si des ordinateurs sont non mis à jour, reportez-vous à la section Recherche des ordinateurs non mis à jour pour obtenir de l'aide sur le diagnostic et le correction du problème. Si l'affichage de l'alerte n'est plus nécessaire, vous pouvez l'effacer. Sélectionnez le ou les ordinateurs affichant des alertes et sélectionnez Effacer les alertes et les erreurs. Recherche des ordinateurs non mis à jour Si le logiciel d'un ordinateur n'est pas à jour, une horloge s'affiche dans la colonne A jour de la page d'etat. Le texte indique depuis quand l'ordinateur n'est plus à jour. Un ordinateur peut être non mis à jour pour l'une des deux raisons suivantes : l'ordinateur ne parvient pas à récupérer une mise à jour depuis le serveur. le serveur ne dispose pas du logiciel Sophos le plus récent. Cette section vous indique comment établir un diagnostic du problème et mettre à jour les ordinateurs. 1. Sélectionnez le groupe dans lequel vous souhaitez rechercher les ordinateurs non mis à jour. 2. Sur la page à onglets Etat, cliquez sur la colonne A jour pour trier les ordinateurs et voir lesquels sont mis à jour. 3. Cliquez sur l'onglet Détails mise à jour et observez la colonne Serveur principal. Le répertoire à partir duquel chaque ordinateur se met à jour est affiché. 4. A présent, observez les ordinateurs qui se mettent à jour à partir d'un répertoire particulier. Si certains ne sont pas à jour alors que d'autres le sont, le 68

69 problème provient des ordinateurs individuels. Sélectionnezles, cliquez dessus avec le bouton droit de la souris et sélectionnez Mettre les ordinateurs à jour maintenant. Si tous ne sont pas à jour, le problème pourrait provenir du répertoire. Cliquez sur l'icône Bibliothèques sur la barre d'outils. Dans la console EM Library, cliquez sur le nom de la bibliothèque (dans le volet de gauche), puis cliquez sur Central Installations. Sélectionnez le répertoire que vous croyez obsolète, cliquez dessus avec le bouton droit de la souris et sélectionnez Update CID. Puis, retournez dans l'enterprise Console, sélectionnez les ordinateurs non à jour, cliquez avec le bouton droit de la souris et sélectionnez Mettre les ordinateurs à jour maintenant. Recherche des ordinateurs non administrés par la console Les ordinateurs Windows Mac, Linux et UNIX doivent être administrés par l'enterprise Console afin de pouvoir être mis à jour et sous surveillance. Si un ordinateur n'est pas administré, les détails le concernant sur la page d'etat sont grisés. Pour rechercher et corriger les ordinateurs non administrés, procédez comme suit : 1. Sur la barre d'outils, dans la liste déroulante Vue, sélectionnez Ordinateurs non administrés. 2. Sélectionnez tous les ordinateurs qui sont répertoriés. Cliquez avec le bouton droit de la souris et sélectionnez Protéger les ordinateurs pour installer une version administrée de Sophos Anti-Virus. 3. Si l'enterprise Console échoue dans sa tentative d'installer Sophos Anti-Virus automatiquement sur certains ordinateurs, procédez à une installation manuelle. Si vous n'utilisez pas la synchronisation avec Active Directory, les nouveaux ordinateurs ajoutés au réseau ne s'affichent pas ou ne sont pas administrés automatiquement par la console. Cliquez sur Rechercher de nouveaux ordinateurs dans la barre d'outils pour les retrouver et les placer dans le dossier Non affectés. 69

70 Recherche des ordinateurs non connectés au réseau Si un ordinateur est non connecté au réseau, une croix rouge apparaît sur l'icône présente à côté de son nom dans la page d'etat. Pour afficher une liste d'ordinateurs non connectés, procédez comme suit : 1. Sélectionnez le groupe dans lequel vous souhaitez rechercher les ordinateurs non connectés. 2. Sur la barre d'outils, dans la liste déroulante Vue, sélectionnez Ordinateurs non connectés. 3. Si le groupe contient des sous-groupes, sélectionnez également si vous souhaitez rechercher les ordinateurs A ce niveau seulement ou A ce niveau et au-dessous. "Ordinateurs non connectés" signifie que les ordinateurs qui sont habituellement gérés par l'enterprise Console sont ici non connectés. Les ordinateurs non connectés et non gérés ne sont pas affichés. 10 Comment mettre à jour les ordinateurs? Cette section vous explique comment définir et configurer la mise à jour automatique des ordinateurs dans chaque groupe et comment mettre à jour ces ordinateurs à la demande. Configuration de la mise à jour automatique Sélection d'une source pour les mises à jour Sélection d'une source différente pour les mises à jour Planification des mises à jour Mise à jour immédiate des ordinateurs Mise à jour des ordinateurs lorsqu'ils se connectent par modem Définition d'un serveur proxy pour la mise à jour Limitation de la bande passante utilisée Sélection d'une source différente pour l'installation initiale Journalisation des mises à jour 70

71 Configuration de la mise à jour automatique Pour configurer la mise à jour automatique, procédez comme suit : Suivez impérativement ces étapes pour chaque type d'ordinateur (par exemple, Windows 2000 et supérieur) du ou des groupe(s) sur lequel vous allez appliquer la stratégie de mise à jour. 1. Pour créer une nouvelle stratégie de mise à jour, dans le volet Stratégies, cliquez avec le bouton droit de la souris sur Mise à jour et sélectionnez Créer une stratégie. Saisissez un nom pour la stratégie, puis appuyez sur Entrée pour enregistrer le nom. Cliquez deux fois sur la nouvelle stratégie pour la modifier. Pour modifier la stratégie par défaut, cliquez deux fois sur Mise à jour, puis deux fois sur Par défaut. Pour modifier une stratégie déjà créée, vérifiez quelle stratégie de mise à jour est utilisée par le ou les groupe (s) d'ordinateurs que vous voulez configurer. Dans le volet Stratégies, cliquez deux fois sur Mise à jour. Puis, cliquez deux fois sur la stratégie que vous désirez changer. 2. Dans la boîte de dialogue Stratégie de mise à jour, sélectionnez un système d'exploitation. Cliquez sur Configurer. 3. Dans la boîte de dialogue Définir la stratégie de mise à jour, cliquez sur l'onglet Serveur principal et paramétrez les options comme décrit ci-dessous. Adresse Saisissez l'adresse (le chemin (réseau) UNC ou l'adresse Web depuis lequel Sophos Anti-Virus ira régulièrement rechercher les mises à jour. Nom utilisateur Si nécessaire, saisissez le Nom utilisateur du compte qui sera utilisé pour accéder au serveur, puis saisissez le Mot de passe et confirmez-le. Ce compte devrait avoir lu les droits dans le répertoire que vous avez saisi dans le champ Adresse ci-dessus. 71

72 Si le Nom utilisateur doit avoir une qualification pour indiquer le domaine, utilisez la forme domaine \nomutilisateur. Paramètres avancés et Détails du proxy Si vous souhaitez limiter la bande passante utilisée ou configurer les ordinateurs de sorte qu'ils se connectent automatiquement par modem pour se mettre à jour lorsque nécessaire, cliquez sur Paramètres avancés. Si vous accédez à Internet via un serveur proxy, cliquez sur Détails du proxy. Sachez que certains fournisseurs de service Internet exigent que des requêtes web soient envoyées au serveur proxy. 4. Cliquez sur l'onglet Planification et saisissez les détails comme décrit ci-dessous. Permettre aux ordinateurs en réseau d'utiliser les mises à jour Sophos automatiquement Sélectionnez cette option si vous souhaitez que les ordinateurs soient mis à jour à intervalles réguliers. Puis saisissez la fréquence (en minutes) avec laquelle les ordinateurs vérifieront les logiciels mis à jour. La valeur par défaut est 5 minutes. Ce paramètre de fréquence ne s'applique pas si les ordinateurs téléchargent les mises à jour directement depuis Sophos. Les ordinateurs utilisant Sophos PureMessage peuvent vérifier les mises à jour toutes les 15 minutes. Les ordinateurs n'utilisant pas Sophos PureMessage se mettront à jour toutes les 60 minutes. Vérifier les mises à jour lors de la connexion Sélectionnez cette option si les ordinateurs se mettent à jour via une connexion par modem à Internet. Les ordinateurs tenteront alors d'effectuer la mise à jour chaque fois qu'ils se connecteront à Internet. 5. Dans le volet Stratégies, cliquez sur la nouvelle stratégie de mise à jour et faites la glisser sur le groupe d'ordinateurs que vous désirez configurer. 72

73 Si vous avez simplement édité une stratégie qui est déjà appliquée au groupe, par exemple, la stratégie par défaut, il n'est pas nécessaire d'effectuer l'étape 5. Sélection d'une source pour les mises à jour Si vous souhaitez que les ordinateurs se mettent à jour automatiquement, vous devez spécifier l'emplacement à partir duquel ils vont récupérer les mises à jour. Vous devez spécifier l'emplacement à partir duquel chaque type d'ordinateur (par exemple : Windows 2000 et supérieur) se met à jour. 1. Vérifiez quelle stratégie de mise à jour est utilisée par le(s) groupe(s) d'ordinateurs que vous désirez configurer. 2. Dans le volet Stratégies, cliquez deux fois sur Mise à jour. Puis, cliquez deux fois sur la stratégie que vous désirez changer. 3. Dans la boîte de dialogue Stratégie de mise à jour, sélectionnez un système d'exploitation. Cliquez sur Configurer. 4. Dans la boîte de dialogue Définir la stratégie de mise à jour, cliquez sur l'onglet Serveur principal. Paramétrez les options comme décrit ci-dessous. Adresse Saisissez l'adresse (le chemin (réseau) UNC ou l'adresse Web depuis lequel Sophos Anti-Virus ira régulièrement rechercher les mises à jour. Nom utilisateur Si nécessaire, saisissez le Nom utilisateur du compte qui sera utilisé pour accéder au serveur, puis saisissez le Mot de passe et confirmez-le. Ce compte devrait avoir lu les droits dans le répertoire que vous avez saisi dans le champ Adresse ci-dessus. Si le Nom utilisateur doit avoir une qualification pour indiquer le domaine, utilisez la forme domaine \nomutilisateur. 73

74 Paramètres avancés et Détails du proxy Si vous souhaitez limiter la bande passante utilisée ou configurer les ordinateurs de sorte qu'ils se connectent automatiquement par modem pour se mettre à jour lorsque nécessaire, cliquez sur Paramètres avancés. Si vous accédez à Internet via un serveur proxy, cliquez sur Détails du proxy. Sachez que certains fournisseurs de service Internet exigent que des requêtes web soient envoyées au serveur proxy. Sélection d'une source différente pour les mises à jour Vous pouvez définir une source alternative pour les mises à jour. Si les ordinateurs ne peuvent pas contacter leur source habituelle, ils tentent de se mettre à jour à partir de cette source alternative. Sophos vous conseille de définir une source alternative pour les mises à jour si vous avez des ordinateurs qui ne sont pas toujours connectés au réseau de l'entreprise, par exemple, les portables. Vous devez spécifier l'emplacement à partir duquel chaque type d'ordinateur (par exemple : Windows 2000 et supérieur) se met à jour. 1. Vérifiez quelle stratégie de mise à jour est utilisée par le(s) groupe(s) d'ordinateurs que vous désirez configurer. 2. Dans le volet Stratégies, cliquez deux fois sur Mise à jour. Puis, cliquez deux fois sur la stratégie que vous désirez changer. 3. Dans la boîte de dialogue Stratégie de mise à jour, sélectionnez un système d'exploitation. Cliquez sur Configurer. 4. Dans la boîte de dialogue Définir la stratégie de mise à jour, cliquez sur l'onglet Serveur secondaire. Sélectionnez Spécifier les détails du serveur secondaire. Puis saisissez les détails comme décrit ci-dessous. Adresse Saisissez l'adresse (le chemin ou l'adresse Web UNC (réseau)) 74

75 depuis laquelle les ordinateurs iront rechercher les mises à jour s'ils ne peuvent pas contacter la source habituelle. Si vous sélectionnez Sophos, Sophos Anti-Virus téléchargera les mises à jour directement depuis Sophos via Internet. Nom utilisateur Si nécessaire, saisissez le Nom utilisateur du compte qui sera utilisé pour accéder au serveur, puis saisissez le Mot de passe et confirmez-le. Ce compte devrait avoir lu les droits dans le répertoire que vous avez saisi dans le champ Adresse ci-dessus. Si le Nom utilisateur doit avoir une qualification pour indiquer le domaine, utilisez la forme domaine \nomutilisateur. Paramètres avancés et Détails du proxy Si vous souhaitez limiter la bande passante utilisée ou configurer les ordinateurs de sorte qu'ils se connectent automatiquement par modem pour se mettre à jour lorsque nécessaire, cliquez sur Paramètres avancés. Si vous accédez à l'adresse via un serveur proxy, cliquez sur Détails du proxy. Sachez que certains fournisseurs de service Internet exigent que des requêtes web soient envoyées au serveur proxy. Planification des mises à jour Vous pouvez préciser la période et la fréquence de mise à jour des ordinateurs. Saisissez ces paramètres séparément pour chaque type d'ordinateur (par exemple : Windows 2000 et supérieur). 1. Vérifiez quelle stratégie de mise à jour est utilisée par le(s) groupe(s) d'ordinateurs que vous désirez configurer. 2. Dans le volet Stratégies, cliquez deux fois sur Mise à jour. Puis, cliquez deux fois sur la stratégie que vous désirez changer. 3. Dans la boîte de dialogue Stratégie de mise à jour, sélectionnez un système d'exploitation. Cliquez sur Configurer 75

76 . 4. Dans la boîte de dialogue Définir la stratégie de mise à jour, cliquez sur l'onglet Planification. Saisissez les détails comme décrit ci-dessous. Permettre aux ordinateurs en réseau d'utiliser les mises à jour Sophos automatiquement Sélectionnez cette option si vous souhaitez que les ordinateurs soient mis à jour à intervalles réguliers. Puis saisissez la fréquence (en minutes) avec laquelle les ordinateurs vérifieront les logiciels mis à jour. La valeur par défaut est 5 minutes. Ce paramètre de fréquence ne s'applique pas si les ordinateurs téléchargent les mises à jour directement depuis Sophos. Les ordinateurs utilisant Sophos PureMessage peuvent vérifier les mises à jour toutes les 15 minutes. Les ordinateurs n'utilisant pas Sophos PureMessage se mettront à jour toutes les 60 minutes. Vérifier les mises à jour lors de la connexion Sélectionnez cette option si les ordinateurs se mettent à jour via une connexion par modem à Internet. Les ordinateurs tenteront alors d'effectuer la mise à jour chaque fois qu'ils se connecteront à Internet. Mise à jour immédiate des ordinateurs Vous pouvez mettre à jour un ou plusieurs ordinateurs immédiatement sans attendre la prochaine mise à jour automatique. Sélectionnez le ou les ordinateurs que vous souhaitez mettre à jour. Cliquez avec le bouton droit de la souris et sélectionnez Mettre les ordinateurs à jour maintenant. Mise à jour des ordinateurs lorsqu'ils se connectent par modem Si vous souhaitez que les ordinateurs se mettent à jour dès qu'ils se connectent par modem, procédez comme suit : 76

77 Saisissez ces paramètres séparément pour chaque type d'ordinateur (par exemple : Windows 2000 et supérieur). 1. Vérifiez quelle stratégie de mise à jour est utilisée par le(s) groupe(s) d'ordinateurs que vous désirez configurer. 2. Dans le volet Stratégies, cliquez deux fois sur Mise à jour. Puis, cliquez deux fois sur la stratégie que vous désirez changer. 3. Dans la boîte de dialogue Stratégie de mise à jour, sélectionnez un système d'exploitation. Cliquez sur Configurer. 4. Dans la boîte de dialogue Définir la stratégie de mise à jour, cliquez sur l'onglet Planification. Cochez Vérifier les mises à jour à la connexion. Définition d'un serveur proxy pour la mise à jour Si les ordinateurs récupèrent les mises à jour via Internet, vous devez saisir les détails du serveur proxy utilisé pour se connecter à Internet. Saisissez ces paramètres séparément pour chaque type d'ordinateur (par exemple : Windows 2000 et supérieur). 1. Si vous ne l'avez pas encore fait, vérifiez quelle stratégie de mise à jour est utilisée par le(s) groupe(s) d'ordinateurs que vous voulez configurer. Dans le volet Stratégies, cliquez deux fois sur Mise à jour. Puis, cliquez deux fois sur la stratégie que vous désirez changer. Dans la boîte de dialogue Stratégie de mise à jour, sélectionnez un système d'exploitation. Cliquez sur Configurer. 2. Dans la boîte de dialogue Définir une stratégie de mise à jour, cliquez sur l'onglet Serveur principal ou sur l'onglet Serveur secondaire comme nécessaire. Assurez-vous que tous les détails ont été saisis correctement. Puis cliquez sur Détails du proxy. 3. Dans la boîte de dialogue Détails proxy, sélectionnez Accéder au serveur via un proxy. Puis saisissez l'adresse et le numéro du Port du serveur proxy. Saisissez un Nom utilisateur et un Mot de passe qui donnent accès au serveur proxy. Si le nom utilisateur doit avoir une qualification pour indiquer le domaine, utilisez la forme domaine\nomutilisateur. 77

