ESET Mail Security User Manual [fr]

ESET MAIL SECURITY
POUR MICROSOFT EXCHANGE SERVER
Manuel d'installation et guide de l'utilisateur
Microsoft® Windows® Server 2003 / 2008 / 2008 R2 / 2012 / 2012 R2
Cliquez ici pour télécharger la dernière version de ce document.
ESET MAIL SECURITY
ESET Mail Security a été développé par ESET, spol . s r.o.
Pour plus d'informa tions , vis itez www.eset.com. Tous droi ts rés ervés . Aucune partie de cette documentati on ne peut être reprodui te, stockée dans un s ystème d'archivage ou transmise s ous quelque forme ou par quelque moyen que ce soi t, él ectronique, méca nique, photocopi e, enregis trement, numé ris ation ou autre sans l 'autorisa tion écrite de l'aute ur. ESET, spol . s r.o. se réserve le droit de modifier les applicati ons décrites s ans préavis .
Service client : www.eset.com/s upport
RÉV. 21/10/2015
Table des
.......................................................6Introduction1.
....................................................................................................6Nouveautés de la version 61.1
....................................................................................................7Pages d'aide1.2
....................................................................................................7Méthodes utilisées1.3
1.3.1
1.3.2
1.3.3
Protection de la base de données de boîtes aux
..............................................................................8
lettres
..............................................................................8Protection du transport des messages
..............................................................................8Analyse de base de données à la demande
....................................................................................................10Types de protection1.4
1.4.1
1.4.2
1.4.3
..............................................................................10Protection antivirus
..............................................................................10Protection antispam
..............................................................................11Application des règles définies par l'utilisateur
....................................................................................................11Interface utilisateur1.5
....................................................................................................12Gérés via ESET Remote Administrator1.6
1.6.1
1.6.2
1.6.3
1.6.4
1.6.5
..............................................................................12ERA Server
..............................................................................13Console Web
..............................................................................13Agent
..............................................................................14RD Sensor
..............................................................................14Proxy
.......................................................15Configuration système2.
.......................................................16Installation3.
....................................................................................................17Étapes d'installation d'ESET Mail Security3.1
....................................................................................................20Activation du produit3.2
....................................................................................................21Terminal Server3.3
....................................................................................................21ESET AV Remover3.4
Mise à niveau vers une version plus
3.5
....................................................................................................21
récente Rôles Exchange Server - Comparaison
3.6
....................................................................................................22
entre Edge et Hub
....................................................................................................22Rôles Exchange Server 20133.7
Connecteur POP3 et protection
3.8
....................................................................................................22
antispam
.......................................................24Guide du débutant4.
....................................................................................................24Interface utilisateur4.1
....................................................................................................27Fichiers journaux4.2
....................................................................................................30Analyser4.3
4.3.1
....................................................................................................33Quarantaine de messages4.4
4.4.1
....................................................................................................36Mise à jour4.5
4.5.1
4.5.2
....................................................................................................40Configuration4.6
4.6.1
4.6.2
4.6.3
4.6.4
..............................................................................31Analyse Hyper-V
..............................................................................35Détails du message électronique mis en quarantaine
..............................................................................38Configuration de la mise à jour de la base des virus
..............................................................................40Configuration du serveur proxy pour les mises à jour
..............................................................................41Serveur
..............................................................................42Ordinateur
..............................................................................44Outils
..............................................................................45Importer et exporter les paramètres
....................................................................................................46Outils4.7
4.7.1
4.7.2
4.7.3
4.7.4
4.7.5
4.7.6
4.7.6.1
4.7.6.2
4.7.6.3
4.7.7
4.7.7.1
4.7.7.2
4.7.7.2.1
4.7.7.2.1.1
4.7.7.2.2
4.7.7.2.2.1
4.7.7.2.2.2
4.7.7.2.2.1
4.7.7.2.2.3
4.7.7.2.3
4.7.7.2.4
4.7.7.2.4.1
4.7.7.2.4.2
4.7.7.2.4.3
4.7.7.2.5
4.7.8
4.7.9
4.7.10
4.7.10.1
4.7.10.2
4.7.10.3
4.7.10.4
4.7.10.5
4.7.11
....................................................................................................81Aide et assistance4.8
4.8.1
4.8.1.1
4.8.1.2
4.8.1.3
4.8.1.4
4.8.1.5
4.8.2
4.8.3
4.8.4
4.8.5
4.8.5.1
4.8.5.2
4.8.5.3
4.8.5.4
4.8.5.5
..............................................................................47Processus en cours
..............................................................................49Surveiller l'activité
..............................................................................50ESET Log Collector
..............................................................................51Statistiques de protection
..............................................................................52Cluster
..............................................................................54Shell ESET
..................................................................................55Utilisation
..................................................................................59Commandes
..................................................................................61Fichiers de commandes/scripts
..............................................................................62ESET SysInspector
..................................................................................62Créer un rapport de l'état de l'ordinateur
..................................................................................62ESET SysInspector
........................................................................62Introduction à ESET SysInspector
........................................................................63Démarrage d'ESET SysInspector
........................................................................63Interface utilisateur et utilisation de l'application
........................................................................63Contrôles du programme
........................................................................65Navigation dans ESET SysInspector
........................................................................66Raccourcis clavier
........................................................................67Comparer
........................................................................68Paramètres de la ligne de commande
........................................................................69Script de service
........................................................................69Création d'un script de service
........................................................................69Structure du script de service
........................................................................72Exécution des scripts de services
........................................................................72FAQ
..............................................................................74ESET SysRescue Live
..............................................................................74Planificateur
..............................................................................78Soumettre les échantillons pour analyse
..................................................................................79Fichier suspect
..................................................................................79Site suspect
..................................................................................79Fichier faux positif
..................................................................................80Site faux positif
..................................................................................80Autre
..............................................................................80Quarantaine
..............................................................................82Procédures
..................................................................................82Comment mettre à jour ESET Mail Security
..................................................................................82Comment activer ESET Mail Security
..................................................................................83Comment créer une tâche dans le Planificateur
Comment programmer une tâche d'analyse (toutes
..................................................................................84
les 24 heures)
..................................................................................84Comment éliminer un virus de votre serveur
..............................................................................84Envoyer une demande d'assistance
..............................................................................85ESET Outil de nettoyage spécialisé
..............................................................................85À propos d'ESET Mail Security
..............................................................................86Activation du produit
..................................................................................86Enregistrement
..................................................................................86Activation de Security Admin
..................................................................................87Échec de l'activation
..................................................................................87Licence
..................................................................................87Progression de l'activation
4.8.5.6
.......................................................88Utilisation d'ESET Mail Security5.
....................................................................................................89Serveur5.1
5.1.1
5.1.1.1
5.1.2
5.1.3
5.1.4
5.1.4.1
5.1.4.2
5.1.4.3
5.1.5
5.1.5.1
5.1.5.1.1
5.1.5.1.1.1
5.1.5.1.1.2
5.1.6
5.1.7
5.1.7.1
5.1.8
5.1.8.1
5.1.8.2
5.1.8.3
5.1.9
5.1.9.1
5.1.9.1.1
5.1.9.1.2
5.1.9.2
5.1.9.2.1
5.1.9.2.2
5.1.9.3
5.1.10
5.1.10.1
5.1.10.2
5.1.10.3
5.1.10.4
....................................................................................................125Ordinateur5.2
5.2.1
5.2.2
5.2.3
5.2.4
5.2.5
5.2.6
5.2.6.1
5.2.6.1.1
5.2.6.1.2
5.2.6.2
5.2.6.2.1
..................................................................................87Activation réussie
..............................................................................90Configuration de la priorité des agents
..................................................................................90Modifier la priorité
..............................................................................90Configuration de la priorité des agents
..............................................................................91Antivirus et antispyware
..............................................................................92Protection antispam
..................................................................................93Filtrage et vérification
..................................................................................94Paramètres avancés
..................................................................................95Paramètres de mise en liste grise
..............................................................................97Règles
..................................................................................97Liste des règles
........................................................................98Assistant Règle
........................................................................99Condition de règle
........................................................................100Action de règle
Protection de la base de données de boîtes aux
..............................................................................101
lettres
..............................................................................102Protection du transport des messages
..................................................................................104Paramètres avancés
..............................................................................105Analyse de base de données à la dema nde
..................................................................................107Éléments de boîte aux lettres supplémentaires
..................................................................................107Serveur proxy
..................................................................................107Détails du compte d'analyse de base de données
..............................................................................108Quarantaine de messages
..................................................................................108Quarantaine locale
........................................................................109Stockage de fichiers
........................................................................110Interface Web
Boîte aux lettres de quarantaine et quarantaine MS
..................................................................................113
Exchange Paramètres du gestionnaire de la mise en
........................................................................113
quarantaine
........................................................................114Serveur proxy
Détails du compte du gestionnaire de mise en
..................................................................................115
quarantaine
..............................................................................116Cluster
..................................................................................117Assistant Cluster - page 1
..................................................................................119Assistant Cluster - page 2
..................................................................................120Assistant Cluster - page 3
..................................................................................122Assistant Cluster - page 4
..............................................................................126Une infiltration est détectée
..............................................................................127Exclusions des processus
..............................................................................128Exclusions automatiques
..............................................................................128Cache local partagé
..............................................................................129Performances
..............................................................................129Protection en temps réel du système de fichiers
..................................................................................130Exclusions
........................................................................131Ajouter ou modifier une exclusion
........................................................................131Format d'exclusion
..................................................................................131Paramètres ThreatSense
........................................................................135Extensions exclues
5.2.6.2.2
5.2.6.2.3
5.2.6.2.4
5.2.6.2.5
5.2.6.2.6
5.2.6.2.7
5.2.6.2.8
5.2.6.2.9
5.2.7
5.2.7.1
5.2.7.2
5.2.7.3
5.2.7.4
5.2.7.5
5.2.8
5.2.9
5.2.9.1
5.2.10
5.2.11
5.2.12
5.2.12.1
5.2.12.1.1
5.2.12.2
5.2.12.2.1
....................................................................................................150Mettre à jour5.3
5.3.1
5.3.2
5.3.3
5.3.4
5.3.5
5.3.5.1
5.3.5.2
5.3.5.3
5.3.6
....................................................................................................160Internet et messagerie5.4
5.4.1
5.4.1.1
5.4.1.2
5.4.1.3
5.4.2
5.4.2.1
5.4.2.2
5.4.3
5.4.3.1
5.4.3.2
5.4.3.3
5.4.3.4
5.4.3.5
5.4.3.6
5.4.4
........................................................................135Autres paramètres ThreatSense
........................................................................135Niveaux de nettoyage
Quand faut-il modifier la configuration de la
........................................................................136
protection en temps réel
........................................................................136Vérification de la protection en temps réel
Que faire si la protection en temps réel ne fonctionne
........................................................................136
pas ?
