TrendMicro OfficeScan 10.6

TrendMicro OfficeScan 10.6 Optimisations et "bonnes pratiques" en mode client / serveur Préconisations Académiques Nantes Cellule Technique des Réseaux d'établissements DSI-D2 Rectorat de Nantes

Contacts Nom Société Fonction Téléphone/fax Adresse électronique Type de document Nom Confidentialité Périmètre de diffusion Préconisations Académiques Académique Etablissements, CRID, Collectivités Révision du document Version Date de modification Auteur Description 1.0 21/01/2014 christian le breton Documentation initiale 1.1 27/10/2014 christian le breton Modification 4.1 et 5 Validation du document Nom Fonction Date Rédaction par : Christian Le Breton CTRE 23/01/2014 Vérification par : GT antivirus 14/02/2014 Validation par : Approbation par : AC Nantes\DSI\D2\CTRE : Préconisations Académiques Page : 2 / 20

TABLE DES MATIERES TABLE DES MATIERES... 3 1. PRESENTATION... 4 2. QUELQUES RAPPELS... 5 2.1. ANTIVIRUS... 5 2.2. REPUTATION DE SITES WEB... 6 2.3. SURVEILLANCE DES COMPORTEMENTS... 6 2.4. CONTROLE DES DISPOSITIFS... 6 2.5. PARE-FEU... 7 2.6. SERVICES CLIENT... 7 3. ACTIONS PREALABLES... 8 3.1. MISE A JOUR DU PROGRAMME OFFICESCAN... 8 3.2. RAPPORT DE CONFORMITE... 8 3.3. CAS DES SERVEURS... 9 3.4. MODIFICATION DE CERTAINS PARAMETRES... 10 3.5. ANALYSE DES JOURNAUX D'INFECTION... 12 4. CONSTATS ET ACTIONS A METTRE EN ŒUVRE... 13 4.1. LENTEURS LORS DU DEMARRAGE UNIQUEMENT... 13 4.2. CONSTAT DE LENTEURS PERMANENTES... 14 5. LIENS... 20 AC Nantes\DSI\D2\CTRE : Préconisations Académiques Page : 3 / 20

1. PRESENTATION TrendMicro OfficeScan est la solution antivirus de postes de travail, retenue par le Ministère de l'education Nationale dans le cadre d'un marché établi pour 5 ans à dater d'octobre 2010. Cette procédure fournit un complément "optimisations et bonnes pratiques" à la documentation d'installation de la console officescan 10.6, diffusée courant 2012 sur http://ctre.ac-nantes.fr à la rubrique "sécurité du réseau > stratégie antivirale". Ces recommandations ont pour but l'optimisation de certains paramétrages du client antivirus afin de réduire son impact sur les performances des postes aux configurations matérielles légères, en particulier depuis le service pack 3 d'officescan 10.6. Il n'est donc pas question, dans ce document, d'imposer des choix qui s'appliquent à toutes les situations, mais uniquement de fournir des réponses en cas de ralentissement liés à l'antivirus et impactant fortement les usagers. Les informations sur le produit sont en partie extraites de l'aide en ligne intégrée à la console OfficeScan. Les adaptations proposées sont majoritairement issues de la base de connaissances TrendMicro http://esupport.trendmicro.com/en-us/business/fastsearch.aspx?&p=officescan complétée par divers retours d'expériences AC Nantes\DSI\D2\CTRE : Préconisations Académiques Page : 4 / 20

