Annexe 4 Kaspersky Security For MS Exchange Consulting Team 2015 K A S P E R S K Y L A B Immeuble l Européen 2, rue 1 Joseph Monier 92859 Rueil Malmaison Cedex
Table des matières Table des matières... 2 Kaspersky Security for Microsoft Exchange Servers... 3 1.1. Présentation... 3 1.2. Principe de fonctionnement... 4 1.3. Composants de l'application et leurs rôles... 6 1.4. Configuration requise... 6 1.4.1. Systèmes d'exploitation... 6 1.4.2. Versions d'exchange... 7 1.4.3. Base de données... 7 1.4.4. Console d'administration... 7 1.5. Architecture du serveur de sécurité... 7 1.5.1. Architecture de protection Rôles Microsoft Exchange (2010):... 8 1.6. Points forts de l'application... 9 1.6.1. Une protection efficace contre les logiciels malveillants... 9 1.6.2. Technologie «ZETA shield» (ZEroday Targetted Attack)... 10 1.6.3. Détection intelligente pour une protection Antispam efficace... 10 1.6.4. Kaspersky Security Network (système de protection par réputation)... 12 1.6.5. Data Loss Prevention (DLP)... 12 1.7. Les fonctionnalités en détail... 13 1.7.1. Analyse en temps réel... 13 1.7.2. Analyse à la demande et programmée en arrière-plan... 15 1.7.3. Optimisation... 15 1.7.4. Copie de sauvegarde (quarantaine)... 16 1.7.5. Technologies intelligentes de détection Antispam... 17 1.7.6. Analyse avancée des messages... 17 1.7.7. Classification des messages... 18 1.7.8. Listes noire et blanche... 19 1.7.9. Tableaux de bord dynamiques... 20 1.8. Administration flexible... 21 Administration conviviale... 21 1.8.1. Rôles des utilisateurs de l'application... 22 1.8.2. Profils de configuration... 22 2
1.9. Mises à jour des bases de signatures... 23 1.10. Rapports et notification... 24 Rapports détaillés... 24 Système de notifications... 26 Kaspersky Security for Microsoft Exchange Servers 1.1. Présentation Kaspersky Security protège les boîtes aux lettres, les dossiers partagés et le flux de messagerie de Microsoft Exchange Server contre les programmes malveillants et le courrier indésirable. L'ensemble du flux de messagerie qui transite via le serveur Microsoft Exchange Server protégé est analysé. Kaspersky Security permet de réaliser les opérations suivantes : Analyser le courrier entrant et sortant ainsi que les messages stockés sur Microsoft Exchange Server (y compris dans les dossiers partagés) afin de détecter d'éventuels objets malveillants. Lors de l'analyse, toutes les pièces jointes sont traitées en plus du message. En fonction des paramètres définis, l'application répare ou supprime les objets malveillants découverts et fournit à l'utilisateur toutes les informations à leur sujet. Filtrer les messages non sollicités (spam et phishing) hors du courrier. Le composant analyse le trafic de messagerie à la recherche de messages non sollicités. De plus, le composant Antispam permet de créer des listes noire et blanche d'adresses d'expéditeurs et il prend en charge la configuration souple de l'agressivité de la recherche des messages non sollicités. Créer dans un dossier de quarantaine des copies de sauvegarde des objets (pièce jointe ou corps du message) et des messages non sollicités avant leur réparation ou leur suppression afin de pouvoir les restaurer ultérieurement, ce qui exclut la possibilité de perdre des informations. Les copies originales peuvent être localisées aisément grâce aux filtres configurables. Notifier à l'expéditeur, au destinataire et à l'administrateur de la protection antivirus les messages contenant des objets malveillants. Tenir des journaux des événements, récolter des statistiques et créer des rapports réguliers sur le fonctionnement de l'application. L'application permet de créer des rapports manuellement ou selon un horaire défini. Configurer les paramètres de fonctionnement de l'antispam en fonction du volume et des caractéristiques du trafic et notamment, définir le délai de connexion pour optimiser l'analyse. Mettre à jour les bases de Kaspersky Security automatiquement ou selon un horaire défini. Les serveurs FTP et HTTP de mises à jour de Kaspersky Lab sur Internet, un dossier local/de réseau 3