........................................................................137Soumission
........................................................................137Statistiques
........................................................................137Fichiers suspects
..............................................................................138Analyse de l'ordinateur à la demande
..................................................................................138Lanceur d'analyses personnalisées
..................................................................................140Progression de l'analyse
..................................................................................141Gestionnaire de profils
..................................................................................142Cibles à analyser
..................................................................................142Suspendre une analyse planifiée
..............................................................................143Analyse en cas d'inactivité
..............................................................................144Analyse au démarrage
..................................................................................144Vérification automatique des fichiers de démarrage
..............................................................................144Supports amovibles
..............................................................................145Protection des documents
..............................................................................146HIPS
..................................................................................147Règles HIPS
........................................................................148Paramètres de règle HIPS
..................................................................................150Configuration avancée
........................................................................150Pilotes dont le chargement est toujours autorisé
..............................................................................152Paramètres avancés de mises à jour
..............................................................................153Mode de mise à jour
..............................................................................153Proxy HTTP
..............................................................................154Se connecter au reseau local en tant que
..............................................................................155Miroir
..................................................................................157Mise à jour à partir du miroir
..................................................................................159Fichiers miroir
..................................................................................159Dépannage des problèmes de miroir de mise à jour
..............................................................................159Comment créer des tâches de mise à jour
..............................................................................160Filtrage des protocoles
..................................................................................160Applications exclues
..................................................................................161Adresses IP exclues
..................................................................................161Clients Internet et de messagerie
..............................................................................161Contrôle de protocole SSL
..................................................................................162Communication SSL chiffrée
..................................................................................163Liste des certificats connus
..............................................................................163Protection du client de messagerie
..................................................................................164Protocoles de messagerie
..................................................................................165Alertes et notifications
..................................................................................165Barre d'outils MS Outlook
..................................................................................166Barre d'outils Outlook Express et Windows Mail
..................................................................................166Boîte de dialogue de confirmation
..................................................................................166Analyser à nouveau les messages
..............................................................................166Protection de l'accès Web
Table des
5.4.4.1
5.4.4.1.1
5.4.4.1.2
5.4.5
....................................................................................................171Contrôle de périphérique5.5
5.5.1
5.5.2
5.5.3
5.5.4
....................................................................................................175Outils5.6
5.6.1
5.6.1.1
5.6.2
5.6.3
5.6.4
5.6.4.1
5.6.4.2
5.6.5
5.6.6
5.6.6.1
5.6.6.2
5.6.6.3
5.6.7
5.6.8
5.6.8.1
5.6.9
5.6.10
5.6.11
5.6.12
....................................................................................................193Interface utilisateur5.7
5.7.1
5.7.2
5.7.2.1
5.7.2.2
5.7.3
5.7.4
5.7.5
5.7.6
5.7.6.1
5.7.6.2
5.7.7
5.7.7.1
5.7.8
..................................................................................167Gestion d'adresse URL
........................................................................168Créer une liste
........................................................................169Adresses HTTP
..............................................................................169Protection antihameçonnage
..............................................................................172Règles du contrôle des périphériques
..............................................................................173Ajout de règles de contrôle de périphérique
..............................................................................174Périphériques détectés
..............................................................................175Groupe de périphériques
..............................................................................176ESET Live Grid
..................................................................................177Filtre d'exclusion
..............................................................................177Quarantaine
..............................................................................178Microsoft Windows Update
..............................................................................178Fournisseur WMI
..................................................................................179Données fournies
..................................................................................184Accès aux données fournies
..............................................................................184Cibles à analyser ERA
..............................................................................185Fichiers journaux
..................................................................................185Filtrage des journaux
..................................................................................186Rechercher dans le journal
..................................................................................187Maintenance des journaux
..............................................................................188Serveur proxy
..............................................................................189Notifications par e-mail
..................................................................................190Format des messages
..............................................................................190Mode de présentation
..............................................................................191Diagnostics
..............................................................................191Service client
..............................................................................192Cluster
..............................................................................195Alertes et notifications
..............................................................................196Configuration de l'accès
..................................................................................197Mot de passe
..................................................................................197Configuration du mot de passe
..............................................................................197Aide
..............................................................................197Shell ESET
Désactivation de l'interface utilisateur graphique sur
..............................................................................198
Terminal Server
..............................................................................198États et messages désactivés
..................................................................................198Messages de confirmation
..................................................................................198États d’applica tion désactivés
..............................................................................199Icône dans la partie système de la barre des tâches
..................................................................................200Désactiver la protection
..............................................................................200Menu contextuel
5.10.5
5.10.6
5.10.7
5.10.8
5.10.9
5.10.10
5.10.11
....................................................................................................206Quarantaine5.11
5.11.1
5.11.2
5.11.3
....................................................................................................208Mises à jour du système d'exploitation5.12
.......................................................209Glossaire6.
....................................................................................................209Types d'infiltrations6.1
6.1.1
6.1.2
6.1.3
6.1.4
6.1.5
6.1.6
6.1.7
6.1.8
6.1.9
6.1.10
6.1.11
....................................................................................................213Courrier électronique6.2
6.2.1
6.2.2
6.2.3
6.2.4
6.2.4.1
6.2.4.2
6.2.4.3
6.2.4.4
6.2.4.5
..............................................................................203Planification de la tâche - Hebdomadairement
Planification de la tâche - Déclenchée par un
..............................................................................203
événement
..............................................................................204Détails de la tâche - Exécuter l'application
..............................................................................204Tâche ignorée
..............................................................................204Détails des tâches du planificateur
..............................................................................204Profils de mise à jour
..............................................................................205Création de nouvelles tâches
..............................................................................207Mise en quarantaine de fichiers
..............................................................................207Restauration depuis la quarantaine
..............................................................................207Soumission de fichiers de quarantaine
..............................................................................209Virus
..............................................................................209Vers
..............................................................................210Chevaux de Troie
..............................................................................210Rootkits
..............................................................................211Logiciels publicitaires
..............................................................................211Logiciels espions
..............................................................................211Compresseurs
..............................................................................212Bloqueur d'exploit
..............................................................................212Scanner de mémoire avancé
..............................................................................212Applications potentiellement dangereuses
..............................................................................212Applications potentiellement indésirables
..............................................................................213Publicités
..............................................................................213Canulars
..............................................................................214Hameçonnage
..............................................................................214Reconnaissance du courrier indésirable
..................................................................................214Règles
..................................................................................215Filtre bayésien
..................................................................................215Liste blanche
..................................................................................215Liste noire
..................................................................................216Contrôle côté serveur
Rétablir tous les paramètres de cette
5.8
....................................................................................................201
section
....................................................................................................201Rétablir les paramètres par défaut5.9
....................................................................................................202Planificateur5.10
5.10.1
5.10.2
5.10.3
5.10.4
..............................................................................203Détails de la tâche
..............................................................................203Planification de la tâche - Une fois
..............................................................................203Planification de la tâche
..............................................................................203Planification de la tâche - Quotidiennement
1. Introduction
ESET Mail Security 6 pour Microsoft Exchange Server est une solution intégrée qui protège les boîtes aux lettres de différents types de contenu malveillant, y compris les pièces jointes infectées par des vers ou des chevaux de Troie, les documents contenant des scripts malveillants, le hameçonnage et le courrier indésirable. ESET Mail Security fournit trois types de protection : antivirus, antispam et règles définies par l'utilisateur. ESET Mail Security filtre le contenu malveillant au niveau du serveur de messagerie, avant qu'il arrive dans la boîte de réception du destinataire, sur le client.
ESET Mail Security prend en charge Microsoft Exchange Server versions 2003 et ultérieures, ainsi que Microsoft Exchange Server dans un environnement en cluster. Dans les versions récentes (Microsoft Exchange Server 2003 et versions ultérieures), les rôles spécifiques (mailbox, hub, edge) sont également pris en charge. Vous pouvez gérer ESET Mail Security à distance dans des réseaux de grande taille grâce à ESET Remote Administrator.
ESET Mail Security fournit non seulement la protection de Microsoft Exchange Server, mais également tous les outils nécessaires à la protection du serveur proprement dit (protection résidente, protection de l'accès à Internet et protection du client de messagerie).
1.1 Nouveautés de la version 6
Gestionnaire de quarantaine de messages : l'administrateur peut inspecter les objets situés dans cette section de stockage et choisir de les supprimer ou de les libérer. Cette fonctionnalité simplifie la gestion des messages électroniques mis en quarantaine par l'agent de transport.
Interface Web Quarantaine de messages : version Web pouvant être utilisée à la place du gestionnaire de quarantaine de messages.
Moteur antispam : ce composant essentiel a été repensé et est désormais développé en interne.
Analyse de base de données à la demande : l'analyseur de base de données à la demande utilise l'API des services Web Exchange pour se connecter à Microsoft Exchange Server via les protocoles HTTP/HTTPS.
Règles : cette option de menu permet aux administrateurs de définir manuellement les conditions de filtrage des messages électroniques et les actions à exécuter sur les messages électroniques filtrés. Les règles de la dernière version d'ESET Mail Security ont été entièrement reconçues avec une approche différente.
ESET Cluster : à l'instar d'ESET File Security 6 pour Microsoft Windows Server, l'ajout de stations de travail à des nœuds permet une automatisation supplémentaire de la gestion en raison de la distribution possible d'une stratégie de configuration à tous les membres du cluster. La création de clusters est possible à l'aide du nœud installé. Les clusters peuvent ensuite installer et initier tous les nœuds à distance. Les produits serveur d'ESET peuvent communiquer les uns avec les autres et échanger des données (configuration et notifications, par exemple), ainsi que synchroniser les données nécessaires pour le fonctionnement correct d'un groupe d'instances de produit. Une même configuration du produit peut donc être utilisée pour tous les membres d'un cluster. ESET Mail Security prend en charge les clusters de basculement Windows ou d'équilibrage de la charge réseau. Vous pouvez également ajouter manuellement des membres ESET Cluster sans Cluster Windows spécifique. Les clusters ESET Cluster fonctionnent dans les environnements de domaine et de groupe de travail.
Analyse du stockage : analyse tous les dossiers partagés sur le serveur local. Vous pouvez sélectionner facilement pour l'analyse uniquement les données utilisateur stockées sur le serveur de fichiers.
Installation basée sur les composants : vous pouvez sélectionner les composants à ajouter ou supprimer.
Exclusions des processus - exclut des processus spécifiques de l'analyse antivirus à l'accès. En raison du rôle essentiel que jouent les serveurs dédiés (serveur d'applications, serveur de stockage, etc.), des sauvegardes régulières sont obligatoires pour garantir une reprise après incident dans les meilleurs délais. Pour accélérer les sauvegardes et garantir l'intégrité du processus et la disponibilité du service, certaines techniques, qui entrent en conflit avec la protection antivirus au niveau des fichiers, sont utilisées pendant les sauvegardes. Des problèmes identiques peuvent se produire lors des migrations dynamiques de machines virtuelles. La seule solution efficace pour éviter ces situations consiste à désactiver le logiciel antivirus. En excluant des processus spécifiques (ceux
6
de la solution de sauvegarde, par exemple), toutes les opérations sur les fichiers de ces processus exclus sont ainsi ignorées et considérées comme étant sûres, ce qui limite l'interférence avec le processus de sauvegarde. Il est recommandé de faire preuve de prudence lors de la création des exclusions. En effet, un outil de sauvegarde qui a été exclus peut accéder à des fichiers infectés sans déclencher d'alerte. C'est d'ailleurs la raison pour laquelle des autorisations étendues ne sont permises que dans le module de protection en temps réel.
ESET Log Collector : collecte automatiquement les informations telles que la configuration et les nombreux journaux d'ESET Mail Security. En facilitant la collecte des informations de diagnostic, ESET Log Collector simplifie le travail de résolution des problèmes pour les techniciens ESET.
eShell (ESET Shell) : eShell 2.0 est désormais disponible dans ESET Mail Security. eShell est une interface à ligne de commande qui offre aux utilisateurs expérimentés et aux administrateurs des options plus complètes pour gérer les produits serveur ESET.
Analyse Hyper-V : il s'agit d'une nouvelle technologie qui permet d'analyser les disques d'une machine virtuelle sur Microsoft Hyper-V Server sans nécessiter le moindre agent sur cette machine virtuelle spécifique.
1.2 Pages d'aide
Cher utilisateur, bienvenue dans ESET Mail Security. Ce guide a pour objectif de vous aider à optimiser l'utilisation de ESET Mail Security.
Les rubriques de ce guide sont divisées en plusieurs chapitres et sous-chapitres. Vous trouverez des informations pertinentes en parcourant le Sommaire des pages d'aide. Vous pouvez également utiliser l'Index pour naviguer à l'aide des mots-clés ou utiliser la Recherche en texte intégral.
Pour obtenir des informations sur une fenêtre du programme dans laquelle vous vous trouvez, appuyez simplement sur la touche F1 du clavier. La page d'aide relative à la fenêtre actuellement affichée apparaîtra.
ESET Mail Security permet de rechercher une rubrique dans les pages d'aide au moyen de mots-clés ou en tapant des mots ou des expressions depuis le guide de l'utilisateur. La différence entre ces deux méthodes est qu'un mot­clé peut être associé à des pages d'aide qui ne contiennent pas le mot-clé précis dans le texte. La recherche de mots et expressions examine le contenu de toutes les pages et affiche uniquement les pages contenant effectivement le mot ou l'expression en question.
1.3 Méthodes utilisées
Les trois méthodes suivantes sont utilisées pour analyser les messages électroniques :
Protection de la base de données de boîtes aux lettres : anciennement appelée analyse de boîtes aux lettres via VSAPI. Ce type de protection est uniquement disponible pour Microsoft Exchange Server 2010, 2007 et 2003 avec le rôle serveur de boîte aux lettres (Microsoft Exchange 2010 et 2007) ou serveur principal (Microsoft Exchange 2003). Ce type d'analyse peut être effectué sur une seule installation de serveur avec plusieurs rôles Exchange Server sur un ordinateur (s'il comprend le rôle de serveur de boîte aux lettres ou de serveur principal).