78 Limitation de la bande passante utilisée Vous pouvez limiter la bande passante utilisée pour la mise à jour. Ceci empêche la mise à jour d'utiliser toute la bande passante lorsqu'un ordinateur en a besoin pour d'autres fins, comme le téléchargement de courriels. Saisissez ce paramètre séparément pour chaque type d'ordinateur (par exemple : Windows 2000 et supérieur). 1. Si vous ne l'avez pas encore fait, vérifiez quelle stratégie de mise à jour est utilisée par le(s) groupe(s) d'ordinateurs que vous voulez configurer. Dans le volet Stratégies, cliquez deux fois sur Mise à jour. Puis, cliquez deux fois sur la stratégie que vous désirez changer. Dans la boîte de dialogue Stratégie de mise à jour, sélectionnez un système d'exploitation. Cliquez sur Configurer. 2. Dans la boîte de dialogue Définir une stratégie de mise à jour, cliquez sur l'onglet Serveur principal ou sur l'onglet Serveur secondaire comme nécessaire. Assurez-vous que tous les détails ont été saisis correctement. Puis cliquez sur Avancés. 3. Dans la boîte de dialogue Paramètres avancés, sélectionnez Limiter la quantité de bande passante utilisée et utilisez le curseur pour spécifier la bande passante en Ko/seconde. Si vous spécifiez plus de bande passante que l'ordinateur n'en a de disponible, la mise à jour utilise tout ce qui est disponible. Sélection d'une source différente pour l'installation initiale Par défaut, le logiciel antivirus est installé sur les ordinateurs puis maintenu à jour depuis la source (le "Serveur principal") que vous avez définie lors de votre première configuration d'un groupe d'ordinateur. Si vous souhaitez effectuer l'installation initiale depuis une source différente, procédez comme suit : Ce paramètre s'applique uniquement aux ordinateurs Windows 2000 et supérieur. Si votre serveur principal est une adresse HTTP (Web) et que vous souhaitez effectuer l'installation sur les ordinateurs depuis la console, vous devez spécifier une source d'installation initiale. 78

79 1. Vérifiez quelle stratégie de mise à jour est utilisée par le(s) groupe(s) d'ordinateurs que vous désirez configurer. 2. Dans le volet Stratégies, cliquez deux fois sur Mise à jour. Puis, cliquez deux fois sur la stratégie que vous désirez changer. 3. Dans la boîte de dialogue Stratégie de mise à jour, sélectionnez un système d'exploitation, par exemple Windows 2000 et supérieur. Cliquez sur Configurer. 4. Dans la boîte de dialogue Définir la stratégie de mise à jour, cliquez sur l'onglet Source d'installation initiale. Dessélectionnez Utiliser l'adresse du serveur principal. Puis, saisissez l'adresse de la source que vous souhaitez utiliser. Journalisation des mises à jour Vous pouvez configurer les ordinateurs afin de journaliser leur activité de mise à jour. Saisissez ces paramètres séparément pour chaque type d'ordinateur (par exemple : Windows 2000 et supérieur). 1. Vérifiez quelle stratégie de mise à jour est utilisée par le(s) groupe(s) d'ordinateurs que vous désirez configurer. 2. Dans le volet Stratégies, cliquez deux fois sur Mise à jour. Puis, cliquez deux fois sur la stratégie que vous désirez changer. 3. Dans la boîte de dialogue Stratégie de mise à jour, sélectionnez un système d'exploitation. Cliquez sur Configurer. 4. Dans la boîte de dialogue Définir la stratégie de mise à jour, cliquez sur l'onglet Journalisation. Assurez-vous que Journal d'activités Sophos AutoUpdate est sélectionné. Puis paramétrez d'autres options comme décrit ci-dessous. Taille maximale du journal Spécifiez une taille maximale du journal en Mo. Niveau du journal Vous pouvez sélectionner une journalisation de type Normal ou Détaillé. La journalisation détaillée fournit des informations 79

80 sur beaucoup plus d'activités que le journal normal c'est pourquoi il prend du volume plus rapidement. Utilisez ce paramétrage uniquement lorsque une journalisation détaillée est nécessaire pour la résolution des problèmes. 11 Comment modifier les paramètres antivirus et HIPS? Cette section vous décrit comment modifier les paramètres utilisés pour détecter et nettoyer les virus, chevaux de Troie, vers, spywares ainsi que les adwares et autres applications potentiellement indésirables. Elle vous indique aussi comment procéder au contrôle de vos ordinateurs. Vous pouvez utiliser différents paramètres pour chaque groupe d'ordinateurs. Qu'est-ce que HIPS? Contrôle à la recherche de virus, chevaux de Troie, vers et spywares Détection de tout comportement suspect Contrôle à la recherche des fichiers suspects Autorisation d'éléments suspects Contrôle à la recherche des adwares/pua Autorisation des adwares/pua Modification des types de fichiers contrôlés Exclusion des éléments du contrôle sur accès Contrôle à la recherche des rootkits Contrôle dans les fichiers archive Contrôle des fichiers Macintosh Activation/désactivation du contrôle sur accès Modification de la fréquence du contrôle sur accès Contrôle des ordinateurs à des heures définies Modification des paramètres du contrôle planifié Exclusion des éléments du contrôle planifié Eléments pouvant être exclus du contrôle Vous pouvez aussi nettoyer les ordinateurs automatiquement dès la 80

81 découverte d'un virus ou de toute autre menace. Pour cela, modifiez les paramètres du contrôle sur accès comme décrit dans la rubrique Nettoyage automatique des ordinateurs. Qu'est-ce que HIPS? Host Intrusion Prevention System (HIPS) ou système de prévention des intrusions sur l'hôte est une technologie de sécurité qui protège les ordinateurs des fichiers suspects, des virus non identifiés et de tout comportement suspect. Les options HIPS s'appliquent seulement à Sophos Anti-Virus 7 et supérieur pour Windows 2000 et supérieur. Voici les différentes méthodes HIPS : L'analyse comportementale runtime. L'analyse comportementale runtime comprend la détection de tout comportement suspect et la détection du dépassement de la mémoire tampon. La détection des comportements suspects est l'analyse dynamique de tous les programmes fonctionnant sur l'ordinateur pour détecter et bloquer l'activité qui semble malveillante. Pour plus d'informations, reportez-vous à la rubrique Détection de comportement suspect. Détection des fichiers suspects Sophos Anti-Virus 7 ou supérieur assure le contrôle des fichiers suspects. Ceux-ci peuvent contenir certaines caractéristiques communes aux malwares mais pas suffisantes pour que les fichiers soient identifiés comme nouveaux éléments de malwares. Pour plus d'informations, reportez-vous à la rubrique Contrôle à la recherche des fichiers suspects. Contrôle à la recherche de virus, chevaux de Troie, vers et spywares Par défaut, Sophos Anti-Virus détecte automatiquement les virus, 81

82 les chevaux de Troie, les vers et les spywares connus et inconnus présents dans les fichiers dès qu'un utilisateur tente d'y accéder. Sophos Anti-Virus 7 et supérieur pour Windows 2000 et supérieur analyse aussi le comportement des programmes s'exécutant sur le système. Vous pouvez aussi configurer Sophos Anti-Virus pour : Contrôler des ordinateurs à la recherche des fichiers suspects Contrôler des ordinateurs à la recherche d'adwares et autres applications potentiellement indésirables Contrôler des ordinateurs à des heures définies Détection de tout comportement suspect Par défaut, Sophos Anti-Virus détecte les virus, les chevaux de Troie, les vers et les spywares. Sophos Anti-Virus 7 et supérieur pour Windows 2000 et supérieur analyse aussi le comportement des programmes s'exécutant sur le système. L'analyse comportementale runtime inclut : La détection de comportement suspect La "détection de comportement suspect" procède à une analyse dynamique du comportement de tous les programmes s'exécutant sur le système afin de détecter et de bloquer toute activité qui semble malveillante. Le comportement suspect peut inclure des changements apportés au registre qui pourrait entraîner l'exécution automatique d'un virus lors du redémarrage de l'ordinateur. La détection du dépassement de la mémoire tampon La "détection du dépassement de la mémoire tampon" procède à une analyse dynamique du comportement de tous les programmes s'exécutant sur le système afin de détecter les attaques de saturation de la mémoire tampon. La fonction "Détection du dépassement de la mémoire tampon" n'est pas disponible pour Windows Vista et pour les versions 64 bits de Windows. Ces système d'exploitation sont protégés contre les dépassements de mémoire tampon par la fonction de Prévention d'exécution des données (Data Execution Prevention ou DEP) de Microsoft. 82

83 Pour voir ou modifier les paramètres d'analyse comportementale runtime : 1. Vérifiez quelle stratégie antivirus et HIPS est utilisée par le(s) groupe(s) d'ordinateur(s) que vous désirez configurer. 2. Dans le volet Stratégies, cliquez deux fois sur Antivirus et HIPS. Puis, cliquez deux fois sur la stratégie que vous désirez changer. 3. Dans la boîte de dialogue Stratégie antivirus et HIPS, cliquez sur le bouton Comportement runtime HIPS. 4. La boîte de dialogue Paramètres d'analyse comportementale runtime HIPS apparaît. Vous avez le choix entre deux options : Détecter tout comportement suspect Détecter les dépassements de la mémoire tampon Par défaut, ces deux options sont activées. Sophos Anti-Virus détecte un tel comportement et envoie des alertes à l'enterprise Console. Par contre, il ne bloque aucun des programmes détectés. Sophos vous conseille d'exécuter Sophos Anti-Virus en mode Alerter seulement pendant un certain temps et d'autoriser les programmes dont vous avez besoin avant d'activer le blocage automatique des comportements suspects. 5. Conservez ces deux options activées ou modifiez les paramètres, si vous le souhaitez, et cliquez sur OK. Lorsque le comportement suspect ou le dépassement de la mémoire tampon est détecté, vous pouvez soit supprimer soit autoriser l'élément suspect. 6. Lorsque vous êtes prêt à activer le blocage automatique du comportement suspect, dessélectionnez la case à cocher Alerter seulement. Contrôle à la recherche des fichiers suspects Par défaut, Sophos Anti-Virus détecte les virus, les chevaux de Troie, les vers et les spywares connus et inconnus. Vous pouvez aussi le configurer pour qu'il détecte les fichiers suspects. 83

84 Un fichier suspect est un fichier qui contient certaines caractéristiques communes aux logiciels malveillants mais pas suffisantes pour que le fichier soit identifié en tant que nouvelle pièce d'un logiciel malveillant (par exemple, un fichier contenant du code de décompression dynamique habituellement utilisé par les logiciels malveillants). Cette option s'applique uniquement à Sophos Anti-Virus 7 et supérieur pour Windows 2000 et supérieur. 1. Vérifiez quelle stratégie antivirus et HIPS est utilisée par le(s) groupe(s) d'ordinateur(s) que vous désirez configurer. 2. Dans le volet Stratégies, cliquez deux fois sur Antivirus et HIPS. Puis cliquez deux fois sur la stratégie que vous désirez changer. 3. Dans la boîte de dialogue Stratégie antivirus et HIPS, définissez les options comme suit : Contrôle sur accès Pour configurer le contrôle sur accès, dans le volet Configurer Sophos Anti-Virus et HIPS, assurez-vous que la case à cocher Activer le contrôle sur accès est sélectionnée. Cliquez sur le bouton Contrôle sur accès. Dans le volet Options de contrôle de l'onglet Contrôle, sélectionnez la case à cocher Rechercher les fichiers suspects (HIPS). Cliquez sur OK. Contrôle planifié Pour configurer les contrôles planifiés, dans le volet Contrôle planifié, cliquez sur Ajouter (ou sélectionnez un contrôle existant et cliquez sur Editer). Dans la boîte de dialogue Paramètres du contrôle planifié, saisissez vos paramètres puis cliquez sur Configurer. Dans la boîte de dialogue Paramètres de contrôle et de nettoyage, dans le volet Options de contrôle de l'onglet Contrôle, sélectionnez la case à cocher Rechercher les fichiers suspects (HIPS). Cliquez sur OK. Lorsqu'un fichier suspect est détecté, vous pouvez soit supprimer soit autoriser le fichier. 84

85 Si vous désactivez la recherche des fichiers suspects, la recherche des rootkits est désactivée en même temps. Autorisation d'éléments suspects Si vous avez activé une ou plusieurs options HIPS (par exemple, la détection de comportement suspect, la détection du dépassement de la mémoire tampon ou la détection des fichiers suspects), mais voulez utiliser certains des éléments détectés, vous pouvez les autoriser de la manière suivante : 1. Vérifiez quelle stratégie antivirus et HIPS est utilisée par le(s) groupe(s) d'ordinateur(s) que vous désirez configurer. 2. Dans le volet Stratégies, cliquez deux fois sur Antivirus et HIPS. Puis, cliquez deux fois sur la stratégie que vous désirez changer. 3. Dans la boîte de dialogue Stratégie antivirus et HIPS, cliquez sur le bouton Autorisation. 4. Dans la boîte de dialogue Gestionnaire d'autorisation, cliquez sur l'onglet correspondant au type de comportement ayant été détecté, par exemple Dépassement de la mémoire tampon. Recherchez le programme qui a été détecté et déplacez-le de la liste Connu(e)s vers la liste Autorisé(e)s. Si vous voulez autoriser un élément que Sophos Anti-Virus n'a pas encore classé comme suspect, vous pouvez le pré-autoriser de la manière suivante : 1. Cliquez sur Nouveau. 2. Naviguez jusqu'à l'élément et sélectionnez-le pour l'ajouter à la liste Autorisé(e)s. Si vous voulez supprimer un élément de la liste, sélectionnez-le et cliquez sur Supprimer. Si vous avez autorisé l'élément, sa suppression de la liste le bloque effectivement une nouvelle fois, utilisez donc cette option seulement si vous êtes sûr qu'il ne doit pas être autorisé. Cette option ne supprime pas l'élément du disque. Contrôle à la recherche des adwares/pua Par défaut, Sophos Anti-Virus détecte les virus, les chevaux de Troie, 85

86 les vers et les spywares. Vous pouvez aussi le configurer pour qu'il détecte les adwares et autres applications potentiellement indésirables (PUA). Cette option s'applique uniquement à Sophos Anti-Virus 6 et supérieur pour Windows 2000 et supérieur. Sophos vous recommande de commencer par utiliser un contrôle planifié pour la détection des applications potentiellement indésirables. Ainsi, vous pourrez traiter en toute sécurité les applications qui sont déjà exécutées sur votre réseau. Vous pouvez ensuite activer la détection sur accès pour protéger vos ordinateurs à l'avenir. 1. Vérifiez quelle stratégie antivirus et HIPS est utilisée par le(s) groupe(s) d'ordinateur(s) que vous désirez configurer. 2. Dans le volet Stratégies, cliquez deux fois sur Antivirus et HIPS. Puis, cliquez deux fois sur la stratégie que vous désirez changer. La boîte de dialogue Stratégie antivirus et HIPS apparaît. 3. Dans la zone Contrôle planifié, cliquez sur Ajouter pour créer un nouveau contrôle ou cliquez deux fois sur un contrôle dans la liste pour l'éditer. 4. Dans la boîte de dialogue Paramètres du contrôle planifié, cliquez sur Configurer (en bas de la page). 5. Dans la boîte de dialogue Paramètres de contrôle et de nettoyage, sur l'onglet Contrôle, sous Options de contrôle, sélectionnez Rechercher les adwares/pua. Cliquez sur OK. 6. Lorsque le contrôle s'exécute, il se peut que Sophos Anti-Virus signale certains adwares ou autres applications potentiellement indésirables. Si vous souhaitez que vos ordinateurs exécutent ces applications, vous devez les autoriser. Autrement, supprimezles. 7. Si vous désirez activer la détection sur accès, ouvrez de nouveau la boîte de dialogue Stratégie antivirus et HIPS. Dans le volet Configurer Sophos Anti-Virus et HIPS, assurez-vous que la case à cocher Activer le contrôle sur accès est sélectionnée. Cliquez sur le bouton Contrôle sur accès. Dans la boîte de dialogue Paramètres de contrôle sur accès, sélectionnez Rechercher les adwares/pua. 86