contenant la sélection actuelle de mise à jour ou un serveur FTP ou HTTP défini par l'utilisateur peuvent faire office de source des mises à jour. Lancer une analyse programmée des anciens messages (analysés antérieurement) à la recherche de nouveaux virus. Cette analyse sera exécutée en arrière-plan et aura une incidence négligeable sur les performances du serveur de messagerie. Activer la protection antivirus au niveau des banques d'informations et des dossiers publics à protéger. Administrer les licences. Chaque licence est octroyée pour un nombre défini de boîte aux lettres et non pas pour un nombre de comptes. Module optionnel de lutte contre les fuites de données (Data Loss Prevention, DLP) : Le module DLP permet de bloquer la transmission de messages contenant des données confidentielles ou d'autoriser l'envoi de tels messages, avec simplement consignation dans le journal. 1.2. Principe de fonctionnement Kaspersky Security recherche la présence éventuelle de virus dans tout le courrier entrant et sortant ainsi que dans les messages stockés sur le serveur de messagerie et filtre également le courrier indésirable. Le programme vérifie le corps du message ainsi que les pièces jointes, quel que soit leur format. La recherche des programmes malveillants et du courrier indésirable s'opère selon les enregistrements des bases de signatures. Les bases sont actualisées à intervalle régulier par Kaspersky Lab et elles sont diffusées sur les serveurs de mises à jour en ligne. En outre, l application utilise un mécanisme d analyse spécial : l'analyseur heuristique qui permet de découvrir des virus inconnus. La recherche du courrier indésirable est à la charge du composant Antispam qui exploite plusieurs technologies afin d'identifier les messages non sollicités. L'application analyse en temps réel les objets qui arrivent sur le serveur. Les nouveaux messages ne peuvent pas être lus tant qu ils n ont pas été analysés. Chaque objet est traité conformément aux actions définies par l'administrateur pour différents types d'objets. Le logiciel peut enregistrer l objet dans un dossier de sauvegarde spécial avant la modification. Cette copie pourra être restaurée ultérieurement ou envoyée pour examen aux spécialistes de Kaspersky Lab. 4
L'application peut envoyer des notifications sur les événements à l'administrateur de la protection antivirus, au destinataire ou à l'expéditeur du message et elle peut également consigner les informations correspondantes dans les journaux de Kaspersky Security et dans le journal des applications de Microsoft Windows. 5
1.3. Composants de l'application et leurs rôles L'application contient deux composants principaux : Serveur de sécurité. Il s'installe sur le serveur Microsoft Exchange et il est chargé du filtrage des messages non sollicités et de la protection contre les virus. Le serveur de sécurité intercepte les messages qui arrivent sur Microsoft Exchange Server et les soumet à la recherche d'éventuels virus ou messages non sollicités à l'aide des modules intégrés Antivirus, AntiPhishing et AntiSpam. Si le message entrant est infecté par un virus ou s'il s'agit d'un message non sollicité, il peut être enregistré dans la sauvegarde ou supprimé en fonction des paramètres de l'antivirus ou de l'antispam. La console d'administration est un composant enfichable isolé spécial intégré à MMC (Microsoft Management Console) 3.0. La console d'administration peut être installée sur le serveur Microsoft Exchange ou sur un ordinateur distant pour l'administration à distance de la protection du serveur Microsoft Exchange. La console d'administration permet de composer la liste des serveurs Microsoft Exchange à protéger et d'administrer. 