2. QUELQUES RAPPELS Le fonctionnement du client OfficeScan 10.6 est basé sur plusieurs composants (de plus en plus nombreux), tous plus ou moins indispensables et consommateurs en ressources. Cette liste de composants, tous présents simultanément sur un poste client, est assez représentative de la complexité croissante d'officescan Il faut bien prendre conscience du fait que la désactivation ou "l'allègement" de certaines fonctionnalités entraine logiquement une baisse de l'efficacité antimalware. Tout est donc question de compromis ; le but étant de limiter l'impact sur le système client, avec une perte d'efficacité minimale de l'antivirus 2.1. Antivirus La fonctionnalité "antivirus pur" basée sur un moteur d'analyse et des signatures ne représente plus actuellement qu'une partie de la protection du poste. OfficeScan propose par ailleurs deux modes de fonctionnement : 2.1.1. Scan traditionnel Ce mode se base sur l'hébergement sur le poste client de l'ensemble des éléments permettant sa protection. Le moteur analyse les menaces et se base sur un ou plusieurs fichiers de signatures afin de valider ou non l'action en cours. A la fois processeur et mémoire du poste sont donc sollicités et de plus en plus si on tient compte de la complexité et de la quantité croissantes des menaces 2.1.2. Smartscan Partant des constats précédents, ce système a pour but de diminuer l'occupation des ressources du client. Pour cela, la fonction de scan est déportée sur un "serveur de réputation" qui se charge de l'analyse à partir de bases de signatures dynamiques hébergées sur "le cloud". Le téléchargement des mises à jour de signatures étant centralisé sur le serveur, ce trafic est réduit côté client. Par contre celui-ci effectue plus régulièrement des requêtes à son serveur de réputation Ce mode permet par ailleurs d'alléger "l'adhérence au réseau local" : si le client est nomade, "smart protection network" lui permet d'être protégé et à jour en continu, à partir du moment ou il est connecté à l'internet. Pour plus d'infos : http://fr.trendmicro.com/fr/about/core-technologies/smart-protection-network/ En cas de mauvaise configuration, si le client OfficeScan en mode "smartscan" est incapable de joindre le moindre serveur de réputation, les accès du poste au réseau peuvent être très lourdement impactés! Voir 4. AC Nantes\DSI\D2\CTRE : Préconisations Académiques Page : 5 / 20

2.2. Réputation de sites web Parallèlement au mode "smartscan" et tout autant basé sur le principe de déport de l'analyse antimalware sur un serveur (local ou distant), la "réputation de sites web" est avant tout une protection préventive. Dès qu'un client officescan détecte une menace à partir d'un site web, une base "sur le cloud" est dynamiquement alimentée. Après un certain nombre de signalements et en fonction d'un système de pondération, le site "douteux" est alors blacklisté. Quand un client OfficeScan, utilisant la réputation de sites web, cherche à accéder au site en question, la navigation est automatiquement bloquée : les menaces sont filtrées en amont, avant même d'avoir pu atteindre le réseau local. Une nouvelle fonctionnalité, renforçant cette réputation de sites web, est apparue avec le Service Pack 3 d'officescan 10.6 : les services d'alerte de contact Command & Control (C&C). Même remarque que pour Smartscan : en cas de mauvaise configuration, si le client OfficeScan est incapable de joindre le moindre serveur de réputation, la navigation peut être très lourdement impactée! Voir 4.2.1. Ces services de réputation sont intégrés à la console OfficeScan 10.6 (on a le choix de les activer ou non lors de l'installation). La cohabitation "console officescan" + "services de réputation" (+ WSUS?) sur une seule machine a tendance par contre à solliciter fortement le serveur antivirus, au point d'entrainer des interruptions de service avec des conséquences pouvant être très lourdes sur les clients. Afin d'éviter le risque de saturation, il s'est révélé impératif d'utiliser un "serveur de réputation autonome" à partir de 300 clients environ. 2.3. surveillance des comportements Cette fonctionnalité complète le scan antivirus en analysant les modifications inhabituelles du système d'exploitation ou des logiciels installés. Son but principal est de fournir une protection indépendante de fichiers de signatures, ce qui permet (sur le papier) la détection de "nouvelles menaces". L'aide en ligne est malheureusement assez évasive sur son principe de fonctionnement : Le blocage du comportement des programmes malveillants fournit un niveau nécessaire de protection supplémentaire contre les menaces pour les programmes qui affichent un comportement malveillant. Il observe les événements du système sur une période de temps. Pendant que les programmes exécutent différentes combinaisons ou séquences d'actions, le blocage du comportement des programmes malveillants détecte les comportements malveillants connus et bloque les programmes associés. Utilisez cette fonctionnalité pour vous assurer un niveau de protection plus élevé contre les menaces nouvelles, inconnues et émergentes. Pas facile donc d'en connaître l'efficacité et l'impact réel sur le client 2.4. contrôle des dispositifs Basé sur le même moteur que la surveillance des comportements, le Contrôle des dispositifs régule l'accès aux périphériques de stockage externes et ressources réseau connectés aux ordinateurs. Le Contrôle des dispositifs prévient la perte et les fuites de données et, conjointement avec le scan de fichiers, contribue à la protection contre les risques de sécurité. AC Nantes\DSI\D2\CTRE : Préconisations Académiques Page : 6 / 20