87 Certaines applications "surveillent" les fichiers et tentent d'y accéder régulièrement. Si votre contrôle sur accès est activé, il détecte chaque accès et envoie de nombreuses alertes. Reportez-vous à la rubrique Fréquentes alertes concernant les applications potentiellement indésirables. Autorisation des adwares/pua Si vous avez activé Sophos Anti-Virus pour détecter les adwares et autres applications potentiellement indésirables (PUA), il se peut qu'il vous empêche d'utiliser une application que vous souhaitez utiliser. Vous pouvez autoriser l'utilisation de telles applications de la manière suivante : 1. Vérifiez quelle stratégie antivirus et HIPS est utilisée par le(s) groupe(s) d'ordinateur(s) que vous désirez configurer. 2. Dans le volet Stratégies, cliquez deux fois sur Antivirus et HIPS. Puis, cliquez deux fois sur la stratégie que vous désirez changer. 3. Dans la boîte de dialogue Stratégie antivirus et HIPS, cliquez sur le bouton Autorisation. 4. Dans la boîte de dialogue Gestionnaire d'autorisation, dans l'onglet Adware/PUA, dans la liste des Adwares/PUA connus, sélectionnez l'application de votre choix. Cliquez sur Ajouter pour l'ajouter à la liste des Adwares/PUA autorisés. Si vous ne parvenez pas à voir l'application que vous voulez autoriser, procédez ainsi : 1. Cliquez sur Nouveau. La boîte de dialogue Ajout d'un nouvel adware/pua apparaît. 2. Allez sur la page Web Sophos des analyses des menaces, Dans le champ Voir par type, sélectionnez Adware ou PUA, en fonction du type d'application que vous voulez autoriser. Cliquez sur Go. 4. Recherchez l'application que vous voulez autoriser et entrez son nom dans la boîte de dialogue Ajout d'un nouvel adware/ PUA. Cliquez sur OK. L'application est ajoutée à la liste des Adwares/PUA connus. 5. Sélectionnez l'application et cliquez sur Ajouter pour l'ajouter 87

88 à la liste des Adwares/PUA autorisés. Si vous voulez supprimer une application de la liste, sélectionnez-la et cliquez sur Supprimer. Modification des types de fichiers contrôlés Par défaut, Sophos Anti-Virus contrôle les types de fichiers vulnérables aux virus. Vous pouvez contrôler des types de fichiers supplémentaires ou choisir d'exempter certains types de fichiers du contrôle. Les types de fichiers contrôlés par défaut diffèrent d'un système d'exploitation à l'autre et changent au fur et à mesure de la mise à jour de la solution. Pour consulter une liste des types de fichiers, rendez-vous sur un ordinateur possédant le système d'exploitation approprié, ouvrez la fenêtre Sophos Anti-Virus et cherchez la page de configuration "Extensions". Ces options s'appliquent aux ordinateurs Windows seulement. Sur Windows 2000 ou version supérieure, vous pouvez changer ces paramètres individuellement pour le contrôle sur accès et le contrôle planifié. Sur Windows NT/95/98/Me, les changements effectués dans les paramètres du contrôle planifié s'appliquent également au contrôle sur accès. Vous pouvez apporter des modifications aux ordinateurs Mac OS X grâce au Sophos Update Manager, un utilitaire fournit avec Sophos Anti-Virus pour Mac OS X. Pour ouvrir Sophos Update Manager, sur un ordinateur Mac OS X, dans la fenêtre Finder, naviguez jusqu'au dossier Sophos Anti-Virus:ESOSX. Cliquez deux fois sur Sophos Update Manager. Pour plus de détails, reportez-vous à l'aide de Sophos Update Manager. Vous pouvez apporter des modifications aux ordinateurs Linux à l'aide des commandes savconfig et savscan comme décrit dans le manuel utilisateur de Sophos Anti-Virus pour Linux. Vous pouvez apporter des modifications aux ordinateurs UNIX à l'aide de la commande savscan comme décrit dans le manuel utilisateur de Sophos Anti-Virus pour UNIX. Pour modifier les types de fichiers contrôlés : 88

89 1. Vérifiez quelle stratégie antivirus et HIPS est utilisée par le(s) groupe(s) d'ordinateur(s) que vous désirez configurer. 2. Dans le volet Stratégies, cliquez deux fois sur Antivirus et HIPS. Puis, cliquez deux fois sur la stratégie que vous désirez changer. 3. Dans la boîte de dialogue Stratégie antivirus et HIPS, définissez les options comme suit : Pour configurer le contrôle sur accès, dans le volet Configurer Sophos Anti-Virus et HIPS, assurez-vous que la case à cocher Activer le contrôle sur accès est sélectionnée. Cliquez sur le bouton Contrôle sur accès. Pour configurer les contrôles planifiés, dans le panneau Contrôle planifié, cliquez sur Extensions et Exclusions. 4. Dans l'onglet Extensions, sélectionnez Contrôler les fichiers exécutables et infectables. Pour contrôler des types de fichiers supplémentaires, cliquez sur Ajouter puis saisissez l'extension du fichier, par exemple PDF, dans le champ Extension. Pour exempter certains types de fichiers qui sont d'habitude contrôlés par défaut, cliquez sur Exclure. La boîte de dialogue Exclusion d'extensions s'ouvre. Saisissez l'extension du fichier. Par défaut, les fichiers sans extension sont contrôlés. Vous pouvez aussi choisir de contrôler tous les fichiers, toutefois, ceci affectera les performances de l'ordinateur. Exclusion des éléments du contrôle sur accès Vous pouvez exclure des éléments du contrôle sur accès. Ces options s'appliquent uniquement aux ordinateurs Windows 2000 ou supérieur, Mac OS X, Linux et UNIX. Pour exclure des éléments sur des ordinateurs Windows NT/95/98/Me, consultez les pages de configuration du contrôle planifié qui s'appliquent aussi au contrôle sur accès. 1. Vérifiez quelle stratégie antivirus et HIPS est utilisée par le(s) groupe(s) d'ordinateur(s) que vous désirez configurer. 2. Dans le volet Stratégies, cliquez deux fois sur Antivirus et 89

90 HIPS. Puis, cliquez deux fois sur la stratégie que vous désirez changer. 3. La boîte de dialogue Stratégie antivirus et HIPS apparaît. Dans le volet Configurer Sophos Anti-Virus et HIPS, cliquez sur le bouton Contrôle sur accès. 4. Cliquez sur l'onglet Exclusions Windows, Exclusions Mac ou Exclusions Linux/Unix. Pour ajouter des éléments dans la liste, cliquez sur Ajouter et saisissez le chemin complet dans la boîte de dialogue Exclusion d'un élément. Les éléments que vous pouvez exclure du contrôle diffèrent selon chaque type d'ordinateur. Reportez-vous à la rubrique Eléments pouvant être exclus du contrôle. Contrôle à la recherche des rootkits Le contrôle à la recherche des rootkits s'effectue toujours lorsque vous exécutez un contrôle intégral du système d'un ordinateur. En revanche, si vous voulez changer le paramètre d'un contrôle planifié, procédez ainsi. Cette option s'applique uniquement à Sophos Anti-Virus 7 et supérieur pour Windows 2000 et supérieur. 1. Vérifiez quelle stratégie antivirus et HIPS est utilisée par le(s) groupe(s) d'ordinateur(s) que vous désirez configurer. 2. Dans le volet Stratégies, cliquez deux fois sur Antivirus et HIPS. Puis cliquez deux fois sur la stratégie que vous désirez changer. 3. Dans la boîte de dialogue Stratégie antivirus et HIPS puis dans la zone Contrôle planifié, cliquez sur Ajouter (ou sélectionnez un contrôle déjà existant et cliquez sur Editer). 4. Dans la boîte de dialogue Paramètres du contrôle planifié, saisissez vos paramètres puis cliquez sur Configurer. 5. Dans la boîte de dialogue Paramètres de contrôle et de nettoyage, dans le volet Options de contrôle de l'onglet Contrôle, sélectionnez la case à cocher Rechercher les fichiers suspects (HIPS). Cliquez sur OK. Si vous désactivez la recherche des rootkits, le contrôle à la recherche des fichiers suspects est aussi désactivée. 90

91 Contrôle dans les fichiers archive Le contrôle à l'intérieur de fichiers archive est beaucoup plus lent et généralement inutile. Même si vous ne sélectionnez pas l'option, lorsque vous tentez d'accéder à un fichier extrait depuis le fichier archive, le fichier extrait est contrôlé. Sophos ne vous recommande donc pas de sélectionner cette option. 1. Vérifiez quelle stratégie antivirus et HIPS est utilisée par le(s) groupe(s) d'ordinateur(s) que vous désirez configurer. 2. Dans le volet Stratégies, cliquez deux fois sur Antivirus et HIPS. Puis, cliquez deux fois sur la stratégie que vous désirez changer. 3. Dans la boîte de dialogue Stratégie antivirus et HIPS puis dans la zone Contrôle planifié, cliquez sur Ajouter (ou sélectionnez un contrôle déjà existant et cliquez sur Editer). 4. Dans la boîte de dialogue Paramètres du contrôle planifié, saisissez vos paramètres puis cliquez sur Configurer (en bas de la page). 5. Dans la boîte de dialogue Paramètres de contrôle et de nettoyage, sur l'onglet Contrôle, sélectionnez Contrôler dans les fichiers archive. Cliquez sur OK. Contrôle des fichiers Macintosh Vous pouvez permettre à Sophos Anti-Virus de contrôler les fichiers Macintosh stockés sur les ordinateurs Windows. Cette option s'applique uniquement à Sophos Anti-Virus 7 et supérieur pour Windows 2000 et supérieur. 1. Vérifiez quelle stratégie antivirus et HIPS est utilisée par le(s) groupe(s) d'ordinateur(s) que vous désirez configurer. 2. Dans le volet Stratégies, cliquez deux fois sur Antivirus et HIPS. Puis, cliquez deux fois sur la stratégie que vous désirez changer. 3. Dans la boîte de dialogue Stratégie antivirus et HIPS, définissez les options comme suit : Contrôle sur accès Pour configurer le contrôle sur accès, dans le volet Configurer 91

92 Sophos Anti-Virus et HIPS, assurez-vous que la case à cocher Activer le contrôle sur accès est sélectionnée. Cliquez sur le bouton Contrôle sur accès. Dans le volet Options de contrôle de l'onglet Contrôle, sélectionnez la case à cocher Rechercher les virus Macintosh. Contrôle planifié Pour configurer les contrôles planifiés, dans le volet Contrôle planifié, cliquez sur Ajouter (ou sélectionnez un contrôle existant et cliquez sur Editer). Dans la boîte de dialogue Paramètres du contrôle planifié, saisissez vos paramètres puis cliquez sur Configurer. Dans la boîte de dialogue Paramètres de contrôle et de nettoyage, dans l'onglet Contrôle, sélectionnez la case à cocher Rechercher les virus Macintosh. Activation/désactivation du contrôle sur accès Par défaut, Sophos Anti-Virus contrôle les fichiers au moment où l'utilisateur tente d'y accéder et refuse leur accès à moins que ces fichiers soient sains. Vous avez la possibilité de décider de désactiver le contrôle sur accès sur les serveurs Exchange ou sur d'autres serveurs dont les performances pourraient être affectées. Dans ce cas, placez les serveurs dans un groupe spécial et modifiez la stratégie antivirus et HIPS de ce groupe comme indiqué ci-dessous. Si vous désactivez le contrôle sur accès sur un serveur, nous vous recommandons de paramétrer les contrôles planifiés sur les ordinateurs appropriés. 1. Vérifiez quelle stratégie antivirus et HIPS est utilisée par le(s) groupe(s) d'ordinateur(s) que vous désirez configurer. 2. Dans le volet Stratégies, cliquez deux fois sur Antivirus et HIPS. Puis, cliquez deux fois sur la stratégie que vous désirez changer. 3. La boîte de dialogue Stratégie antivirus et HIPS apparaît. Pour désactiver le contrôle sur accès, dessélectionnez la case à 92

93 cocher Activer le contrôle sur accès. Ensuite, dans le panneau Contrôle planifié, cliquez sur Ajouter et paramétrez un contrôle planifié. Si, ultérieurement, vous désirez redémarrer le contrôle sur accès, sélectionnez de nouveau la case à cocher. Modification de la fréquence du contrôle sur accès Vous pouvez spécifier si les fichiers doivent être contrôlés lorsque vous les ouvrez ("à la lecture"), les sauvegardez ("à l'écriture") ou les renommez. Le contrôle des fichiers "à l'écriture" ou "à l'attribution d'un nouveau nom" peut avoir un impact sur les performances des ordinateurs. L'utilisation de ces options n'est généralement pas recommandée. Ces options s'appliquent aux ordinateurs Windows seulement. 1. Vérifiez quelle stratégie antivirus et HIPS est utilisée par le(s) groupe(s) d'ordinateur(s) que vous désirez configurer. 2. Dans le volet Stratégies, cliquez deux fois sur Antivirus et HIPS. Puis, cliquez deux fois sur la stratégie que vous désirez changer. 3. Dans la boîte de dialogue Stratégie antivirus et HIPS puis dans la zone Configurer Sophos Anti-Virus et HIPS, cliquez sur le bouton Contrôle sur accès. 4. Dans la boîte de dialogue Paramètres de contrôle sur accès, dans l'onglet Contrôle, dans le volet Comportement du contrôle sur accès, sélectionnez les options que vous désirez. Contrôle des ordinateurs à des heures définies Vous pouvez procéder au contrôle des ordinateurs à des heures définies. Les contrôles planifiés s'exécutent uniquement sur les ordinateurs Windows et UNIX. Sur les ordinateurs Windows 95/98/Me, les contrôles planifiés s'exécutent uniquement si la fenêtre Sophos Anti-Virus est ouverte. 1. Vérifiez quelle stratégie antivirus et HIPS est utilisée par le(s) 93

94 groupe(s) d'ordinateur(s) que vous désirez configurer. 2. Dans le volet Stratégies, cliquez deux fois sur Antivirus et HIPS. Puis, cliquez deux fois sur la stratégie que vous désirez changer. 3. Dans la boîte de dialogue Stratégie antivirus et HIPS puis dans la zone Contrôle planifié, cliquez sur Ajouter. 4. Dans la boîte de dialogue Paramètres du contrôle planifié, saisissez un nom pour le contrôle. Sélectionnez les éléments à contrôler (par défaut, tous les disques durs locaux ou les systèmes de fichiers montés sont contrôlés). Sélectionnez les jours et heures auxquels vous souhaitez procéder au contrôle. Si vous souhaitez modifier d'autres options de contrôle ou configurer ce contrôle pour effectuer un nettoyage des ordinateurs, cliquez sur Configurer en bas de la boîte de dialogue. Pour de plus amples instructions sur la manière de modifier les options pour un contrôle planifié, reportez-vous à la rubrique Modification des paramètres du contrôle planifié. Modification des paramètres du contrôle planifié Vous pouvez modifier les paramètres du contrôle planifié. 1. Vérifiez quelle stratégie antivirus et HIPS est utilisée par le(s) groupe(s) d'ordinateur(s) que vous désirez configurer. 2. Dans le volet Stratégies, cliquez deux fois sur Antivirus et HIPS. Puis, cliquez deux fois sur la stratégie que vous désirez changer. 3. Dans la boîte de dialogue Stratégie antivirus et HIPS puis dans la zone Contrôle planifié, vous pouvez modifier deux types de paramètres différents : Pour modifier les types de fichiers contrôlés par tous les contrôles planifiés, cliquez sur Extensions et Exclusions. Pour modifier les paramètres spécifiques à chaque contrôle (ce qui est contrôlé, les heures, les options de contrôle, le nettoyage), mettez le contrôle en surbrillance et cliquez sur Editer. Puis dans la boîte de dialogue Paramètres du contrôle planifié, cliquez sur Configurer. 94

