COMPUTER ASSOCIATES ETRUST ANTIVIRUS User Manual

Trust™ Antiviru

Manuel de l’administrateur

7.1

G00417-2F

La présente documentation et le logiciel correspondant (ci-après nommés « documentation ») sont exclusivement destinés à l’information de l’utilisateur final et peuvent être à tout moment modifiés ou retirés du domaine public par Computer Associates International, Inc (« CA »).

Cette documentation ne peut être copiée, transférée, reproduite, divulguée ou dupliquée, de façon intégrale ou partielle, sans autorisation préalable écrite de CA. La présente documentation est la propriété exclusive de CA et est protégée par les lois sur le copyright des Etats-Unis et les traités internationaux.

Néanmoins, l’utilisateur peut imprimer un nombre raisonnable de copies de cette documentation pour son propre usage interne, à condition que toutes les notices et mentions relatives aux droits de copyright de CA apparaissent sur chaque copie. Seuls les employés, consultants ou agents autorisés de l’utilisateur tenus aux règles de confidentialité du contrat de licence du logiciel de l’utilisateur pourront avoir accès aux-dites copies.

Ce droit d’imprimer des copies est limité à la période pendant laquelle la licence du progiciel demeure pleinement effective. Au cas où cette licence serait résiliée pour une raison quelconque, l’utilisateur est tenu de retourner les copies reproduites à CA ou de certifier à CA qu’elles ont été détruites.

Sous réserve des dispositions prévues par la loi applicable, CA fournit la présente documentation « telle quelle » sans aucune garantie, expresse ou implicite, notamment aucune garantie de la qualité marchande, d’une quelconque adéquation à un usage particulier ou de non-violation de droits de tiers. En aucun cas, CA ne sera tenue responsable vis-à-vis de l’utilisateur final ou de tiers en cas de perte ou de dommage, direct ou indirect, résultant de l’utilisation de la présente documentation, notamment et de manière non exhaustive de toute perte de bénéfice, de toute interruption d’activité, de toute perte de données ou de clients, et ce, quand bien même CA aurait été informée de la possibilité de tels dommages.

L’utilisation de tout produit référencé dans cette documentation et la présente documentation sont régies par le contrat de licence utilisateur final applicable.

L’auteur de la présente documentation est Computer Associates International, Inc.

La documentation étant éditée par une société américaine, vous êtes tenu de vous conformer aux lois en vigueur du Gouvernement des Etats-Unis et de la République Française sur le contrôle des exportations des biens à double usage et aux autres réglementations applicables et ne pouvez pas exporter ou ré-exporter la documentation en violant ces lois ou d’autres réglementations éventuellement applicables dans l’Union Européenne.

Tous les noms de produits cités sont la propriété de leurs détenteurs respectifs.

Table des matières

Chapitre 1: A propos des virus

Infection par un virus ......................................................................... 1–1

Symptômes d'infection informatique ........................................................... 1–2

Conséquences d'une infection informatique ..................................................... 1–3

Types de virus................................................................................ 1–3

Caractéristiques des virus ..................................................................... 1–4

Solution antivirus de Computer Associates...................................................... 1–5

Pourquoi avez-vous besoin d'une protection antivirus ?....................................... 1–6

Mode de fonctionnement du logiciel antivirus de Computer Associates ............................ 1–6

Méthodes de protection ....................................................................... 1–8

Protection de vos ordinateurs contre les infections ............................................... 1–8

Suggestions permettant de préserver vos ordinateurs de toute infection ........................ 1–9

Composants du produit ....................................................................... 1–9

Utilisation des affichages de fenêtre........................................................ 1–11

Options ................................................................................. 1–12

Gestion de domaine NetWare ................................................................. 1–12

Analyse d'infections inconnues................................................................ 1–12

Analyse heuristique ...................................................................... 1–13

Mises à jour des signatures les plus récentes.................................................... 1–13

En cas d'infection ............................................................................ 1–14

Chapitre 2: Pour obtenir les mises à jour de signatures

Présentation des mises à jour de signatures...................................................... 2–1

Les mises à jour sont cumulatives........................................................... 2–1

Pour les utilisateurs individuels ............................................................ 2–2

Pour les administrateurs antivirus .......................................................... 2–2

Automatiser votre distribution ............................................................. 2–2

Aucun temps d'arrêt pour les mises à jour ................................................... 2–3

Table des matières iii

Utilisation des options de mise à jour des signatures ............................................. 2–3

Options de mise à jour des signatures ....................................................... 2–4

Utilisation des options de planification...................................................... 2–5

Utilisation des options Entrée .............................................................. 2–6

Utilisation des options de sortie ........................................................... 2–17

Gestion des mises à jour de signatures ......................................................... 2–19

Fonctionnement du processus de téléchargement ........................................... 2–20

Surveillance des téléchargements de signatures ............................................. 2–22

Chapitre 3: Utilisation des options d'analyse et de sélection

Utilisation des options d'analyse communes..................................................... 3–1

Utilisation des options d'analyse ............................................................... 3–2

Options de l'onglet Analyse ................................................................ 3–2

Utilisation des options de sélection ............................................................. 3–6

Options de l'onglet Sélection ............................................................... 3–6

Utilisation de l'analyseur en mode commande Inocmd32 ......................................... 3–8

Options de l'analyseur pour Inocmd32 ...................................................... 3–8

Chapitre 4: Utilisation de l'analyseur local

Fonctionnalités de l'analyseur local ............................................................. 4–1

Accès à d'autres options depuis la fenêtre de l'analyseur local ................................. 4–1

Options de l'analyseur local ................................................................ 4–2

Fenêtre de l'analyseur local ................................................................ 4–2

Utilisation des options d'affichage.............................................................. 4–5

Options de l'onglet Afficher ................................................................ 4–5

Utilisation des options de répertoire ............................................................ 4–6

Répertoires d'installation des versions précédentes ........................................... 4–6

Emplacements de répertoire affichés ........................................................ 4–6

Envoi d'un fichier pour analyse ................................................................ 4–7

Utilisation des options Envoyer les informations pour l'analyse................................ 4–7

Utilisation de l'option Contact.................................................................. 4–8

Informations sur la personne à contacter pour l'analyse de virus............................... 4–8

Gestion des infections à analyser ........................................................... 4–9

Utilisation du gestionnaire de services .......................................................... 4–9

Services ................................................................................. 4–10

iv Manuel de l'administrateur

Chapitre 5: Utilisation du moniteur temps réel

Fonctionnalités du moniteur temps réel ......................................................... 5–1

Chargement automatique du moniteur temps réel............................................ 5–3

Options disponibles à partir de l'icône du moniteur temps réel ................................ 5–3

Messagerie temps réel ..................................................................... 5–4

Utilisation des options temps réel .............................................................. 5–4

Gestion des paramètres temps réel.......................................................... 5–4

Définition de la direction d'analyse ......................................................... 5–5

Utilisation des options de sélection temps réel ............................................... 5–5

Utilisation des options de filtres temps réel .................................................. 5–5

Utilisation des options temps réel avancées.................................................. 5–7

Utilisation de l'option Quarantaine ......................................................... 5–8

Statistiques du moniteur temps réel......................................................... 5–9

Chapitre 6: Planification de jobs d'analyse

Options de planification des jobs d'analyse ...................................................... 6–1

Option de description des jobs d'analyse .................................................... 6–2

Utilisation des options de planification...................................................... 6–2

Utilisation de l'option Répertoires .......................................................... 6–3

Utilisation de l'option Exclure répertoires ................................................... 6–3

Gestion des jobs d'analyse planifiés ......................................................... 6–4

Affichage des résultats d'une analyse planifiée............................................... 6–5

Statistiques du job pour une analyse planifiée en cours ....................................... 6–5

Chapitre 7: Affichage et gestion des journaux

Utilisation de la fenêtre Visionneuse du journal.................................................. 7–2

Liste de la visionneuse du journal .......................................................... 7–2

Affichage du résumé et des informations détaillées du journal................................. 7–4

Gestion des journaux.......................................................................... 7–4

Spécification des options du journal pour une analyse ........................................ 7–4

Journaux dans un format de base de données standard ....................................... 7–6

Collecte d'informations sur les performances du système ..................................... 7–7

Table des matières v

Chapitre 8: Utilisation de l'affichage de l'administrateur

Utilisation de la fenêtre Affichage de l'administrateur ............................................ 8–1

Utilisation du serveur Admin .................................................................. 8–2

Considérations relatives à l'installation du serveur Admin .................................... 8–2

Connexion au serveur Admin .............................................................. 8–3

Rôle du serveur Admin.................................................................... 8–6

Prise en charge LDAP ..................................................................... 8–7

Gestion des paramètres de configuration........................................................ 8–8

Utilisation des règles de messagerie......................................................... 8–8

Utilisation des règles appliquées........................................................... 8–10

Utilisation de sous-réseaux................................................................ 8–15

A propos de la catégorie Utilisateurs....................................................... 8–23

Gestion de domaines hérités .................................................................. 8–25

Gestion des ordinateurs avec l'arborescence de l'organisation .................................... 8–25

Utilisation de l'arborescence de l'organisation............................................... 8–25

Utilisation des droits d'accès .................................................................. 8–31

Considérations concernant l'accès au serveur Admin ........................................ 8–32

Configuration des droits d'accès ........................................................... 8–36

Création et utilisation des ordinateurs de configuration proxy.................................... 8–43

Considérations relatives au serveur proxy .................................................. 8–43

Fonctionnement d'un serveur proxy ....................................................... 8–44

Distribution de signatures avec l'option Télécharger............................................. 8–45

Utilisation de l'option Télécharger dans l'affichage de l'administrateur ........................ 8–45

Utilisation de l'option Télécharger avec des serveurs de redistribution ........................ 8–47

Remarques concernant l'analyse des unités du réseau ........................................... 8–48

Personnalisation des messages ................................................................ 8–48

Génération et affichage de rapports............................................................ 8–49

Génération de rapports ................................................................... 8–49

Affichage des rapports ................................................................... 8–50

Planification de la génération des rapports ................................................. 8–52

vi Manuel de l'administrateur

Chapitre 9: Utilisation de l'utilitaire d'installation à distance

Exécution de l'utilitaire ........................................................................ 9–1

Conditions requises pour l'ordinateur local .................................................. 9–2

A propos de l'assistant d'installation ........................................................ 9–2

Utilisation de l'interface d'installation à distance ................................................. 9–3

Lancement de l'interface d'installation à distance............................................. 9–3

Recherche dans le réseau pour sélectionner les cibles d'installation............................. 9–5

A propos de la liste des cibles d'installation.................................................. 9–5

Utilisation de la barre d'outils .............................................................. 9–7

Configuration de la source d'installation ........................................................ 9–8

Configuration des propriétés de la source d'installation....................................... 9–8

Configuration des propriétés de la source de licence......................................... 9–10

Suppression des partages de source d'installation ........................................... 9–10

Définition des cibles pour l'installation......................................................... 9–11

Conditions requises pour la cible d'installation.............................................. 9–11

Ajout de nouvelles cibles ................................................................. 9–11

Edition des cibles existantes............................................................... 9–13

Suppression des cibles existantes .......................................................... 9–13

Copie des informations sur la cible......................................................... 9–14

Utilisation de Coller et Collage spécial ..................................................... 9–14

Vérification des informations sur le compte................................................. 9–14

Importation et exportation de la liste de cibles .............................................. 9–15

Configuration du fichier de contrôle de l'installation ............................................ 9–15

A propos de la boîte de dialogue de configuration ICF ....................................... 9–16

Exécution de sessions d'installation............................................................ 9–16

A propos des sessions d'installation........................................................ 9–16

Enregistrement dans le journal de sessions d'installation ..................................... 9–17

Lancement des sessions d'installation ...................................................... 9–18

Arrêt de sessions d'installation ............................................................ 9–18

Désinstallation de l'utilitaire d'installation à distance ........................................ 9–19

Installation à distance sur un ordinateur Windows 9x ........................................... 9–19

Utilisation de Setup.exe pour Windows 9x.................................................. 9–19

Table des matières vii

Chapitre 10: Utilisation de disquettes de secours pour Windows 9x

Utilisation de la fonctionnalité Disquette de secours............................................. 10–1

Informations sur la disquette de secours.................................................... 10–1

Récupération à la suite d'un virus informatique................................................. 10–4

Utilisation des options de la disquette de secours ........................................... 10–4

Chapitre 11: Utilisation du gestionnaire Alert

Introduction à Alert .......................................................................... 11–1

Composants de base ......................................................................... 11–2

Fonctions d'Alert......................................................................... 11–3

Exécution du gestionnaire Alert ............................................................... 11–3

Configuration d'Alert..................................................................... 11–3

Création et édition des configurations de port............................................... 11–3

Utilisation de l'option de diffusion d'Alert.................................................. 11–4

Utilisation du récepteur d'appels .......................................................... 11–4

Interprétation du message du récepteur d'appels............................................ 11–4

Utilisation de l'option SMTP .............................................................. 11–4

Utilisation de l'option SNMP .............................................................. 11–5

Utilisation du ticket d'incident ............................................................ 11–5

Utilisation de la messagerie électronique ................................................... 11–5

Utilisation de l'option Unicenter TNG...................................................... 11–5

Utilisation de l'option eTrust Audit ........................................................ 11–5

Priorité de l'événement d'application....................................................... 11–6

Exemples de scénarios TNG Alert ......................................................... 11–6

Test des destinataires..................................................................... 11–7

Activité Alert et journaux d'événements.................................................... 11–7

Destination du journal d'événements ...................................................... 11–7

Utilisation d'Alert avec le logiciel antivirus ..................................................... 11–8

Accès aux options Paramètres Alert........................................................ 11–8

Utilisation des options de rapports Alert ................................................... 11–8

Utilisation des options du filtre Alert ...................................................... 11–9

Utilisation des règles Alert dans l'affichage de l'administrateur.................................. 11–11

Gestionnaire Alert local sur les systèmes UNIX et OS X......................................... 11–11

viii Manuel de l'administrateur

Chapitre 12: Intégration avec Unicenter

Utilisation de WorldView .................................................................... 12–1

Préparation de l'intégration TNG.............................................................. 12–3

Utilisation de TRIX pour l'importation dans le référentiel .................................... 12–3

Utilisation de InoUpTNG pour effectuer un affichage........................................ 12–3

Gestion des options antivirus dans WorldView ................................................. 12–4

Intégration avec WorldView .............................................................. 12–4

Annexe A: Installation du logiciel antivirus pour UNIX

Avant l'installation........................................................................... A–1

Navigateur Web ......................................................................... A–1

Configuration minimale du réseau......................................................... A–1

Configuration minimale du matériel ....................................................... A–2

Systèmes d'exploitation pris en charge ..................................................... A–2

Installation du logiciel antivirus pour UNIX.................................................... A–2

Procédure d'installation .................................................................. A–2

Démarrage et arrêt des services ............................................................... A–4

Utilisation du navigateur Web ................................................................ A–4

Utilisation d'un plug-in Java™ ............................................................ A–6

Suppression du logiciel eTrust Antivirus ....................................................... A–6

Utilisation des paramètres d'installation ....................................................... A–7

Annexe B: Installation et démarrage de eTrust Antivirus pour Macintosh OS X

Avant l'installation............................................................................ B–1

Configuration minimale du réseau.......................................................... B–1

Configuration minimale du matériel ........................................................ B–1

Systèmes d'exploitation pris en charge ...................................................... B–1

Installation du logiciel eTrust Antivirus pour OS X............................................... B–2

Procédure d'installation ................................................................... B–2

Services d'installation à distance................................................................B–6

Exemples de script ........................................................................ B–6

Démarrage des services eTrust Antivirus........................................................ B–8

Onglet Services ........................................................................... B–9

Onglet Options ........................................................................... B–9

Lancement de eTrust Antivirus ............................................................... B–10

Suppression du logiciel eTrust Antivirus ....................................................... B–11

Table des matières ix

Annexe C: Installation du logiciel antivirus pour NetWare

Avant l'installation............................................................................C–1

Utilisation du programme d'installation.........................................................C–2

Installation de eTrust Antivirus pour NetWare...............................................C–2

Changement des informations d'installation du serveur......................................C–10

Suppression du logiciel eTrust Antivirus d'un serveur .......................................C–11

Action sur des serveurs spécifiques ........................................................C–11

Annexe D: Utilisation du programme de console ETRUSTAV

Utilisation du menu ETRUSTAV .............................................................. D–1

Annexe E: Utilisation du fichier de commande de l'installation

Fichier INOC6.ICF ............................................................................E–1

Path .....................................................................................E–2

RPCMtAdn............................................................................... E–3

Analyseur local ........................................................................... E–3

Distribution .............................................................................. E–8

Temps réel ..............................................................................E–10

AdminServer ............................................................................ E–15

Analyseur planifié .......................................................................E–17

VirusAnalyze............................................................................E–21

Alert.................................................................................... E–22

NameClient ............................................................................. E–24

Startup..................................................................................E–24

Divers .................................................................................. E–25

EngineID................................................................................E–25

PurgeLog ............................................................................... E–25

InstallComponet ......................................................................... E–26

SystemSetting ........................................................................... E–28

Job Adjustment .......................................................................... E–29

PreAction ............................................................................... E–29

PostAction ..............................................................................E–30

x Manuel de l'administrateur

Fichier INOC6_NW.ICF ...................................................................... E–30

Path ....................................................................................E–30

RPCMtAdn.............................................................................. E–32

Analyseur local .......................................................................... E–32

Distribution ............................................................................. E–37

Realtime ................................................................................ E–40

Scheduled Scanner ....................................................................... E–44

VirusAnalyze............................................................................E–48

Alert.................................................................................... E–48

NameClient ............................................................................. E–50

Divers .................................................................................. E–51

EngineID................................................................................E–51

PurgeLog ............................................................................... E–52

InstallComponent ........................................................................ E–52

NovellSpecific ........................................................................... E–53

Annexe F: Fichier InoDist.ini

Options de mise à jour des signatures dans le fichier InoDist.ini ................................... F–1

[SOURCES] .................................................................................. F–1

[GET] .................................................................................... F–4

[POLICY] ................................................................................ F–5

[OSID] ................................................................................... F–6

[ENGINEID].............................................................................. F–6

Annexe G: Installation de la connexion à la source de données ODBC

Procédure d'installation ...................................................................... G–1

Installation d'InfoReports de CA .............................................................. G–4

Table des matières xi

Annexe H: Installation et utilisation de l'analyseur eTrust Antivirus pour un système de fichiers NetApp

Introduction................................................................................. H–1

Processus d'analyse ...................................................................... H–2

Contrôle du processus .................................................................... H–2

Informations d'installation.................................................................... H–3

Gestion de l'analyseur........................................................................ H–5

Ajout d'un autre système de fichiers à un analyseur ......................................... H–5

Affichage des statistiques de l'analyseur.................................................... H–7

Modification des paramètres antivirus avec le moniteur temps réel ........................... H–7

Gestion des répertoires de déplacement et de copie personnalisés............................ H–14

Affichage du journal de détection de virus................................................. H–16

Gestion de l'analyseur à distance ......................................................... H–17

Gestion du système de fichiers ............................................................... H–18

Activation et désactivation de l'analyse de virus............................................ H–18

Spécification d'extensions de fichiers à analyser en utilisant vscan ........................... H–18

Spécification des partages à analyser en utilisant cifs ....................................... H–20

Dépannage................................................................................. H–22

Annexe I: Installation automatique de eTrust Antivirus

Examen du fichier d'installation automatique.................................................... I–1

Index

xii Manuel de l'administrateur

Chapitre

A propos des virus

Les menaces d’infection par un virus constituent le principal problème de sécurité pour toute personne utilisant un ordinateur. Un virus ou une infection informatique est un programme informatique pouvant détruire des informations sur votre poste de travail. Semblable à un virus biologique, un virus informatique peut se reproduire en se nichant dans d’autres fichiers, en général des programmes exécutables. Lorsqu’ils sont isolés (non exécutés comme par exemple dans un fichier compressé), les virus informatiques ne sont pas dangereux, mais dès qu’ils sont ouverts, ils peuvent occasionner d’importants dommages.

Pour être classé comme virus, un fichier suspect doit pouvoir :

■ se répliquer,

■ se nicher dans d’autres exécutables.

Il existe de nombreux types d’infections, notamment les infections de fichiers, les virus de macro, les vers et les chevaux de Troie

Infection par un virus

Les infections peuvent se propager par l’intermédiaire de messages électroniques ou de téléchargements à partir d’Internet, de disquettes ou de connexions à des réseaux. Elles sont parfois transmises accidentellement dans les progiciels. Les virus ne peuvent pas se développer tout seuls ; ils doivent être exécutés pour pouvoir causer des dommages. Les virus de secteur d’amorçage se multiplient lorsqu’un utilisateur amorce par inadvertance un poste de travail avec une disquette infectée. Les virus de macro peuvent se propager simplement par l’ouverture d’un document infecté.

Des ordinateurs non protégés connectés à Internet, au Web et à des systèmes de messagerie peuvent être infectés et propager rapidement des infections. Des fichiers malveillants joints dans des courriers non sollicités sont capables de se multiplier très vite et de paralyser votre réseau.

A propos des virus 1–1

Symptômes d’infection informatique

Les symptômes d’infection varient en fonction du virus spécifique infectant votre système. La liste suivante contient les symptômes que vous risquez de rencontrer le plus souvent.

■ Votre écran affiche un message tel que « Votre PC est lent comme une

tortue ! »

■ Votre écran affiche des motifs graphiques étranges tels que des balles

rebondissantes.

■ La taille des fichiers augmente. Les changements sont parfois tellement

importants qu’il devient impossible de charger ces fichiers dans la mémoire. Mais le plus souvent, le changement de taille est peu important.

■ Le tampon horodateur d’un fichier est modifié. Il est possible que vous

trouviez un fichier *.com ou *.exe comportant un tampon horodateur plus récent que le moment où vous l’avez chargé.

■ Vous recevez un message d’erreur concernant l’écriture d’un disque protégé

même si votre application n’est pas en train d’essayer d’effectuer une opération en écriture.

■ Le chargement des programmes prend plus de temps bien que la

configuration de votre ordinateur n’ait pas été modifiée.

■ Votre ordinateur s’exécute apparemment beaucoup plus lentement qu’il

n’est normal.

■ Votre ordinateur dispose de moins de mémoire disponible qu’il n’est normal.

■ Les mêmes problèmes surgissent sur plusieurs ordinateurs.

■ Vous recevez un message d’erreur « Commande ou nom de fichier

incorrect » alors que vous êtes sûr que le fichier est sur le disque.

■ Vous ne pouvez pas accéder à une unité qui existe pourtant.

■ CHKDSK découvre soudain des secteurs endommagés sur plusieurs

ordinateurs.

■ Des problèmes persistants se produisent sur votre ordinateur, comme par

exemple des difficultés à copier des fichiers.

■ Votre ordinateur se bloque souvent.

Si votre ordinateur présente un ou plusieurs de ces symptômes, il est possible qu’il soit infecté. Etant donné qu’il est difficile de déterminer si ces symptômes sont liés à une infection, le logiciel antivirus de Computer Associates vous permet de confirmer si votre poste de travail est infecté.