2.5. pare-feu Le pare-feu OfficeScan protège les clients et les serveurs du réseau grâce à une fonction Stateful inspection et à des scans antivirus de réseau haute performance. Via la console d'administration centralisée, vous pouvez créer des règles pour filtrer les connexions par application, adresse IP, numéro de port ou protocole, puis appliquer les règles à différents groupes d'utilisateurs. Celui-ci est par exemple utilisé à l'occasion d'une opération de "prévention des épidémies" (blocage de ports par ex.) en le pilotant à distance sur l'ensemble du parc. 2.6. Services client Pour fournir toutes ces fonctionnalités, plusieurs processus sont lancés par le client OfficeScan en tant que service. On en trouve la liste précisant leur fonction dans l'aide contextuelle de la console (sommaire > gestion du client officescan > gestion des programmes du client officescan > service du client officescan). On y constate que l'éditeur lui-même admet que certains composants "peuvent occuper des ressources" No comment!-) AC Nantes\DSI\D2\CTRE : Préconisations Académiques Page : 7 / 20

3. ACTIONS PREALABLES Les bases étant posées, on peut essayer d'améliorer la situation en connaissance de cause 3.1. Mise à jour du programme OfficeScan Le programme fait l'objet de mises à jour assez régulières. Habituellement celles-ci corrigent certains bugs, offrent des fonctionnalités supplémentaires et améliorent les performances du client. Toujours sur le papier du moins Afin de partir d'une base saine et surtout commune, les indications suivantes concernent OfficeScan 10.6 Service Pack 3 (patch 1, build 5373 au moment de la rédaction, pour être précis). Pour effectuer les différentes mises à jour, merci de se référer à la page dédiée sur http://ctre.acnantes.fr à la rubrique "sécurité du réseau > stratégie antivirale > console serveur". 3.2. Rapport de conformité Cet outil (méconnu?) permet d'obtenir rapidement un bilan de santé global du parc. Il y est même possible de procéder directement aux actions correctives de manière ciblée Pour l'utiliser : accéder au menu "conformité de la sécurité > évaluation de conformité > rapport de conformité", sélectionner (côté droit) l'étendue de l'arborescence à analyser > cliquer sur [évaluer] le rapport est affiché en haut à gauche de la fenêtre > un onglet par thème la moitié inférieure de la fenêtre permet de sélectionner et de lancer la correction des défauts Une console en "bonne santé" peut malgré tout afficher un nombre important de défauts La plupart du temps il s'agit des clients "hors ligne" > pas très significatif, donc. AC Nantes\DSI\D2\CTRE : Préconisations Académiques Page : 8 / 20

3.3. Cas des serveurs Un serveur n'étant (normalement) pas utilisé comme un poste client, il peut être traité différemment par l'antivirus. Quand on fait le tour des paramètres clients, certains sont déjà fixés pour les OS serveurs. Pour d'autres il faut effectuer manuellement la modification La première étape consiste à les rassembler dans un groupe de l'arborescence afin de faciliter les manipulations. 3.3.1. Méthode de scan Le mode "smartscan" n'est pas forcément indispensable sur un serveur ; on peut revenir au "scan traditionnel". 3.3.2. Réputation de sites web Un utilisateur n'étant pas censé surfer de manière inconsidérée sur ce type de machine, la réputation de sites web peut y être désactivée. 3.3.3. Surveillance des comportements Cette fonctionnalité est par défaut désactivée sur les serveurs Microsoft. 3.3.4. Services "complémentaires" De la même façon, dans ce menu il n'est possible d'activer les composants que sur les OS clients AC Nantes\DSI\D2\CTRE : Préconisations Académiques Page : 9 / 20