Protection du transport des messages : anciennement appelée filtrage de messages au niveau du serveur SMTP. Cette protection est assurée par l'agent de transport et est uniquement disponible pour Microsoft Exchange Server 2007 ou version ultérieure avec le rôle serveur de transport Edge ou serveur de transport Hub. Ce type d'analyse peut être effectué sur une seule installation de serveur avec plusieurs rôles Exchange Server sur un ordinateur (s'il comprend un des rôles de serveur indiqués).
Analyse de base de données à la demande : permet d'exécuter ou de planifier une analyse de la base de données de boîtes aux lettres Exchange. Cette fonctionnalité est uniquement disponible pour Microsoft Exchange Server 2007 ou version ultérieure avec le rôle serveur de boîte aux lettres ou serveur de transport Hub. Ce type d'analyse s'applique également à une seule installation de serveur avec plusieurs rôles Exchange Server sur un ordinateur (s'il comprend un des rôles de serveur indiqués). Pour plus d'informations sur les rôles d'Exchange 2013, consultez Rôles Exchange Server 2013.
7
1.3.1 Protection de la base de données de boîtes aux lettres
L'analyse de boîtes aux lettres est déclenchée et contrôlée par le serveur Microsoft Exchange. Les messages stockés dans la base de données du serveur Microsoft Exchange Server sont analysés en continu. En fonction de la version de Microsoft Exchange Server, de la version de l'interface VSAPI et des paramètres définis par l'utilisateur, l'analyse peut être déclenchée dans l'un des cas suivants :
lorsque l'utilisateur accède à sa messagerie, dans un client de messagerie par exemple (les messages sont toujours analysés avec la dernière base des signatures de virus) ; en arrière-plan, lorsque l'utilisation du serveur Microsoft Exchange Server est faible ; de manière proactive (en fonction de l'algorithme interne de Microsoft Exchange Server).
L'interface VSAPI est utilisée pour l'analyse antivirus et la protection basée sur les règles.
1.3.2 Protection du transport des messages
Le filtrage de messages au niveau du serveur SMTP est assuré par un plugin spécialisé. Dans Microsoft Exchange Server 2000 et 2003, ce plugin (récepteur d'événements) est enregistré sur le serveur SMTP dans le cadre des services IIS (Internet Information Services). Dans Microsoft Exchange Server 2007/2010, le plugin est enregistré en tant qu'agent de transport dans les rôles Edge ou Hub du serveur Microsoft Exchange.
Le filtrage au niveau du serveur SMTP effectué par un agent de transport offre une protection sous la forme de règles antivirus, antispam et définies par l'utilisateur. Contrairement au filtrage VSAPI, le filtrage au niveau du serveur SMTP est effectué avant l'arrivée des messages analysés dans la boîte aux lettres Microsoft Exchange Server.
1.3.3 Analyse de base de données à la demande
Comme l'exécution d'une analyse de base de données de messagerie complète peut entraîner une charge système indésirable, vous pouvez choisir quelles bases de données et quelles boîtes aux lettres analyser. Vous pouvez filtrer les cibles à analyser en spécifiant l'horodatage des messages à analyser afin de limiter l'impact sur les ressources système du serveur.
Les types d'élément suivants sont analysés dans les dossiers publics et les boîtes aux lettres des utilisateurs :
Courrier électronique Publication Éléments de calendrier (réunions/rendez-vous) Tâches Contacts Journal
Vous pouvez utiliser la liste déroulante pour sélectionner les messages à analyser en fonction de leur horodatage (les messages modifiés au cours de la semaine dernière, par exemple). Vous avez également la possibilité d'analyser tous les messages, si cela s'avère nécessaire.
Cochez la case située en regard de l'option Analyser le corps des messages pour activer ou désactiver l'analyse du corps des messages.
Cliquez sur Modifier pour sélectionner le dossier public à analyser.
8
9
Cochez les cases en regard des bases de données et des boîtes aux lettres du serveur à analyser. Le filtrage vous permet de retrouver rapidement les bases de données et les boîtes aux lettres, tout particulièrement si votre infrastructure Exchange contient un grand nombre de boîtes aux lettres.
Cliquez sur Enregistrer pour enregistrer les cibles à analyser et les paramètres dans le profil d'analyse à la demande.
1.4 Types de protection
Il existe trois types de protection :

Protection antivirus

Protection antispam

Application des règles définies par l'utilisateur
1.4.1 Protection antivirus
La protection antivirus est l'une des fonctions de base d'ESET Mail Security. La protection antivirus vous prémunit des attaques contre le système en contrôlant les échanges de fichiers et de courrier, ainsi que les communications Internet. Si une menace comportant un code malveillant est détectée, le module Antivirus peut l'éliminer en la bloquant dans un premier temps, puis en la nettoyant, en la supprimant ou en lamettant en quarantaine.
1.4.2 Protection antispam
La protection antispam intègre plusieurs technologies (RBL, DNSBL, empreintes digitales, vérification de la réputation, analyse de contenu, filtre bayésien, règles, création manuelle de liste blanche/noire, etc.) afin d'optimiser la détection des menaces par courrier électronique. Le moteur d'analyse antispam génère la probabilité, exprimée sous forme de pourcentage (0 à 100) selon laquelle un message donné peut être un courrier indésirable.
ESET Mail Security peut également utiliser la méthode de mise en liste grise (désactivée par défaut) du filtrage du courrier indésirable. Cette méthode repose sur la spécification RFC 821 : le protocole SMTP étant considéré comme étant non fiable, chaque agent de transfert de message doit réessayer plusieurs fois de livrer un message électronique en cas de défaillance temporaire de livraison. La plupart des messages indésirables sont remis une seule fois à une liste importante d'adresses électroniques générée automatiquement. La mise en liste grise calcule une valeur de contrôle (hachage) pour l'adresse de l'expéditeur, l'adresse du destinataire et l'adresse IP de l'agent de transfert de message chargé de l'envoi. Si le serveur ne parvient pas à détecter la valeur de contrôle du triplet
10
dans sa base de données, il refuse le message et renvoie un code de défaillance temporaire (par exemple 451). Un serveur légitime essaie de renvoyer le message après une période définie qui peut être variable. La valeur de contrôle triplet est stockée dans la base de données des connexions vérifiées lors de la deuxième tentative, ce qui permet ensuite de transférer correctement tout autre message ayant les mêmes caractéristiques.
1.4.3 Application des règles définies par l'utilisateur
La protection basée sur les règles permet d'effectuer des analyses à l'aide de VSAPI et de l'agent de transport. L'interface utilisateur ESET Mail Security permet de créer différentes règles qui peuvent être combinées. Si une règle utilise plusieurs conditions, ces dernières sont liées à l'aide de l'opérateur logique AND. Par conséquent, la règle n'est exécutée que si toutes ses conditions sont remplies. Si plusieurs règles sont créées, l'opérateur logique OR est appliqué, ce qui signifie que le programme exécute la première règle dont les conditions sont remplies.
Dans la séquence d'analyse, la première technique utilisée est la mise en liste grise, si elle est activée. Les procédures suivantes utilisent toujours les techniques suivantes : protection basée sur des règles définies par l'utilisateur, suivie d'une analyse antivirus et enfin d'une analyse antispam.
1.5 Interface utilisateur
ESET Mail Security dispose d'une interface utilisateur graphique très intuitive. Elle permet d'accéder très facilement aux principales fonctions du programme.
Outre l'interface utilisateur principale, une fenêtre Configuration avancée est accessible depuis tous les emplacements du programme par l'intermédiaire de la touche F5.
Depuis la fenêtre Configuration avancée, vous pouvez configurer les paramètres et les options en fonction de vos besoins. Le menu situé à gauche se compose des catégories suivantes : . Certaines des catégories comportent des sous-catégories. Lorsque vous cliquez sur un élément (catégorie ou sous-catégorie) dans le menu de gauche, les paramètres correspondant à cet élément s'affichent dans le volet de droite.
Pour plus d'informations sur l'interface utilisateur graphique, cliquez ici.
11
1.6 Gérés via ESET Remote Administrator
ESET Remote Administrator (ERA) est une application qui permet de gérer les produits ESET de manière centralisée dans un environnement réseau. Le système de gestion des tâches ESET Remote Administrator permet d'installer les solutions de sécurité ESET sur des ordinateurs distants et de réagir rapidement face aux nouveaux problèmes et menaces. ESET Remote Administrator n'offre pas de protection contre les codes malveillants ; le produit repose sur la présence de la solution de sécurité ESET sur chaque client.
Les solutions de sécurité ESET prennent en charge les réseaux qui comprennent plusieurs types de plateformes. Votre réseau peut comprendre une combinaison de systèmes d'exploitation Microsoft, Linux et OS X et de systèmes d'exploitation qui s'exécutent sur des périphériques mobiles (téléphones mobiles et tablettes).
L'illustration suivante montre un exemple d'architecture pour un réseau protégé par les solutions de sécurité ESET gérées par ERA :
REMARQUE : pour plus d'informations sur ERA, reportez-vous à l'aide en ligne d'ESET Remote Administrator.
1.6.1 ERA Server
ESET Remote Administrator Server est un composant principal d'ESET Remote Administrator. Il s'agit de l'application d'exécution qui traite toutes les données reçues des clients se connectant à cette dernière (par le biais d'ERA
Agent). ERA Agent facilite la communication entre le client et le serveur. Les données (journaux clients,
configuration, réplication de l'agent et autres) sont stockées dans une base de données. Pour traiter correctement les données, ERA Server requiert une connexion stable à un serveur de base de données. Pour optimiser les performances, nous vous conseillons d'installer le serveur ERA et la base de données sur des serveurs distincts. L'ordinateur sur lequel ERA Server est installé doit être configuré pour accepter toutes les connexions Agent/Proxy/ RD Sensor qui sont vérifiées à l'aide de certificats. Après l'installation d'ERA Server, vous pouvez ouvrir ERA Web
Console qui se connecte à ERA Server (comme le montre le diagramme). À partir de la console Web, toutes les
opérations d'ERA Server sont effectuées lors de la gestion des solutions de sécurité ESET dans votre environnement.
12
1.6.2 Console Web
ERA Web Console est une application dotée d'une interface utilisateur Web qui présente les données d'ERA Server et permet de gérer les solutions de sécurité ESET dans votre environnement. La console Web est accessible à l'aide d'un navigateur. Elle affiche une vue d'ensemble de l'état des clients sur le réseau et peut être utilisée pour déployer à distance les solutions ESET sur des ordinateurs non gérés. Si vous choisissez de rendre accessible le serveur Web à partir d'Internet, vous pouvez alors utiliser ESET Remote Administrator à partir de la plupart des emplacements ou périphériques disposant d'une connexion Internet active.
Voici le tableau de bord de la console Web :
La barre supérieure de la console Web contient l'outil Recherche rapide. Dans le menu déroulant, sélectionnez Nom de l'ordinateur, Adresse IPv4/IPv6 ou Nom de la menace, saisissez votre chaîne de recherche dans le champ de texte, puis cliquez sur le symbole de loupe ou appuyez sur la touche Entrée pour lancer la recherche. Vous êtes alors redirigé vers la section Groupes qui affiche les résultats de la recherche (client ou liste de clients). Tous les clients sont gérés par le biais de la console Web. Vous pouvez avoir accès à la console à l'aide des périphériques et des navigateurs les plus courants.
REMARQUE : pour plus d'informations, reportez-vous à l'aide en ligne d'ESET Remote Administrator.
1.6.3 Agent
ERA Agent est un composant essentiel du produit ESET Remote Administrator. Un produit ESET sur une machine client (ESET Endpoint security pour Windows, par exemple) communique avec ERA Server par le biais de l'agent. Cette communication permet de gérer les produits ESET sur tous les clients distants à partir d'un seul emplacement. L'Agent collecte les informations sur le client et les envoie au serveur. Si le serveur envoie une tâche destinée au client, celle-ci est envoyée à l'Agent qui l'envoie à son tour au client. Toutes les communications réseau ont lieu entre l'Agent et la partie supérieure du réseau ERA, à savoir le serveur et le proxy.
ESET Agent utilise l'une des trois méthodes suivantes pour se connecter au serveur :
1. L'Agent du client est directement connecté au serveur.
2. L'Agent du client est connecté par le biais d'un proxy connecté au serveur.
3. L'Agent du client est connecté au serveur par le biais de plusieurs proxys.
13
ESET Agent communique avec les solutions ESET installées sur un client, collecte les informations des programmes du client et transmet les informations de configuration reçues du serveur au client.
