ESET MAIL SECURITY
POUR MICROSOFT EXCHANGE SERVER
Manuel d'installation et guide de l'utilisateur
Microsoft® Windows® Server 2003 / 2008 / 2008 R2 / 2012 / 2012 R2
Cliquez ici pour télécharger la dernière version de ce document.
ESET MAIL SECURITY
Copyright © 2015 par ESET, spol. s r.o.
ESET Mail Security a été développé par ESET, spol . s r.o.
Pour plus d'informa tions , vis itez www.eset.com.
Tous droi ts rés ervés . Aucune partie de cette documentati on ne peut être reprodui te,
stockée dans un s ystème d'archivage ou transmise s ous quelque forme ou par
quelque moyen que ce soi t, él ectronique, méca nique, photocopi e, enregis trement,
numé ris ation ou autre sans l 'autorisa tion écrite de l'aute ur.
ESET, spol . s r.o. se réserve le droit de modifier les applicati ons décrites s ans préavis .
Service client : www.eset.com/s upport
RÉV. 21/10/2015
Table des
.......................................................6Introduction1.
....................................................................................................6Nouveautés de la version 61.1
....................................................................................................7Pages d'aide1.2
....................................................................................................7Méthodes utilisées1.3
1.3.1
1.3.2
1.3.3
Protection de la base de données de boîtes aux
..............................................................................8
lettres
..............................................................................8Protection du transport des messages
..............................................................................8Analyse de base de données à la demande
....................................................................................................10Types de protection1.4
1.4.1
1.4.2
1.4.3
..............................................................................10Protection antivirus
..............................................................................10Protection antispam
..............................................................................11Application des règles définies par l'utilisateur
....................................................................................................11Interface utilisateur1.5
....................................................................................................12Gérés via ESET Remote Administrator1.6
1.6.1
1.6.2
1.6.3
1.6.4
1.6.5
..............................................................................12ERA Server
..............................................................................13Console Web
..............................................................................13Agent
..............................................................................14RD Sensor
..............................................................................14Proxy
.......................................................15Configuration système2.
.......................................................16Installation3.
....................................................................................................17Étapes d'installation d'ESET Mail Security3.1
....................................................................................................20Activation du produit3.2
....................................................................................................21Terminal Server3.3
....................................................................................................21ESET AV Remover3.4
Mise à niveau vers une version plus
3.5
....................................................................................................21
récente
Rôles Exchange Server - Comparaison
3.6
....................................................................................................22
entre Edge et Hub
....................................................................................................22Rôles Exchange Server 20133.7
Connecteur POP3 et protection
3.8
....................................................................................................22
antispam
.......................................................24Guide du débutant4.
....................................................................................................24Interface utilisateur4.1
....................................................................................................27Fichiers journaux4.2
....................................................................................................30Analyser4.3
4.3.1
....................................................................................................33Quarantaine de messages4.4
4.4.1
....................................................................................................36Mise à jour4.5
4.5.1
4.5.2
....................................................................................................40Configuration4.6
4.6.1
4.6.2
4.6.3
4.6.4
..............................................................................31Analyse Hyper-V
..............................................................................35Détails du message électronique mis en quarantaine
..............................................................................38Configuration de la mise à jour de la base des virus
..............................................................................40Configuration du serveur proxy pour les mises à jour
..............................................................................41Serveur
..............................................................................42Ordinateur
..............................................................................44Outils
..............................................................................45Importer et exporter les paramètres
....................................................................................................46Outils4.7
4.7.1
4.7.2
4.7.3
4.7.4
4.7.5
4.7.6
4.7.6.1
4.7.6.2
4.7.6.3
4.7.7
4.7.7.1
4.7.7.2
4.7.7.2.1
4.7.7.2.1.1
4.7.7.2.2
4.7.7.2.2.1
4.7.7.2.2.2
4.7.7.2.2.1
4.7.7.2.2.3
4.7.7.2.3
4.7.7.2.4
4.7.7.2.4.1
4.7.7.2.4.2
4.7.7.2.4.3
4.7.7.2.5
4.7.8
4.7.9
4.7.10
4.7.10.1
4.7.10.2
4.7.10.3
4.7.10.4
4.7.10.5
4.7.11
....................................................................................................81Aide et assistance4.8
4.8.1
4.8.1.1
4.8.1.2
4.8.1.3
4.8.1.4
4.8.1.5
4.8.2
4.8.3
4.8.4
4.8.5
4.8.5.1
4.8.5.2
4.8.5.3
4.8.5.4
4.8.5.5
..............................................................................47Processus en cours
..............................................................................49Surveiller l'activité
..............................................................................50ESET Log Collector
..............................................................................51Statistiques de protection
..............................................................................52Cluster
..............................................................................54Shell ESET
..................................................................................55Utilisation
..................................................................................59Commandes
..................................................................................61Fichiers de commandes/scripts
..............................................................................62ESET SysInspector
..................................................................................62Créer un rapport de l'état de l'ordinateur
..................................................................................62ESET SysInspector
........................................................................62Introduction à ESET SysInspector
........................................................................63Démarrage d'ESET SysInspector
........................................................................63Interface utilisateur et utilisation de l'application
........................................................................63Contrôles du programme
........................................................................65Navigation dans ESET SysInspector
........................................................................66Raccourcis clavier
........................................................................67Comparer
........................................................................68Paramètres de la ligne de commande
........................................................................69Script de service
........................................................................69Création d'un script de service
........................................................................69Structure du script de service
........................................................................72Exécution des scripts de services
........................................................................72FAQ
..............................................................................74ESET SysRescue Live
..............................................................................74Planificateur
..............................................................................78Soumettre les échantillons pour analyse
..................................................................................79Fichier suspect
..................................................................................79Site suspect
..................................................................................79Fichier faux positif
..................................................................................80Site faux positif
..................................................................................80Autre
..............................................................................80Quarantaine
..............................................................................82Procédures
..................................................................................82Comment mettre à jour ESET Mail Security
..................................................................................82Comment activer ESET Mail Security
..................................................................................83Comment créer une tâche dans le Planificateur
Comment programmer une tâche d'analyse (toutes
..................................................................................84
les 24 heures)
..................................................................................84Comment éliminer un virus de votre serveur
..............................................................................84Envoyer une demande d'assistance
..............................................................................85ESET Outil de nettoyage spécialisé
..............................................................................85À propos d'ESET Mail Security
..............................................................................86Activation du produit
..................................................................................86Enregistrement
..................................................................................86Activation de Security Admin
..................................................................................87Échec de l'activation
..................................................................................87Licence
..................................................................................87Progression de l'activation
4.8.5.6
.......................................................88Utilisation d'ESET Mail Security5.
....................................................................................................89Serveur5.1
5.1.1
5.1.1.1
5.1.2
5.1.3
5.1.4
5.1.4.1
5.1.4.2
5.1.4.3
5.1.5
5.1.5.1
5.1.5.1.1
5.1.5.1.1.1
5.1.5.1.1.2
5.1.6
5.1.7
5.1.7.1
5.1.8
5.1.8.1
5.1.8.2
5.1.8.3
5.1.9
5.1.9.1
5.1.9.1.1
5.1.9.1.2
5.1.9.2
5.1.9.2.1
5.1.9.2.2
5.1.9.3
5.1.10
5.1.10.1
5.1.10.2
5.1.10.3
5.1.10.4
....................................................................................................125Ordinateur5.2
5.2.1
5.2.2
5.2.3
5.2.4
5.2.5
5.2.6
5.2.6.1
5.2.6.1.1
5.2.6.1.2
5.2.6.2
5.2.6.2.1
..................................................................................87Activation réussie
..............................................................................90Configuration de la priorité des agents
..................................................................................90Modifier la priorité
..............................................................................90Configuration de la priorité des agents
..............................................................................91Antivirus et antispyware
..............................................................................92Protection antispam
..................................................................................93Filtrage et vérification
..................................................................................94Paramètres avancés
..................................................................................95Paramètres de mise en liste grise
..............................................................................97Règles
..................................................................................97Liste des règles
........................................................................98Assistant Règle
........................................................................99Condition de règle
........................................................................100Action de règle
Protection de la base de données de boîtes aux
..............................................................................101
lettres
..............................................................................102Protection du transport des messages
..................................................................................104Paramètres avancés
..............................................................................105Analyse de base de données à la dema nde
..................................................................................107Éléments de boîte aux lettres supplémentaires
..................................................................................107Serveur proxy
..................................................................................107Détails du compte d'analyse de base de données
..............................................................................108Quarantaine de messages
..................................................................................108Quarantaine locale
........................................................................109Stockage de fichiers
........................................................................110Interface Web
Boîte aux lettres de quarantaine et quarantaine MS
..................................................................................113
Exchange
Paramètres du gestionnaire de la mise en
........................................................................113
quarantaine
........................................................................114Serveur proxy
Détails du compte du gestionnaire de mise en
..................................................................................115
quarantaine
..............................................................................116Cluster
..................................................................................117Assistant Cluster - page 1
..................................................................................119Assistant Cluster - page 2
..................................................................................120Assistant Cluster - page 3
..................................................................................122Assistant Cluster - page 4
..............................................................................126Une infiltration est détectée
..............................................................................127Exclusions des processus
..............................................................................128Exclusions automatiques
..............................................................................128Cache local partagé
..............................................................................129Performances
..............................................................................129Protection en temps réel du système de fichiers
..................................................................................130Exclusions
........................................................................131Ajouter ou modifier une exclusion
........................................................................131Format d'exclusion
..................................................................................131Paramètres ThreatSense
........................................................................135Extensions exclues
5.2.6.2.2
5.2.6.2.3
5.2.6.2.4
5.2.6.2.5
5.2.6.2.6
5.2.6.2.7
5.2.6.2.8
5.2.6.2.9
5.2.7
5.2.7.1
5.2.7.2
5.2.7.3
5.2.7.4
5.2.7.5
5.2.8
5.2.9
5.2.9.1
5.2.10
5.2.11
5.2.12
5.2.12.1
5.2.12.1.1
5.2.12.2
5.2.12.2.1
....................................................................................................150Mettre à jour5.3
5.3.1
5.3.2
5.3.3
5.3.4
5.3.5
5.3.5.1
5.3.5.2
5.3.5.3
5.3.6
....................................................................................................160Internet et messagerie5.4
5.4.1
5.4.1.1
5.4.1.2
5.4.1.3
5.4.2
5.4.2.1
5.4.2.2
5.4.3
5.4.3.1
5.4.3.2
5.4.3.3
5.4.3.4
5.4.3.5
5.4.3.6
5.4.4
........................................................................135Autres paramètres ThreatSense
........................................................................135Niveaux de nettoyage
Quand faut-il modifier la configuration de la
........................................................................136
protection en temps réel
........................................................................136Vérification de la protection en temps réel
Que faire si la protection en temps réel ne fonctionne
........................................................................136
pas ?
........................................................................137Soumission
........................................................................137Statistiques
........................................................................137Fichiers suspects
..............................................................................138Analyse de l'ordinateur à la demande
..................................................................................138Lanceur d'analyses personnalisées
..................................................................................140Progression de l'analyse
..................................................................................141Gestionnaire de profils
..................................................................................142Cibles à analyser
..................................................................................142Suspendre une analyse planifiée
..............................................................................143Analyse en cas d'inactivité
..............................................................................144Analyse au démarrage
..................................................................................144Vérification automatique des fichiers de démarrage
..............................................................................144Supports amovibles
..............................................................................145Protection des documents
..............................................................................146HIPS
..................................................................................147Règles HIPS
........................................................................148Paramètres de règle HIPS
..................................................................................150Configuration avancée
........................................................................150Pilotes dont le chargement est toujours autorisé
..............................................................................152Paramètres avancés de mises à jour
..............................................................................153Mode de mise à jour
..............................................................................153Proxy HTTP
..............................................................................154Se connecter au reseau local en tant que
..............................................................................155Miroir
..................................................................................157Mise à jour à partir du miroir
..................................................................................159Fichiers miroir
..................................................................................159Dépannage des problèmes de miroir de mise à jour
..............................................................................159Comment créer des tâches de mise à jour
..............................................................................160Filtrage des protocoles
..................................................................................160Applications exclues
..................................................................................161Adresses IP exclues
..................................................................................161Clients Internet et de messagerie
..............................................................................161Contrôle de protocole SSL
..................................................................................162Communication SSL chiffrée
..................................................................................163Liste des certificats connus
..............................................................................163Protection du client de messagerie
..................................................................................164Protocoles de messagerie
..................................................................................165Alertes et notifications
..................................................................................165Barre d'outils MS Outlook
..................................................................................166Barre d'outils Outlook Express et Windows Mail
..................................................................................166Boîte de dialogue de confirmation
..................................................................................166Analyser à nouveau les messages
..............................................................................166Protection de l'accès Web
Table des
5.4.4.1
5.4.4.1.1
5.4.4.1.2
5.4.5
....................................................................................................171Contrôle de périphérique5.5
5.5.1
5.5.2
5.5.3
5.5.4
....................................................................................................175Outils5.6
5.6.1
5.6.1.1
5.6.2
5.6.3
5.6.4
5.6.4.1
5.6.4.2
5.6.5
5.6.6
5.6.6.1
5.6.6.2
5.6.6.3
5.6.7
5.6.8
5.6.8.1
5.6.9
5.6.10
5.6.11
5.6.12
....................................................................................................193Interface utilisateur5.7
5.7.1
5.7.2
5.7.2.1
5.7.2.2
5.7.3
5.7.4
5.7.5
5.7.6
5.7.6.1
5.7.6.2
5.7.7
5.7.7.1
5.7.8
..................................................................................167Gestion d'adresse URL
........................................................................168Créer une liste
........................................................................169Adresses HTTP
..............................................................................169Protection antihameçonnage
..............................................................................172Règles du contrôle des périphériques
..............................................................................173Ajout de règles de contrôle de périphérique
..............................................................................174Périphériques détectés
..............................................................................175Groupe de périphériques
..............................................................................176ESET Live Grid
..................................................................................177Filtre d'exclusion
..............................................................................177Quarantaine
..............................................................................178Microsoft Windows Update
..............................................................................178Fournisseur WMI
..................................................................................179Données fournies
..................................................................................184Accès aux données fournies
..............................................................................184Cibles à analyser ERA
..............................................................................185Fichiers journaux
..................................................................................185Filtrage des journaux
..................................................................................186Rechercher dans le journal
..................................................................................187Maintenance des journaux
..............................................................................188Serveur proxy
..............................................................................189Notifications par e-mail
..................................................................................190Format des messages
..............................................................................190Mode de présentation
..............................................................................191Diagnostics
..............................................................................191Service client
..............................................................................192Cluster
..............................................................................195Alertes et notifications
..............................................................................196Configuration de l'accès
..................................................................................197Mot de passe
..................................................................................197Configuration du mot de passe
..............................................................................197Aide
..............................................................................197Shell ESET
Désactivation de l'interface utilisateur graphique sur
..............................................................................198
Terminal Server
..............................................................................198États et messages désactivés
..................................................................................198Messages de confirmation
..................................................................................198États d’applica tion désactivés
..............................................................................199Icône dans la partie système de la barre des tâches
..................................................................................200Désactiver la protection
..............................................................................200Menu contextuel
5.10.5
5.10.6
5.10.7
5.10.8
5.10.9
5.10.10
5.10.11
....................................................................................................206Quarantaine5.11
5.11.1
5.11.2
5.11.3
....................................................................................................208Mises à jour du système d'exploitation5.12
.......................................................209Glossaire6.
....................................................................................................209Types d'infiltrations6.1
6.1.1
6.1.2
6.1.3
6.1.4
6.1.5
6.1.6
6.1.7
6.1.8
6.1.9
6.1.10
6.1.11
....................................................................................................213Courrier électronique6.2
6.2.1
6.2.2
6.2.3
6.2.4
6.2.4.1
6.2.4.2
6.2.4.3
6.2.4.4
6.2.4.5
..............................................................................203Planification de la tâche - Hebdomadairement
Planification de la tâche - Déclenchée par un
..............................................................................203
événement
..............................................................................204Détails de la tâche - Exécuter l'application
..............................................................................204Tâche ignorée
..............................................................................204Détails des tâches du planificateur
..............................................................................204Profils de mise à jour
..............................................................................205Création de nouvelles tâches
..............................................................................207Mise en quarantaine de fichiers
..............................................................................207Restauration depuis la quarantaine
..............................................................................207Soumission de fichiers de quarantaine
..............................................................................209Virus
..............................................................................209Vers
..............................................................................210Chevaux de Troie
..............................................................................210Rootkits
..............................................................................211Logiciels publicitaires
..............................................................................211Logiciels espions
..............................................................................211Compresseurs
..............................................................................212Bloqueur d'exploit
..............................................................................212Scanner de mémoire avancé
..............................................................................212Applications potentiellement dangereuses
..............................................................................212Applications potentiellement indésirables
..............................................................................213Publicités
..............................................................................213Canulars
..............................................................................214Hameçonnage
..............................................................................214Reconnaissance du courrier indésirable
..................................................................................214Règles
..................................................................................215Filtre bayésien
..................................................................................215Liste blanche
..................................................................................215Liste noire
..................................................................................216Contrôle côté serveur
Rétablir tous les paramètres de cette
5.8
....................................................................................................201
section
....................................................................................................201Rétablir les paramètres par défaut5.9
....................................................................................................202Planificateur5.10
5.10.1
5.10.2
5.10.3
5.10.4
..............................................................................203Détails de la tâche
..............................................................................203Planification de la tâche - Une fois
..............................................................................203Planification de la tâche
..............................................................................203Planification de la tâche - Quotidiennement
1. Introduction
ESET Mail Security 6 pour Microsoft Exchange Server est une solution intégrée qui protège les boîtes aux lettres de
différents types de contenu malveillant, y compris les pièces jointes infectées par des vers ou des chevaux de Troie,
les documents contenant des scripts malveillants, le hameçonnage et le courrier indésirable. ESET Mail Security
fournit trois types de protection : antivirus, antispam et règles définies par l'utilisateur. ESET Mail Security filtre le
contenu malveillant au niveau du serveur de messagerie, avant qu'il arrive dans la boîte de réception du
destinataire, sur le client.
ESET Mail Security prend en charge Microsoft Exchange Server versions 2003 et ultérieures, ainsi que Microsoft
Exchange Server dans un environnement en cluster. Dans les versions récentes (Microsoft Exchange Server 2003 et
versions ultérieures), les rôles spécifiques (mailbox, hub, edge) sont également pris en charge. Vous pouvez gérer
ESET Mail Security à distance dans des réseaux de grande taille grâce à ESET Remote Administrator.
ESET Mail Security fournit non seulement la protection de Microsoft Exchange Server, mais également tous les outils
nécessaires à la protection du serveur proprement dit (protection résidente, protection de l'accès à Internet et
protection du client de messagerie).
1.1 Nouveautés de la version 6
Gestionnaire de quarantaine de messages : l'administrateur peut inspecter les objets situés dans cette section de
stockage et choisir de les supprimer ou de les libérer. Cette fonctionnalité simplifie la gestion des messages
électroniques mis en quarantaine par l'agent de transport.
Interface Web Quarantaine de messages : version Web pouvant être utilisée à la place du gestionnaire de
quarantaine de messages.
Moteur antispam : ce composant essentiel a été repensé et est désormais développé en interne.
Analyse de base de données à la demande : l'analyseur de base de données à la demande utilise l'API des
services Web Exchange pour se connecter à Microsoft Exchange Server via les protocoles HTTP/HTTPS.
Règles : cette option de menu permet aux administrateurs de définir manuellement les conditions de filtrage des
messages électroniques et les actions à exécuter sur les messages électroniques filtrés. Les règles de la dernière
version d'ESET Mail Security ont été entièrement reconçues avec une approche différente.
ESET Cluster : à l'instar d'ESET File Security 6 pour Microsoft Windows Server, l'ajout de stations de travail à des
nœuds permet une automatisation supplémentaire de la gestion en raison de la distribution possible d'une
stratégie de configuration à tous les membres du cluster. La création de clusters est possible à l'aide du nœud
installé. Les clusters peuvent ensuite installer et initier tous les nœuds à distance. Les produits serveur d'ESET
peuvent communiquer les uns avec les autres et échanger des données (configuration et notifications, par
exemple), ainsi que synchroniser les données nécessaires pour le fonctionnement correct d'un groupe
d'instances de produit. Une même configuration du produit peut donc être utilisée pour tous les membres d'un
cluster. ESET Mail Security prend en charge les clusters de basculement Windows ou d'équilibrage de la charge
réseau. Vous pouvez également ajouter manuellement des membres ESET Cluster sans Cluster Windows
spécifique. Les clusters ESET Cluster fonctionnent dans les environnements de domaine et de groupe de travail.
Analyse du stockage : analyse tous les dossiers partagés sur le serveur local. Vous pouvez sélectionner facilement
pour l'analyse uniquement les données utilisateur stockées sur le serveur de fichiers.
Installation basée sur les composants : vous pouvez sélectionner les composants à ajouter ou supprimer.
Exclusions des processus - exclut des processus spécifiques de l'analyse antivirus à l'accès. En raison du rôle
essentiel que jouent les serveurs dédiés (serveur d'applications, serveur de stockage, etc.), des sauvegardes
régulières sont obligatoires pour garantir une reprise après incident dans les meilleurs délais. Pour accélérer les
sauvegardes et garantir l'intégrité du processus et la disponibilité du service, certaines techniques, qui entrent en
conflit avec la protection antivirus au niveau des fichiers, sont utilisées pendant les sauvegardes. Des problèmes
identiques peuvent se produire lors des migrations dynamiques de machines virtuelles. La seule solution efficace
pour éviter ces situations consiste à désactiver le logiciel antivirus. En excluant des processus spécifiques (ceux
6
de la solution de sauvegarde, par exemple), toutes les opérations sur les fichiers de ces processus exclus sont
ainsi ignorées et considérées comme étant sûres, ce qui limite l'interférence avec le processus de sauvegarde. Il
est recommandé de faire preuve de prudence lors de la création des exclusions. En effet, un outil de sauvegarde
qui a été exclus peut accéder à des fichiers infectés sans déclencher d'alerte. C'est d'ailleurs la raison pour
laquelle des autorisations étendues ne sont permises que dans le module de protection en temps réel.
ESET Log Collector : collecte automatiquement les informations telles que la configuration et les nombreux
journaux d'ESET Mail Security. En facilitant la collecte des informations de diagnostic, ESET Log Collector simplifie
le travail de résolution des problèmes pour les techniciens ESET.
eShell (ESET Shell) : eShell 2.0 est désormais disponible dans ESET Mail Security. eShell est une interface à ligne
de commande qui offre aux utilisateurs expérimentés et aux administrateurs des options plus complètes pour
gérer les produits serveur ESET.
Analyse Hyper-V : il s'agit d'une nouvelle technologie qui permet d'analyser les disques d'une machine virtuelle
sur Microsoft Hyper-V Server sans nécessiter le moindre agent sur cette machine virtuelle spécifique.
1.2 Pages d'aide
Cher utilisateur, bienvenue dans ESET Mail Security. Ce guide a pour objectif de vous aider à optimiser l'utilisation
de ESET Mail Security.
Les rubriques de ce guide sont divisées en plusieurs chapitres et sous-chapitres. Vous trouverez des informations
pertinentes en parcourant le Sommaire des pages d'aide. Vous pouvez également utiliser l'Index pour naviguer à
l'aide des mots-clés ou utiliser la Recherche en texte intégral.
Pour obtenir des informations sur une fenêtre du programme dans laquelle vous vous trouvez, appuyez simplement
sur la touche F1 du clavier. La page d'aide relative à la fenêtre actuellement affichée apparaîtra.
ESET Mail Security permet de rechercher une rubrique dans les pages d'aide au moyen de mots-clés ou en tapant
des mots ou des expressions depuis le guide de l'utilisateur. La différence entre ces deux méthodes est qu'un motclé peut être associé à des pages d'aide qui ne contiennent pas le mot-clé précis dans le texte. La recherche de mots
et expressions examine le contenu de toutes les pages et affiche uniquement les pages contenant effectivement le
mot ou l'expression en question.
1.3 Méthodes utilisées
Les trois méthodes suivantes sont utilisées pour analyser les messages électroniques :
Protection de la base de données de boîtes aux lettres : anciennement appelée analyse de boîtes aux lettres via
VSAPI. Ce type de protection est uniquement disponible pour Microsoft Exchange Server 2010, 2007 et 2003 avec
le rôle serveur de boîte aux lettres (Microsoft Exchange 2010 et 2007) ou serveur principal (Microsoft
Exchange 2003). Ce type d'analyse peut être effectué sur une seule installation de serveur avec plusieurs rôles
Exchange Server sur un ordinateur (s'il comprend le rôle de serveur de boîte aux lettres ou de serveur principal).
Protection du transport des messages : anciennement appelée filtrage de messages au niveau du serveur SMTP.
Cette protection est assurée par l'agent de transport et est uniquement disponible pour Microsoft Exchange
Server 2007 ou version ultérieure avec le rôle serveur de transport Edge ou serveur de transport Hub. Ce type
d'analyse peut être effectué sur une seule installation de serveur avec plusieurs rôles Exchange Server sur un
ordinateur (s'il comprend un des rôles de serveur indiqués).
Analyse de base de données à la demande : permet d'exécuter ou de planifier une analyse de la base de données
de boîtes aux lettres Exchange. Cette fonctionnalité est uniquement disponible pour Microsoft Exchange
Server 2007 ou version ultérieure avec le rôle serveur de boîte aux lettres ou serveur de transport Hub. Ce type
d'analyse s'applique également à une seule installation de serveur avec plusieurs rôles Exchange Server sur un
ordinateur (s'il comprend un des rôles de serveur indiqués). Pour plus d'informations sur les rôles
d'Exchange 2013, consultez Rôles Exchange Server 2013.
7
1.3.1 Protection de la base de données de boîtes aux lettres
L'analyse de boîtes aux lettres est déclenchée et contrôlée par le serveur Microsoft Exchange. Les messages stockés
dans la base de données du serveur Microsoft Exchange Server sont analysés en continu. En fonction de la version
de Microsoft Exchange Server, de la version de l'interface VSAPI et des paramètres définis par l'utilisateur, l'analyse
peut être déclenchée dans l'un des cas suivants :
lorsque l'utilisateur accède à sa messagerie, dans un client de messagerie par exemple (les messages sont
toujours analysés avec la dernière base des signatures de virus) ;
en arrière-plan, lorsque l'utilisation du serveur Microsoft Exchange Server est faible ;
de manière proactive (en fonction de l'algorithme interne de Microsoft Exchange Server).
L'interface VSAPI est utilisée pour l'analyse antivirus et la protection basée sur les règles.
1.3.2 Protection du transport des messages
Le filtrage de messages au niveau du serveur SMTP est assuré par un plugin spécialisé. Dans Microsoft Exchange
Server 2000 et 2003, ce plugin (récepteur d'événements) est enregistré sur le serveur SMTP dans le cadre des services
IIS (Internet Information Services). Dans Microsoft Exchange Server 2007/2010, le plugin est enregistré en tant
qu'agent de transport dans les rôles Edge ou Hub du serveur Microsoft Exchange.