95 Pour de plus amples détails sur la manière d'utiliser les options de contrôle, reportez-vous aux rubriques Contrôle à la recherche des fichiers suspects, Contrôle à la recherche des adwares/pua et Contrôle dans les fichiers archive. Pour de plus amples détails sur la manière d'utiliser les options de nettoyage, reportez-vous à la rubrique Nettoyage automatique des ordinateurs. Exclusion des éléments du contrôle planifié Vous pouvez exclure des éléments du contrôle planifié. Sur Windows NT/95/98/Me, les changements effectués dans les paramètres du contrôle planifié s'appliquent également au contrôle sur accès. Les paramètres "éléments exclus" des contrôles planifiés s'appliquent aussi aux contrôles intégraux du système exécutés depuis la console tandis que les contrôles "effectuer le contrôle de cet ordinateur" sont exécutés sur les ordinateurs en réseau. 1. Vérifiez quelle stratégie antivirus et HIPS est utilisée par le(s) groupe(s) d'ordinateur(s) que vous désirez configurer. 2. Dans le volet Stratégies, cliquez deux fois sur Antivirus et HIPS. Puis, cliquez deux fois sur la stratégie que vous désirez changer. 3. La boîte de dialogue Stratégie antivirus et HIPS apparaît. Dans la zone Contrôle planifié, cliquez sur Extensions et Exclusions. 4. Cliquez sur l'onglet Exclusions. Pour ajouter des éléments dans la liste, cliquez sur Ajouter et saisissez le chemin complet dans la boîte de dialogue Exclusion d'un élément. Les éléments que vous pouvez exclure du contrôle diffèrent selon chaque type d'ordinateur. Reportez-vous à la rubrique Eléments pouvant être exclus du contrôle. Eléments pouvant être exclus du contrôle Selon chaque type d'ordinateur, il existe des limitations différentes concernant les éléments pouvant être exclus du contrôle. 95

96 Windows 2000 et supérieur Sur Windows 2000 et supérieur, vous pouvez exclure les lecteurs, les dossiers et les fichiers. Vous pouvez utiliser les caractères joker * et? Le caractère joker? peut seulement être utilisé dans un nom de fichier ou dans une extension. Il permet généralement de retrouver n'importe quel caractère. En revanche, lorsqu'il est utilisé à la fin d'un nom de fichier ou d'une extension, il ne retrouve que les caractères uniques ou n'en retrouve pas. Par exemple,fichier??.txt permet de retrouver fichier.txt, fichier1.txt et fichier12.txt, mais pas fichier123.txt. Le caractère joker * peut seulement être utilisé dans un nom de fichier ou dans une extension, sous la forme [nomfichier].* ou *. [extension]. Par exemple, fichier*.txt, fichier.txt* et fichier.*txt sont incorrects. Pour plus de détails, reportez-vous aux fichiers d'aide ou au manuel utilisateur de Sophos Anti-Virus pour Windows 2000 et versions supérieures. Windows NT Sur Windows NT, vous pouvez exclure les fichiers et les répertoires. Windows 95/98/Me Sur Windows 95/98/Me, vous pouvez exclure les fichiers, les répertoires (pour les contrôles planifiés) et les lecteurs. Mac OS X Sous Mac OS X, vous pouvez exclure des volumes, des dossiers et des fichiers. Bien que les caractères joker ne soient pas pris en charge, vous pouvez spécifier quels éléments sont exclus en préfixant ou en suffixant l'exclusion par une barre oblique ou une double barre oblique. Pour plus de détails, reportez-vous aux fichiers d'aide ou au manuel utilisateur de Sophos Anti-Virus pour Mac OS X. 96

97 Linux et UNIX Sur Linux et UNIX, vous pouvez exclure des répertoires et des fichiers en spécifiant un chemin (avec ou sans caractère joker). L'Enterprise Console prend uniquement en charge les exclusions Linux et UNIX basées sur des chemins. Vous pouvez aussi configurer d'autres types d'exclusions directement sur des ordinateurs administrés. Ensuite, vous pouvez utiliser des expressions régulières et exclure des types de fichiers et des systèmes de fichiers. Pour plus d'instructions, reportez-vous au manuel utilisateur de Sophos Anti-Virus pour Linux ou au manuel utilisateur de Sophos Anti-Virus pour UNIX. Si vous configurez une autre exclusion basée sur un chemin sur un ordinateur Linux ou UNIX administré, cet ordinateur sera signalé à la console comme dérogeant à la stratégie de groupe. 12 Comment modifier les paramètres de contrôle des applications? L'Enterprise Console vous permet de détecter et de bloquer les "applications contrôlées", c'est-à-dire des applications légitimes qui ne constituent pas une menace pour la sécurité, mais que vous considérez comme inappropriées dans votre environnement de bureau. Ces applications incluent des clients de messagerie instantanée (MI), des clients de voix sur IP (VoIP), des jeux, des logiciels d'imagerie numérique, des lecteurs multimédia ou des plugins de navigateur. Cette option s'applique uniquement à Sophos Anti-Virus 7 et supérieur pour Windows 2000 et supérieur. Cette option permet une grande souplesse de blocage ou d'autorisation des applications pour différents groupes d'ordinateurs. Par exemple, une application VoIP peut être désactivée pour les ordinateurs de bureau de l'entreprise et autorisée sur les ordinateurs distants. 97

98 La liste des applications contrôlées est fournie par Sophos et régulièrement mise à jour. Vous ne pouvez pas ajouter de nouvelles applications à la liste. Cette section décrit comment sélectionner les applications que vous voulez contrôler sur votre réseau et paramétrer le contrôle des applications contrôlées. Sélection des applications à contrôler Recherche des applications à contrôler Désinstallation des applications contrôlées non désirées Sélection des applications à contrôler Par défaut, toutes les applications sont autorisées. Vous pouvez sélectionner les applications que vous désirez contrôler de lamanière suivante : 1. Vérifiez quelle stratégie de contrôle des applications est utilisée par le(s) groupe(s) d'ordinateurs que vous souhaitez configurer. 2. Dans le volet Stratégies, cliquez deux fois sur Contrôle des applications. Puis, cliquez deux fois sur la stratégie que vous désirez changer. 3. Dans la boîte de dialogue Stratégie de contrôle des applications, cliquez sur l'onglet Autorisation. 4. Sélectionnez un Type d'application, par exemple Partage de fichiers. Une liste complète des applications incluses dans ce groupe apparaît dans la liste Autorisées se trouvant en dessous. Pour bloquer une application, sélectionnez-la et déplacez-la dans la liste Bloquées en cliquant sur le bouton "Ajouter". Pour bloquer toutes les nouvelles applications que Sophos ajoute à ce type à l'avenir, déplacez Toutes ajoutées par Sophos à l'avenir dans la liste Bloquées. Pour bloquer toutes les applications de ce type, déplacez toutes les applications de la liste Autorisées dans la liste Bloquées en cliquant sur le bouton "Ajouter tout". 98

99 5. Sur l'onglet Contrôle de boîte de dialogue de Stratégie de contrôle des applications, assurez-vous que la recherche des applications est activée. (Pour plus de détails, voir Recherche des applications à contrôler.) Cliquez sur OK. Recherche des applications à contrôler Vous pouvez configurer Sophos Anti-Virus pour qu'il recherche les applications que vous souhaitez contrôler lors de leur accès sur votre réseau. 1. Vérifiez quelle stratégie de contrôle des applications est utilisée par le(s) groupe(s) d'ordinateurs que vous souhaitez configurer. 2. Dans le volet Stratégies, cliquez deux fois sur Contrôle des applications. Puis, cliquez deux fois sur la stratégie que vous désirez changer. La boîte de dialogue Stratégie de contrôle des applications apparaît. 3. Dans l'onglet Contrôle, définissez les options comme suit : Pour activer le contrôle sur accès, sélectionnez la case à cocher Activer le contrôle sur accès. Si vous souhaitez détecter les applications mais ne souhaitez pas les bloquer lors de leur accès, sélectionnez la case Détecter mais autoriser l'exécution. Pour activer le contrôle à la demande et le contrôle planifié, sélectionnez la case à cocher Activer le contrôle à la demande et planifié. Vos paramètres de stratégie antivirus et HIPS déterminent quels fichiers vont être contrôlés (c'est-à-dire les extensions et les exclusions). Si vous désirez supprimer les applications contrôlées qui ont été trouvées sur vos ordinateurs en réseau, suivez les instructions de la rubrique Désinstallation des applications contrôlées non désirées. Il vous est aussi possible de faire envoyer les alertes à des utilisateurs particuliers lorsqu'une application contrôlée est découverte sur un des ordinateurs du groupe. Pour plus d'instructions, reportez-vous à la rubrique Configuration des alertes de contrôle des applications. 99

100 Désinstallation des applications contrôlées non désirées Avant de désinstaller les applications contrôlées, assurez-vous que le contrôle sur accès des applications contrôlées est désactivé. Ce type de contrôle bloque les programmes utilisés pour installer et désinstaller les applications, aussi il se peut qu'il perturbe la désinstallation. Vous pouvez supprimer une application de deux manières : Rendez-vous sur chaque ordinateur et exécutez le programme de désinstallation correspondant au produit. Vous effectuez généralement cette opération en ouvrant le Panneau de configuration Windows et en utilisant Ajout/Suppression de programmes. Sur le serveur, utilisez votre script ou votre outil d'administration habituel pour lancer le programme de désinstallation correspondant au produit sur vos ordinateurs en réseau. Vous pouvez à présent activer le contrôle sur accès des applications contrôlées. 13 Comment modifier les paramètres du pare-feu? Cette section décrit comment configurer le pare-feu et changer les paramètres principaux. Configuration du pare-feu Quels sont les paramètres par défaut? Autorisation du partage de fichiers et d'imprimantes Autorisation des applications bloquées Sélection du mode de fonctionnement interactif ou noninteractif Activation ou désactivation du pare-feu Aide sur les options avancées 100

101 Configuration du pare-feu Lorsque vous installez le pare-feu, il est activé par défaut et bloque tout le trafic non indispensable. Pour obtenir plus de détails, reportez-vous à la section paramètres par défaut. Avant de commencer à utiliser le pare-feu sur vos ordinateurs en réseau, vous devez le configurer afin d'autoriser l'exécution des applications habituelles. La configuration n'est pas facile à réaliser depuis l'enterprise Console car il se peut que les ordinateurs disposent de versions différentes de la même application. Utilisez plutôt des ordinateurs échantillons pour développer une configuration dont vous pourrez par la suite vous servir en tant que stratégie. 1. Installez le pare-feu sur les ordinateurs représentatifs de votre réseau. 2. Rendez-vous sur un ordinateur, cliquez avec le bouton droit de la souris sur l'icône de la barre d'outils du pare-feu (indiquée ci-dessous). Cliquez sur Configurer. 3. Dans la boîte de dialogue Editeur de configuration Sophos Client Firewall, cliquez sur l'onglet Applications. Cliquez sur Ajouter et naviguez jusqu'à chaque application désirée. L'application est alors "fiable". Pour une plus grande sécurité, sélectionnez le programme, cliquez sur Personnaliser (en bas à droite de la boîte de dialogue) puis créez une règle. Autrement, sur l'onglet Général, sélectionnez le mode Interactif. Le pare-feu vous invite à autoriser ou à bloquer chaque application lorsqu'elle est utilisée. 4. Lorsque le pare-feu est configuré, sur l'onglet Général, cliquez sur Exporter pour exporter la configuration vers l'emplacement de votre choix. 5. Répétez les étapes ci-dessus sur chaque ordinateur que vous souhaitez utiliser en tant qu'échantillon. 6. A présent, rendez-vous sur l'enterprise Console. Dans la zone Stratégies, cliquez deux fois sur Pare-feu puis cliquez deux fois sur la stratégie que vous désirez modifier. 7. Dans la boîte de dialogue Stratégie de pare-feu, sur la page à onglet Général, cliquez sur Importer et importez une 101

102 configuration que vous avez développé auparavant. Lorsque vous procédez à l'importation d'une configuration, il vous est donné le choix de la fusionner avec d'autres configurations que vous avez déjà importées. 8. Le pare-feu est à présent configuré pour autoriser les applications les plus couramment utilisées. Vous pouvez aussi modifier d'autres paramètres (par exemple, pour autoriser le partage de fichiers et d'imprimantes). Consultez les fichiers d'aide de Sophos Client Firewall pour obtenir plus de détails sur toutes les options. Quels sont les paramètres par défaut? Par défaut, Sophos Client Firewall est activé et bloque tout le trafic non indispensable. Avant de l'utiliser sur votre réseau, configurez le pour autoriser les applications que vous désirez utiliser, comme décrit dans la section Configuration du pare-feu. Les autres paramètres par défaut du pare-feu sont les suivants : il applique des règles sans demander confirmation à l'utilisateur (mode "non-interactif") il affiche les alertes dans l'enterprise Console si les règles sont modifiées localement sur les ordinateurs gérés il bloque les processus si la mémoire est modifiée par une autre application il injecte des paquets qui sont envoyés vers des ports bloqués (mode "furtif") il utilise les sommes de contrôle pour identifier des applications nouvelles et modifiées il bloque les paquets IPv6 (s'applique uniquement à Sophos Client Firewall 1.5) il signale à l'enterprise Console les applications nouvelles et modifiées il signale les applications susceptibles de lancer des processus cachés. 102

103 Autorisation du partage de fichiers et d'imprimantes Vous pouvez autoriser les ordinateurs à utiliser le partage de fichiers et d'imprimantes comme suit : 1. Vérifiez quelle stratégie de pare-feu est utilisée par le(s) groupe (s) d'ordinateurs que vous désirez configurer. 2. Dans le volet Stratégies, cliquez deux fois sur Pare-feu. Puis, cliquez deux fois sur la stratégie que vous désirez changer. 3. Dans la boîte de dialogue Stratégie de pare-feu, cliquez sur l'onglet Réseau local, puis cliquez sur Détecter pour détecter les adresses sur le réseau local. 4. Sélectionnez la case NetBIOS figurant au côté de la ou les adresses dans la liste. Autorisation des applications bloquées Si le pare-feu bloque une application sur les ordinateurs en réseau, une alerte apparaît à côté du nom du ou des ordinateurs sur la page Etat. Pour obtenir plus de détails sur les applications bloquées, les autoriser ou créer de nouvelles règles pour celles-ci, procédez comme suit : 1. Vérifiez quelle stratégie de pare-feu est utilisée par le ou les ordinateur(s). 2. Dans le volet Stratégies, cliquez deux fois sur Pare-feu. Puis, cliquez deux fois sur la stratégie que vous désirez changer. 3. Dans la boîte de dialogue Stratégie de pare-feu, cliquez sur l'onglet Applications. 4. Sur l'onglet Applications, cliquez sur Ajouter. Le Gestionnaire d'applications apparaît. Sélectionnez une application dans la liste et cliquez sur OK. 5. Dans la boîte de dialogue Règles d'applications, cliquez sur Accepter pour autoriser l'application ou sur Personnaliser pour créer une règle personnalisée qui spécifie quand l'application peut être exécutée. 103

104 Sélection du mode de fonctionnement interactif ou noninteractif Le Sophos Client Firewall comprend deux modes de fonctionnement différents : Interactif. Le pare-feu demande à l'utilisateur comment il doit gérer le trafic. Non-interactif. Le pare-feu gère le trafic automatiquement en utilisant vos règles. Pour changer le mode de fonctionnement d'un groupe d'ordinateurs, procédez comme suit : 1. Vérifiez quelle stratégie de pare-feu est utilisée par le(s) groupe (s) d'ordinateurs que vous désirez configurer. 2. Dans le volet Stratégies, cliquez deux fois sur Pare-feu. Puis, cliquez deux fois sur la stratégie que vous désirez changer. 3. Dans la boîte de dialogue Stratégie de pare-feu, sur l'onglet Général, sélectionnez Non-interactif ou Interactif. Cliquez sur OK. Activation ou désactivation du pare-feu Lorsqu'il est installé pour la première fois, Sophos Client Firewall est activé par défaut. Pour activer ou désactiver le pare-feu d'un groupe d'ordinateurs, procédez de la manière suivante : 1. Vérifiez quelle stratégie de pare-feu est utilisée par le(s) groupe (s) d'ordinateurs que vous désirez configurer. 2. Dans le volet Stratégies, cliquez deux fois sur Pare-feu. Puis, cliquez deux fois sur la stratégie que vous désirez changer. 3. Dans la boîte de dialogue Stratégie de pare-feu, dans l'onglet Général, sélectionnez ou dessélectionnez la case à cocher Autoriser tout le trafic. Cliquez sur OK. Aide sur les options avancées Pour de plus amples détails sur toutes les options du pare-feu, 104

105 reportez-vous à l'aide du Sophos Client Firewall. 14 Comment modifier les paramètres NAC? Cette section vous explique comment configurer NAC (contrôle d'accès réseau) et comment modifier les stratégies NAC. Configuration de NAC Configuration de l'url du serveur NAC Démarrage de NAC Manager Quels sont les paramètres NAC par défaut? Quelles sont les stratégies NAC prédéfinies? Modification d'une stratégie NAC Configuration de NAC Vous pouvez configurer le contrôle d'accès réseau (NAC) afin que les ordinateurs soient uniquement autorisés à se connecter au réseau s'ils sont conformes aux conditions que vous avez définies. L'Enterprise Console fonctionne de pair avec Sophos NAC pour assurer ce type de protection du réseau. Vous devez installer l'élément suivant : Le serveur Sophos NAC. Installez-le séparément de l'enterprise Console. L'agent Sophos NAC. Installez cet agent sur vos ordinateurs en réseau afin qu'ils puissent communiquer avec le serveur NAC. Vous pouvez l'installer à l'aide de la fonction Protéger les ordinateurs. Cette section suppose que vous avez installé les deux. Par défaut, les ordinateurs sont autorisés à accéder au réseau. 105