REMARQUE : ESET Proxy possède son propre Agent qui gère toutes les tâches de communication entre les clients,
les autres proxys et le serveur.
1.6.4 RD Sensor
RD (Rogue Detection) Sensor est un outil de recherche des ordinateurs sur le réseau. RD Sensor est un composant d'ESET Remote Administrator qui est conçu pour détecter les ordinateurs sur votre réseau. Il offre un moyen pratique d'ajouter de nouveaux ordinateurs à ESET Remote Administrator sans avoir à les rechercher et à les ajouter manuellement. Tous les ordinateurs détectés sur votre réseau sont affichés dans la console Web. À ce stade, vous pouvez effectuer d'autres actions sur chaque ordinateur client.
RD Sensor est un écouteur passif qui détecte les ordinateurs qui se trouvent sur le réseau et envoie des informations sur ces derniers à ERA Server. ERA Server évalue ensuite si les ordinateurs trouvés sur le réseau sont inconnus ou déjà gérés.
1.6.5 Proxy
ERA Proxy est un autre composant d'ESET Remote Administrator qui a un double objectif. Dans le cas d'un réseau d'entreprise de taille moyenne qui comprend de nombreux clients (10 000 clients ou plus), ERA Proxy peut servir à répartir la charge entre plusieurs ERA Proxy, et décharger ainsi le serveur principal ERA Server. L'autre avantage du proxy ERA, c'est que vous pouvez l'utiliser dans le cadre d'une connexion de qualité médiocre à une filiale distante. Cela signifie qu'ERA Agent sur chaque client ne se connecte pas directement à ERA Server, mais par le biais d'ERA Proxy qui se trouve sur le même réseau local de la filiale. Il libère ainsi la liaison de la filiale. ERA Proxy accepte les connexions de tous les ERA Agents locaux, regroupe leurs données et les télécharge sur le serveur principal ERA Server (ou un autre ERA Proxy). Votre réseau peut ainsi prendre en charge davantage de clients sans compromettre les performances du réseau et des requêtes de base de données.
Selon votre configuration réseau, le proxy ERA peut se connecter à un autre proxy ERA, puis au serveur ERA. Pour qu'ERA Proxy fonctionne correctement, l'ordinateur hôte sur lequel vous avez installé ERA Proxy doit disposer
d'un ESET Agent et être connecté au niveau supérieur (ERA Server ou ERA Proxy supérieur, le cas échéant) du réseau.
REMARQUE : pour obtenir un exemple de scénario de déploiement d'ERA Proxy, reportez-vous à l'aide en ligne
d'ESET Remote Administrator.
14
2. Configuration système
Systèmes d'exploitation pris en charge :
Microsoft Windows Server 2003 (x86 et x64) Microsoft Windows Server 2003 R2 (x86 et x64) Microsoft Windows Server 2008 (x86 et x64) Microsoft Windows Server 2008 R2 Microsoft Windows Server 2012 Microsoft Windows Server 2012 R2 Microsoft Windows Small Business Server 2003 (x86) Microsoft Windows Small Business Server 2003 R2 (x86) Microsoft Windows Small Business Server 2008 (x64) Microsoft Windows Small Business Server 2011 (x64)
Versions de Microsoft Exchange Server 2003 prises en charge :
Microsoft Exchange Server 2003 SP1, SP2 Microsoft Exchange Server 2007 SP1, SP2, SP3 Microsoft Exchange Server 2010 SP1, SP2, SP3 Microsoft Exchange Server 2013 CU2, CU3, CU4 (SP1), CU5, CU6, CU7, CU8 Microsoft Exchange Server 2016
La configuration matérielle dépend de la version du système d'exploitation utilisée. Il est recommandé de prendre connaissance de la documentation Microsoft Windows Server pour plus d'informations sur la configuration matérielle.
15
3. Installation
Après l'achat d'ESET Mail Security, le programme d'installation peut être téléchargé à partir du site web d'ESET (www.eset.com) sous forme de package .msi.
Veuillez noter que vous devez exécuter le programme d'installation avec le compte Administrateur intégré. Aucun autre utilisateur, même membre du groupe Administrateurs, ne disposera de droits d'accès suffisants. Vous devez donc utiliser un compte Administrateur intégré dans la mesure où vous ne parviendrez à effectuer l'installation avec aucun autre compte qu'Administrateur.
Il est possible d'exécuter le programme d'installation de deux façons :
Vous pouvez vous connecter localement à l'aide des informations d'identification du compte Administrateur et simplement exécuter le programme d'installation Vous pouvez être connecté avec un autre compte d'utilisateur, mais vous devez ouvrir l'invite de commande avec Exécuter en tant que... et taper les informations d'identification du compte Administrateur pour que cmd s'exécute en tant qu'Administrateur, puis taper la commande pour exécuter le programme d'installation (par exemple, msiexec /i mais vous devez remplacer par le nom de fichier précis du programme d'installation msi que vous avez téléchargé)
Une fois que vous avez lancé le programme d'installation et accepté les termes du Contrat de Licence Utilisateur Final (CLUF), l'assistant d'installation vous guide tout au long de la procédure d'installation. Si vous refusez les termes du Contrat de Licence, l'assistant s'interrompt.
Terminer
Il s'agit du type d'installation recommandé. Il installe toutes les fonctionnalités d'ESET Mail Security. Lorsque vous choisissez ce type d'installation, vous devez uniquement spécifier les dossiers dans lesquels installer le produit. Vous pouvez également accepter les dossiers d'installation par défaut prédéfinis (recommandé). Le programme d'installation installe ensuite automatiquement toutes les fonctionnalités du programme.
Personnalisé
L'installation personnalisée vous permet de choisir les fonctionnalités du programme ESET Mail Security à installer sur votre système. Vous sélectionnez les fonctionnalités/composants à installer dans une liste classique.
Outre l'assistant d'installation, vous pouvez choisir d'installer ESET Mail Security de manière silencieuse par le biais d'une ligne de commande. Ce type d'installation ne demande aucune intervention de l'utilisateur, contrairement à l'assistant d'installation. Il s'avère utile pour automatiser ou simplifier l'installation. Ce type d'installation est également appelé installation sans assistance car il ne demande aucune action de la part de l'utilisateur.
Installation silencieuse/sans assistance
Effectuez l'installation à l'aide de la ligne de commande : msiexec /i <nom_package> /qn /l*xv msi.log
REMARQUE : Il est fortement recommandé, dans la mesure du possible, d'installer ESET Mail Security sur un
système d'exploitation récemment installé et configuré. Toutefois, si vous n'avez pas besoin de l'installer sur un système existant, la meilleure solution consiste à désinstaller la version antérieure de ESET Mail Security, de redémarrer le serveur et d'installer ensuite la nouvelle version de ESET Mail Security.
REMARQUE: si vous avez déjà utilisé un autre logiciel antivirus tiers sur votre système, nous vous recommandons
de le désinstaller complètement avant d'installer ESET Mail Security. Vous pouvez pour cela utiliser ESET AV
Remover qui simplifie la désinstallation.
16
3.1 Étapes d'installation d'ESET Mail Security
Suivez ces étapes pour installer ESET Mail Security à l'aide de l'assistant d'installation :
Une fois les termes du CLUF acceptés, sélectionnez l'un des types d'installation suivants :
Complète : permet d'installer toutes les fonctionnalités d'ESET Mail Security. Il s'agit du type d'installation recommandé. Personnalisée : permet de sélectionner les fonctionnalités d'ESET Mail Security à installer sur votre système.
17
Installation complète :
Également appelée installation intégrale. Tous les composants ESET Mail Security sont installés. Vous êtes invité à sélectionner l'emplacement d'installation d'ESET Mail Security. Par défaut, le programme s'installe dans le dossier C: \Program Files\ESET\ESET Mail Security. Cliquez sur Parcourir pour changer d'emplacement (non recommandé).
Installation personnalisée :
Ce type d'installation permet de sélectionner les fonctionnalités à installer. Il s'avère utile lorsque vous souhaitez personnaliser ESET Mail Security et installer uniquement les composants dont vous avez besoin.
Vous pouvez ajouter ou supprimer des composants inclus dans l'installation. Pour ce faire, exécutez le fichier d'installation .msi que vous avez utilisé lors de l'installation initiale ou accédez à Programmes et fonctionnalités
18
(accessible à partir du Panneau de configuration Windows), cliquez avec le bouton droit sur ESET Mail Security, puis sélectionnez Modifier. Suivez ces étapes pour ajouter ou supprimer des composants.
Procédure de modification des composants (Ajouter/supprimer), réparation et suppression :
Trois options sont disponibles : Vous pouvez modifier les composants installés, réparer votre installation d'ESET Mail Security ou la supprimer (désinstaller) entièrement.
Si vous sélectionnez l'option Modifier, la liste des composants disponibles s'affiche. Choisissez les composants à ajouter ou à supprimer. Vous pouvez ajouter/supprimer simultanément plusieurs composants. Cliquez sur le composant et sélectionnez une option dans le menu déroulant :
Après avoir sélectionné une option, cliquez sur Modifier pour effectuer les modifications.
19
REMARQUE : vous pouvez modifier à tout moment les composants installés en exécutant le programme
d'installation. Pour la plupart des composants, un redémarrage du serveur n'est pas nécessaire pour prendre en compte la modification. L'interface utilisateur redémarre et seuls les composants que vous avez choisi d'installer sont visibles. Pour les composants qui nécessitent un redémarrage du serveur, Windows Installer vous demande de redémarrer le serveur. Les nouveaux composants seront disponibles une fois que le serveur sera en ligne.
3.2 Activation du produit
Une fois l'installation terminée, vous êtes invité à activer le produit.
Sélectionnez l'une des méthodes disponibles pour activer ESET Mail Security. Pour plus d'informations, reportez­vous à la section Comment activer ESET Mail Security.
Une fois ESET Mail Security activé, la fenêtre principale du programme s'ouvre et affiche l'état actuel dans la page
Supervision.
La fenêtre principale du programme affiche également des notifications sur d'autres éléments tels que les mises à jour du système (Windows Update) ou les mises à jour de la base des signatures de virus. Lorsque vous avez répondu à tous ces points, l'état de surveillance devient vert et indique Protection maximale.
20
3.3 Terminal Server
Si vous installez ESET Mail Security sur un serveur Windows Server agissant comme Terminal Server, vous souhaiterez peut-être désactiver l'interface utilisateur graphique ESET Mail Security afin d'empêcher son démarrage à chaque connexion de l'utilisateur. Reportez-vous à la section Désactivation de l'interface utilisateur graphique sur

Terminal Server pour accéder aux étapes de désactivation.

3.4 ESET AV Remover
Pour supprimer/désinstaller un logiciel antivirus tiers de votre système, nous vous recommandons d'utiliser ESET AV Remover. Pour ce faire, procédez comme suit :
1. Téléchargez ESET AV Remover à partir du site Web ESET Page de téléchargement des utilitaires.
2. Cliquez sur I accept, start search (J'accepte, lancer la recherche) pour accepter le contrat de l'utilisateur final
(CLUF) et démarrer la recherche sur le système.
3. Cliquez sur Launch uninstaller (Lancer le programme de désinstallation) pour supprimer le logiciel antivirus
installé.
Pour obtenir la liste des logiciels antivirus tiers qu'ESET AV Remover peut supprimer, consultez cet article de la base
de connaissances.
3.5 Mise à niveau vers une version plus récente
Les nouvelles versions d'ESET Mail Security offrent des améliorations ou apportent des solutions aux problèmes que les mises à jour automatiques des modules ne peuvent pas résoudre. Il est possible d'effectuer une mise à niveau à partir d'anciennes versions d'ESET Mail Security (versions 4.5 et antérieure), même s'il s'agit d'une mise à niveau vers une architecture différente. Vous disposez de deux méthodes pour effectuer la mise à niveau vers une version plus récente :
Manuellement, en téléchargeant la nouvelle version et en l'installant sur la version existante. Exécutez le programme d'installation et effectuez une installation de la manière habituelle. ESET Mail Security transfère automatiquement la configuration existante, avec toutefois quelques exceptions (voir la remarque ci-dessous).
À distance, dans un environnement réseau, via ESET Remote Administrator.