Le filtrage au niveau du serveur SMTP effectué par un agent de transport offre une protection sous la forme de
règles antivirus, antispam et définies par l'utilisateur. Contrairement au filtrage VSAPI, le filtrage au niveau du
serveur SMTP est effectué avant l'arrivée des messages analysés dans la boîte aux lettres Microsoft Exchange
Server.
1.3.3 Analyse de base de données à la demande
Comme l'exécution d'une analyse de base de données de messagerie complète peut entraîner une charge système
indésirable, vous pouvez choisir quelles bases de données et quelles boîtes aux lettres analyser. Vous pouvez filtrer
les cibles à analyser en spécifiant l'horodatage des messages à analyser afin de limiter l'impact sur les ressources
système du serveur.
Les types d'élément suivants sont analysés dans les dossiers publics et les boîtes aux lettres des utilisateurs :
Courrier électronique
Publication
Éléments de calendrier (réunions/rendez-vous)
Tâches
Contacts
Journal
Vous pouvez utiliser la liste déroulante pour sélectionner les messages à analyser en fonction de leur horodatage
(les messages modifiés au cours de la semaine dernière, par exemple). Vous avez également la possibilité
d'analyser tous les messages, si cela s'avère nécessaire.
Cochez la case située en regard de l'option Analyser le corps des messages pour activer ou désactiver l'analyse du
corps des messages.
Cliquez sur Modifier pour sélectionner le dossier public à analyser.
8
9
Cochez les cases en regard des bases de données et des boîtes aux lettres du serveur à analyser. Le filtrage vous
permet de retrouver rapidement les bases de données et les boîtes aux lettres, tout particulièrement si votre
infrastructure Exchange contient un grand nombre de boîtes aux lettres.
Cliquez sur Enregistrer pour enregistrer les cibles à analyser et les paramètres dans le profil d'analyse à la demande.
1.4 Types de protection
Il existe trois types de protection :
Protection antivirus
Protection antispam
Application des règles définies par l'utilisateur
1.4.1 Protection antivirus
La protection antivirus est l'une des fonctions de base d'ESET Mail Security. La protection antivirus vous prémunit
des attaques contre le système en contrôlant les échanges de fichiers et de courrier, ainsi que les communications
Internet. Si une menace comportant un code malveillant est détectée, le module Antivirus peut l'éliminer en la
bloquant dans un premier temps, puis en la nettoyant, en la supprimant ou en lamettant en quarantaine.
1.4.2 Protection antispam
La protection antispam intègre plusieurs technologies (RBL, DNSBL, empreintes digitales, vérification de la
réputation, analyse de contenu, filtre bayésien, règles, création manuelle de liste blanche/noire, etc.) afin
d'optimiser la détection des menaces par courrier électronique. Le moteur d'analyse antispam génère la
probabilité, exprimée sous forme de pourcentage (0 à 100) selon laquelle un message donné peut être un courrier
indésirable.
ESET Mail Security peut également utiliser la méthode de mise en liste grise (désactivée par défaut) du filtrage du
courrier indésirable. Cette méthode repose sur la spécification RFC 821 : le protocole SMTP étant considéré comme
étant non fiable, chaque agent de transfert de message doit réessayer plusieurs fois de livrer un message
électronique en cas de défaillance temporaire de livraison. La plupart des messages indésirables sont remis une
seule fois à une liste importante d'adresses électroniques générée automatiquement. La mise en liste grise calcule
une valeur de contrôle (hachage) pour l'adresse de l'expéditeur, l'adresse du destinataire et l'adresse IP de l'agent
de transfert de message chargé de l'envoi. Si le serveur ne parvient pas à détecter la valeur de contrôle du triplet
10
dans sa base de données, il refuse le message et renvoie un code de défaillance temporaire (par exemple 451). Un
serveur légitime essaie de renvoyer le message après une période définie qui peut être variable. La valeur de
contrôle triplet est stockée dans la base de données des connexions vérifiées lors de la deuxième tentative, ce qui
permet ensuite de transférer correctement tout autre message ayant les mêmes caractéristiques.
1.4.3 Application des règles définies par l'utilisateur
La protection basée sur les règles permet d'effectuer des analyses à l'aide de VSAPI et de l'agent de transport.
L'interface utilisateur ESET Mail Security permet de créer différentes règles qui peuvent être combinées. Si une
règle utilise plusieurs conditions, ces dernières sont liées à l'aide de l'opérateur logique AND. Par conséquent, la
règle n'est exécutée que si toutes ses conditions sont remplies. Si plusieurs règles sont créées, l'opérateur logique
OR est appliqué, ce qui signifie que le programme exécute la première règle dont les conditions sont remplies.
Dans la séquence d'analyse, la première technique utilisée est la mise en liste grise, si elle est activée. Les
procédures suivantes utilisent toujours les techniques suivantes : protection basée sur des règles définies par
l'utilisateur, suivie d'une analyse antivirus et enfin d'une analyse antispam.
1.5 Interface utilisateur
ESET Mail Security dispose d'une interface utilisateur graphique très intuitive. Elle permet d'accéder très facilement
aux principales fonctions du programme.
Outre l'interface utilisateur principale, une fenêtre Configuration avancée est accessible depuis tous les
emplacements du programme par l'intermédiaire de la touche F5.
Depuis la fenêtre Configuration avancée, vous pouvez configurer les paramètres et les options en fonction de vos
besoins. Le menu situé à gauche se compose des catégories suivantes : . Certaines des catégories comportent des
sous-catégories. Lorsque vous cliquez sur un élément (catégorie ou sous-catégorie) dans le menu de gauche, les
paramètres correspondant à cet élément s'affichent dans le volet de droite.
Pour plus d'informations sur l'interface utilisateur graphique, cliquez ici.
11
1.6 Gérés via ESET Remote Administrator
ESET Remote Administrator (ERA) est une application qui permet de gérer les produits ESET de manière centralisée
dans un environnement réseau. Le système de gestion des tâches ESET Remote Administrator permet d'installer les
solutions de sécurité ESET sur des ordinateurs distants et de réagir rapidement face aux nouveaux problèmes et
menaces. ESET Remote Administrator n'offre pas de protection contre les codes malveillants ; le produit repose sur
la présence de la solution de sécurité ESET sur chaque client.
Les solutions de sécurité ESET prennent en charge les réseaux qui comprennent plusieurs types de plateformes.
Votre réseau peut comprendre une combinaison de systèmes d'exploitation Microsoft, Linux et OS X et de systèmes
d'exploitation qui s'exécutent sur des périphériques mobiles (téléphones mobiles et tablettes).
L'illustration suivante montre un exemple d'architecture pour un réseau protégé par les solutions de sécurité ESET
gérées par ERA :
REMARQUE : pour plus d'informations sur ERA, reportez-vous à l'aide en ligne d'ESET Remote Administrator.
1.6.1 ERA Server
ESET Remote Administrator Server est un composant principal d'ESET Remote Administrator. Il s'agit de l'application
d'exécution qui traite toutes les données reçues des clients se connectant à cette dernière (par le biais d'ERA
Agent). ERA Agent facilite la communication entre le client et le serveur. Les données (journaux clients,
configuration, réplication de l'agent et autres) sont stockées dans une base de données. Pour traiter correctement
les données, ERA Server requiert une connexion stable à un serveur de base de données. Pour optimiser les
performances, nous vous conseillons d'installer le serveur ERA et la base de données sur des serveurs distincts.
L'ordinateur sur lequel ERA Server est installé doit être configuré pour accepter toutes les connexions Agent/Proxy/
RD Sensor qui sont vérifiées à l'aide de certificats. Après l'installation d'ERA Server, vous pouvez ouvrir ERA Web
Console qui se connecte à ERA Server (comme le montre le diagramme). À partir de la console Web, toutes les
opérations d'ERA Server sont effectuées lors de la gestion des solutions de sécurité ESET dans votre environnement.
12
1.6.2 Console Web
ERA Web Console est une application dotée d'une interface utilisateur Web qui présente les données d'ERA Server
et permet de gérer les solutions de sécurité ESET dans votre environnement. La console Web est accessible à l'aide
d'un navigateur. Elle affiche une vue d'ensemble de l'état des clients sur le réseau et peut être utilisée pour
déployer à distance les solutions ESET sur des ordinateurs non gérés. Si vous choisissez de rendre accessible le
serveur Web à partir d'Internet, vous pouvez alors utiliser ESET Remote Administrator à partir de la plupart des
emplacements ou périphériques disposant d'une connexion Internet active.
Voici le tableau de bord de la console Web :
La barre supérieure de la console Web contient l'outil Recherche rapide. Dans le menu déroulant, sélectionnez Nom
de l'ordinateur, Adresse IPv4/IPv6 ou Nom de la menace, saisissez votre chaîne de recherche dans le champ de
texte, puis cliquez sur le symbole de loupe ou appuyez sur la touche Entrée pour lancer la recherche. Vous êtes
alors redirigé vers la section Groupes qui affiche les résultats de la recherche (client ou liste de clients). Tous les
clients sont gérés par le biais de la console Web. Vous pouvez avoir accès à la console à l'aide des périphériques et
des navigateurs les plus courants.
REMARQUE : pour plus d'informations, reportez-vous à l'aide en ligne d'ESET Remote Administrator.
1.6.3 Agent
ERA Agent est un composant essentiel du produit ESET Remote Administrator. Un produit ESET sur une machine
client (ESET Endpoint security pour Windows, par exemple) communique avec ERA Server par le biais de l'agent.
Cette communication permet de gérer les produits ESET sur tous les clients distants à partir d'un seul emplacement.
L'Agent collecte les informations sur le client et les envoie au serveur. Si le serveur envoie une tâche destinée au
client, celle-ci est envoyée à l'Agent qui l'envoie à son tour au client. Toutes les communications réseau ont lieu
entre l'Agent et la partie supérieure du réseau ERA, à savoir le serveur et le proxy.
ESET Agent utilise l'une des trois méthodes suivantes pour se connecter au serveur :
1. L'Agent du client est directement connecté au serveur.
2. L'Agent du client est connecté par le biais d'un proxy connecté au serveur.
3. L'Agent du client est connecté au serveur par le biais de plusieurs proxys.
13
ESET Agent communique avec les solutions ESET installées sur un client, collecte les informations des programmes
du client et transmet les informations de configuration reçues du serveur au client.
REMARQUE : ESET Proxy possède son propre Agent qui gère toutes les tâches de communication entre les clients,
les autres proxys et le serveur.
1.6.4 RD Sensor
RD (Rogue Detection) Sensor est un outil de recherche des ordinateurs sur le réseau. RD Sensor est un composant
d'ESET Remote Administrator qui est conçu pour détecter les ordinateurs sur votre réseau. Il offre un moyen
pratique d'ajouter de nouveaux ordinateurs à ESET Remote Administrator sans avoir à les rechercher et à les ajouter
manuellement. Tous les ordinateurs détectés sur votre réseau sont affichés dans la console Web. À ce stade, vous
pouvez effectuer d'autres actions sur chaque ordinateur client.
RD Sensor est un écouteur passif qui détecte les ordinateurs qui se trouvent sur le réseau et envoie des
informations sur ces derniers à ERA Server. ERA Server évalue ensuite si les ordinateurs trouvés sur le réseau sont
inconnus ou déjà gérés.
1.6.5 Proxy
ERA Proxy est un autre composant d'ESET Remote Administrator qui a un double objectif. Dans le cas d'un réseau
d'entreprise de taille moyenne qui comprend de nombreux clients (10 000 clients ou plus), ERA Proxy peut servir à
répartir la charge entre plusieurs ERA Proxy, et décharger ainsi le serveur principal ERA Server. L'autre avantage du
proxy ERA, c'est que vous pouvez l'utiliser dans le cadre d'une connexion de qualité médiocre à une filiale distante.
Cela signifie qu'ERA Agent sur chaque client ne se connecte pas directement à ERA Server, mais par le biais d'ERA
Proxy qui se trouve sur le même réseau local de la filiale. Il libère ainsi la liaison de la filiale. ERA Proxy accepte les
connexions de tous les ERA Agents locaux, regroupe leurs données et les télécharge sur le serveur principal ERA
Server (ou un autre ERA Proxy). Votre réseau peut ainsi prendre en charge davantage de clients sans compromettre
les performances du réseau et des requêtes de base de données.
Selon votre configuration réseau, le proxy ERA peut se connecter à un autre proxy ERA, puis au serveur ERA.
Pour qu'ERA Proxy fonctionne correctement, l'ordinateur hôte sur lequel vous avez installé ERA Proxy doit disposer
d'un ESET Agent et être connecté au niveau supérieur (ERA Server ou ERA Proxy supérieur, le cas échéant) du
réseau.
REMARQUE : pour obtenir un exemple de scénario de déploiement d'ERA Proxy, reportez-vous à l'aide en ligne
d'ESET Remote Administrator.
14
2. Configuration système
Systèmes d'exploitation pris en charge :
Microsoft Windows Server 2003 (x86 et x64)
Microsoft Windows Server 2003 R2 (x86 et x64)
Microsoft Windows Server 2008 (x86 et x64)
Microsoft Windows Server 2008 R2
Microsoft Windows Server 2012
Microsoft Windows Server 2012 R2
Microsoft Windows Small Business Server 2003 (x86)
Microsoft Windows Small Business Server 2003 R2 (x86)
Microsoft Windows Small Business Server 2008 (x64)
Microsoft Windows Small Business Server 2011 (x64)
Versions de Microsoft Exchange Server 2003 prises en charge :
Microsoft Exchange Server 2003 SP1, SP2
Microsoft Exchange Server 2007 SP1, SP2, SP3
Microsoft Exchange Server 2010 SP1, SP2, SP3
Microsoft Exchange Server 2013 CU2, CU3, CU4 (SP1), CU5, CU6, CU7, CU8
Microsoft Exchange Server 2016
La configuration matérielle dépend de la version du système d'exploitation utilisée. Il est recommandé de prendre
connaissance de la documentation Microsoft Windows Server pour plus d'informations sur la configuration
matérielle.
15
3. Installation
Après l'achat d'ESET Mail Security, le programme d'installation peut être téléchargé à partir du site web d'ESET
(www.eset.com) sous forme de package .msi.
Veuillez noter que vous devez exécuter le programme d'installation avec le compte Administrateur intégré. Aucun
autre utilisateur, même membre du groupe Administrateurs, ne disposera de droits d'accès suffisants. Vous devez
donc utiliser un compte Administrateur intégré dans la mesure où vous ne parviendrez à effectuer l'installation avec
aucun autre compte qu'Administrateur.
Il est possible d'exécuter le programme d'installation de deux façons :
Vous pouvez vous connecter localement à l'aide des informations d'identification du compte Administrateur et
simplement exécuter le programme d'installation
Vous pouvez être connecté avec un autre compte d'utilisateur, mais vous devez ouvrir l'invite de commande avec
Exécuter en tant que... et taper les informations d'identification du compte Administrateur pour que cmd
s'exécute en tant qu'Administrateur, puis taper la commande pour exécuter le programme d'installation (par
exemple, msiexec /i mais vous devez remplacer par le nom de fichier précis du programme d'installation msi que
vous avez téléchargé)
Une fois que vous avez lancé le programme d'installation et accepté les termes du Contrat de Licence Utilisateur
Final (CLUF), l'assistant d'installation vous guide tout au long de la procédure d'installation. Si vous refusez les
termes du Contrat de Licence, l'assistant s'interrompt.
Terminer
Il s'agit du type d'installation recommandé. Il installe toutes les fonctionnalités d'ESET Mail Security. Lorsque vous
choisissez ce type d'installation, vous devez uniquement spécifier les dossiers dans lesquels installer le produit.
Vous pouvez également accepter les dossiers d'installation par défaut prédéfinis (recommandé). Le programme
d'installation installe ensuite automatiquement toutes les fonctionnalités du programme.
Personnalisé
L'installation personnalisée vous permet de choisir les fonctionnalités du programme ESET Mail Security à installer
sur votre système. Vous sélectionnez les fonctionnalités/composants à installer dans une liste classique.
Outre l'assistant d'installation, vous pouvez choisir d'installer ESET Mail Security de manière silencieuse par le biais
d'une ligne de commande. Ce type d'installation ne demande aucune intervention de l'utilisateur, contrairement à
l'assistant d'installation. Il s'avère utile pour automatiser ou simplifier l'installation. Ce type d'installation est
également appelé installation sans assistance car il ne demande aucune action de la part de l'utilisateur.
Installation silencieuse/sans assistance
Effectuez l'installation à l'aide de la ligne de commande : msiexec /i <nom_package> /qn /l*xv msi.log
REMARQUE : Il est fortement recommandé, dans la mesure du possible, d'installer ESET Mail Security sur un
système d'exploitation récemment installé et configuré. Toutefois, si vous n'avez pas besoin de l'installer sur un
système existant, la meilleure solution consiste à désinstaller la version antérieure de ESET Mail Security, de
redémarrer le serveur et d'installer ensuite la nouvelle version de ESET Mail Security.
REMARQUE: si vous avez déjà utilisé un autre logiciel antivirus tiers sur votre système, nous vous recommandons
de le désinstaller complètement avant d'installer ESET Mail Security. Vous pouvez pour cela utiliser ESET AV
Remover qui simplifie la désinstallation.
16
3.1 Étapes d'installation d'ESET Mail Security
Suivez ces étapes pour installer ESET Mail Security à l'aide de l'assistant d'installation :
Une fois les termes du CLUF acceptés, sélectionnez l'un des types d'installation suivants :
Complète : permet d'installer toutes les fonctionnalités d'ESET Mail Security. Il s'agit du type d'installation
recommandé.
Personnalisée : permet de sélectionner les fonctionnalités d'ESET Mail Security à installer sur votre système.
17
Installation complète :
Également appelée installation intégrale. Tous les composants ESET Mail Security sont installés. Vous êtes invité à
sélectionner l'emplacement d'installation d'ESET Mail Security. Par défaut, le programme s'installe dans le dossier C:
\Program Files\ESET\ESET Mail Security. Cliquez sur Parcourir pour changer d'emplacement (non recommandé).
Installation personnalisée :
Ce type d'installation permet de sélectionner les fonctionnalités à installer. Il s'avère utile lorsque vous souhaitez
personnaliser ESET Mail Security et installer uniquement les composants dont vous avez besoin.
Vous pouvez ajouter ou supprimer des composants inclus dans l'installation. Pour ce faire, exécutez le fichier
d'installation .msi que vous avez utilisé lors de l'installation initiale ou accédez à Programmes et fonctionnalités
18
(accessible à partir du Panneau de configuration Windows), cliquez avec le bouton droit sur ESET Mail Security, puis
sélectionnez Modifier. Suivez ces étapes pour ajouter ou supprimer des composants.
Procédure de modification des composants (Ajouter/supprimer), réparation et suppression :
Trois options sont disponibles : Vous pouvez modifier les composants installés, réparer votre installation d'ESET
Mail Security ou la supprimer (désinstaller) entièrement.
Si vous sélectionnez l'option Modifier, la liste des composants disponibles s'affiche. Choisissez les composants à
ajouter ou à supprimer. Vous pouvez ajouter/supprimer simultanément plusieurs composants. Cliquez sur le
composant et sélectionnez une option dans le menu déroulant :
Après avoir sélectionné une option, cliquez sur Modifier pour effectuer les modifications.
19
REMARQUE : vous pouvez modifier à tout moment les composants installés en exécutant le programme
d'installation. Pour la plupart des composants, un redémarrage du serveur n'est pas nécessaire pour prendre en
compte la modification. L'interface utilisateur redémarre et seuls les composants que vous avez choisi d'installer
sont visibles. Pour les composants qui nécessitent un redémarrage du serveur, Windows Installer vous demande de
redémarrer le serveur. Les nouveaux composants seront disponibles une fois que le serveur sera en ligne.
3.2 Activation du produit
Une fois l'installation terminée, vous êtes invité à activer le produit.
Sélectionnez l'une des méthodes disponibles pour activer ESET Mail Security. Pour plus d'informations, reportezvous à la section Comment activer ESET Mail Security.
Une fois ESET Mail Security activé, la fenêtre principale du programme s'ouvre et affiche l'état actuel dans la page
Supervision.
La fenêtre principale du programme affiche également des notifications sur d'autres éléments tels que les mises à
jour du système (Windows Update) ou les mises à jour de la base des signatures de virus. Lorsque vous avez
répondu à tous ces points, l'état de surveillance devient vert et indique Protection maximale.
20
3.3 Terminal Server
Si vous installez ESET Mail Security sur un serveur Windows Server agissant comme Terminal Server, vous
souhaiterez peut-être désactiver l'interface utilisateur graphique ESET Mail Security afin d'empêcher son démarrage
à chaque connexion de l'utilisateur. Reportez-vous à la section Désactivation de l'interface utilisateur graphique sur
Terminal Server pour accéder aux étapes de désactivation.
3.4 ESET AV Remover
Pour supprimer/désinstaller un logiciel antivirus tiers de votre système, nous vous recommandons d'utiliser ESET
AV Remover. Pour ce faire, procédez comme suit :
1. Téléchargez ESET AV Remover à partir du site Web ESET Page de téléchargement des utilitaires.
2. Cliquez sur I accept, start search (J'accepte, lancer la recherche) pour accepter le contrat de l'utilisateur final
(CLUF) et démarrer la recherche sur le système.
3. Cliquez sur Launch uninstaller (Lancer le programme de désinstallation) pour supprimer le logiciel antivirus
installé.
Pour obtenir la liste des logiciels antivirus tiers qu'ESET AV Remover peut supprimer, consultez cet article de la base
de connaissances.
3.5 Mise à niveau vers une version plus récente
Les nouvelles versions d'ESET Mail Security offrent des améliorations ou apportent des solutions aux problèmes que
les mises à jour automatiques des modules ne peuvent pas résoudre. Il est possible d'effectuer une mise à niveau à
partir d'anciennes versions d'ESET Mail Security (versions 4.5 et antérieure), même s'il s'agit d'une mise à niveau
vers une architecture différente. Vous disposez de deux méthodes pour effectuer la mise à niveau vers une version
plus récente :
Manuellement, en téléchargeant la nouvelle version et en l'installant sur la version existante. Exécutez le
programme d'installation et effectuez une installation de la manière habituelle. ESET Mail Security transfère
automatiquement la configuration existante, avec toutefois quelques exceptions (voir la remarque ci-dessous).
À distance, dans un environnement réseau, via ESET Remote Administrator.
Important : certaines exceptions s'appliquent lors de la mise à niveau : tous les paramètres ne sont pas
conservés, notamment les règles. En effet, les règles ont été entièrement reconçues dans ESET Mail Security 6 avec
une approche différente. Les règles des versions précédentes d'ESET Mail Security ne sont pas compatibles avec
celles d'ESET Mail Security version 6. Il est recommandé de configurer manuellement les règles, ce qui peut
également vous aider.
Vous trouverez ci-dessous la liste des paramètres qui sont conservés des versions précédentes d'ESET Mail Security:
Configuration générale d'ESET Mail Security
Paramètres de protection antispam
Tous les paramètres identiques dans les versions précédentes ; les nouveaux paramètres utilisent les valeurs
par défaut.
Listes blanches et noires
REMARQUE : une fois le produit ESET Mail Security mis à niveau, il est recommandé d'examiner tous les
paramètres pour vérifier qu'ils sont correctement configurés et qu'ils répondent à vos besoins.
21
3.6 Rôles Exchange Server - Comparaison entre Edge et Hub
Par défaut, les fonctionnalités antispam sont désactivées sur les serveurs de transport Edge et Hub. Cette
configuration est à privilégier dans une organisation Exchange avec serveur de transport Edge. Il est recommandé
que le serveur de transport Edge exécute le filtrage antispam ESET Mail Security sur les messages avant leur
transmission dans l'organisation Exchange.
Le rôle Edge reste toutefois l'emplacement privilégié de l'analyse antispam, car il permet à ESET Mail Security de
rejeter les courriers indésirables dans les premières phases du processus sans charger inutilement les couches
réseau. Dans cette configuration, les messages entrants sont filtrés par ESET Mail Security sur le serveur de transport
Edge, afin qu'ils puissent être envoyés en toute sécurité au serveur de transport Hub sans nécessiter de filtrage
supplémentaire.
Si votre organisation n'utilise pas de serveur de transport Edge et ne dispose que d'un serveur de transport Hub, il
est recommandé d'activer les fonctionnalités antispam de ce dernier qui reçoit via SMTP les messages entrants
provenant d'Internet.
3.7 Rôles Exchange Server 2013
L'architecture d'Exchange Server 2013 est différente de celle des versions précédentes de Microsoft Exchange.
Depuis la version Exchange 2013, la mise à jour cumulative CU4 (qui correspond en fait au SP1 d'Exchange 2013) a
réintroduit le rôle de serveur de transport Edge.
Si vous comptez protéger Microsoft Exchange 2013 avec ESET Mail Security, veillez à installer ESET Mail Security sur
un système exécutant Microsoft Exchange 2013 avec le rôle de serveur de messagerie ou de transport Edge.
Il existe toutefois une exception si vous envisagez d'installer ESET Mail Security sur Windows SBS (Small Business
Server) ou si Microsoft Exchange 2013 est installé sur un serveur avec plusieurs rôles. Dans ce cas, tous les rôles
Exchange s'exécutent sur un même serveur. Par conséquent, ESET Mail Security offre une protection complète qui
comprend les serveurs de messagerie.
Si vous installez ESET Mail Security sur un système exécutant uniquement le rôle de serveur d'accès au client
(serveur CAS dédié), les fonctionnalités les plus importantes de ESET Mail Security sont désactivées, notamment
celles de serveur de messagerie. Dans ce cas, seuls la protection en temps réel du système de fichiers et certains
composants appartenant à la protection de l'ordinateur fonctionnent. Les serveurs de messagerie ne sont donc pas
protégés. Pour cette raison, il n'est pas recommandé d'installer ESET Mail Security sur un serveur avec le rôle de
serveur d'accès au client. Cela ne s'applique pas à Windows SBS (Small Business Server) et Microsoft Exchange avec
plusieurs rôles sur un même serveur, comme indiqués plus haut.
REMARQUE: en raison des restrictions techniques de Microsoft Exchange 2013, ESET Mail Security ne prend pas en
charge le rôle de serveur d'accès au client (CAS). Cela ne s'applique pas à Windows SBS (Small Business Server) et
Microsoft Exchange 2013 installé sur un serveur avec tous les rôles de serveur. Dans ce cas, vous pouvez exécuter
ESET Mail Security avec le rôle de serveur d'accès au client sur le serveur, car le serveur de messagerie et le serveur
de transport Edge sont protégés.
3.8 Connecteur POP3 et protection antispam
Les versions de Microsoft Windows Small Business Server (SBS) contiennent un connecteur POP3 intégré natif qui
permet au serveur de récupérer les messages électroniques des serveurs POP3 externes. La mise en œuvre de ce
connecteur POP3 natif de Microsoft varie selon la version de Microsoft Windows Small Business Server.
ESET Mail Security prend en charge le connecteur POP3 de Microsoft SBS, à condition qu'il soit configuré
correctement. Les messages téléchargés via le connecteur POP3 de Microsoft sont analysés pour rechercher la
présence de courrier indésirable. La protection antispam de ces messages est possible, car le connecteur POP3
transfère les messages électroniques d'un compte POP3 vers Microsoft Exchange Server via SMTP.