1–2 Manuel de l'administrateur

Conséquences d’une infection informatique

Toutes les infections n’endommagent pas votre ordinateur. Certaines sont simplement gênantes car elles se reproduisent sans arrêt ou affichent d’étranges graphiques ou messages sur votre écran. La plupart des virus sont furtifs et demeurent cachés jusqu’à leur exécution.

Si une infection cause des dommages, ces derniers varient en fonction du type d’infection contaminant votre système. En général, les virus peuvent agir sur votre ordinateur de la façon suivante :

■ Bloquer votre ordinateur

■ Effacer, modifier ou masquer des fichiers

■ Brouiller les données de votre disque dur

■ Attaquer et brouiller la table d’allocation de fichier (FAT)

■ Attaquer et brouiller la table des partitions

■ Formater votre disque dur

Types de virus

Les virus sont classés selon leur mode de propagation et d’infection de l’ordinateur.

Voici une liste des types de virus les plus répandus et de leurs effets.

Nom du virus Description

virus de secteur d’amorçage

Ces virus remplacent le secteur d’amorçage initial du disque (contenant le code exécuté lors de l’amorçage du système) par leur propre code, si bien que le virus est toujours chargé dans la mémoire avant toute autre programme. Cela signifie que le virus s’exécute à chaque fois que vous démarrez votre ordinateur. Une fois dans la mémoire, le virus peut rendre votre disque de démarrage inutilisable ou contaminer d’autres disques.

virus de secteur d’amorçage maître

Ces virus écrasent le secteur d’amorçage maître du disque (table des partitions). Ces virus sont difficiles à détecter car de nombreux outils d’examen du disque ne vous permettent pas de voir le secteur de partition qui est le premier secteur de votre disque dur.

A propos des virus 1–3

Caractéristiques des virus

Nom du virus Description

virus de macro

virus de fichiers

virus multipartie

D’autres types d’infections et d’attaques existent, comme les vers et les attaques par saturation (dénis de service – DDOS). Les vers sont similaires aux virus dans la mesure où ils réalisent des copies d’eux-mêmes. Lorsqu’un ver est exécuté, il cherche à infecter d’autres systèmes, plutôt que des parties de système. Les attaques par saturation installent des fichiers cachés sur des systèmes à leur insu. Les fichiers cachés sont ensuite activés ultérieurement afin d’effectuer des opérations malveillantes sur un autre système.

Ces virus sont écrits dans le langage macro de programmes informatiques spécifiques tels que les logiciels de traitement de texte ou les tableurs. Les virus de macros infectent les fichiers (et non le secteur d’amorçage ou la table des partitions) et peuvent résider dans la mémoire lors de leur exécution. Ils peuvent être exécutés lorsque vous accédez au document d’un programme ou être déclenchés par des actions d’utilisateurs telles que certaines frappes au clavier ou des sélections de menus. Les virus de macros peuvent être stockés dans n’importe quel type de fichier et sont propagés par des transferts de fichiers ou des courriers électroniques.

Ces virus infectent d’autres programmes lorsqu’un programme infecté est exécuté. Ils ne demeurent pas dans la mémoire si bien qu’ils n’infectent pas le système. Tout comme les virus résidant dans la mémoire, les virus non-résidents se joignent à des fichiers exécutables. Ces virus modifient souvent les informations concernant les attributs des fichiers, ainsi que la taille, l’heure et la date du fichier.

Ces virus combinent les caractéristiques des virus résidant dans la mémoire, des virus de fichiers et des virus de secteur d’amorçage.

Caractéristiques des virus

Les différents types de virus peuvent présenter différentes caractéristiques de comportement basées sur leur fonctionnement.

Type de virus Comportement

virus résidant en mémoire

1–4 Manuel de l'administrateur

Ces virus se chargent eux-mêmes dans la mémoire et prennent le contrôle du système d’exploitation. Les virus résidant dans la mémoire se joignent aux fichiers exécutables (tels que les fichiers *.exe, *.com et *.sys). Ces virus modifient souvent les informations concernant les attributs des fichiers, ainsi que la taille, l’heure et la date du fichier.

Solution antivirus de Computer Associates

Type de virus Comportement

virus furtifs Ces virus dissimulent leur présence. Tous les virus s’efforcent

de se dissimuler d’une certaine manière, mais les virus furtifs s’y efforcent encore davantage. Par exemple, un virus furtif peut infecter un programme en ajoutant des octets au fichier infecté. Ensuite, dans l’entrée du répertoire du fichier infecté, il soustrait le même nombre d’octets pour donner l’impression que la taille du fichier n’a pas changé.

virus polymorphes

Ces virus modifient régulièrement leur apparence et leur signature (leur code identifiable). Par exemple, ils peuvent insérer un code parasite au milieu de l’exécution du fichier ou modifier l’ordre d’exécution. Ceci permet au virus d’éviter les méthodes de détection par analyse des signatures.

Solution antivirus de Computer Associates

Le logiciel antivirus de Computer Associates est une solution antivirus performante pour le réseau de votre entreprise ou votre poste de travail individuel. Il peut protéger vos postes de travail fonctionnant sous Windows, UNIX, Macintosh OS X et NetWare. Ce logiciel est certifié par l’ICSA (International Computer Security Association) capable de détecter 100% des virus qui existent « dans la nature ». Ses fonctionnalités comprennent une interface utilisateur de style Windows, l’intégration avec l’Explorateur Windows et des mises à jour mensuelles et gratuites de signatures de virus proposées par Computer Associates. Des options sont disponibles pour la protection des systèmes de messagerie Lotus Notes et Microsoft Exchange. Des versions sont également disponibles pour Novell NetWare, Linux, Solaris, HP-UX et Macintosh OS X.

Références des plates-formes

Le terme Windows se réfère au système d’exploitation Windows de Microsoft, notamment Windows 95, Windows 98, Windows NT, Windows 2000, Windows 2003 et Windows XP. Sauf indication contraire, Windows se réfère à tout système d’exploitation Windows de Microsoft pris en charge par le logiciel antivirus de Computer Associates. Linux se réfère à Linux sur les machines Intel et System 390, Solaris se réfère uniquement à Solaris sur les machines Sun Sparc et HP-UX se réfère uniquement à HP-UX sur les machines HP PA-RISC.

A propos des virus 1–5

Mode de fonctionnement du logiciel antivirus de Computer Associates

Automatisez votre protection antivirus

Une fois que la solution logicielle antivirus de Computer Associates est configurée pour votre système ou réseau, vous pouvez automatiser votre protection antivirus. Toutes les opérations de mise à jour des signatures, de distribution, de surveillance, de configuration des paramètres d’analyse et d’analyse peuvent être configurées pour s’exécuter sans intervention. Les mises à jour des signatures peuvent être collectées de manière planifiée et distribuées à tous les ordinateurs de votre réseau antivirus sans qu’un administrateur n’ait besoin de gérer chaque ordinateur individuellement et sans temps d’arrêt des postes de travail.

Pourquoi avez-vous besoin d’une protection antivirus ?

Les infections informatiques sont devenues un problème majeur pour la gestion de la sécurité des réseaux et pour les utilisateurs individuels. Le coût des données perdues et le temps nécessaire à la restauration des ordinateurs infectés sont considérables dans le cas où un virus infecte votre réseau ou votre ordinateur.

Etant donné que les unités et répertoires partagés fournissent un accès aux applications et aux informations pour tous les utilisateurs d’un réseau, un fichier infecté sur un ordinateur peut se propager rapidement dans l’ensemble du réseau. C’est pourquoi il est essentiel que tous les ordinateurs soient protégés contre une infection.

Mode de fonctionnement du logiciel antivirus de Computer Associates

Le logiciel antivirus de Computer Associates utilise un détecteur de virus à base de règles, polymorphe et analytique pour détecter les virus connus. En outre, le moniteur temps réel vous offre une protection antivirus continue pendant que vous travaillez. Le moniteur temps réel est un pilote de périphérique virtuel (VxD) fournissant une protection antivirus spécifique aux systèmes basés sur Windows.

En ce qui concerne les systèmes basés sur UNIX, le moniteur temps réel utilise l’Event Notification Facility de Computer Associates (CAIENF) pour leur fournir une protection antivirus.

Sous NetWare, le moniteur temps réel utilise le sous-système NetWare FSHOOKS.

Sous OS X, le moniteur temps réel utilise une extension du noyau (KEXT).

1–6 Manuel de l'administrateur

Mode de fonctionnement du logiciel antivirus de Computer Associates

Architecture

Découverte

Analyseur

Notification

Rapport

Dans un environnement en réseau utilisant une architecture client/serveur, un ou plusieurs serveurs centralisés permettent de garder une trace des informations concernant les ordinateurs de votre réseau antivirus et peuvent servir de points de distribution pour les mises à jour des signatures et des configurations. Un ordinateur local peut exécuter des analyses ou bien un administrateur autorisé peut gérer les ordinateurs à distance.

Toutes les instances du logiciel antivirus de Computer Associates en cours d’exécution au sein de votre réseau peuvent être découvertes automatiquement.

Un moteur d’analyse à base de règles détecte les virus connus. Les virus inconnus sont détectés grâce à l’option Analyseur heuristique.

De nombreuses fonctionnalités de notification sont intégrées à ce produit. Microsoft Mail, les récepteurs d’appels alphanumériques et numériques, le protocole SMTP, le protocole SNMP, les rapports d’incidents (file d’impression) et les messages de diffusion réseau sont tous disponibles sur une plate-forme Windows pour assurer que vous soyez alerté en cas de détection d’un virus.

La fonction de notification pour UNIX et OS X permet d’envoyer des messages au syslog. Il est possible d’appeler un script défini par l’utilisateur afin de fournir des messages de notification d’alerte personnalisés.

Un mécanisme de rapport sophistiqué consigne toutes les opérations d’analyse qui peuvent être passées en revue à des fins de suivi et d’étude.

Traitement

Mises à jour des signatures

Propagation et application des règles

Vous pouvez décider de la façon de traiter un fichier infecté avant sa découverte ou après une analyse.

Les mises à jour des signatures sont régulièrement disponibles chez Computer Associates. Vous pouvez automatiser le processus de mise à jour des ordinateurs de votre réseau antivirus. Le poste de travail ne connaît pas de temps d’arrêt lors de la mise à jour.

Les administrateurs autorisés peuvent définir des options de règles antivirus, les propager dans le réseau et surveiller les paramètres des règles.

A propos des virus 1–7

Méthodes de protection

Le logiciel antivirus de Computer Associates offre un ensemble de techniques de détection des infections informatiques. Un grand nombre de ces techniques sont transparentes pour l’utilisateur.

■ La vérification d’intégrité détermine si la taille du fichier d’un programme a

augmenté parce qu’un virus s’y serait joint. Cette méthode est utilisée en premier lieu pour vérifier l’intégrité des informations de la zone critique de disque.

■ La détection polymorphe à base de règles observe les actions des programmes

telles que les fonctions d’appel afin de détecter le comportement suspect d’un programme.

■ La surveillance des interruptions observe tous les appels système des

programmes (par exemple, DOS ou Macintosh) pour essayer d’arrêter la séquence d’appels qui pourrait indiquer les actions d’un virus.

■ L’analyse des signatures recherche un ensemble unique de code hexadécimal,

c’est-à-dire la signature du virus déposée par ce dernier dans un fichier infecté. En effectuant une recherche à l’aide de ces codes dans les fichiers programme, l’analyseur des signatures peut détecter ce virus connu.

Protection de vos ordinateurs contre les infections

Vous pouvez simplement vous contenter de détecter et de désinfecter vos ordinateurs. Toutefois, le meilleur moyen d’éviter ce type de problème est d’abord d’empêcher les infections d’atteindre votre ordinateur. Le logiciel antivirus de Computer Associates constitue une barrière efficace contre les infections.

Le moniteur temps réel analyse les fichiers lorsqu’ils entrent ou sortent de votre poste de travail en provenance ou vers d’autres ordinateurs de votre réseau. La protection temps réel inclut l’analyse des fichiers de votre poste de travail à chaque exécution, accès ou ouverture de fichier afin de détecter les éventuels virus qu’ils peuvent contenir.

La protection de la zone de disque critique (pour Windows 95 et Windows 98) protège le disque dur de votre poste de travail. La zone de disque critique comprend le secteur d’amorçage maître, la table des partitions, des informations concernant la mémoire CMOS (RAM) et des fichiers système. La fonctionnalité Disquette de secours vous permet de créer une disquette de sauvegarde des fichiers de la zone de disque critique.

1–8 Manuel de l'administrateur

Composants du produit

Suggestions permettant de préserver vos ordinateurs de toute infection

Voici quelques suggestions d’ordre général afin d’éviter que votre ordinateur ne soit infecté.

■ Définissez tous vos fichiers exécutables comme fichiers en lecture seule.

Ceci réduit les risques d’infection des fichiers exécutables.

■ Analysez les disquettes avant de copier des fichiers à partir de celles-ci.

■ Utilisez un outil de sauvegarde tel que BrightStor afin de sauvegarder votre

poste de travail après une analyse antivirus réussie. Si un fichier avec une infection ne pouvant être désinfectée est détecté, vous pouvez ainsi restaurer une version de sauvegarde de ce fichier.

■ Installez les dernières mises à jour de signatures de virus pour assurer une

protection optimale de votre environnement.

■ Gérez vos répertoires partagés en définissant des droits d’accès de telle sorte

que les utilisateurs aient le niveau d’autorité appropriée pour le répertoire, tel que la lecture seule au lieu du contrôle total.

■ Dans les systèmes Windows, UNIX et OS X, si le moteur de l’analyseur

heuristique détecte un fichier que vous pensez être infecté et que vous souhaitez l’envoyer à Computer Associates pour qu’il soit analysé, utilisez la fonctionnalité automatisée Envoyer pour analyse. En cas de traitement manuel du fichier, renommez-le toujours avec une extension AVB et utilisez un utilitaire de compression avant de l’envoyer par courrier électronique ou de l’enregistrer sur une disquette.

Composants du produit

Le logiciel antivirus de Computer Associates dispose d’un jeu complet de composants fournissant une protection maximale à tous les environnements informatiques : de ceux composés d’un seul ordinateur aux plus vastes.

Les principaux composants sont brièvement décrits ci-dessous.

Interface utilisateur graphique – L’interface utilisateur graphique fournit une interface familière de type Explorateur/Finder qui permet la gestion de tous les aspects de la protection antivirus. Les différents affichages et les différentes options vous permettent d’afficher et de contrôler tous les types d’activité d’analyse.

Interface utilisateur basée sur le Web – L’accès au logiciel antivirus de Computer Associates est possible par Internet via un navigateur. Utilisez l’interface comme vous le feriez avec celle de Windows, étant donné que leurs styles et leurs structures sont identiques.

A propos des virus 1–9

Composants du produit

Analyseur local – L’analyseur local vous permet de gérer les options d’analyse d’un ordinateur local.

Moniteur temps réel – Les options d’analyse en temps réel vous permettent de détecter les infections dans les fichiers de votre poste de travail à chaque exécution, accès ou ouverture de fichier. Vous pouvez surveiller un poste de travail à la recherche de comportements viraux, tels que le formatage non autorisé d’un disque dur. Les utilisateurs peuvent configurer le moniteur temps réel afin de détecter les infections connues et inconnues et de spécifier les actions à entreprendre si une infection est détectée. Les administrateurs peuvent transmettre des paramètres temps réel dans l’ensemble du réseau et surveiller les règles de cette option. Si un fichier infecté est détecté, une fenêtre contenant le nom du fichier infecté et celui du virus s’affiche.

Analyseur planifié – Les options de planification du job d’analyse vous permettent d’automatiser l’analyse sur les ordinateurs distants et locaux. L’analyse est alors effectuée à une date et une heure données et, si vous le souhaitez, à intervalles réguliers.

Extension Shell – L’option Extension Shell est intégrée à votre système d’exploitation Windows. Elle vous permet de cliquer avec le bouton droit de la souris sur tout élément du Bureau ou de l’Explorateur et d’effectuer une analyse grâce à l’analyseur du shell.

Affichage de l’administrateur – Les options de l’affichage de l’administrateur permettent d’effectuer une gestion administrative de tous les ordinateurs de votre réseau antivirus. Ces options permettent d’effectuer une gestion à distance, de transmettre les configurations, ainsi que de définir et de faire appliquer les règles antivirus de l’entreprise.

Serveur Admin – Le serveur Admin garde une trace de toutes les instances du produit antivirus exécutées sur votre réseau. Les utilisateurs autorisés peuvent effectuer des fonctions de gestion à distance basées sur les informations de découverte automatique fournies par le serveur Admin.

Agents Client – Des agents Client sont disponibles pour la plupart des systèmes d’exploitation, incluant Windows 3.x.

Journaux – La visionneuse du journal vous permet de consulter et de gérer les journaux de chaque type d’opération d’analyse, de visualiser les informations du journal de mise à jour des signatures ainsi que d’afficher et de modifier les options d’analyse planifiée. Les journaux sont compatibles avec les outils de base de données standard et peuvent être utilisés pour analyser l’impact des infections sur votre entreprise.

Utilitaire d’installation à distance – Les administrateurs peuvent utiliser cette interface utilisateur graphique pour installer le produit sur les ordinateurs Windows NT, Windows 2000 et Windows XP de l’entreprise.

1–10 Manuel de l'administrateur

Composants du produit

Installation à distance pour Windows 9.x – Un programme d’installation (Setup.exe) est fourni afin de mettre à jour les ordinateurs Windows 9.x grâce à un script de connexion lorsqu’ils se connectent à un domaine.

Alert – Composant commun pour les systèmes Windows permettant d’envoyer des messages du logiciel antivirus de Computer Associates et d’autres produits de Computer Associates aux membres de votre organisation en utilisant différentes méthodes de communication. Des messages avec plusieurs niveaux d’alerte (état, avertissement et erreur) peuvent être envoyés à l’administrateur du système, à un technicien ou à toute autre personne située à l’intérieur ou à l’extérieur des bureaux. Une personne ou des groupes de personnes situés dans différents segments du réseau peuvent ainsi être informés. Pour de plus amples informations, consultez l’aide Alert. Vous pouvez également gérer les informations de notification pour Alert à partir des paramètres Alert intégrés à l’interface graphique utilisateur du logiciel antivirus de Computer Associates.

Remarque : Bien que le composant Alert ne soit pas disponible dans les systèmes basés sur UNIX et OS X, le logiciel antivirus de Computer Associates se lie à des scripts définis par l’utilisateur et à syslog, fournissant ainsi un niveau de souplesse de notification équivalent.

Inocmd32 – L’interface de l’analyseur en mode commande pouvant être utilisée par tous les systèmes d’exploitation.

Inocucmd – L’analyseur en mode commande pouvant être utilisé uniquement pour l’utilisation avec la fonctionnalité Disquette de secours de Windows 98/95.

Examine – Utilitaire de récupération à utiliser avec Windows 98/95.

ETRUSTAV – Programme sous NetWare seulement, à partir duquel vous

pouvez contrôler un grand nombre des opérations eTrust Antivirus depuis une console de serveur NetWare.

Utilisation des affichages de fenêtre

L’interface utilisateur graphique fournit différents affichages pour gérer l’activité d’analyse. Les options du menu Affichage vous permettent de faire apparaître les affichages disponibles.

Analyseur local – Cet affichage permet de visualiser la fenêtre de l’analyseur local et de gérer les options d’analyse locale.

Visionneuse du journal – Cet affichage permet de consulter et de gérer les informations du journal.

Affichage de l’administrateur – Un administrateur autorisé peut utiliser cet affichage pour gérer à distance tous les aspects du réseau antivirus.

A propos des virus 1–11

Gestion de domaine NetWare

Gestionnaire de domaines pour NetWare – Cet affichage permet de gérer les domaines antivirus NetWare.

Remarque : Les affichages disponibles varient selon les options installées.

Options

Les options du produit disponibles comprennent :

Option Microsoft Exchange – Fournit une protection intégrée contre les infections contenues dans les documents et fichiers joints à des messages et les dossiers du courrier électronique.

Option Lotus Notes – Fournit une protection intégrée contre les infections contenues dans les documents et les fichiers joints à des messages électroniques et les bases de données Lotus Notes.

Gestion de domaine NetWare

Remarque : L’option de gestion de domaine NetWare ne concerne pas les

machines exécutant eTrust Antivirus 7.0 ou 7.1 pour NetWare.

L’option de domaine NetWare ne concerne que les composants nécessaires à la connexion et à la gestion des machines exécutant InoculateIT 4.5 pour NetWare. Lors de l’exécution d’InoculateIT 4.5 pour NetWare, ceci permet de gérer votre logiciel antivirus Computer Associates pour les domaines NetWare par l’intermédiaire de la console Windows NT, Windows 2000 ou Windows Server 2003.

Analyse d’infections inconnues

L’option Analyseur heuristique vous permet d’analyser les infections inconnues. Même si les mises à jour des signatures les plus récentes analysent tous les virus isolés et classés par l’ICSA (International Computer Security Association), il est toutefois possible d’être infecté par un virus inconnu.

Vous pouvez utiliser à la fois la reconnaissance des signatures et l’analyseur heuristique pour détecter les infections avant qu’elles n’attaquent votre réseau. Si une infection inconnue est détectée, vous pouvez utiliser l’option Envoyer pour analyse pour compresser automatiquement le fichier et l’envoyer pour analyse à Computer Associates.

1–12 Manuel de l'administrateur

Mises à jour des signatures les plus récentes

Analyse heuristique

L’option Analyseur heuristique exécute une analyse heuristique, technique d’intelligence artificielle utilisée pour détecter dans des fichiers des virus dont les signatures n’ont pas encore été isolées ni documentées. Plutôt que d’utiliser un algorithme fixe pour détecter les signatures de virus spécifiques, l’analyse heuristique utilise des méthodes alternatives pour détecter des modèles de comportements similaires à ceux de virus.

Etant donné la prolifération croissante de nouveaux virus, il peut être utile de maintenir l’option Analyseur heuristique activée à chaque analyse et également lors de l’utilisation du moniteur temps réel.

Mises à jour des signatures les plus récentes

Les mises à jour de signatures les plus récentes sont disponibles sur le site d’assistance Internet de Computer Associates à l’adresse suivante :

http://esupport.ca.com/public/antivirus/infodocs/virussig.asp

Dans la bataille constante contre les infections destructrices et malveillantes, nous effectuons continuellement une mise à jour des fichiers de signatures. Votre environnement doit déjà être défini pour pouvoir recevoir les mises à jour les plus récentes en fonction d’une planification déterminée par votre administrateur antivirus.

Cependant, des infections nouvelles et auparavant inconnues peuvent apparaître soudainement et sans avertissement. Nous vous recommandons de consulter régulièrement le site d’assistance pour obtenir les mises à jour de signatures les plus récentes, en particulier lorsque vous entendez parler d’infections et d’attaques nouvelles. Pour protéger votre environnement de traitement, assurez-vous d’être constamment à jour des signatures les plus récentes de Computer Associates.

Pour votre sécurité, Computer Associates n’utilise pas de pièces jointes électroniques comme moyen standard de distribution de la maintenance ou des mises à jour des produits. Computer Associates n’envoie pas de mises à jour non sollicitées par fichiers exécutables. Nous envoyons des messages d’alerte contenant des liens vers Computer Associates que vous pouvez utiliser pour effectuer une demande de mise à jour. Ceci évite que des virus se dissimulent sous la forme de mises à jour antivirus.