Important : certaines exceptions s'appliquent lors de la mise à niveau : tous les paramètres ne sont pas
conservés, notamment les règles. En effet, les règles ont été entièrement reconçues dans ESET Mail Security 6 avec une approche différente. Les règles des versions précédentes d'ESET Mail Security ne sont pas compatibles avec celles d'ESET Mail Security version 6. Il est recommandé de configurer manuellement les règles, ce qui peut également vous aider.
Vous trouverez ci-dessous la liste des paramètres qui sont conservés des versions précédentes d'ESET Mail Security:
Configuration générale d'ESET Mail Security
Paramètres de protection antispam
Tous les paramètres identiques dans les versions précédentes ; les nouveaux paramètres utilisent les valeurs par défaut. Listes blanches et noires
REMARQUE : une fois le produit ESET Mail Security mis à niveau, il est recommandé d'examiner tous les
paramètres pour vérifier qu'ils sont correctement configurés et qu'ils répondent à vos besoins.
21
3.6 Rôles Exchange Server - Comparaison entre Edge et Hub
Par défaut, les fonctionnalités antispam sont désactivées sur les serveurs de transport Edge et Hub. Cette configuration est à privilégier dans une organisation Exchange avec serveur de transport Edge. Il est recommandé que le serveur de transport Edge exécute le filtrage antispam ESET Mail Security sur les messages avant leur transmission dans l'organisation Exchange.
Le rôle Edge reste toutefois l'emplacement privilégié de l'analyse antispam, car il permet à ESET Mail Security de rejeter les courriers indésirables dans les premières phases du processus sans charger inutilement les couches réseau. Dans cette configuration, les messages entrants sont filtrés par ESET Mail Security sur le serveur de transport Edge, afin qu'ils puissent être envoyés en toute sécurité au serveur de transport Hub sans nécessiter de filtrage supplémentaire.
Si votre organisation n'utilise pas de serveur de transport Edge et ne dispose que d'un serveur de transport Hub, il est recommandé d'activer les fonctionnalités antispam de ce dernier qui reçoit via SMTP les messages entrants provenant d'Internet.
3.7 Rôles Exchange Server 2013
L'architecture d'Exchange Server 2013 est différente de celle des versions précédentes de Microsoft Exchange. Depuis la version Exchange 2013, la mise à jour cumulative CU4 (qui correspond en fait au SP1 d'Exchange 2013) a réintroduit le rôle de serveur de transport Edge.
Si vous comptez protéger Microsoft Exchange 2013 avec ESET Mail Security, veillez à installer ESET Mail Security sur un système exécutant Microsoft Exchange 2013 avec le rôle de serveur de messagerie ou de transport Edge.
Il existe toutefois une exception si vous envisagez d'installer ESET Mail Security sur Windows SBS (Small Business Server) ou si Microsoft Exchange 2013 est installé sur un serveur avec plusieurs rôles. Dans ce cas, tous les rôles Exchange s'exécutent sur un même serveur. Par conséquent, ESET Mail Security offre une protection complète qui comprend les serveurs de messagerie.
Si vous installez ESET Mail Security sur un système exécutant uniquement le rôle de serveur d'accès au client (serveur CAS dédié), les fonctionnalités les plus importantes de ESET Mail Security sont désactivées, notamment celles de serveur de messagerie. Dans ce cas, seuls la protection en temps réel du système de fichiers et certains composants appartenant à la protection de l'ordinateur fonctionnent. Les serveurs de messagerie ne sont donc pas protégés. Pour cette raison, il n'est pas recommandé d'installer ESET Mail Security sur un serveur avec le rôle de serveur d'accès au client. Cela ne s'applique pas à Windows SBS (Small Business Server) et Microsoft Exchange avec plusieurs rôles sur un même serveur, comme indiqués plus haut.
REMARQUE: en raison des restrictions techniques de Microsoft Exchange 2013, ESET Mail Security ne prend pas en
charge le rôle de serveur d'accès au client (CAS). Cela ne s'applique pas à Windows SBS (Small Business Server) et Microsoft Exchange 2013 installé sur un serveur avec tous les rôles de serveur. Dans ce cas, vous pouvez exécuter ESET Mail Security avec le rôle de serveur d'accès au client sur le serveur, car le serveur de messagerie et le serveur de transport Edge sont protégés.
3.8 Connecteur POP3 et protection antispam
Les versions de Microsoft Windows Small Business Server (SBS) contiennent un connecteur POP3 intégré natif qui permet au serveur de récupérer les messages électroniques des serveurs POP3 externes. La mise en œuvre de ce connecteur POP3 natif de Microsoft varie selon la version de Microsoft Windows Small Business Server.
ESET Mail Security prend en charge le connecteur POP3 de Microsoft SBS, à condition qu'il soit configuré correctement. Les messages téléchargés via le connecteur POP3 de Microsoft sont analysés pour rechercher la présence de courrier indésirable. La protection antispam de ces messages est possible, car le connecteur POP3 transfère les messages électroniques d'un compte POP3 vers Microsoft Exchange Server via SMTP.
ESET Mail Security a été testé avec des services de messagerie courants, tels que Gmail.com, Outlook.com, Yahoo.com, Yandex.com et gmx.de, sur les systèmes SBS suivants :
22
Microsoft Windows Small Business Server 2003 R2 Microsoft Windows Small Business Server 2008 Microsoft Windows Small Business Server 2011
Important : si vous utilisez le connecteur POP3 intégré de Microsoft SBS et si tous les messages électroniques
sont analysés pour rechercher la présence de courrier électronique, accédez à Configuration avancée, Serveur >
Protection du transport des messages > Paramètres avancés. Pour le paramètre Analyser également les messages reçus des connexions authentifiées ou internes, sélectionnez Analyser par protection antivirus et antispyware dans
la liste déroulante. La protection antispam est ainsi assurée pour les messages récupérés des comptes POP3. Vous pouvez également utiliser un connecteur POP3 tiers tel que P3SS (au lieu du connecteur POP3 intégré de
Microsoft SBS). ESET Mail Security a été testé sur les systèmes suivants (avec le connecteur P3SS récupérant les messages de Gmail.com, Outlook.com, Yahoo.com, Yandex.com et gmx.de) :
Microsoft Windows Small Business Server 2003 R2 Microsoft Windows Server 2008 avec Exchange Server 2007 Microsoft Windows Server 2008 R2 avec Exchange Server 2010 Microsoft Windows Server 2012 R2 avec Exchange Server 2013
23
4. Guide du débutant
Ce chapitre présente ESET Mail Security, les principaux éléments du menu, les fonctionnalités et les paramètres de base.
4.1 Interface utilisateur
La fenêtre principale d'ESET Mail Security est divisée en deux sections principales. La fenêtre principale de droite affiche les informations correspondant à l'option sélectionnée dans le menu principal à gauche.
Les différentes sections du menu principal sont décrites ci-dessous : Supervision - Fournit des informations sur l'état de protection d'ESET Mail Security, la validité de la licence, la
dernière mise à jour de la base des signatures de virus, les statistiques et les informations système. Fichiers journaux - Permettent d'accéder aux fichiers journaux qui contiennent des informations sur tous les
événements importants du programme qui se sont produits. Ces fichiers présentent les menaces détectées, ainsi que d'autres événements concernant la sécurité.
Analyse - Permet de configurer et de lancer l'analyse du stockage, l'analyse intelligente, l'analyse personnalisée ou l'analyse de supports amovibles. Vous pouvez également répéter la dernière analyse effectuée.
Mise à jour - Affiche des informations sur la base des signatures de virus et vous informe lorsqu'une mise à jour est disponible. L'activation du produit peut également être effectuée depuis cette section.
Configuration - Vous pouvez ajuster les paramètres de sécurité du serveur et de l'ordinateur. Outils - Fournit des informations supplémentaires sur votre système et sur la protection, outre les outils qui
permettent de mieux gérer votre sécurité. La section Outils comprend les éléments suivants : Processus en cours,
Surveiller l'activité, ESET Log Collector, statistiques de protection, Cluster, ESET Shell, ESET SysInspector, ESET SysRescue Live pour créer un CD ou un stockage USB de secours, et Planificateur. Vous pouvez également soumettre un échantillon pour analyse et consulter la quarantaine.
Aide et assistance - Permet d'accéder aux fichiers d'aide, à la base de connaissances ESET et à d'autres outils d'assistance. Des liens sont également proposés pour ouvrir une requête auprès du service client et pour accéder à des informations sur l'activation du produit.
24
L'écran État de la protection vous informe sur le niveau actuel de protection de l'ordinateur. L'icône verte d'état Protection maximale indique qu'une protection maximale est assurée.
La fenêtre d'état contient également des liens rapides vers les fonctionnalités fréquemment utilisées dans ESET Mail Security et des informations sur la dernière mise à jour.
25
Que faire lorsque le programme ne fonctionne pas correctement ?
Une coche verte s'affiche en regard des modules qui fonctionnent correctement. Un point d'exclamation rouge ou une icône de notification orange s'affiche à côté des modules qui ne fonctionnent pas correctement. Des informations supplémentaires sur le module s'affichent dans la partie supérieure de la fenêtre. Une suggestion de solution pour corriger le module est également affichée. Pour changer l'état d'un module, cliquez sur Configuration dans le menu principal puis sur le module souhaité.
L'icône rouge indique des problèmes critiques ; la protection maximale de votre ordinateur n'est pas
assurée. Cet état s'affiche dans les cas suivants :
Protection antivirus et antispyware désactivée - Vous pouvez réactiver la protection antivirus et antispyware en cliquant sur Activer la protection en temps réel dans le volet État de la protection ou sur Activer la protection antivirus et antispyware dans le volet Configuration de la fenêtre principale du programme. Vous utilisez une base des signatures de virus obsolète. Le produit n'est pas activé. Votre licence a expiré - Cette information est indiquée par l'icône d'état de protection qui devient rouge. Le programme ne peut plus effectuer de mise à jour après expiration de la licence. Nous vous recommandons de suivre les instructions de la fenêtre d'alerte pour renouveler la licence.
L'icône orange indique que votre produit ESET nécessite votre attention en raison d'un problème non
critique. Les raisons possibles sont les suivantes :
La protection de l'accès Web est désactivée - Vous pouvez réactiver la protection de l'accès Web en cliquant sur la notification de sécurité, puis sur Activer la protection de l'accès Web.
Votre licence va arriver prochainement à expiration - Cette information est donnée par l'icône d'état de protection qui affiche un point d'exclamation. Après l'expiration de votre licence, le programme ne peut plus se
26
mettre à jour et l'icône d'état de la protection devient rouge.
Si vous ne parvenez pas à résoudre le problème à l'aide des solutions suggérées, cliquez sur Aide et assistance pour accéder aux fichiers d'aide ou pour effectuer des recherches dans la base de connaissances ESET. Si vous avez besoin d'aide, vous pouvez envoyer une requête à l'assistance client d'ESET. Le service client ESET répondra très rapidement à vos questions et vous permettra de trouver une solution.
Pour afficher l'état de la protection, cliquez sur l'option en haut du menu principal. La fenêtre principale affiche un résumé de l'état de fonctionnement d'ESET Mail Security et un sous-menu avec deux options apparaît : Surveiller l'activité et Statistiques. Sélectionnez l'une de ces options pour afficher des informations détaillées sur votre système.
Lorsque ESET Mail Security fonctionne correctement, l'état de protection apparaît en vert. Si l'attention est requise, l'icône apparaît en orange ou en rouge.
Cliquez sur Surveiller l'activité pour afficher un graphique en temps réel de l'activité du système de fichiers (axe horizontal). L'axe vertical représente les données lues (ligne bleue) et les données écrites (ligne rouge).
Le sous-menu Statistiques permet d'afficher le nombre d'objets infectés, nettoyés et propres d'un module défini. Vous pouvez choisir différents modules dans la liste déroulante.
4.2 Fichiers journaux
Les fichiers journaux contiennent tous les événements importants qui se sont produits et fournissent un aperçu des menaces détectées. Les journaux sont essentiels pour l'analyse système, la détection de menaces et le dépannage. La consignation est toujours active en arrière-plan sans interaction de l'utilisateur. Les informations sont enregistrées en fonction des paramètres de détail. Il est possible de consulter les messages texte et les journaux directement à partir de l'environnement ESET Mail Security ou de les exporter vers d'autres programmes.
27
Vous pouvez accéder aux fichiers journaux depuis la fenêtre principale du programme en cliquant sur Fichiers journaux. Sélectionnez le type de journal à partir du menu déroulant. Les journaux suivants sont disponibles :
Menaces détectées - Le journal des menaces contient des informations sur les infiltrations détectées par les
modules ESET Mail Security. Ces informations comprennent l'heure de détection, le nom de l'infiltration, l'emplacement, l'action exécutée et le nom de l'utilisateur connecté au moment où l'infiltration a été détectée. Double-cliquez sur une entrée du journal pour afficher son contenu dans une fenêtre distincte.