1.4. Configuration requise Pour un bon fonctionnement de Kaspersky Security for Microsoft Exchange Servers, le système doit satisfaire aux spécifications suivantes: Système compatible 64 bits à processeur simple ou multi-cœur 2 Go RAM pour les modules Antivirus + Antispam et 2 Go RAM pour le module DLP 300 Mo d'espace disque pour l'installation de tous les composants de l'application 5 Go d'espace disque recommandés pour la sauvegarde des objets Configuration matérielle du poste d'administration : Processeur Intel Pentium 400 MHz (ou plus rapide) 1000 MHz recommandés 256 Mo de mémoire RAM 500 Mo d'espace disque pour les fichiers d'application 1.4.1. Systèmes d'exploitation Le serveur doit être équipé de l'une des versions suivantes de Microsoft Windows : Microsoft Windows Server 2012 R2 Standard ou Datacenter Edition Microsoft Windows Server 2012 Standard ou Datacenter Edition Microsoft Small Business Server 2011 Standard Microsoft Windows Server 2008 SP2 Standard ou Enterprise Edition Microsoft Windows Server 2008 R2 Datacenter RTM ou supérieur Microsoft Windows Server 2008 R2 SP1 Standard ou Enterprise Edition 6
1.4.2. Versions d'exchange Notre produit prend en charge les versions suivantes de Microsoft Exchange Server : Antivirus, Antispam et DLP : Microsoft Exchange Server 2010 x64 SP3 - Rôles : Hub, Edge et Mailbox Microsoft Exchange Server 2013 SP1 - Rôle : Mailbox, Edge et CAS L'application assure la protection complète des environnements clusters de type : DAG Database Availability Group. 1.4.3. Base de données Un serveur SQL doit avoir été installé localement ou à distance. Les versions compatibles de Microsoft SQL Server sont les suivantes: MS SQL Server 2008 Express, Standard Edition, ou Enterprise Edition MS SQL Server 2008 R2 Express, Standard Edition, ou Enterprise Edition MS SQL Server 2012 Express, Standard Edition, ou Enterprise Edition MS SQL Server 2014 Express, Standard Edition, ou Enterprise Edition 1.4.4. Console d'administration Vous pouvez installer la console d'administration sur un serveur exécutant les versions pour 32 ou 64 bits de Microsoft Windows. Pour l'installation et le bon fonctionnement de la console d'administration, Microsoft.NET Framework 3.5 Service Pack 1 et Microsoft Management Console 3.0 doivent être installés. Le serveur doit être exploité sous l'une des versions suivantes de Microsoft Windows : Windows 8 ou 8.1 Microsoft Windows Server 2012 R2 Microsoft Windows Server 2012 Microsoft Small Business Server 2011 Standard Windows 7 Microsoft Windows Server 2008 Standard et Entreprise, SP2 Microsoft Windows Server 2008 R2 Datacenter RTM ou supérieur Microsoft Windows Server 2008 R2 Standard et Entreprise SP1 Microsoft Windows Vista 1.5. Architecture du serveur de sécurité Le côté serveur de l application, à savoir le serveur de sécurité est composé des principaux soussystèmes suivants : 7
Intercepteur de courrier. Il intercepte les objets qui arrivent sur le serveur Microsoft Exchange et les transmet au sous-système d analyse antivirus. Le composant s'intègre aux processus de Microsoft Exchange Server selon la technologie Microsoft VSAPI ou selon la technologie Transport Agents, en fonction du rôle dans lequel Microsoft Exchange Server est déployé. Antivirus assure la protection des objets contre les virus. Le composant est un moteur antivirus qui fonctionne à l'intérieur du processus Kaspersky Security for Microsoft Exchange Servers. Il intègre également un dossier pour les objets temporaires en vue de leur analyse dans la mémoire vive. Antispam filtre le courrier indésirable. Le composant est un moteur antispam qui fonctionne à l'intérieur du processus Kaspersky Security for Microsoft Exchange Servers. Après qu'un message a été intercepté, il est transmis au moteur de l'antispam pour le traitement. À l'issue du traitement, le message est soit accepté, soit supprimé en fonction des paramètres définis pour le traitement du courrier indésirable. Les copies des messages supprimés peuvent être conservées dans la Sauvegarde. Module DLP (optionnel). Assure un contrôle des fuites de données confidentielles et de données présentant des caractéristiques spécifiques dans les messages électroniques sortants. 1.5.1. Architecture de protection Rôles Microsoft Exchange (2010): Nota : Pour les environnements Microsoft Exchange 2013 : 8