A propos des virus 1–13

En cas d’infection

Si vous détectez une infection, des informations supplémentaires concernant les virus, vers et chevaux de Troie sont disponibles sur le Web au Centre d’informations sur les virus de Computer Associates à l’adresse suivante :

http://www.ca.com/virusinfo/

Des informations détaillées sur les infections les plus récentes ainsi que des instructions de suppression spécifiques sont disponibles sur le Web à l’adresse suivante :

http://www.ca.com/virusinfo/virusalert.htm

1–14 Manuel de l'administrateur

Chapitre

Pour obtenir les mises à jour

de signatures

Ce chapitre contient des informations sur l’utilisation des options de mise à jour des signatures en vue d’obtenir les mises à jour de signatures les plus récentes pour les appliquer à votre système. Il aborde également la gestion des mises à jour de signatures dans un réseau antivirus.

Présentation des mises à jour de signatures

Les mises à jour de signatures contiennent les dernières versions des fichiers de signatures qui reconnaissent et neutralisent les infections les plus récentes. En outre, elles contiennent les versions de moteurs les plus récentes qui recherchent les infections éventuelles dans le système, ainsi que des mises à jour de programmes.

Lorsque vous configurez une mise à jour de signatures, vous devez spécifier le moment auquel elle doit être exécutée et comment la télécharger. Vous avez différentes méthodes à votre disposition pour obtenir des mises à jour de signatures, à savoir, via un serveur de redistribution désigné, le protocole de transfert de fichier (FTP), le chemin UNC (Universal Naming Convention) et un chemin de l’ordinateur local.

Computer Associates met à votre disposition des mises à jour de signatures régulièrement. Vous disposez de plusieurs méthodes pour obtenir les mises à jour, comme décrit dans ce chapitre.

Les mises à jour sont cumulatives

Les mises à jour de signatures sont disponibles pour toutes les versions et platesformes prises en charge. Ces mises à jour sont cumulées et contiennent toutes les mises à jour de fichiers précédentes, ainsi que les dernières informations sur les infections les plus récentes. Si vous avez manqué une récente mise à jour, il vous suffit de télécharger le dernier fichier de signatures pour obtenir la protection la plus à jour. Les mises à jour de signatures adaptées à votre configuration sont disponibles par défaut.

Pour obtenir les mises à jour de signatures 2–1

Présentation des mises à jour de signatures

Pour les utilisateurs individuels

Si vous êtes un utilisateur individuel, vous pouvez obtenir les fichiers de signatures de Computer Associates en utilisant une des méthodes source disponibles, puis mettre votre ordinateur à jour.

Pour les administrateurs antivirus

Si vous êtes l’administrateur antivirus d’une entreprise, quelle que soit sa taille, depuis le petit bureau jusqu’au plus grand groupe, nous vous recommandons de télécharger les mises à jour de Computer Associates en utilisant une des méthodes source disponibles et les options de mise à jour des signatures pour appliquer les mises à jour disponibles à votre réseau. Vous pouvez désigner les ordinateurs sélectionnés pour être des serveurs de redistribution de signatures. En outre, vous pouvez utiliser l’affichage de l’administrateur pour définir des options de règles pour les mises à jour de signatures.

Automatiser votre distribution

Vous pouvez définir que la collecte et la distribution se fassent automatiquement, de sorte que chaque ordinateur de votre réseau antivirus obtienne à temps les mises à jour de signatures les plus récentes sans qu’une intervention de l’utilisateur soit nécessaire. L’automatisation et les règles d’administration permettant de surveiller les normes d’utilisation de la protection antivirus constituent l’une des méthodes les plus puissantes pour protéger votre environnement de réseau contre les infections.

Remarque : De nouveaux virus apparaissent régulièrement. Utilisez toujours les fichiers de signatures les plus récents.

Visitez le site Internet d’assistance de Computer Associates à l’adresse http://esupport.ca.com pour obtenir la dernière version des mises à jour de signatures, une liste des virus détectés depuis la dernière mise à jour et d’autres informations importantes pour la protection de votre environnement. Vous pouvez également vous inscrire sur la liste de diffusion de notre bulletin d’information et être informé gratuitement par courrier électronique des nouvelles signatures.

Nous vous recommandons d’automatiser votre configuration pour obtenir régulièrement des mises à jour de signatures. Nous fournissons une fois par mois des mises à jour de signatures régulières et plus souvent lorsque le besoin s’en fait sentir. L’équipe antivirus de Computer Associates met à disposition des mises à jour dès que des infections suffisamment menaçantes apparaissent. Ces mises à jour fournissent les fonctions de détection et de désinfection les plus récentes.

2–2 Manuel de l'administrateur

Utilisation des options de mise à jour des signatures

Remarque : Il existe une différence entre la détection et la désinfection. Certaines infections peuvent être détectées, mais non éradiquées. Pour les infections ne pouvant être désinfectées, une fonction de détection est fournie. Des informations supplémentaires sur la détection et la protection antivirus sont mises à votre disposition sur le site d’assistance de Computer Associates. A mesure que les nouveaux traitements sont découverts, ils sont ajoutés aux mises à jour.

Aucun temps d’arrêt pour les mises à jour

Lorsque vous effectuez une mise à jour des signatures, le poste de travail n’interrompt pas son activité. La mise à jour des signatures est transparente et n’interfère pas avec votre travail.

Utilisation des options de mise à jour des signatures

Les options de mise à jour des signatures permettent d’indiquer comment et quand les mises à jour des signatures sont collectées à partir d’une source de distribution. Elles vous permettent de définir depuis où et à quel moment effectuer les téléchargements des mises à jour de signatures, ainsi que les versions de moteurs et les plates-formes nécessaires.

Important ! Pour distribuer automatiquement les mises à jour de signatures sur un ordinateur, vous devez utiliser l’option Activer le téléchargement planifié dans l’onglet Planification.

Remarque : Reportez-vous à l’aide en ligne pour obtenir des informations détaillées sur l’utilisation de toutes les options de mise à jour des signatures.

Sur les systèmes Windows, au cours de la mise à jour des signatures, une icône d’état du téléchargement est affichée dans la barre des tâches et vous pouvez afficher des informations sur la progression du téléchargement.

Pour obtenir les mises à jour de signatures 2–3

Utilisation des options de mise à jour des signatures

Options de mise à jour des signatures

Utilisez les onglets suivants pour configurer les options de mise à jour des signatures.

■ Planification

■ Entrée

■ Sortie

Pour accéder à ces options depuis la fenêtre de l’analyseur local, cliquez sur le bouton Options de mise à jour des signatures pour afficher la boîte de dialogue des options de mise à jour des signatures ou utilisez le menu Analyseur pour sélectionner les Options de mise à jour des signatures.

Remarque : La fenêtre Analyseur local n’est pas disponible sous NetWare. La configuration de la mise à jour des signatures sur une machine NetWare s’effectue par l’intermédiaire de l’affichage de l’administrateur. Pour en savoir plus sur l’affichage de l’administrateur, reportez-vous au chapitre « Utilisation de l’affichage de l’administrateur ».

Les mises à jour de signatures adaptées à votre configuration sont disponibles par défaut. Pour la mise à jour d’un ordinateur local, vous devez uniquement indiquer où obtenir les mises à jour à l’aide de l’onglet Entrée. Vous pouvez ensuite utiliser l’onglet Planification pour définir une heure pour le job de mise à jour des signatures. Vous pouvez également obtenir les signatures immédiatement.

Les options de mise à jour des signatures sont utilisées à différents niveaux de la collecte et de la distribution par les différents types d’utilisateurs.

■ En tant qu’utilisateur individuel, vous pouvez définir ces options pour

collecter les mises à jour de signatures de Computer Associates et les mettre à disposition pour la mise à jour de votre ordinateur local.

■ Un administrateur antivirus utilise ces options pour collecter les mises à jour

de signatures auprès de Computer Associates et les mettre à disposition des ordinateurs définis comme serveurs de redistribution de signatures.

■ Les administrateurs autorisés peuvent utiliser ces options pour collecter

les mises à jour de signatures auprès des serveurs de redistribution de signatures et mettre ces mises à jour à disposition des autres ordinateurs du réseau.

■ Ce processus de distribution peut être automatisé.

■ Les administrateurs autorisés peuvent définir des règles pour ces options.

Reportez-vous au chapitre « Utilisation de l’affichage de l’administrateur » pour obtenir plus d’informations sur la définition des options de règles.

2–4 Manuel de l'administrateur

Utilisation des options de planification

L’onglet Planification vous permet d’activer les téléchargements planifiés et de déterminer la date, l’heure et la fréquence de mise à jour des signatures.

Vous pouvez planifier un job de mise à jour de signatures pour qu’il s’exécute de différentes manières.

■ Télécharger la mise à jour des signatures immédiatement.

■ Planifier une seule exécution du job de mise à jour des signatures.

■ Planifier le job de mise à jour des signatures pour qu’il soit répété suivant la

fréquence indiquée.

Remarque : Les options que vous spécifiez dans l’onglet Planification s’appliquent uniquement au job de mise à jour des signatures. Elles sont différentes des options de l’onglet Planification qui est utilisé pour planifier un job d’analyse sur un ordinateur local.

Télécharger maintenant

Utilisation des options de mise à jour des signatures

Utilisez le bouton Télécharger pour exécuter immédiatement un job de mise à jour des signatures. Les paramètres de l’onglet Entrée sont utilisés pour ce job. Les versions appropriées des signatures sont disponibles par défaut. Elles sont destinées à la mise à jour de signatures sur l’ordinateur local.

Reportez-vous à la section « Distribution de signatures avec Télécharger » du chapitre « Utilisation de l’affichage de l’administrateur » pour obtenir plus d’informations sur l’utilisation du téléchargement immédiat dans un environnement de réseau.

Pour l’installation à distance sur des systèmes Windows et NetWare, le fichier de configuration INOC6.ICF peut être utilisé pour programmer l’exécution de l’option Télécharger après l’installation.

Activer le téléchargement planifié

L’option Activer le téléchargement planifié vous permet d’indiquer que des téléchargements automatiques planifiés vont être effectués. Pour obtenir une distribution automatique des mises à jour de signatures sur un ordinateur, vous devez utiliser cette option. Lorsque cette option n’est pas activée, le téléchargement planifié est désactivé.

Nous vous conseillons d’utiliser cette option pour garantir une mise à jour régulière de vos fichiers de signatures.

Pour obtenir les mises à jour de signatures 2–5

Utilisation des options de mise à jour des signatures

Date et heure de téléchargement

L’option Date vous permet d’indiquer le jour, le mois et l’année du job. La flèche vers le bas permet d’afficher un calendrier pratique pour sélectionner une date. L’option Heure vous permet d’indiquer l’heure du job en heures et minutes.

L’interface graphique utilisateur du navigateur Web et l’interface OS X n’affichent aucun calendrier. Utilisez les flèches vers le haut ou vers le bas pour modifier la date ou l’heure.

Options Répéter

Utilisez les options Répéter pour indiquer la fréquence d’exécution d’un job régulier de mise à jour des signatures. Vous pouvez planifier l’exécution répétée d’un job de mise à jour des signatures en mois, jours, heures ou minutes.

Remarque : Les paramètres des options Date et Heure déterminent la première occurrence de la mise à jour répétée de signatures.

Utilisation des options Entrée

L’onglet Entrée vous permet d’afficher la liste des sources de téléchargement et d’indiquer comment et à partir d’où télécharger les mises à jour. Utilisez le bouton Ajouter pour afficher la boîte de dialogue Sélectionner une source et ajouter à la liste une méthode de téléchargement et une source pour la mise à jour. Vous pouvez créer des sources multiples de téléchargement si nécessaire.

Effectuer un téléchargement rapide

L’option Effectuer un téléchargement rapide vous permet de mettre à jour vos signatures sans télécharger les informations dont vous disposez déjà.

Lorsque cette option est sélectionnée, le processus de téléchargement analyse les informations de vos signatures actuelles pour déterminer le type de mise à jour dont vous avez besoin. Si seule une mise à jour incrémentielle des fichiers de données est nécessaire, les fichiers appropriés sont alors téléchargés et mis à jour automatiquement. Si une mise à jour incrémentielle n’est pas appropriée et qu’une mise à jour complète est nécessaire, tous les fichiers de signatures et de moteurs sont téléchargés et mis à jour.

Cette méthode se caractérise par des temps de téléchargement plus courts car elle permet de télécharger uniquement les données dont vous avez besoin. Vous n’avez pas besoin de télécharger l’ensemble de la mise à jour des signatures si vous avez réactualisé vos signatures récemment. Le résultat final de la mise à jour incrémentielle ou de la mise à jour complète fournit la même protection de votre ordinateur contre les virus.

2–6 Manuel de l'administrateur

Cette option est utile pour les mises à jour cumulées mineures, par exemple pour les signatures nn.01 à nn.04. Toutefois, si vous effectuez une mise à jour majeure, par exemple des signatures 1.01 à 2.01, le téléchargement fournit la mise à jour complète de la signature, même si cette option est sélectionnée. Ainsi, vous obtenez toujours la mise à jour de signatures adaptée à vos besoins.

Liste des sources de téléchargement

La liste des sources de téléchargement est une liste de sites à partir desquels vous pouvez télécharger des signatures. Elle fournit des informations sur la méthode et la source utilisées par le job de téléchargement. Vous pouvez ajouter des éléments à la liste et les supprimer. Cette liste doit vous permettre de télécharger les mises à jour de signatures de plusieurs sources.

Les mises à jour des signatures sont téléchargées à partir des sources selon l’ordre dans lequel elles sont affichées dans la liste, du haut vers le bas. Pour modifier cet ordre, mettez une méthode en surbrillance dans la liste et utilisez les boutons fléchés pour déplacer l’élément vers le haut ou le bas de la liste.

Utilisation des options de mise à jour des signatures

Utilisation des options de sélection de la source

La boîte de dialogue Sélectionner une source permet de spécifier la méthode de téléchargement ainsi que d’autres informations pour la connexion à la source de téléchargement.

Remarque : Les options de la boîte de dialogue Sélectionner une source changent en fonction de l’option Méthode sélectionnée.

Sélection d’une méthode

Il existe différentes méthodes pour la connexion à une source de téléchargement. Utilisez la méthode adaptée à votre configuration.

Les méthodes disponibles sont les suivantes :

■ Serveur de redistribution

■ FTP

■ UNC

■ Chemin local

Remarque : Un serveur NetWare peut obtenir des mises à jour de signatures à partir d’un autre ordinateur en utilisant uniquement les méthodes FTP ou UNC.

Pour obtenir les mises à jour de signatures 2–7

Utilisation des options de mise à jour des signatures

Utilisation d’un serveur de redistribution

Notes pour l’utilisation du serveur de redistribution sous UNIX

Utilisez un serveur de redistribution pour télécharger des mises à jour des signatures à partir d’un serveur de redistribution défini dans le réseau.

Avec cette méthode, vous indiquez un serveur de redistribution dans votre réseau à partir duquel les mises à jour des signatures peuvent être collectées. Cet ordinateur vous permet d’accéder aux mises à jour les plus récentes une fois qu’elles ont été téléchargées du site de Computer Associates. C’est la méthode conseillée pour la plupart des utilisateurs dans un environnement d’entreprise. Reportez-vous à la section « Utilisation des options de sortie » pour obtenir de plus amples informations sur la définition d’un serveur de redistribution.

Pour utiliser la méthode du serveur de redistribution pour le téléchargement des mises à jour des signatures d’un système Windows ou UNIX vers un autre système UNIX, le logiciel Samba doit être installé sur votre ordinateur cible UNIX. Samba est un progiciel tiers gratuit qui permet aux systèmes UNIX d’interagir avec des systèmes Windows et UNIX en utilisant la méthode UNC. Il est distribué avec certaines versions d’UNIX et peut aussi être obtenu à l’adresse www.samba.org. Pour télécharger des mises à jour d’un serveur de redistribution Windows, vous devez utiliser la version 2.0.7 ou supérieure de Samba.

En outre, un système UNIX peut servir de serveur de redistribution pour d’autres systèmes UNIX comme pour des systèmes Windows. Pour cela, Samba doit être installé sur le système UNIX. Le démon Samba (smbd) doit être en cours d’exécution et INOUPD$ doit être défini comme un partage dans le fichier de configuration de Samba (smb.conf). INOUPD$ ne peut pas être protégé par mot de passe. A partir de l’interface utilisateur graphique, spécifiez l’ordinateur UNIX comme Nom de l’ordinateur dans la boîte de dialogue Sélectionner une source de l’onglet Entrée situé dans la boîte de dialogue Options de mise à jour des signatures.

2–8 Manuel de l'administrateur

Utilisation des options de mise à jour des signatures

Notes pour l’utilisation du serveur de redistribution sous OS X

Utilisation de FTP (Windows, NetWare, UNIX et OS X)

Pour utiliser la méthode du serveur de redistribution pour le téléchargement des mises à jour des signatures d’un système Windows ou UNIX vers un système OS X, le logiciel Samba doit être installé sur votre ordinateur cible UNIX.

En outre, un système OS X peut servir de serveur de redistribution pour des systèmes OS X, UNIX et Windows. INOUPD$ doit être défini comme un partage dans le fichier de configuration de samba (/etc/smb.conf). INOUPD$ ne peut pas être protégé par mot de passe. Voici un exemple d’entrée :

[INOUPD$] path = /Library/Application Support/eTrustAntivirus/ino/Outgoing guest ok = yes browseable = no read only = yes

Remarque : Il y a un espace entre les mots Application et Support.

La méthode FTP permet de télécharger les mises à jour des signatures à partir d’un site FTP.

Nous vous recommandons d’utiliser la méthode FTP pour télécharger des mises à jour des signatures de Computer Associates.

Option Description

Méthode FTP

Nom de l’hôte Nom du site FTP qui est la source de la mise à jour. Il s’agit

par défaut du serveur FTP de Computer Associates où se trouvent les mises à jour des signatures.

Nom d’utilisateur Nom d’utilisateur pour la connexion à l’ordinateur source.

anonymous est la méthode utilisée par défaut pour le téléchargement par FTP des mises à jour des signatures du site de Computer Associates. Ce compte dispose de tous les droits et privilèges requis pour se connecter et télécharger les mises à jour.

Mot de passe Mot de passe associé au nom de l’utilisateur sur

l’ordinateur source. Pour télécharger des mises à jour des signatures de Computer Associates, entrez votre adresse électronique dans ce champ. Par exemple, dupont@societex.com.

Pour obtenir les mises à jour de signatures 2–9

Utilisation des options de mise à jour des signatures

Option Description

Nom proxy Nom de l’ordinateur proxy. Si votre société utilise un

serveur proxy, entrez l’adresse du serveur proxy et le numéro de port utilisé. Par exemple, un_proxy.unesociété.com:80. Ce serveur doit être un simple serveur proxy pass-through. N’utilisez pas un serveur proxy basé FTP ou un serveur nécessitant un identifiant de connexion.

Chemin distant Chemin FTP pour la localisation des fichiers source de

mise à jour des signatures que vous souhaitez télécharger. Il s’agit par défaut du serveur FTP de Computer Associates où se trouvent les mises à jour des signatures.

Configuration d’un serveur NetWare pour la distribution des signatures

Vous trouverez ci-après un résumé de la procédure permettant de configurer un serveur NetWare agissant comme serveur de distribution des signatures pour les serveurs NetWare et les autres types d’ordinateurs.

1. Installez la fonction de serveur FTP sur votre serveur NetWare.

2. Exécutez un utilitaire FTP, par exemple Nwtftp-A pour NetWare Version 6.x, pour créer un utilisateur anonymous FTP, s’il n’en existe pas.

3. Modifiez le fichier de configuration FTP du serveur NetWare, par exemple, le fichier ftpserv.cfg se trouvant sous le répertoire sys:system\etc pour NetWare Version 6.x, afin de permettre l’accès anonyme au serveur FTP.

4. En utilisant le serveur Admin, à partir de l’onglet Entrée de la fenêtre Options de mise à jour des signatures, sélectionnez FTP comme méthode de la source de distribution de signatures. Pour en savoir plus sur l’utilisation du serveur Admin, reportez-vous au chapitre « Utilisation de l’affichage de l’administrateur ».

5. Dans la boîte de dialogue Sélectionner une source, saisissez le nom de votre serveur NetWare comme nom d’hôte, « anonymous » comme nom d’utilisateur, et saisissez un mot de passe.

Remarque : Assurez-vous que le mot de passe est une adresse électronique au bon format. La plupart des serveurs FTP exigent une adresse électronique comme mot de passe lorsque vous utilisez une connexion FTP anonyme.

6. Dans la même boîte de dialogue, saisissez le chemin distant comme le chemin complet de l’emplacement à partir duquel le téléchargement des mises à jour de signatures doit s’effectuer. Ceci peut être spécifié dans le format NetWare ou UNIX standard. Par exemple :

sys:/etrustav/ino/Outgoing

/sys/etrustav/ino/Outgoing

2–10 Manuel de l'administrateur

Utilisation des options de mise à jour des signatures

7. Dans la même boîte de dialogue, laissez vide le champ Nom proxy.

8. Dans la même boîte de dialogue, cliquez sur OK pour terminer la configuration.

Une autre méthode de téléchargement de signatures sur un serveur NetWare pour d’autres types d’ordinateurs consiste à identifier le serveur, le volume et le chemin d’accès du serveur NetWare qui contient les signatures et à mapper un lecteur sur ce serveur.

Par exemple, si le chemin d’accès complet de l’emplacement depuis lequel les signatures peuvent être téléchargées est sys:etrustav/ino/Outgoing sur le serveur NetWare nommé SERVEUR1, vous pouvez mapper un lecteur sur sys:etrust/ino/Outgoing sur SERVEUR1 en utilisant la commande MAP du DOS ou l’option Connecter un lecteur réseau du menu Outils de l’Explorateur Windows.

Utilisation d’UNC

Considérations relatives à UNC

La méthode UNC (Universal Naming Convention : Convention universelle de désignation de noms) permet de télécharger les mises à jour des signatures d’un ordinateur en réseau.

Un ordinateur du réseau peut être utilisé pour obtenir les mises à jour à partir d’un répertoire partagé sur le réseau en indiquant le chemin UNC vers ce partage. Cette méthode est adéquate pour les ordinateurs d’un même réseau, notamment ceux configurés comme serveur de redistribution de signatures.

Option Description

Méthode UNC

Chemin Nom du chemin du partage où se trouvent les fichiers de

mise à jour de signatures, sous la forme \\nom_ordinateur\\nom_partage.

Lorsque vous utilisez la méthode chemin UNC pour obtenir des mises à jour de signatures, certaines considérations doivent être prises en compte.

Pour la famille de systèmes d’exploitation Windows 9x, des restrictions du mode utilisateur sont imposées aux mises à jour automatisées des signatures. Lorsqu’un ordinateur exécutant un logiciel antivirus de Computer Associates est configuré comme serveur de redistribution de signatures, un nom de partage INOUPD$ est créé sur l’ordinateur local. Ce partage est créé avec les droits d’accès de système d’exploitation suivants :

■ L’accès en lecture au partage est conféré au groupe Everyone.