106 Configuration de l'url du serveur NAC Si vous souhaitez utiliser Sophos NAC, précisez impérativement l'url du serveur Sophos NAC dans l'enterprise Console. De cette manière : vos ordinateurs peuvent communiquer avec le serveur NAC et recevoir leur stratégie NAC. vous pouvez configurer les stratégies NAC se trouvant sur le serveur NAC. Lorsque vous installez l'enterprise Console pour la première fois, celle-ci recherche le serveur NAC et tente de s'y connecter. Toutefois, en cas d'échec, ou si vous changez l'emplacement du serveur NAC, il vous sera nécessaire de définir l'url. Pour saisir ou modifier l'url : 1. Dans le menu Outils, sélectionnez Configurer l'url de NAC. 2. Dans la boîte de dialogue URL de Sophos NAC, saisissez l'url du serveur NAC (par exemple, Si Sophos NAC est installé sur plusieurs serveurs, utilisez l'adresse de l'ordinateur exécutant l'application et non celle de l'ordinateur sur lequel se trouve la base de données. 3. Pour vérifier si l'enterprise Console peut se connecter au serveur NAC à l'aide de l'url fournie, cliquez sur Test de connexion. Démarrage de NAC Manager Sophos NAC Manager est l'interface qui vous permet de modifier les stratégies NAC. Pour démarrer NAC Manager: 1. Cliquez sur le bouton NAC dans la barre d'outils. Autrement, sur le menu Outils, sélectionnez Administrer NAC. Il se peut que vous soyez invité à définir l'url du serveur NAC si celle-ci n'a pas été détectée ou définie auparavant. 2. Ouvrez une session à l'aide de vos codes d'accès utilisateur Sophos NAC (envoyés par l'administrateur Sophos NAC). 106

107 Pour de plus amples détails sur l'interface, reportez-vous aux fichiers d'aide de Sophos NAC Manager (anglais) ou au Guide de Sophos NAC Manager. (anglais) Quels sont les paramètres NAC par défaut? Par défaut, la stratégie NAC Par défaut est appliquée aux ordinateurs sur lesquels Sophos NAC a été installé. A moins que vous n'ayez changé le "mode stratégie", ceci signifie que : les ordinateurs sont autorisés à accéder au réseau Sophos NAC fonctionne en mode signaler uniquement. Pour de plus amples détails sur les stratégies Administrés et Non administrés prédéfinies, reportez-vous à la rubrique Quelles sont les stratégies NAC prédéfinies? Quelles sont les stratégies NAC prédéfinies? Trois stratégies prédéfinies sont disponibles. Vous pouvez modifier les paramètres de chaque stratégie comme indiqué à la rubrique Modification d'une stratégie NAC. Par défaut Cette stratégie s'applique par défaut aux ordinateurs sur lesquels Sophos NAC a été installé. A moins que vous n'ayez changé les paramètres de cette stratégie, les ordinateurs sont autorisés à accéder au réseau. Sophos NAC fonctionne en mode Signaler uniquement. Administrés Cette stratégie peut être utilisée pour les ordinateurs administrés par l'enterprise Console et sur lesquels Sophos NAC est installé. Ses paramètres d'origine sont les mêmes que ceux de la stratégie Par défaut. Non administrés Cette stratégie peut être utilisée pour les ordinateurs externes à 107

108 l'entreprise qui ne sont pas administrés par l'enterprise Console et sur lesquels Sophos NAC n'est pas installé. Votre entreprise peut demander à ces utilisateurs invités de se connecter à un site Web, depuis lequel un agent vérifiera s'ils sont conformes à la stratégie avant de les autoriser à accéder au réseau. Pour de plus amples informations, reportez-vous au chapitre "Utilisation de stratégies prédéfinies" du Guide de Sophos NAC Manager. (anglais) Modification d'une stratégie NAC Vous pouvez changer les paramètres de toutes les stratégies NAC prédéfinies. 1. Dans le volet Stratégies, cliquez deux fois sur NAC. Cliquez deux fois sur la stratégie que vous désirez configurer. 2. Sophos NAC Manager se lance. Connectez-vous en utilisant vos codes d'accès. 3. Sur la page concernant la stratégie, modifiez les options. Pour de plus amples informations sur les options, reportez-vous au chapitre "Mise à jour des stratégies" du Guide de Sophos NAC Manager. (anglais) 15 Comment effectuer le contrôle des ordinateurs? Par défaut, Sophos Anti-Virus détecte automatiquement les virus, les chevaux de Troie, les vers et les spywares connus et inconnus présents dans les fichiers dès qu'un utilisateur tente d'y accéder. Sophos Anti-Virus 7 et supérieur pour Windows 2000 et supérieur analyse aussi le comportement des programmes s'exécutant sur le système. Vous pouvez aussi configurer Sophos Anti-Virus pour : Contrôler des ordinateurs à la recherche des fichiers suspects Contrôler des ordinateurs à la recherche d'adwares et autres applications potentiellement indésirables 108

109 Contrôler des ordinateurs à des heures définies Pour de plus amples informations sur la configuration du contrôle, reportez-vous à la section Comment modifier les paramètres antivirus et HIPS? Cette section vous décrit comment effectuer immédiatement un contrôle intégral du système des ordinateurs sélectionnés. Contrôle immédiat des ordinateurs Vous pouvez contrôler un ou plusieurs ordinateurs immédiatement sans attendre le prochain contrôle planifié. Seuls les ordinateurs Windows exécutant Sophos Anti-Virus 7 ou supérieur ou les ordinateurs UNIX peuvent effectuer immédiatement un contrôle intégral du système demandé depuis la console. 1. Sélectionnez les ordinateurs dans la liste des ordinateurs ou dans le groupe depuis la zone Groupes. Cliquez avec le bouton droit de la souris et sélectionnez Contrôle intégral du système. Autrement, dans le menu Actions, sélectionnez Contrôle intégral du système. 2. Dans la boîte de dialogue Contrôle intégral du système, vérifiez les détails des ordinateurs à contrôler et cliquez sur OK pour lancer le contrôle. 16 Comment configurer les alertes? Plusieurs méthodes d'alerte sont utilisées dans l'enterprise Console. Alertes affichées dans la console Si un élément demandant de l'attention est trouvé sur un ordinateur ou si une erreur s'est produite, Sophos Anti-Virus envoie une alerte à l'enterprise Console. L'alerte apparaît dans la liste des ordinateurs. Pour plus d'informations sur ces alertes, reportez-vous à la rubrique Comment gérer les alertes? Ces alertes sont toujours affichées. Il n'est pas nécessaire de les paramétrer. 109

110 Alertes envoyées par la console aux destinataires de votre choix Par défaut, lorsqu'un élément est trouvé sur un ordinateur, un message apparaît sur le bureau de l'ordinateur et une entrée est ajoutée dans le journal des événements Windows. Vous pouvez aussi configurer les alertes par courriel ou les alertes SNMP pour les administrateurs. Cette section décrit comment paramétrer des alertes qui seront envoyées aux destinataires de votre choix. Configuration des alertes par courriel antivirus et HIPS Configuration des alertes SNMP antivirus et HIPS Configuration des alertes de bureau antivirus et HIPS Configuration des alertes de contrôle des applications Configuration des alertes par courriel sur l'état du réseau Configuration des alertes par courriel pour la synchronisation avec Active Directory Configuration de la journalisation des événements Configuration des alertes par courriel antivirus et HIPS Il vous est possible de faire envoyer les alertes par courriel à des utilisateurs particuliers en cas de découverte d'un virus, d'un comportement suspect, d'une application indésirable ou d'une erreur sur un des ordinateurs du groupe. Les ordinateurs Mac OS X envoient uniquement ces alertes à une seule adresse. 1. Dans le volet Stratégies, cliquez deux fois sur la stratégie antivirus et HIPS que vous désirez modifier. 2. Dans la boîte de dialogue Stratégie antivirus et HIPS puis dans la zone Configurer Sophos Anti-Virus et HIPS, cliquez sur Messagerie. 3. Dans la boîte de dialogue Messages, cliquez sur l'onglet Alertes par courriel. Paramétrez les options comme décrit ci-dessous. Activer les alertes par courriel Sélectionnez cette option pour permettre à Sophos Anti-Virus 110

111 d'envoyer des alertes par courriel. Messages à envoyer Sélectionnez les événements pour lesquels vous souhaitez que Sophos Anti-Virus envoie des alertes par courriel : Détection et nettoyage des virus/spywares Détection de comportement suspect Détection des fichiers suspects Détection et nettoyage des adwares/pua Erreurs de contrôle (par ex. accès refusé) Autres erreurs Les paramètres Détection de comportement suspect et Détection des fichiers suspects s'appliquent uniquement à Sophos Anti-Virus 7 et supérieur pour Windows 2000 et supérieur. Le paramètre Détection et nettoyage des adwares/pua s'applique uniquement à Sophos Anti-Virus 6 et supérieur pour Windows 2000 et supérieur. Le paramètre Autres erreurs s'applique uniquement à Windows. Destinataires Cliquez sur Ajouter ou sur Supprimer pour respectivement ajouter ou supprimer des adresses électroniques auxquelles les alertes par courriel doivent être envoyées. Cliquez sur Renommer pour changer une adresse électronique que vous avez ajoutée. Les ordinateurs Mac OS X envoient uniquement des messages au premier destinataire de la liste. Configurer SMTP Cliquez sur cette option pour changer les paramètres du serveur SMTP et la langue des alertes par courriel Dans la boîte de dialogue Configuration des paramètres SMTP, saisissez les détails comme décrit ci-dessous. Serveur SMTP 111

112 Dans la zone de texte, saisissez le nom de l'hôte ou l'adresse IP du serveur SMTP. Cliquez sur Tester pour envoyer une alerte test par courriel. Adresse 'expéditeur' SMTP Dans la zone de texte, saisissez une adresse électronique à laquelle les messages renvoyés et les rapports de nondistribution peuvent être envoyés. Adresse 'réponse' SMTP Lorsque les alertes par courriel sont envoyées depuis une boîte aux lettres automatique, vous pouvez saisir dans la zone de texte une adresse électronique à laquelle les réponses aux alertes par courriel peuvent être envoyées. Les ordinateurs Linux et UNIX ignorent les adresses expéditeur et réponse SMTP et utilisent l'adresse Langue Cliquez sur la flèche du menu déroulant et sélectionnez la langue dans laquelle les alertes par courriel doivent être envoyées. Configuration des alertes SNMP antivirus et HIPS Il vous est possible de faire envoyer les alertes SNMP à des utilisateurs particuliers lorsqu'un virus ou une erreur est rencontré sur un des ordinateurs du groupe. Ces paramètres s'appliquent seulement à Sophos Anti-Virus 6 et supérieur pour Windows 2000 et supérieur. 1. Dans le volet Stratégies, cliquez deux fois sur la stratégie antivirus et HIPS que vous désirez modifier. 2. Dans la boîte de dialogue Stratégie antivirus et HIPS puis dans la zone Configurer Sophos Anti-Virus et HIPS, cliquez sur Messagerie. 3. Dans la boîte de dialogue Messages, cliquez sur l'onglet Messagerie SNMP. Paramétrez les options comme décrit ci- 112

113 dessous. Activer la messagerie SNMP Sélectionnez cette option pour permettre à Sophos Anti-Virus d'envoyer des messages SNMP. Messages à envoyer Sélectionnez les types d'événements pour lesquels vous désirez que Sophos Anti-Virus envoie des messages SNMP : Détection et nettoyage des virus/spywares Détection de comportement suspect Détection des fichiers suspects Détection et nettoyage des adwares/pua Erreurs de contrôle (par ex. accès refusé) Autres erreurs Les paramètres Détection de comportement suspect et Détection des fichiers suspects s'appliquent uniquement à Sophos Anti-Virus 7 et supérieur pour Windows 2000 et supérieur. Destination de déroutement SNMP Dans la zone de texte, saisissez l'adresse IP du destinataire. Nom de la communauté SNMP Dans cette zone de texte, saisissez le nom de la communauté SNMP. Configuration des alertes de bureau antivirus et HIPS Par défaut, les alertes du bureau sont affichées sur l'ordinateur sur lequel un virus, un élément suspect ou une application potentiellement indésirable a été détecté. Vous pouvez configurer ces alertes. 1. Dans le volet Stratégies, cliquez deux fois sur la stratégie antivirus et HIPS que vous désirez modifier. 2. Dans la boîte de dialogue Stratégie antivirus et HIPS puis dans la zone Configurer Sophos Anti-Virus et HIPS, cliquez 113

114 sur Messagerie. 3. Dans la boîte de dialogue Messages, cliquez sur l'onglet Messagerie de bureau. Paramétrez les options comme décrit ci-dessous. Activer la messagerie de bureau Sélectionnez cette option pour permettre à Sophos Anti-Virus d'afficher des messages de bureau. Messages à envoyer Sélectionnez les types d'événements pour lesquels vous désirez que Sophos Anti-Virus affiche des messages de bureau : Détection et nettoyage des virus/spywares Détection de comportement suspect Détection des fichiers suspects Détection et nettoyage des adwares/pua Les paramètres Détection de comportement suspect et Détection des fichiers suspects s'appliquent uniquement à Sophos Anti-Virus 7 et supérieur pour Windows 2000 et supérieur. Le paramètre Détection et nettoyage des adwares/pua s'applique uniquement à Sophos Anti-Virus 6 et supérieur pour Windows 2000 et supérieur. Message défini par l'utilisateur Dans cette zone de texte, vous pouvez saisir un message qui sera ajouté à la fin du message standard. Configuration des alertes de contrôle des applications Vous pouvez envoyer des alertes à des utilisateurs particuliers lors de la découverte d'une application contrôlée. 1. Dans le volet Stratégies, cliquez deux fois sur la stratégie de contrôle des applications que vous désirez modifier. 2. Dans la boîte de dialogue Stratégie de contrôle des applications, dans l'onglet Messagerie, définissez les options comme décrit ci-dessous. 114

115 Messagerie La case à cocher Activer la messagerie de bureau est activée par défaut. Lorsqu'une application contrôlée non autorisée est détectée par le contrôle sur accès et bloquée, un message apparaît sur le bureau informant l'utilisateur que l'application a été bloquée. Dans la zone de texte Message, vous pouvez saisir un message qui sera ajouté à la fin du message de bureau standard. Sélectionnez la case Activer les alertes par courriel pour que Sophos Anti-Virus puisse envoyer des alertes par courriel. Sélectionnez la case Activer la messagerie SNMP pour que Sophos Anti-Virus puisse envoyer des messages SNMP. Vos paramètres de stratégie antivirus et HIPS déterminent la configuration et les destinataires de la messagerie électronique et SNMP. Alertes console Par défaut, une alerte apparaît dans la console la première fois qu'une application individuelle est détectée. Si vous souhaitez uniquement voir une alerte à chaque détection d'une application sur un ordinateur, dessélectionnez la case Afficher une alerte pour la première détection seulement. Configuration des alertes par courriel sur l'état du réseau Vous pouvez configurer l'envoi des alertes par courriel aux destinataires de votre choix lorsqu'un niveau d'alerte ou critique a été dépassé pour une section du tableau de bord. 1. Dans le menu Outils, sélectionnez Configurer les alertes par courriel. La boîte de dialogue Configuration des alertes par courriel apparaît. 2. Si les paramètres SMTP n'ont pas été configurés ou si vous voulez visualiser ou changer les paramètres, cliquez sur Configurer. Dans la boîte de dialogue Configuration des 115

116 paramètres SMTP, saisissez les détails comme décrit cidessous. Dans la zone de texte Adresse du serveur, saisissez le nom d'hôte ou l'adresse IP du serveur SMTP. Dans la zone de texte Expéditeur, saisissez une adresse électronique à laquelle les messages renvoyés et les rapports de non-distribution peuvent être envoyés. Cliquez sur Tester pour tester la connexion. 3. Dans le volet Destinataires, cliquez sur Ajouter. La boîte de dialogue Ajout d'un nouveau destinataire d'alerte par courriel apparaît. 4. Dans le champ Adresse électronique, saisissez l'adresse de votre destinataire. 5. Dans le champ Langue, sélectionnez la langue dans laquelle vous souhaitez que soient envoyées les alertes par courriel. 6. Dans le volet Souscriptions, sélectionnez les alertes par courriel "Niveau d'alerte dépassé" et "Niveau critique dépassé" que vous souhaitez envoyer au destinataire. Alertes par courriel "Niveau d'alerte dépassé" : Alertes Erreurs Ordinateurs non à jour Ordinateurs qui diffèrent de la stratégie Alertes par courriel "Niveau critique dépassé" : Alertes Erreurs Ordinateurs non à jour Ordinateurs qui diffèrent de la stratégie Temps écoulé depuis la dernière mise à jour Configuration des alertes par courriel pour la synchronisation avec Active Directory Vous pouvez aussi définir l'envoi des alertes par courriel aux destinataires de votre choix pour les informer des nouveaux ordinateurs et groupes découverts au cours des synchronisations avec Active Directory. Si vous optez pour une protection automatique des ordinateurs dans les groupes synchronisés, vous pouvez aussi définir l'envoi d'alertes informant des échecs de la 116