Seuls les rôles Mailbox et EDGE sont protégés via un agent de transport. Les rôles de transport Hub ont été fusionnés dans les 2 rôles principaux CAS et Mailbox. Le rôle CAS utilisera le composant «CAS interceptor» permettant d améliorer la détection du SPAM. Module d administration interne de l'application et de contrôle de l intégrité. Ce module, lancé dans un processus séparé, est un service Microsoft Windows. Ce service porte le nom Kaspersky Security 8 for Microsoft Exchange Servers et il est exécuté indépendamment au passage du premier message, en cas de tentative de connexion de la console d'administration au serveur de sécurité et à la fin de l'assistant de configuration de l'application. Le service ne dépend pas de l'état de Microsoft Exchange Server (en exécution, à l'arrêt), ce qui permet de configurer l'application même si Microsoft Exchange Server est à l'arrêt. En mode d analyse en arrière-plan, le module interne d administration de l application reçoit du serveur Microsoft Exchange, conformément aux paramètres, tous les messages situés dans les dossiers partagés et dans les banques protégées. Si le message n a pas été analysé à l aide des bases antivirus les plus récentes, l'application le transmet au composant Antivirus pour traitement. Le traitement des objets en arrière-plan est identique à celui des objets en mode d analyse du trafic. Pour garantir un fonctionnement adéquat du logiciel, le module d administration interne doit être toujours en exécution. Il n est pas recommandé d arrêter le service manuellement. 1.6. Points forts de l'application 1.6.1. Une protection efficace contre les logiciels malveillants Une des fonctions principale de Kaspersky Security est de garantir la protection antivirus dans le cadre de laquelle l'application recherche la présence éventuelle de virus dans le flux de messagerie et dans les messages des boîtes aux lettres et répare les objets infectés à l'aide des bases de l'antivirus. L'application analyse en temps réel tous les messages qui arrivent sur le serveur Microsoft Exchange. L'application traite le trafic de messagerie entrant et sortant, ainsi que le trafic des messages en transit. Si la protection antivirus du serveur est activée, le lancement et l arrêt de l analyse du trafic de messagerie s opèrent en même temps que le lancement et l arrêt du serveur Microsoft Exchange. Quand la protection antivirus du serveur est activée, l application se trouve en permanence dans la mémoire vive de l ordinateur. L'intercepteur de messages analyse le flux de messagerie électronique en provenance du serveur Microsoft Exchange et transmet les messages électroniques au module Antivirus pour le traitement. L'Anti-Virus analyse la messagerie à l'aide de la dernière version des bases téléchargée, de l'analyse heuristique et du service de réputation cloud Kaspersky Security Network (optionnel) L'application vérifie le contenu du message ainsi que les pièces jointes, quel que soit leur format. Kaspersky Security distingue différents types d'objets : un objet simple (corps de message, pièce jointe simple, par exemple sous la forme d'un fichier exécutable) et un objet conteneur (composé de plusieurs objets, par exemple une archive, un message avec un message joint). 9
1.6.2. Technologie «ZETA shield» (ZEroday Targetted Attack) La technologie ZETA Shield permet de détecter les attaques ciblées sur le réseau local d'une entreprise basée sur des exploits de type Zéro-Day, de les distinguer des autres actions de logiciels malveillants et de les contrer efficacement. La technologie ZETA Shield est utilisée conjointement avec le module Antivirus. 