Événements - Toutes les actions importantes exécutées par ESET Mail Security sont enregistrées dans le journal des événements. Le journal des événements contient des informations sur les événements qui se sont produits dans le programme. Il permet aux administrateurs système et aux utilisateurs de résoudre des problèmes. Ces informations peuvent souvent contribuer à trouver une solution à un problème qui s'est produit dans le programme.
Analyse de l'ordinateur - Tous les résultats des analyses sont affichés dans cette fenêtre. Chaque ligne correspond à un seul contrôle d'ordinateur. Double-cliquez sur une entrée pour afficher les détails de l'analyse correspondante.
HIPS - Contient des entrées de règles spécifiques qui sont marquées pour enregistrement. Le protocole affiche l'application qui a appelé l'opération, le résultat (si la règle a été autorisée ou bloquée), ainsi que le nom de la règle créée.
Sites Web filtrés - Liste des sites Web bloqués par la protection de l'accès Web. Ces journaux permettent de voir l'heure, l'URL, l'utilisateur et l'application ayant ouvert une connexion au site Web en question.
Contrôle de périphérique - Contient des enregistrements des supports amovibles ou périphériques qui ont été connectés à l'ordinateur. Seuls les périphériques auxquels correspond une règle de contrôle de périphérique seront enregistrés dans le fichier journal. Si la règle ne correspond pas à un périphérique connecté, aucune entrée de journal ne sera créée pour un périphérique connecté. Des détails figurent également tels que le type de périphérique, le numéro de série, le nom du fournisseur et la taille du support (le cas échéant).
Analyse de base de données - Contient la version de la base des signatures de virus, la date, l'emplacement analysé, le nombre d'objets analysés, le nombre de menaces détectées, le nombre d'applications des règles et l'heure d'achèvement.
Protection du serveur de messagerie - Tous les messages classés par ESET Mail Security comme courrier indésirable ou courrier indésirable probable sont enregistrés ici. Ces journaux s'appliquent aux types de protection suivants : antispam, règles et antivirus.
Mise en liste grise - Tous les messages qui ont été évalués à l'aide de la méthode de mise en liste grises sont enregistrés dans ce journal.
Dans chaque section, vous pouvez copier les informations affichées dans chaque section dans le Presse-papiers (à l'aide du raccourci clavier Ctrl + C) en sélectionnant l'entrée souhaitée, puis en cliquant sur le bouton Copier. Pour sélectionner plusieurs entrées, vous pouvez utiliser les touches CTRL et MAJ.
Cliquez sur l'icône de commutateur Filtrage pour ouvrir la fenêtre Filtrage des journaux dans laquelle vous pouvez définir les critères de filtrage.
28
Vous pouvez afficher le menu contextuel d'une entrée en cliquant avec le bouton droit sur celle-ci. Le menu contextuel permet d'accéder aux options suivantes :
Afficher - Affiche des détails supplémentaires sur le journal sélectionné dans une nouvelle fenêtre (identique à un double-clic). Filtrer les enregistrements identiques - Cette option active le filtrage des journaux et affiche uniquement les enregistrements du même type que celui sélectionné. Filtrer... - Après avoir cliqué sur cette option, la fenêtre Filtrage des journaux permet de définir des critères de filtrage pour des entrées de journal spécifiques. Activer le filtre - Active les paramètres du filtre. La première fois que vous filtrez les journaux, vous devez définir vos critères de filtrage. Une fois les filtres définis, ils restent identiques jusqu'à leur modification.
Copier - Copie les informations des entrées sélectionnées/en surbrillance dans le Presse-papiers. Copier tout - Copie les informations de toutes les entrées de la fenêtre. Supprimer - Supprime les entrées sélectionnées/en surbrillance. Cette action requiert des privilèges
d'administrateur.
Supprimer tout - Supprime toutes les entrées de la fenêtre. Cette action requiert des privilèges d'administrateur. Exporter... - Exporte les informations des entrées sélectionnées/en surbrillance dans un fichier XML. Exporter tout... - Exporte toutes les informations de la fenêtre dans un fichier XML. Rechercher... - Ouvre la fenêtre Rechercher dans le journal qui permet de définir des critères de recherche.
Fonctionne sur le contenu qui a déjà été filtré pour limiter les résultats.
Rechercher suivant - Recherche l'occurrence suivante d'une recherche précédemment définie (au-dessus). Rechercher précédent - Recherche l'occurrence précédente d'une recherche précédemment définie (au-dessus). Dérouler le journal - Laissez cette option activée pour que les anciens journaux défilent automatiquement et pour consulter les journaux actifs dans la fenêtre Fichiers journaux.
29
4.3 Analyser
L'analyseur à la demande est un composant important d'ESET Mail Security. Il permet d'analyser des fichiers et des répertoires de votre ordinateur. Pour votre sécurité, il est essentiel que l'ordinateur soit analysé non seulement en cas de suspicion d'une infection, mais aussi régulièrement dans le cadre de mesures de sécurité routinières. Nous vous recommandons d'effectuer des analyses en profondeur de votre système de façon régulière (une fois par mois, par exemple) afin de détectés les virus qui ne l'ont pas été par la protection en temps réel du système de
fichiers. Cela peut se produire si la protection en temps réel du système de fichiers est désactivée au moment de
l'infection, si la base des signatures de virus n'est plus à jour ou si le fichier n'a pas été détecté comme virus lors de son enregistrement sur le disque.
Deux types d'analyses de l'ordinateur sont disponibles. L'analyse intelligente analyse le système sans exiger de reconfiguration des paramètres d'analyse. L'analyse personnalisée permet de sélectionner l'un des profils d'analyse prédéfinis et de sélectionner des cibles spécifiques à analyser.
Reportez-vous au chapitre sur la progression de l'analyse pour plus d'informations sur le processus d'analyse.
Analyse du stockage
Analyse tous les dossiers partagés sur le serveur local. Si l'option Analyse du stockage n'est pas disponible, cela signifie qu'aucun dossier partagé ne se trouve sur le serveur.
Analyse Hyper-V
Cette option s'affiche dans le menu uniquement si Hyper-V Manager est installé sur le serveur qui exécute ESET Mail Security. L'analyse Hyper-V permet d'analyser les disques d'une machine virtuelle sur un serveur Microsoft
Hyper-V sans que le moindre agent ne soit installé sur cette machine virtuelle spécifique. Pour plus d'informations,
reportez-vous à la section Analyse Hyper-V.
30
Analyse intelligente
L'analyse intelligente permet de lancer rapidement une analyse de l'ordinateur et de nettoyer les fichiers infectés sans intervention de l'utilisateur. L'analyse intelligente présente l'intérêt d'être facile à utiliser et de ne pas nécessiter de configuration détaillée. L'analyse intelligente vérifie tous les fichiers des disques locaux, et nettoie ou supprime automatiquement les infiltrations détectées. Le niveau de nettoyage est automatiquement réglé sur sa valeur par défaut. Pour plus d'informations sur les types de nettoyage, reportez-vous à la section Nettoyage.
Analyse personnalisée
L'analyse personnalisée est une solution optimale si vous souhaitez spécifier des paramètres d'analyse tels que les cibles et les méthodes d'analyse. Elle a l'avantage de permettre la configuration précise des paramètres. Les configurations peuvent être enregistrées dans des profils d'analyse définis par l'utilisateur, qui sont utiles pour effectuer régulièrement une analyse avec les mêmes paramètres.
Pour sélectionner des cibles à analyser, sélectionnez Analyse de l'ordinateur > Analyse personnalisée, puis sélectionnez une option dans le menu déroulant Cibles à analyser ou sélectionnez des cibles spécifiques dans l'arborescence. Une cible à analyser peut également être spécifiée en indiquant le chemin d'accès au dossier ou aux fichiers à inclure. Si vous souhaitez effectuer uniquement une analyse du système sans actions de nettoyage supplémentaires, sélectionnez Analyse sans nettoyage. Lors d'une analyse, vous pouvez effectuer un choix parmi trois niveaux de nettoyage en cliquant sur Configuration > Paramètres ThreatSense > Nettoyage.
L'exécution d'analyses personnalisées de l'ordinateur n'est recommandée qu'aux utilisateurs chevronnés qui maîtrisent l'utilisation de programmes antivirus.
Analyse de supports amovibles
Semblable à l'analyse intelligente, ce type d'analyse lance rapidement une analyse des supports amovibles (par ex. CD/DVD/USB) qui sont connectés à l'ordinateur. Cela peut être utile lorsque vous connectez une clé USB à un ordinateur et que vous souhaitez l'analyser pour y rechercher les logiciels malveillants et autres menaces potentielles.
Pour lancer ce type d'analyse, vous pouvez aussi cliquer sur Analyse personnalisée, puis sélectionner Supports
amovibles dans le menu déroulant Cibles à analyser et cliquer sur Analyser. Répéter la dernière analyse
Exécute la dernière analyse (analyse du stockage, analyse intelligente, analyse personnalisée, etc.) avec les mêmes paramètres.
REMARQUE : nous recommandons d'exécuter une analyse d'ordinateur au moins une fois par mois. L'analyse peut
être configurée comme tâche planifiée dans Outils > Planificateur.
4.3.1 Analyse Hyper-V
L'analyse antivirus Hyper-V permet d'analyser les disques d'un serveur Microsoft Hyper-V, c'est-à-dire d'une machine virtuelle, sans que le moindre agent ne soit installé sur cette machine virtuelle spécifique. L'antivirus est installé en utilisant les privilèges d'administrateur du serveur Hyper-V.
L'analyse Hype-V est issue du module d'analyse de l'ordinateur à la demande, tandis que certaines fonctionnalités n'ont pas été mises en œuvre (analyse du secteur d'amorçage - seront mises en œuvre ultérieurement, comme l'analyse de la mémoire vive.
Systèmes d'exploitation pris en charge
Windows Server 2008 R2 - Il est possible d'analyser les machines virtuelles fonctionnant sous ce système d'exploitation uniquement lorsqu'elles sont hors ligne Windows Server 2012 Windows Server 2012 R2
Configuration matérielle requise
31
Le serveur ne doit pas être confronté à des problèmes de performance lorsqu'il exécute des machines virtuelles. L'analyse en elle-même utilise principalement uniquement les ressources du processeur. En cas d'analyse de machines virtuelles en ligne, il est nécessaire de disposer d'un espace libre sur le disque. L'espace libre sur le disque (pouvant être utilisé) doit être au moins deux fois supérieur à l'espace utilisé par les captures d'écran et les disques virtuels.
La machine virtuelle à analyser est hors ligne (désactivée)
Nous détectons les disques du système d'exploitation de la machine virtuelle à l'aide d'Hyper-V Management et de la prise en charge de disques virtuels et nous nous y connectons. De cette manière, nous accédons de la même manière au contenu des disques que lorsque nous accédons aux fichiers d'un disque dur standard.
La machine virtuelle à analyser est en ligne (en cours d'exécution, en pause, enregistrée)
Nous détectons les disques du système d'exploitation de la machine virtuelle à l'aide d'Hyper-V Management et de la prise en charge de disques virtuels. La connexion générique aux disques n'est pas disponible pour l'instant. Par conséquent, nous créons une capture d'écran de la machine virtuelle et nous l'utilisons pour nous connecter aux disques en mode de lecture seule. La capture d'écran est ensuite supprimée au terme de l'analyse. La création d'une capture d'écran est une opération lente qui peut prendre de quelques secondes à une minute. Ce détail doit être pris en compte lors de l'application d'une analyse Hyper-V à un nombre de machines virtuelles plus important.
REMARQUE : jusqu'à présent, l'analyse Hyper-V est uniquement une analyse en mode de lecture seule, tant pour
une machine virtuelle en ligne que hors ligne. Le nettoyage des infiltrations détectées sera uniquement mise en œuvre ultérieurement.
Nomenclature
Le module de l'analyse Hyper-V doit respecter la nomenclature suivante :
VirtualMachineName\DiskX\VolumeY
X représentant le nombre de disques et Y le nombre de volumes. Par ex. : « Computer\Disk0\Volume1 ».