ESET Mail Security a été testé avec des services de messagerie courants, tels que Gmail.com, Outlook.com,
Yahoo.com, Yandex.com et gmx.de, sur les systèmes SBS suivants :
22
Microsoft Windows Small Business Server 2003 R2
Microsoft Windows Small Business Server 2008
Microsoft Windows Small Business Server 2011
Important : si vous utilisez le connecteur POP3 intégré de Microsoft SBS et si tous les messages électroniques
sont analysés pour rechercher la présence de courrier électronique, accédez à Configuration avancée, Serveur >
Protection du transport des messages > Paramètres avancés. Pour le paramètre Analyser également les messages
reçus des connexions authentifiées ou internes, sélectionnez Analyser par protection antivirus et antispyware dans
la liste déroulante. La protection antispam est ainsi assurée pour les messages récupérés des comptes POP3.
Vous pouvez également utiliser un connecteur POP3 tiers tel que P3SS (au lieu du connecteur POP3 intégré de
Microsoft SBS). ESET Mail Security a été testé sur les systèmes suivants (avec le connecteur P3SS récupérant les
messages de Gmail.com, Outlook.com, Yahoo.com, Yandex.com et gmx.de) :
Microsoft Windows Small Business Server 2003 R2
Microsoft Windows Server 2008 avec Exchange Server 2007
Microsoft Windows Server 2008 R2 avec Exchange Server 2010
Microsoft Windows Server 2012 R2 avec Exchange Server 2013
23
4. Guide du débutant
Ce chapitre présente ESET Mail Security, les principaux éléments du menu, les fonctionnalités et les paramètres de
base.
4.1 Interface utilisateur
La fenêtre principale d'ESET Mail Security est divisée en deux sections principales. La fenêtre principale de droite
affiche les informations correspondant à l'option sélectionnée dans le menu principal à gauche.
Les différentes sections du menu principal sont décrites ci-dessous :
Supervision - Fournit des informations sur l'état de protection d'ESET Mail Security, la validité de la licence, la
dernière mise à jour de la base des signatures de virus, les statistiques et les informations système.
Fichiers journaux - Permettent d'accéder aux fichiers journaux qui contiennent des informations sur tous les
événements importants du programme qui se sont produits. Ces fichiers présentent les menaces détectées, ainsi
que d'autres événements concernant la sécurité.
Analyse - Permet de configurer et de lancer l'analyse du stockage, l'analyse intelligente, l'analyse personnalisée ou
l'analyse de supports amovibles. Vous pouvez également répéter la dernière analyse effectuée.
Mise à jour - Affiche des informations sur la base des signatures de virus et vous informe lorsqu'une mise à jour est
disponible. L'activation du produit peut également être effectuée depuis cette section.
Configuration - Vous pouvez ajuster les paramètres de sécurité du serveur et de l'ordinateur.
Outils - Fournit des informations supplémentaires sur votre système et sur la protection, outre les outils qui
permettent de mieux gérer votre sécurité. La section Outils comprend les éléments suivants : Processus en cours,
Surveiller l'activité, ESET Log Collector, statistiques de protection, Cluster, ESET Shell, ESET SysInspector, ESET
SysRescue Live pour créer un CD ou un stockage USB de secours, et Planificateur. Vous pouvez également soumettre
un échantillon pour analyse et consulter la quarantaine.
Aide et assistance - Permet d'accéder aux fichiers d'aide, à la base de connaissances ESET et à d'autres outils
d'assistance. Des liens sont également proposés pour ouvrir une requête auprès du service client et pour accéder à
des informations sur l'activation du produit.
24
L'écran État de la protection vous informe sur le niveau actuel de protection de l'ordinateur. L'icône verte d'état
Protection maximale indique qu'une protection maximale est assurée.
La fenêtre d'état contient également des liens rapides vers les fonctionnalités fréquemment utilisées dans ESET
Mail Security et des informations sur la dernière mise à jour.
25
Que faire lorsque le programme ne fonctionne pas correctement ?
Une coche verte s'affiche en regard des modules qui fonctionnent correctement. Un point d'exclamation rouge ou
une icône de notification orange s'affiche à côté des modules qui ne fonctionnent pas correctement. Des
informations supplémentaires sur le module s'affichent dans la partie supérieure de la fenêtre. Une suggestion de
solution pour corriger le module est également affichée. Pour changer l'état d'un module, cliquez sur Configuration
dans le menu principal puis sur le module souhaité.
L'icône rouge indique des problèmes critiques ; la protection maximale de votre ordinateur n'est pas
assurée. Cet état s'affiche dans les cas suivants :
Protection antivirus et antispyware désactivée - Vous pouvez réactiver la protection antivirus et antispyware en
cliquant sur Activer la protection en temps réel dans le volet État de la protection ou sur Activer la protection
antivirus et antispyware dans le volet Configuration de la fenêtre principale du programme.
Vous utilisez une base des signatures de virus obsolète.
Le produit n'est pas activé.
Votre licence a expiré - Cette information est indiquée par l'icône d'état de protection qui devient rouge. Le
programme ne peut plus effectuer de mise à jour après expiration de la licence. Nous vous recommandons de
suivre les instructions de la fenêtre d'alerte pour renouveler la licence.
L'icône orange indique que votre produit ESET nécessite votre attention en raison d'un problème non
critique. Les raisons possibles sont les suivantes :
La protection de l'accès Web est désactivée - Vous pouvez réactiver la protection de l'accès Web en cliquant sur la
notification de sécurité, puis sur Activer la protection de l'accès Web.
Votre licence va arriver prochainement à expiration - Cette information est donnée par l'icône d'état de
protection qui affiche un point d'exclamation. Après l'expiration de votre licence, le programme ne peut plus se
26
mettre à jour et l'icône d'état de la protection devient rouge.
Si vous ne parvenez pas à résoudre le problème à l'aide des solutions suggérées, cliquez sur Aide et assistance pour
accéder aux fichiers d'aide ou pour effectuer des recherches dans la base de connaissances ESET. Si vous avez besoin
d'aide, vous pouvez envoyer une requête à l'assistance client d'ESET. Le service client ESET répondra très
rapidement à vos questions et vous permettra de trouver une solution.
Pour afficher l'état de la protection, cliquez sur l'option en haut du menu principal. La fenêtre principale affiche un
résumé de l'état de fonctionnement d'ESET Mail Security et un sous-menu avec deux options apparaît : Surveiller
l'activité et Statistiques. Sélectionnez l'une de ces options pour afficher des informations détaillées sur votre
système.
Lorsque ESET Mail Security fonctionne correctement, l'état de protection apparaît en vert. Si l'attention est requise,
l'icône apparaît en orange ou en rouge.
Cliquez sur Surveiller l'activité pour afficher un graphique en temps réel de l'activité du système de fichiers (axe
horizontal). L'axe vertical représente les données lues (ligne bleue) et les données écrites (ligne rouge).
Le sous-menu Statistiques permet d'afficher le nombre d'objets infectés, nettoyés et propres d'un module défini.
Vous pouvez choisir différents modules dans la liste déroulante.
4.2 Fichiers journaux
Les fichiers journaux contiennent tous les événements importants qui se sont produits et fournissent un aperçu des
menaces détectées. Les journaux sont essentiels pour l'analyse système, la détection de menaces et le dépannage.
La consignation est toujours active en arrière-plan sans interaction de l'utilisateur. Les informations sont
enregistrées en fonction des paramètres de détail. Il est possible de consulter les messages texte et les journaux
directement à partir de l'environnement ESET Mail Security ou de les exporter vers d'autres programmes.
27
Vous pouvez accéder aux fichiers journaux depuis la fenêtre principale du programme en cliquant sur Fichiers
journaux. Sélectionnez le type de journal à partir du menu déroulant. Les journaux suivants sont disponibles :
Menaces détectées - Le journal des menaces contient des informations sur les infiltrations détectées par les
modules ESET Mail Security. Ces informations comprennent l'heure de détection, le nom de l'infiltration,
l'emplacement, l'action exécutée et le nom de l'utilisateur connecté au moment où l'infiltration a été détectée.
Double-cliquez sur une entrée du journal pour afficher son contenu dans une fenêtre distincte.
Événements - Toutes les actions importantes exécutées par ESET Mail Security sont enregistrées dans le journal
des événements. Le journal des événements contient des informations sur les événements qui se sont produits
dans le programme. Il permet aux administrateurs système et aux utilisateurs de résoudre des problèmes. Ces
informations peuvent souvent contribuer à trouver une solution à un problème qui s'est produit dans le
programme.
Analyse de l'ordinateur - Tous les résultats des analyses sont affichés dans cette fenêtre. Chaque ligne
correspond à un seul contrôle d'ordinateur. Double-cliquez sur une entrée pour afficher les détails de l'analyse
correspondante.
HIPS - Contient des entrées de règles spécifiques qui sont marquées pour enregistrement. Le protocole affiche
l'application qui a appelé l'opération, le résultat (si la règle a été autorisée ou bloquée), ainsi que le nom de la
règle créée.
Sites Web filtrés - Liste des sites Web bloqués par la protection de l'accès Web. Ces journaux permettent de voir
l'heure, l'URL, l'utilisateur et l'application ayant ouvert une connexion au site Web en question.
Contrôle de périphérique - Contient des enregistrements des supports amovibles ou périphériques qui ont été
connectés à l'ordinateur. Seuls les périphériques auxquels correspond une règle de contrôle de périphérique
seront enregistrés dans le fichier journal. Si la règle ne correspond pas à un périphérique connecté, aucune
entrée de journal ne sera créée pour un périphérique connecté. Des détails figurent également tels que le type
de périphérique, le numéro de série, le nom du fournisseur et la taille du support (le cas échéant).
Analyse de base de données - Contient la version de la base des signatures de virus, la date, l'emplacement
analysé, le nombre d'objets analysés, le nombre de menaces détectées, le nombre d'applications des règles et
l'heure d'achèvement.
Protection du serveur de messagerie - Tous les messages classés par ESET Mail Security comme courrier
indésirable ou courrier indésirable probable sont enregistrés ici. Ces journaux s'appliquent aux types de
protection suivants : antispam, règles et antivirus.
Mise en liste grise - Tous les messages qui ont été évalués à l'aide de la méthode de mise en liste grises sont
enregistrés dans ce journal.
Dans chaque section, vous pouvez copier les informations affichées dans chaque section dans le Presse-papiers (à
l'aide du raccourci clavier Ctrl + C) en sélectionnant l'entrée souhaitée, puis en cliquant sur le bouton Copier. Pour
sélectionner plusieurs entrées, vous pouvez utiliser les touches CTRL et MAJ.
Cliquez sur l'icône de commutateur Filtrage pour ouvrir la fenêtre Filtrage des journaux dans laquelle vous
pouvez définir les critères de filtrage.
28
Vous pouvez afficher le menu contextuel d'une entrée en cliquant avec le bouton droit sur celle-ci. Le menu
contextuel permet d'accéder aux options suivantes :
Afficher - Affiche des détails supplémentaires sur le journal sélectionné dans une nouvelle fenêtre (identique à
un double-clic).
Filtrer les enregistrements identiques - Cette option active le filtrage des journaux et affiche uniquement les
enregistrements du même type que celui sélectionné.
Filtrer... - Après avoir cliqué sur cette option, la fenêtre Filtrage des journaux permet de définir des critères de
filtrage pour des entrées de journal spécifiques.
Activer le filtre - Active les paramètres du filtre. La première fois que vous filtrez les journaux, vous devez définir
vos critères de filtrage. Une fois les filtres définis, ils restent identiques jusqu'à leur modification.
Copier - Copie les informations des entrées sélectionnées/en surbrillance dans le Presse-papiers.
Copier tout - Copie les informations de toutes les entrées de la fenêtre.
Supprimer - Supprime les entrées sélectionnées/en surbrillance. Cette action requiert des privilèges
d'administrateur.
Supprimer tout - Supprime toutes les entrées de la fenêtre. Cette action requiert des privilèges d'administrateur.
Exporter... - Exporte les informations des entrées sélectionnées/en surbrillance dans un fichier XML.
Exporter tout... - Exporte toutes les informations de la fenêtre dans un fichier XML.
Rechercher... - Ouvre la fenêtre Rechercher dans le journal qui permet de définir des critères de recherche.
Fonctionne sur le contenu qui a déjà été filtré pour limiter les résultats.
Rechercher suivant - Recherche l'occurrence suivante d'une recherche précédemment définie (au-dessus).
Rechercher précédent - Recherche l'occurrence précédente d'une recherche précédemment définie (au-dessus).
Dérouler le journal - Laissez cette option activée pour que les anciens journaux défilent automatiquement et pour
consulter les journaux actifs dans la fenêtre Fichiers journaux.
29
4.3 Analyser
L'analyseur à la demande est un composant important d'ESET Mail Security. Il permet d'analyser des fichiers et des
répertoires de votre ordinateur. Pour votre sécurité, il est essentiel que l'ordinateur soit analysé non seulement en
cas de suspicion d'une infection, mais aussi régulièrement dans le cadre de mesures de sécurité routinières. Nous
vous recommandons d'effectuer des analyses en profondeur de votre système de façon régulière (une fois par
mois, par exemple) afin de détectés les virus qui ne l'ont pas été par la protection en temps réel du système de
fichiers. Cela peut se produire si la protection en temps réel du système de fichiers est désactivée au moment de
l'infection, si la base des signatures de virus n'est plus à jour ou si le fichier n'a pas été détecté comme virus lors de
son enregistrement sur le disque.
Deux types d'analyses de l'ordinateur sont disponibles. L'analyse intelligente analyse le système sans exiger de
reconfiguration des paramètres d'analyse. L'analyse personnalisée permet de sélectionner l'un des profils d'analyse
prédéfinis et de sélectionner des cibles spécifiques à analyser.
Reportez-vous au chapitre sur la progression de l'analyse pour plus d'informations sur le processus d'analyse.
Analyse du stockage
Analyse tous les dossiers partagés sur le serveur local. Si l'option Analyse du stockage n'est pas disponible, cela
signifie qu'aucun dossier partagé ne se trouve sur le serveur.
Analyse Hyper-V
Cette option s'affiche dans le menu uniquement si Hyper-V Manager est installé sur le serveur qui exécute ESET
Mail Security. L'analyse Hyper-V permet d'analyser les disques d'une machine virtuelle sur un serveur Microsoft
Hyper-V sans que le moindre agent ne soit installé sur cette machine virtuelle spécifique. Pour plus d'informations,
reportez-vous à la section Analyse Hyper-V.
30
Analyse intelligente
L'analyse intelligente permet de lancer rapidement une analyse de l'ordinateur et de nettoyer les fichiers infectés
sans intervention de l'utilisateur. L'analyse intelligente présente l'intérêt d'être facile à utiliser et de ne pas
nécessiter de configuration détaillée. L'analyse intelligente vérifie tous les fichiers des disques locaux, et nettoie
ou supprime automatiquement les infiltrations détectées. Le niveau de nettoyage est automatiquement réglé sur
sa valeur par défaut. Pour plus d'informations sur les types de nettoyage, reportez-vous à la section Nettoyage.
Analyse personnalisée
L'analyse personnalisée est une solution optimale si vous souhaitez spécifier des paramètres d'analyse tels que les
cibles et les méthodes d'analyse. Elle a l'avantage de permettre la configuration précise des paramètres. Les
configurations peuvent être enregistrées dans des profils d'analyse définis par l'utilisateur, qui sont utiles pour
effectuer régulièrement une analyse avec les mêmes paramètres.
Pour sélectionner des cibles à analyser, sélectionnez Analyse de l'ordinateur > Analyse personnalisée, puis
sélectionnez une option dans le menu déroulant Cibles à analyser ou sélectionnez des cibles spécifiques dans
l'arborescence. Une cible à analyser peut également être spécifiée en indiquant le chemin d'accès au dossier ou aux
fichiers à inclure. Si vous souhaitez effectuer uniquement une analyse du système sans actions de nettoyage
supplémentaires, sélectionnez Analyse sans nettoyage. Lors d'une analyse, vous pouvez effectuer un choix parmi
trois niveaux de nettoyage en cliquant sur Configuration > Paramètres ThreatSense > Nettoyage.
L'exécution d'analyses personnalisées de l'ordinateur n'est recommandée qu'aux utilisateurs chevronnés qui
maîtrisent l'utilisation de programmes antivirus.
Analyse de supports amovibles
Semblable à l'analyse intelligente, ce type d'analyse lance rapidement une analyse des supports amovibles (par ex.
CD/DVD/USB) qui sont connectés à l'ordinateur. Cela peut être utile lorsque vous connectez une clé USB à un
ordinateur et que vous souhaitez l'analyser pour y rechercher les logiciels malveillants et autres menaces
potentielles.
Pour lancer ce type d'analyse, vous pouvez aussi cliquer sur Analyse personnalisée, puis sélectionner Supports
amovibles dans le menu déroulant Cibles à analyser et cliquer sur Analyser.
Répéter la dernière analyse
Exécute la dernière analyse (analyse du stockage, analyse intelligente, analyse personnalisée, etc.) avec les mêmes
paramètres.
REMARQUE : nous recommandons d'exécuter une analyse d'ordinateur au moins une fois par mois. L'analyse peut
être configurée comme tâche planifiée dans Outils > Planificateur.
4.3.1 Analyse Hyper-V
L'analyse antivirus Hyper-V permet d'analyser les disques d'un serveur Microsoft Hyper-V, c'est-à-dire d'une
machine virtuelle, sans que le moindre agent ne soit installé sur cette machine virtuelle spécifique. L'antivirus est
installé en utilisant les privilèges d'administrateur du serveur Hyper-V.
L'analyse Hype-V est issue du module d'analyse de l'ordinateur à la demande, tandis que certaines fonctionnalités
n'ont pas été mises en œuvre (analyse du secteur d'amorçage - seront mises en œuvre ultérieurement, comme
l'analyse de la mémoire vive.
Systèmes d'exploitation pris en charge
Windows Server 2008 R2 - Il est possible d'analyser les machines virtuelles fonctionnant sous ce système
d'exploitation uniquement lorsqu'elles sont hors ligne
Windows Server 2012
Windows Server 2012 R2
Configuration matérielle requise
31
Le serveur ne doit pas être confronté à des problèmes de performance lorsqu'il exécute des machines virtuelles.
L'analyse en elle-même utilise principalement uniquement les ressources du processeur.
En cas d'analyse de machines virtuelles en ligne, il est nécessaire de disposer d'un espace libre sur le disque.
L'espace libre sur le disque (pouvant être utilisé) doit être au moins deux fois supérieur à l'espace utilisé par les
captures d'écran et les disques virtuels.
La machine virtuelle à analyser est hors ligne (désactivée)
Nous détectons les disques du système d'exploitation de la machine virtuelle à l'aide d'Hyper-V Management et de
la prise en charge de disques virtuels et nous nous y connectons. De cette manière, nous accédons de la même
manière au contenu des disques que lorsque nous accédons aux fichiers d'un disque dur standard.
La machine virtuelle à analyser est en ligne (en cours d'exécution, en pause, enregistrée)
Nous détectons les disques du système d'exploitation de la machine virtuelle à l'aide d'Hyper-V Management et de
la prise en charge de disques virtuels. La connexion générique aux disques n'est pas disponible pour l'instant. Par
conséquent, nous créons une capture d'écran de la machine virtuelle et nous l'utilisons pour nous connecter aux
disques en mode de lecture seule. La capture d'écran est ensuite supprimée au terme de l'analyse.
La création d'une capture d'écran est une opération lente qui peut prendre de quelques secondes à une minute. Ce
détail doit être pris en compte lors de l'application d'une analyse Hyper-V à un nombre de machines virtuelles plus
important.
REMARQUE : jusqu'à présent, l'analyse Hyper-V est uniquement une analyse en mode de lecture seule, tant pour
une machine virtuelle en ligne que hors ligne. Le nettoyage des infiltrations détectées sera uniquement mise en
œuvre ultérieurement.
Nomenclature
Le module de l'analyse Hyper-V doit respecter la nomenclature suivante :
VirtualMachineName\DiskX\VolumeY
X représentant le nombre de disques et Y le nombre de volumes.
Par ex. : « Computer\Disk0\Volume1 ».
Le suffixe du nombre est ajouté en fonction de l'ordre de détection, qui est identique à l'ordre que l'on retrouve
dans le Gestionnaire de disques de la machine virtuelle.
Cette nomenclature est utilisée dans la liste arborescente des cibles à analyser, dans la barre de progression et dans
les fichiers journaux.
Exécution d'une analyse
Il est possible d'exécuter une analyse de 3 manières :
À la demande - Si vous cliquez sur l'option Analyse Hyper-V dans le menu de ESET Mail Security, une liste des
machines virtuelles disponibles (le cas échéant) à analyser va s'afficher. Il s'agit d'une liste arborescente dans
laquelle l'entité du niveau le plus bas est un volume, ce qui signifie qu'il n'est pas possible de sélectionner un
répertoire ou un fichier à analyser, étant donné que l'intégralité du volume doit être analysée.
Afin de dresser la liste des volumes disponibles, nous devons nous connecter au(x) disque(s) virtuels (s)
particulier(s), ce qui peut prendre quelques secondes. Par conséquent, une action plus rapide consiste à marquer
la machine virtuelle ou son/ses disques(s) à analyser.
Dès que vous avez marqué les machines virtuelles, les disques ou les volumes à analyser, cliquez sur le bouton
Analyser.
Via le planificateur
Via ERA en tant que tâche de client appelée Analyse du serveur. L'entité du niveau le plus bas à analyser est un
disque d'une machine virtuelle.
Il est possible d'exécuter simultanément plusieurs analyses Hyper-V.
Une notification vous avertira de la fin de l'analyse et vous pourrez prendre connaissance des détails d'une analyse
réalisée en suivant un lien Afficher les fichiers journaux. Tous les journaux d'analyse sont disponibles dans la
section Fichiers journaux de ESET Mail Security, mais vous devez sélectionner l'analyse Hyper-V dans le menu
déroulant afin d'afficher les journaux associés.
32
Problèmes éventuels
Lors de l'exécution de l'analyse d'une machine virtuelle en ligne, une capture d'écran de cette machine virtuelle
doit être créée. Par ailleurs, au cours de la création d'une capture d'écran, il se peut que certaines actions
génériques de la machine virtuelle soient limitées ou désactivées.
Dans le cas où une machine virtuelle est analysée, elle ne peut pas être activée avant la fin de l'analyse.
Hyper-V Manager vous permet de donner un nom identique à deux machines virtuelles, ce qui peut s'avérer
problématique pour différentier les machines pendant la consultation des journaux d'analyse.
4.4 Quarantaine de messages
Le gestionnaire de quarantaine de messages est disponible pour les trois types de quarantaine :
Quarantaine locale
Boîte aux lettres de quarantaine
Quarantaine MS Exchange
REMARQUE : l'interface Web Quarantaine de messages est une solution que vous pouvez utiliser à la place du
gestionnaire de quarantaine de messages pour gérer les objets de message électronique mis en quarantaine.
Filtrage
o Intervalle de temps : vous pouvez sélectionner l'intervalle de temps pendant lequel les messages
électroniques sont affichés (1 semaine par défaut). Lorsque vous modifiez l'intervalle de temps, les éléments
de quarantaine de messages sont automatiquement rechargés.
o Filtrer : vous pouvez utiliser la zone de texte de filtrage pour filtrer les messages électroniques affichés (toutes
les colonnes font l'objet d'une recherche).
REMARQUE : les données du gestionnaire de quarantaine de messages ne sont pas automatiquement mises à
jour. Il est recommandé de cliquer régulièrement sur l'icône d'actualisation pour afficher les éléments les plus
récents dans la quarantaine de messages.
33
Action
o Libérer : libère le message électronique pour le ou les destinataires d'origine à l'aide du répertoire de lecture et
le supprime de la quarantaine. Cliquez sur Oui pour confirmer l'action.
o Supprimer : supprime l'élément de la quarantaine. Cliquez sur Oui pour confirmer l'action.
Détails du message mis en quarantaine : double-cliquez sur le message mis en quarantaine ou cliquez avec le
bouton droit et sélectionnez Détails. Une fenêtre indépendante s'ouvre alors. Elle contient des détails sur le
message électronique mis en quarantaine. Des informations supplémentaires sur le courrier électronique figurent
également dans l'en-tête de courrier électronique RFC.
Ces actions sont également disponibles dans le menu contextuel. Si vous le souhaitez, cliquez sur Libérer,
Supprimer ou Supprimer définitivement pour exécuter une action sur un message électronique mis en quarantaine.
Cliquez sur Oui pour confirmer l'action. Si vous choisissez Supprimer définitivement, le message est également
supprimé du système de fichiers, contrairement à l'option Supprimer qui supprime l'élément de la vue du
gestionnaire de quarantaine de messages.
34
4.4.1 Détails du message électronique mis en quarantaine
Cette fenêtre contient les informations suivantes sur le message électronique : Type, Motif, Objet, Expéditeur,
Destinataires SMTP, À, Cc, Date, Pièces jointes et En-têtes. Vous pouvez sélectionner les en-têtes, les copier et les
coller en cas de besoin.
Vous pouvez exécuter une action sur le message électronique mis en quarantaine à l'aide des boutons suivants :
o Libérer : libère le message électronique pour le ou les destinataires d'origine à l'aide du répertoire de lecture et
le supprime de la quarantaine. Cliquez sur Oui pour confirmer l'action.
o Supprimer : supprime l'élément de la quarantaine. Cliquez sur Oui pour confirmer l'action.
Cliquez sur le bouton Annuler pour fermer la fenêtre Détails du message électronique mis en quarantaine.
35
4.5 Mise à jour
La mise à jour régulière d'ESET Mail Security est la meilleure méthode pour conserver le niveau maximum de
sécurité de votre ordinateur. Le module de mise à jour veille à ce que le programme soit toujours à jour de deux
façons : en mettant à jour la base des signatures de virus et en mettant à jour les composants système.
En cliquant sur Mettre à jour dans la fenêtre principale du programme, vous pouvez connaître l'état actuel de la
mise à jour, notamment la date et l'heure de la dernière mise à jour. Vous pouvez également savoir si une mise à
jour est nécessaire. La fenêtre Mise à jour contient également la version de la base des signatures de virus. Cette
indication numérique est un lien actif vers le site Web d'ESET, qui répertorie toutes les signatures ajoutées dans
cette mise à jour.
Pour commencer le processus de mise à jour, cliquez sur Mettre à jour maintenant. La mise à jour de la base des
signatures de virus et celle des composants du programme sont des opérations importantes de la protection totale
contre les attaques des codes malveillants.
Dernière mise à jour réussie - Date de la dernière mise à jour. Vérifiez qu'il s'agit d'une date récente indiquant que
la base des signatures de virus est à jour.
Version de la base des signatures de virus : numéro de la base des signatures de virus ; il s'agit également d'un lien
actif vers le site Web d'ESET. Cliquez ici pour afficher la liste de toutes les signatures ajoutées dans une mise à jour.