117 protection automatique. 1. Dans le menu Outils, sélectionnez Configurer les alertes par courriel. La boîte de dialogue Configuration des alertes par courriel apparaît. 2. Si les paramètres SMTP n'ont pas été configurés ou si vous voulez visualiser ou changer les paramètres, cliquez sur Configurer. Dans la boîte de dialogue Configuration des paramètres SMTP, saisissez les détails comme décrit cidessous. Dans la zone de texte Adresse du serveur, saisissez le nom d'hôte ou l'adresse IP du serveur SMTP. Dans la zone de texte Expéditeur, saisissez une adresse électronique à laquelle les messages renvoyés et les rapports de non-distribution peuvent être envoyés. Cliquez sur Tester pour tester la connexion. 3. Dans le volet Destinataires, cliquez sur Ajouter. La boîte de dialogue Ajout d'un nouveau destinataire d'alerte par courriel apparaît. 4. Dans le champ Adresse électronique, saisissez l'adresse de votre destinataire. 5. Dans le champ Langue, sélectionnez la langue dans laquelle vous souhaitez que soient envoyées les alertes par courriel. 6. Dans le volet Souscriptions, sélectionnez les alertes par courriel "Synchronisation avec Active Directory" que vous souhaitez envoyer au destinataire. Alertes par courriel "Synchronisation avec Active Directory" : Nouveaux groupes découverts Nouveaux ordinateurs découverts La protection automatique des ordinateurs a échoué Configuration de la journalisation des événements Pour permettre à Sophos Anti-Virus d'ajouter des alertes dans le journal des événements Windows 2000 ou supérieur lorsqu'un élément est trouvé ou qu'une erreur se produit, procédez ainsi : 1. Dans le volet Stratégies, cliquez deux fois sur la stratégie antivirus et HIPS que vous désirez modifier. 2. Dans la boîte de dialogue Stratégie antivirus et HIPS puis 117

118 dans la zone Configurer Sophos Anti-Virus et HIPS, cliquez sur Messagerie. 3. Dans la boîte de dialogue Messages, cliquez sur l'onglet Journalisation des événements. Paramétrez les options comme décrit ci-dessous. Activer la journalisation des événements Sélectionnez cette option pour permettre à Sophos Anti-Virus d'envoyer des messages dans le journal des événements Windows. Messages à envoyer Sélectionnez les événements pour lesquels vous souhaitez que Sophos Anti-Virus envoie des messages. Erreurs de contrôle inclut des instances lorsque l'accès à un élément que Sophos Anti-Virus tente de contrôler lui est refusé. 17 Comment gérer les alertes? Cette section décrit comment gérer les alertes. Elle inclut : Que signifient les icônes d'alertes? Gestion des alertes virales et de spywares Gestion des alertes de comportement suspect Gestion des alertes de fichier suspect Gestion des alertes de pare-feu Gestion des alertes d'adwares/pua Gestion des alertes d'application contrôlée Suppression des alertes de la console Que signifient les icônes d'alertes? Si un virus ou un spyware, un élément suspect, un adware ou toute autre application potentiellement indésirable est détecté, des icônes d'alerte apparaissent sur la page Etat de l'enterprise Console. 118

119 Les icônes d'alertes sont représentées ci-dessous. Les autres pages de cette section vous fournissent des conseils sur la manière de gérer les alertes. Des avertissements apparaissent aussi sur la console si le logiciel est désactivé ou non à jour. Pour plus d'informations, reportezvous à la rubrique Comment m'assurer que mon réseau est protégé? Icônes d'alertes Symbole Explication L'apparition d'un signal d'avertissement rouge dans la colonne Alertes et erreurs signifie qu'un virus, un ver, un cheval de Troie, un spyware ou un comportement suspect a été détecté. L'apparition d'un signal d'avertissement jaune dans la colonne Alertes et erreurs indique l'un des problèmes suivants : Un fichier suspect a été détecté. Un adware ou toute autre application potentiellement indésirable a été détecté. Une application contrôlée a été détectée. Le pare-feu a bloqué une application. Une erreur a eu lieu. L'apparition d'un signal d'avertissement jaune dans les colonnes Stratégie antivirus et HIPS, Stratégie de pare-feu, Stratégie de mise à jour ou Stratégie de contrôle des applications signifie que l'ordinateur n'utilise pas les mêmes stratégies que les autres ordinateurs de son groupe. S'il y a plusieurs alertes ou erreurs sur un ordinateur, l'icône de l'alerte ayant la priorité la plus haute apparaît dans la colonne Alertes et erreurs. Les types d'alertes sont répertoriés ci-dessous par ordre de priorité décroissant. Priorité des alertes 1. Alertes de virus/spyware 119

120 2. Alertes de comportement suspect 3. Alertes de fichiers suspects 4. Alertes de pare-feu 5. Alertes d'adwares/pua 6. Alertes des applications contrôlées 7. Erreurs de Sophos Anti-Virus, de mise à jour et de Sophos Client Firewall Gestion des alertes virales et de spywares Si un virus ou un spyware est détecté, un triangle rouge d'avertissement apparaît ainsi que les mots "Virus/spyware détecté" sur la page Etat. Pour plus de détails, cliquez sur l'onglet Détails des alertes et des erreurs. Pour gérer les virus ou les spywares, suivez les instructions de la rubrique Nettoyage immédiat des ordinateurs. Gestion des alertes de comportement suspect Si un comportement suspect ou un dépassement de la mémoire tampon est détecté lors d'une analyse comportementale runtime, un triangle rouge d'avertissement apparaît accompagné des mots "Comportement suspect détecté" sur la page Etat. Pour plus de détails, cliquez sur l'onglet Détails des alertes et des erreurs. Pour supprimer l'élément suspect, suivez les instructions de la rubrique Nettoyage immédiat des ordinateurs. Si vous voulez l'autoriser, reportez-vous à la rubrique Autorisation d'éléments suspects. Gestion des alertes de fichier suspect Si un fichier suspect est détecté, un triangle jaune d'avertissement apparaît ainsi que les mots "Fichier suspect détecté" sur la page Etat. Pour plus de détails, cliquez sur l'onglet Détails des alertes et des erreurs. Le nom du fichier apparaît dans la colonne Elément détecté. 120

121 Pour supprimer le fichier, reportez-vous à la rubrique Nettoyage immédiat des ordinateurs. Pour autoriser le fichier, suivez les instructions de la rubrique Autorisation d'éléments suspects. Gestion des alertes de pare-feu Si le pare-feu bloque une application, un triangle jaune d'avertissement apparaît ainsi que les mots "Alerte pare-feu" sur la page Etat. Cette icône indique aussi une alerte adware/pua depuis Sophos Anti-Virus. Le texte "Adware/PUA détecté" apparaît ensuite à côté de l'icône. Pour plus de détails, cliquez sur l'onglet Détails des alertes et des erreurs. Le nom de l'application bloquée par le pare-feu apparaît dans la colonne Elément détecté. Si vous désirez autoriser une application ou créer une nouvelle règle pour celle-ci, suivez les instructions de la section Autorisation des applications bloquées. Gestion des alertes d'adwares/pua En cas de détection d'un adware ou de toute autre application potentiellement indésirable (PUA), un triangle jaune d'avertissement apparaît ainsi que les mots "Adware/PUA détecté" sur la page Etat. Cette icône peut aussi indiquer une alerte de pare-feu. Le texte "Alerte pare-feu" apparaît à côté de l'icône. Pour plus de détails, cliquez sur l'onglet Détails des alertes et des erreurs. Le nom de l'application apparaît dans la colonne Elément détecté. Pour supprimer l'application, reportez-vous à la rubrique Nettoyage immédiat des ordinateurs. Pour autoriser l'application, suivez les instructions de la rubrique 121

122 Autorisation des adwares/pua. Gestion des alertes d'application contrôlée Si une application contrôlée est détectée, un triangle jaune d'avertissement apparaît ainsi que les mots "Application contrôlée détectée" sur la page Etat. Pour plus de détails, cliquez sur l'onglet Détails des alertes et des erreurs. Le nom de l'application apparaît dans la colonne Elément détecté. Pour supprimer l'application, reportez-vous à la rubrique Désinstallation des applications contrôlées non désirées. Suppression des alertes de la console Si vous prenez des mesures pour gérer les alertes ou si vous êtes certain que l'ordinateur est sain, vous pouvez effacer les signaux d'alertes affichés sur la console. Vous ne pouvez pas effacer les alertes concernant les erreurs d'installation. Celles-ci sont effacées uniquement lorsque l'installation de Sophos Anti-Virus sur l'ordinateur s'effectue avec succès. 1. Sélectionnez le ou les ordinateurs sur lesquels vous souhaitez effacer des alertes. Cliquez avec le bouton droit de la souris et sélectionnez Effacer les alertes et les erreurs. 2. La boîte de dialogue Effacement des alertes et des erreurs apparaît. Pour effacer les alertes depuis la console, dans la boîte de dialogue Effacement des alertes et des erreurs, sur l'onglet Alertes, sélectionnez les alertes que vous souhaitez effacer et cliquez sur OK. Les alertes effacées (supprimées) n'apparaissent plus dans la console. Pour supprimer les erreurs de produits Sophos depuis la console, dans la boîte de dialogue Effacement des alertes et des erreurs, rendez-vous sur l'onglet Erreurs Sophos Anti-Virus ou 122

123 sur l'onglet Erreurs de pare-feu, sélectionnez les erreurs que vous souhaitez effacer de la console et cliquez sur OK. 18 Comment nettoyer les ordinateurs? Cette section décrit la procédure de nettoyage des ordinateurs infectés par un virus ou sur lesquels une application indésirable est installée. Vous pouvez : Nettoyer immédiatement les ordinateurs Gérer les éléments détectés en cas d'échec du nettoyage Configurer un nettoyage automatique Nettoyage immédiat des ordinateurs Depuis l'enterprise Console, vous pouvez procéder à un nettoyage immédiat des ordinateurs infectés par un virus ou ayant des applications indésirables. Cette option s'applique uniquement aux ordinateurs Windows 2000 ou supérieur exécutant Sophos Anti-Virus 6 ou supérieur. Pour nettoyer les ordinateurs Windows 95/98/Me et NT4, Mac, Linux ou UNIX, vous pouvez soit configurer un nettoyage automatique depuis la console ou nettoyer les ordinateurs individuellement comme décrit à la rubrique Gestion des éléments détectés en cas d'échec du nettoyage. Sophos Anti-Virus peut signaler qu'un élément (par exemple, un cheval de Troie ou une application potentiellement indésirable) est "partiellement détectée". Ceci signifie qu'il n'a pas trouvé tous les composants de cette application. Avant de nettoyer l'article, vous aurez besoin de trouver ses autres composants en exécutant un contrôle intégral du système du ou des ordinateur(s) affectés. Pour plus d'informations, reportezvous à la rubrique Elément partiellement détecté. 1. Dans la liste des ordinateurs, cliquez avec le bouton droit de la souris sur le ou les ordinateurs que vous souhaitez nettoyer. Sélectionnez Nettoyer les éléments détectés. 123

124 2. Dans la boîte de dialogue Nettoyage des éléments détectés, sélectionnez la case de chaque élément que vous souhaitez nettoyer ou cliquez sur Sélectionner tout. 3. Cliquez sur OK pour nettoyer le ou les ordinateur(s). 4. Si le nettoyage réussi, la ou les alerte(s) apparaissant dans la liste des ordinateurs ne s'affiche(nt) plus. Si une quelconque alerte demeure répertoriée, procédez à un nettoyage manuel des ordinateurs. Voir la rubrique Gestion des éléments détectés en cas d'échec du nettoyage. Gestion des éléments détectés en cas d'échec du nettoyage Si vous ne parvenez pas à nettoyer les ordinateurs depuis la console, procédez à un nettoyage manuel de la manière suivante : 1. Dans la liste des ordinateurs, cliquez sur l'onglet Détails des alertes et des erreurs. Dans la colonne Elément détecté, recherchez le nom de l'élément. 2. Cliquer sur Voir des informations sur l'élément dans le menu Aide. Cette opération vous connecte au site Web de Sophos sur lequel vous pouvez rechercher l'élément et trouver des conseils sur la façon de nettoyer votre ordinateur. 3. Rendez-vous sur chaque ordinateur et effectuez le nettoyage manuellement. Le site Web de Sophos offre au téléchargement des outils de désinfection spéciaux pour certains virus et vers. Configuration d'un nettoyage automatique Vous pouvez nettoyer les ordinateurs automatiquement dès la découverte d'un virus ou de tout autre élément. Pour cela, vous devez modifier les paramètres du contrôle sur accès et du contrôle planifié de la manière suivante : Le contrôle sur accès ne nettoie pas les adwares et autres applications potentiellement indésirables (PUA). Traitez ceux-ci comme décrit à la rubrique Nettoyage immédiat des ordinateurs ou activez le nettoyage automatique des adwares/pua pour les contrôles planifiés. 124

125 1. Vérifiez quelle stratégie antivirus et HIPS est utilisée par le(s) groupe(s) d'ordinateur(s) que vous désirez configurer. 2. Dans le volet Stratégies, cliquez deux fois sur Antivirus et HIPS. Puis, cliquez deux fois sur la stratégie que vous désirez changer. La boîte de dialogue Stratégie antivirus et HIPS apparaît. Contrôle sur accès Dans le volet Configurer Sophos Anti-Virus et HIPS, cliquez sur le bouton Contrôle sur accès. Dans la boîte de dialogue Paramètres de contrôle sur accès, cliquez sur l'onglet Nettoyage. Paramétrez les options comme décrit ci-dessous. Virus/spywares Sélectionnez Nettoyer automatiquement les éléments contenant un virus/spyware. Vous pouvez aussi spécifiez les actions à prendre en cas d'échec du nettoyage des éléments : Ne rien faire (par défaut) Supprimer Déplacer dans l'emplacement par défaut Déplacer dans un <chemin UNC spécifié> Les paramètres spécifiant quelle action à entreprendre en cas d'échec du nettoyage ne s'appliquent pas sur les ordinateurs Windows 95, 98 ou Me. Si vous sélectionnez Déplacer dans et que vous définissez un emplacement, les ordinateurs Mac OS X déplaceront quand même les éléments infectés dans l'emplacement par défaut. Les paramètres Déplacer dans l'emplacement par défaut et Déplacer dans ne s'appliquent pas aux ordinateurs Linux ou UNIX et seront ignorés par ceux-ci. Fichiers suspects Les paramètres "fichiers suspects" s'appliquent uniquement à Sophos Anti-Virus 7 et supérieur pour Windows 2000 et supérieur. 125

126 Vous pouvez spécifier l'action à entreprendre lors de la détection de fichiers suspects : Ne rien faire (par défaut) Supprimer Déplacer dans l'emplacement par défaut Déplacer dans un <chemin UNC spécifié> Contrôle planifié Dans la boîte de dialogue Stratégie antivirus et HIPS, puis dans la zone Contrôle planifié, sélectionnez le contrôle et cliquez sur Modifier. Puis dans la boîte de dialogue Paramètres du contrôle planifié, cliquez sur Configurer. Dans la boîte de dialogue Paramètres de contrôle et de nettoyage, cliquez sur l'onglet Nettoyage. Paramétrez les options comme décrit cidessous. Virus/spywares Sélectionnez Nettoyer automatiquement les éléments contenant un virus/spyware. Vous pouvez aussi spécifiez les actions à prendre en cas d'échec du nettoyage des éléments : Ne rien faire (par défaut) Supprimer Déplacer dans l'emplacement par défaut Déplacer dans un <chemin UNC spécifié> Si vous sélectionnez Déplacer dans et que vous définissez un emplacement, les ordinateurs Windows 95, 98 et Me déplaceront quand même les éléments infectés dans l'emplacement par défaut. Adwares/PUA Sélectionnez Nettoyer automatiquement les adwares/pua, si vous le souhaitez. Le paramètre "adware/pua" s'applique uniquement à Sophos Anti-Virus 6 et supérieur pour Windows 2000 et supérieur. Fichiers suspects 126