3.4. Modification de certains paramètres Au fur et à mesure des mises à jour du programme, de nouvelles options sont apparues. Par ailleurs il peut maintenant être nécessaire de modifier certains choix par défaut : 3.4.1. Cache de scan OfficeScan 10.6 offrait une amélioration significative en proposant de créer un "cache de scan". Celui-ci est censé permettre un gain de performance en évitant de rescanner les fichiers déclarés sains et non modifiés depuis le passage précédent. Malheureusement, pour les machines "faiblardes", le mieux est l'ennemi du bien : la création de ce cache peut, à l'extrême, occuper des ressources en permanence. Dans ce cas il est préférable de le désactiver : accéder au menu "ordinateurs en réseau > gestion des clients", à la racine de l'arborescence (ou sur le groupe de machines impactées), cliquer sur "paramètres > privilèges et autres paramètres" dans l'onglet "autres paramètres", à la rubrique "paramètres du cache pour les scans", décocher "activer le cache de la signature numérique" Source base de connaissances : Ntrtscan.exe process causes high disk I/O in OfficeScan http://esupport.trendmicro.com/solution/en-us/1060249.aspx Rappel : Un paramétrage "à la racine de la console" s'appliquera (par héritage) à l'ensemble des sous-domaines, en écrasant les éventuelles personnalisations sur les sous-groupes. La plupart du temps, il est préférable d'éviter les personnalisations à outrance d'un groupe à l'autre pour éviter ce désagrément... Si malgré tout des paramètres spécifiques sont nécessaires sur un groupe de machines, il est important d'en avoir conscience et de bien sélectionner le(s) groupe(s) "cible(s)" avant toute modification. AC Nantes\DSI\D2\CTRE : Préconisations Académiques Page : 10 / 20

3.4.2. Différer le scan de fichiers Suite à l'application du service pack 3 pour OSCE 10.6, une nouvelle option est arrivée : Les administrateurs peuvent configurer OfficeScan pour différer le scan de fichiers. OfficeScan permet à l'utilisateur de copier des fichiers, puis scanne les fichiers lorsque la copie est terminée. Ce scan différé améliore les performances des processus de copie et de scan. Pour l'activer : menu "ordinateurs en réseau > paramètres clients généraux", à la rubrique "paramètres de scan (la 1 ère ), cocher "activer le scan différé " 3.4.3. Avertir les utilisateurs Encore une nouvelle option Celle-ci doit être activée afin de permettre la mise à jour du moteur de scan antivirus : menu "ordinateurs en réseau > paramètres clients généraux", à la rubrique "paramètres de surveillance des comportements", cocher [Avertir les utilisateurs avant l'exécution de programmes récemment trouvés ayant été téléchargés ] Source base de connaissances : Unable to update the Virus Scan Engine (VSAPI) http://esupport.trendmicro.com/solution/en-us/1099022.aspx AC Nantes\DSI\D2\CTRE : Préconisations Académiques Page : 11 / 20

3.5. Analyse des journaux d'infection Au préalable, avant de mettre de côté certaines fonctionnalités, il est préférable de vérifier lesquelles sont réellement efficaces dans la lutte antimalware : accéder au menu "ordinateurs en réseau > gestion des clients", à la racine de l'arborescence, cliquer sur journaux puis "journaux de virus / programmes malveillants", choisir la période (30 jours semble un bon compromis), choisir le classement : par type de scan, cliquer sur [afficher les journaux], cliquer [exporter tout vers un fichier csv]. La même opération peut ensuite être effectuée pour les autres types de journaux (spywares, parefeu, réputation web, rappels C&C, surveillance des comportements et contrôle des dispositifs) Reste à exploiter les éléments du fichier csv en créant un sous-total à chaque changement de "type de scan". Pour éviter ce traitement "bureautique" il est aussi possible de ne cocher (dans la fenêtre "critères des journaux ") qu'un type de scan à la fois et de répéter l'opération, au minimum pour scan en temps réel, scan programmé et damage cleanup services. En fonction du nombre de détections par catégorie de journaux (et type de scan quand c'est le cas), les mesures à prendre sont plus évidentes. Ex. : le scan en temps réel et la surveillance des comportements ne sont à l'origine que de quelques détections de menaces alors que la réputation de sites web occupe 90 % des journaux > on peut alléger les deux premiers et surveiller particulièrement le fonctionnement du dernier En particulier, les journaux de surveillance des comportements peuvent aider à vérifier la présence d'éventuels "faux positifs", ce qui permet de les ajouter à la liste d'exclusions AC Nantes\DSI\D2\CTRE : Préconisations Académiques Page : 12 / 20