36
Processus de mise à jour
Lorsque vous avez cliqué sur Mettre à jour maintenant, le processus de téléchargement commence et la progression
de la mise à jour s'affiche. Pour interrompre la mise à jour, cliquez sur Annuler la mise à jour.
Important : dans des circonstances normales, lorsque les mises à jour sont téléchargées correctement, le message
Mise à jour non nécessaire - la base des signatures de virus installée est à jour s'affiche dans la fenêtre Mise à jour.
Si ce n'est pas le cas, le programme n'est pas à jour et le risque d'infection est accru. Veillez à mettre à jour la base
des signatures de virus dès que possible. Dans d'autres circonstances, l'un des messages d'erreur suivants s'affiche :
La base des signatures de virus n'est plus à jour - Cette erreur apparaît après plusieurs tentatives infructueuses
de mise à jour de la base des signatures de virus. Nous vous conseillons de vérifier les paramètres de mise à
jour. Cette erreur provient généralement de l'entrée incorrecte de données d'authentification ou de la
configuration incorrecte des paramètres de connexion.
La notification précédente concerne les deux messages Échec de la mise à jour de la base des signatures de virus sur
les mises à jour infructueuses :
Licence non valide - La clé de licence n'a pas été correctement saisie lors de la configuration des mises à jour.
Nous vous recommandons de vérifier vos données d'authentification. La fenêtre Configuration avancée
(appuyez sur la touche F5 de votre clavier) contient d'autres options de mise à jour. Dans le menu principal,
cliquez sur Aide et assistance > Gérer la licence pour saisir une nouvelle clé de licence.
Une erreur s'est produite pendant le téléchargement des fichiers de mise à jour - Cette erreur peut être due à
des paramètres de connexion Internet incorrects. Nous vous recommandons de vérifier votre connectivité à
Internet en ouvrant un site Web dans votre navigateur. Si le site Web ne s'ouvre pas, cela est probablement dû
au fait qu'aucune connexion à Internet n'est établie ou que votre ordinateur a des problèmes de connectivité.
Consultez votre fournisseur de services Internet si vous n'avez pas de connexion Internet active.
REMARQUE : pour plus d'informations, consultez cet article de la base de connaissances ESET.
37
4.5.1 Configuration de la mise à jour de la base des virus
La mise à jour de la base des signatures de virus et celle des composants du programme sont des opérations
importantes qui assurent la protection totale contre les attaques des codes malveillants. Il convient donc d'apporter
une grande attention à leur configuration et à leur fonctionnement. Dans le menu principal, accédez à Mettre à jour,
puis cliquez sur Mettre à jour maintenant pour rechercher toute nouvelle base des signatures.
38
Vous pouvez configurer les paramètres de mise à jour dans la fenêtre Configuration avancée (appuyez sur la touche
F5 du clavier). Pour configurer les options avancées de mise à jour telles que le mode de mise à jour, l'accès au
serveur proxy, la connexion LAN et les paramètres de copie de signature de virus (miroir), cliquez sur Mettre à jour
dans la fenêtre Configuration avancée située à gauche. En cas de problème de mise à jour, cliquez sur Effacer le
cache pour effacer le dossier de mise à jour temporaire. Le menu Serveur de mise à jour est défini par défaut sur
SÉLECTION AUTOMATIQUE. L'option SÉLECTION AUTOMATIQUE signifie que le serveur de mise à jour à partir duquel
les mises à jour des signatures de virus sont téléchargées est sélectionné automatiquement. Il est recommandé de
conserver cette option par défaut. Si vous ne souhaitez pas afficher les notifications de la barre d'état système dans
l'angle inférieur droit de l'écran, sélectionnez Désactiver l'affichage d'une notification de réussite de la mise à jour.
Le programme doit être mis à jour automatiquement pour assurer un fonctionnement optimal. Cela n'est possible
que si la clé de licence correcte est entrée dans Aide et assistance > Activer la licence.
Si vous n'avez pas activé votre produit après l'installation, vous pouvez le faire à tout moment. Pour plus
d'informations sur l'activation, reportez-vous à la section Comment activer ESET Mail Security, puis entrez les
données de licence que vous avez reçues avec votre produit de sécurité ESET dans la fenêtre Détails de la licence.
39
4.5.2 Configuration du serveur proxy pour les mises à jour
Si vous utilisez un serveur proxy pour la connexion Internet sur un système sur lequel ESET Mail Security est installé,
les paramètres de proxy doivent être configurés dans Configuration avancée. Pour accéder à la fenêtre de
configuration du serveur proxy, appuyez sur la touche F5 pour ouvrir la fenêtre Configuration avancée et cliquez sur
Mettre à jour > Proxy HTTP. Sélectionnez Connexion via un serveur proxy dans le menu déroulant Mode proxy et
indiquez les détails concernant le serveur proxy : l'adresse IP du serveur proxy, le numéro de port, ainsi que le nom
d'utilisateur et le mot de passe (le cas échéant).
Si vous ne connaissez pas les détails du serveur proxy, vous pouvez essayer de détecter automatiquement les
paramètres de ce serveur en sélectionnant Utiliser les paramètres globaux de serveur proxy dans la liste
déroulante.
REMARQUE : Les options du serveur proxy peuvent varier selon les profils de mise à jour. Si c'est le cas,
configurez les différents profils de mise à jour dans Configuration avancée en cliquant sur Mettre à jour > Profil.
4.6 Configuration
Le menu de configuration est composé de trois onglets :
Serveur
Ordinateur
Outils
40
4.6.1 Serveur
ESET Mail Security protège votre serveur grâce aux fonctionnalités essentielles suivantes : Antivirus et
Antispyware, bouclier résident (protection en temps réel), protection de l'accès Web et protection du client de
messagerie. Vous trouverez des informations sur chaque type de protection dans ESET Mail Security - Protection de
l'ordinateur.
Exclusions automatiques - Cette fonctionnalité identifie les applications serveur et les fichiers du système
d'exploitation serveur critiques, puis les ajoute automatiquement à la liste des exclusions. Cette fonctionnalité
réduira le risque de conflits potentiels et augmentera les performances globales du serveur lors de l'exécution du
logiciel antivirus.
Pour configurer ESET Cluster, cliquez sur Assistant Cluster. Pour plus d'informations sur la configuration d'ESET
Cluster à l'aide de l'assistant, cliquez ici.
Si vous souhaitez définir des options plus détaillées, cliquez sur Configuration avancée ou appuyez sur F5.
D'autres options sont disponibles au bas de la fenêtre de configuration. Pour charger les paramètres de
configuration à l'aide d'un fichier de configuration .xml ou pour enregistrer les paramètres de configuration actuels
dans un fichier de configuration, utilisez l'option Importer/exporter les paramètres. Pour plus d'informations,
consultez la section Importer/exporter les paramètres.
41
4.6.2 Ordinateur
ESET Mail Security dispose de tous les composants nécessaires pour garantir la protection du serveur en tant
qu'ordinateur. Chaque composant fournir un type spécifique de protection : Antivirus et Antispyware, protection du
système en temps réel, protection de l'accès Web, protection du client de messagerie, protection antihameçonnage, etc.
La section Ordinateur est disponible dans Configuration > Ordinateur. La liste des composants que vous pouvez
activer/désactiver à l'aide du bouton s'affiche. Pour configurer les paramètres d'un élément spécifique, cliquez
sur l'engrenage . Pour la protection en temps réel du système de fichiers, vous pouvez également modifier les
exclusions. Cette option ouvre la fenêtre de configuration des exclusions dans laquelle vous pouvez exclure de
l'analyse des fichiers et des dossiers.
Désactiver la protection antivirus et antispyware - Lorsque vous désactivez temporairement la protection antivirus
et antispyware, vous pouvez sélectionner la durée de désactivation du composant sélectionné dans le menu
déroulant et cliquer sur Appliquer pour désactiver le composant de sécurité. Pour réactiver la protection, cliquez
sur Activer la protection antivirus et antispyware.
Le module Ordinateur permet d'activer/de désactiver et de configurer les composants suivants :
42
Protection en temps réel du système de fichiers - Tous les fichiers ouverts, créés ou exécutés sur l'ordinateur sont
analysés pour y rechercher la présence éventuelle de code malveillant.
Protection des documents - La fonctionnalité de protection des documents analyse les documents
Microsoft Office avant leur ouverture, ainsi que les fichiers téléchargés automatiquement par Internet Explorer,
tels que les éléments Microsoft ActiveX.
Contrôle de périphérique - Ce module permet d'analyser, de bloquer ou d'ajuster les filtres étendus/
autorisations, et de définir les autorisations des utilisateurs à accéder à un périphérique et à l'utiliser.
HIPS - Le système HIPS surveille les événements qui se produisent dans le système d'exploitation et réagit en
fonction d'un ensemble de règles personnalisées.
Mode de présentation - Fonctionnalité destinée aux utilisateurs qui ne veulent pas être interrompus lors de
l'utilisation de leur logiciel. Ils ne souhaitent pas être dérangés par des fenêtres contextuelles et veulent réduire
les contraintes sur l'UC. Vous recevez un message d'avertissement (risque potentiel de sécurité) et la fenêtre
principale devient orange lorsque le mode de présentation est activé.
Protection Anti-Stealth - Détecte les programmes dangereux tels que les rootkits, qui sont en mesure de se
dissimuler du système d'exploitation. Il est impossible de les détecter à l'aide de techniques de test ordinaires.
Protection de l'accès Web - Si cette option est activée, tout le trafic HTTP ou HTTPS est analysé afin d'y rechercher
des codes malveillants.
Protection du client de messagerie - Contrôle les communications reçues via les protocoles POP3 et IMAP.
Protection antihameçonnage - Vous protège des tentatives d’acquisition de mots de passe, de données bancaires
ou d'autres informations sensibles par des sites Web non légitimes se faisant passer pour des sites Web dignes de
confiance.
REMARQUE : la protection des documents est désactivée par défaut. Vous pouvez facilement l'activer en cliquant
sur l'icône de commutateur.
D'autres options sont disponibles au bas de la fenêtre de configuration. Pour charger les paramètres de
configuration à l'aide d'un fichier de configuration .xml ou pour enregistrer les paramètres de configuration actuels
dans un fichier de configuration, utilisez l'option Importer/exporter les paramètres. Pour plus d'informations,
consultez la section Importer/exporter les paramètres.
Si vous souhaitez définir des options plus détaillées, cliquez sur Configuration avancée ou appuyez sur F5.
43
4.6.3 Outils
Journalisation des données de diagnostic : configurez les composants qui écrivent dans les journaux de diagnostic
lorsque la journalisation des données de diagnostic est activée. Lorsque vous cliquez sur le bouton bascule pour
activer la journalisation des données de diagnostic, vous pouvez choisir la durée de l'activation (10 minutes,
30 minutes, 1 heure, 4 heures, 24 heures, jusqu’au redémarrage suivant du serveur ou de manière permanente). Les
composants non affichés dans cet onglet écrivent toujours dans les journaux de diagnostic.
Activez la journalisation des données de diagnostic pendant la période définie.
44
4.6.4 Importer et exporter les paramètres
L'importation et l'exportation de la configuration d'ESET Mail Security sont accessibles dans Configuration en
cliquant sur Importer/Exporter les paramètres.
L'importation et l'exportation utilisent le type de fichier .xml. Ces opérations sont utiles si vous devez sauvegarder
la configuration actuelle d'ESET Mail Security. Elle peut être utilisée ultérieurement pour appliquer les mêmes
paramètres à d'autres ordinateurs.
45
4.7 Outils
Le menu Outils comprend des modules qui contribuent à simplifier l'administration du programme et offrent des
options supplémentaires. Il contient les outils suivants :
Processus en cours
Surveiller l'activité
ESET Log Collector
Statistiques de protection
Cluster
Shell ESET
ESET SysInspector
ESET SysRescue Live
Planificateur
Soumettre un échantillon pour analyse
Quarantaine
46
4.7.1 Processus en cours
Les processus en cours affichent les programmes ou processus en cours d'exécution sur votre ordinateur et informe
ESET immédiatement et en permanence de l'existence de nouvelles infiltrations. ESET Mail Security fournit des
informations détaillées sur l'exécution des processus afin de protéger les utilisateurs à l'aide de la technologie ESET
Live Grid.
Niveau de risque - Dans la majorité des cas, ESET Mail Security et la technologie ESET Live Grid attribuent des
niveaux de risque aux objets (fichiers, processus, clés de registre, etc.) sur la base d'une série de règles heuristiques
qui examinent les caractéristiques de chaque objet, puis qui évaluent le potentiel d'activité malveillante. Cette
analyse heuristique attribue aux objets un niveau de risque allant de 1 - OK (vert) à 9 - Risqué (rouge).
Processus - Nom de l'image du programme ou du processus en cours d'exécution sur l'ordinateur. Vous pouvez
également utiliser le Gestionnaire de tâches pour afficher tous les processus en cours d'exécution sur votre
ordinateur. Vous pouvez ouvrir le Gestionnaire de tâches en cliquant avec le bouton droit de la souris sur une zone
vide de la barre des tâches, puis en cliquant sur Gestionnaire de tâches ou en appuyant sur les touches Ctrl+Maj
+Échap du clavier.
PID - ID des processus en cours d'exécution dans les systèmes d'exploitation Windows.
REMARQUE : les applications connues marquées OK (vert) sont saines (répertoriées dans la liste blanche) et sont
exclues de l'analyse, ce qui améliore la vitesse de l'analyse d'ordinateur à la demande ou de la protection du
système en temps réel sur votre ordinateur.
Nombre d'utilisateurs - Nombre d'utilisateurs utilisant une application donnée. Ces informations sont collectées
par la technologie ESET Live Grid.
Temps de découverte - Durée écoulée depuis la détection de l'application par la technologie ESET Live Grid.
REMARQUE :une application marquée avec le niveau de sécurité Inconnu (orange) n'est pas nécessairement un
logiciel malveillant. Il s'agit généralement d'une nouvelle application. Vous pouvez soumettre un échantillon pour
47
analyse au laboratoire ESET si ce fichier vous semble suspect. Si le fichier s'avère être une application malveillante,
sa détection sera ajoutée à l'une des prochaines mises à jour de la base des signatures de virus.
Nom de l'application - Nom attribué à un programme auquel appartient ce processus.
Lorsque vous cliquez sur une application située au bas de la fenêtre, les informations suivantes apparaissent dans la
partie inférieure de la fenêtre :
Chemin - Emplacement de l'application sur l'ordinateur.
Taille - Taille du fichier en Ko (kilo-octets) ou Mo (méga-octets).
Description - Caractéristiques du fichier basées sur sa description du système d'exploitation.
Réseaux Sociaux - Nom du fournisseur ou du processus de l'application.
Version - Informations fournies par l'éditeur de l'application.
Produit - Nom de l'application et/ou nom de l'entreprise.
Date de création - Date et heure de création d'une application.
Date de modification - Date et heure de dernière modification d'une application.
REMARQUE : la réputation peut également être vérifiée sur des fichiers qui n'agissent pas en tant que programmes/
processus en cours - Marquez les fichiers que vous souhaitez vérifier, cliquez dessus avec le bouton droit et, dans le
menu contextuel, sélectionnez Options avancées > Évaluer la réputation des fichiers à l'aide de ESET Live Grid.
48
4.7.2 Surveiller l'activité
Pour voir l'activité actuelle du système de fichiers sous forme graphique, cliquez sur Outils > Surveiller l'activité. Cette option indique la quantité de données lues et écrites dans deux graphiques. Au bas du graphique figure une chronologie qui enregistre en temps réel l'activité du système de fichiers sur la base de l'intervalle sélectionné. Pour modifier l'intervalle, effectuez une sélection dans le menu déroulant Taux d'actualisation.
Les options disponibles sont les suivantes :
1 seconde - Le graphique est actualisé toutes les secondes et la chronologie couvre les 10 dernières minutes.
1 minute (24 dernières heures) - Le graphique est actualisé toutes les secondes et la chronologie couvre les 24
dernières heures.
1 heure (dernier mois) - Le graphique est actualisé toutes les heures et la chronologie couvre le dernier mois.
1 heure (mois sélectionné) - Le graphique est actualisé toutes les heures et la chronologie couvre le mois
sélectionné. Cliquez sur le bouton Changer de mois pour effectuer une autre sélection.
L'axe vertical du graphique d'activité du système de fichiers représente les données lues (en bleu) et les données
écrites (en rouge). Les deux valeurs sont exprimées en Ko (kilo-octets)/Mo/Go. Si vous faites glisser le curseur de la
souris sur les données lues ou écrites dans la légende sous le graphique, celui-ci n'affiche que les données relatives
à ce type d'activité.
49
4.7.3 ESET Log Collector
ESET Log Collector est une application qui collecte automatiquement les informations de configuration et les
journaux d'un serveur pour permettre de résoudre plus rapidement les problèmes. Lorsque vous signalez un
problème auprès du Service client ESET, il se peut que vous deviez fournir les journaux de votre ordinateur. ESET
Log Collector facilite la collecte des informations nécessaires.
ESET Log Collector est accessible depuis le menu principal en cliquant sur Outils > ESET Log Collector.
Cochez les cases correspondantes aux journaux que vous souhaitez collecter. Si vous ne savez pas exactement quels
journaux sélectionner, laissez toutes les cases cochées (paramètre par défaut). Indiquez l'emplacement où
enregistrer les fichiers d'archive, puis cliquez sur Enregistrer. Le nom du fichier d'archive est déjà prédéfini. Cliquez
sur Collecter.
Pendant la collecte, la fenêtre d'opération sur les journaux s'affiche dans la partie inférieure pour que vous puissiez
déterminer quelle opération est en cours. Une fois la collecte terminée, tous les fichiers collectés et archivés sont
affichés. Cela signifie que la collecte a été correctement effectuée et que le fichier d'archive (par exemple,
emsx_logs.zip) a été enregistré à l'emplacement indiqué.
Pour plus d'informations sur ESET Log Collector et pour obtenir la liste des fichiers collectés par ESET Log Collector,
consultez la base de connaissances ESET.
50
4.7.4 Statistiques de protection
Pour afficher un graphique des données statistiques relatives aux modules de protection d'ESET Mail Security,
cliquez sur Outils > Statistiques de protection. Dans le menu déroulant Statistiques, sélectionnez le module de
protection souhaité pour afficher le graphique et la légende correspondants. Placez le pointeur de la souris sur un
élément de la légende pour afficher les données de cet élément dans le graphique.
Les graphiques statistiques suivants sont disponibles :
Antivirus et antispyware - Affiche le nombre d'objets infectés et nettoyés.
Protection du système de fichiers - Affiche les objets lus ou écrits dans le système de fichiers.
Protection du client de messagerie - Affiche les objets envoyés ou reçus par les clients de messagerie.
Protection du serveur de messagerie - Affiche les statistiques antivirus et antispyware du serveur de messagerie.
Protection de l'accès Web et antihameçonnage - Affiche uniquement les objets téléchargés par des navigateurs
Web.
Protection antispam du serveur de messagerie - Affiche l'historique des statistiques de blocage du courrier
indésirable depuis le dernier démarrage.
Protection par mise en liste grise du serveur de messagerie - Inclut les statistiques de blocage du courrier
indésirable générées par la méthode de liste grise.
Activité de protection du transport des messages - Affiche les objets vérifiés/bloqués/supprimés par le serveur
de messagerie.
Performances de la protection du transport des messages - Affiche les données traitées par VSAPI/l'agent de
transport en o/s.
Activité de la protection de la base de données de boîtes aux lettres - Affiche les objets traités par VSAPI (nombre
d'objets vérifiés, mis en quarantaine et supprimés).
Performances de la protection de la base de données de boîtes aux lettres - Affiche les données traitées par
VSAPI (nombre de moyennes différentes pour Aujourd'hui, les 7 derniers jours et moyennes depuis la dernière
réinitialisation).
51
À côté des graphiques statistiques, vous pouvez voir le nombre total d'objets analysés, le nombre d'objets infectés,
le nombre d'objets nettoyés et le nombre d'objets propres. Cliquez sur Réinitialiser pour effacer les informations
de statistiques. Pour effacer et supprimer toutes les données existantes, cliquez sur Tout réinitialiser.
4.7.5 Cluster
ESET Cluster est une infrastructure de communication P2P de la gamme des produits ESET pour
Microsoft Windows Server.
Cette infrastructure permet aux produits serveur d'ESET de communiquer les uns avec les autres et d'échanger des
données (configuration et notifications, par exemple), ainsi que de synchroniser les données nécessaires pour le
fonctionnement correct d'un groupe d'instances de produit. Un exemple de ce type de groupe peut être un groupe
de nœuds dans un cluster de basculement Windows ou un cluster d'équilibrage de la charge réseau doté d'un
produit ESET et dans lequel la configuration du produit doit être identique dans l'ensemble du cluster. ESET Cluster
assure cette cohérence entre les instances.
Vous pouvez accéder à la page d'état ESET Cluster dans le menu principal en cliquant sur Outils > Cluster. Lorsque ce
produit est configuré correctement, la page d'état a cet aspect :
Pour configurer ESET Cluster, cliquez sur Assistant Cluster.... Pour plus d'informations sur la configuration d'ESET
Cluster à l'aide de l'assistant, cliquez ici.
52
Lors de la configuration d'ESET Cluster, vous pouvez ajouter des nœuds de deux manières : automatiquement à
l'aide du cluster de basculement Windows/d'équilibrage de la charge réseau existant ou manuellement en
recherchant des ordinateurs se trouvant dans un domaine ou un groupe de travail.
Détection automatique - Détecte automatiquement les nœuds déjà membres d'un cluster de basculement
Windows/d'équilibrage de la charge réseau, puis les ajoute à ESET Cluster.
Parcourir - Vous pouvez ajouter manuellement des nœuds en saisissant les noms des serveurs (membres d'un
même groupe de travail ou d'un même domaine).
REMARQUE : les serveurs ne doivent pas obligatoirement être membres d'un cluster de basculement Windows/
d'équilibrage de la charge réseau pour utiliser la fonctionnalité ESET Cluster. Il n'est pas nécessaire que votre
environnement comporte un cluster de basculement Windows/d'équilibrage de la charge réseau pour que vous
puissiez utiliser ESET Cluster.
Une fois que vous avez ajouté des nœuds à ESET Cluster, l'étape suivante consiste à installer ESET Mail Security sur
chaque nœud. Cette installation est effectuée automatiquement lors de la configuration d'ESET Cluster.
Informations d'identification nécessaires pour une installation à distance d'ESET Mail Security sur d'autres nœuds du
cluster :
Domaine : informations d'identification de l'administrateur du domaine
Groupe de travail : vous devez veiller à ce que tous les nœuds utilisent les mêmes informations
d'identification de compte d'administrateur local
Dans ESET Cluster, vous pouvez également utiliser une combinaison de nœuds automatiquement ajoutés en tant
que membres d'un cluster de basculement Windows/d'équilibrage de la charge réseau existant et de nœuds
manuellement ajoutés (à condition qu'ils se trouvent dans le même domaine).
REMARQUE : il n'est pas possible de combiner des nœuds de domaine et des nœuds de groupe de travail.
L'utilisation d'ESET Cluster exige également que l'option Partage de fichiers et d'imprimantes soit activée dans le
Pare-feu Windows avant que l'installation d'ESET Mail Security soit poussée sur les nœuds d'ESET Cluster.
Vous pouvez démanteler ESET Cluster facilement en cliquant sur Détruire le cluster. Chaque nœud écrit alors un
enregistrement sur la destruction d'ESET Cluster dans son journal des événements. Ensuite, toutes les règles du
pare-feu ESET sont supprimées du Pare-feu Windows. Les anciens nœuds reviennent alors à leur état initial et
peuvent être réutilisés dans un autre ESET Cluster, si nécessaire.
REMARQUE : la création d'ESET Clusters entre ESET Mail Security et ESET File Security pour Linux n'est pas pris en
charge.
L'ajout de nouveaux nœuds à un ESET Cluster existant peut être effectué à tout moment en exécutant l'Assistant
Cluster comme décrit plus haut et ici.
Consultez la section Cluster pour plus d'informations sur la configuration d'ESET Cluster.
53
4.7.6 Shell ESET
eShell (abréviation d'ESET Shell) est une interface à ligne de commande pour ESET Mail Security. eShell s'utilise en
remplacement de l'interface utilisateur graphique et dispose de toutes les fonctionnalités et options proposées
normalement par cette interface. eShell vous permet de configurer et d'administrer l'intégralité du programme sans
avoir à utiliser l'interface utilisateur graphique.
Outre les fonctions et fonctionnalités disponible dans l'interface graphique, l'interface à ligne de commande vous
permet d'automatiser l'exécution de scripts afin de configurer et de modifier la configuration, ou encore d'effectuer
une opération. eShell est également utile pour les utilisateurs qui préfèrent les lignes de commande aux interfaces
graphiques.
Le système eShell peut être exécuté de deux manières :
Mode interactif : ce mode est utile lorsque vous souhaitez utiliser régulièrement eShell (pas simplement
exécuter une seule commande), par exemple lorsque vous modifiez la configuration, affichez des journaux, etc.
Vous pouvez également utiliser le mode interactif si vous ne connaissez pas encore toutes les commandes. Le
mode interactif simplifie la navigation dans eShell. Il affiche également les commandes que vous pouvez utilisez
dans un contexte défini.
Commande unique/mode de traitement par lots : vous pouvez utiliser ce mode si vous avez uniquement besoin
d'exécuter une commande sans passer au mode interactif de eShell. Pour ce faire, saisissez dans l'invite de
commande Windows eShell et ajoutez les paramètres appropriés. Par exemple :
eshell get status
ou
eshell set antivirus status disabled
Pour pouvoir exécuter certaines commandes (comme celles du deuxième exemple ci-dessus) en mode de
traitement par lots/script, vous devez configurer au préalable certains paramètres. Si vous n'effectuez pas cette
configuration, le message Accès refusé s'affiche pour des raisons de sécurité.
REMARQUE : Pour bénéficier de toutes les fonctionnalités, ouvrez eShell en utilisant Exécuter en tant
qu'administrateur. Utilisez la même option lors de l'exécution d'une commande via Windows Command Prompt
(cmd). Ouvrez la commande en utilisant Exécuter en tant qu'administrateur. Sinon, vous ne serez pas en mesure
d'exécuter toutes les commandes. En effet, lorsque vous ouvrez une commande ou eShell en utilisant un compte
non-administrateur, vous ne disposez pas des autorisations suffisantes.
REMARQUE: afin d'exécuter les commandes eShell depuis l'invite de commande Windows ou d'exécuter les
fichiers de commandes, vous devez effectuer quelques paramétrages. Pour plus d'informations sur l'exécution de
fichiers de commandes, cliquez ici.
Pour passer au mode interactif eShell, vous pouvez utiliser l'une des deux méthodes suivantes :
Par l'intermédiaire du menu Démarrer de Windows : Démarrer > Tous les programmes > ESET > ESET File Security >
ESET shell
Depuis l'invite de commande Windows en tapant eShell et en appuyant sur la touche Entrée.
Lorsque vous exécutez eShell en mode interactif pour la première fois, l'écran de première exécution (guide)
s'affiche.