127 Les paramètres "fichiers suspects" s'appliquent uniquement à Sophos Anti-Virus 7 et supérieur pour Windows 2000 et supérieur. Vous pouvez spécifier l'action à entreprendre lors de la détection de fichiers suspects : Ne rien faire (par défaut) Supprimer Déplacer dans l'emplacement par défaut Déplacer dans un <chemin UNC spécifié> 19 Comment générer des rapports? Vous pouvez générer des rapports à propos des alertes sur votre réseau. Pour cela, cliquez sur l'icône Rapports de la barre d'outils puis utilisez les options d'edition de rapports comme décrit dans cette section. Vous pouvez : Générer un rapport Visualiser un rapport sous forme de tableau Visualiser un rapport sous forme de diagramme Afficher le nombre d'alertes par nom d'élément Afficher le nombre d'alertes par emplacement Afficher le pourcentage d'alertes Afficher l'historique des alertes Imprimer un rapport Exporter un rapport dans un fichier Modifier la mise en page du rapport Génération d'un rapport Pour créer un rapport, procédez comme suit : 1. Dans l'enterprise Console, ouvrez le menu Outils et sélectionnez Voir les rapports. La boîte de dialogue Edition de rapports apparaît. 127

128 2. Dans le menu déroulant, cliquez sur le type de rapport que vous désirez. Alertes par nom d'élément affiche le nombre d'alertes pour chaque élément (un virus ou une application indésirable) détectée sur votre réseau. Alertes par emplacement affiche le nombre d'alertes pour chaque ordinateur ou groupe d'ordinateurs. Alertes par heure affiche le pourcentage d'alertes détectées pendant une durée déterminée. Historique des alertes affiche l'intégralité des détails concernant chaque alerte. Sur l'onglet Configuration, vous pouvez personnaliser le rapport. Puis cliquez sur l'onglet Tableau ou Diagramme pour voir le rapport. Visualisation d'un rapport sous forme de tableau 1. Dans la Sophos Enterprise Console, ouvrez le menu Outils et sélectionnez Voir les rapports. 2. Dans la boîte de dialogue Edition de rapports, sélectionnez le type de rapport que vous souhaitez créer à partir du menu déroulant. Dans l'onglet Configuration, configurez le rapport. Puis cliquez sur l'onglet Tableau. 3. Le tableau apparaît. La Description du rapport résume les critères (par exemple la période de temps couverte) utilisés pour créer le rapport. Visualisation d'un rapport sous forme de diagramme Il n'y a pas de vue du diagramme disponible pour les rapports 'Historique des alertes'. 1. Dans la Sophos Enterprise Console, ouvrez le menu Outils et sélectionnez Voir les rapports. 2. Dans la boîte de dialogue Edition de rapports, sélectionnez le type de rapport que vous souhaitez créer à partir du menu déroulant. Dans l'onglet Configuration, configurez le rapport. Puis cliquez sur l'onglet Diagramme. 128

129 3. Le diagramme s'affiche. La Description du rapport résume les critères (par exemple la période de temps couverte) utilisés pour créer le rapport. Affichage du nombre d'alertes par nom d'élément 1. Dans la Sophos Enterprise Console, cliquez sur l'icône Rapports dans la barre d'outils. 2. Dans la boîte de dialogue Edition de rapports, à partir du menu déroulant, sélectionnez Alertes par nom d'élément. 3. Sur l'onglet Configuration, vous pouvez sélectionner les options énumérées ci-dessous. Une fois que vous avez terminé, vous pouvez visualiser le rapport sous forme de diagramme ou de tableau en cliquant sur les onglets respectifs. Période du rapport Dans la zone de texte Période, cliquez sur le bouton de déroulement et sélectionnez une période de temps. Vous pouvez soit sélectionner une période de temps définie comme par exemple, Le mois dernier, ou sélectionnez l'option Personnalisé et définir votre propre période de temps dans les cases Début et Fin. Emplacement Cliquez sur Groupe d'ordinateurs ou sur Ordinateur individuel. Puis cliquez sur le bouton de déroulement pour définir un nom de groupe ou d'ordinateur. Filtre Par défaut, le rapport affiche toutes les alertes ainsi que le nombre d'occurrences pour chacune d'entre elles. Vous pouvez modifier les types d'alertes affichés sur l'un des suivants : Toutes (sauf les applications contrôlées) Virus/spywares seulement Comportement suspect seulement Fichiers suspects seulement Pare-feu seulement Adwares/PUA seulement Applications contrôlées seulement 129

130 Vous pouvez aussi configurer le rapport pour qu'il indique uniquement : les n premières alertes (où n est un nombre que vous définissez), ou les alertes avec m occurrences ou plus (où m est un nombre que vous définissez). Tri par Par défaut, le rapport répertorie les alertes dans l'ordre décroissant du nombre d'occurrences. Sélectionnez la case Nom d'alerte si vous souhaitez que leurs noms soient classés par ordre alphabétique. Affichage du nombre d'alertes par emplacement 1. Dans la Sophos Enterprise Console, cliquez sur l'icône Rapports dans la barre d'outils. 2. Dans la boîte de dialogue Edition de rapports, à partir du menu déroulant, sélectionnez Alertes par emplacement. 3. Sur l'onglet Configuration, vous pouvez sélectionner les options énumérées ci-dessous. Une fois que vous avez terminé, vous pouvez visualiser le rapport sous forme de diagramme ou de tableau en cliquant sur les onglets respectifs. Période du rapport Dans la zone de texte Période, cliquez sur le bouton de déroulement et sélectionnez une période de temps. Vous pouvez soit sélectionner une période de temps définie comme par exemple, Le mois dernier, ou sélectionnez l'option Personnalisé et définir votre propre période de temps dans les cases Début et Fin. Emplacement Cliquez sur Ordinateurs pour afficher les alertes par ordinateur ou sur Groupe pour afficher les alertes pour chaque groupe d'ordinateurs. Filtre 130

131 Par défaut, le rapport affiche toutes les alertes ainsi que le nombre d'occurrences pour chacune d'entre elles. Vous pouvez modifier les types d'alertes affichés sur l'un des suivants : Toutes (sauf les applications contrôlées) Virus/spywares seulement Comportement suspect seulement Fichiers suspects seulement Pare-feu seulement Adwares/PUA seulement Applications contrôlées seulement Autrement, vous pouvez configurer le rapport pour qu'il affiche uniquement les emplacements ayant signalé une alerte particulière. Pour définir une seule alerte, cliquez sur la flèche du menu déroulant et sur un nom d'alerte dans la liste. Pour définir plusieurs alertes, saisissez un nom dans la zone de texte en utilisant des caractères joker. Utilisez? pour la substitution d'un seul caractère du nom et * pour la substitution d'une chaîne de caractères. Par exemple, W32/* définit tous les virus dont le nom commence par W32/. Par défaut, le rapport affiche tous les ordinateurs ou tous les groupes (selon la sélection effectuée pour Emplacement). Toutefois, vous pouvez le configurer pour qu'il affiche uniquement les n premiers emplacements qui ont enregistré le plus d'alertes (ou n est un nombre que vous définissez), ou les emplacements avec m alertes ou plus (où m est un nombre que vous définissez). Tri par Par défaut, le rapport répertorie les emplacements dans l'ordre décroissant du nombre d'alertes par virus. Cochez Emplacement si vous souhaitez que leurs noms soient classés par ordre alphabétique. Affichage du pourcentage d'alertes 1. Dans la Sophos Enterprise Console, cliquez sur l'icône Rapports dans la barre d'outils. 2. Dans la boîte de dialogue Edition de rapports, à partir du 131

132 menu déroulant, sélectionnez Alertes par heure. 3. Sur l'onglet Configuration, vous pouvez sélectionner les options énumérées ci-dessous. Une fois que vous avez terminé, vous pouvez visualiser le rapport sous forme de diagramme ou de tableau en cliquant sur les onglets respectifs. Période du rapport Dans la zone de texte Période, cliquez sur le bouton de déroulement et sélectionnez une période de temps. Vous pouvez soit sélectionner une période de temps définie comme par exemple, Le mois dernier, ou sélectionnez l'option Personnalisé et définir votre propre période de temps dans les cases Début et Fin. Emplacement Cliquez sur Groupe d'ordinateurs ou sur Ordinateur individuel. Puis cliquez sur le bouton de déroulement pour définir un nom de groupe ou d'ordinateur. Filtre Par défaut, le rapport affiche toutes les alertes ainsi que le nombre d'occurrences pour chacune d'entre elles. Vous pouvez modifier les types d'alertes affichés sur l'un des suivants : Toutes (sauf les applications contrôlées) Virus/spywares seulement Comportement suspect seulement Fichiers suspects seulement Pare-feu seulement Adwares/PUA seulement Applications contrôlées seulement Si vous souhaitez que le rapport affiche uniquement les statistiques d'une alerte particulière ou d'un groupe d'alertes, utilisez la zone de texte Afficher seulement les alertes comme. Pour définir une seule alerte, cliquez sur la flèche du menu déroulant et sur un nom d'alerte dans la liste. Pour définir plusieurs alertes, saisissez un nom dans la zone de texte en utilisant des caractères joker. Utilisez? pour la substitution d'un seul caractère du nom et * pour la substitution d'une chaîne de caractères. Par exemple, W32/* définit tous les virus dont le nom commence par W32/. 132

133 Intervalle de mesure Pour définir les intervalles de temps auxquels le pourcentage d'alertes doit être calculé, par exemple toutes les heures ou tous les jours, cliquez sur la flèche du menu déroulant et sélectionnez un intervalle. Affichage de l'historique des alertes 1. Dans la Sophos Enterprise Console, ouvrez le menu Outils et sélectionnez Voir les rapports. 2. Dans la boîte de dialogue Edition de rapports, à partir du menu déroulant, sélectionnez Historique des alertes. 3. Sur l'onglet Configuration, vous pouvez sélectionner les options énumérées ci-dessous. Lorsque vous avez terminé, cliquez sur l'onglet Tableau pour afficher le rapport. Période du rapport Dans la zone de texte Période, cliquez sur le bouton de déroulement et sélectionnez une période de temps. Vous pouvez soit sélectionner une période de temps définie comme par exemple, Le mois dernier, ou sélectionnez l'option Personnalisé et définir votre propre période de temps dans les cases Début et Fin. Emplacement Cliquez sur Groupe d'ordinateurs ou sur Ordinateur individuel. Puis cliquez sur le bouton de déroulement pour définir un nom de groupe ou d'ordinateur. Filtre Par défaut, le rapport affiche toutes les alertes ainsi que le nombre d'occurrences pour chacune d'entre elles. Vous pouvez modifier les types d'alertes affichés sur l'un des suivants : Toutes (sauf les applications contrôlées) Virus/spywares seulement Comportement suspect seulement Fichiers suspects seulement 133

134 Pare-feu seulement Adwares/PUA seulement Applications contrôlées seulement Si vous souhaitez que le rapport affiche uniquement les statistiques d'une alerte particulière ou d'un groupe d'alertes, utilisez la zone de texte Afficher seulement les alertes comme. Pour définir une seule alerte, cliquez sur la flèche du menu déroulant et sur un nom d'alerte dans la liste. Pour définir plusieurs alertes, saisissez un nom dans la zone de texte en utilisant des caractères joker. Utilisez? pour la substitution d'un seul caractère du nom et * pour la substitution d'une chaîne de caractères. Par exemple, W32/* définit tous les virus dont le nom commence par W32/. Tri par Par défaut, les détails de l'alerte sont triés en fonction du Nom d'alerte. Toutefois, les rapports peuvent aussi être triés en fonction du Nom d'ordinateur, du Nom de groupe de l'ordinateur, ou de la Date et heure. Impression d'un rapport Pour imprimer un rapport, cliquez sur l'icône Imprimer de la barre d'outils en haut du rapport. Exportation d'un rapport dans un fichier Pour exporter un rapport dans un fichier : 1. Cliquez sur l'icône Exporter de la barre d'outils en haut du rapport. 2. Dans la boîte de dialogue Exportation du rapport, sélectionnez le type de document ou de feuille de calcul vers lequel vous souhaitez exporter le rapport. les options sont : PDF (Acrobat) 134

135 HTML Microsoft Excel Microsoft Word Rich Text Format (RTF) Valeurs séparées par des virgules (CSV) XML 3. Cliquez sur le bouton de navigation Nom du fichier pour sélectionner un emplacement. Puis saisissez un nom. Cliquez sur OK. Modification de la mise en page du rapport Vous pouvez modifier la mise en page utilisée pour les rapports. Par exemple, vous pouvez visualiser un rapport au format paysage (largeur de page). 1. Cliquez sur l'icône de mise en page de la barre d'outils en haut du rapport. 2. Dans la boîte de dialogue Mise en page, définissez la taille, l'orientation et les marges de la page. Cliquez sur OK. Le rapport s'affichera ensuite avec ces paramètres de mise en page. Ces paramètres de mise en page seront aussi utilisés lorsque vous imprimerez ou exporterez le rapport. 20 Comment un autre utilisateur peut-il utiliser l'enterprise Console? Seuls les membres du groupe Sophos Console Administrators peuvent utiliser l'enterprise Console. Si vous désirez autoriser l'utilisation de l'enterprise Console à un autre utilisateur, utilisez les outils Windows pour ajouter cet utilisateur au groupe. 135

136 21 Comment activer ou désactiver l'édition de rapports? Vous pouvez choisir d'autoriser la Sophos Enterprise Console à signaler à Sophos, de façon hebdomadaire, le nombre d'ordinateurs administrés et les informations concernant les types et les versions des systèmes d'exploitation et des produits Sophos utilisés. Sophos utilisera ces informations pour fournir un meilleur service du support et aussi pour mieux comprendre comment nos clients utilisent nos produits. Toutes les informations transmises à Sophos concernant vos ordinateurs n'identifieront pas d'ordinateurs individuels ou spécifiques. Sophos n'utilisera pas les informations qui lui sont transmises pour identifier votre entreprise sauf si vous nous fournissez votre nom utilisateur de téléchargement EM et/ou votre adresse électronique de contact. Vous avez le choix d'activer la transmission de rapports à Sophos lors de l'installation ou de la mise à niveau de la console, dans l'assistant d'installation de la Sophos Enterprise Console. Si vous voulez activer ou désactiver l'envoi de rapports à Sophos après l'installation, procédez comme suit : 1. Dans le menu Outils, sélectionnez Envoyer des rapports à Sophos. 2. La boîte de dialogue Envoi de rapports à Sophos apparaît. Si vous souhaitez activer l'envoi de rapports à Sophos, veuillez lire l'accord et sélectionnez la case Je suis d'accord si vous acceptez les termes de l'accord. Si vous souhaitez que le support client Sophos vous contacte directement, par exemple, en cas de problème avec une plateforme ou une version, saisissez votre nom utilisateur de téléchargement EM et/ou votre adresse électronique de contact. Inutile de fournir ce nom utilisateur ou cette adresse si vous souhaitez transmettre ces informations anonymement. Si vous souhaitez désactiver l'envoi de rapports à Sophos, dessélectionnez la case Je suis d'accord. 3. Cliquez sur OK. 136

137 22 Résolution des problèmes Cette section décrit comment traiter les problèmes qui pourraient survenir lors de l'utilisation d'enterprise Console. Impossible de protéger les ordinateurs dans le dossier Non affectés L'installation de Sophos Anti-Virus a échoué Les ordinateurs ne sont pas à jour Les paramètres antivirus ne s'appliquent pas sur Macintosh Les paramètres antivirus ne s'appliquent pas sur Linux L'ordinateur Linux n'applique pas la stratégie Les paramètres du contrôle sur accès ne s'appliquent pas Apparition inattendue d'un nouveau contrôle sur les ordinateurs 2000 ou supérieur Problèmes de connectivité et de délai Les adwares/pua ne sont pas détectés Elément partiellement détecté Fréquentes alertes concernant les applications potentiellement indésirables Echec du nettoyage Guérison des effets secondaires des virus Guérison des effets secondaires des applications Support technique Impossible de protéger les ordinateurs dans le dossier Non affectés Le dossier Non affectés est uniquement destiné à contenir les ordinateurs qui ne sont pas encore assignés à un groupe. Vous ne pouvez pas protéger les ordinateurs tant que vous ne les avez pas placé dans un groupe. L'installation de Sophos Anti-Virus a échoué Si l'assistant de protection des ordinateurs ne parvient pas à installer 137