1.6.3. Détection intelligente pour une protection Antispam efficace Une des principales tâches de Kaspersky Security consiste à filtrer le courrier indésirable dans le flux de messagerie qui transite via le serveur Microsoft Exchange. Le module Antispam filtre le courrier entrant avant qu'il n'arrive dans les boîtes aux lettres des utilisateurs. L'Antispam analyse les types de données suivants : Le flux de messagerie interne et externe via le protocole SMTP avec vérification anonyme de l'authenticité sur le serveur. Les messages qui arrivent sur le serveur via des connexions externes anonymes (serveur edge). L'Antispam n'analyse pas les types de données suivants : Le flux de messagerie interne de l'organisation. Le flux de messagerie externe qui arrive sur le serveur via une session d'authentification. Vous pouvez réactiver manuellement l'analyse d'un tel flux de messagerie. Les messages arrivant d'autres serveurs de l'infrastructure de messagerie Microsoft Exchange, car la connexion entre les serveurs d'une même infrastructure Microsoft Exchange est considérée comme fiable. Ainsi, si un message arrive sur l'infrastructure via un serveur sur lequel aucun Antispam n'est installé ou activé, il ne sera pas analysé par le filtre Antispam ni par aucun des serveurs suivants de l'infrastructure empruntés par le message. Vous pouvez réactiver manuellement l'analyse de tels messages L'Antispam analyse les en-têtes et le contenu des messages, les fichiers joints, les éléments de composition et d'autres attributs du message. L'analyse repose sur l'utilisation d'algorithmes linguistiques et heuristiques à partir de la comparaison du message avec des exemples de messages ainsi que sur l'utilisation de services cloud supplémentaires comme Kaspersky Security Network Pour une protection plus poussée du courrier indésirable, l'application utilise les fonctions, les technologies et les services complémentaires suivants de Kaspersky Lab : DNSBL (Domain Name System Block List). Service de récupération d'informations depuis des serveurs DNSBL contenant des listes publiques d'adresses IP identifiées dans la diffusion de courrier indésirable. SURBL (Spam URI Realtime Block List). Service de récupération d'informations depuis des serveurs SURBL contenant des listes de liens publiques qui mènent à des ressources en ligne 10
pour la promotion des expéditeurs de courrier indésirable. Ainsi, si le message contient une URL de cette liste, il sera considéré comme indésirable. KSN (Kaspersky Security Network). Infrastructure de service en ligne et de services qui améliorent la protection des utilisateurs, qui accélère la réaction des applications de Kaspersky Lab face aux nouvelles menaces et aux nouveaux exemples de courrier indésirable et qui réduit le nombre de faux positifs de l'antispam. Par défaut, la participation au KSN est désactivée. Enforced Antispam Updates Service. Service de mise à jour rapide des bases de l'antispam Quand l'utilisation de l'enforced Antispam Updates Service est activée, l'application est en communication constante avec les serveurs de Kaspersky Lab et actualise les bases de l'antispam dès que de nouvelles définitions de messages indésirables sont chargées sur les serveurs de Kaspersky Lab. Ceci accélère la vitesse de réaction de l'antispam face aux nouvelles diffusions. Les technologies de réputation «KSN» et «Enforced Antispam updates» permettent de détecter les spams en temps réel et de diminuer le nombre de faux positifs Reputation Filtering. Service de réputation dans le Cloud pour l'analyse complémentaire des messages qui place les messages qui le nécessitent dans un dossier temporaire appelé la quarantaine. Pendant la période définie (50 minutes), l'application analyse à nouveau le message à l'aide d'informations complémentaires obtenues sur les serveurs de Kaspersky Lab (par exemple, via le réseau KSN). Si au cours de la période définie l'application ne parvient pas à classer le message parmi les messages non sollicités, il l'ignore. Le recours au service Reputation Filtering augmente la précision de l'identification du courrier indésirable et réduit la probabilité de faux positifs dans l'antispam. Client DNS dynamique. Fonction qui définit l'appartenance potentielle de l'adresse IP de l'expéditeur