■ Le partage est ajouté à la liste NullSessionShares.

Pour obtenir les mises à jour de signatures 2–11

Utilisation des options de mise à jour des signatures

Pour utiliser la méthode de chemin UNC pour le téléchargement des mises à jour des signatures d’un système Windows ou UNIX vers un autre système UNIX, le logiciel Samba doit être installé sur votre ordinateur cible UNIX. Samba est un progiciel tiers gratuit qui permet aux systèmes UNIX d’interagir avec des systèmes Windows et UNIX en utilisant la méthode UNC. Il est distribué avec certaines versions d’UNIX et peut aussi être obtenu à l’adresse www.samba.org. Pour télécharger des mises à jour d’un système Windows, vous devez utiliser la version 2.0.7 ou supérieure de Samba.

Pour utiliser la méthode du chemin d’accès UNC pour le téléchargement des mises à jour des signatures d’un système Windows ou UNIX vers un système OS X, utilisez le logiciel Samba (SMB) fourni avec OS X. Aucune configuration particulière n’est requise.

En outre, un ordinateur Windows peut également télécharger des signatures en utilisant UNC depuis un ordinateur UNIX où le logiciel Samba est installé. Le démon du logiciel Samba (smbd) doit être en cours d’exécution et un partage approprié doit être défini dans le fichier de configuration de Samba (smb.conf). Le partage ne peut pas être protégé par mot de passe. A partir de l’interface graphique utilisateur de l’ordinateur Windows, indiquez le partage sur l’ordinateur UNIX dans la boîte de dialogue Sélectionner une source de l’onglet Entrée de la boîte de dialogue Options de mise à jour des signatures, à l’aide de la même syntaxe utilisée pour spécifier un partage sur un ordinateur Windows.

Un système OS X peut aussi fournir des signatures via UNC pour d’autres systèmes OS X, UNIX et Windows. Pour cela, un partage doit être défini dans le fichier de configuration de samba (/etc/smb.conf). Le partage ne peut pas être protégé par mot de passe. Reportez-vous à la section sur les serveurs de redistribution pour un exemple de l’entrée smb.conf.

2–12 Manuel de l'administrateur

Utilisation des options de mise à jour des signatures

Notez les considérations suivantes pour l’utilisation d’un répertoire partagé :

Dans ce cas Notez ce qui suit

Ordinateurs Windows NT, Windows 2000 et Windows Server 2003

Sur les ordinateurs Windows NT, Windows 2000 et Windows Server 2003, le serveur de job du logiciel antivirus de Computer Associates lance la mise à jour des signatures pendant l’exécution depuis le compte du système local. Lorsque le mécanisme de mise à jour des signatures tente une connexion au répertoire partagé, le serveur ne peut pas authentifier l’utilisateur. Ceci arrive lorsqu’un processus exécuté sous un compte de système local n’a aucun utilisateur qui lui est associé.

Pour permettre aux processus exécutés avec le compte du système local d’accéder à un répertoire partagé, le serveur doit ajouter le partage à la liste de partages de sessions vides. Cette liste est maintenue dans la valeur suivante de registre :

Ruche :

HKEY_LOCAL_MACHINE

Sous-clé :

\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Valeur :

NullSessionShares

Remarque : Lorsqu’un ordinateur est configuré pour fonctionner comme un serveur de redistribution de signatures, le partage INOUPD$ est ajouté automatiquement à cette valeur de registre.

Pour obtenir les mises à jour de signatures 2–13

Utilisation des options de mise à jour des signatures

Dans ce cas Notez ce qui suit

Lorsque le processus de mise à jour de signatures est exécuté en mode utilisateur

Le processus de mise à jour de signatures est exécuté en mode utilisateur dans les circonstances suivantes :

■ Sur les ordinateurs Windows 9x, toujours.

■ Sur les ordinateurs Windows NT, Windows 2000 et

Windows 2003, lors de l’exécution à partir d’un script de connexion en utilisant un planificateur tiers

Dans ces conditions, le processus de mise à jour de signatures est exécuté dans le contexte de sécurité de l’utilisateur actuellement connecté. C’est pourquoi il est soumis aux règles de contrôle d’accès des répertoires partagés Microsoft et une des conditions suivantes est nécessaire pour garantir la bonne exécution du processus :

■ L’utilisateur doit avoir accès au parta

e avec le compte

qu’il a utilisé pour se connecter.

■ Le compte GUEST du serveur doit être activé et il ne

doit utiliser aucun mot de passe.

Dans le cas de NetWare, les partages ne sont pas accessibles. La méthode UNC pour NetWare ne peut servir qu’au téléchargement de mises à jour depuis un serveur NetWare vers un autre, et la convention UNC sert à indiquer l’emplacement des mises à jour sur le serveur source. Par exemple, vous trouverez ci-dessous le résumé de la procédure de téléchargement des mises à jour de signatures à partir d’un serveur NetWare vers un autre serveur NetWare en utilisant UNC :

1. A partir de l’arborescence de l’organisation dans l’affichage de l’administrateur du serveur Admin qui gère l’ordinateur NetWare, sélectionnez l’ordinateur vers lequel vous voulez télécharger des mises à jour de signatures.

2. Cliquez avec le bouton droit et sélectionnez l’option Configurer paramètres de distribution.

3. Dans l’onglet Entrée de la boîte de dialogue Options de mise à jour des signatures, cliquez sur Ajouter.

4. Sélectionnez la méthode UNC dans la boîte de dialogue Sélectionner une source et saisissez le chemin du serveur à partir duquel vous voulez effectuer le téléchargement dans le format UNC. Par exemple, pour obtenir les mises à jour à partir de SYS:ETRUSTAV\INO\OUTGOING sur le serveur SERVER1, indiquez \\SERVER1\SYS\ETRUSTAV\INO\OUTGOING comme chemin du serveur source.

2–14 Manuel de l'administrateur

Utilisation des options de mise à jour des signatures

Remarque : Le serveur NetWare vers lequel le téléchargement des mises à jour de signatures va s’effectuer doit se trouver dans la même arborescence que le serveur source. En outre, si le serveur vers lequel les mises à jour sont téléchargées se trouve dans un contexte différent de celui du serveur source, ce dernier doit être spécifié en utilisant son nom qualifié complet, par exemple, server1.xxx.yyy, ou cn=server1.ouxxx.o=yyy.

5. Créez un nom d’utilisateur nommé inosigdown dans le contexte du serveur source (SERVER1 dans notre exemple). Ce nom d’utilisateur doit avoir un accès en lecture seule et en analyse au répertoire à partir duquel les mises à jour doivent être obtenues et ne doit avoir accès à aucun autre répertoire ou fichier se trouvant ailleurs sur le serveur source ou dans son contexte. L’identité de l’utilisateur inosigdown ne doit pas avoir de mot de passe. Du fait que l’utilisateur ne peut voir que les fichiers qui sont déjà des informations publiques, l’absence de mot de passe ne présente aucun risque en matière de sécurité d’accès.

Utilisation du chemin local

Utilisez cette méthode lorsque les mises à jour des signatures se trouvent sur votre ordinateur ou dans une unité mappée et que vous souhaitez mettre à jour les fichiers de signatures sur votre ordinateur. Vous avez la possibilité de parcourir et de sélectionner un chemin de répertoire sur l’ordinateur local ou une unité mappée.

Option Description

Méthode Chemin local

Chemin Nom du répertoire où résident les mises à jour des

signatures. Sous Windows, la lettre du lecteur y est incluse.

Pour obtenir les mises à jour de signatures 2–15

Utilisation des options de mise à jour des signatures

Considérations relatives à l’utilisation du chemin local

Outre le téléchargement de mises à jour des signatures d’un autre système UNIX utilisant Samba, un ordinateur UNIX peut également utiliser une des méthodes ci-dessous pour effectuer le téléchargement de mises à jour des signatures d’un autre ordinateur UNIX.

■ Montez le serveur de signatures UNIX comme NFS. A partir de l’interface

utilisateur, utilisez la méthode de téléchargement Chemin local dans la boîte de dialogue Sélectionner une source de l’onglet Entrée de la boîte de dialogue Options de mise à jour des signatures et entrez le point de montage spécifié dans la commande smbmount en tant que Chemin.

■ Exécutez le démon smb sur le serveur de signatures UNIX et définissez un

partage dans smb.conf pour l’emplacement des mises à jour. La commande smbmount sur l’ordinateur client vous permet de monter le partage.

A partir de l’interface graphique utilisateur, utilisez la méthode de téléchargement Chemin local dans la boîte de dialogue Sélectionner une source, dans l’onglet Entrée de la boîte de dialogue Options de mise à jour des signatures et entrez le point de montage comme Chemin.

Les systèmes OS X peuvent télécharger des mises à jour de signatures depuis un système Windows, UNIX ou OS X en utilisant un chemin d’accès local qui est un point de montage de serveur NFS ou SMB.

■ Montez le serveur de signatures en utilisant la commande mount_nfs ou

mount_smbfs depuis une fenêtre de terminal. Depuis l’interface graphique de eTrust Antivirus, utilisez la méthode de téléchargement de chemn d’accès local et utilisez le point de montage comme chemin d’accès.

■ Montez le serveur de signatures en utilisant le Finder. Depuis l’interface

graphique de eTrust Antivirus, utilisez la méthode de téléchargement de chemn d’accès local et utilisez le point de montage comme chemin d’accès. Vous trouverez le point de montage sous le répertoire /Volumes.

2–16 Manuel de l'administrateur

Utilisation des options de sortie

L’onglet Sortie vous permet d’afficher et de configurer les options de redistribution et de définir un ordinateur comme serveur de redistribution, ainsi que de gérer les signatures à télécharger en vue de la redistribution.

Remarque : Les ordinateurs NetWare ne peuvent pas être utilisés comme serveurs de redistribution.

Utilisation des options de redistribution

Les options de redistribution vous permettent de désigner un ordinateur comme serveur de redistribution de signatures et de mettre les mises à jour à disposition des autres ordinateurs.

Utilisation des options de mise à jour des signatures

Serveur de redistribution des signatures

Temps d’attente avant la redistribution

Signatures à télécharger pour la redistribution

Si l’option de distribution des mises à jour de signatures vers d’autres ordinateurs est cochée, l’ordinateur local est désigné comme un serveur de redistribution de signatures. Cet ordinateur peut ensuite mettre les mises à jour à disposition des autres ordinateurs.

Si cette option n’est pas sélectionnée, les options de redistribution ne sont pas disponibles. Lorsque cette option est sélectionnée, le répertoire Sortie où sont stockées les mises à jour est accessible comme répertoire partagé. La plupart des ordinateurs client ne jouent pas le rôle de serveur de redistribution.

Remarque : L’ordinateur rendant les mises à jour accessibles à d’autres ordinateurs doit exécuter la version serveur du logiciel antivirus de Computer Associates.

L’option de temps d’attente vous permet d’indiquer le nombre d’heures que vous souhaitez attendre avant que les mises à jour soient disponibles pour être redistribuées aux autres ordinateurs.

La liste de signatures à télécharger en vue de la redistribution fournit des informations sur les versions de moteur et plate-forme collectées par les jobs de mise à jour de signatures. Les versions de signatures mises à disposition doivent être appropriées à votre configuration.

Si nécessaire, vous pouvez cliquer dans la case en regard d’un élément pour inclure ou exclure celui-ci de la liste de signatures à télécharger. Vous pouvez également utiliser les boutons Sélectionner tout et Effacer tout, selon vos besoins.

Pour obtenir les mises à jour de signatures 2–17

Utilisation des options de mise à jour des signatures

Les informations suivantes sont affichées dans la liste des signatures à télécharger :

Champ Description

Moteur Type de moteur antivirus à télécharger.

Remarque : Le processus d’installation sélectionne automatiquement le moteur d’analyse adapté à votre configuration. La plupart des utilisateurs n’ont pas besoin de modifier la sélection.

Plate-forme Version de la plate-forme à télécharger.

Reportez-vous à l’aide en ligne pour des informations détaillées sur la définition des jobs de téléchargement pour la mise à jour de signatures.

Considérations relatives à l’utilisation de systèmes UNIX et OS X comme serveurs de redistribution

Un système UNIX peut servir de serveur de redistribution aussi bien pour d’autres systèmes UNIX que pour des systèmes Windows. Pour cela, Samba doit être installé sur le système UNIX. (Samba est un progiciel tiers gratuit qui permet aux systèmes UNIX d’interagir avec des systèmes Windows utilisant la méthode UNC. Il est distribué avec certaines versions d’UNIX et peut aussi être obtenu à l’adresse www.samba.org.) Le démon du logiciel Samba (smbd) doit être en cours d’exécution et INOUPD$ doit être défini comme un partage dans le fichier de configuration de Samba (smb.conf).

Un système OS X peut servir de serveur de redistribution pour des systèmes OS X, UNIX et Windows. Pour cela, un partage nommé INOUPD$ doit être défini dans le fichier de configuration de samba (/etc/smb.conf). INOUPD$ ne peut pas être protégé par mot de passe. Voici un exemple d’entrée :

[INOUPD$] path = /Library/Application Support/eTrustAntivirus/ino/Outgoing guest ok = yes browseable = no read only = yes

Notez qu’il y a un espace entre les mots Application et Support.

2–18 Manuel de l'administrateur

Gestion des mises à jour de signatures

Chaque ordinateur peut être configuré pour télécharger des mises à jour de signatures à partir d’une source particulière, pour une configuration spécifique et à un moment donné.

Lorsque vous spécifiez comment télécharger les mises à jour, vous créez la liste des sources de téléchargement, qui contient les sites à partir desquels les signatures peuvent être téléchargées. Vous pouvez indiquer plus d’une méthode à utiliser et plus d’un emplacement d’où télécharger les mises à jour. Lorsque vous vous connectez à la première source de la liste, la mise à jour des signatures est téléchargée. Si pour une raison quelconque, le téléchargement échoue ou est impossible, la source suivante de la liste est automatiquement contactée et ainsi de suite jusqu’à ce que tous les fichiers de mise à jour soient téléchargés.

Remarque : A chaque tentative, les éléments appropriés sont téléchargés pour votre configuration, telle que la version du système d’exploitation de la signature.

Gestion des mises à jour de signatures

Distribution signatures

Vous pouvez définir votre réseau pour télécharger et distribuer efficacement les mises à jour des signatures. Chaque ordinateur qui permet d’accéder aux mises à jour de signatures est un serveur de redistribution de signatures. Vous pouvez définir plusieurs ordinateurs de redistribution de signatures.

Par exemple, un ordinateur de votre réseau peut télécharger les mises à jour du site FTP de Computer Associates. D’autres ordinateurs situés à des emplacements différents de votre réseau peuvent se connecter à cet ordinateur pour obtenir les dernières mises à jour. Ces ordinateurs peuvent à leur tour mettre à disposition les mises à jour pour les autres ordinateurs de leurs sous-réseaux.

Remarque : Le serveur de redistribution de signatures a un rôle différent du serveur proxy de configuration. Le serveur de redistribution des signatures permet de mettre les fichiers de mises à jour de signatures à disposition d’autres ordinateurs. Le serveur proxy de configuration est utilisé pour distribuer les paramètres des règles à travers le réseau.

Pour obtenir les mises à jour de signatures 2–19

Gestion des mises à jour de signatures

Fonctionnement du processus de téléchargement

Cette section décrit comment le job de mise à jour de signatures utilise la liste des sources de téléchargement et la liste de signatures à télécharger en vue de la redistribution pour obtenir les mises à jour de signatures dont vous avez besoin.

Un job de mise à jour de signatures comprend les étapes suivantes :

■ Définir la planification – moment du téléchargement

■ Spécifier la source – emplacement du téléchargement

■ Spécifier les signatures – éléments à télécharger

Le job de mise à jour de signatures utilise les informations de la liste des sources de téléchargement et de la liste de signatures à télécharger pour répondre à votre demande de mise à jour des signatures.

Fonctionnement de la liste des sources de téléchargement

La liste des sources de téléchargement indique où obtenir les mises à jour de signatures. Le job de mise à jour de signatures peut se connecter à plusieurs emplacements de sources. A l’heure planifiée pour le job, votre système utilise la première méthode et la première source de la liste pour la connexion à la source. Si pour une raison quelconque, la connexion ne peut pas être établie (exemple : trafic intense dans le réseau, échec de connexion ou délai d’attente dépassé), votre système passe à la méthode et à la source suivantes de la liste.

Par exemple, après le téléchargement des mises à jour des signatures de Computer Associates, vous pouvez les mettre à disposition d’un ou plusieurs serveurs de redistribution. Un utilisateur de votre réseau peut ensuite se connecter à ces sources pour obtenir les mises à jour. La première source de la liste de sources peut être un serveur de réseau de département, indiqué par la méthode de serveur de redistribution. La seconde source peut être un serveur dans un département différent, également indiqué par la méthode de serveur de redistribution. La troisième source de la liste peut être un site FTP interne de la société. Chaque ordinateur source doit être défini comme serveur de redistribution de signatures.

Si la première source n’est pas disponible, votre système tente automatiquement de se connecter à la source suivante de la liste. Ce processus se poursuit jusqu’à ce que toutes les signatures spécifiées aient été téléchargées. La liste des sources de téléchargement fonctionne avec la liste de signatures à télécharger pour obtenir toutes les signatures spécifiées.

2–20 Manuel de l'administrateur

Fonctionnement de la liste de signatures à télécharger

La liste de signatures à télécharger indique les versions de mises à jour de signatures à télécharger. Les versions appropriées des signatures sont disponibles par défaut. Vous pouvez sélectionner une entrée de la liste pour chaque version de moteur et plate-forme dont vous avez besoin ou annuler la sélection de signatures qui ne répondent pas aux besoins de votre entreprise.

Lors de l’exécution du job de mise à jour de signatures, votre système se connecte à la première source de la liste des sources de téléchargement. Le job parcourt ensuite les entrées de la liste de signatures à télécharger et tente de télécharger depuis cette source les versions de tous les moteurs et plates-formes qui ont été demandées.

Le job télécharge toutes les versions de signatures demandées qui sont disponibles dans la première source avant de se connecter à une autre source. Si toutes les signatures demandées sont téléchargées de la première source, le job est terminé.

Si vous demandez une version de mise à jour de signatures qui n’est pas disponible dans la première source de la liste des sources de téléchargement, votre système demande à la source suivante de cette liste la version requise. Ce processus se poursuit jusqu’à ce que toutes les demandes soient satisfaites pour les différentes versions de mises à jour de signatures spécifiées dans la liste de signatures à télécharger.

Gestion des mises à jour de signatures

Pour obtenir les mises à jour de signatures 2–21

Gestion des mises à jour de signatures

Surveillance des téléchargements de signatures

Sur les systèmes Windows, au cours du téléchargement d’une mise à jour de signatures, une icône d’état du téléchargement de la signature est affichée dans la barre des tâches, à côté de l’icône Temps réel. Au cours du téléchargement, vous pouvez cliquer avec le bouton droit de la souris pour afficher l’état du job.

Options de surveillance

Moniteur de téléchargement de l’antivirus

Les options suivantes de surveillance sont disponibles lorsque l’icône d’état du téléchargement de la signature est affichée.

Option Description

Afficher l’état entrant Affiche le moniteur de téléchargement de l’antivirus

qui indique l’état du job. Lors de l’exécution du moniteur temps réel, le moniteur de téléchargement de l’antivirus est affiché automatiquement lorsque vous sélectionnez Télécharger. L’interface graphique utilisateur du navigateur Web n’affiche pas le moniteur de téléchargement de l’antivirus.

Annuler le téléchargement

Annule le job de téléchargement de signatures. Vous pouvez également utiliser le bouton Annuler dans la boîte de dialogue Moniteur de téléchargement de l’antivirus pour annuler le job de téléchargement des signatures.

Le moniteur de téléchargement de l’antivirus affiche les informations relatives à l’état du job de téléchargement des signatures. Ceci inclut les messages sur les connexions et les indications sur la progression du téléchargement. Lorsqu’un téléchargement s’est terminé avec succès, un message s’affiche pour l’indiquer. En outre, lorsque les signatures sont mises à jour sur l’ordinateur local, un message contextuel s’affiche indiquant que la mise à jour des fichiers des signatures et des moteurs a réussi.

Reportez-vous aux journaux d’événements généraux et d’événements de distribution pour connaître les autres messages de téléchargement de signatures.

Tentatives répétées de téléchargements

Si un job de téléchargement de signatures est incapable de télécharger l’ensemble des fichiers de signatures, plusieurs tentatives de téléchargement ont lieu pour répondre à la demande. Si la tentative échoue, le téléchargement a lieu lors du prochain téléchargement planifié.

2–22 Manuel de l'administrateur

Chapitre

Utilisation des options d’analyse

et de sélection

Ce chapitre décrit les options d’analyse et de sélection disponibles dans l’interface utilisateur pour les différentes méthodes d’analyse mentionnées ci-dessous.

■ Analyse locale

■ Analyse planifiée

■ Analyse en temps réel

■ Pour les administrateurs définissant les options de règles via l’affichage de

l’administrateur

Ce chapitre comporte également des informations sur l’utilisation de l’analyseur en mode commande, Inocmd32.

Utilisation des options d’analyse communes

Lorsque vous spécifiez des options pour une analyse, vous devez indiquer comment elle doit être exécutée et comment agir en cas d’infection. Que vous effectuiez une analyse locale, planifiée ou en temps réel, vous pouvez sélectionner différents paramètres pour chaque type d’opération. Par exemple, les options d’action sur fichiers contrôlent les actions en cas de découverte d’une infection. Lors d’une analyse locale, vous pouvez avoir l’action sur fichiers définie sur l’option Rapport seulement. Lorsque vous définissez les options d’une analyse planifiée, vous pouvez définir l’action sur fichiers sur Désinfecter le fichier.

Remarque : Il ne faut pas oublier que lorsque vous définissez une option d’analyse, elle s’applique au type spécifique d’opération d’analyse que vous définissez.

Les options décrites dans ce chapitre sont communes à tous les types d’analyse, c’est pourquoi elles sont décrites ici par souci de commodité. Consultez l’aide en ligne pour obtenir de plus amples informations sur les options d’analyse.

Utilisation des options d’analyse et de sélection 3–1

Utilisation des options d’analyse

Remarque : Etant donné que certaines options s’appliquent seulement à une méthode d’analyse et pas aux autres, ces exceptions sont indiquées lorsqu’il y a lieu. Reportez-vous à Utilisation du moniteur temps réel pour obtenir des informations sur les options disponibles exclusivement pour le moniteur temps réel. Reportez-vous à Planification des jobs d’analyse pour obtenir des informations sur les options disponibles pour les analyses planifiées.

Utilisation des options d’analyse

Les options d’analyse sont affichées dans l’onglet Analyse. Ces options vous permettent de modifier le niveau d’analyse, le moteur d’analyse, les options de détection et de contrôler comment traiter une infection dans le cas d’une détection. Ces options peuvent être utilisées pour une analyse locale, une analyse planifiée ou une analyse en temps réel.

Options de l’onglet Analyse

Les options disponibles dans l’onglet Analyse sont décrites ci-dessous.