REMARQUE : Si vous souhaitez afficher ultérieurement cet écran de première exécution, tapez la commande
guide . Il présente des exemples de base concernant l'utilisation d'eShell avec une syntaxe, un préfixe, un chemin
d'accès à une commande, des formes abrégées, des alias, etc. Il constitue un guide rapide d'utilisation d'eShell.
54
À la prochaine exécution d'eShell, cet écran s'affiche :
REMARQUE : les commandes ne font pas la distinction entre les majuscules et les minuscules ; que vous saisissiez
les noms de commande en majuscules ou en minuscules, les commandes s'exécutent de la même manière.
Personnalisation d'eShell
Vous pouvez personnaliser eShell dans le contexte ui eshell . Vous pouvez configurer des alias, des couleurs, la
langue et la stratégie d'exécution des scripts. Vous pouvez également choisir d'afficher les commandes masquées
et d'autres paramètres.
4.7.6.1 Utilisation
Syntaxe
Pour qu'elles fonctionnent correctement, les commandes doivent avec une syntaxe correcte. Elles peuvent être
composées d'un préfixe, d'un contexte, d'arguments, d'options, etc. Voici la syntaxe générale utilisée dans eShell :
[<préfixe>] [<chemin de la commande>] <commande> [<arguments>]
Exemple (cette commande active la protection des documents) :
SET ANTIVIRUS DOCUMENT STATUS ENABLED
SET - préfixe
ANTIVIRUS DOCUMENT - chemin vers une commande particulière, contexte auquel la commande appartient
STATUS - commande proprement dite
ENABLED - argument de la commande
L'utilisation de la valeur ? en tant qu'argument pour une commande affiche la syntaxe de cette commande. Par
exemple, la commande STATUS ? affiche la syntaxe de la commande STATUS :
SYNTAXE :
[get] | status
set status enabled | disabled
Vous pouvez constater que [get] est entre crochets. Cela indique que le préfixe get est l'option par défaut de la
commande status . En d'autres termes, lorsque vous exécutez la commande status sans indiquer de préfixe, la
commande utilise le préfixe par défaut (dans ce cas get status). Vous gagnerez du temps en n'indiquant pas de
préfixe. La valeur get est généralement le préfixe par défaut pour la plupart des commandes, mais vous devez
effectuer cette vérification pour chaque commande et vous assurer qu'il correspond bien à l'instruction que vous
souhaitez exécuter.
REMARQUE : Les commandes ne font pas la distinction entre les majuscules et les minuscules : que vous
55
saisissiez les noms de commande en majuscules ou en minuscules, les commandes s'exécutent de la même
manière.
Préfixe/Opération
Un préfixe est une opération. La commande GET fournit des informations sur la configuration d'une fonctionnalité
de ESET Mail Security ou indique l'état ( GET ANTIVIRUS STATUS affiche l'état de la protection en cours). La
commande SET (préfixe) configure la fonctionnalité ou change son état (SET ANTIVIRUS STATUS ENABLED active la
protection).
eShell vous permet d'utiliser ces préfixes. Les commandes peuvent prendre en charge ou ne pas prendre en charge
les préfixes :
GET - renvoie le paramètre/l'état en cours.
SET - définit la valeur/l'état.
SELECT - sélectionne un élément.
ADD - ajoute un élément.
REMOVE - supprime un élément.
CLEAR - supprime tous les éléments/fichiers.
START - démarre une action.
STOP - arrête une action.
PAUSE - interrompt une action.
RESUME - reprend une action.
RESTORE - restaure les paramètres/l'objet/le fichier par défaut.
SEND - envoie un objet/fichier.
IMPORT - importe d'un fichier.
EXPORT - exporte dans un fichier.
Les préfixes tels que GET et SET sont utilisés avec de nombreuses commandes (certaines commandes telles que
EXIT) n'utilisent pas de préfixe.
Chemin/Contexte de la commande
Les commandes sont placées dans des contextes qui constituent une arborescence. Le niveau supérieur de
l'arborescence est la racine. Lorsque vous exécutez eShell, vous vous trouvez au niveau racine :
eShell>
Vous pouvez exécuter la commande depuis cet emplacement ou saisir le nom du contexte dans l'arborescence pour
y accéder. Par exemple, lorsque vous saisissez le contexte TOOLS , toutes les commandes et sous-contextes
disponibles depuis cet emplacement sont répertoriés.
Les éléments en jaune correspondent aux commandes que vous pouvez exécuter et les éléments en gris sont des
sous-contextes que vous pouvez saisir. Un sous-contexte contient des commandes supplémentaires.
56
Si vous devez remonter d'un niveau, utilisez .. (deux points). Par exemple, imaginons que vous vous trouvez à ce
niveau :
eShell antivirus startup>
saisissez .. et vous remontez d'un niveau :
eShell antivirus>
Si vous souhaitez retourner au niveau racine depuis eShell antivirus startup> (soit deux niveaux en dessous de
la racine), tapez simplement .. .. (deux points et deux points séparés par un espace). Vous remontez alors de
deux niveaux, ce qui correspond dans ce cas à la racine. Utilisez une barre oblique inverse \ pour retourner
directement au niveau racine, quel que soit le niveau auquel vous vous trouvez dans l'arborescence. Si vous
souhaitez atteindre un contexte spécifique dans des niveaux supérieurs, utilisez le nombre adéquat de .. pour
accéder au niveau souhaité en employant un espace comme séparateur. Si vous souhaitez par exemple remonter de
trois niveaux, utilisez .. .. ..
Le chemin est relatif au contexte en cours. Si la commande est contenue dans le contexte en cours, n'indiquez pas
de chemin. Par exemple, pour exécuter GET ANTIVIRUS STATUS , saisissez :
GET ANTIVIRUS STATUS - si vous êtes dans le contexte racine (la ligne de commande indique eShell>)
GET STATUS - si vous êtes dans le contexte ANTIVIRUS (la ligne de commande indique eShell antivirus>)
.. GET STATUS - si vous êtes dans le contexte ANTIVIRUS STARTUP (la ligne de commande indique eShell antivirus
startup>)
REMARQUE : vous pouvez utiliser un point ( . ) au lieu de deux ( .. ), car un point est l'abréviation de deux points.
Par exemple :
. GET STATUS - si vous êtes dans le contexte ANTIVIRUS STARTUP (la ligne de commande indique eShell antivirus
startup>)
Argument
Un argument est une action qui peut être réalisée pour une commande particulière. Par exemple, la commande
CLEAN-LEVEL (située dans ANTIVIRUS REALTIME ENGINE) peut être utilisée avec les arguments suivants :
no - Pas de nettoyage
normal - Nettoyage normal
strict - Nettoyage strict
Les arguments ENABLED ou DISABLEDpermettent d'activer ou de désactiver une fonctionnalité.
Forme abrégée/Commandes raccourcies
eShell vous permet de raccourcir les contextes, les commandes et les arguments (à condition que l'argument soit un
paramètre ou une autre option). Il n'est pas possible de raccourcir un préfixe ou un argument s'il s'agit d'une valeur
concrète telle qu'un nombre, un nom ou un chemin.
Voici des exemples de forme raccourcie :
set status disabled => set stat en
add antivirus common scanner-excludes C:\path\file.ext => add ant com scann C:\path\file.ext
Si deux commandes ou contextes commencent par la même lettre, ABOUT et ANTIVIRUS, et que vous saisissez la
commande raccourcie A , eShell ne parvient pas à déterminer laquelle de ces deux commandes vous souhaitez
exécuter. Un message d'erreur s'affiche et répertorie les commandes commençant par un « A » pour que vous
puissiez sélectionner celle à exécuter :
eShell>a
La commande suivante n'est pas unique : a
Les commandes suivantes sont disponibles dans ce contexte :
ABOUT - Affiche les informations sur le programme
ANTIVIRUS - Passe au contexte antivirus
57
Ensuite, l'ajout d'une ou de plusieurs lettres ( AB au lieu de A) eShell exécute la commande ABOUT car cette
commande est unique.
REMARQUE : afin d'avoir la garantie qu'une commande s'exécute comme vous le souhaitez, il est recommandé de
ne pas abréger les commandes, les arguments, etc. et d'utiliser plutôt la forme complète. La commande s'exécute
alors exactement comme vous le souhaitez et vous évite de commettre des erreurs. Ce conseil s'applique
notamment pour les fichiers et les scripts de traitement par lots.
Saisie semi-automatique
Il s'agit d'une nouvelle fonctionnalité d'eShell (ajoutée dans la version 2.0). Elle ressemble beaucoup à la
fonctionnalité de saisie semi-automatique de l'invite de commande Windows. Alors que l'invite de commande
Windows effectue une saisie semi-automatique des chemins d'accès aux fichiers, eShell effectue également une
saisie semi-automatique des noms de commande, de contexte et d'opération. La saisie semi-automatique des
arguments n'est pas prise en charge. Lorsque vous tapez une commande, appuyez sur la touche TAB pour terminer la
saisie ou parcourir les variantes disponibles. Appuyez sur MAJ+TAB pour parcourir les variantes dans le sens inverse.
Le mélange d'une forme abrégée et de la saisie semi-automatique n'est pas pris en charge. Utilisez une de ces deux
options. Par exemple, lorsque vous saisissez antivir real scan la frappe de la touche TAB ne donne aucun
résultat. Saisissez plutôt antivir et appuyez sur la touche TAB pour saisir automatiquement antivirus, tapez
ensuite real + TAB et scan + TAB. Vous pouvez ensuite parcourir toutes les variantes disponibles : scan-create, scanexecute, scan-open, etc.
Alias
Un alias est un autre nom qui peut être utilisé pour exécuter une commande (à condition que la commande dispose
d'un alias). Voici quelques alias par défaut :
(global) close - exit
(global) quit - exit
(global) bye - exit
warnlog - tools log events
virlog - tools log detections
antivirus on-demand log - tools log scans
"(global)" signifie que la commande peut être utilisée dans tous les emplacements, quel que soit le contexte
actuel. Une commande peut comporter plusieurs alias. Par exemple, la commande EXIT comporte les alias CLOSE,
QUIT et BYE. Si vous souhaitez quitter eShell, vous pouvez utiliser la commande EXIT proprement dite ou l'un de ses
alias. L'alias VIRLOG est attribué à la commande DETECTIONS qui se trouve dans le contexte TOOLS LOG . Les détections
de commande sont ainsi disponibles depuis le contexte ROOT , ce qui facilite l'accès (vous n'avez plus à saisir TOOLS
puis le contexte LOG et l'exécuter directement depuis ROOT).
eShell vous permet de définir vos propres alias. Commande ALIAS est accessible dans le contexte UI ESHELL .
Paramètres protégés par mot de passe
Les paramètres de ESET Mail Security peuvent être protégés par mot de passe. Vous pouvez définir un mot de passe
à l'aide de l'interface graphique utilisateur ou d'eShell à l'aide de la commande set ui access lock-password .
Vous devez ensuite saisir ce mot de passe de manière interactive pour certaines commandes (comme celles qui
permettent de modifier des paramètres ou des données). Si vous envisagez d'utiliser eShell pendant une longue
période et si vous ne souhaitez pas saisir le mot de passe de manière répétée, vous pouvez faire en sorte qu'eShell
mémorise le mot de passe à l'aide de la commande set password . Votre mot de passe est alors automatiquement
saisi pour chaque commande exécutée qui le demande. Le mot de passe est mémorisé jusqu'à ce que vous quittiez
eShell. Vous devez donc réutiliser la commande set password lorsque vous démarrez une nouvelle session et que
vous souhaitez qu'eShell mémorise le mot de passe.
Guide / Aide
Lorsque vous exécutez la commande GUIDE ou HELP , l'écran de première exécution apparaît et vous explique
comment utiliser eShell. Cette commande est disponible dans le contexte ROOT (eShell>).
Historique de commande
eShell conserve un historique des commandes exécutées. Cet historique s'applique uniquement à la session
interactive eShell en cours. Lorsque vous quittez eShell, l'historique des commandes est supprimé. Utilisez les
flèches Haut et Bas de votre clavier pour parcourir l'historique. Lorsque vous avez localisé la commande que vous
58
recherchiez, vous pouvez la réexécuter ou la modifier sans avoir à saisir l'intégralité de la commande depuis le
début.
CLS/Effacement de l'écran
La commande CLS peut être utilisée pour effacer le contenu de l'écran. Cette commande fonctionne de la même
manière que l'invite de commande Windows ou que toute autre interface à ligne de commande.
EXIT/CLOSE/QUIT/BYE
Pour fermer ou quitter eShell, vous pouvez utiliser l'une de ces commandes (EXIT, CLOSE, QUIT ou BYE).
4.7.6.2 Commandes
Cette section répertorie quelques commandes eShell de base, ainsi qu'une description en guise d'exemple.
REMARQUE : Les commandes ne font pas la distinction entre les majuscules et les minuscules : que vous
saisissiez les noms de commande en majuscules ou en minuscules, les commandes s'exécutent de la même
manière.
Exemples de commandes (contenues dans le contexte ROOT) :
ABOUT
Répertorie les informations sur le programme. Cette commande indique le nom du produit installé, son numéro de
version, les composants installés (notamment le numéro de version de chaque composant), ainsi que des
informations de base sur le serveur et le système d'exploitation sur lesquels s'exécute ESET Mail Security.
CHEMIN DE CONTEXTE :
root
PASSWORD
Normalement, lorsque vous exécutez des commandes protégées par mot de passe, vous êtes invité à taper un mot
de passe pour des raisons de sécurité. Il concerne les commandes qui désactivent la protection antivirus et qui
peuvent avoir une incidence sur le fonctionnement du produit ESET Mail Security. Vous êtes invité à saisir un mot
de passe chaque fois que vous exécutez une commande de ce type. Afin d'éviter d'avoir à saisir un mot de passe à
chaque fois, vous pouvez définir ce mot de passe. Il sera mémorisé par eShell et utilisé automatiquement à chaque
exécution d'une commande protégée par un mot de passe. De cette manière, vous n'aurez plus à le saisir à chaque
fois.
REMARQUE : le mot de passe défini ne fonctionne que pour la session interactive eShell en cours. Lorsque vous
quittez eShell, ce mot de passe défini est supprimé. Lorsque vous redémarrez eShell, le mot de passe doit être
redéfini.
Ce mot de passe défini est également très utile lorsque vous exécutez des fichiers/scripts de traitement par lots.
Voici un exemple de fichier de traitement par lots :
eshell start batch "&" set password plain <votremotdepasse> "&" set status disabled
La commande concaténée ci-dessus démarre un mode de traitement par lots, définit le mot de passe qui sera utilisé
et désactive la protection.
CHEMIN DE CONTEXTE :
root
SYNTAXE :
[get] | restore password
set password [plain <motdepasse>]
59
OPÉRATIONS :
get - Affiche le mot de passe
set - Définit ou efface le mot de passe
restauration - Efface le mot de passe
ARGUMENTS :
plain - Permet d'entrer le mot de passe en tant que paramètre.
password - Mot de passe.
EXEMPLES :
set password plain <votremotdepasse> - Définit un mot de passe qui sera utilisé pour les commandes protégées
par mot de passe.
restore password - Efface le mot de passe.
EXEMPLES :
get password - Utilisez cette commande pour définir si le mot de passe est configuré (le mot de passe n'apparaît
pas clairement ; il est remplacé par une série d'astérisques *). Si vous ne voyez aucun astérisque, cela signifie
qu'aucun mot de passe n'est défini.
set password plain <votremotdepasse> - Utilisez cette commande pour configurer le mot de passe défini
restore password - Cette commande efface le mot de passe défini.
STATUS
Affiche des informations sur l'état en cours de la protection ESET Mail Security (identique à l'interface utilisateur
graphique).
CHEMIN DE CONTEXTE :
root
SYNTAXE :
[get] | restore status
set status disabled | enabled
OPÉRATIONS :
get - Affiche l'état de la protection antivirus
set - Désactive/Active la protection antivirus
restore - Restaure les paramètres par défaut
ARGUMENTS :
disabled - Désactive la protection antivirus
enabled - Active la protection antivirus
EXEMPLES :
get status - Affiche l'état de la protection en cours
set status disabled - Désactive la protection
restore status - Restaure la protection sur le paramètre par défaut (activée)
VIRLOG
Cette commande est un alias de la commande DETECTIONS . Elle est utile lorsque vous devez afficher des
60
informations sur les infiltrations détectées.
WARNLOG
Cette commande est un alias de la commande EVENTS . Elle est utile lorsque vous devez afficher des informations
sur différents événements.
4.7.6.3 Fichiers de commandes/scripts
Vous pouvez utiliser eShell comme outil de création de scripts puissant pour l'automatisation. Pour utiliser un
fichier de commandes dans eShell, créez-en un comportant un eShell et une commande. Par exemple :
eshell get antivirus status
Vous pouvez également créer une chaîne de commandes, ce qui est parfois nécessaire. Si vous souhaitez par
exemple obtenir le type d'une tâche planifiée spécifique, saisissez la commande suivante :
eshell select scheduler task 4 "&" get scheduler action
La sélection d'un élément (tâche numéro 4 dans le cas présent) ne s'applique généralement qu'à une instance
d'eShell en cours d'exécution. Si vous deviez exécuter ces commandes à la suite, la seconde commande échouerait
en affichant l'erreur « Aucune tâche n'est sélectionnée ou la tâche sélectionnée n'existe plus. »
Pour des raisons de sécurité, la stratégie d'exécution est définie par défaut sur Scripts limités. Vous pouvez ainsi
utiliser eShell comme outil de surveillance (dans ce cas, vous ne pouvez pas apporter de modifications à la
configuration de ESET Mail Security). Si vous utilisez des commandes qui ont un impact sur la sécurité, comme la
désactivation de la protection, le message Accès refusé s'affiche. Pour pouvoir exécuter ces commandes qui
apportent des modifications de configuration, il est recommandé d'utiliser des fichiers de commandes signés.
Si vous devez, pour une raison spécifique, modifier la configuration à l'aide d'une commande saisie manuellement
dans l'invite de commande, vous devez accorder un accès total à eShell (non recommandé). Pour accorder un accès
total, utilisez la commande ui eshell shell-execution-policy en mode interactif d'eShell. Vous pouvez
également accorder un accès total par le biais de l'interface graphique utilisateur dans Configuration avancée >
Interface utilisateur > ESET Shell.
Fichiers de commandes signés
eShell vous permet de protéger les fichiers de commandes courants (*.bat) à l'aide d'une signature. Les scripts sont
signés à l'aide du mot de passe utilisé pour la protection des paramètres. Pour signer un script, vous devez activer
au préalable la protection des paramètres. Vous pouvez le faire dans l'interface graphique utilisateur ou dans eShell
à l'aide de la commande set ui access lock-password . Une fois que le mot de passe de protection des paramètres
est configuré, vous pouvez commencer à signer les fichiers de commandes.
Pour signer un fichier de commandes, exécutez sign <script.bat> à partir du contexte racine d'eShell, où script.bat
correspond au chemin d'accès au script à signer. Saisissez le mot de passe qui sera utilisé pour la signature, puis
confirmez-le. Ce mot de passe doit correspondre au mot de passe de protection des paramètres. La signature est
placée dans la partie inférieure du fichier de commandes sous forme de commentaire. Si le script a déjà été signé,
sa signature est remplacée par la nouvelle.
REMARQUE : lorsque vous modifiez un fichier de commandes signé, vous devez le resigner.
REMARQUE : si vous modifiez le mot de passe de protection des paramètres, vous devez resigner tous les scripts
(sinon, les scripts ne peuvent plus être exécutés), car le mot de passe saisi lors de la signature d'un script doit
correspondre au mot de passe de protection des paramètres sur le système cible.
Pour exécuter un fichier de commandes signé à partir de l'invite de commande Windows ou en tant que tâche
planifiée, utilisez la commande suivante :
eshell run <script.bat>
, où script.bat correspond au chemin d'accès au fichier de commandes Par exemple : eshell run d:
\myeshellscript.bat
61
4.7.7 ESET SysInspector
ESET SysInspector est une application qui inspecte méticuleusement votre ordinateur, réunit des informations
détaillées sur les composants système, tels que pilotes et applications installés, connexions réseau ou entrées de
registre importantes, puis évalue le niveau de risque de chaque composant. Ces informations peuvent aider à
déterminer la cause d'un comportement suspect du système pouvant être dû à une incompatibilité logicielle ou
matérielle, ou à une infection par un logiciel malveillant.
La fenêtre ESET SysInspector affiche les informations suivantes relatives aux journaux créés :
Heure - Heure de création du journal.
Commentaire - Bref commentaire.
Utilisateur - Nom de l'utilisateur qui a créé le journal.
État - État de création du journal.
Les actions disponibles sont les suivantes :
Ouvrir - Ouvre le journal créé. Vous pouvez également cliquer avec le bouton droit sur le journal créé et
sélectionner Afficher dans le menu contextuel.
Comparer - Compare deux journaux existants.
Créer - Crée un journal. Veuillez patienter jusqu'à ce que le journal ESET SysInspector soit prêt (l'option État
indique Créé).
Supprimer - Supprime les journaux sélectionnés de la liste.
En cliquant avec le bouton droit de la souris sur un ou plusieurs journaux sélectionnés, vous ouvrez un menu
contextuel qui donne accès aux options suivantes :
Afficher - Ouvre le journal sélectionné dans ESET SysInspector (équivaut à double-cliquer sur un journal).
Créer - Crée un journal. Veuillez patienter jusqu'à ce que le journal ESET SysInspector soit prêt (l'option État
indique Créé).
Supprimer tout - Supprime tous les journaux.
Exporter - Exporte le journal dans un fichier .xml ou .xml compressé.
4.7.7.1 Créer un rapport de l'état de l'ordinateur
Entrez un bref commentaire décrivant le journal à créer, puis cliquez sur le bouton Ajouter. Patientez jusqu'à ce que
le journal d'ESET SysInspector soit prêt (état Créé). Selon la configuration matérielle et les données système, la
création du journal peut prendre un certain temps.
4.7.7.2 ESET SysInspector
4.7.7.2.1 Introduction à ESET SysInspector
ESET SysInspector est une application qui inspecte votre ordinateur en profondeur et qui affiche en détail toutes les
données obtenues. Des informations telles que les pilotes et applications installés, les connexions réseau ou les
entrées de registre importantes peuvent vous aider à élucider un comportement suspect du système, qu’il soit dû à
une incompatibilité logicielle ou matérielle, ou à une infection par logiciel malveillant.
Vous pouvez accéder à ESET SysInspector de deux manières : Depuis la version intégrée dans les solutions ESET Security ou en téléchargeant gratuitement la version autonome (SysInspector.exe) depuis le site Internet d'ESET. Les deux versions sont identiques en matière de fonctionnalités et disposent des mêmes contrôles de programme. La seule différence réside dans la façon dont les résultats sont gérés. Les versions autonomes et intégrées vous permettent d'exporter des instantanés du système dans un fichier .xml et de les enregistrer sur le disque. Toutefois, la version intégrée vous permet également de stocker vos instantanés système directement dans Outils > ESET SysInspector (excepté ESET Remote Administrator).
Veuillez patienter pendant que ESET SysInspector analyse votre ordinateur. L'analyse peut prendre entre
10 secondes et quelques minutes, en fonction de la configuration de votre matériel, du système d'exploitation et
du nombre d'applications installées sur votre ordinateur.
62
4.7.7.2.1.1 Démarrage d'ESET SysInspector
Pour démarrer ESET SysInspector, il suffit de lancer le fichier exécutable SysInspector.exe téléchargé depuis le site
Web d'ESET.
Patientez pendant que l'application vérifie le système, une opération qui pourrait durer plusieurs minutes en
fonction du matériel et des données à recueillir.
4.7.7.2.2 Interface utilisateur et utilisation de l'application
Pour des raisons de clarté, la fenêtre principale est divisée en quatre principales sections : les Contrôles du
programme situés dans le haut de la fenêtre principale, la fenêtre Navigation à gauche, la fenêtre Description à
droite au centre et la fenêtre Détails à droite au bas de la fenêtre principale. La section État du journal énumère les
paramètres de base d'un journal (filtre utilisé, type de filtre, journal résultat d'une comparaison, etc.).
4.7.7.2.2.1 Contrôles du programme
Cette section contient la description de tous les contrôles du programme disponible dans ESET SysInspector.
Fichier
En cliquant sur Fichier, vous pouvez enregistrer l'état actuel du système en vue d'une enquête ultérieure ou ouvrir
un journal déjà enregistré. Pour la publication, il est conseillé de créer un journal approprié pour envoi. Sous cette
forme, le journal omet les informations sensibles (nom d'utilisateur, nom d'ordinateur, nom de domaine, privilèges
actuels de l'utilisateur, variables d'environnement, etc.).
REMARQUE : vous pouvez ouvrir des rapports enregistrés de ESET SysInspector en les faisant glisser et en les
déposant sur la fenêtre principale.
Arborescence
Permet de développer ou de réduire tous les nœuds et d'exporter les sections sélectionnées dans le script de
63
service.
Liste
Contient des fonctions qui simplifient la navigation dans le programme, ainsi que d'autres fonctionnalités comme
l'obtention d'informations en ligne.
Aide
Contient des informations sur l'application et ses fonctions.
Détails
Ce paramètre détermine les informations affichées dans la fenêtre principale afin de simplifier l'utilisation des
informations. En mode de base, vous avez accès aux informations utilisées pour trouver les solutions aux problèmes
communs dans votre système. En mode Moyen, le programme affiche moins de détails. En mode Complet, ESET
SysInspector indique toutes les informations requises pour résoudre des problèmes très particuliers.
Filtrage des éléments
Le filtrage des éléments est particulièrement adapté à la recherche de fichiers suspects ou d'entrées de Registre
dans le système. En déplaçant le curseur, vous pouvez filtrer les éléments en fonction de leur niveau de risque. Si le
curseur est positionné tout à fait à gauche (Niveau de risque 1), tous les éléments sont affichés. En déplaçant le
curseur vers la droite, l'application filtre tous les éléments dont le risque est inférieur au niveau de risque actuel et
affiche uniquement les éléments qui sont plus suspects que le niveau affiché. Si le curseur est en position
maximale à droite, le programme affiche uniquement les éléments nuisibles connus.
Tous les éléments qui appartiennent aux catégories de risque 6 à 9 peuvent poser un risque pour la sécurité. Si vous
n'utilisez pas certaines des solutions de sécurité d'ESET, nous vous conseillons d'analyser votre système à l'aide
d'ESET Online Scanner dans le cas où ESET SysInspector détecte un élément de ce genre. ESET Online Scanner est un
service gratuit.
REMARQUE : le niveau de risque d'un élément peut être rapidement déterminé grâce à la couleur que prend le
curseur pour indiquer le niveau de risque.
Rechercher
La fonction de recherche permet de trouver rapidement un élément sur la base de son nom ou d'une partie de son
nom. Les résultats de la recherche sont affichés dans la fenêtre Description.
Retour
En cliquant sur la flèche arrière ou avant, vous pouvez revenir aux informations affichées précédemment dans la
fenêtre Description. Vous pouvez utiliser la touche de retour arrière et la barre d'espace au lieu de cliquer sur les
flèches arrière ou avant.
Section d'état
Affiche le nœud actuel dans la fenêtre Navigation.