Le suffixe du nombre est ajouté en fonction de l'ordre de détection, qui est identique à l'ordre que l'on retrouve dans le Gestionnaire de disques de la machine virtuelle. Cette nomenclature est utilisée dans la liste arborescente des cibles à analyser, dans la barre de progression et dans les fichiers journaux.
Exécution d'une analyse
Il est possible d'exécuter une analyse de 3 manières :
À la demande - Si vous cliquez sur l'option Analyse Hyper-V dans le menu de ESET Mail Security, une liste des machines virtuelles disponibles (le cas échéant) à analyser va s'afficher. Il s'agit d'une liste arborescente dans laquelle l'entité du niveau le plus bas est un volume, ce qui signifie qu'il n'est pas possible de sélectionner un répertoire ou un fichier à analyser, étant donné que l'intégralité du volume doit être analysée. Afin de dresser la liste des volumes disponibles, nous devons nous connecter au(x) disque(s) virtuels (s) particulier(s), ce qui peut prendre quelques secondes. Par conséquent, une action plus rapide consiste à marquer la machine virtuelle ou son/ses disques(s) à analyser. Dès que vous avez marqué les machines virtuelles, les disques ou les volumes à analyser, cliquez sur le bouton Analyser.
Via le planificateur
Via ERA en tant que tâche de client appelée Analyse du serveur. L'entité du niveau le plus bas à analyser est un
disque d'une machine virtuelle. Il est possible d'exécuter simultanément plusieurs analyses Hyper-V. Une notification vous avertira de la fin de l'analyse et vous pourrez prendre connaissance des détails d'une analyse
réalisée en suivant un lien Afficher les fichiers journaux. Tous les journaux d'analyse sont disponibles dans la section Fichiers journaux de ESET Mail Security, mais vous devez sélectionner l'analyse Hyper-V dans le menu déroulant afin d'afficher les journaux associés.
32
Problèmes éventuels
Lors de l'exécution de l'analyse d'une machine virtuelle en ligne, une capture d'écran de cette machine virtuelle
doit être créée. Par ailleurs, au cours de la création d'une capture d'écran, il se peut que certaines actions
génériques de la machine virtuelle soient limitées ou désactivées.
Dans le cas où une machine virtuelle est analysée, elle ne peut pas être activée avant la fin de l'analyse.
Hyper-V Manager vous permet de donner un nom identique à deux machines virtuelles, ce qui peut s'avérer
problématique pour différentier les machines pendant la consultation des journaux d'analyse.
4.4 Quarantaine de messages
Le gestionnaire de quarantaine de messages est disponible pour les trois types de quarantaine :
Quarantaine locale
Boîte aux lettres de quarantaine
Quarantaine MS Exchange
REMARQUE : l'interface Web Quarantaine de messages est une solution que vous pouvez utiliser à la place du
gestionnaire de quarantaine de messages pour gérer les objets de message électronique mis en quarantaine.
Filtrage
o Intervalle de temps : vous pouvez sélectionner l'intervalle de temps pendant lequel les messages
électroniques sont affichés (1 semaine par défaut). Lorsque vous modifiez l'intervalle de temps, les éléments de quarantaine de messages sont automatiquement rechargés.
o Filtrer : vous pouvez utiliser la zone de texte de filtrage pour filtrer les messages électroniques affichés (toutes
les colonnes font l'objet d'une recherche).
REMARQUE : les données du gestionnaire de quarantaine de messages ne sont pas automatiquement mises à
jour. Il est recommandé de cliquer régulièrement sur l'icône d'actualisation pour afficher les éléments les plus récents dans la quarantaine de messages.
33
Action
o Libérer : libère le message électronique pour le ou les destinataires d'origine à l'aide du répertoire de lecture et
le supprime de la quarantaine. Cliquez sur Oui pour confirmer l'action.
o Supprimer : supprime l'élément de la quarantaine. Cliquez sur Oui pour confirmer l'action. Détails du message mis en quarantaine : double-cliquez sur le message mis en quarantaine ou cliquez avec le
bouton droit et sélectionnez Détails. Une fenêtre indépendante s'ouvre alors. Elle contient des détails sur le message électronique mis en quarantaine. Des informations supplémentaires sur le courrier électronique figurent également dans l'en-tête de courrier électronique RFC.
Ces actions sont également disponibles dans le menu contextuel. Si vous le souhaitez, cliquez sur Libérer, Supprimer ou Supprimer définitivement pour exécuter une action sur un message électronique mis en quarantaine. Cliquez sur Oui pour confirmer l'action. Si vous choisissez Supprimer définitivement, le message est également supprimé du système de fichiers, contrairement à l'option Supprimer qui supprime l'élément de la vue du gestionnaire de quarantaine de messages.
34
4.4.1 Détails du message électronique mis en quarantaine
Cette fenêtre contient les informations suivantes sur le message électronique : Type, Motif, Objet, Expéditeur, Destinataires SMTP, À, Cc, Date, Pièces jointes et En-têtes. Vous pouvez sélectionner les en-têtes, les copier et les
coller en cas de besoin. Vous pouvez exécuter une action sur le message électronique mis en quarantaine à l'aide des boutons suivants :
o Libérer : libère le message électronique pour le ou les destinataires d'origine à l'aide du répertoire de lecture et
le supprime de la quarantaine. Cliquez sur Oui pour confirmer l'action.
o Supprimer : supprime l'élément de la quarantaine. Cliquez sur Oui pour confirmer l'action. Cliquez sur le bouton Annuler pour fermer la fenêtre Détails du message électronique mis en quarantaine.
35
4.5 Mise à jour
La mise à jour régulière d'ESET Mail Security est la meilleure méthode pour conserver le niveau maximum de sécurité de votre ordinateur. Le module de mise à jour veille à ce que le programme soit toujours à jour de deux façons : en mettant à jour la base des signatures de virus et en mettant à jour les composants système.
En cliquant sur Mettre à jour dans la fenêtre principale du programme, vous pouvez connaître l'état actuel de la mise à jour, notamment la date et l'heure de la dernière mise à jour. Vous pouvez également savoir si une mise à jour est nécessaire. La fenêtre Mise à jour contient également la version de la base des signatures de virus. Cette indication numérique est un lien actif vers le site Web d'ESET, qui répertorie toutes les signatures ajoutées dans cette mise à jour.
Pour commencer le processus de mise à jour, cliquez sur Mettre à jour maintenant. La mise à jour de la base des signatures de virus et celle des composants du programme sont des opérations importantes de la protection totale contre les attaques des codes malveillants.
Dernière mise à jour réussie - Date de la dernière mise à jour. Vérifiez qu'il s'agit d'une date récente indiquant que la base des signatures de virus est à jour.
Version de la base des signatures de virus : numéro de la base des signatures de virus ; il s'agit également d'un lien actif vers le site Web d'ESET. Cliquez ici pour afficher la liste de toutes les signatures ajoutées dans une mise à jour.
36
Processus de mise à jour
Lorsque vous avez cliqué sur Mettre à jour maintenant, le processus de téléchargement commence et la progression de la mise à jour s'affiche. Pour interrompre la mise à jour, cliquez sur Annuler la mise à jour.
Important : dans des circonstances normales, lorsque les mises à jour sont téléchargées correctement, le message Mise à jour non nécessaire - la base des signatures de virus installée est à jour s'affiche dans la fenêtre Mise à jour. Si ce n'est pas le cas, le programme n'est pas à jour et le risque d'infection est accru. Veillez à mettre à jour la base des signatures de virus dès que possible. Dans d'autres circonstances, l'un des messages d'erreur suivants s'affiche :
La base des signatures de virus n'est plus à jour - Cette erreur apparaît après plusieurs tentatives infructueuses de mise à jour de la base des signatures de virus. Nous vous conseillons de vérifier les paramètres de mise à jour. Cette erreur provient généralement de l'entrée incorrecte de données d'authentification ou de la configuration incorrecte des paramètres de connexion.
La notification précédente concerne les deux messages Échec de la mise à jour de la base des signatures de virus sur les mises à jour infructueuses :
Licence non valide - La clé de licence n'a pas été correctement saisie lors de la configuration des mises à jour. Nous vous recommandons de vérifier vos données d'authentification. La fenêtre Configuration avancée (appuyez sur la touche F5 de votre clavier) contient d'autres options de mise à jour. Dans le menu principal, cliquez sur Aide et assistance > Gérer la licence pour saisir une nouvelle clé de licence.
Une erreur s'est produite pendant le téléchargement des fichiers de mise à jour - Cette erreur peut être due à des paramètres de connexion Internet incorrects. Nous vous recommandons de vérifier votre connectivité à Internet en ouvrant un site Web dans votre navigateur. Si le site Web ne s'ouvre pas, cela est probablement dû au fait qu'aucune connexion à Internet n'est établie ou que votre ordinateur a des problèmes de connectivité. Consultez votre fournisseur de services Internet si vous n'avez pas de connexion Internet active.
REMARQUE : pour plus d'informations, consultez cet article de la base de connaissances ESET.
37
4.5.1 Configuration de la mise à jour de la base des virus
La mise à jour de la base des signatures de virus et celle des composants du programme sont des opérations importantes qui assurent la protection totale contre les attaques des codes malveillants. Il convient donc d'apporter une grande attention à leur configuration et à leur fonctionnement. Dans le menu principal, accédez à Mettre à jour, puis cliquez sur Mettre à jour maintenant pour rechercher toute nouvelle base des signatures.
38
Vous pouvez configurer les paramètres de mise à jour dans la fenêtre Configuration avancée (appuyez sur la touche F5 du clavier). Pour configurer les options avancées de mise à jour telles que le mode de mise à jour, l'accès au serveur proxy, la connexion LAN et les paramètres de copie de signature de virus (miroir), cliquez sur Mettre à jour dans la fenêtre Configuration avancée située à gauche. En cas de problème de mise à jour, cliquez sur Effacer le
cache pour effacer le dossier de mise à jour temporaire. Le menu Serveur de mise à jour est défini par défaut sur SÉLECTION AUTOMATIQUE. L'option SÉLECTION AUTOMATIQUE signifie que le serveur de mise à jour à partir duquel
les mises à jour des signatures de virus sont téléchargées est sélectionné automatiquement. Il est recommandé de conserver cette option par défaut. Si vous ne souhaitez pas afficher les notifications de la barre d'état système dans l'angle inférieur droit de l'écran, sélectionnez Désactiver l'affichage d'une notification de réussite de la mise à jour.
Le programme doit être mis à jour automatiquement pour assurer un fonctionnement optimal. Cela n'est possible que si la clé de licence correcte est entrée dans Aide et assistance > Activer la licence.
Si vous n'avez pas activé votre produit après l'installation, vous pouvez le faire à tout moment. Pour plus d'informations sur l'activation, reportez-vous à la section Comment activer ESET Mail Security, puis entrez les données de licence que vous avez reçues avec votre produit de sécurité ESET dans la fenêtre Détails de la licence.
39
4.5.2 Configuration du serveur proxy pour les mises à jour
Si vous utilisez un serveur proxy pour la connexion Internet sur un système sur lequel ESET Mail Security est installé, les paramètres de proxy doivent être configurés dans Configuration avancée. Pour accéder à la fenêtre de configuration du serveur proxy, appuyez sur la touche F5 pour ouvrir la fenêtre Configuration avancée et cliquez sur Mettre à jour > Proxy HTTP. Sélectionnez Connexion via un serveur proxy dans le menu déroulant Mode proxy et indiquez les détails concernant le serveur proxy : l'adresse IP du serveur proxy, le numéro de port, ainsi que le nom d'utilisateur et le mot de passe (le cas échéant).
Si vous ne connaissez pas les détails du serveur proxy, vous pouvez essayer de détecter automatiquement les paramètres de ce serveur en sélectionnant Utiliser les paramètres globaux de serveur proxy dans la liste déroulante.
REMARQUE : Les options du serveur proxy peuvent varier selon les profils de mise à jour. Si c'est le cas,
configurez les différents profils de mise à jour dans Configuration avancée en cliquant sur Mettre à jour > Profil.
4.6 Configuration
Le menu de configuration est composé de trois onglets :
Serveur
Ordinateur
Outils
40
4.6.1 Serveur
ESET Mail Security protège votre serveur grâce aux fonctionnalités essentielles suivantes : Antivirus et Antispyware, bouclier résident (protection en temps réel), protection de l'accès Web et protection du client de messagerie. Vous trouverez des informations sur chaque type de protection dans ESET Mail Security - Protection de l'ordinateur.