Direction

L’option Direction est uniquement disponible pour l’analyse en temps réel. Reportez-vous au chapitre « Utilisation du moniteur temps réel » pour obtenir des informations sur les options de direction d’analyse.

Niveau de sécurité de l’analyse

Vous pouvez définir le niveau de sécurité de l’analyse en mode Sécurisée ou Approfondie. Utilisez le mode Sécurisée comme méthode standard pour une analyse complète des fichiers.

Si vous pensez qu’une infection n’a pas été détectée par le mode Sécurisée, vous pouvez utiliser le mode Approfondie. Le mode Approfondie peut être utilisé pour détecter des virus qui ne sont pas actifs ou qui ont été délibérément modifiés, comme cela peut être le cas dans un laboratoire qui teste les virus. En outre, le mode Approfondie s’exécute nettement plus lentement que le mode Sécurisée.

Remarque : Le mode Approfondie peut, dans certains cas, générer une fausse alerte. Par conséquent, si vous utilisez ce mode comme option d’analyse standard, utilisez-le avec l’option Rapport seulement.

3–2 Manuel de l'administrateur

Moteur d’analyse

Dans le groupe de détection, l’option Moteur d’analyse vous permet de modifier le moteur d’analyse si une sélection est possible. Le moteur d’analyse est le processeur spécialisé recherchant les infections. Le processus d’installation sélectionne automatiquement le moteur d’analyse adapté à votre configuration. La plupart des utilisateurs n’ont pas besoin de modifier cette option. Elle est essentiellement destinée aux utilisateurs confirmés des grandes entreprises.

Options de détection avancées

Vous pouvez afficher des options de détection supplémentaires en cliquant sur le bouton Avancées. La boîte de dialogue Options de détection avancées vous permet de sélectionner des options d’analyse pour le moteur de l’analyseur heuristique et des options pour analyser les systèmes de fichiers NTFS et HFS+.

Le moteur de l’analyseur heuristique détecte les virus dont les signatures n’ont pas encore été isolées ni documentées.

Utilisation des options d’analyse

L’option Analyser les flux de données secondaires vous permet de détecter des virus dans les flux de données secondaires des systèmes NTFS et HFS+.

Remarque : Pour le moniteur temps réel, vous pouvez accéder à l’option Moteur d’analyse ainsi qu’aux autres options de détection à partir de l’onglet Sélection.

Options de traitement de l’infection

Les options de traitement de l’infection déterminent comment traiter l’infection après sa découverte. Vous pouvez définir des actions sur fichiers et des actions sur secteur d’amorçage.

Pour une analyse locale, vous pouvez définir ces options avant ou après l’analyse. Si vous souhaitez avoir connaissance des éventuels fichiers infectés avant de procéder à leur traitement, sélectionnez Rapport seulement. En cas de détection d’une infection, vous pouvez alors sélectionner l’une des autres actions.

Actions sur fichiers

Vous pouvez traiter une infection en définissant une action sur fichiers. Les actions sur fichiers disponibles sont les suivantes :

Utilisation des options d’analyse et de sélection 3–3

Utilisation des options d’analyse

Action sur

Description

fichiers

Rapport seulement

Effectue un rapport en cas de détection d’infection. En cas de détection de virus, vous pouvez décider du traitement à appliquer au fichier infecté.

Supprimer le

Supprime un fichier infecté.

fichier

Renommer le fichier

Si un fichier infecté est détecté, il est renommé avec une extension AVB. Des extensions incrémentielles sous la forme numéro.AVB (par exemple, FICHIER.0.AVB, FICHIER.1.AVB, etc.) sont attribuées aux fichiers infectés portant le même nom. Un fichier renommé avec un type d’extension AVB n’est pas analysé de nouveau par la suite.

Déplacer le fichier Déplace un fichier infecté de son répertoire actuel vers le

dossier de déplacement.

Désinfecter le fichier

Essaie de désinfecter automatiquement le fichier infecté. Cliquez sur le bouton Options de fichier pour afficher les options de l’action de désinfection afin de spécifier la façon d’exécuter l’option Désinfecter le fichier.

Même si le fichier infecté est désinfecté, nous vous recommandons de le supprimer et de restaurer le fichier original à partir d’une sauvegarde. Si le fichier infecté provient d’un progiciel, restaurez les fichiers à partir des disquettes d’installation du produit.

Actions sur secteur d’amorçage

Sur les systèmes Windows, les actions sur secteur d’amorçage déterminent comment agir en cas de détection d’une infection dans le secteur d’amorçage d’un disque dur ou d’une disquette. Les actions disponibles sont Rapport seulement et Désinfection du secteur d’amorçage.

Utilisation des options de l’action de désinfection

Les options de l’action de désinfection déterminent la manière de traiter les virus de macro et les chevaux de Troie, ainsi que les actions à effectuer avant ou après une tentative de désinfection.

Les options suivantes sont disponibles dans la boîte de dialogue Options de l’action de désinfection.

3–4 Manuel de l'administrateur

Utilisation des options d’analyse

Options de l’action de

Description

désinfection

Action à exécuter avant la désinfection

Copie le fichier dans le répertoire de déplacement avant toute tentative de désinfection.

Action à exécuter en cas d’échec de la désinfection

En cas d’échec de la désinfection, le fichier infecté peut être soit déplacé vers le répertoire de déplacement, soit renommé avec une extension AVB ou encore laissé tel quel si l’option Aucune action a été activée.

Traitement des chevaux de Troie et des vers

Si une infection par ver ou par cheval de Troie est détectée, le fichier infecté peut être supprimé. Cette option est désormais disponible si le paramètre Désinfection du système est activé.

Traitement des virus de macros Vous pouvez choisir de supprimer

seulement les macros infectées ou toutes les macros du fichier.

Désinfection du système Utilisez l’option Désinfection du système

pour nettoyer le système après avoir traité certains virus malveillants tels que les chevaux de Troie ou les vers. Certains virus peuvent endommager, modifier ou ajouter des fichiers système. Dans le cas de virus connus, cette option répare les dommages causés au système. Par exemple, elle permet de supprimer des entrées de registre, des clés et des fichiers malveillants. Elle peut également détecter et supprimer des fichiers insérés dans un système par un cheval de Troie. Ainsi, il n’est plus nécessaire d’utiliser des utilitaires distincts pour nettoyer un système infecté. Cette option minimise également le temps de nettoyage manuel du système. Dans certains cas, cette option peut exiger un redémarrage de l’ordinateur.

(Cette option ne s’applique pas aux s

stèmes UNIX, OS X et NetWare. Cependant, elle est disponible dans l’interface graphique utilisateur du navigateur Web lorsque vous créez des règles devant être appliquées ou lorsque vous gérez un ordinateur Windows dans l’affichage de l’administrateur.)

Utilisation des options d’analyse et de sélection 3–5

Utilisation des options de sélection

Utilisez les options de sélection pour choisir les types d’objets à analyser, les types d’extensions de fichiers à inclure ou à exclure d’une analyse ainsi que les types de fichiers compressés à analyser.

Options de l’onglet Sélection

Les options disponibles dans l’onglet Sélection sont décrites ci-dessous.

Objets à analyser

Vous pouvez choisir d’effectuer une analyse antivirus de la mémoire, d’analyser le secteur d’amorçage du disque dur ou d’une disquette et d’analyser les fichiers. Lors de l’analyse de fichiers, les types de fichiers analysés sont déterminés par les types d’extensions que vous avez inclus ou exclus comme indiqué dans les options Fichiers ordinaires et Analyser les fichiers compressés.

Remarque : Pour une analyse temps réel, l’option Objets à analyser n’est pas disponible. Dans le cadre d’une analyse planifiée, cette option est définie pour analyser les fichiers et ne peut pas être modifiée.

Fichiers ordinaires

Vous pouvez choisir d’analyser tous les fichiers ou de sélectionner des types particuliers d’extensions à inclure ou à exclure.

Analyse des fichiers compressés

Si vous souhaitez analyser des fichiers compressés, vous devez sélectionner l’option Analyser les fichiers compressés et indiquer les extensions des types de fichiers compressés.

Types de fichiers compressés pris en charge

Les types de fichiers compressés actuellement pris en charge et pouvant être analysés sont les suivants :

■ ARJ

■ GZIP

■ Archives ZIP/JAVA

■ LHA

3–6 Manuel de l'administrateur

■ CAB

■ MIME

■ RAR

■ TAR

■ Fichier compressé UNIX (.Z)

■ Fichiers messages électroniques TNEF encapsulés

Options d’analyse de fichiers compressés

Des options supplémentaires sont disponibles pour la gestion des fichiers compressés. Elles peuvent être utilisées pour améliorer les performances d’analyse. Cliquez sur le bouton Options dans le groupe Analyser les fichiers compressés pour afficher ces options.

Les options de fichiers compressés suivantes sont disponibles :

■ Appliquer le filtre d’extensions aux fichiers contenus dans les archives,

pour analyser les fichiers compressés selon la liste des fichiers ordinaires sélectionnés dans l’onglet Sélection.

Utilisation des options de sélection

■ Arrêter l’analyse d’archives de fichiers compressés lorsqu’un fichier infecté

y est détecté.

■ Appliquer des actions liées aux virus à un fichier archive (excepté l’action de

désinfection)

■ Analyser les fichiers compressés en les reconnaissant grâce à leur extension,

ce qui est plus rapide que de les analyser en fonction du contenu de leurs archives.

■ Analyser les fichiers compressés en analysant leur contenu, ce qui est plus

lent que de les reconnaître par leur extension.

Ne pas analyser les fichiers migrés

Sur les systèmes Windows et NetWare, vous pouvez analyser les fichiers qui ont été migrés vers un stockage externe. Lorsque cette option est activée, les fichiers qui ont été sauvegardés ne sont pas analysés. Si cette option est activée et qu’une entrée existe dans un répertoire pour un fichier ayant été sauvegardé et déplacé d’une unité locale, le fichier n’est pas analysé. Si vous souhaitez analyser des fichiers migrés, assurez-vous que cette option n’est pas activée afin que les fichiers ayant été sauvegardés soient restaurés dans l’unité locale puis analysés.

Utilisation des options d’analyse et de sélection 3–7

Utilisation de l’analyseur en mode commande Inocmd32

Sur les systèmes Windows, l’analyseur en mode commande INOCMD32.EXE vous permet d’effectuer des analyses à partir de la ligne de commande. Les résultats sont affichés à l’écran pendant l’analyse ; ils sont également enregistrés dans le journal d’analyse pour consultation ou impression ultérieure.

Sur les systèmes UNIX, sensibles à la casse, et les systèmes OS X, utilisez la commande inocmd32.

Remarque : Sous eTrust Antivirus 7.0 ou 7.1 pour NetWare, utilisez l’application de console ETRUSTAV pour effectuer l’analyse. Pour plus d’informations, reportez-vous à l’annexe « Utilisation du programme de console ETRUSTAV » de ce guide.

La syntaxe de commande pour INOCMD32 est la suivante :

inocmd32 [-options] fichier|répertoire|unité

Chaque option est précédée d’un tiret –. Des choix d’actions sont associés à certaines options.

Spécifiez au moins un fichier ou un répertoire à analyser. Sur les systèmes Windows, vous pouvez spécifier une unité à analyser.

Exemples

inocmd32 -ACT cure -SCA mf -LIS:myscan.txt c:\temp

Cette commande permet d’appeler l’analyseur en mode commande INOCMD32 pour analyser l’unité et le répertoire c:\temp, de configurer l’action sur fichiers ACT sur Désinfecter, de configurer l’action de désinfection spéciale SCA sur Déplacer le fichier en cas d’échec de la désinfection et d’envoyer les résultats de l’analyse vers le fichier myscan.txt.

inocmd32 -NEX -ARC /home/myfiles

Cette commande permet d’appeler inocmd32 pour analyser le répertoire UNIX /home/myfiles et tous les sous-répertoires. Les fichiers d’archives seront analysés et identifiés par leur contenu et non par leur nom.

Options de l’analyseur pour Inocmd32

Option Description

ENG moteur Type de moteur à utiliser.

Ino – Le moteur Antivirus.

Vet – Le moteur Vet.

3–8 Manuel de l'administrateur

Utilisation de l’analyseur en mode commande Inocmd32

Option Description

MOD mod Mode d’analyse. MOD vous permet de

définir le niveau de sécurité de l’anal

se.

Sécurisée – Utilisez le mode Sécurisée comme méthode standard pour anal

ser

entièrement les fichiers.

Approfondie – Si vous pensez qu’une infection n’a pas été détectée par le mode Sécurisée, vous pouvez utiliser le mode Approfondie.

Mode par défaut – Sécurisée

ACT action Action sur fichier infecté. Spécifiez les

actions à entreprendre sur un fichier infecté.

Utilisez l’une des options d’action suivantes.

Désinfecter – Tente de désinfecter automatiquement le fichier infecté. Même si le fichier infecté est désinfecté, nous vous recommandons de le supprimer et de restaurer le fichier original à partir d’une sauvegarde.

Renommer – Renomme automatiquement le fichier infecté. Cette option permet de renommer le fichier infecté avec une extension AVB. Les fichiers infectés portant le même nom se voient attribuer des extensions incrémentielles de type AVNuméro. Par exemple, FICHIER.AV0, FICHIER.AV1, et ainsi de suite. Un fichier renommé avec un type d’extension AVB n’est pas analysé de nouveau par la suite.

Supprimer – Supprime le fichier infecté.

Déplacer – Déplace le fichier infecté de

son répertoire actuel vers le dossier de déplacement.

Configuration par défaut – Rapport seulement

Utilisation des options d’analyse et de sélection 3–9

Utilisation de l’analyseur en mode commande Inocmd32

Option Description

EXE Analyse uniquement les fichiers

EXC Exclut des fichiers de l’analyse. La liste

ARC Analyse des fichiers d’archives. Cette

spécifiés. La liste des extensions de fichier dans l’option Uniquement les extensions spécifiées pour les fichiers ordinaires de l’interface graphique détermine les fichiers qui seront analysés.

des extensions de fichiers dans l’option Toutes les extensions sauf celles spécifiées détermine les fichiers qui seront exclus de l’analyse parmi les fichiers ordinaires de l’interface graphique utilisateur.

option vous permet d’analyser des fichiers compressés.

NEX Détecte les fichiers compressés d’après

leur contenu et non d’après leur extension.

NOS Permet d’exclure les sous-répertoires.

Cette option vous permet d’exclure les sous-répertoires du répertoire spécifié de l’analyse.

FIL:modèle Analyse uniquement les fichiers qui

correspondent au modèle. Les modèles de caractère générique du shell vous permettent de sélectionner les fichiers à analyser.

Exemple

Le modèle *.doc n’analysera que les fichiers avec une extension .doc.

3–10 Manuel de l'administrateur

Utilisation de l’analyseur en mode commande Inocmd32

Option Description

SCA action Action de désinfection spéciale. Utilisez

cette option lorsque l’action ACT est configurée sur Désinfecter.

Utilisez l’une des options d’action SCA suivantes.

CB – Copier avant. Une copie du fichier d’origine est effectuée et la copie est déplacée vers le dossier de déplacement avant la tentative de désinfection.

RF – Renommer si la désinfection échoue. Si un fichier ne peut pas être désinfecté, il est renommé avec une extension AVB.

MF – Déplacer si la désinfection échoue. Si la désinfection échoue, le fichier infecté est transféré de son répertoire actuel vers le dossier de déplacement.

MCA action Action de désinfection de macro.

Utilisez l’une des options d’action suivantes.

RA – Supprimer tout. Toutes les macros sont supprimées du fichier infecté.

RI – Supprimer les macros infectées. Seules les macros contenant un code infecté sont supprimées du fichier infecté.

SPM mode Mode spécial. Cette option vous permet

d’exécuter une analyse avec le moteur heuristique, pour rechercher des virus inconnus.

La seule option disponible pour le mode est H, pour Heuristique.

SFI S’arrête à la première infection détectée

dans l’archive. Si cette option est activée et qu’un fichier infecté est détecté au moment où les fichiers sont extraits d’un fichier compressé, aucun fichier supplémentaire de l’archive ne sera analysé.

Utilisation des options d’analyse et de sélection 3–11

Utilisation de l’analyseur en mode commande Inocmd32

Option Description

SMF Analyse les fichiers migrés sur les

SRF Permet d’ignorer l’analyse régulière des

systèmes Windows et NetWare. Cette option vous permet d’analyser des fichiers qui ont été migrés vers un stockage externe.

Lorsque cette option est activée, les fichiers ayant été sauvegardés sont restaurés sur l’unité locale, puis analysés. Si cette option n’est pas activée et qu’il existe une entrée de répertoire pour un fichier ayant été sauvegardé et déplacé d’une unité locale, le fichier n’est pas analysé.

fichiers d’archives. Si vous utilisez cette option, les fichiers compressés ne sont pas analysés.

BOO (Boot Sector Scan) Analyse le secteur d’amorçage du

système Windows. La configuration par défaut est Rapport seulement. L’option ACT vous permet de configurer cette option afin de désinfecter les infections au niveau du secteur d’amorçage.

MEM Sur les systèmes Windows, analyse la

mémoire. Recherche des infections dans les programmes actuellement exécutés dans la mémoire.

LIS:fichier Utilisez cette option lorsque vous

exécutez une analyse et que vous envoyez la liste des résultats de l’analyse vers un fichier spécifié.

APP:fichier Permet d’ajouter le rapport d’analyse

au fichier. Utilisez cette option lorsque vous exécutez une analyse et que vous ajoutez la liste des résultats de l’anal à un fichier existant spécifié.

3–12 Manuel de l'administrateur

Utilisation de l’analyseur en mode commande Inocmd32

Option Description

SYS Sur les systèmes Windows, activez la

désinfection du système. Cette option permet d’utiliser le dispositif de désinfection du système pour tout fichier infecté détecté et auquel une désinfection du système est associée. Veuillez vous référer à l’encyclopédie sur les virus que vous trouverez sur le site Web de Computer Associates pour plus d’informations sur les virus et sur les moyens de désinfection du système qui leur sont associés. Notez que dans certains cas, il vous faudra redémarrer l’ordinateur pour que la désinfection du système prenne effet.

VER Mode détaillé. Cette option permet

d’afficher des informations détaillées sur l’analyse.

COU (Counter) Active le compteur de fichiers. Cette

option vous permet d’envoyer un message après l’analyse de 1000 fichiers. Ce message est répété chaque fois que 1000 fichiers ont été analysés.

COU:numéro Active le compteur de fichiers et le

définit sur la valeur indiquée. Cette option vous permet d’envoyer un message lorsque le nombre de fichiers indiqué a été analysé. Ce message est répété chaque fois que le nombre de fichiers indiqué a été analysé.

SIG Signature. Cette option vous permet

d’afficher les numéros de version des signatures.

SIG:rép Répertoire des signatures. Cette option

vous permet d’afficher les numéros de version des signatures des moteurs dans le répertoire spécifié.

HEL ou ? Affiche l’aide (Help) du mode

commande.

Utilisation des options d’analyse et de sélection 3–13

Chapitre

Utilisation de l’analyseur local

L’analyseur local offre une protection antivirus complète pour un poste de travail en vous permettant d’effectuer des analyses d’infection à la demande. Ce chapitre décrit brièvement les fonctionnalités principales de l’analyseur local. Reportez-vous à l’aide en ligne pour une description détaillée de toutes les options de l’analyseur local et des procédures d’utilisation de celles-ci.

Remarque : La fenêtre de l’analyseur local n’est pas disponible sous NetWare. Utilisez l’application de console ETRUSTAV pour effectuer des analyses locales sur des ordinateurs NetWare. Pour en savoir plus sur l’application de console ETRUSTAV, reportez-vous l’annexe « Utilisation du programme de console ETRUSTAV ».

Fonctionnalités de l’analyseur local

Vous pouvez utiliser l’analyseur local sur un ordinateur local à tout moment pour vérifier si les unités, répertoires, fichiers ou disques ne sont pas infectés. Avant d’exécuter une analyse antivirus, vous pouvez définir des options de gestion d’un fichier infecté de sorte que lorsque vous lancez l’analyse, aucune action supplémentaire n’est nécessaire. Vous pouvez également définir des options pour générer uniquement un rapport en cas d’infection. Ceci vous permet de décider de l’action à entreprendre après la détection d’une infection.

Accès à d’autres options depuis la fenêtre de l’analyseur local

La fenêtre de l’analyseur local est également le point de départ pour accéder aux options des différents types d’analyse et aux autres actions. Vous pouvez accéder aux options suivantes depuis la fenêtre de l’analyseur local.

■ Options de l’analyseur local

■ Options de planification de jobs

■ Options du moniteur temps réel

■ Options de mise à jour des signatures

■ Options de contact

■ Paramètres Alert

Utilisation de l’analyseur local 4–1

Fonctionnalités de l’analyseur local

Différentes options d’affichage sont également disponibles. Vous pouvez permuter les différents affichages en les sélectionnant dans le menu Affichage.

Options de l’analyseur local

Utilisez les onglets suivants pour configurer les options de l’analyseur local.

■ Analyse

■ Sélection

■ Afficher

■ Répertoire

■ Journal

Les options d’analyse et de sélection sont communes aux différents types de méthodes d’analyse. Elles sont décrites au chapitre « Utilisation des options d’analyse et de sélection ». Toutefois, l’onglet Répertoire et l’onglet Journal sont uniquement disponibles depuis la fenêtre de l’analyseur local. Veuillez vous reporter au chapitre « Affichage et gestion des journaux » pour obtenir des informations sur la définition des options du journal.

Remarque : L’utilisation de l’analyseur local pour analyser une unité de réseau n’est pas la manière la plus efficace d’exploiter les ressources du réseau. Veuillez vous reporter à la section « Considérations relatives à l’analyse d’unités de réseau » du chapitre« Utilisation de l’affichage de l’administrateur » pour plus d’informations sur ce sujet.

Fenêtre de l’analyseur local

La fenêtre de l’analyseur local affiche à gauche une liste des éléments disponibles pour l’analyse et à droite le contenu de l’élément sélectionné. Vous pouvez définir des options relatives aux éléments affichés et à la façon de gérer l’analyse sur l’ordinateur local.

Vous pouvez modifier les options d’une analyse locale en sélectionnant les options de l’analyseur local dans le menu Analyseur ou en cliquant sur le bouton Options de l’analyseur local dans la barre d’outils de l’analyseur local. Après avoir indiqué les options appropriées et avoir sélectionné le ou les éléments que vous souhaitez analyser, lancez l’analyse en cliquant sur le bouton Démarrer l’analyse.

4–2 Manuel de l'administrateur

Barre d’outils de l’analyseur local

La barre d’outils de l’analyseur local comporte des boutons pour démarrer, arrêter, planifier une analyse, modifier les options de l’analyseur local ainsi que du moniteur temps réel. Vous pouvez également accéder aux options de mise à jour des signatures, aux options de contact et aux paramètres d’Alert.

Remarque : Veuillez vous reporter à la section « Utilisation d’Alert avec le logiciel antivirus » du chapitre « Utilisation du gestionnaire Alert » pour obtenir des informations sur les paramètres Alert.