Important : les éléments surlignés en rouge sont inconnus et c'est la raison pour laquelle l'application les marque
comme potentiellement dangereux. Si un élément est rouge, cela ne signifie pas automatiquement que vous
pouvez supprimer le fichier. Avant de le supprimer, assurez-vous que les fichiers sont bel et bien dangereux ou
qu'ils ne sont pas nécessaires.
64
4.7.7.2.2.2 Navigation dans ESET SysInspector
ESET SysInspector répartit divers types d'informations en plusieurs sections principales baptisées nœuds. Si des
détails supplémentaires sont disponibles, vous pouvez les afficher en développant chaque nœud en sous-nœuds.
Pour développer ou réduire un nœud, double-cliquez sur son nom, ou cliquez sur ou sur en regard du nom du
nœud. Quand vous parcourez la structure arborescente des nœuds et des sous-nœuds dans la fenêtre de
navigation, vous pouvez voir différents détails pour chaque nœud dans la fenêtre Description. Si vous parcourez les
éléments de la fenêtre Description, des détails supplémentaires pour chaque élément peuvent être affichés dans la
fenêtre Détails.
Voici les descriptions des principaux nœuds de la fenêtre Navigation et des informations qui s'y rapportent dans les
fenêtres Description et Détails.
Processus en cours
Ce nœud comprend les informations sur les applications et les processus en cours d'exécution au moment de la
création du journal. La fenêtre Détails comprend des détails complémentaires pour chaque processus tels que les
bibliothèques dynamiques utilisées par les processus et leur emplacement dans le système, le nom de l'éditeur de
l'application et le niveau de risque du fichier.
La fenêtre Détails contient des informations complémentaires sur les éléments sélectionnés dans la fenêtre
Description telles que la taille du fichier ou son hachage.
REMARQUE : Un système d'exploitation comprend plusieurs composants noyaux importants fonctionnant 24 h. sur
24/7 j. sur 7 et assurant des fonctions de base et vitales pour d'autres applications utilisateur. Dans certains cas, ces
processus sont repris dans l'outil ESET SysInspector avec un chemin d'accès au fichier commençant par \??\. Ces
symboles garantissent l'optimisation préalable au lancement pour ce processus ; ils ne présentent aucun danger
pour le système.
Connexions de réseau
La fenêtre Description contient la liste des processus et des applications qui communiquent via le réseau à l'aide du
protocole sélectionné dans la fenêtre navigation (TCP ou UDP), ainsi que l'adresse distante à laquelle l'application
est connectée. Vous pouvez également vérifier les adresses IP des serveurs DNS.
La fenêtre Détails contient des informations complémentaires sur les éléments sélectionnés dans la fenêtre
Description telles que la taille du fichier ou son hachage.
Entrées de Registre importantes
Contient la liste des entrées de Registre sélectionnées qui sont souvent liées à des problèmes système. Il s'agit des
entrées qui indiquent les applications de démarrage, les objets d'application d'assistance du navigateur, etc.
La fenêtre Description peut indiquer les fichiers en rapport avec les entrées de Registre particulières. La fenêtre
Détails peut également présenter des détails supplémentaires.
Services
La fenêtre Description contient la liste des fichiers enregistrés en tant que services Windows. Vous pouvez
contrôler la manière dont le démarrage du service est paramétré, ainsi que des détails spécifiques du fichier dans la
fenêtre Détails.
Pilotes
Liste des pilotes installés sur le système.
Fichiers critiques
La fenêtre Description affiche le contenu des fichiers critiques liés au système d'exploitation Microsoft Windows.
Tâches du planificateur système
Contient une liste de tâches déclenchées par le Planificateur de tâches de Windows à une heure précise ou selon un
intervalle spécifié.
65
Informations système
Ctrl+O
ouvre un journal existant
Ctrl+S
enregistre les journaux créés
Ctrl+G
génère un instantané standard du statut de l'ordinateur
Ctrl+H
génère un instantané du statut de l'ordinateur qui peut également journaliser des informations
sensibles
1, O
affiche les éléments de niveau de risque 1 à 9 (acceptable)
2
affiche les éléments de niveau de risque 2 à 9 (acceptable)
3
affiche les éléments de niveau de risque 3 à 9 (acceptable)
4, U
affiche les éléments de niveau de risque 4 à 9 (inconnu)
5
affiche les éléments de niveau de risque 5 à 9 (inconnu)
6
affiche les éléments de niveau de risque 6 à 9 (inconnu)
7, B
affiche les éléments de niveau de risque 7 à 9 (risqué)
8
affiche les éléments de niveau de risque 8 à 9 (risqué)
9
affiche les éléments de niveau de risque 9 (risqué)
-
diminue le niveau de risque
+
augmente le niveau de risque
Ctrl+9
mode de filtrage, niveau égal ou supérieur
Ctrl+0
mode de filtrage, niveau égal uniquement
Ctrl+5
afficher par éditeur, tous les éditeurs
Ctrl+6
afficher par éditeur, uniquement Microsoft
Ctrl+7
afficher par éditeur, tous les autres éditeurs
Ctrl+3
afficher tous les détails
Ctrl+2
afficher les détails de précision moyenne
Ctrl+1
affichage de base
Retour
arrière
revient une étape en arrière
Barre
d'espace
avance d'une étape
Ctrl+W
développe l'arborescence
Ctrl+Q
réduit l'arborescence
Ctrl+T
accède à l'emplacement d'origine de l'élément après la sélection dans les résultats de recherche
Ctrl+P
affiche des informations élémentaires sur un élément
Contient des informations détaillées sur le matériel et le logiciel, ainsi que des informations sur les variables
d'environnement définies, les droits de l'utilisateur et les journaux d'événements du système.
Détails du fichier
Liste des fichiers système importants et des fichiers du dossier Program Files. Des informations complémentaires
spécifiques sur les fichiers sont disponibles dans les fenêtres Description et Détails.
À propos de
Informations sur la version de ESET SysInspector et la liste des modules du programme.
Voici les raccourcis clavier disponibles dans ESET SysInspector :
Fichier
Générer
Filtrage des éléments
Afficher
Autres commandes
66
Ctrl+A
affiche des informations complètes sur un élément
Ctrl+C
copie l'arborescence de l'élément
Ctrl+X
copie les éléments
Ctrl+B
trouve des informations sur les fichiers sélectionnés sur Internet
Ctrl+L
ouvre le dossier où se trouve le fichier sélectionné.
Ctrl+R
ouvre l'entrée correspondante dans l'éditeur de registre
Ctrl+Z
copie un chemin d'accès à un fichier (si l'élément est lié à un fichier)
Ctrl+F
passe au champ de recherche
Ctrl+D
ferme les résultats de la recherche
Ctrl+E
exécute le script de service
Comparaison
Ctrl+Alt+O
ouvre le journal d'origine/de comparaison
Ctrl+Alt+R
annule la comparaison
Ctrl+Alt+1
affiche tous les éléments
Ctrl+Alt+2
affiche uniquement les éléments ajoutés ; le journal indique les éléments présents dans le journal
actuel
Ctrl+Alt+3
affiche uniquement les éléments supprimés ; le journal indique les éléments présents dans le
journal précédent
Ctrl+Alt+4
affiche uniquement les éléments remplacés (fichiers inclus)
Ctrl+Alt+5
affiche uniquement les différences entre les journaux
Ctrl+Alt+C
affiche la comparaison
Ctrl+Alt+N
affiche le journal actuel
Ctrl+Alt+P
ouvre le journal précédent
F1
afficher l'aide
Alt+F4
quitter l'application
Alt+Maj+F4
quitter l'application sans demander
Ctrl+I
statistiques du journal
Divers
4.7.7.2.2.3 Comparer
La fonctionnalité Comparer permet de comparer deux journaux. Cette fonctionnalité met en évidence les éléments
qui ne sont pas communs aux deux journaux. Cet outil est utile si vous souhaitez assurer le suivi des modifications
dans le système. Il vous permettra de détecter l'activité d'un code malveillant.
Après son lancement, l'application crée un journal qui apparaît dans une nouvelle fenêtre. Accédez au menu Fichier
> Enregistrer le journal pour enregistrer le journal dans un fichier. Vous pouvez ouvrir et afficher les fichiers
journaux ultérieurement. Pour ouvrir un journal existant, sélectionnez Fichier > Ouvrir le journal. Dans la fenêtre
principale de l'application, ESET SysInspector affiche toujours un journal à la fois.
En comparant deux journaux, vous pouvez afficher un journal actif et un autre journal enregistré dans un fichier.
Pour comparer des journaux, choisissez l'option Fichier > Comparer les journaux, puis choisissez Sélectionner un
fichier. Le journal sélectionné est comparé au journal actif dans les fenêtres principales de l'application. Le journal
comparatif n'indiquera que les différences entre ces deux journaux.
REMARQUE : si vous comparez deux fichiers journaux, choisissez Fichier > Enregistrer le journal pour l'enregistrer
dans un fichier ZIP. Les deux fichiers sont enregistrés. Si vous ouvrez ce fichier ultérieurement, les journaux qu'il
contient seront comparés automatiquement.
En regard des éléments affichés, ESET SysInspector ajoute des symboles qui identifient les différences entre les
journaux comparés.
Les éléments marqués par se trouvent uniquement dans le journal actif et sont absents du journal de comparaison
ouvert. Les éléments marqués du signe ne figurent que dans le journal ouvert et sont absents du journal actif.
67
Description de tous les symboles qui peuvent être affichés à côté des éléments :
/gen
crée un journal directement depuis la ligne de commande sans exécuter l'interface utilisateur.
/privacy
crée un journal qui exclut les informations sensibles.
/zip
stocke le journal obtenu directement sur le disque dans un fichier compressé.
/silent
supprime l'affichage de la barre de progression de la création du journal.
/help, /?
affiche des informations sur les paramètres de la ligne de commande.
nouvelle valeur, absente du journal précédent.
cette section de l'arborescence contient de nouvelles valeurs.
valeur supprimée, présente uniquement dans le journal précédent.
cette section de l'arborescence contient des valeurs supprimées.
valeur/fichier modifié.
cette section de l'arborescence contient des valeurs/fichiers modifiés.
le niveau de risque a diminué/était supérieur dans le journal précédent.
le niveau de risque a augmenté/il était inférieur dans le journal précédent.
La section d'explication affichée dans le coin inférieur gauche décrit tous les symboles et affiche le nom des
journaux comparés.
Les journaux de comparaison peuvent être enregistrés dans un fichier et ouverts ultérieurement :
Exemple
Générez et enregistrez un journal contenant des informations d'origine concernant le système, dans un fichier
nommé précédent.xml. Après avoir apporté des modifications au système, ouvrez ESET SysInspector et laissez-le
générer un nouveau journal. Enregistrez ce journal sous le nom actuel.xml.
Pour voir les différences entre ces deux journaux, utilisez l'option Fichier > Comparer les journaux. Le programme
crée un journal de comparaison qui indique les différences entre les journaux.
Un résultat identique peut être obtenu si vous utilisez l'option de ligne de commande suivante :
SysInspector.exe actuel.xml précédent.xml
4.7.7.2.3 Paramètres de la ligne de commande
ESET SysInspector prend en charge la création de rapports via la ligne de commande à l'aide de ces paramètres :
Exemples
Pour charger un journal en particulier directement dans le navigateur, saisissez : SysInspector.exe "c:\clientlog.xml"
Pour créer un journal à l'emplacement actuel, saisissez : SysInspector.exe /gen
Pour créer un journal dans un dossier en particulier, saisissez : SysInspector.exe /gen="c:\dossier\"
Pour créer un journal dans un fichier/dossier en particulier, saisissez : SysInspector.exe /gen="c:\dossier
\monnouveaujournal.xml"
Pour créer un journal qui exclut les informations sensibles directement dans un fichier compressé, saisissez :
SysInspector.exe /gen="c:\monnouveaujournal.zip"/privacy/zip
Pour comparer deux journaux, utilisez : SysInspector.exe "actuel.xml" "original.xml"
REMARQUE : si le nom du fichier/dossier contient un espace, saisissez-le entre guillemets.
68
4.7.7.2.4 Script de service
Le script de service est un outil qui vise à offrir une aide aux clients qui utilisent ESET SysInspector en supprimant les
objets indésirables du système.
Le script de service permet à l'utilisateur d'exporter l'ensemble du journal ESET SysInspector ou des parties
sélectionnées uniquement. Après l'exportation, vous pouvez marquer des objets indésirables pour suppression.
Vous pouvez ensuite exécuter le journal modifié pour supprimer les objets marqués.
Le script de service convient aux utilisateurs expérimentés qui connaissent les problèmes des systèmes de
diagnostic. Des modifications non qualifiées peuvent endommager le système d'exploitation.
Exemple
si vous pensez que votre ordinateur est infecté par un virus qui n'est pas détecté par votre logiciel antivirus, suivez
les instructions ci-après :
Exécutez ESET SysInspector pour obtenir un nouvel instantané du système.
Sélectionnez le premier élément de la section à gauche (dans l'arborescence), appuyez sur la touche Ctrl, puis
sélectionnez le dernier élément afin de marquer tous les éléments.
Cliquez avec le bouton droit sur les objets sélectionnés, puis sélectionnez l'option du menu contextuel Exporter
les sections sélectionnées dans un script de service.
Les objets sélectionnés sont exportés dans un nouveau journal.
Il s'agit de l'étape la plus importante de toute la procédure : ouvrez le nouveau journal et remplacez l'attribut +
par - pour tous les objets que vous souhaitez supprimer. Assurez-vous que vous n'avez sélectionné aucun fichier/
objet important du système d'exploitation.
Ouvrez ESET SysInspector, cliquez sur Fichier > Exécuter le script de services entrez le chemin d'accès de votre
script.
Cliquez sur OK pour lancer le script.
4.7.7.2.4.1 Création d'un script de service
Pour créer un script, cliquez avec le bouton droit de la souris sur n'importe quel élément de l'arborescence de
menus (dans le volet de gauche) dans la fenêtre principale de ESET SysInspector. Dans le menu contextuel,
choisissez l'option Exporter toutes les sections dans un script de service ou Exporter les sections sélectionnées dans
un script de service.
REMARQUE : il est impossible d'exporter le script de service lorsque deux journaux sont comparés.
4.7.7.2.4.2 Structure du script de service
La première ligne de l'en-tête du script reprend des informations sur la version du moteur (ev), la version de
l'interface utilisateur graphique (gv) et la version du journal (lv). Ces données permettent d'identifier d'éventuelles
modifications dans le fichier .xml qui génère le script et d'éviter toute incohérence durant l'exécution. Cette partie
du script ne peut pas être modifiée.
Le reste du fichier est scindé en sections dont les éléments peuvent être modifiés (elles indiquent les éléments qui
sont traités par le script). Pour marquer un élément à traiter, remplacez le caractère « - » qui le précède par « + ».
Les sections du script sont séparées par une ligne vide. Chaque section possède un numéro et un titre.
01) Running processes (processus en cours)
Cette section contient la liste de tous les processus en cours d'exécution dans le système. Chaque processus est
identifié par son chemin UNC, puis par son code de hachage CRC16 entre astérisques (*).
69
Exemple :
01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]
Dans cet exemple, un processus, à savoir module32.exe, a été sélectionné (marqué par le caractère « + ») ; le
processus s'arrête à l'exécution du script.
02) Loaded modules (modules chargés)
Cette section répertorie la liste des modules système en cours d'utilisation :
Exemple :
02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]
Dans cet exemple, le module khbekhb.dll a été marqué par un « + ». Quand le script est exécuté, il reconnaît les
processus qui utilisent ce module et les arrête.
03) TCP connections (connexions TCP)
Cette section contient des informations sur les connexions TCP existantes.
Exemple :
03) TCP connections:
- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe
+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner:
System
[...]
Lorsque le script est exécuté, il localise le propriétaire du socket dans les connexions TCP marquées et arrête le
socket, ce qui libère des ressources système.
04) UDP endpoints (points de terminaison UDP)
Cette section contient des informations sur les points de terminaison UDP existants.
Exemple :
04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]
Lorsque le script est exécuté, il isole le propriétaire du socket aux points de terminaison UDP marqués et arrête le
socket.
05) DNS server entries (entrées du serveur DNS)
Cette section contient des informations sur la configuration actuelle du serveur DNS.
70
Exemple :
05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]
Les entrées du serveur DNS marquées sont supprimées à l'exécution du script.
06) Important registry entries (entrées de Registre importantes)
Cette section contient des informations relatives aux entrées de Registre importantes.
Exemple :
06) Important registry entries:
* Category: Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c
* Category: Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]
Les entrées marquées sont supprimées, réduites à des valeurs de 0 octet ou réinitialisées sur leur valeur par défaut
lors de l'exécution du script. L'action à appliquer à chaque entrée dépend de la catégorie de l'entrée et de la valeur
de la clé dans ce Registre.
07) Services (services)
Cette section répertorie les services enregistrés dans le système.
Exemple :
07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running,
startup: Automatic
- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running,
startup: Automatic
- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped,
startup: Manual
[...]
Les services marqués et les services dépendants sont arrêtés et désinstallés après l'exécution du script.
08) Drivers (pilotes)
Cette section répertorie les pilotes installés.
Exemple :
08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running,
startup: Boot
- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32
\drivers\adihdaud.sys, state: Running, startup: Manual
[...]
Lorsque vous exécutez le script, les pilotes sélectionnés sont arrêtés. Notez que certains pilotes n'autoriseront pas
leur arrêt.
09) Critical files (fichiers critiques)
Cette section contient des informations sur les fichiers essentiels au système d'exploitation.
71
Exemple :
09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]
Les éléments sélectionnés sont soit supprimés, soit restaurés sur leur valeur d'origine.
4.7.7.2.4.3 Exécution des scripts de services
Marquez tous les éléments souhaités, puis enregistrez et fermez le script. Exécutez le script modifié directement
depuis la fenêtre principale ESET SysInspector en choisissant l'option Exécuter le script de services dans le menu
Fichier. Lorsque vous ouvrez un script, le programme affiche le message suivant : Voulez-vous vraiment exécuter le
script de service « %Scriptname% » ? Une fois que vous avez confirmé votre sélection, un autre avertissement peut
apparaître pour vous indiquer que le script de service que vous essayez d'exécuter n'a pas été signé. Cliquez sur
Exécuter pour lancer le script.
Une boîte de dialogue confirmera l'exécution du script.
Si le script n'a pu être traité que partiellement, une boîte de dialogue avec le message suivant apparaît : Le script de
service n'a été exécuté que partiellement. Voulez-vous afficher le rapport d'erreurs ? Choisissez Oui pour afficher
un rapport des erreurs complexe qui répertorie les opérations qui n'ont pas été exécutées.
Si le script n'a pas été reconnu, une boîte de dialogue apparaîtra avec le message suivant : Le script de service
sélectionné n'est pas signé. L'exécution de scripts non signés et inconnus peut endommager gravement les
données de votre ordinateur. Voulez-vous vraiment exécuter le script et ses actions ? Ceci peut être le résultat
d'incohérences au sein du script (en-tête endommagé, titre de section endommagé, ligne vide manquante entre les
sections, etc.). Vous pouvez soit rouvrir le fichier de script et corriger les erreurs qu'il contient, soit créer un autre
script de service.
4.7.7.2.5 FAQ
L'exécution d'ESET SysInspector requiert-elle des privilèges d'administrateur ?
Bien que ESET SysInspector puisse être exécuté sans privilèges d'administrateur, certaines des informations qu'il
recueille peuvent être consultées uniquement via un compte administrateur. Une exécution en tant qu'utilisateur
standard ou utilisateur disposant d'un accès restreint entraîne la collecte d'un volume inférieur d'informations sur
l'environnement d'exploitation.
ESET SysInspector crée-t-il un fichier journal ?
ESET SysInspector peut créer un fichier journal sur la configuration de votre ordinateur. Pour en enregistrer un, dans
le menu principal, sélectionnez Fichier > Enregistrer le journal. Les journaux sont enregistrés au format XML. Par
défaut, les fichiers sont enregistrés dans le répertoire %USERPROFILE%\Mes documents\, conformément à la
convention de dénomination de fichier SysInspector-%COMPUTERNAME%-YYMMDD-HHMM.XML. Vos pouvez
changer l'emplacement et le nom du fichier avant la sauvegarde si vous le souhaitez.
Comment puis-je consulter le fichier journal d'ESET SysInspector ?
Pour consulter un fichier journal créé par ESET SysInspector, exécutez le programme et choisissez Fichier > Ouvrir le
journal dans le menu principal. Vous pouvez également faire glisser les fichiers journaux et les déposer sur
l'application ESET SysInspector. Si vous devez consulter fréquemment les fichiers journaux ESET SysInspector, il est
72
conseillé de créer un raccourci vers le fichier SYSINSPECTOR.exe sur le Bureau ; vous pourrez ensuite faire glisser les
fichiers et les déposer sur ce raccourci. Pour des raisons de sécurité, Windows Vista/7 peuvent désactiver la
fonction glisser-déposer entre des fenêtres dont les autorisations diffèrent.
Existe-t-il une spécification pour le format de fichier journal ? Existe-t-il un kit de développement logiciel (SDK) ?
Pour l'instant, il n'existe ni spécifications pour le fichier journal, ni SDK car le programme en est toujours au stade du
développement. Après la diffusion du programme, nous fournirons ces éléments sur la base des commentaires et
des demandes des clients.
Comment ESET SysInspector évalue-t-il le risque que pose un objet en particulier ?
Dans la majorité des cas, ESET SysInspector attribue des niveaux de risque aux objets (fichiers, processus, clés de
Registre, etc.) sur la base d'une série de règles heuristiques qui examinent les caractéristiques de chaque objet,
puis qui évaluent le potentiel d'activité malveillante. Sur la base de cette heuristique, un niveau de risque de 1 -
Bon (vert) à 9 - Risqué (rouge) est attribué aux objets. Dans le volet de navigation gauche, la couleur des sections est
définie par le niveau de risque le plus élevé d'un des objets qu'elles contiennent.
Un niveau de risque « 6 - Inconnu (rouge) » signifie-t-il que l'objet est dangereux ?
Les évaluations d'ESET SysInspector ne garantissent pas qu'un objet est malveillant. Cette réponse doit être
apportée par l'expert en sécurité. ESET SysInspector a été développé pour fournir aux experts en sécurité une
évaluation rapide afin qu'ils puissent identifier les objets d'un système qui doivent faire l'objet d'un examen plus
approfondi en cas de comportement étrange.
Pourquoi ESET SysInspector se connecte-t-il à Internet ?
À l'instar de nombreuses applications, ESET SysInspector possède un « certificat » avec une signature numérique qui
permet de garantir que le logiciel a bien été diffusé par ESET et qu'il n'a pas été modifié. Afin de vérifier le
certificat, le système d'exploitation contacte une autorité de certification pour confirmer l'identité de l'éditeur de
logiciels. Il s'agit d'un comportement normal pour tous les programmes avec signature numérique sous Microsoft
Windows.
Qu'est-ce que la technologie Anti-Stealth ?
La technologie Anti-Stealth offre une détection efficace des rootkits.
Quand un système est attaqué par un code malveillant qui se comporte comme un rootkit, l'utilisateur risque une
perte ou un vol de données. Sans outil spécial de lutte contre les rootkits, il est pratiquement impossible de les
détecter.
Pourquoi y a-t-il parfois des fichiers marqués comme « Signé par MS » avec une valeur différente dans le champ
« Nom de la société » ?
Lorsqu'il tente d'identifier la signature numérique d'un fichier exécutable, ESET SysInspector recherche d'abord une
signature numérique intégrée au fichier. Si une signature numérique est détectée, le fichier est validaté à l'aide de
ces informations. En revanche, si aucune signature numérique n'est détectée, ESI lance la recherche du fichier CAT
correspondant (Catalogue de sécurité - %systemroot%\system32\catroot) qui contient les informations relatives au
fichier exécutable traité. Si le fichier CAT pertinent est trouvé, la signature numérique du fichier CAT est appliquée
dans la procédure de validation du fichier exécutable.
Voilà pourquoi des fichiers sont parfois marqués « Signé par MS » mais ont un « Nom de la société » différent.
Exemple :
Windows 2000 comprend l'application HyperTerminal qui se trouve dans C:\Program Files\Windows NT. Le fichier
exécutable principal de l'application n'a pas de signature numérique, mais ESET SysInspector l'indique comme étant
un fichier signé par Microsoft. Ceci s'explique par une référence dans C:\WINNT\system32\CatRoot\{F750E6C3-38EE-
11D1-85E5-00C04FC295EE}\sp4.cat qui pointe vers C:\Program Files\Windows NT\hypertrm.exe (le fichier exécutable
principal de l'application HyperTerminal) et sp4.cat qui possède une signature numérique de Microsoft.
73
4.7.8 ESET SysRescue Live
ESET SysRescue Live est un utilitaire qui permet de créer un disque amorçable contenant une des solutions ESET
Security : ESET NOD32 Antivirus, ESET Smart Security ou l'un des produits orientés serveur. Le principal avantage
d'ESET SysRescue Live réside dans le fait que la solution ESET Security est exécutée indépendamment du système
d'exploitation hôte, tout en ayant un accès direct au disque et au système de fichiers. Il est par conséquent possible
de supprimer les infiltrations qui ne pourraient normalement pas être supprimées, par exemple lorsque le système
d'exploitation est en cours d'exécution.
4.7.9 Planificateur
Le planificateur gère et lance les tâches planifiées avec des configurations et des propriétés prédéfinies. La
configuration et les propriétés comprennent des informations telles que la date et l'heure, ainsi que des profils à
utiliser pendant l'exécution de la tâche.
Le planificateur est accessible depuis la fenêtre principale de ESET Mail Security, dans Outils > Planificateur. Le
planificateur contient la liste de toutes les tâches planifiées, des propriétés de configuration telles que la date et
l'heure prédéfinies, ainsi que le profil d'analyse utilisé.
Il sert à planifier les tâches suivantes : la mise à jour de la base des signatures de virus, l'analyse, le contrôle des
fichiers de démarrage du système et la maintenance des journaux. Vous pouvez ajouter ou supprimer des tâches
dans la fenêtre principale du planificateur (cliquez sur Ajouter une tâche ou Supprimer dans la partie inférieure).
Cliquez avec le bouton droit dans la fenêtre du planificateur pour effectuer les actions suivantes : afficher des
informations détaillées, exécuter la tâche immédiatement, ajouter une nouvelle tâche ou supprimer une tâche
existante. Utilisez les cases à cocher au début de chaque entrée pour activer/désactiver les tâches.
Par défaut, les tâches planifiées suivantes sont affichées dans le planificateur :
Maintenance des journaux
Mise à jour automatique régulière
Mise à jour automatique après une connexion d'accès à distance
Mise à jour automatique après ouverture de session utilisateur
Vérification des fichiers de démarrage (après l'ouverture de session de l'utilisateur)
Vérification automatique des fichiers de démarrage (après la réussite de la mise à jour de la base des signatures
de virus)
Première analyse automatique
74
Pour modifier la configuration d'une tâche planifiée existante (par défaut ou définie par l'utilisateur), cliquez avec
le bouton droit sur la tâche et cliquez sur Modifier. Vous pouvez également sélectionner la tâche à modifier et
cliquer sur Modifier.