à un réseau de zombies sur la base de sa zone DNS inverse. Cette fonction peut être utilisée si le serveur SMTP protégé ne sert pas ses propres utilisateurs avec une connexion xdsl ou Dial-up. Technologie SPF (Sender Policy Framework). Technologie qui permet de confirmer l'authenticité du domaine de l'expéditeur. À l'aide de la technologie SPF, les domaines reçoivent le droit d'envoyer du courrier en leur nom à des ordinateurs déterminés. Si l'expéditeur du message ne figure pas dans la liste des expéditeurs autorisés, le classement de courrier indésirable du message augmente. Pour protéger le serveur Microsoft Exchange contre le phishing et les liens malveillants, l'application utilise des bases de données d'url que les experts de Kaspersky Lab ont identifiées comme URL de phishing ou comme URL malveillantes. Les bases sont actualisées régulièrement et elles sont livrées avec Kaspersky Security. Dans le cadre de la recherche d'éléments de phishing ou de liens malveillants, l'application analyse non seulement les URL, mais également les en-têtes des messages, le contenu des messages, les pièces jointes, la mise en page et d'autres caractéristiques. L'analyse repose également sur l'utilisation d'algorithmes heuristiques et sur les requêtes adressées au service dans le cloud Kaspersky Security Network. 11
Architecture de fonctionnement du moteur Antispam 1.6.4. Kaspersky Security Network (système de protection par réputation) Afin d'améliorer l'efficacité de la protection de l'ordinateur de l'utilisateur, Kaspersky Security utilise les données obtenues auprès d'utilisateurs issus du monde entier. Le réseau Kaspersky Security Network permet de collecter ces données. Kaspersky Security Network (KSN) est une infrastructure de services et de services en ligne qui donne accès à la base opérationnelle des connaissances de Kaspersky Lab concernant la réputation des fichiers, des ressources Internet et des logiciels. Grâce aux données de Kaspersky Security Network, Kaspersky Security peut réagir plus rapidement aux menaces inconnues. L'efficacité de certains modules est améliorée et la probabilité de faux positifs de l'antispam et de l Antivirus est réduite. Vous pouvez activer ou désactiver l'utilisation de Kaspersky Security Network dans le fonctionnement de l'antivirus et de l'antispam séparément. 1.6.5. Data Loss Prevention (DLP) Kaspersky Security for Microsoft Exchange Servers contient un module de lutte contre les fuites de données (Data Loss Prevention, DLP). Le module DLP recherche la présence éventuelle d'informations confidentielles ou d'informations répondant à des caractéristiques précises comme des données de carte de crédit ou des données financières ou personnelles d'employés d'une entreprise dans le courrier. Si le Module DLP détecte ce genre d'informations dans le message, il consigne dans son journal une entrée sur la violation de la sécurité des données (incident). Ces entrées permettront d'identifier plus tard qui a tenté d'envoyer ces informations et le destinataire. 12
Le module DLP tire ses conclusions sur la violation de la sécurité des données sur la base des catégories DLP et des stratégies DLP. Kaspersky Lab a défini des catégories sur la base de normes internationales ou locales. Catégories prédéfinies et normalisées : o cartes de paiement PCI DSS, o données médicales PHI et données personnelles PII pour les pays suivants : France, Russie, USA et UK et Allemagne) o Loi fédérales N152 (Russie) et HIPAA (USA) Catégories personnelles : o Matrice tableau o Mots clés avec opérateurs (AND, OR, NEAR, ONEAR). Exemple : (("technologie" OR "sécurité") ONEAR(0) "!Kaspersky") AND "2014" = Le texte renvoyé sera tout texte contenant le chiffre 2014 et le mot Kaspersky qui suit directement le mot "technologie" ou le mot "sécurité". 1.7. Les fonctionnalités en détail 1.7.1. Analyse en temps réel Le logiciel détecte et supprime tous les types de virus, de vers, de chevaux de Troie et autres objets malveillants à même le flux des messages entrants et sortants, y compris les pièces jointes dans quasiment tous les formats. Il détecte et supprime non seulement les programmes malicieux connus mais aussi les logiciels potentiellement dangereux. L'activation de l'analyse temps réelle est paramétrable sur les rôles Transport (Hub et Edge) 13