4. CONSTATS ET ACTIONS A METTRE EN ŒUVRE 4.1. Lenteurs lors du démarrage On constate, essentiellement sur les machines «vieillissantes» un démarrage du poste client extrêmement lent et/ou les premières minutes de fonctionnement sont très ralenties. Le processus «NTRTSCAN.EXE» occupe un pourcentage relativement élevé de temps CPU. Ce problème est constaté uniquement en présence du client OfficeScan (plus de problème après sa désinstallation ou désactivation). Afin d accélérer le démarrage des clients, il est possible de temporiser le démarrage des services clients OfficeScan. La procédure détaillée est disponible sur http://www.ac-nantes.fr/html/celtech/preconisations/securite_reseau/av/clientserveur/officescan-accelerer-boot.pdf Elle a été rédigée à partir de la base de connaissances : «Poor system performance when the OfficeScan client is installed» http://esupport.trendmicro.com/solution/en-us/1096117.aspx Attention : Le fait de retarder le démarrage de services antimalware peut exposer la machine aux risques sur une période sensible. A ne mettre en œuvre qu'en connaissance de cause! Cette manipulation consiste, après test sur un échantillon, à modifier directement le fichier "ofcscan.ini" du serveur ; il n'est de fait pas possible de l'appliquer uniquement à une partie du parc > ce paramétrage est global! AC Nantes\DSI\D2\CTRE : Préconisations Académiques Page : 13 / 20

4.2. Constat de lenteurs permanentes 4.2.1. Services de réputation (fichiers et sites web) Comme indiqué dans la présentation de ces fonctionnalités ( 2.1), un dysfonctionnement des services de réputation peut avoir des conséquences très lourdes sur les clients. 4.2.1.1. Vérifications sur un client : A partir de l'aspect de l'icône OfficeScan un premier diagnostic est possible. Si le mode smartscan est activé, une "coche verte" complète l'icône (sinusoïde). En cas de problème, celle-ci est remplacée par une croix rouge et le survol de l'icône affiche "service de réputation (inaccessible)". Si la coche verte est temporairement remplacée par une barre indiquant "reconnexion", les services de réputation intégrés à la console sont probablement saturés (voir "Icônes Smart Scan" dans l'aide en ligne de la console ou du client). A partir de l'affichage de la "console client" (clic droit sur l'icône OfficeScan client > console officescan > aide > à propos de), on peut constater quel(s) serveur(s) de réputation sont configurés. Si l'un ou les deux pointent sur trendmicro.com, les services locaux sont probablement inaccessibles 4.2.1.2. Sur la console serveur : Dans le cas général, si la communication client officescan (port 8000) / console serveur (port 8080) est opérationnelle, on doit retrouver sur la console des informations cohérentes avec celles observées sur les clients (icône "officescan en ligne" / "réputation (disponible)"). accéder au menu "ordinateurs en réseau > gestion des clients", choisir le(s) client(s) dans l'arborescence sélectionner l'affichage de l'arborescence client : "affichage smart protection" si tout est OK, on doit observer les points suivants : o les icônes clients (en ligne du moins) affichent la "coche verte" o les colonnes "état du service de réputation" affichent "disponible" o les colonnes "url du service" (file reputation et réputation web) pointent sur le(s) serveur(s) local(aux) (console OfficeScan ou serveur de réputation autonome «TMCSS»). Client en ligne mais service de réputation non disponible Pointe sur les services de réputation de TrendMicro.com AC Nantes\DSI\D2\CTRE : Préconisations Académiques Page : 14 / 20

4.2.1.3. Points à vérifier : En cas de dysfonctionnement des services de réputation côté client, on peut vérifier et éventuellement rectifier sur la console : accéder au menu "smart protection > serveur intégré", vérifier que les services sont bien activés (de préférence en http pour la réputation de fichiers) vérifier que le nom (ou l'ip!) de connexion client est bien résolu / accessible des clients vérifier que les mises à jour des composants sont d'actualité En cas de souci sur un de ces points : si les services n'ont pas été activés à l'installation de la console, si le nom du serveur est erroné (erreur lors de l'installation ou modification par la suite), si l'ip a été choisie à l'installation et qu'elle a été modifiée sur le serveur depuis il n'est malheureusement pas possible d'effectuer ce type de modifications sur la console. La seule parade consiste à réinstaller le service (menu outils > outils administrateurs > programme d'installation du serveur smart protection ). voir aussi http://esupport.trendmicro.com/solution/en-us/1059671.aspx pour les deux derniers cas, on peut malgré tout "tricher", soit en ajoutant un alias dans le(s) DNS, soit en ajoutant une "source personnalisée" (voir suivant) portant le nouveau nom ou la nouvelle IP du serveur. si les mises à jour de composants sont impossibles (erreurs dans les logs de mise à jour ou en tentant la maj manuelle) appliquer la solution http://esupport.trendmicro.com/solution/en-us/1099642.aspx AC Nantes\DSI\D2\CTRE : Préconisations Académiques Page : 15 / 20