Ajout d'une nouvelle tâche
1. Cliquez sur Ajouter une tâche dans la partie inférieure de la fenêtre.
2. Entrez le nom de la tâche.
75
3. Sélectionnez la tâche souhaitée dans le menu déroulant :
Exécuter une application externe - Permet de programmer l'exécution d'une application externe.
Maintenance des journaux - Les fichiers journaux contiennent également des éléments provenant
d'enregistrements supprimés. Cette tâche optimise régulièrement les entrées des fichiers journaux pour garantir
leur efficacité.
Contrôle des fichiers de démarrage du système - Vérifie les fichiers autorisés à s'exécuter au démarrage du
système ou lors de l'ouverture de session de l'utilisateur.
Analyse de l'ordinateur - Crée un instantané ESET SysInspector de l'ordinateur et collecte des informations
détaillées sur les composants système (pilotes, applications) et évalue le niveau de risque de chacun de ces
composants.
Analyse de l'ordinateur à la demande : effectue une analyse des fichiers et des dossiers de votre ordinateur.
Première analyse - Par défaut, 20 minutes après une installation ou un redémarrage, une analyse de l'ordinateur
sera effectuée en tant que tâche de faible priorité.
Mise à jour - Planifie une tâche de mise à jour en mettant à jour la base des signatures de virus et les modules de
l'application.
4. Cliquez sur Activé si vous souhaitez activer la tâche (vous pouvez le faire ultérieurement en activant/désactivant
la case à cocher correspondante dans la liste des tâches planifiées). Cliquez ensuite sur Suivant et sélectionnez
une des options de planification :
Une fois - La tâche est exécutée à la date et à l'heure prédéfinies.
Plusieurs fois - La tâche est exécutée aux intervalles indiqués.
Quotidiennement - La tâche est exécutée tous les jours à l'heure définie.
Chaque semaine - La tâche est exécutée à l'heure et au jour prédéfinis.
Déclenchée par un événement - La tâche est exécutée après un événement particulier.
5. Sélectionnez Ignorer la tâche en cas d'alimentation par batterie pour diminuer les ressources système lorsque
l'ordinateur portable fonctionne sur batterie. Cette tâche est exécutée à l'heure et au jour spécifiées dans les
champs Exécution de tâche. Si la tâche n'a pas pu être exécutée au moment défini, vous pouvez désigner le
moment auquel elle doit être réexécutée :
À la prochaine heure planifiée
Dès que possible
Immédiatement, si la durée écoulée depuis la dernière exécution dépasse la valeur spécifiée (l'intervalle peut
être spécifié dans la zone de liste déroulante Durée écoulée depuis la dernière exécution.)
76
Cliquez avec le bouton droit sur une tâche et cliquez sur Afficher les détails des tâches dans le menu contextuel
pour afficher les informations concernant la tâche.
77
4.7.10 Soumettre les échantillons pour analyse
La boîte de dialogue de soumission d'échantillons permet d'envoyer un fichier ou un site à ESET pour analyse ; elle
est accessible dans Outils > Soumettre un échantillon pour analyse. Si vous trouvez sur votre ordinateur un fichier
dont le comportement est suspect, vous pouvez le soumettre au laboratoire de recherche sur les menaces d'ESET
pour analyse. Si le fichier s'avère être une application malveillante, sa détection sera intégrée à une prochaine mise
à jour.
Vous pouvez également soumettre le fichier par e-mail. Pour ce faire, compressez le ou les fichiers à l'aide de
WinRAR ou de WinZip, protégez l'archive à l'aide du mot de passe « infected » et envoyez-la à samples@eset.com.
Veillez à utiliser un objet descriptif et indiquez le plus d'informations possible sur le fichier (notez par exemple le
site Internet à partir duquel vous l'avez téléchargé).
REMARQUE : avant de soumettre un échantillon à ESET, assurez-vous qu'il répond à au moins l'un des critères
suivants :
Le fichier ou le site Web n'est pas du tout détecté.
Le fichier ou le site Web est détecté à tort comme une menace.
Vous ne recevrez pas de réponse, excepté si des informations complémentaires sont nécessaires à l'analyse.
Sélectionnez dans le menu déroulant Motif de soumission de l'échantillon la description correspondant le mieux à
votre message :
Fichier suspect
Site suspect (site Web infecté par un logiciel malveillant quelconque)
Fichier faux positif (fichier détecté à tort comme infecté)
Site faux positif
Autre
Fichier/Site : le chemin d'accès au fichier ou au site Web que vous souhaitez soumettre.
78
Adresse de contact : l'adresse de contact est envoyée à ESET avec les fichiers suspects. Elle pourra servir à vous
contacter si des informations complémentaires sont nécessaires à l'analyse. La spécification d'une adresse de
contact est facultative. Vous ne recevrez pas de réponse d'ESET, sauf si des informations complémentaires sont
nécessaires à l'analyse. En effet, nos serveurs reçoivent chaque jour des dizaines de milliers de fichiers, ce qui ne
permet pas de répondre à tous les envois.
4.7.10.1 Fichier suspect
Signes et symptômes observés d'infection par logiciel malveillant : saisissez une description du comportement du
fichier suspect que vous avez observé sur votre ordinateur.
Origine du fichier (adresse URL ou fournisseur) : indiquez l'origine du fichier (sa source) et comment vous l'avez
trouvé.
Notes et autres informations : saisissez éventuellement d'autres informations ou une description qui faciliteront le
processus d'identification du fichier suspect.
REMARQUE : le premier paramètre (Signes et symptômes observés d'infection par logiciel malveillant) est
obligatoire. Les autres informations faciliteront la tâche de nos laboratoires lors du processus d'identification des
échantillons.
4.7.10.2 Site suspect
Dans le menu déroulant Pourquoi ce site est-il suspect ?, sélectionnez l'une des options suivantes :
Infecté : un site Web qui contient des virus ou d'autres logiciels malveillants diffusés par diverses méthodes.
Hameçonnage : souvent utilisé pour accéder à des données sensibles, telles que numéros de comptes bancaires,
codes secrets, etc. Pour en savoir plus sur ce type d'attaque, consultez le glossaire.
Scam : un site d'escroquerie ou frauduleux.
Sélectionnez Autre si les options ci-dessus ne correspondent pas au site que vous allez soumettre.
Notes et autres informations : saisissez éventuellement d'autres informations ou une description qui faciliteront
l'analyse du site Web suspect.
4.7.10.3 Fichier faux positif
Nous vous invitons à soumettre les fichiers qui sont signalés comme infectés alors qu'ils ne le sont pas, afin
d'améliorer notre moteur antivirus et antispyware et contribuer à la protection des autres utilisateurs. Les faux
positifs (FP) peuvent se produire lorsque le motif d'un fichier correspond à celui figurant dans une base des
signatures de virus.
Nom et version de l'application : titre et version du programme (par exemple : numéro, alias et nom de code).
Origine du fichier (adresse URL ou fournisseur) : indiquez l'origine du fichier (sa source) et comment vous l'avez
trouvé.
Objectif des applications : description générale, type (navigateur, lecteur multimédia, etc.) et fonctionnalité de
l'application.
Notes et autres informations : saisissez éventuellement d'autres informations ou une description qui faciliteront le
traitement du fichier suspect.
REMARQUE : les trois premiers paramètres sont nécessaires pour identifier les applications légitimes et les
distinguer des codes malveillants. En fournissant des informations supplémentaires, vous facilitez l'identification et
le traitement des échantillons par nos laboratoires.
79
4.7.10.4 Site faux positif
Nous vous recommandons de soumettre les sites faussement détectés comme infectés ou signalés à tort comme
scam ou hameçonnage. Les faux positifs (FP) peuvent se produire lorsque le motif d'un fichier correspond à celui
figurant dans une base des signatures de virus. Veuillez soumettre ce site Web afin d'améliorer notre moteur
antivirus et antihameçonnage, et contribuer à la protection des autres utilisateurs.
Notes et autres informations - Saisissez éventuellement d'autres informations ou une description qui faciliteront le
traitement du fichier suspect.
4.7.10.5 Autre
Utilisez ce formulaire si le fichier ne peut pas être classé par catégorie en tant que fichier suspect ou faux positif.
Motif de soumission du fichier - Décrivez en détail le motif d'envoi du fichier.
4.7.11 Quarantaine
La principale fonction de la quarantaine est de stocker les fichiers infectés en toute sécurité. Les fichiers doivent
être placés en quarantaine s'ils ne peuvent pas être nettoyés, s'il est risqué ou déconseillé de les supprimer ou s'ils
sont détectés erronément par ESET Mail Security.
Vous pouvez choisir de mettre n'importe quel fichier en quarantaine. Cette action est conseillée si un fichier se
comporte de façon suspecte, mais n'a pas été détecté par l'analyseur antivirus. Les fichiers en quarantaine peuvent
être soumis pour analyse au laboratoire de recherche d'ESET.
Les fichiers du dossier de quarantaine peuvent être visualisés dans un tableau qui affiche la date et l'heure de mise
en quarantaine, le chemin d'accès à l'emplacement d'origine du fichier infecté, sa taille en octets, la raison (par
exemple, objet ajouté par l'utilisateur) et le nombre de menaces (s'il s'agit d'une archive contenant plusieurs
infiltrations par exemple).
80
Mise en quarantaine de fichiers
ESET Mail Security met automatiquement les fichiers supprimés en quarantaine (si vous n'avez pas désactivé cette
option dans la fenêtre d'alerte). Au besoin, vous pouvez mettre manuellement en quarantaine tout fichier suspect
en cliquant sur le bouton Quarantaine. Les fichiers d'origine sont supprimés de leur emplacement initial. Il est
également possible d'utiliser le menu contextuel à cette fin : cliquez avec le bouton droit dans la fenêtre
Quarantaine et sélectionnez l'option Quarantaine.
Restauration depuis la quarantaine
Les fichiers mis en quarantaine peuvent aussi être restaurés à leur emplacement d'origine. L'option Restaurer est
disponible dans le menu contextuel accessible en cliquant avec le bouton droit sur le fichier dans le fenêtre
Quarantaine. Si un fichier est marqué comme étant une application potentiellement indésirable, l'option Restaurer
et exclure de l'analyse est également disponible. Pour en savoir plus sur ce type d'application, consultez le
glossaire. Le menu contextuel propose également l'option Restaurer vers qui permet de restaurer des fichiers vers
un emplacement autre que celui d'origine dont ils ont été supprimés.
REMARQUE : si le programme place en quarantaine, par erreur, un fichier inoffensif, il convient de le restaurer,
de l'exclure de l'analyse et de l'envoyer au service client d'ESET.
Soumission de fichiers mis en quarantaine
Si vous avez placé en quarantaine un fichier suspect non détecté par le programme ou si un fichier a été considéré
par erreur comme étant infecté (par exemple par l'analyse heuristique du code) et placé en quarantaine, envoyez
ce fichier au laboratoire d'ESET. Pour soumettre un fichier mis en quarantaine, cliquez avec le bouton droit sur le
fichier et sélectionnez l'option Soumettre le fichier pour analyse dans le menu contextuel.
4.8 Aide et assistance
ESET Mail Security contient des outils de dépannage et des informations d'assistance qui vous aideront à résoudre
les problèmes que vous pouvez rencontrer.
Aide
Consulter la base de connaissances ESET - La base de connaissances ESET contient des réponses aux questions les
plus fréquentes et les solutions recommandées pour résoudre divers problèmes. Régulièrement mise à jour par
les spécialistes techniques d'ESET, la base de connaissances est l'outil le plus puissant pour résoudre différents
types de problèmes.
Ouvrir l'aide - Cliquez sur ce lien pour lancer les pages d'aide ESET Mail Security.
Trouver une solution rapide : cette option permet de trouver les solutions aux problèmes les plus fréquents.
Nous vous recommandons de lire cette section avant de contacter le service d'assistance technique.
Service client
Envoyer une demande d'assistance - Si vous ne trouvez pas de réponse à votre problème, vous pouvez également
utiliser le formulaire situé sur le site Web d'ESET pour prendre rapidement contact avec notre service client.
Outils d'assistance
Encyclopédie des menaces - Permet d'accéder à l'encyclopédie des menaces ESET, qui contient des informations sur
les dangers et les symptômes de différents types d'infiltration.
Historique de la base des signatures de virus - Mène à ESET Virus radar, qui contient des informations sur les
versions de la base des signatures de virus ESET.
Nettoyeur spécialisé - Ce nettoyeur identifie et supprime automatiquement les infections courantes par logiciels
malveillants. Pour obtenir plus d'informations, consultez cet article de la base de connaissances ESET.
81
Informations sur le produit et la licence
À propos de ESET Mail Security - Affiche des informations sur votre copie de ESET Mail Security.
Gérer la licence - Cliquez sur cette option pour ouvrir la fenêtre Activation du produit. Sélectionnez l'une des
méthodes disponibles pour activer ESET Mail Security. Pour plus d'informations, reportez-vous à la section
Comment activer ESET Mail Security.
4.8.1 Procédures
Ce chapitre couvre les questions et les problèmes les plus fréquents. Cliquez sur l'intitulé d'une rubrique pour
apprendre comment résoudre le problème :
Comment mettre à jour ESET Mail Security
Comment activer ESET Mail Security
Comment programmer une tâche d'analyse (toutes les 24 heures)
Comment éliminer un virus de mon serveur
Fonctionnement des exclusions automatiques
Si votre problème n'est pas couvert dans la liste des pages d'aide ci-dessus, essayez d'effectuer une recherche par
mot-clé ou entrez un ou plusieurs mots décrivant votre problème et lancez la recherche dans les pages d'aide d'ESET
Mail Security.
Si vous ne trouvez pas la solution à votre problème/question dans les pages d'aide, vous pouvez consulter notre
base de connaissances en ligne qui est régulièrement mise à jour.
Au besoin, vous pouvez contacter directement notre centre d'assistance technique en ligne pour soumettre vos
questions ou problèmes. Le formulaire de contact est disponible dans l'onglet Aide et support de votre programme
ESET.
4.8.1.1 Comment mettre à jour ESET Mail Security
La mise à jour d'ESET Mail Security peut être effectuée manuellement ou automatiquement. Pour déclencher la
mise à jour, cliquez sur Mettre à jour la base des signatures de virus. Il se trouve dans la section Mise à jour du
programme.
Les paramètres d'installation par défaut créent une tâche de mise à jour automatique qui s'exécute chaque heure.
Pour changer l'intervalle, accédez au Planificateur (pour plus d'informations sur le Planificateur, cliquez ici).
4.8.1.2 Comment activer ESET Mail Security
Une fois l'installation terminée, vous êtes invité à activer le produit.
Plusieurs méthodes permettent d'activer le produit. Certains scénarios d'activation proposés dans la fenêtre
d'activation peuvent varier en fonction du pays et selon le mode de distribution (CD/DVD, page Web ESET, etc.).
Pour activer votre copie d'ESET Mail Security directement à partir du programme, cliquez sur l'icône dans la partie
système de la barre des tâches, puis sélectionnez Activer la licence du produit dans le menu. Vous pouvez
également activer le produit dans le menu principal sous Aide et assistance > Activer la licence ou État de la
protection > Activer la licence du produit.
Pour activer ESET Mail Security, vous pouvez utiliser l'une des méthodes suivantes :
Clé de licence : chaîne unique au format XXXX-XXXX-XXXX-XXXX-XXXX qui sert à identifier le propriétaire de la
licence et à activer la licence.
Compte Administrateur Sécurité : compte créé sur le portail ESET License Administrator à l'aide d'informations
d'identification (adresse électronique + mot de passe). Cette méthode permet de gérer plusieurs licences à partir
d'un seul emplacement.
Fichier de licence hors ligne : fichier généré automatiquement qui est transféré au produit ESET afin de fournir
82
des informations de licence. Ce fichier de licence hors ligne est généré à partir du portail des licences. Il est utilisé
dans les environnements dans lesquelles l'application ne peut pas se connecter à l'autorité de certification.
Cliquez sur Activer ultérieurement avec ESET Remote Administrator si votre ordinateur est membre d'un réseau
géré et si l'administrateur effectue l'activation à distance via ESET Remote Administrator. Vous pouvez également
utiliser cette option si vous souhaitez activer ce client ultérieurement.
Dans la fenêtre principale du programme, cliquez sur Aide et assistance > Gérer la licence pour gérer les
informations de licence à tout moment. L'ID de licence publique s'affiche ; il sert à identifier votre produit et votre
licence auprès d'ESET. Le nom d'utilisateur sous lequel l'ordinateur est enregistré auprès du système de gestion des
licences est stocké dans la section À propos. Il est visible lorsque vous cliquez avec le bouton droit sur l'icône
dans la partie système de la barre des tâches.
REMARQUE : ESET Remote Administrator peut activer des ordinateurs clients en silence à l'aide des licences
fournies par l'administrateur.
4.8.1.3 Comment créer une tâche dans le Planificateur
Pour créer une tâche dans Outils > Planificateur, cliquez sur Ajouter une tâche ou cliquez avec le bouton droit sur la
tâche et sélectionnez Ajouter dans le menu contextuel. Cinq types de tâches planifiées sont disponibles :
Exécuter une application externe - Permet de programmer l'exécution d'une application externe.
Maintenance des journaux - Les fichiers journaux contiennent également des éléments provenant
d'enregistrements supprimés. Cette tâche optimise régulièrement les entrées des fichiers journaux pour garantir
leur efficacité.
Contrôle des fichiers de démarrage du système - Vérifie les fichiers autorisés à s'exécuter au démarrage du
système ou lors de l'ouverture de session de l'utilisateur.
Créer un rapport de l'état de l'ordinateur : crée un instantané ESET SysInspector de l'ordinateur et collecte des
informations détaillées sur les composants système (pilotes, applications) et évalue le niveau de risque de
chacun de ces composants.
Analyse de l'ordinateur à la demande : effectue une analyse des fichiers et des dossiers de votre ordinateur.
Première analyse : par défaut, 20 minutes après une installation ou un redémarrage, une analyse de l'ordinateur
sera effectuée en tant que tâche de faible priorité.
Mise à jour - Planifie une tâche de mise à jour en mettant à jour la base des signatures de virus et les modules de
l'application.
La tâche planifiée la plus fréquente étant la mise à jour, nous allons expliquer comment ajouter une nouvelle tâche
de mise à jour :
Dans le menu déroulant Tâche planifiée, sélectionnez Mise à jour. Saisissez le nom de la tâche dans le champ Nom
de la tâche, puis cliquez sur Suivant. Sélectionnez la fréquence de la tâche. Les options disponibles sont les
suivantes : Une fois, Plusieurs fois, Quotidienne, Hebdomadaire et Déclenchée par un événement. Sélectionnez
Ignorer la tâche en cas d'alimentation par batterie pour diminuer les ressources système lorsque l'ordinateur
portable fonctionne sur batterie. Cette tâche est exécutée à l'heure et au jour spécifiées dans les champs Exécution
de tâche. Vous pouvez définir ensuite l'action à entreprendre si la tâche ne peut pas être effectuée ou terminée à
l'heure planifiée. Les options disponibles sont les suivantes :
À la prochaine heure planifiée
Dès que possible
Immédiatement, si la durée écoulée depuis la dernière exécution dépasse la valeur spécifiée (l'intervalle peut
être spécifié dans la zone de liste déroulante Durée écoulée depuis la dernière exécution)
À l'étape suivante, une fenêtre de synthèse apparaît. Elle contient des informations sur la tâche planifiée actuelle.
Lorsque vous avez terminé vos modifications, cliquez sur Terminer.
La boîte de dialogue qui apparaît permet de sélectionner les profils à utiliser pour la tâche planifiée. Vous pouvez y
définir le profil principal et le profil secondaire. Le profil secondaire est utilisé si la tâche ne peut pas être terminée
à l'aide du profil principal. Cliquez sur Terminer pour ajouter la nouvelle tâche planifiée à la liste des tâches
actuellement planifiées.
83
4.8.1.4 Comment programmer une tâche d'analyse (toutes les 24 heures)
Pour planifier une tâche régulière, accédez à ESET Mail Security > Outils > Planificateur. Vous trouverez ci-dessous
un guide abrégé indiquant comment planifier une tâche qui analyse les disques locaux toutes les 24 heures.
Pour programmer une tâche d'analyse :
1. Cliquez sur Ajouter dans l'écran principal du planificateur.
2. Sélectionnez Analyse de l'ordinateur à la demande dans le menu déroulant.
3. Saisissez un nom pour la tâche et sélectionnez Plusieurs fois.
4. Choisissez de lancer la tâche toutes les 24 heures (1 440 minutes).
5. Sélectionnez une action à effectuer en cas de non-exécution de la tâche planifiée, quel qu'en soit le motif.
6. Passez en revue le résumé de la tâche planifiée, puis cliquez sur Terminer.
7. Dans le menu déroulant Cibles, sélectionnez Disques locaux.
8. Cliquez sur Terminer pour appliquer la tâche.
4.8.1.5 Comment éliminer un virus de votre serveur
Si votre ordinateur montre des signes d'infection par un logiciel malveillant (ralentissement, blocages fréquents,
par exemple), nous recommandons d'effectuer les opérations suivantes :
1. Dans la fenêtre principale ESET Mail Security, cliquez sur Analyse de l'ordinateur.
2. Cliquez sur Analyse intelligente pour démarrer l'analyse de votre système.
3. Une fois l'analyse terminée, consultez le journal pour s'informer sur le nombre de fichiers analysés, infectés et
nettoyés.
4. Si vous ne souhaitez analyser qu'une certaine partie de votre disque, choisissez Analyse personnalisée et
sélectionnez les cibles à analyser.
4.8.2 Envoyer une demande d'assistance
Pour offrir l'assistance adéquate le plus rapidement possible, ESET requiert des informations sur la configuration de
ESET Mail Security, sur le système et les processus en cours (fichier journal ESET SysInspector), ainsi que les données
du Registre. ESET utilise ces données uniquement pour fournir une assistance technique au client.
Lorsque vous envoyez le formulaire Web, les données de configuration de votre système sont également envoyées
à ESET. Sélectionnez Toujours envoyer ces informations si vous souhaitez mémoriser cette action pour ce processus.
Pour soumettre le formulaire sans envoyer de données, cliquez sur Ne pas envoyer les données. Vous pouvez ainsi
contacter le service client ESET à l'aide du formulaire d'assistance en ligne.
Ce paramètre peut être également configuré dans Configuration avancée > Outils > Diagnostics > Service client.
REMARQUE: si vous avez décidé d'envoyer les données système, vous devez remplir le formulaire Web et
l'envoyer. Sinon, votre ticket n'est pas créé et vos données système sont perdues.
84
4.8.3 ESET Outil de nettoyage spécialisé
L'outil de nettoyage spécialisé ESET est un outil de suppression des infections courantes par logiciels malveillants
tels que Conficker, Sirefef ou Necurs. Pour plus d'informations, consultez cet article de la base de connaissances
ESET.
4.8.4 À propos d'ESET Mail Security
Cette fenêtre comporte des informations détaillées sur la version d'ESET Mail Security installée, et répertorie les
modules du programme installés. La partie supérieure de la fenêtre comporte des informations sur le système
d'exploitation et les ressources du système.
Vous pouvez copier les informations sur les modules (Composants installés) dans le Presse-papiers en cliquant sur
Copier. Ce procédé peut être utile pour la résolution des problèmes ou lorsque vous contactez l'assistance
technique.
85
4.8.5 Activation du produit
Une fois l'installation terminée, vous êtes invité à activer le produit.
Plusieurs méthodes permettent d'activer le produit. Certains scénarios d'activation proposés dans la fenêtre
d'activation peuvent varier en fonction du pays et selon le mode de distribution (CD/DVD, page Web ESET, etc.).
Pour activer votre copie d'ESET Mail Security directement à partir du programme, cliquez sur l'icône dans la partie
système de la barre des tâches, puis sélectionnez Activer la licence du produit dans le menu. Vous pouvez
également activer le produit dans le menu principal sous Aide et assistance > Activer la licence ou État de la
protection > Activer la licence du produit.
Pour activer ESET Mail Security, vous pouvez utiliser l'une des méthodes suivantes :
Clé de licence : chaîne unique au format XXXX-XXXX-XXXX-XXXX-XXXX qui sert à identifier le propriétaire de la
licence et à activer la licence.
Compte Administrateur Sécurité : compte créé sur le portail ESET License Administrator à l'aide d'informations
d'identification (adresse électronique + mot de passe). Cette méthode permet de gérer plusieurs licences à partir
d'un seul emplacement.
Fichier de licence hors ligne : fichier généré automatiquement qui est transféré au produit ESET afin de fournir
des informations de licence. Ce fichier de licence hors ligne est généré à partir du portail des licences. Il est utilisé
dans les environnements dans lesquelles l'application ne peut pas se connecter à l'autorité de certification.
Cliquez sur Activer ultérieurement avec ESET Remote Administrator si votre ordinateur est membre d'un réseau
géré et si l'administrateur effectue l'activation à distance via ESET Remote Administrator. Vous pouvez également
utiliser cette option si vous souhaitez activer ce client ultérieurement.
Dans la fenêtre principale du programme, cliquez sur Aide et assistance > Gérer la licence pour gérer les
informations de licence à tout moment. L'ID de licence publique s'affiche ; il sert à identifier votre produit et votre
licence auprès d'ESET. Le nom d'utilisateur sous lequel l'ordinateur est enregistré auprès du système de gestion des
licences est stocké dans la section À propos. Il est visible lorsque vous cliquez avec le bouton droit sur l'icône
dans la partie système de la barre des tâches.
REMARQUE : ESET Remote Administrator peut activer des ordinateurs clients en silence à l'aide des licences
fournies par l'administrateur.
4.8.5.1 Enregistrement
Veuillez enregistrer votre licence en renseignant les champs contenus dans le formulaire d'enregistrement, puis en
cliquant sur Continuer. Les champs signalés comme obligatoires sont requis. Ces informations seront utilisées
uniquement pour les questions liées à votre licence ESET.
4.8.5.2 Activation de Security Admin
Le compte Security Admin est un compte créé sur le portail des licences à l'aide de vos adresse électronique et mot
de passe. Il peut voir toutes les autorisations des sièges. Un compte Security Admin permet de gérer plusieurs
licences. Si vous n'en avez pas, cliquez sur Créer un compte pour être redirigé vers la page Web d'ESET License
Administrator dans laquelle vous pouvez vous enregistrer à l'aide de vos informations d'identification.
Si vous avez oublié votre mot de passe, cliquez sur Mot de passe oublié ? pour être redirigé vers le portail ESET
Business. Saisissez votre adresse électronique et cliquez sur Envoyer. Vous recevrez ensuite un message contenant
des instructions pour réinitialiser votre mot de passe.
REMARQUE : pour plus d'informations sur l'utilisation d'ESET License Administrator, reportez-vous au guide de
l'utilisateur ESET License Administrator.