Ainsi que sur le rôle Mailbox ou DAG MS Exchange. La configuration du DAG est réalisée de façon centralisée. L'ensemble des paramètres de configuration sont enregistrés dans l'active directory ce qui permet d'appliquer les paramètres automatiquement aux nouveaux serveurs dès l'ajout au Groupe de disponibilité et l'installation de l'application de sécurité Kaspersky. 14
1.7.2. Analyse à la demande et programmée en arrière-plan N'importe quel dossier ou message stocké sur le serveur peut faire l'objet d'une analyse en arrièreplan afin de s'assurer que tous les objets ont bien été examinés avec la dernière version des bases de données antivirales. L'impact sur la charge du serveur est minime. 1.7.3. Optimisation Vous pouvez configurer l'application conformément à la stratégie de sécurité ou au matériel utilisés dans votre entreprise. Par exemple, vous pouvez exclure de l'analyse antivirale certains types de fichiers ou configurer le niveau de l'analyse Antispam. Vous pouvez également configurer des scénarios de traitement antivirus et Antispam en fonction des différentes catégories de messages, créer des listes noire et blanche en fonction des adresses des expéditeurs ou des destinataires, etc. 15
1.7.4. Copie de sauvegarde (quarantaine) Avant de supprimer un message, l'application en crée une copie de sauvegarde afin de permettre la récupération des informations importantes en cas d'échec de neutralisation d'un objet, ou si le message est incorrectement classé comme indésirable. Un large éventail de paramètres de recherche facilite la recherche des objets dans la zone de sauvegarde. 16
1.7.5. Technologies intelligentes de détection Antispam L'application exécute l'analyse Antispam de tous les messages en fonction de certains attributs formels tels que le courriel et l'adresse IP de l'expéditeur, la taille, ou les en-têtes du message. En outre, nos technologies Antispam intelligentes sont capables d'analyser le contenu des messages et des pièces jointes, et notre base unique de signatures graphiques, d'identifier les images indésirables. 1.7.6. Analyse avancée des messages Pour une protection Antispam encore plus performante, les messages sont comparés aux listes DNSBL (listes noires DNS) contenant les adresses de spammeurs et les liens URL frauduleux sont filtrés par la technologie SURBL (listes noires de liens). 17
1.7.7. Classification des messages L'administrateur peut configurer des règles de traitement différentes en fonction des catégories de messages indésirables, afin d'éviter toute perte d'information. Par exemple, il est possible d'interdire les messages identifiés comme indésirables ; de transférer les messages suspects directement vers un dossier Courrier indésirable ; et d'envoyer dans la boîte de réception les messages formels comme les accusés de réception et de lecture des messages. 18
1.7.8. Listes noire et blanche Les utilisateurs disposent d'un service individualisé leur permettant de créer leurs propres listes noire ou blanche (de confiance) en fonction de l'adresse SMTP ou de l'adresse IP de l'expéditeur. Il est également possible de créer une liste blanche avec l'adresse SMTP du destinataire. Tout message reçu d'un expéditeur présent en liste blanche est ignoré par l'analyseur et délivré directement à son destinataire. En revanche, si l'adresse figure en liste noire, l'en-tête du message est marqué d un libellé spécial, puis le message est traité conformément aux règles configurées par l'administrateur lui-même. 19
1.7.9. Tableaux de bord dynamiques La console d'administration permet de visualiser l'évolution des analyses du courrier : Les analyses du courrier indésirable (Antispam et Antiphishing) au niveau du Rôle transport (Hub ou Edge) Les analyses antivirus sur les courriers et objets au niveau du Rôle Transport (Hub ou Edge) Les analyses antivirus sur les courriers et objets au niveau du Rôle Mailbox ou DAG. 20