4.2.1.4. Sources smart protection : Dans le principe de fonctionnement de smart protection, le client doit impérativement trouver une source de réputation sous peine d'être bloqué dans ses accès réseau et/ou Internet La vérification de la disponibilité de la (des) source(s) locale(s) est capitale : accéder au menu "smart protection > sources smart protection", dans l'onglet "clients internes", cliquer sur le lien [liste standard] si la dernière vérification est ancienne ou inexistante (N/A), cliquer sur [actualiser] serveur de réputation autonome L'ensemble des sources configurées (le service intégré au minimum) doit afficher une coche verte. C'est ici qu'on configure, le cas échéant, la présence d'un serveur de réputation autonome local Si des croix rouges sont affichées pour le serveur intégré, la base de connaissance peut fournir des solutions : http://esupport.trendmicro.com/solution/en-us/1059454.aspx Si c'est le cas pour un serveur autonome, c'est de son côté (état de fonctionnement, résolution à partir des clients ) qu'il faut chercher. Attention : Le fait de posséder une "source de réputation autonome", locale ou non, ne dispense pas obligatoirement de l'activer sur le serveur OfficeScan. En cas d'indisponibilité (maintenance) de l'un, le second pourra servir de renfort, voire de "roue de secours". Partant de là et au vu de la relative "légèreté" de la VM requise, il n'est pas superflu de disposer de plusieurs serveurs de réputation autonomes sur les réseaux importants Pour l'installation et la configuration du serveur de réputation autonome : http://www.ac-nantes.fr/36423520/0/fiche pagelibre Et dans le cas ou, malgré une configuration smartscan optimale, certaines machines sont encore inexploitables, on peut tester le retour au scan traditionnel sur un groupe créé pour l'occasion dans la console AC Nantes\DSI\D2\CTRE : Préconisations Académiques Page : 16 / 20

4.2.2. Surveillance des comportements Conscient des conflits potentiels entre le client antivirus et certaines applications tierces (voire le système d'exploitation lui-même), TrendMicro propose un outil : Trend Micro Performance Tuning Tool. Il s'agit plus ou moins d'un "gestionnaire des tâches" qui met en évidence les processus en conflit avec les services "surveillance des comportements" et "contrôle des dispositifs". Avant de désactiver purement et simplement ces services, le diagnostic fourni par cet outil est une étape logique, permettant de mieux cibler les conflits et de créer automatiquement des "exclusions de scan". Une liste non exhaustive des applications susceptibles d'être en conflit avec ce moteur (et à ajouter aux exclusions) est disponible sur ETNA : http://ctre.ac-nantes.fr à la rubrique "sécurité du réseau > stratégie antivirale > console serveur". ATTENTION : ce document est accessible, uniquement après authentification, aux utilisateurs ayant un rôle dans l'administration du réseau Les exclusions sont à appliquer dans le menu ordinateurs en réseau > gestion des clients > paramètres > surveillance des comportements 4.2.3. Services complémentaires Si, malgré toutes les exclusions possibles, le processus TMBMSRV occupe encore trop de ressources, il est possible de désactiver totalement l'usage de la "prévention des modifications" ainsi que le pare-feu : accéder au menu "ordinateurs en réseau > gestion des clients", choisir les groupes de clients dans l'arborescence menu paramètres > paramètres des services complémentaires Attention : comme indiqué, ce service est requis par plusieurs composants : vérifier si sa désactivation n'est pas contradictoire avec d'autres réglages (voir les services associés au 2.6) AC Nantes\DSI\D2\CTRE : Préconisations Académiques Page : 17 / 20