Barre d’état

La barre d’état dans la partie inférieure de la fenêtre de l’analyseur local affiche des informations sur l’analyse, comprenant le nom du fichier analysé, le moteur utilisé, le nombre de répertoires et de fichiers analysés, le nombre de fichiers infectés détectés et le temps écoulé pour l’analyse.

Fonctionnalités de l’analyseur local

Liste des résultats de l’analyse

Après avoir exécuté une analyse locale, la partie inférieure de la fenêtre de l’analyseur local affiche la liste des résultats de l’analyse.

Cette liste affiche le nom du fichier infecté ainsi que l’unité, le répertoire, les sous-répertoires et le nom de l’infection. La liste indique également l’état qui montre le type d’action effectué sur un fichier. Sont également affichés l’objet infecté, le type d’infection, la méthode de détection et le moteur utilisé.

Après l’exécution d’une analyse avec les actions sur fichiers configurées sur Rapport seulement, vous pouvez cliquer avec le bouton droit de la souris sur un fichier de la liste de résultats et sélectionner une autre action telle que Supprimer, Renommer, Déplacer ou Désinfecter. Vous pouvez également afficher des informations détaillées sur l’analyse. En outre, lorsque l’option Analyseur heuristique détecte une infection inconnue, vous pouvez utiliser l’option Envoyer pour transmettre le fichier à Computer Associates pour analyse.

Veuillez vous reporter à la section « Envoi d’un fichier pour analyse » pour obtenir plus d’informations sur l’utilisation de l’option Envoyer.

Affichage du résumé du résultat de l’analyse

Le bouton Afficher le résumé de la dernière analyse de la barre d’outils permet d’afficher le résumé du résultat de l’analyse la plus récente. Les statistiques de l’analyse sont affichées.

Vous pouvez afficher ce résumé automatiquement après chaque analyse en sélectionnant l’option Afficher la boîte de dialogue Résumé après chaque analyse dans l’onglet Afficher les options de l’analyseur local.

Utilisation de l’analyseur local 4–3

Fonctionnalités de l’analyseur local

Effacer le dernier résultat d’analyse

Mes dossiers

Dossier de déplacement

Le bouton Effacer le dernier résultat d’analyse de la barre d’outils vous permet d’effacer la liste des résultats d’analyse affichée dans la partie inférieure de la fenêtre de l’analyseur.

La catégorie Mes dossiers permet de classer les dossiers et les fichiers que vous analysez fréquemment. La création d’une liste personnalisée de favoris vous permet de ne sélectionner que le groupe d’éléments que vous souhaitez analyser. Vous pouvez ajouter des dossiers de la liste principale en sélectionnant chaque élément et en cliquant dessus avec le bouton droit de la souris. Sur les systèmes Windows, vous pouvez également sélectionner un dossier dans la partie droite de la fenêtre de l’analyseur local et le faire glisser-déplacer jusqu’à la catégorie Mes dossiers. Certains dossiers sont affichés par défaut.

Après une analyse, vous pouvez mettre en surbrillance la catégorie Dossier de déplacement pour que les informations concernant les fichiers situés dans le Répertoire de déplacement s’affichent dans le côté droit de la fenêtre. Si vous devez gérer un fichier déplacé, vous pouvez le faire à partir de la fenêtre de l’analyseur local sans devoir accéder directement au fichier. Vous pouvez cliquer avec le bouton droit de la souris sur un élément et le restaurer à son emplacement d’origine ou à un emplacement différent sous un autre nom ou le supprimer.

Ces options de restauration vous permettent de restaurer des informations si nécessaire. Vous pouvez renommer un fichier et l’isoler en toute sécurité dans un endroit différent. Vous pouvez utiliser ces options, par exemple, si vous n’avez pas d’autre source pour ces données et que vous devez consulter ce fichier. Ou si vous avez un fichier que vous souhaitez analyser.

Lorsqu’un fichier est déplacé vers le dossier de déplacement, un nom unique lui est affecté afin de l’identifier. Ainsi, si vous avez eu des fichiers infectés portant les mêmes noms qui ont été stockés dans des répertoires différents, ils restent distincts lorsqu’ils sont déplacés.

L’option Restaurer et désinfecter vous permet de restaurer l’élément sélectionné dans son dossier d’origine et de le désinfecter. Cette option est utile si vous mettez les fichiers de signatures à jour après que des éléments aient été placés dans le dossier de déplacement. Si un traitement de désinfection est fourni alors que vous ne l’aviez pas à votre disposition, vous pouvez obtenir la dernière mise à jour de signatures et utiliser cette option pour restaurer et désinfecter l’élément infecté.

Jobs d’analyse planifiés

La catégorie Jobs d’analyse planifiés permet d’accéder aux options de Job d’analyse planifié. Veuillez vous reporter au chapitre « Planification de jobs

d'analyse

4–4 Manuel de l'administrateur

» pour plus d’information sur la planification.

Utilisation des options d’affichage

Vous pouvez utiliser les options d’affichage pour définir les types d’unités et de fichiers à afficher dans la fenêtre de l’analyseur local. Grâce à ces options vous pouvez personnaliser l’affichage d’objets pour ne voir que les types que vous souhaitez analyser.

Options de l’onglet Afficher

Les options disponibles dans l’onglet Afficher sont décrites ci-dessous.

Unités et systèmes de fichiers

Vous pouvez afficher différents types d’unités (ou de systèmes de fichiers sous UNIX) dans la fenêtre de l’analyseur local.

■ Disque dur local (toujours sélectionné)

■ Lecteur de CD-ROM

Utilisation des options d’affichage

Fichiers

■ Unité réseau

■ Unité de disquette

■ Unité amovible

Si vous sélectionnez toutes ces options, toutes les unités et les systèmes de fichiers connectés, montés à distance ou mappés sur l’ordinateur sont affichés dans la liste de l’analyseur local. Vous pouvez limiter les types d’unités ou les systèmes de fichiers selon vos besoins. Par exemple, si votre poste de travail est en réseau, vous pouvez être connecté à différents ordinateurs mais souhaiter n’effectuer des analyses locales que des fichiers se trouvant sur votre disque dur. Si vous ne sélectionnez pas l’option Unités réseau, les ordinateurs en réseau ne sont pas affichés dans la fenêtre Analyseur local.

Vous pouvez choisir de n’afficher que les types de fichiers que vous souhaitez voir dans la fenêtre Analyseur local. Vous pouvez afficher tous les fichiers ou masquer les fichiers selon les extensions que vous définissez en utilisant les filtres de sélection de l’onglet Sélection.

Remarque : Vous pouvez spécifier les types d’extensions de fichier que vous souhaitez inclure dans une analyse en utilisant l’option Fichiers ordinaires dans l’onglet Sélection. Ensuite, dans l’onglet Afficher, vous pouvez masquer tous les types de fichiers qui ne seront pas analysés, au lieu d’afficher tous les fichiers.

Utilisation de l’analyseur local 4–5

Utilisation des options de répertoire

Afficher la boîte de dialogue Résumé d’analyse

Pour une analyse locale, si vous sélectionnez Afficher le résumé à la fin de l’analyse, la boîte de dialogue Résumé du résultat de l’analyse est affichée automatiquement une fois l’analyse terminée. Ce résumé comprend des informations sur l’heure de début et de fin de l’analyse, le nombre de fichiers analysés, le nombre d’infections trouvées, le nombre d’infections désinfectées et d’autres statistiques sur les actions effectuées sur les fichiers.

Utilisation des options de répertoire

Les options Répertoire affichent les emplacements des répertoires utilisés par le logiciel antivirus de Computer Associates. En outre, Renommer avec l’extension est affiché. Les emplacements des répertoires sont listés dans l’onglet Répertoire.

Remarque : L’onglet Répertoire est uniquement affiché pour l’analyseur local.

Répertoires d’installation des versions précédentes

Les versions précédentes du logiciel antivirus de Computer Associates utilisaient des répertoires d’installation par défaut différents. Sur un système Windows, si vous mettez une version antérieure à niveau, vous avez peut être un répertoire d’installation Inoculan.

Emplacements de répertoire affichés

L’information affichée dans l’onglet Répertoire est décrite ci-dessous.

Répertoires affichés

Les emplacements des répertoires suivants sont affichés dans l’onglet Répertoire.

Répertoire Description

Répertoire d’installation Répertoire dans lequel le logiciel antivirus de

Répertoire du moteur Répertoire où se trouve le moteur.

Répertoire des journaux Répertoire où sont stockés les fichiers journaux.

Répertoire de déplacement

Computer Associates est installé.

Répertoire vers lequel les fichiers infectés sont déplacés.

4–6 Manuel de l'administrateur

Renommer extension

L’onglet Répertoire affiche l’extension qui est utilisée pour remplacer l’extension d’origine lorsqu’un fichier infecté est renommé. Cette fonctionnalité est utilisée lorsque l’action sur fichier est Renommer le fichier.

Par défaut : AVB

Des extensions incrémentielles sous la forme numéro.AVB (par exemple, FICHIER.0.AVB, FICHIER.1.AVB, etc.) sont attribuées aux fichiers infectés portant le même nom. Un fichier renommé avec un type d’extension AVB n’est pas analysé de nouveau par la suite.

Envoi d’un fichier pour analyse

Vous pouvez utiliser la fonction Envoyer les informations pour l’analyse pour envoyer des fichiers infectés à votre administrateur d’antivirus ou à Computer Associates en vue d’une analyse plus approfondie. Ces informations comprennent les coordonnées de contact et d’autres informations sur le système infecté qui peuvent s’avérer utiles pour le diagnostic et la désinfection. Cette option est uniquement disponible lorsque l’option Analyseur heuristique est sélectionnée et qu’une infection inconnue a été découverte.

Envoi d’un fichier pour analyse

Les fichiers de signatures peuvent reconnaître des milliers d’infections, mais vous pouvez en découvrir une nouvelle ou rencontrer un fichier problématique demandant une investigation.

Utilisation des options Envoyer les informations pour l’analyse

Si une infection inconnue est détectée par l’analyseur heuristique, vous pouvez cliquer avec le bouton droit de la souris dans la liste des résultats de l’analyse, et sélectionner l’option Envoyer pour afficher la boîte de dialogue Envoyer les informations pour l’analyse.

Cette boîte de dialogue automatise le processus d’envoi en compressant les fichiers infectés et en les envoyant pour analyse avec les coordonnées de contact en supplément. Un formulaire qui contient des informations sur l’ordinateur local est aussi soumis car il pourrait être utile pour l’analyse du fichier problématique. Les informations concernant la personne à qui envoyer les fichiers et celle à contacter se trouvent sous l’option Contact.

Utilisation de l’analyseur local 4–7

Utilisation de l’option Contact

L’option Contact permet de spécifier les informations relatives au contact qui sont automatiquement envoyées lorsque vous envoyez un fichier pour analyse. Vous pouvez consulter ces informations dans les options Envoyer les informations pour l’analyse. Un administrateur de virus autorisé peut définir les règles sur les coordonnées à inclure ou à modifier.

Remarque : Cette option permet de déterminer à qui sont envoyés les fichiers à analyser.

Vous pouvez accéder à cette option à partir de la barre d’outil Analyseur local en cliquant sur le bouton Options contact.

Informations sur la personne à contacter pour l’analyse de virus

La boîte de dialogue Options Contact contient les options suivantes.

Option Description

Adresse électronique d’envoi

Objet L’objet ou le titre du courrier électronique.

Adresse électronique de réponse

Nom de la société Nom de la société qui envoie les fichiers infectés.

Adresse de la société

Nom de la personne à contacter

Téléphone Numéro de téléphone de la personne à contacter dans la

Adresse électronique où envoyer les fichiers infectés.

Il s’agit de l’adresse électronique du service antivirus de Computer Associates à laquelle envoyer les fichiers qui doivent être analysés.

Vous pouvez modifier cette adresse pour que les informations d’analyse soient envoyées à une adresse spécifique de votre société.

Adresse électronique pour répondre au message envoyé.

Adresse de la société qui envoie les fichiers infectés.

Nom de la personne à contacter dans la société au sujet des fichiers infectés.

société au sujet de cette infection.

ID du site ID du site de l’entreprise.

4–8 Manuel de l'administrateur

Option Description

Serveur SMTP (Facultatif pour les environnements Intranet) Nom du serveur

Gestion des infections à analyser

Un administrateur autorisé peut modifier l’emplacement par défaut pour qu’un fichier infecté soit soumis à une adresse interne dans votre entreprise au lieu qu’il soit envoyé à Computer Associates.

Par exemple, plusieurs infections du même type peuvent frapper une grande entreprise. En envoyant chaque fichier suspect à un administrateur interne, vous pouvez surveiller les occurrences des infections. Si l’administrateur a déjà une solution fournie par Computer Associates, le fichier n’aura pas à être envoyé pour analyse. L’administrateur peut étudier le problème et déterminer s’il doit être transmis à Computer Associates.

Utilisation du gestionnaire de services

SMTP que votre réseau utilise pour envoyer des messages électroniques. Dans certains environnements, le nom du serveur de messa serveur DNS. Si vous utilisez un service de connexion pour les messages électroniques, par exemple, vous devez définir le serveur SMTP.

erie peut être déterminé automatiquement à partir du

Utilisation du gestionnaire de services

Le gestionnaire de services est un moyen pratique pour accéder aux services antivirus de Computer Associates s’exécutant sur l’ordinateur local. Il ressemble à la fonctionnalité Services de Windows NT. Cette option peut être utilisée pour gérer des processus en arrière plan sur un système d’exploitation Windows 9x ou pour gérer les démons sous UNIX.

Cliquez sur le bouton Gestionnaire de services sur la barre d’outils pour afficher la boîte de dialogue correspondante. A partir de cette boîte de dialogue, vous pouvez démarrer ou arrêter les services et afficher leur état.

Remarque : Dans des circonstances normales, vous n’avez pas besoin d’arrêter ou de démarrer ces services.

Utilisation de l’analyseur local 4–9

Utilisation du gestionnaire de services

Services

Les services suivants sont exécutés sur l’ordinateur local. Les services disponibles varient selon les composants installés.

Remarque : Les exécutables UNIX et OS X ne comprennent pas l’extension .exe, mais les noms restent les mêmes.

Service Description

Serveur Admin Agent du serveur Admin,

Serveur RPC Agent de gestion à distance, InoRpc.exe.

InoNmSrv.exe.

Lorsque vous accédez à cette boîte de dialogue par le biais de l’affichage de l’administrateur, ce service n’est pas affiché dans la liste. Lors d’une utilisation avec l’affichage de l’administrateur, il doit toujours être en cours d’exécution car il assure la communication entre les ordinateurs situés dans le réseau antivirus.

Serveur temps réel Agent d’analyse en temps réel,

InoRT.exe. Sous Windows 9x, il s’agit de InoRT9x.exe.

Serveur de jobs Agent de planification des jobs

d’analyse et de planification de la mise à jour des signatures, InoTask.exe.

Serveur Web Agent qui fournit l’accès au logiciel

antivirus Computer Associates via un navigateur Web et l’interface native sous OS X, inoweb.

4–10 Manuel de l'administrateur

Chapitre

Utilisation du moniteur temps réel

Le moniteur temps réel offre un barrage automatique et permanent contre les infections en les stoppant avant qu’elles ne puissent se propager. Une gamme de composants temps réel protège l’ensemble des points d’entrée dans le réseau antivirus de Computer Associates ou d’un poste de travail individuel.

Le moniteur temps réel analyse les programmes d’un poste de travail ou d’un serveur à chaque exécution, accès ou ouverture de fichier. Sur les systèmes Windows, le moniteur temps réel est un pilote de périphérique virtuel (VxD) ; sur les systèmes UNIX, le moniteur temps réel utilise la fonction Event Notification Facility de Computer Associates ; sur les systèmes NetWare, il utilise le soussystème NetWare FSHOOKS ; sur les systèmes OS X, c’est une extension du noyau. Il surveille également les comportements de type viral de votre ordinateur tels que le formatage non autorisé d’un disque dur. Vous pouvez surveiller les virus connus et inconnus, spécifier les méthodes de détection et gérer les fichiers infectés. Sur les systèmes Windows et OS X, si une infection est détectée, une fenêtre contenant le nom du fichier infecté et celui de l’infection s’affiche.

Les administrateurs peuvent diffuser des configurations pour de multiples ordinateurs lors de l’installation du produit dans l’entreprise ; en outre, ils peuvent définir et faire appliquer les règles temps réel. Pour de plus amples informations sur la gestion des règles temps réel, reportez-vous au chapitre « Utilisation de l’affichage de l’administrateur ».

Fonctionnalités du moniteur temps réel

Les options de l’analyse en temps réel sont semblables aux options de l’analyse locale ou de l’analyse planifiée. Outre les options communes à toutes les méthodes d’analyse, le moniteur temps réel vous permet d’effectuer les actions suivantes :

■ Définir la direction de l’analyse.

■ Exclure des processus de l’analyse en temps réel (non disponible pour

Windows 9x).

■ Exclure des répertoires et fichiers de l’analyse en temps réel.

■ Bloquer tous les accès aux extensions spécifiées de fichiers sans les analyser.

■ Définir les options de protection avancée.

■ Spécifier les options de quarantaine sur les systèmes Windows.

Utilisation du moniteur temps réel 5–1

Fonctionnalités du moniteur temps réel

Remarque : N’oubliez pas que les paramètres que vous choisissez pour le moniteur temps réel ne s’appliquent qu’à l’analyse en temps réel et non pas à l’analyse locale.

Les fonctionnalités du moniteur temps réel comprennent :

■ Mode d’analyse en temps réel – Les infections sont recherchées dans tous les

fichiers entrants et sortants d’une unité locale, notamment dans les fichiers compressés. Lorsque l’analyse en temps réel est en fonction, les infections ne se propagent pas dans votre réseau. Vous pouvez également utiliser les fonctions de l’analyseur heuristique avec l’analyse en temps réel.

■ Quarantaine – Sur les systèmes Windows, les utilisateurs qui essaient de

copier des fichiers infectés sur un serveur sont automatiquement privés de l’accès à l’ordinateur afin d’isoler l’infection avant qu’elle ne puisse se propager.

■ Protection Internet – La source la plus récente d’infections est Internet.

Etant donné que les utilisateurs disposent d’un accès pratiquement illimité aux ordinateurs dans le monde entier, les risques de télécharger des fichiers infectés augmentent de manière exponentielle. Lorsque la protection en temps réel est activée, tous les téléchargements de fichiers, notamment de fichiers compressés, sont automatiquement analysés avant qu’ils puissent infecter un ordinateur. Cette fonctionnalité est compatible avec les navigateurs Netscape et Microsoft.

■ Options antivirus pour les messageries de groupe – Les entreprises

communiquent plus que jamais par le biais du courrier électronique. Etant donné le volume croissant des échanges de données, la propagation de virus dissimulés dans des pièces jointes et des fichiers de base de données augmente. Des options de messagerie disponibles peuvent protéger vos systèmes de messagerie Lotus Note ou Microsoft Exchange. Les fichiers zip joints sont également analysés.

■ Option Désinfection temps réel –Désinfecte un fichier infecté et vous

permet de faire une copie du fichier avant de le désinfecter.

■ Options Blocage pré-analyse – Cette option permet de bloquer tous

les accès aux extensions de fichiers spécifiées pour que des fichiers ou extensions potentiellement dangereux ne puissent pas être ouverts, copiés ou exécutés par les utilisateurs ou le système.

5–2 Manuel de l'administrateur

Chargement automatique du moniteur temps réel

Une fois le moniteur temps réel configuré, il sera chargé à chaque démarrage du poste de travail sur les systèmes Windows. L’icône du moniteur temps réel est affichée dans la barre des tâches de Windows, dans le coin inférieur droit de votre écran.

Sur les systèmes UNIX et NetWare, au cours de l’installation du logiciel antivirus, vous pouvez déterminer si vous souhaitez que le moniteur temps réel se charge automatiquement lors du démarrage du système. Il n’existe pas de barre des tâches permettant d’afficher une icône sur les systèmes UNIX ou NetWare.

Sur les systèmes OS X, au cours de l’installation du logiciel antivirus, vous pouvez déterminer si vous souhaitez que le moniteur temps réel se charge automatiquement lors du démarrage du système. La boîte de dialogue Options du moniteur temps réel permet de désactiver le moniteur temps réel. Il n’y a pas d’icône indiquant l’état du moniteur temps réel.

Remarque : Sur les systèmes Windows, si l’icône du moniteur temps réel n’est pas affichée, vous pouvez activer le moniteur temps réel à partir du menu Démarrer.

Fonctionnalités du moniteur temps réel

Options disponibles à partir de l’icône du moniteur temps réel

Sur les systèmes Windows, vous pouvez avoir accès à toutes les options du moniteur temps réel à partir de l’icône du moniteur temps réel dans la barre des tâches et gérer la surveillance des fichiers. En outre, les options suivantes sont disponibles :

■ Désactiver temps réel – Permet de désactiver l’interface de la surveillance en

temps réel. L’analyse reste néanmoins activée.

■ Contrôler les fichiers sortants, Contrôler les fichiers entrants et sortants –

Permet de configurer le moniteur temps réel de manière à ce qu’il recherche des virus dans les fichiers lorsqu’ils sont fermés ou lorsqu’ils sont ouverts et refermés.

■ Veille – Permet de désactiver provisoirement le moniteur temps réel pour un

nombre donné de minutes.

■ Icône animée – Permet d’afficher ou de masquer l’animation de l’icône du

moniteur temps réel dans la barre des tâches.

■ Lancer l’antivirus – Permet de lancer le logiciel antivirus de Computer

Associates.

■ Télécharger les signatures maintenant – Permet d’effectuer une mise à jour

de signatures pour l’ordinateur local.

■ A propos de – Vous permet d’obtenir des informations sur la version

installée du logiciel eTrust Antivirus.

■ Quitter – Permet de supprimer l’icône Moniteur temps réel de la barre des

tâches (le moniteur temps réel reste actif).

Utilisation du moniteur temps réel 5–3

Utilisation des options temps réel

Messagerie temps réel

Sur les systèmes Windows, si les options Alert sont configurées et activées, des messages peuvent être envoyés par diffusion, Microsoft Mail, Microsoft Exchange, SMTP et SNMP, rapport d’incidents et récepteurs d’appels à chaque action entreprise. Les messages s’affichent également dans le journal d’analyse en temps réel et dans le journal d’événements Windows NT ou la visionneuse des événements Windows 2000. Pour de plus amples informations, consultez l’aide Alert.

Des messages peuvent également être envoyés lorsque l’option Quarantaine est exécutée.

Sur les systèmes UNIX et OS X, vous pouvez envoyer des informations vers un script Shell que vous écrivez vous-même. Le script peut exécuter n’importe quelle action, telle que l’envoi d’un message électronique à une adresse spécifiée lorsqu’un virus est détecté. En outre, sous UNIX et OS X, un événement provoquera l’affichage d’un message dans les fichiers syslog, comme indiqué dans /etc/syslog.conf. Pour plus d’informations concernant le script UNIX, reportez-vous à la section « Utilisation du gestionnaire Alert dans les systèmes UNIX » , au chapitre « Utilisation du gestionnaire Alert » .

Utilisation des options temps réel

Les options du moniteur temps réel permettent de définir les options d’analyse afin de détecter les infections sur votre poste de travail à chaque exécution, accès ou ouverture de fichier.