1.8. Administration flexible Administration conviviale L'interface d'administration repose sur la console Microsoft Management Console, et dispose en option de l'administration à distance. 21
1.8.1. Rôles des utilisateurs de l'application Kaspersky Security for Microsoft Exchange Servers prend en charge un schéma d'accès à deux rôles pour les utilisateurs de l'application. Chaque rôle s'accompagne d'un ensemble de fonctions de l'application accessibles et, par conséquent, d'un ensemble d'entrées accessibles apparaissant dans l'arborescence de la Console d'administration. Les fonctions des rôles ne se recoupent pas. Les rôles suivants peuvent être attribués aux utilisateurs de l'application : Administrateur. Spécialiste effectuant les tâches générales d'administration de l'application telles que la configuration des paramètres de l'anti-virus et de l'antispam ou la préparation des rapports sur le fonctionnement de l'anti-virus et de l'antispam. Les tâches de l'administrateur et les instructions relatives à leur exécution sont décrites dans le présent document. Expert en sécurité de l'information. Spécialiste dont les attributs comprennent l'administration des moyens de prévention des fuites de données confidentielles (Module DLP), notamment la configuration des catégories et des politiques DLP et le traitement des incidents. Les tâches de l'expert en sécurité de l'information et les instructions relatives à leur exécution sont décrites dans le Manuel de l'expert en sécurité de l'information. 1.8.2. Profils de configuration Les profils de configuration permettent l administration de plusieurs serveurs d administration à partir du même point central. Ceci permet de regrouper les serveurs en fonction de leur rôles, d appliquer des configurations identiques, d obtenir des rapports communs et d avoir une visualisation des statistiques d un point unique. 22
La configuration est réalisée à travers une configuration stockée dans l'active Directory. Ceci permet d'appliquer une configuration centralisée pour l'ensemble des serveurs. Elle est appliquée automatiquement dès l'ajout d'un nouveau serveur au groupe. 1.9. Mises à jour des bases de signatures Les mises à jour des bases antivirales se font sur demande ou sont programmées pour s'exécuter automatiquement. Vous pouvez télécharger les mises à jour directement depuis le site de Kaspersky Lab ou depuis un serveur centralisé local utilisant la protection. Si nécessaire, la mise à jour des bases de données de signatures antivirales et Antispam peut se faire séparément. 23
Kaspersky Security peut récupérer les mises à jour depuis les sources de mises à jour suivantes : les serveurs de mises à jour de Kaspersky Lab en ligne ; un autre serveur HTTP/FTP (par exemple, votre serveur Intranet) ; une source de mises à jour locale (dossier local ou de réseau) ; le centre de mises à jour, un des serveurs dotés de Kaspersky Security, qui a été désigné comme Centre de mises à jour 1.10. Rapports et notification Rapports détaillés Vous pouvez contrôler le fonctionnement de l'application et l'état de protection antivirus à l'aide de rapports détaillés au format HTML ou du journal des événements Windows. Vous avec le contrôle complet sur la fréquence de génération des rapports et des informations à inclure. Tous les comptes-rendus peuvent être conservés sur disque ou communiqués par courrier électronique. 24
Chaque rôle protégé possède son type de rapport associé ce qui permet d'obtenir des informations sur les analyses Antivirus et Antispam pour le transport et les boites aux lettres protégées. 25
Système de notifications L'administrateur peut recevoir des notifications sur les événements critiques qui se produisent dans le fonctionnement de l'application, soit par courriel ou en consultant le journal des événements Windows. 26
27