4.2.4. Exclusions de scan en temps réel Lors de l'usage courant d'un poste, certains processus "de confiance" et fortement utilisés peuvent être exclus du scan en temps réel afin de limiter la consommation inutile de ressources. TrendMicro propose quelques recommandations : Recommended scan exclusion list for OfficeScan http://esupport.trendmicro.com/solution/en-us/1059770.aspx Excluding third-party software from Realtime Scan http://esupport.trendmicro.com/solution/en-us/1060488.aspx On peut ajouter à ces "génériques" certaines applications propres à notre environnement ; une liste non exhaustive est disponible sur ETNA (voir lien au précédent). Suivant le cas, les chemins des exécutables seront à adapter, en fonction du contexte local A appliquer dans le menu ordinateurs en réseau > gestion des clients > paramètres > paramètres de scan > scan en temps réel Pour pouvoir ajouter de nouvelles exclusions aux clients le "bouton radio" devra être positionné sur "remplacement de la liste d'exclusions " ou "ajout des chemins " 4.2.5. Exclusion du contrôle des dispositifs Ici aussi, de la même façon que dans les paragraphes précédents, un début de liste d'exclusions, évolutive en fonction des retours du terrain, est en ligne sur ETNA. A appliquer dans le menu ordinateurs en réseau > gestion des clients > paramètres > contrôle des dispositifs AC Nantes\DSI\D2\CTRE : Préconisations Académiques Page : 18 / 20

4.2.6. Configuration du scan programmé Le scan programmé, pouvant être hebdomadaire, a pour but le passage en revue intensif de l'ensemble des volumes d'un poste client. Ceci permet par exemple de nettoyer les malwares potentiels présents dans des dossiers exclus lors du scan en temps réel et ceux récupérés avant que leur signature ne soit connue L'analyse des journaux ( 3.4), pondérée par le résultat d'un "rapport de conformité" ( 3.2) (onglet "conformité du scan") permet d'avoir une idée de son efficacité. Logiquement assez impactant en temps réel, il doit s'effectuer hors présence utilisateur mais ordinateur allumé malgré tout! A moins d'utiliser l'éveil (et l'extinction) par le réseau, le créneau habituellement utilisé est la pause de midi Mais tout le monde ne part pas déjeuner au même moment! Si le retour des utilisateurs est négatif ("on ne peut pas bosser quand il démarre") et que ce scan n'élimine qu'une quantité minime de menaces, on peut éventuellement le désactiver. Il est aussi possible de couper la poire en deux en choisissant de l'effectuer en présence des usagers, mais en limitant "l'utilisation de l'uc" : accéder au menu "ordinateurs en réseau > gestion des clients", ensuite "paramètres > paramètres de scan > scan programmé", dans l'onglet "cible", déterminer l'horaire de début, à la rubrique "utilisation de l'uc" > cocher "faible", Ceci aura pour effet de moins impacter les usages sur le poste mais de rallonger de manière très significative la durée du scan. Il faudra vérifier ces effets sur un échantillon du parc et confirmer que le scan arrive à aboutir avant l'extinction du poste (sinon il est relancé en fonction du paramétrage du menu "paramètres clients généraux") et que l'impact du scan est réellement amélioré vis-à-vis des usages AC Nantes\DSI\D2\CTRE : Préconisations Académiques Page : 19 / 20

5. LIENS Encore une liste non exhaustive La rubrique dédiée console OfficeScan serveur sur ETNA : http://www.ac-nantes.fr/27647957/0/fiche pagelibre/ L'aide en ligne de votre console OfficeScan : https://[votre_serveur]:4343/officescan/console/html/help/ Quelques liens de la base de connaissances TrendMicro : Recommended solutions to high CPU utilization caused by NTRTScan or DBServer.exe http://esupport.trendmicro.com/solution/en-us/1097788.aspx Poor system performance when the OfficeScan client is installed http://esupport.trendmicro.com/solution/en-us/1096117.aspx (n est plus en ligne) Tips for improving the performance of OfficeScan Manual Scan/Scheduled Scan/Scan now http://esupport.trendmicro.com/solution/en-us/1099382.aspx Improving the performance of OfficeScan clients or Client/Server Security Agents http://esupport.trendmicro.com/solution/en-us/1038051.aspx Ntrtscan.exe causes high disk usage in OfficeScan (OSCE) 10.6 running on Windows 8 or 8.1 http://esupport.trendmicro.com/solution/en-us/1104099.aspx Recommended scan exclusion list for Trend Micro Endpoint products http://esupport.trendmicro.com/solution/en-us/1059770.aspx Parameters for the Startup Enhancement feature in OfficeScan http://esupport.trendmicro.com/solution/en-us/1059704.aspx AC Nantes\DSI\D2\CTRE : Préconisations Académiques Page : 20 / 20