Remarque : Les options du moniteur temps réel communes à tous les types d’analyse sont décrites dans le chapitre « Utilisation des options d’analyse et de sélection ».

Gestion des paramètres temps réel

Un administrateur autorisé peut configurer et diffuser les paramètres du moniteur temps réel et faire appliquer les règles de ces paramètres. Reportez-vous au chapitre « Utilisation de l’affichage de l’administrateur » pour obtenir plus d’informations sur ce sujet.

5–4 Manuel de l'administrateur

Définition de la direction d’analyse

Utilisez les options suivantes pour configurer la direction d’analyse en temps réel pour surveiller les fichiers. Cliquez avec le bouton droit sur l’icône Moniteur temps réel dans la barre des tâches pour accéder à ces options. Ces options de direction sont également disponibles lorsque vous sélectionnez le bouton Temps réel dans la barre d’outils de l’analyseur local.

Option Description

Fichiers sortants Surveille les fichiers sortants d’une unité

Fichiers entrants et sortants Surveille à la fois les fichiers entrants et

Utilisation des options temps réel

locale. Les fichiers sortants sont les fichiers copiés à partir d’une unité locale et ceux exécutés à partir d’une unité locale. Un fichier sortant est analysé lors de son ouverture. En cas d’infection du fichier, l’accès vous est refusé.

sortants. Un fichier entrant est analysé lors de sa fermeture.

Utilisation des options de sélection temps réel

La plupart des options de sélection temps réel sont communes à tous les types d’analyse. L’option Sélectionner le moteur d’analyse, d’autres options de détection, les options Fichiers ordinaires et Analyser les fichiers compressés sont décrites dans le chapitre « Utilisation des options d’analyse et de sélection ».

Utilisation des options de filtres temps réel

Les options Filtres temps réel vous permettent de spécifier les types de fichiers et de processus que vous souhaitez surveiller.

Exclusion de processus et de répertoires

Vous pouvez utiliser les options d’exclusion pour spécifier les processus (programmes exécutables exécutés sur l’ordinateur) et répertoires dont vous ne souhaitez pas l’analyse par le moniteur temps réel.

Remarque : Lorsque vous saisissez un nom d’un processus à exclure du temps réel sur un ordinateur UNIX ou OS X, ce processus doit comporter le nom complet du chemin.

Utilisation du moniteur temps réel 5–5

Utilisation des options temps réel

Remarque : Sur les systèmes NetWare, l’option d’exclusion de processus ne permet que d’indiquer les threads à exclure, et non des NLM individuels.

Vous pouvez ajouter et supprimer ces exclusions selon vos besoins. Dans l’onglet Filtres, cliquez sur les boutons Processus ou Répertoire pour modifier ces options d’exclusion.

■ Lorsque vous excluez un processus, tous les fichiers auquel le programme

exécutable de l’ordinateur a accès ne sont pas analysés. (non disponible pour Windows 9x).

■ Lorsque vous excluez un répertoire, tous les sous-répertoires et fichiers de ce

répertoire ne sont pas analysés. Vous pouvez également indiquer des fichiers particuliers à exclure.

Lorsqu’un élément est inscrit dans la liste d’exclusion, il n’est pas analysé par le moniteur temps réel. Ces paramètres n’ont pas d’incidence sur les autres types d’analyse.

Utilisation des options Blocage pré-analyse

L’option Blocage pré-analyse permet de bloquer l’accès aux extensions de fichiers spécifiées. Lorsqu’une extension de fichier figure dans la liste des extensions bloquées, tout fichier avec cette extension n’est pas analysé et tout accès à ce fichier est refusé. Ni l’utilisateur ni le système ne peuvent utiliser ce fichier, c’est-à-dire qu’ils ne peuvent pas l’ouvrir, le copier ou l’exécuter.

Cette fonctionnalité peut s’avérer utile lorsqu’un virus a pour cible un certain type d’extension de fichier. Par exemple, en cas de prolifération soudaine d’un nouveau virus attaquant les fichiers .VBS, vous pouvez bloquer l’ensemble des accès à ce type de fichier afin de limiter les risques d’infection.

Pour spécifier les extensions de fichiers à bloquer, cliquez sur le bouton Bloquer. La liste des extensions bloquées s’affiche. Vous pouvez y ajouter toutes les extensions de fichiers à bloquer. Par exemple, VBS bloque l’accès à tous les fichiers .VBS.

Si vous trouvez que le fait de bloquer tous les accès à un certain type de fichier n’est pas concevable, utilisez la fonctionnalité Exempter du blocage pour autoriser l’accès aux fichiers spécifiés. Vous pouvez exempter des fichiers du blocage en cliquant sur le bouton Exempter. La boîte de dialogue Exempter du blocage s’affiche. Utilisez cette fonctionnalité pour inclure un fichier dans une analyse en temps réel même si l’extension du fichier est bloquée par la Liste des extensions bloquées. Ainsi, si un fichier figure dans la liste d’exemptions, il est traité comme un fichier normal et il est analysé par le moniteur temps réel.

Remarque : Les fichiers et types de fichiers disponibles que vous pouvez utiliser avec les fonctionnalités Blocage pré-analyse dépendent des paramètres activés dans l’onglet Sélection pour les types d’extensions de fichiers à analyser.

5–6 Manuel de l'administrateur

Utilisation des options temps réel avancées

L’onglet Options avancées temps réel permet de gérer les paramètres temps réel des zones protégées et des options de protection avancées.

Zones protégées

Le moniteur temps réel fournit des options de protection avancées et souples pour différents types d’unités. Sur les systèmes Windows, vous pouvez spécifier les zones d’unités protégées à surveiller. Cette option ne s’applique pas aux ordinateurs UNIX. Sur les systèmes UNIX, tous les types d’unités sont toujours protégés.

Utilisation des options temps réel

Protection des unités de disquettes

Les disquettes sont des sources communes d’infection. L’option Protéger les unités de disquettes permet d’analyser une disquette dès qu’elle est accédée. Lorsqu’un fichier est ouvert ou copié à partir d’une disquette, le fichier est analysé avant d’être déplacé vers le disque dur.

Protection des unités du réseau

Copier des fichiers d’une unité mappée vers une autre est également un moyen commun de propager des infections, mais il n’est pas toujours bien compris. Tous les fichiers déplacés entre les unités mappées peuvent être analysés même si aucun fichier ne passe par le disque dur de l’ordinateur local.

Protection de CD-ROM

Vous pouvez surveiller en temps réel les fichiers des CD-ROM.

Options de protection avancées

Les options de protection avancées offrent des fonctions de protection uniques pour l’analyse en temps réel.

Analyser la disquette à l’arrêt

Utilisez l’option Analyser la disquette à l’arrêt pour détecter les éventuelles infections lors de l’arrêt d’un ordinateur.

Lorsque vous redémarrez un ordinateur contenant une disquette dans le lecteur, le secteur d’amorçage de la disquette est utilisé. En cas de contamination de la disquette, elle est susceptible de contaminer tout votre système. Lorsque l’option est activée, le secteur d’amorçage de la disquette est analysé avant l’arrêt de l’ordinateur. Ceci vous évite de redémarrer l’ordinateur avec une disquette comportant un secteur d’amorçage infecté.

Utilisation de l’option Permettre la sauvegarde rapide

L’option Permettre la sauvegarde rapide vous permet de copier les fichiers à enregistrer sur bande lors d’une session de sauvegarde sans que le moniteur temps réel ne les analyse. Par exemple, si vous analysez régulièrement les fichiers d’un disque dur avant de les sauvegarder, vous ne devez pas analyser de nouveau les mêmes fichiers.

Utilisation du moniteur temps réel 5–7

Utilisation des options temps réel

Si cette option n’est pas activée, le moniteur temps réel analyse tous les fichiers qui sont copiés sur la bande, ce qui ralentit la sauvegarde. Si vous analysez des fichiers avant l’exécution d’une sauvegarde, vous ne devez pas répéter l’analyse pendant la sauvegarde. Lorsque cette option est activée, le moniteur temps réel ignore les fichiers ouverts par le logiciel de sauvegarde. Ceci améliore les performances de sauvegarde.

Limitation des messages contextuels

L’option Messages contextuels temps réel permet que des messages contextuels s’affichent lorsque le moniteur temps réel détecte plusieurs infections pendant une opération d’analyse. Si cette option n’est pas sélectionnée, aucun message contextuel ne s’affiche. Vous pouvez limiter le nombre de messages contextuels qui s’affichent. Lorsque la limite est atteinte, un message s’affiche vous invitant à vous reporter au journal d’analyse en temps réel pour de plus amples informations. Cette option concerne également NetWare et OS X.

Par exemple, si le moniteur temps réel analyse un fichier compressé contenant dix fichiers infectés, dix messages s’affichent sur votre écran. Si vous fixez la limite à 3, seulement trois messages correspondant aux trois premières infections s’affichent.

Utilisation de l’option Quarantaine

L’option Quarantaine empêche un utilisateur d’exécuter des actions aux conséquences potentiellement désastreuses avec un fichier infecté. Ainsi, une infection n’a pas la possibilité de se propager vers ou à partir d’un serveur avant le nettoyage du poste de travail infecté. Cliquez sur l’onglet Quarantaine pour afficher ces options.

Remarque : L’option Quarantaine est gérée à partir d’ordinateurs Windows NT et Windows 2000. Cette option ne peut pas être gérée à partir d’ordinateurs Windows 9x. Cette option ne s’applique pas aux systèmes UNIX, OS X et NetWare. Cependant, elle est disponible dans l’interface graphique utilisateur du navigateur Web lorsque vous créez des règles devant être appliquées ou gérez un ordinateur Windows dans l’affichage de l’administrateur.

Lorsqu’elle est activée, l’option Quarantaine empêche un utilisateur de déplacer un fichier infecté vers un serveur ou d’exécuter un fichier infecté sur une console de serveur. L’utilisateur ne peut plus accéder au serveur pour la durée spécifiée par le Temps de quarantaine. Un utilisateur peut être mis en quarantaine pour une durée maximale de 24 heures. Pendant la quarantaine, vous pouvez déterminer quel est le fichier posant problème, l’isoler et nettoyer l’ordinateur infecté.

5–8 Manuel de l'administrateur

Un message mentionnant le nom de l’utilisateur ayant essayé de déplacer un fichier infecté peut être envoyé pour que les administrateurs compétents puissent être informés.

Le nom d’un utilisateur mis en quarantaine est mentionné dans l’onglet Quarantaine des options du moniteur temps réel lorsqu’un ordinateur particulier est sélectionné dans la liste des ordinateurs. L’administrateur peut accorder de nouveau l’accès à l’utilisateur mis en quarantaine en supprimant son nom de l’écran Quarantaine.

Remarque : Le compte administrateur sur un ordinateur Windows NT ou Windows 2000 ne peut pas être mis en quarantaine. Cependant, un utilisateur disposant de droits d’administrateurs peut être mis en quarantaine si nécessaire.

Messages contextuels de quarantaine

Pour qu’un ordinateur Windows 9x reçoive des messages de quarantaine provenant d’un serveur NT, WinPopup doit être en cours d’exécution. Pour exécuter WinPopup, ouvrez la boîte Exécuter et entrez WinPopup. Vous pouvez également ajouter WinPopup à votre groupe de démarrage si vous utilisez la quarantaine. (WinPopup est aussi compatible avec les postes de travail Windows 3.x.)

Utilisation des options temps réel

Noms d’utilisateurs en double

La quarantaine affecte tout utilisateur ayant le même nom car elle bloque l’accès au serveur sur la base des noms. C’est particulièrement important si un réseau compte plusieurs personnes partageant le même nom d’utilisateur, comme INVITE. Si un utilisateur est connecté en tant qu’INVITE et qu’il est mis en quarantaine alors qu’il tentait de copier un fichier infecté, tous les autres utilisateurs du nom d’INVITE seront aussi mis en quarantaine.

Statistiques du moniteur temps réel

A partir des Options du moniteur temps réel, vous pouvez afficher les statistiques du moniteur temps réel en cliquant sur l’onglet Statistiques.

Elles vous fournissent des informations cumulées sur l’activité du moniteur temps réel, comme le nombre d’infections trouvées, le nombre de fichiers analysés et les actions entreprises.

Utilisation du moniteur temps réel 5–9

Utilisation des options temps réel

Etat du pilote temps réel

Sous Windows, outre le résumé des statistiques, l’état des pilotes temps réel est affiché pour indiquer s’ils sont chargés ou non. Ces indicateurs peuvent être utiles pour les diagnostics. De surcroît, le nom du pilote et la version sont indiqués dans la boîte de dialogue des informations de version.

Sous UNIX, le statut ENF s’affiche. Cependant, aucune statistique ne s’affiche, uniquement le statut.

Sous OS X, le statut KEXT s’affiche avec les statistiques.

Pilote de filtres

Pilote de disquette

Le pilote de filtres fournit des services en temps réel pour surveiller les fichiers. L’état de ce pilote doit toujours être indiqué comme étant chargé.

Le pilote de disquette permet de surveiller en temps réel toutes les unités, notamment les lecteurs de disquettes et les unités réseau. Si ce pilote est chargé, toute activité de fichier est protégée en temps réel.

Pour une protection complète en temps réel, redémarrez l’ordinateur pour charger ce pilote. Faites-le après l’installation, après des mises à niveau majeures du produit ou si une mise à jour du pilote est intervenue. Néanmoins, le redémarrage n’est pas nécessaire après l’installation. Si vous ne redémarrez pas après l’installation, le pilote ne sera pas chargé. Vous bénéficiez toujours de la protection en temps réel, mais pas de la protection en temps réel complète. Par exemple, si le pilote de disquette n’est pas chargé, vous ne bénéficiez pas de protection en temps réel lorsque vous copiez des fichiers d’une unité mappée vers le disque dur. Ce pilote doit être chargé pour une protection complète.

5–10 Manuel de l'administrateur

Chapitre

Planification de jobs d’analyse

Ce chapitre présente les options de planification des jobs d’analyse. Consultez l’aide en ligne pour obtenir de plus amples informations sur l’utilisation de ces options.

Remarque : Du fait qu’il n’existe pas d’affichage de l’analyse locale sous NetWare, les jobs d’analyse planifiés le sont à partir du serveur Admin. Pour plus d’informations sur le serveur Admin, reportez-vous au chapitre « Utilisation de l’affichage de l’administrateur ».

Options de planification des jobs d’analyse

Utilisez les options de planification des jobs d’analyse pour planifier un job et spécifier les options d’analyse que le job devra utiliser.

Les onglets suivants vous permettent de configurer les options de planification des jobs d’analyse :

■ Description

■ Analyse

■ Sélection

■ Planification

■ Répertoires

■ Exclure répertoires

Les options d’analyse et de sélection sont communes aux différents types de méthodes d’analyse. Elles sont décrites au chapitre « Utilisation des options

d'analyse et de sélection

Remarque : Pour afficher les options de planification de jobs d’analyse à partir de la fenêtre de l’analyseur local, vous devez tout d’abord sélectionner un ou plusieurs éléments à analyser en cochant la ou les cases correspondantes dans la liste des éléments située dans la partie gauche de la fenêtre. Ensuite, cliquez sur le bouton de la barre d’outils Planification des jobs d’analyse pour en afficher les options.

».

Planification de jobs d’analyse 6–1

Options de planification des jobs d’analyse

Vous pouvez planifier un job d’analyse quels que soient les ordinateurs, catégories et dossiers sélectionnés. Un administrateur autorisé peut définir des règles et planifier des jobs sur des ordinateurs distants. Reportez-vous au chapitre « Utilisation de

l'affichage de l'administrateur

définition de règles et sur l’analyse des unités du réseau.

Option de description des jobs d’analyse

L’onglet Description vous permet de fournir une description du job d’analyse. Cette description permet d’identifier le job d’analyse dans la liste Analyseur planifié qui apparaît dans la fenêtre Visionneuse du journal. Cette option est disponible dans l’onglet Règles pour l’administrateur qui utilise l’affichage de l’administrateur afin de créer des règles de planification.

Utilisation des options de planification

L’onglet Planification vous permet de spécifier la date et l’heure d’une analyse et de définir l’intervalle de répétition pour les analyses régulières.

» pour obtenir de plus amples informations sur la

Planifier au démarrage

Date et heure

Options Répéter

Vous pouvez planifier des jobs d’analyse pour qu’ils s’exécutent de différentes manières.

■ Planifier un job d’analyse pour qu’il soit exécuté au démarrage de

l’ordinateur

■ Planifier un job d’analyse pour qu’il soit exécuté une seule fois

■ Planifier un job d’analyse pour qu’il soit répété à intervalles réguliers

L’option Planifier au démarrage vous permet d’exécuter une analyse au moment du démarrage de votre ordinateur. Lorsque cette option est sélectionnée, les autres options de l’onglet Planification ne sont pas disponibles.

L’option Date vous permet d’indiquer le jour, le mois et l’année du job. La flèche pointant vers le bas permet d’afficher un calendrier pratique pour sélectionner une date. L’option Heure vous permet d’indiquer l’heure du job en heures et minutes.

Les options Répéter vous permettent d’indiquer la fréquence d’exécution d’un job d’analyse régulier.

6–2 Manuel de l'administrateur

Options de planification des jobs d’analyse

Vous pouvez planifier un job d’analyse afin qu’il soit exécuté à intervalles réguliers spécifié par : mois, jours, heures ou minutes. Les administrateurs peuvent utiliser l’affichage de l’administrateur pour créer différentes règles de planification des jobs afin qu’ils soient exécutés une fois par semaine sur certains ordinateurs et une fois par jour sur d’autres ordinateurs. Vous pouvez également planifier des analyses fréquentes pour les unités et les répertoires qui ont un nombre important d’entrées et de sorties. En outre, les circonstances peuvent exiger que des fichiers suspects soient vérifiés rapidement et que vous décidiez de les analyser toutes les dix minutes.

Remarque : Les paramètres des options Date et Heure déterminent la première occurrence de l’analyse à répéter.

Niveau d’utilisation de l’UC

Sur les systèmes Windows, vous pouvez spécifier le niveau d’utilisation de l’UC pour un job d’analyse planifié en indiquant une utilisation de niveau faible, moyen ou élevé. Pendant les périodes de grande production, vous souhaiterez sûrement un faible niveau d’utilisation de l’UC pour une analyse. Pendant les périodes de faible production, vous opterez vraisemblablement pour un niveau plus élevé.

Utilisation de l’option Répertoires

L’onglet Répertoires vous permet de spécifier les répertoires que le job planifié doit analyser. Vous pouvez ajouter ou supprimer des répertoires de la liste.

Lorsque vous établissez une planification en sélectionnant un objet dans la liste de la fenêtre de l’analyseur local et en spécifiant les options d’analyse planifiée, l’emplacement du répertoire contenant l’objet sélectionné apparaît dans la liste des répertoires. L’onglet Répertoires vous permet d’ajouter ou de supprimer des objets dans la liste des répertoires. Vous pouvez également le faire lorsque vous modifiez un job d’analyse planifié.

Utilisation de l’option Exclure répertoires

L’onglet Exclure répertoires vous permet de spécifier les répertoires que le job planifié ne devra pas analyser. Vous pouvez ajouter des répertoires à la liste ou en supprimer.

Comme pour l’onglet Répertoires, vous pouvez accéder à cette option lorsque vous établissez une planification à partir de l’analyseur local et que vous modifiez une analyse planifiée.

Planification de jobs d’analyse 6–3

Options de planification des jobs d’analyse

Remarque : Si vous souhaitez analyser l’ensemble de votre disque dur, à l’exception d’un répertoire, sélectionnez l’analyse du lecteur C:\ dans la liste de la fenêtre de l’analyseur local ou le répertoire racine sur un système UNIX, puis spécifiez les options pour l’analyse planifiée. Ensuite, vous pouvez utiliser l’option Exclure répertoires pour n’exclure que le répertoire que vous ne souhaitez pas analyser.

Gestion des jobs d’analyse planifiés

Lorsque les options sont spécifiées pour un job d’analyse planifié, les jobs d’analyse planifiés disponibles s’affichent dans la fenêtre de l’analyseur local. Sélectionnez la catégorie Jobs d’analyse planifiés dans la liste de gauche afin d’afficher à droite la liste récapitulative des jobs planifiés.

Chaque job apparaît dans la liste avec des indications (état, numéro identificateur, type, description, date planifiée pour l’exécution et action sur fichier spécifiée). Les jobs planifiés à distance ne sont pas affichés.

Modification des options de planification de jobs

Arrêt d’un job

Suppression d’un job

Affichage des propriétés du job

Vous pouvez modifier les options des jobs d’analyse planifiés – par exemple la date d’exécution du job, ce qu’il analyse, etc.

Lorsque vous créez un nouveau job planifié, les options sont affichées dans la boîte de dialogue Planifier un nouveau job d’analyse. Si vous souhaitez modifier les options pour un job existant, utilisez la fenêtre de l’analyseur local pour y accéder. Pour cela, sélectionnez la catégorie Jobs d’analyse planifiés dans la liste de gauche afin d’afficher à droite la liste récapitulative des jobs planifiés. Ensuite, cliquez avec le bouton droit de la souris sur un job et choisissez Options. Les options sont alors affichées dans la boîte de dialogue Modifier les options du job.

Pour arrêter un job planifié en cours d’exécution, sélectionnez la catégorie Jobs d’analyse planifiés afin d’afficher à droite leur liste récapitulative. Ensuite, cliquez avec le bouton droit de la souris sur un job et sélectionnez Arrêter.

Pour supprimer un job planifié, sélectionnez la catégorie Jobs d’analyse planifiés afin d’afficher à droite leur liste récapitulative. Ensuite, cliquez avec le bouton droit de la souris sur un job et sélectionnez Supprimer.

Après l’exécution d’un job planifié, vous pouvez afficher les propriétés de ce job à partir de la fenêtre Visionneuse du journal.

6–4 Manuel de l'administrateur

Options de planification des jobs d’analyse

Affichage des résultats d’une analyse planifiée

La fenêtre de la visionneuse du journal vous permet d’afficher les résultats d’une analyse planifiée. Veuillez vous reporter au chapitre « Affichage et gestion des

journaux

du journal.

Grâce à l’affichage de l’administrateur, les administrateurs autorisés peuvent afficher les résultats des analyses planifiées à distance.

» pour obtenir de plus amples informations sur l’affichage des résultats

Statistiques du job pour une analyse planifiée en cours

Pendant l’exécution d’un job d’analyse planifié, vous pouvez consulter les statistiques du job dans la boîte de dialogue Statistiques du job planifié. Pour cela, cliquez sur le bouton de la barre d’outils Statistiques du job, dans la fenêtre de l’analyseur local. Vous pouvez également sélectionner Job d’analyse planifié dans le menu Analyseur, puis cliquer sur Statistiques.

La boîte de dialogue Statistiques du job planifié affiche le répertoire qui est en train d’être analysé et l’ID du job planifié en cours d’exécution. Le résumé des statistiques s’affiche, indiquant le nombre total d’infections détectées (fichiers désinfectés, supprimés, déplacés et renommés) ainsi que le nombre de fichiers analysés. Ces informations sont identiques à celles contenues dans le Résumé du résultat de l’analyse, que vous pouvez afficher après une analyse locale. Si un job d’analyse planifié n’est pas exécuté, aucune statistique ne s’affiche dans la boîte de dialogue. A la fin d’une analyse planifiée, utilisez la Visionneuse du journal pour afficher les informations sur le job.