86
4.8.5.3 Échec de l'activation
L'activation d'ESET Mail Security a échoué. Vérifiez que vous avez saisi la clé de licence correcte ou que vous avez associé une licence hors ligne. Si vous disposez d'une licence hors ligne différente, saisissez-la de nouveau. Pour vérifier la clé de licence que vous avez saisie, cliquez sur revérifier la clé de licence ou sur acheter une nouvelle licence afin d'être redirigé vers notre page Web dans laquelle vous pouvez acheter une nouvelle licence.
4.8.5.4 Licence
Si vous sélectionnez l'option d'activation Security Admin, vous êtes invité à sélectionner une licence associée à
votre compte qui sera utilisée pour ESET Mail Security. Cliquez sur Activer pour continuer.
4.8.5.5 Progression de l'activation
ESET Mail Security procède maintenant à l'activation. Veuillez patienter. Cette opération peut prendre quelques
minutes.
4.8.5.6 Activation réussie
L'activation a été effectuée, et ESET Mail Security est désormais activé. À partir de maintenant, ESET Mail Security
recevra des mises à jour régulières pour identifier les menaces les plus récentes et protéger votre ordinateur.
Cliquez sur Terminé pour terminer l'activation du produit.
87
5. Utilisation d'ESET Mail Security
Le menu Configuration contient les sections suivantes auxquelles vous pouvez accéder grâce à des onglets :
Serveur
Ordinateur
Outils
Pour désactiver temporairement un module, cliquez sur le bouton bascule vert situé en regard. Notez que
cette opération peut diminuer le niveau de protection de l'ordinateur.
Pour réactiver la protection d'un composant de sécurité désactivé, cliquez sur le bouton bascule rouge .
Pour accéder aux paramètres détaillés d'un composant de sécurité spécifique, cliquez sur l'engrenage .
Cliquez sur Configuration avancée ou appuyez sur F5 pour accéder à des paramètres et des options
supplémentaires.
D'autres options sont disponibles au bas de la fenêtre de configuration. Pour charger les paramètres de
configuration à l'aide d'un fichier de configuration .xml ou pour enregistrer les paramètres de configuration actuels
dans un fichier de configuration, utilisez l'option Importer/exporter les paramètres. Pour plus d'informations,
consultez la section Importer/exporter les paramètres.
88
5.1 Serveur
ESET Mail Security offre à votre serveur Microsoft Exchange Server une excellente protection grâce aux
fonctionnalités suivantes :
Antivirus et antispyware
Protection antispam
Règles
Protection du transport des messages (Exchange Server 2007, 2010, 2013)
Protection de la base de données des boîtes aux lettres (Exchange Server 2003, 2007, 2010)
Analyse de base de données à la demande (Exchange Server 2007, 2010, 2013)
Quarantaine (paramètres du type de quarantaine de messages)
Cette section de la configuration avancée vous permet d'activer ou de désactiver la protection de la base de
données des boîtes aux lettres et la protection du transport des messages et de modifier la priorité de l'Agent.
REMARQUE : si vous exécutez Microsoft Exchange Server 2007 ou 2010 vous pouvez choisir entre la protection de
la base de données de boîtes aux lettres et une analyse de base de données à la demande. Sachez toutefois qu'une
seule de ces deux protections peut être active à la fois. Si vous choisissez d'utiliser l'analyse de base de données à la
demande, vous devez désactiver l'intégration de la protection de la base de données de boîtes aux lettres. Sinon,
l'analyse de base de données à la demande ne sera pas disponible.
89
5.1.1 Configuration de la priorité des agents
Dans le menu Configuration de la priorité des agents, vous pouvez définir la priorité selon laquelle les Agents ESET
Mail Security deviennent actifs après le démarrage de Microsoft Exchange Server. Une valeur numérique définit la
priorité. Plus la valeur est faible, plus la priorité est élevée. Cette configuration s'applique à Microsoft
Exchange 2003.
Cliquez sur le bouton Modifier pour accéder à la configuration de la priorité des agents. Vous pouvez définir la
priorité d'activation des Agents ESET Mail Security après le démarrage de Microsoft Exchange Server.
Modifier : définissez manuellement une valeur pour modifier la priorité de l'Agent sélectionné.
Monter : augmente la priorité de l'Agent sélectionné par son déplacement vers le haut dans la liste des Agents.
Descendre : diminue la priorité de l'Agent sélectionné par son déplacement vers le bas dans la liste des Agents.
Avec Microsoft Exchange Server 2003, vous pouvez spécifier la priorité des Agents indépendamment à l'aide
d'onglets pour la fin des données et le destinataire.
5.1.1.1 Modifier la priorité
Si vous exécutez Microsoft Exchange Server 2003, vous pouvez définir manuellement une valeur pour modifier la
priorité de l'agent de transport. Modifiez la valeur dans le champ de texte ou utilisez les flèches Haut et Bas pour
modifier la priorité. Plus la valeur est faible, plus la priorité est élevée.
5.1.2 Configuration de la priorité des agents
Dans le menu Configuration de la priorité des agents, vous pouvez définir la priorité selon laquelle les Agents ESET
Mail Security deviennent actifs après le démarrage de Microsoft Exchange Server. Cette configuration s'applique à
Microsoft Exchange 2007 et version ultérieure.
90
Monter : augmente la priorité de l'Agent sélectionné par son déplacement vers le haut dans la liste des Agents.
Descendre : diminue la priorité de l'Agent sélectionné par son déplacement vers le bas dans la liste des Agents.
5.1.3 Antivirus et antispyware
Dans cette section, vous pouvez configurer les options Antivirus et antispyware pour votre serveur de messagerie.
Important : la protection du transport des messages est assurée par l'agent de transport et est uniquement
disponible pour Microsoft Exchange Server 2007 ou version ultérieure. Votre serveur Exchange Server doit toutefois
avoir le rôle serveur de transport Edge ou serveur de transport Hub. Cela s'applique également à une seule
installation de serveur avec plusieurs rôles Exchange Server sur un ordinateur (s'il comprend le rôle de serveur de
transport Edge ou Hub).
Protection du transport des messages :
Si vous désactivez l'option Activer la protection antivirus et antispyware du transport des messages, le plugin ESET
Mail Security du serveur Exchange n'est pas déchargé depuis le processus du serveur Microsoft Exchange. Il passe
uniquement en revue les messages sans rechercher les virus sur la couche de transport. Les messages font toujours
l'objet d'une recherche de virus et de courrier indésirable sur la couche de base de données et les règles existantes
sont appliquées.
Protection de la base de données de boîtes aux lettres :
Si vous désactivez l'option Activer la protection antivirus et antispyware de la base de données de boîtes aux
lettres, le plugin ESET Mail Security du serveur Exchange n'est pas déchargé depuis le processus du serveur
Microsoft Exchange. Il passe uniquement en revue les messages sans rechercher les virus sur la couche de base de
données. Les messages font toujours l'objet d'une recherche de virus et de courrier indésirable sur la couche de
base de données et les règles existantes sont appliquées.
91
5.1.4 Protection antispam
La protection antispam de votre serveur de messagerie est activée par défaut. Pour la désactiver, cliquez sur le
commutateur en regard de l'option Activer la protection antispam.
Grâce à la fonction Utiliser les listes blanches Exchange Server pour ignorer automatiquement la protection
antispam, ESET Mail Security peut utiliser les listes blanches spécifiques d'Exchange. Lorsqu'elle est activée, les
éléments suivants sont à prendre en compte :
L'adresse IP du serveur figure dans la liste des adresses IP autorisées du serveur Exchange Server.
La boîte aux lettres du destinataire du message comporte un indicateur de non-prise en charge de la protection
antispam.
Le destinataire du message dispose de l'adresse de l'expéditeur dans la liste des expéditeurs approuvés (vérifiez
que vous avez configuré la synchronisation de la liste des expéditeurs approuvés dans l'environnement de
serveur Exchange Server, y compris Agrégation de listes fiables).
Si l'un des cas ci-dessus s'applique à un message entrant, la vérification antispam est ignorée pour ce message. Par
conséquent, l'éventuelle nature INDÉSIRABLE de ce message n'est pas évaluée et il est remis à la boîte aux lettres
du destinataire.
L'option Accepter l'indicateur de non-prise en charge de la protection antispam défini sur la session SMTP est utile
si vous avez authentifié les sessions SMTP entre les serveurs Exchange Server avec le paramètre de contournement
antispam. Par exemple, si vous avez un serveur Edge et un serveur Hub, il n'est pas nécessaire d'exécuter l'analyse
sur le trafic entre ces deux serveurs. L'option Accepter l'indicateur de non-prise en charge de la protection antispam
défini sur la session SMTP est activée par défaut. Elle n'est toutefois appliquée que si un indicateur de
contournement antispam est configuré pour la session SMTP sur le serveur Exchange Server. Si vous désactivez
l'option Accepter l'indicateur de non-prise en charge de la protection antispam défini sur la session SMTP, ESET Mail
Security analyse la session SMTP pour rechercher du courrier indésirable indépendamment du paramètre de
contournement antispam sur le serveur Exchange Server.
92
REMARQUE : la base de données antispam doit être mise à jour régulièrement pour que le module de blocage de
courrier indésirable offre la meilleure protection. Pour mettre à jour régulièrement la base de données antispam,
vérifiez que ESET Mail Security a accès aux adresses IP correctes sur les ports nécessaires. Pour plus d'informations
sur les adresses IP et les ports à activer sur le pare-feu tiers, reportez-vous à cet article de base de connaissances.
5.1.4.1 Filtrage et vérification
Vous pouvez configurer des listes d'éléments autorisés, bloqués et ignorés en spécifiant des critères tels que
l'adresse IP ou la plage, le nom de domaine, etc. Pour ajouter, modifier ou supprimer un critère, cliquez sur
Modifier pour la liste à gérer.
Liste des adresses IP approuvées
Liste des adresses IP bloquées
Liste des adresses IP ignorées
Liste des domaines de corps bloqués
Liste des domaines de corps ignorés
Liste des adresses IP de corps bloquées
Liste des adresses IP de corps ignorées
Liste d'expéditeurs approuvés
Liste des expéditeurs bloqués
Domaine approuvé dans la liste des adresses IP
Domaine bloqué dans la liste des adresses IP
Domaine ignoré dans la liste des adresses IP
Liste des jeux de caractères bloqués
Liste des pays bloqués
93
5.1.4.2 Paramètres avancés
Ces paramètres permettent la vérification des messages par des serveurs externes (RBL - Realtime Blackhole List,
DNSBL - DNS Blocklist) selon des critères définis.
Limite d'exécution de requête RBL (en secondes) : : cette option vous permet de définir une durée maximale pour
les requêtes RBL. Les réponses RBL utilisées sont celles qui proviennent exclusivement des serveurs RBL qui ont
répondu dans les temps. Si la valeur est définie sur 0, aucun délai n'est appliqué.
Nombre maximum de domaines vérifiés par rapport à RBL : : cette option vous permet de limiter le nombre
d'adresses IP qui sont interrogées sur le serveur RBL. Notez que le nombre total d'interrogations RBL correspond au
nombre d'adresses IP figurant dans les en-têtes Reçu (jusqu'à un maximum d'adresses IP maxcheck RBL) multiplié
par le nombre de serveurs RBL indiqués dans la liste RBL. Si la valeur est définie sur 0, un nombre illimité d'en-têtes
reçus est vérifié. Notez que les adresses IP figurant dans la liste des adresses IP ignorées ne sont pas prises en
compte dans la limite des adresses IP RBL.
Limite d'exécution de requête DNSBL (en secondes) : : vous permet de définir un délai maximal pour l'exécution de
toutes les requêtes DNSBL.
Nombre maximum d'adresses vérifiées par rapport à DNSBL : : vous permet de limiter le nombre d'adresses IP qui
sont interrogées sur le serveur DNS Blocklist.
Nombre maximum de domaines vérifiés par rapport à DNSBL : : vous permet de limiter le nombre de domaines qui
sont interrogés sur le serveur DNS Blocklist.
Service RBL : : indique la liste des serveurs RBL (Realtime Blackhole List) à interroger lors de l'analyse des messages.
Reportez-vous à la section RBL de ce document pour plus d'informations.
Service DNSBL : : indique la liste des serveurs DNSBL (DNS Blocklist) à interroger, avec les domaines et les adresses
IP extraits du corps du message.
94
Activer la journalisation des données de diagnostic du moteur : écrit des informations détaillées sur le moteur
antispam dans les fichiers journaux à des fins de diagnostic.
Taille de message maximale à analyser (Ko) : limite l'analyse antispam des messages plus volumineux que la valeur
spécifiée. Ces messages ne sont pas analysés par le moteur antispam.
5.1.4.3 Paramètres de mise en liste grise
La fonction Activer la mise en liste grise active une fonctionnalité qui protège les utilisateurs du courrier indésirable
à l'aide de la technique suivante : L'agent de transport envoie une valeur de retour SMTP indiquant un rejet
temporaire (temporarily reject) (la valeur par défaut est 451/4.7.1) pour tout message qui ne provient pas d'un
expéditeur reconnu. Un serveur légitime essaie de renvoyer le message après un délai. Les serveurs de courrier
indésirable n'essaient généralement pas de renvoyer le message, car ils envoient des messages à des milliers
d'adresses électroniques et ne perdent pas de temps à relancer des expéditions. La mise en liste grise est une
couche supplémentaire de protection antispam et n'a aucun effet sur les fonctionnalités d'évaluation du module de
blocage de courrier indésirable.
Lors de l'évaluation de la source du message, la méthode de mise en liste grise prend en compte les listes
d'adresses IP approuvées, ignorées, autorisées et d'expéditeurs sûrs sur le serveur Exchange et les paramètres
AntispamBypass de la boîte aux lettres du destinataire. Les messages de ces listes d'adresses IP/d'expéditeurs ou
ceux remis à une boîte aux lettres dont l'option AntispamBypass est activée sont ignorés par la méthode de
détection de mise en liste grise.
Utiliser uniquement la partie domaine de l'adresse de l'expéditeur : ignore le nom du destinataire dans l'adresse
électronique ; seul le domaine est pris en compte.
Durée limite du refus de connexion initial (min) : lorsqu'un message est remis pour la première fois et qu'il est
refusé temporairement, ce paramètre définit la période pendant laquelle le message est toujours refusé (mesuré
depuis le premier refus). Une fois la période écoulée, le message est reçu correctement. La valeur minimum que
vous entrez est de 1 minute.
Durée avant expiration des connexions non vérifiées (heures) : ce paramètre définit l'intervalle minimum pendant
lequel les données de triplet sont stockées. Un serveur valide doit renvoyer un message souhaité avant l'expiration
de cette période. Cette valeur doit être supérieure à la valeur Durée limite du refus de connexion initial.
95
Durée avant expiration des connexions vérifiées (jours) : nombre minimum de jours pendant lesquels les
Code de réponse
Code d'état
Message de réponse
451
4.7.1
Requested action aborted: local error in processing
(Action demandée interrompue : erreur locale en
cours de traitement)
informations de triplet doivent être stockées et pendant lesquels les messages d'un expéditeur défini sont reçus
sans délai. Cette valeur doit être supérieure à la valeur Durée avant expiration des connexions non vérifiées.
Réponse SMTP (pour les connexions refusées temporairement) : vous pouvez spécifier un code de réponse, un
code d'état et un message de réponse, qui définissent la réponse de refus temporaire SMTP envoyée au serveur
SMTP si un message est refusé.
Exemple de message de réponse de rejet SMTP :
AVERTISSEMENT : une syntaxe incorrecte des codes de réponses SMTP peut provoquer un dysfonctionnement de
la protection par mise en liste grise. En conséquence, les messages de courrier indésirable peuvent être remis à des
clients ou des messages ne peuvent pas être délivrés du tout.
REMARQUE : vous pouvez également utiliser des variables système lors de la définition de la réponse SMTP de
rejet.
96
5.1.5 Règles
Les règles permettent aux administrateurs de définir manuellement les conditions de filtrage des messages électroniques et les actions à exécuter sur les messages électroniques filtrés.
Il existe trois ensembles de règles distincts. Les règles disponibles dans votre système dépendent de la version de
Microsoft Exchange Server installée avec ESET Mail Security sur le serveur.:
Protection de la base de données des boîtes aux lettres - Ce type de protection est uniquement disponible pour
Microsoft Exchange Server 2010, 2007 et 2003 avec le rôle serveur de boîte aux lettres (Microsoft Exchange 2010 et
2007) ou serveur principal (Microsoft Exchange 2003). Ce type d'analyse peut être effectué sur une seule
installation de serveur avec plusieurs rôles Exchange Server sur un ordinateur (s'il comprend le rôle de serveur de
boîte aux lettres ou de serveur principal).
Protection du transport des messages - Cette protection est assurée par l'agent de transport et est uniquement
disponible pour Microsoft Exchange Server 2007 ou version ultérieure avec le rôle serveur de transport Edge ou
serveur de transport Hub. Ce type d'analyse peut être effectué sur une seule installation de serveur avec
plusieurs rôles Exchange Server sur un ordinateur (s'il comprend un des rôles de serveur indiqués).
Analyse de base de données à la demande - Permet d'exécuter ou de planifier une analyse de la base de données
de boîtes aux lettres Exchange. Cette fonctionnalité est uniquement disponible pour Microsoft Exchange
Server 2007 ou version ultérieure avec le rôle serveur de boîte aux lettres ou serveur de transport Hub. Ce type
d'analyse s'applique également à une seule installation de serveur avec plusieurs rôles Exchange Server sur un
ordinateur (s'il comprend un des rôles de serveur indiqués). Pour plus d'informations sur les rôles
d'Exchange 2013, consultez Rôles Exchange Server 2013.
5.1.5.1 Liste des règles
Une règle est composée de conditions et d'actions. Une fois que toutes les conditions d'un message électronique
sont remplies, les actions sont exécutées sur celui-ci. En d'autres termes, les règles sont appliquées en fonction
d'un ensemble de conditions combinées. Si plusieurs conditions sont associées à une règle, elles sont combinées à
l'aide de l'opérateur logique ET et la règle n'est appliquée que lorsque les conditions sont réunies.
La fenêtre Liste des règles affiche les règles existantes. Les règles sont classées dans trois niveaux et évaluées dans
cet ordre :
Règles de filtrage (1)
Règles de traitement des pièces jointes (2)
Règles de traitement des résultats (3)
Les règles d'un même niveau sont évaluées dans le même ordre que celui de leur affichage dans la fenêtre Règles.
Vous pouvez uniquement modifier l'ordre des règles d'un même niveau. Par exemple, si vous disposez de plusieurs
règles de filtrage, vous pouvez modifier l'ordre de leur application. Vous ne pouvez pas modifier leur ordre en
plaçant les règles de traitement des pièces jointes avant les règles de filtrage (les boutons Monter/Descendre ne
sont pas disponibles). En d'autres termes, vous ne pouvez pas mélanger des règles de niveaux différents.
La colonne Correspondances affiche le nombre de fois que la règle a été appliquée. Si vous décochez une case (à
gauche du nom de chaque règle), la règle correspondante est désactivée jusqu'à ce que vous recochiez la case.
Ajouter... : ajoute une nouvelle règle.
Modifier... : modifie une règle existante.
Supprimer : supprime une règle sélectionnée.
Monter : déplace la règle sélectionnée vers le haut de la liste.
Descendre : déplace la règle sélectionnée vers le bas de la liste.
Réinitialiser : réinitialise le compteur de règles (colonne Correspondances).
REMARQUE : si une nouvelle règle est ajoutée ou une règle existante est modifiée, une nouvelle analyse des
messages démarre automatiquement à l'aide des règles créées/modifiées.
97
Les règles permettent de vérifier un message lorsque celui est traité par l'agent de transport ou VSAPI. Si les deux
méthodes, agent de transport et VSAPI, sont activées et que le message correspond aux conditions de la règle, le
nombre de règles peut augmenter de 2 ou plus. Le système VSAPI accède en effet séparément au corps et à la pièce
jointe d'un message, ce qui signifie que les règles sont appliquées à chacune de ces parties. Les règles sont
également appliquées lors de l'analyse en arrière-plan (lorsque ESET Mail Security effectue par exemple une
analyse des boîtes aux lettres suite au téléchargement d'une nouvelle base des signatures de virus), ce qui peut
augmenter le compteur de règles.
5.1.5.1.1 Assistant Règle
Vous pouvez définir des conditions et des actions à l'aide de l'assistant Règle. Définissez d'abord les conditions, puis
les actions. Cliquez sur Ajouter pour afficher la fenêtre Condition de règle dans laquelle vous pouvez sélectionner
un type de condition, une opération et une valeur. À ce stade, vous pouvez ajouter une action de règle. Une fois les
conditions et les actions définies, saisissez un nom pour la règle (un nom significatif vous permettant de reconnaître
la règle). Ce nom sera affiché dans la liste des règles. Si vous souhaitez préparer des règles en vue d'une utilisation
ultérieure, vous pouvez cliquer sur le commutateur en regard de l'option Active pour désactiver la règle. Pour
activer une règle, cochez la case en regard de celle-ci dans la liste des règles.
Certaines conditions et actions sont différentes pour les règles propres à la protection du transport des messages, à
la protection de la base de données de boîtes aux lettres et à l'analyse de base de données à la demande. Chaque
type de protection utilise en effet une approche un peu différente lors du traitement des messages, tout
particulièrement la protection du transport des messages.
98
5.1.5.1.1.1 Condition de règle
Cet assistant permet d'ajouter des conditions pour une règle. Sélectionnez Type > Opération dans la liste
déroulante (la liste des opérations change en fonction du type de règle sélectionné), puis Paramètre. Les champs de
paramètre changent en fonction du type de règle et de l'opération.
Choisissez par exemple Taille de la pièce jointe > est supérieur à , puis, sous Paramètre, spécifiez 10 Mo. Avec ces
paramètres, un message qui contient une pièce jointe dont la taille est supérieure à 10 Mo est traité à l'aide de
l'action de règle que vous avez spécifiée. Pour cette raison, vous devez spécifier une action à entreprendre
lorsqu'une règle donnée est déclenchée si vous ne l'avez pas fait lors de la définition des paramètres de cette règle.
REMARQUE : il est possible d'ajouter plusieurs conditions pour une règle. Lors de l'ajout de plusieurs conditions,
les conditions qui s'annulent mutuellement ne sont pas affichées.
Les conditions suivantes sont disponibles pour la protection du transport des messages (certaines options peuvent
ne pas s'afficher selon les conditions précédemment sélectionnées) :
Objet : s'applique aux messages qui contiennent ou non une chaîne spécifique (ou une expression régulière) dans
l'objet.
Expéditeur : s'applique aux messages envoyés par un expéditeur spécifique.
Destinataire : s'applique aux messages envoyés à un destinataire spécifique.
Nom de la pièce jointe : s'applique aux messages qui contiennent des pièces jointes avec un nom spécifique.
Taille de la pièce jointe : s'applique aux messages dont la pièce jointe ne correspond pas à la taille spécifiée, se
trouve dans la plage de tailles spécifiée ou dépasse la taille spécifiée.
Type de la pièce jointe : s'applique aux messages avec un type de fichier joint spécifique. Les types de fichier sont
classés dans des groupes pour une sélection aisée. Vous pouvez sélectionner plusieurs types de fichier ou des
catégories entières.
Taille du message : s'applique aux messages dont les pièces jointes ne correspondent pas à la taille spécifiée, se
trouvent dans la plage de tailles spécifiée ou dépassent la taille spécifiée.
Résultat de l'analyse antispam : s'applique aux messages marqués ou non comme étant indésirables ou
légitimes.
Résultat de l'analyse antivirus : s'applique aux messages marqués comme étant malveillants ou non.
Message interne : s'applique selon qu'un message est interne ou non.
Heure de réception : s'applique aux messages reçus avant ou après une date spécifique ou dans une plage de
dates spécifique.
En-têtes de message : s'applique aux messages contenant des données spécifiques dans l'en-tête.
Contient une archive protégée par mot de passe : s'applique aux messages dont les pièces jointes d'archive sont
protégées par mot de passe.
Contient une archive endommagée : s'applique aux messages dont les pièces jointes d'archive sont
endommagées (qui ne peuvent généralement pas être ouvertes).
Adresse IP de l'expéditeur : s'applique aux messages envoyés à partir d'une adresse IP spécifique.
Domaine de l'expéditeur : s'applique aux messages provenant d'un expéditeur avec un domaine spécifique dans
son adresse électronique.
99
Unités d'organisation du destinataire : s'applique aux messages envoyés à un destinataire d'une unité
d'organisation spécifique.
Les conditions suivantes sont disponibles pour la protection de la base de données de boîtes aux lettres et l'analyse
de base de données à la demande (certaines options peuvent ne pas s'afficher selon les conditions précédemment
sélectionnées) :
Objet : s'applique aux messages qui contiennent ou non une chaîne spécifique (ou une expression régulière) dans
l'objet.
Expéditeur : s'applique aux messages envoyés par un expéditeur spécifique.
Destinataire : s'applique aux messages envoyés à un destinataire spécifique.
Boîte aux lettres : s'applique aux messages situés dans une boîte aux lettres spécifique.
Nom de la pièce jointe : s'applique aux messages qui contiennent des pièces jointes avec un nom spécifique.
Taille de la pièce jointe : s'applique aux messages dont la pièce jointe ne correspond pas à la taille spécifiée, se
trouve dans la plage de tailles spécifiée ou dépasse la taille spécifiée.
Type de la pièce jointe : s'applique aux messages avec un type de fichier joint spécifique. Les types de fichier sont
classés dans des groupes pour une sélection aisée. Vous pouvez sélectionner plusieurs types de fichier ou des
catégories entières.
Résultat de l'analyse antivirus : s'applique aux messages marqués comme étant malveillants ou non.
Heure de réception : s'applique aux messages reçus avant ou après une date spécifique ou dans une plage de
dates spécifique.
En-têtes de message : s'applique aux messages contenant des données spécifiques dans l'en-tête.
Contient une archive protégée par mot de passe : s'applique aux messages dont les pièces jointes d'archive sont
protégées par mot de passe.
Contient une archive endommagée : s'applique aux messages dont les pièces jointes d'archive sont
endommagées (qui ne peuvent généralement pas être ouvertes).
Adresse IP de l'expéditeur : s'applique aux messages envoyés à partir d'une adresse IP spécifique.
Domaine de l'expéditeur : s'applique aux messages provenant d'un expéditeur avec un domaine spécifique dans
son adresse électronique.
5.1.5.1.1.2 Action de règle
Vous pouvez ajouter des actions qui seront entreprises sur des messages et/ou des pièces jointes et qui
correspondent aux conditions de règle.
REMARQUE : il est possible d'ajouter plusieurs conditions pour une règle. Lors de l'ajout de plusieurs conditions,
les conditions qui s'annulent mutuellement ne sont pas affichées.
Les actions suivantes sont disponibles pour la protection du transport des messages (certaines options peuvent ne
pas s'afficher selon les conditions précédemment sélectionnées) :
Mettre le message en quarantaine : le message ne sera pas remis au destinataire et sera déplacé vers la
quarantaine des messages.
Supprimer la pièce jointe : supprime la pièce jointe d'un message. Le message sera remis au destinataire sans la
pièce jointe.
Refuser le message : le message ne sera pas remis et un rapport de non-remise sera envoyé à l'expéditeur.
Supprimer le message en silence : supprime un message sans envoyer de rapport de non-remise.
100
Loading...