138 Sophos Anti-Virus sur les ordinateurs, c'est probablement parce que : L'Enterprise Console ne reconnaît pas le système d'exploitation exécuté par les ordinateurs. Ceci est probablement dû au fait que vous n'avez pas saisi votre nom utilisateur au format domaine\utilisateur lors de la recherche d'ordinateurs. Les ordinateurs exécutent un pare-feu (généralement, il s'agit d'ordinateurs Windows XP SP2 et Windows Vista). Le "Partage de fichiers simple" n'a pas été activé ou désactivé sur les ordinateurs Windows XP. Pour une liste complète des configurations requises pour les logiciels antivirus et pare-feu, consultez le Guide de démarrage réseau de Sophos Endpoint Security and Control. Les ordinateurs ne sont pas à jour Si le logiciel d'un ordinateur n'est pas à jour, une horloge s'affiche dans la colonne A jour de la page d'etat. Le texte indique depuis quand l'ordinateur n'est plus à jour. Un ordinateur peut être non mis à jour pour l'une des deux raisons suivantes : l'ordinateur ne parvient pas à récupérer une mise à jour depuis le serveur. le serveur ne dispose pas du logiciel Sophos le plus récent. Cette section vous indique comment établir un diagnostic du problème et mettre à jour les ordinateurs. 1. Sélectionnez le groupe dans lequel vous souhaitez rechercher les ordinateurs non mis à jour. 2. Sur la page à onglet Etat, cliquez sur la colonne A jour pour trier les ordinateurs par date de mise à jour. 3. Cliquez sur l'onglet Détails mise à jour et observez la colonne Serveur principal. Le répertoire à partir duquel chaque ordinateur se met à jour est affiché. 4. A présent, observez les ordinateurs qui se mettent à jour à partir d'un répertoire particulier. Si certains ne sont pas à jour alors que d'autres le sont, le 138

139 problème provient des ordinateurs individuels. Sélectionnezles, cliquez dessus avec le bouton droit de la souris et sélectionnez Mettre les ordinateurs à jour maintenant. Si tous ne sont pas à jour, le problème pourrait provenir du répertoire. Cliquez sur l'icône Bibliothèques de la barre d'outils. Dans la console EM Library, cliquez sur le nom de la bibliothèque (dans le volet de gauche), puis cliquez sur Central Installations. Sélectionnez le répertoire susceptible de ne pas être à jour. Cliquez avec le bouton droit de la souris et sélectionnez Update CID. Puis, retournez dans l'enterprise Console, sélectionnez les ordinateurs non à jour, cliquez avec le bouton droit de la souris et sélectionnez Mettre les ordinateurs à jour maintenant. Les paramètres antivirus ne s'appliquent pas sur Macintosh Certains paramètres antivirus ne peuvent s'appliquer aux ordinateurs Mac. Dans cette circonstance, un avertissement apparaît sur cette page de paramètres. Vous pouvez modifier les paramètres antivirus sur les ordinateurs Mac avec Sophos Update Manager, un utilitaire fournit avec Sophos Anti-Virus pour Mac. Pour ouvrir Sophos Update Manager, sur un ordinateur Mac, dans la fenêtre Finder, naviguez jusqu'au dossier Sophos Anti-Virus:ESOSX. Cliquez deux fois sur Sophos Update Manager. Pour de plus amples détails, reportez-vous à l'aide du Sophos Update Manager. Les paramètres antivirus ne s'appliquent pas sur Linux ou UNIX Certains paramètres antivirus ne s'appliquent pas aux ordinateurs Linux. Dans cette circonstance, un avertissement apparaît sur cette page de paramètres. Vous pouvez modifier les paramètres antivirus des ordinateurs Linux à l'aide des commandes savconfig et savscan comme décrit 139

140 dans le manuel utilisateur de Sophos Anti-Virus pour Linux. Vous pouvez modifier les paramètres antivirus des ordinateurs UNIX à l'aide de la commande savscan comme décrit dans le manuel utilisateur de Sophos Anti-Virus pour UNIX. L'ordinateur Linux ou UNIX n'est pas en conformité avec la stratégie Si vous utilisez un fichier de configuration d'entreprise dans le CID, et si le fichier contient une valeur de configuration en conflit avec la stratégie, l'ordinateur apparaîtra comme non conforme avec la stratégie. La sélection de l'option Appliquer la stratégie mettra l'ordinateur en conformité seulement temporairement, jusqu'à ce que la configuration de type CID soit réappliquée. Pour résoudre le problème, parcourez le fichier de configuration d'entreprise et, le cas échéant, remplacez-la par une configuration basée sur la console. Les paramètres du contrôle sur accès ne s'appliquent pas Sur les ordinateurs Windows NT, 95, 98 et Me, la modification de certains paramètres dans les pages de paramètres du contrôle sur accès n'ont aucun effet. Un avertissement concernant ce sujet est disponible sur les pages correspondantes. Dans ces circonstances, les modifications que vous apportez dans les pages de paramètres du contrôle planifié s'appliquent à la fois au contrôle planifié et au contrôle sur accès. Ceci est dû à la conception de Sophos Anti-Virus pour ces versions antérieures de Windows. Apparition inattendue d'un nouveau contrôle sur les ordinateurs 2000 ou supérieur Si vous regardez la copie locale de Sophos Anti-Virus sur les ordinateurs Windows 2000 ou version supérieure, vous remarquerez 140

141 qu'un nouveau "Contrôle disponible" est répertorié alors que l'utilisateur n'en a pas créé. Ce nouveau contrôle est en fait un contrôle planifié que vous avez configuré depuis la console. Ne le supprimez pas. Problèmes de connectivité et de délai Si les communications entre l'enterprise Console et un ordinateur en réseau sont lentes ou si l'ordinateur ne répond pas, il se peut qu'il y ait un problème de connectivité. Vérifiez le rapport sur les communications réseau Sophos qui présente un aperçu de l'état actuel des communications entre un ordinateur et l'enterprise Console. Pour voir le rapport, rendez-vous sur l'ordinateur concerné par le problème. Sur la barre des tâches, cliquez sur le bouton Démarrer, sélectionnez Tous les programmes Sophos Sophos Anti-Virus et cliquez sur Voir le rapport sur les communications réseau Sophos. Le rapport indique les zones à problèmes éventuelles et, en cas de détection d'un problème, les actions à prendre pour y remédier. Les adwares/pua ne sont pas détectés Si des adwares et autres applications potentiellement indésirables (PUA) ne sont pas détectés, assurez-vous que : la détection a été activée. Reportez-vous à la rubrique Contrôle à la recherche des adwares/pua. les applications se trouvent sur un ordinateur exécutant Sophos Anti-Virus 6 ou supérieur sur Windows 2000 ou supérieur. Elément partiellement détecté Sophos Anti-Virus peut signaler qu'un élément (par exemple, un cheval de Troie ou une application potentiellement indésirable) est "partiellement détectée". Ceci signifie qu'il n'a pas trouvé tous les composants de cette application. 141

142 Pour trouver d'autres composants, il est nécessaire que vous lanciez un contrôle intégral du système du ou des ordinateurs affectés. Sur des ordinateurs utilisant Sophos Anti-Virus 7 pour Windows 2000/ XP/2003/Vista, vous pouvez effectuer cette opération en sélectionnant le ou les ordinateurs, en cliquant avec le bouton droit de la souris et en sélectionnant Contrôle intégral du système. Vous pouvez aussi configurer un contrôle planifié à la recherche d'adwares et d'autres applications potentiellement indésirables. Si l'application n'a toujours pas été intégralement détectée, il se peut que ce soit parce que : vous ne disposez pas de droits suffisants certains lecteurs ou dossiers de l'ordinateur, contenant les composants de l'application, sont exclus du contrôle. S'il s'agit du dernier cas, vérifiez la liste des éléments exclus du contrôle. Si certains éléments figurent dans la liste, supprimez les de la liste et lancez un nouveau contrôle de l'ordinateur. Il se peut que Sophos Anti-Virus ne soit pas en mesure de détecter intégralement ou de supprimer les adwares et les applications potentiellement indésirables dont les composants sont installés sur des lecteurs réseau. Pour plus de conseils, contactez le support technique Sophos. Fréquentes alertes concernant les applications potentiellement indésirables Vous pourriez recevoir un très grand nombre d'alertes à propos d'applications potentiellement indésirables, y compris de nombreux rapports concernant la même application. Ceci peut survenir parce que certains types d'application potentiellement indésirable "surveillent" les fichiers et essayent d'y accéder régulièrement. Si le contrôle sur accès est activé, Sophos Anti-Virus détecte chaque accès à un fichier et envoie une alerte. Procédez de la manière suivante : Désactivez le contrôle sur accès des adwares/pua. Vous pouvez utiliser un contrôle planifié à la place. 142

143 Autorisez l'application (si vous désirez qu'elle soit exécutée sur vos ordinateurs). Nettoyez le ou les ordinateurs en supprimant les applications que vous n'avez pas autorisées. Echec du nettoyage Si Sophos Anti-Virus ne parvient pas à nettoyer les éléments ("Echec du nettoyage"), c'est probablement parce que : Il n'a pas trouvé tous les composants d'un élément à plusieurs composants. Exécutez un contrôle intégral du système du ou des ordinateurs pour trouver les autres composants. Certains lecteurs ou dossiers contenant les composants de l'élément sont exclus du contrôle. Vérifiez les éléments exclus du contrôle. Si certains éléments figurent dans la liste, supprimez les de la liste. Vous ne disposez pas de droits suffisants. Il ne parvient pas à nettoyer ce type d'élément. Un fragment de virus a été découvert plutôt qu'une correspondance virale exacte. L'élément se trouve sur une disquette ou un CD-ROM protégé en écriture. L'élément se trouve sur un volume NTFS (Windows 2000 ou supérieur) protégé en écriture. Guérison des effets secondaires des virus Le nettoyage peut supprimer un virus des ordinateurs mais ne peut pas toujours neutraliser les effets secondaires. Certains virus ne laissent aucun effet secondaire. D'autres peuvent apporter des modifications ou corrompre des données de telle manière qu'il est très difficile de les détecter. Pour gérer ce problème, procédez comme suit : Cliquer sur Voir des informations sur l'élément dans le menu Aide. Cette opération vous connecte au site Web de Sophos sur lequel vous pouvez consulter l'analyse du virus. Utilisez des sauvegardes ou des copies originales des 143

144 programmes pour remplacer les programmes infectés. Si vous n'aviez pas de copies de sauvegarde avant l'infection, créez les en cas de futures infections. Parfois, vous pouvez récupérer des données sur les disques endommagés par un virus. Sophos peut fournir des utilitaires pour réparer les dommages occasionnés par certains virus. Pour plus de conseils, contactez le support technique de Sophos. Guérison des effets secondaires des applications Le nettoyage supprime les applications indésirables mais ne peut pas toujours neutraliser les effets secondaires. Certaines applications modifient le système d'exploitation, par exemple, en changeant vos paramètres de connexion Internet. Sophos Anti-Virus ne peut pas toujours restaurer tous les paramètres. Par exemple, si une application a modifié la page d'accueil de l'explorateur, Sophos Anti-Virus ne peut pas savoir quelle page d'accueil était utilisée auparavant. Certaines applications installent des utilitaires, tels que des fichiers. dll ou.ocx sur votre ordinateur. Si un utilitaire est inoffensif (c'est à dire qu'il ne possède pas les "qualités" d'une application potentiellement indésirable), par exemple, une bibliothèque de langue, et qu'il ne fait pas partie intégrante de l'application, il se peut que Sophos Anti-Virus ne le détecte pas en tant que partie de l'application. Dans ce cas, le nettoyage n'entraînera pas la suppression du fichier de votre ordinateur. Parfois une application, telle qu'un adware (logiciel publicitaire), fait partie d'un programme que vous avez installé de manière intentionnelle, et sa présence est requise pour pouvoir exécuter le programme. Si vous supprimez cette application, l'exécution de ce programme peut s'interrompre sur l'ordinateur. Vous devez : Cliquer sur Voir des informations sur l'élément dans le menu Aide. Cette opération vous connecte au site Web de Sophos sur lequel vous pouvez consulter l'analyse de l'application. Utiliser des sauvegardes pour restaurer les paramètres de votre système ou les programmes que vous désirez utiliser. Si vous 144

145 n'aviez pas de copies de sauvegarde avant l'incident, créez les en cas de futurs incidents. Pour plus d'informations ou de conseils sur la manière de guérir les effets secondaires d'un adware ou d'une application potentiellement indésirable, contactez le support technique Sophos. Support technique 23 Glossaire Pour obtenir le support technique, rendez-vous sur support. Si vous contactez le support technique, fournissez autant d'informations que possible, y compris : Le(s) numéro(s) de version du logiciel Sophos Le(s) système(s) d'exploitation et le(s) niveau(x) de correctif Le texte exact de tous les messages d'erreur A B C D E F G H I J K L M N O P Q R S T U V W X Y Z -Aadware Programme qui affiche des fenêtres publicitaires intempestives pour un impact négatif sur la productivité de l'utilisateur et sur l'efficacité du système. analyse comportementale runtime Analyse dynamique du comportement des programmes s'exécutant sur le système effectuée par les fonctions "Détecter tout comportement suspect " et "Détecter les dépassements de mémoire tampon". 145

146 Application Control Fonctionnalité de Sophos Anti-Virus permettant de bloquer ou d'autoriser l'exécution d'applications légitimes, conformément à la politique de sécurité de l'entreprise. application contrôlée Application légitime ne constituant pas une menace à la sécurité, mais que vous avez décidé de considérer l'utilisation comme inappropriée dans l'environnement de votre entreprise. Les applications contrôlées peuvent inclure des jeux, des clients de messagerie instantanée (IM), des clients de voix sur IP (VoIP), des logiciels d'imagerie numérique, des lecteurs multimédia, des plugins de navigateur et bien d'autres encore. application potentiellement indésirable (PUA) Programme non malveillant en soi mais dont la présence est généralement considérée comme inappropriée par la majorité des réseaux professionnels. Les applications potentiellement indésirables peuvent afficher de la publicité, suivre à la trace les visites sur les sites Web ou modifier la configuration d'un ordinateur. Elles incluent les adwares, les composeurs, les outils d administration à distance et les outils de piratage. Haut de page -Ccomportement suspect Comportement normalement attribué à un logiciel malveillant manifesté par une application qui n'a pas été identifiée comme malveillante avant son exécution. contrôle d'accès réseau (NAC) Un système permettant de réduire les menaces à la sécurité posées par des ordinateurs non autorisés, non conformes ou infectés en leur interdisant l'accès aux ressources réseau. CSV (valeurs séparées par des virgules) Autre nom pour le format délimité par des virgules. Il s'agit d'un format de données dans lequel chaque groupe de données est 146

147 séparé par une virgule. Ce format est couramment utilisé pour transférer des données d'une application vers une autre, car la plupart des systèmes de base de données peuvent importer et exporter des données délimitées par des virgules. Par exemple, un fichier.csv peut être importé dans Microsoft Excel pour une analyse plus approfondie. Haut de page -Ffichier suspect Fichier contenant certaines caractéristiques communes aux logiciels malveillants mais pas suffisantes pour que le fichier soit identifié en tant que nouvelle pièce d'un logiciel malveillant (par exemple, un fichier contenant du code de décompression dynamique habituellement utilisé par les logiciels malveillants). Haut de page -Ggroupe synchronisé Sous-groupe d'un point de synchronisation importé depuis Active Directory. Haut de page -H- HIPS (système de prévention des intrusions sur l'hôte) Technologie de sécurité pour assurer la protection contre les fichiers suspects, les virus non identifiés et tout comportement suspect. Haut de page 147

148 Contraction de "malicious software" signifiant logiciel malveillant. Logiciel spécialement conçu pour endommager ou perturber un système. Il peut s'agir d'un virus, d'un ver, d'un cheval de Troie ou d'un spyware. Haut de page -Mmalware -N- NAC (contrôle d'accès réseau) Voir contrôle d'accès réseau. Haut de page -Ppoint de synchronisation Groupe Enterprise Console qui désigne un conteneur (ou une sous-arborescence) dans Active Directory. PUA (application potentiellement indésirable) Voir application potentiellement indésirable. Haut de page -Sspyware Programme qui s'installe furtivement, par subterfuge ou par ingénierie sociale sur un ordinateur et qui envoie depuis ce dernier des informations à un tiers sans l'autorisation ou à l'insu de son utilisateur. Parmi les spywares, on trouve les enregistreurs de touches, les chevaux de Troie de porte dérobée, les voleurs de mots de passe et les vers Botnet qui provoquent vol de données 148

149 professionelles, pertes finacières et détérioration du réseau. synchronisation avec Active Directory Synchronisation unilatérale des groupes Sophos Enterprise Console avec les conteneurs Active Directory. système de prévention des intrusions sur l'hôte (HIPS) Voir HIPS. Haut de page -Ttableau de bord Visualisation en un clin d'oeil de l'état de la sécurité du réseau. Haut de page -Vvaleurs séparées par des virgules (CSV) Voir CSV. virus Programme qui se propage sur les ordinateurs et les réseaux en se joignant à un autre programme et en créant des copies de luimême. virus non identifié Virus sans identité attribuée ou virus inconnu. 149

150 Haut de page 150