Planification de jobs d’analyse 6–5

Chapitre

Affichage et gestion des journaux

NetWare ne dispose pas de visionneuse du journal. Les journaux des ordinateurs NetWare peuvent être consultés à partir de la vue Admin du serveur Admin. Pour plus d’informations sur le serveur Admin, reportez-vous au chapitre « Utilisation de l’affichage de l’administrateur ».

Ce chapitre vous indique comment utiliser la fenêtre Visionneuse du journal pour gérer et afficher les différents types de journaux d’analyse pour l’ordinateur local. Vous pouvez visualiser les résultats de tous les types d’analyse et afficher le résumé et les informations détaillées qui résultent de chaque analyse, notamment les analyses exécutées à distance par un administrateur, à partir de la fenêtre Affichage de l’administrateur. Consultez l’aide en ligne pour obtenir de plus amples informations sur la visionneuse du journal.

En outre, ce chapitre décrit comment spécifier les options du journal pour une analyse. Il contient également des informations sur l’utilisation de journaux dans le cadre d’un format de base de données standard et sur la collecte d’informations relatives aux performances du système.

Remarques :

 L’affichage de l’administrateur est doté de fonctionnalités particulières pour

afficher les informations du journal à partir d’ordinateurs distants. Pour en savoir plus, reportez-vous au chapitre « Utilisation de la fenêtre Affichage de l’administrateur ».

 Les termes « branche » et « conteneur » sont synonymes.

Affichage et gestion des journaux 7–1

Utilisation de la fenêtre Visionneuse du journal

La fenêtre Visionneuse du journal permet de sélectionner, d’afficher et de gérer les journaux d’activité d’analyse.

La fenêtre Visionneuse du journal affiche à gauche une liste des différentes catégories de journaux. Surlignez la catégorie souhaitée pour afficher à droite la liste sommaire des journaux disponibles. Pour chaque catégorie, les journaux sont classés suivant la date et l’heure de leur création.

Lorsque vous sélectionnez un élément dans la visionneuse du journal et que vous cliquez dessus avec le bouton droit de la souris, différentes options sont disponibles pour supprimer, imprimer, afficher les propriétés ou actualiser l’affichage des informations du journal. Vous pouvez également utiliser les options du menu et les boutons de la barre d’outils pour accéder à ces options.

Remarque : Pour consulter les informations les plus récentes concernant un job d’analyse, utilisez l’option Actualiser afin de mettre à jour l’affichage de l’élément sélectionné dans la visionneuse du journal.

Liste de la visionneuse du journal

La liste de la visionneuse du journal peut inclure des journaux pour les types de jobs d’analyse suivants :

■ Analyseur local

■ Analyseur en temps réel

■ Analyseur planifié

■ Evénements généraux

■ Evénements de distribution

Analyseur local

La catégorie Analyseur local contient une liste des journaux contenant les résultats des jobs d’analyse exécutés sur votre ordinateur local.

Analyseur en temps réel

La catégorie Analyseur en temps réel contient le journal d’analyse du moniteur temps réel pour l’ordinateur local. Les informations concernant l’analyse en temps réel sont jointes au journal existant ; il y a donc une seule entrée de journal par jour.

7–2 Manuel de l'administrateur

Analyseur planifié

Evénements généraux

Utilisation de la fenêtre Visionneuse du journal

La catégorie Analyseur planifié contient une liste des jobs d’analyse planifiés. Chaque job donne lieu à la création d’un journal d’analyse contenant les résultats de chacune des exécutions du job, classés suivant la date et l’heure planifiées. Si un job n’est exécuté qu’une fois, un seul journal de résultats est généré. Si un job est exécuté périodiquement, un seul journal de résultats est créé pour chaque job d’analyse.

L’utilisateur d’un ordinateur local peut visualiser les journaux d’analyse planifiée pour cet ordinateur local, qu’il s’agisse d’analyses exécutées localement ou à distance. Un administrateur autorisé peut visualiser les journaux d’analyse planifiée pour plusieurs ordinateurs, à partir de la fenêtre d’affichage de l’administrateur.

La catégorie Evénements généraux contient les journaux des événements généraux qui ont lieu chaque jour. Les codes d’erreurs du système d’exploitation peuvent également y apparaître. Les types de messages suivants peuvent s’afficher :

Message critique – Il s’agit d’un message de la plus haute importance. Le message nécessite une attention immédiate une fois enregistré. Ce message peut signifier qu’un virus a été détecté ou qu’un problème a été identifié au niveau du service, tel qu’une erreur lors du chargement d’un moteur.

Message d’avertissement – Ce second niveau de messages vous avertit en cas de problème non critique.

Message d’information – Ce type de messages fournit des informations sur les événements, notamment lorsque le service démarre ou s’arrête et si aucun virus n’a été détecté.

Evénements de distribution

La catégorie Evénements de distribution contient les journaux des événements de distribution des mises à jour de signatures qui ont lieu chaque jour. Les événements sont enregistrés pour toute action se produisant pendant la mise à jour des signatures ou pendant la distribution. Ceci inclut les détails concernant la connexion à une source de distribution de signatures, le démarrage et l’arrêt d’un téléchargement ainsi que les informations sur l’état du téléchargement des fichiers de signatures.

Affichage et gestion des journaux 7–3

Gestion des journaux

Affichage de l’administrateur des journaux

Dans un environnement en réseau, les administrateurs peuvent afficher tous les types de journaux (exécutés localement ou à distance) pour plusieurs ordinateurs, en utilisant la fenêtre Affichage de l’administrateur.

Pour l’administrateur, les journaux sont listés sous chaque ordinateur dans un conteneur de l’arborescence de l’organisation situé dans la fenêtre Affichage de l’administrateur. Il existe également des journaux récapitulatifs pour chaque instance de règle du job d’analyse, avec les résultats pour chacun des ordinateurs qui appliquent ces règles.

Affichage du résumé et des informations détaillées du journal

Lorsque vous sélectionnez une catégorie de journal dans la liste de gauche, les informations sommaires du journal s’affichent à droite de l’écran.

Les informations sommaires relatives aux analyses incluent la date et l’heure d’exécution de l’analyse, le nombre de fichiers analysés, le nombre de fichiers infectés, le nombre d’infections détectées, le nombre d’erreurs d’analyse et l’action appliquée à l’analyse.

Lorsque vous sélectionnez un journal dans la liste de droite, les informations détaillées du journal s’affichent dans le volet inférieur droit. Parmi ces détails figurent les résultats pour chaque fichier analysé.

Chaque type de job d’analyse possède une icône d’identification. Consultez l’aide en ligne pour plus d’informations sur les journaux.

Gestion des journaux

Vous pouvez gérer le type d’informations figurant dans les fichiers journaux, collecter les données historiques et les utiliser pour analyser l’impact de l’activité d’analyse.

Spécification des options du journal pour une analyse

Utilisez les options du journal afin de spécifier les options pour la gestion des journaux d’analyse. Un journal de résultats est créé pour chaque analyse effectuée. Ces fonctions vous permettent de recueillir le niveau d’enregistrement historique de l’activité d’analyse requis par votre organisation. Pour accéder aux options du journal, à partir de la fenêtre de l’analyseur local, affichez les options correspondantes et cliquez sur l’onglet Journal.

7–4 Manuel de l'administrateur

Filtrage des informations fichiers pour les journaux

Vous pouvez spécifier les types d’événements devant figurer dans un journal. Utilisez les options de filtres pour indiquer si les informations relatives à un fichier doivent être comprises dans la liste du journal ou non. Ces options vous permettent de concevoir vos journaux d’analyse en fonction du type d’informations dont vous avez besoin. Vous pouvez enregistrer les informations qui concernent

■ Les fichiers infectés

■ Les fichiers propres dont l’examen a révélé l’absence de virus

■ Les fichiers ignorés et exclus de l’analyse

Cochez l’option Fichiers propres afin d’inclure dans le journal les informations relatives aux fichiers qui sont analysés et qui ne sont pas infectés. Cochez l’option Fichiers infectés afin d’inclure dans le journal les informations relatives aux fichiers qui sont infectés. Cochez l’option Fichiers ignorés afin d’inclure dans le journal les informations relatives aux fichiers qui ont été exclus de l’analyse.

La majorité des utilisateurs souhaitent uniquement enregistrer les fichiers infectés qui ont été détectés. Cependant, il se peut que votre entreprise ait besoin de conserver des enregistrements plus détaillés de l’activité d’analyse. Par exemple, il vous faudra peut-être un enregistrement vous permettant de savoir si un fichier a été analysé ou non. Si vous sélectionnez l’option Fichiers propres, tous les fichiers analysés par le détecteur de virus et ne présentant aucune infection sont répertoriés dans le journal. En consignant les informations relatives aux fichiers propres, vous disposez non seulement d’un enregistrement des fichiers infectés mais également d’un enregistrement indiquant qu’un fichier particulier a été examiné et qu’il ne présente aucune infection. De même, l’option Fichiers ignorés génère un enregistrement des fichiers qui ne sont pas examinés dans une analyse, notamment lorsque votre analyse est configurée pour ignorer un type spécifique d’extension de fichier.

Gestion des journaux

Par ailleurs, les informations collectées dans les journaux peuvent être utilisées pour évaluer les résultats et l’activité d’analyse à l’échelle de l’entreprise. Pour de plus amples informations sur ce sujet, reportez-vous au chapitre « Collecte d’informations sur les performances du système ».

Affichage et gestion des journaux 7–5

Gestion des journaux

Conservation des fichiers journaux

Les options de purge du journal vous permettent de déterminer combien de jours vos fichiers journaux sont conservés et affichés dans la fenêtre Affichage du journal. Dans la barre d’outils de la visionneuse du journal, cliquez sur le bouton Option de purge des journaux, sélectionnez l’option Supprimer tous les fichiers journaux datant de plus de et utilisez le champ Jours pour indiquer combien de jours vos fichiers journaux doivent être conservés. Lorsque le nombre de jours indiqué est écoulé, les fichiers journaux sont supprimés. Les administrateurs peuvent également disposer de cette option à partir de la fenêtre Affichage de l’administrateur.

Impression et suppression de journaux

Vous pouvez imprimer ou supprimer les journaux au moyen des options de la fenêtre Visionneuse du journal.

■ Pour imprimer un journal de la liste, cliquez dessus avec le bouton droit de la

souris puis sélectionnez l’option Imprimer le journal. L’interface graphique utilisateur du navigateur Web ne prend pas en charge l’option permettant d’imprimer les journaux.

■ Pour supprimer un journal de la liste, cliquez dessus avec le bouton droit de

la souris, puis sélectionnez l’option Supprimer.

■ Pour supprimer tous les journaux d’une catégorie, cliquez avec le bouton

droit sur la catégorie dans la liste de gauche et sélectionnez l’option Supprimer tout.

Journaux dans un format de base de données standard

Toutes les informations du journal sont stockées dans un répertoire DB, dans un format de fichier accessible par des outils de base de données standard, en utilisant les normes ODBC (Open DataBase Connectivity). Ce type de fichier journal est nommé selon le mois, le jour, l’année et l’heure de sa création, et il porte l’extension .DBF(.dbf dans les systèmes UNIX et OS X).

Identification de l’emplacement du répertoire des journaux

Pour rechercher le chemin et le nom du répertoire des journaux, démarrez eTrust Antivirus, dans le menu Analyseur, sélectionnez Options de l’analyseur local… et cliquez sur l’onglet Répertoire.

7–6 Manuel de l'administrateur

Collecte d’informations sur les performances du système

Sur les systèmes Windows, les fonctionnalités de mesure de performances informatiques vous permettent de collecter des informations sur l’activité antivirus afin d’analyser l’impact de cette activité au sein de votre entreprise. Vous pouvez utiliser les méthodes et fonctionnalités de collecte suivantes :

■ Collecte de journaux d’analyse au moyen de jobs planifiés

■ Utilitaire en mode commande pour les planificateurs ou scripts de connexion

■ Intégration de l’option TNG Data Transport

■ Accès aux informations des fichiers journaux en utilisant des bases de

données standard

■ Surveillance des statistiques temps réel au moyen du moniteur des

performances

■ Purge des enregistrements collectés

Vous pouvez créer des jobs planifiés en vue de collecter les journaux d’analyse à partir d’ordinateurs personnels ou de groupes d’ordinateurs appartenant au réseau. Les informations des journaux peuvent être collectées de façon globale ou incrémentielle. Ces données sont ensuite stockées dans un emplacement centralisé. En outre, vous pouvez utiliser l’option TNG Data Transport pour planifier et collecter les informations du journal.

Gestion des journaux

Toutes les informations du journal sont stockées dans un format de fichier accessible par les outils de base de données standard grâce à l’interface standardisée ODBC (Open DataBase Connectivity).

Surveillance de l’activité temps réel

Grâce à l’application standard PERFMON (moniteur des performances) sur Windows NT, Windows 2000 et Windows Server 2003, il vous est possible de surveiller l’activité antivirus temps réel.

Affichage et gestion des journaux 7–7

Gestion des journaux

Les activités temps réel suivantes peuvent être contrôlées par le Moniteur des performances au moyen de compteurs :

■ Infections par virus d’amorçage

■ Erreurs de désinfection

■ Virus d’amorçage désinfectés

■ Fichiers désinfectés

■ Fichiers supprimés

■ Virus détecté

■ Fichiers infectés

■ Fichiers déplacés

■ Fichiers renommés

■ Erreur d’analyse

■ Ordinateur analysé

■ Fichiers analysés

■ Fichiers analysés dans les archives

Pour de plus amples informations sur la surveillance de l’activité, reportez-vous à la documentation Windows consacrée au Moniteur de performances.

7–8 Manuel de l'administrateur

Chapitre

Utilisation de l’affichage de

l’administrateur

Un administrateur antivirus autorisé peut utiliser l’affichage de l’administrateur pour la gestion à distance de tous les aspects de eTrust Antivirus. Ce chapitre décrit l’utilisation de la fenêtre Affichage de l’administrateur et d’autres éléments pour l’administration de votre réseau antivirus.

Vous pouvez effectuer les opérations suivantes à partir de l’affichage de l’administrateur :

■ Gestion de l’organisation logique des ordinateurs et de leur accès par les

utilisateurs

■ Utilisation des fonctionnalités de sécurité pour contrôler l’accès aux

fonctionnalités de gestion à distance de l’affichage de l’administrateur

■ Gestion des options de messagerie grâce aux options Temps réel de

messagerie

■ Configuration et surveillance des règles sur l’ensemble du système

■ Gestion et diffusion des configurations à travers le réseau

■ Gestion de la découverte d’ordinateurs dans votre réseau antivirus

■ Configuration des ordinateurs proxy de distribution

■ Affichage des rapports

Les fonctionnalités de l’affichage de l’administrateur (serveur Admin, client administrateur) ne sont pas disponibles depuis des ordinateurs Windows 9x.

Utilisation de la fenêtre Affichage de l’administrateur

La fenêtre Affichage de l’administrateur fournit une interface de type Explorateur pour la gestion à distance des paramètres de configuration et des ordinateurs de votre réseau antivirus.

En tant qu’administrateur antivirus autorisé, vous contrôlez l’affichage de cette fenêtre. Seul un utilisateur autorisé peut accéder à cette fenêtre. Un utilisateur exécutant des analyses sur un ordinateur local n’a pas besoin de cette fenêtre. C’est pourquoi l’accès à cette option peut être limité et donc impossible pour la plupart des utilisateurs.

Utilisation de l’affichage de l’administrateur 8–1

Utilisation du serveur Admin

Pour les utilisateurs autorisés à accéder à l’affichage de l’administrateur, vous pouvez utiliser les droits d’accès pour définir le niveau de contrôle autorisé pour les utilisateurs.

La fenêtre Affichage de l’administrateur vous permet de gérer l’organisation, ou la configuration logique, de tous les ordinateurs de votre réseau qui exécutent des instances du logiciel antivirus de Computer Associates. Ceci vous permet de gérer les ordinateurs, de diffuser des règles et d’imposer des paramètres dans l’ensemble du réseau de façon efficace.

Utilisation du serveur Admin

Le serveur Admin garde une trace de toutes les instances du logiciel antivirus de Computer Associates exécutées sur des ordinateurs de votre réseau. Il stocke cette liste d’ordinateurs basée sur les sous-réseaux qu’il doit interroger. Il garde également une trace de l’état des comptes d’utilisateurs et de leurs droits d’accès. Grâce au processus de découverte, il surveille la présence d’ordinateurs et toute modification effectuée dans les paramètres de règles. L’ensemble de ces informations est ensuite rendu disponible via l’affichage de l’administrateur.

Considérations relatives à l’installation du serveur Admin

Pour donner à un ordinateur le statut de serveur Admin sous Windows, sélectionnez l’option serveur Admin. Sous UNIX, répondez par « o » lorsque que le système vous demande si vous souhaitez exécuter le serveur d’administration sur votre ordinateur. Sous OS X, sélectionnez Personnaliser dans la boîte de dialogue Easy Install et cochez Serveur administrative dans la boîte de dialogue Installation personnalisée.

Conservation des données du serveur Admin

Si vous réinstallez le serveur Admin, vous pouvez conserver les paramètres de configuration des règles et les informations du conteneur de l’arborescence de l’organisation stockés dans le serveur Admin.

8–2 Manuel de l'administrateur

Connexion au serveur Admin

Lorsque vous affichez la fenêtre Affichage de l’administrateur pour la première fois au cours d’une session, il vous est demandé de vous connecter à un serveur Admin. Vous devez indiquer le nom du serveur ainsi qu’un nom d’utilisateur et un mot de passe valides. Après la connexion, le serveur Admin est affiché dans la fenêtre Affichage de l’administrateur comme élément racine de la liste située sur le côté gauche de la fenêtre. Reportez-vous à la section « Utilisation des droits d’accès » pour plus d’informations sur les comptes d’utilisateurs.

Vous pouvez également utiliser le bouton Connexion au serveur Admin dans la barre d’outils de l’affichage de l’administrateur pour vous connecter à un serveur.

Remarque : Lorsque vous n’êtes pas connecté à un serveur Admin, rien n’est affiché dans la fenêtre Affichage de l’administrateur.

La figure suivante montre un exemple du serveur Admin sélectionné, avec des informations sommaires sur le serveur Admin à droite.

Utilisation du serveur Admin

Vous pouvez personnaliser les informations concernant l’administrateur en sélectionnant le bouton Gestionnaire du serveur Admin dans la barre d’outils.

Utilisation de l’affichage de l’administrateur 8–3

Utilisation du serveur Admin

Vous pouvez vous connecter à plusieurs serveurs Admin ; cependant l’arborescence de chaque serveur Admin est gérée séparément. Vous ne pouvez pas appliquer de paramètre de règles défini pour un serveur Admin à un ordinateur contrôlé par un autre serveur Admin.

Lorsque vous configurez votre réseau antivirus et vous connectez au serveur Admin pour la première fois, vous devez spécifier les sous-réseaux de votre réseau antivirus que le serveur Admin doit découvrir. Reportez-vous à la section « Utilisation des sous-réseaux » pour en savoir plus. Une fois les options de découverte du sous-réseau spécifiées, vous ou un utilisateur autorisé pouvez organiser les ordinateurs dans votre réseau antivirus.

Serveur Admin étendu

Lorsque vous vous connectez à un serveur Admin et que vous le développez, le côté gauche de la fenêtre Affichage de l’administrateur affiche les catégories suivantes :

■ Serveur Admin (catégorie racine)

■ Paramètres de configuration

■ Domaines hérités

■ Conteneur de l’arborescence de l’organisation

La figure suivante montre un exemple de catégorie racine du serveur Admin étendu.

Un utilisateur autorisé peut utiliser ces catégories pour configurer les paramètres des règles, gérer les ordinateurs hérités, créer des groupes logiques d’ordinateurs, ajouter et retirer des ordinateurs de l’arborescence de l’organisation et définir les droits d’accès.

Vous pouvez afficher les options disponibles en développant une catégorie de la liste à gauche de la fenêtre, en mettant en surbrillance un élément de la liste et en cliquant dessus avec le bouton droit de la souris. En outre, des informations relatives aux éléments de la liste sont affichées à droite. La barre d’outils et la barre de menus permettent également d’accéder aux options.

8–4 Manuel de l'administrateur

COMPUTER ASSOCIATES ETRUST ANTIVIRUS User Manual

Specifications and Main Features

Frequently Asked Questions

User Manual

Table des matières

Infection par un virus

Symptômes d’infection informatique

Conséquences d’une infection informatique

Types de virus

Caractéristiques des virus

Solution antivirus de Computer Associates

Mode de fonctionnement du logiciel antivirus de Computer Associates

Pourquoi avez-vous besoin d’une protection antivirus ?

Méthodes de protection

Protection de vos ordinateurs contre les infections

Composants du produit

Suggestions permettant de préserver vos ordinateurs de toute infection

Utilisation des affichages de fenêtre

Gestion de domaine NetWare

Options

Analyse d’infections inconnues

Mises à jour des signatures les plus récentes

Analyse heuristique

En cas d’infection

Présentation des mises à jour de signatures

Les mises à jour sont cumulatives

Pour les utilisateurs individuels

Pour les administrateurs antivirus

Automatiser votre distribution

Utilisation des options de mise à jour des signatures

Aucun temps d’arrêt pour les mises à jour

Options de mise à jour des signatures

Utilisation des options de planification

Télécharger maintenant

Activer le téléchargement planifié

Date et heure de téléchargement

Options Répéter

Utilisation des options Entrée

Effectuer un téléchargement rapide

Liste des sources de téléchargement

Utilisation des options de sélection de la source

Utilisation des options de sortie

Utilisation des options de redistribution

Gestion des mises à jour de signatures

Fonctionnement du processus de téléchargement

Fonctionnement de la liste des sources de téléchargement

Fonctionnement de la liste de signatures à télécharger

Surveillance des téléchargements de signatures

Utilisation des options d’analyse communes

Utilisation des options d’analyse

Options de l’onglet Analyse

Direction

Niveau de sécurité de l’analyse

Moteur d’analyse

Options de détection avancées

Options de traitement de l’infection

Utilisation des options de l’action de désinfection

Utilisation des options de sélection

Options de l’onglet Sélection

Objets à analyser

Fichiers ordinaires

Analyse des fichiers compressés

Types de fichiers compressés pris en charge

Options d’analyse de fichiers compressés

Ne pas analyser les fichiers migrés

Utilisation de l’analyseur en mode commande Inocmd32

Options de l’analyseur pour Inocmd32

Fonctionnalités de l’analyseur local

Accès à d’autres options depuis la fenêtre de l’analyseur local

Options de l’analyseur local

Fenêtre de l’analyseur local

Barre d’outils de l’analyseur local

Barre d’état

Liste des résultats de l’analyse

Utilisation des options d’affichage

Options de l’onglet Afficher

Unités et systèmes de fichiers

Utilisation des options de répertoire

Répertoires d’installation des versions précédentes

Emplacements de répertoire affichés