Exclusions automatiques - Cette fonctionnalité identifie les applications serveur et les fichiers du système
d'exploitation serveur critiques, puis les ajoute automatiquement à la liste des exclusions. Cette fonctionnalité
réduira le risque de conflits potentiels et augmentera les performances globales du serveur lors de l'exécution du
logiciel antivirus.
Pour configurer ESET Cluster, cliquez sur Assistant Cluster. Pour plus d'informations sur la configuration d'ESET
Cluster à l'aide de l'assistant, cliquez ici.
Si vous souhaitez définir des options plus détaillées, cliquez sur Configuration avancée ou appuyez sur F5. D'autres options sont disponibles au bas de la fenêtre de configuration. Pour charger les paramètres de
configuration à l'aide d'un fichier de configuration .xml ou pour enregistrer les paramètres de configuration actuels dans un fichier de configuration, utilisez l'option Importer/exporter les paramètres. Pour plus d'informations, consultez la section Importer/exporter les paramètres.
41
4.6.2 Ordinateur
ESET Mail Security dispose de tous les composants nécessaires pour garantir la protection du serveur en tant qu'ordinateur. Chaque composant fournir un type spécifique de protection : Antivirus et Antispyware, protection du système en temps réel, protection de l'accès Web, protection du client de messagerie, protection anti­hameçonnage, etc.
La section Ordinateur est disponible dans Configuration > Ordinateur. La liste des composants que vous pouvez activer/désactiver à l'aide du bouton s'affiche. Pour configurer les paramètres d'un élément spécifique, cliquez sur l'engrenage . Pour la protection en temps réel du système de fichiers, vous pouvez également modifier les
exclusions. Cette option ouvre la fenêtre de configuration des exclusions dans laquelle vous pouvez exclure de l'analyse des fichiers et des dossiers.
Désactiver la protection antivirus et antispyware - Lorsque vous désactivez temporairement la protection antivirus et antispyware, vous pouvez sélectionner la durée de désactivation du composant sélectionné dans le menu déroulant et cliquer sur Appliquer pour désactiver le composant de sécurité. Pour réactiver la protection, cliquez sur Activer la protection antivirus et antispyware.
Le module Ordinateur permet d'activer/de désactiver et de configurer les composants suivants :
42
Protection en temps réel du système de fichiers - Tous les fichiers ouverts, créés ou exécutés sur l'ordinateur sont
analysés pour y rechercher la présence éventuelle de code malveillant.
Protection des documents - La fonctionnalité de protection des documents analyse les documents
Microsoft Office avant leur ouverture, ainsi que les fichiers téléchargés automatiquement par Internet Explorer,
tels que les éléments Microsoft ActiveX.
Contrôle de périphérique - Ce module permet d'analyser, de bloquer ou d'ajuster les filtres étendus/
autorisations, et de définir les autorisations des utilisateurs à accéder à un périphérique et à l'utiliser.
HIPS - Le système HIPS surveille les événements qui se produisent dans le système d'exploitation et réagit en
fonction d'un ensemble de règles personnalisées.
Mode de présentation - Fonctionnalité destinée aux utilisateurs qui ne veulent pas être interrompus lors de
l'utilisation de leur logiciel. Ils ne souhaitent pas être dérangés par des fenêtres contextuelles et veulent réduire
les contraintes sur l'UC. Vous recevez un message d'avertissement (risque potentiel de sécurité) et la fenêtre
principale devient orange lorsque le mode de présentation est activé.
Protection Anti-Stealth - Détecte les programmes dangereux tels que les rootkits, qui sont en mesure de se
dissimuler du système d'exploitation. Il est impossible de les détecter à l'aide de techniques de test ordinaires.
Protection de l'accès Web - Si cette option est activée, tout le trafic HTTP ou HTTPS est analysé afin d'y rechercher
des codes malveillants.
Protection du client de messagerie - Contrôle les communications reçues via les protocoles POP3 et IMAP.
Protection antihameçonnage - Vous protège des tentatives d’acquisition de mots de passe, de données bancaires
ou d'autres informations sensibles par des sites Web non légitimes se faisant passer pour des sites Web dignes de
confiance.
REMARQUE : la protection des documents est désactivée par défaut. Vous pouvez facilement l'activer en cliquant
sur l'icône de commutateur. D'autres options sont disponibles au bas de la fenêtre de configuration. Pour charger les paramètres de
configuration à l'aide d'un fichier de configuration .xml ou pour enregistrer les paramètres de configuration actuels dans un fichier de configuration, utilisez l'option Importer/exporter les paramètres. Pour plus d'informations, consultez la section Importer/exporter les paramètres.
Si vous souhaitez définir des options plus détaillées, cliquez sur Configuration avancée ou appuyez sur F5.
43
4.6.3 Outils
Journalisation des données de diagnostic : configurez les composants qui écrivent dans les journaux de diagnostic lorsque la journalisation des données de diagnostic est activée. Lorsque vous cliquez sur le bouton bascule pour activer la journalisation des données de diagnostic, vous pouvez choisir la durée de l'activation (10 minutes, 30 minutes, 1 heure, 4 heures, 24 heures, jusqu’au redémarrage suivant du serveur ou de manière permanente). Les composants non affichés dans cet onglet écrivent toujours dans les journaux de diagnostic.
Activez la journalisation des données de diagnostic pendant la période définie.
44
4.6.4 Importer et exporter les paramètres
L'importation et l'exportation de la configuration d'ESET Mail Security sont accessibles dans Configuration en cliquant sur Importer/Exporter les paramètres.
L'importation et l'exportation utilisent le type de fichier .xml. Ces opérations sont utiles si vous devez sauvegarder la configuration actuelle d'ESET Mail Security. Elle peut être utilisée ultérieurement pour appliquer les mêmes paramètres à d'autres ordinateurs.
45
4.7 Outils
Le menu Outils comprend des modules qui contribuent à simplifier l'administration du programme et offrent des options supplémentaires. Il contient les outils suivants :
Processus en cours
Surveiller l'activité
ESET Log Collector
Statistiques de protection
Cluster
Shell ESET
ESET SysInspector
ESET SysRescue Live
Planificateur
Soumettre un échantillon pour analyse
Quarantaine
46
4.7.1 Processus en cours
Les processus en cours affichent les programmes ou processus en cours d'exécution sur votre ordinateur et informe ESET immédiatement et en permanence de l'existence de nouvelles infiltrations. ESET Mail Security fournit des informations détaillées sur l'exécution des processus afin de protéger les utilisateurs à l'aide de la technologie ESET
Live Grid.
Niveau de risque - Dans la majorité des cas, ESET Mail Security et la technologie ESET Live Grid attribuent des niveaux de risque aux objets (fichiers, processus, clés de registre, etc.) sur la base d'une série de règles heuristiques qui examinent les caractéristiques de chaque objet, puis qui évaluent le potentiel d'activité malveillante. Cette analyse heuristique attribue aux objets un niveau de risque allant de 1 - OK (vert) à 9 - Risqué (rouge).
Processus - Nom de l'image du programme ou du processus en cours d'exécution sur l'ordinateur. Vous pouvez également utiliser le Gestionnaire de tâches pour afficher tous les processus en cours d'exécution sur votre ordinateur. Vous pouvez ouvrir le Gestionnaire de tâches en cliquant avec le bouton droit de la souris sur une zone vide de la barre des tâches, puis en cliquant sur Gestionnaire de tâches ou en appuyant sur les touches Ctrl+Maj +Échap du clavier.
PID - ID des processus en cours d'exécution dans les systèmes d'exploitation Windows.
REMARQUE : les applications connues marquées OK (vert) sont saines (répertoriées dans la liste blanche) et sont
exclues de l'analyse, ce qui améliore la vitesse de l'analyse d'ordinateur à la demande ou de la protection du système en temps réel sur votre ordinateur.
Nombre d'utilisateurs - Nombre d'utilisateurs utilisant une application donnée. Ces informations sont collectées par la technologie ESET Live Grid.
Temps de découverte - Durée écoulée depuis la détection de l'application par la technologie ESET Live Grid.
REMARQUE :une application marquée avec le niveau de sécurité Inconnu (orange) n'est pas nécessairement un
logiciel malveillant. Il s'agit généralement d'une nouvelle application. Vous pouvez soumettre un échantillon pour
47
analyse au laboratoire ESET si ce fichier vous semble suspect. Si le fichier s'avère être une application malveillante,
sa détection sera ajoutée à l'une des prochaines mises à jour de la base des signatures de virus. Nom de l'application - Nom attribué à un programme auquel appartient ce processus. Lorsque vous cliquez sur une application située au bas de la fenêtre, les informations suivantes apparaissent dans la
partie inférieure de la fenêtre :
Chemin - Emplacement de l'application sur l'ordinateur.
Taille - Taille du fichier en Ko (kilo-octets) ou Mo (méga-octets).
Description - Caractéristiques du fichier basées sur sa description du système d'exploitation.
Réseaux Sociaux - Nom du fournisseur ou du processus de l'application.
Version - Informations fournies par l'éditeur de l'application.
Produit - Nom de l'application et/ou nom de l'entreprise.
Date de création - Date et heure de création d'une application.
Date de modification - Date et heure de dernière modification d'une application. REMARQUE : la réputation peut également être vérifiée sur des fichiers qui n'agissent pas en tant que programmes/
processus en cours - Marquez les fichiers que vous souhaitez vérifier, cliquez dessus avec le bouton droit et, dans le
menu contextuel, sélectionnez Options avancées > Évaluer la réputation des fichiers à l'aide de ESET Live Grid.
48
4.7.2 Surveiller l'activité

Pour voir l'activité actuelle du système de fichiers sous forme graphique, cliquez sur Outils > Surveiller l'activité. Cette option indique la quantité de données lues et écrites dans deux graphiques. Au bas du graphique figure une chronologie qui enregistre en temps réel l'activité du système de fichiers sur la base de l'intervalle sélectionné. Pour modifier l'intervalle, effectuez une sélection dans le menu déroulant Taux d'actualisation.

Les options disponibles sont les suivantes :
1 seconde - Le graphique est actualisé toutes les secondes et la chronologie couvre les 10 dernières minutes.
1 minute (24 dernières heures) - Le graphique est actualisé toutes les secondes et la chronologie couvre les 24
dernières heures.
1 heure (dernier mois) - Le graphique est actualisé toutes les heures et la chronologie couvre le dernier mois.
1 heure (mois sélectionné) - Le graphique est actualisé toutes les heures et la chronologie couvre le mois
sélectionné. Cliquez sur le bouton Changer de mois pour effectuer une autre sélection. L'axe vertical du graphique d'activité du système de fichiers représente les données lues (en bleu) et les données
écrites (en rouge). Les deux valeurs sont exprimées en Ko (kilo-octets)/Mo/Go. Si vous faites glisser le curseur de la souris sur les données lues ou écrites dans la légende sous le graphique, celui-ci n'affiche que les données relatives à ce type d'activité.
49
4.7.3 ESET Log Collector
ESET Log Collector est une application qui collecte automatiquement les informations de configuration et les journaux d'un serveur pour permettre de résoudre plus rapidement les problèmes. Lorsque vous signalez un problème auprès du Service client ESET, il se peut que vous deviez fournir les journaux de votre ordinateur. ESET Log Collector facilite la collecte des informations nécessaires.
ESET Log Collector est accessible depuis le menu principal en cliquant sur Outils > ESET Log Collector.
Cochez les cases correspondantes aux journaux que vous souhaitez collecter. Si vous ne savez pas exactement quels journaux sélectionner, laissez toutes les cases cochées (paramètre par défaut). Indiquez l'emplacement où enregistrer les fichiers d'archive, puis cliquez sur Enregistrer. Le nom du fichier d'archive est déjà prédéfini. Cliquez sur Collecter.
Pendant la collecte, la fenêtre d'opération sur les journaux s'affiche dans la partie inférieure pour que vous puissiez déterminer quelle opération est en cours. Une fois la collecte terminée, tous les fichiers collectés et archivés sont affichés. Cela signifie que la collecte a été correctement effectuée et que le fichier d'archive (par exemple,
emsx_logs.zip) a été enregistré à l'emplacement indiqué.
Pour plus d'informations sur ESET Log Collector et pour obtenir la liste des fichiers collectés par ESET Log Collector, consultez la base de connaissances ESET.
50
4.7.4 Statistiques de protection
Pour afficher un graphique des données statistiques relatives aux modules de protection d'ESET Mail Security, cliquez sur Outils > Statistiques de protection. Dans le menu déroulant Statistiques, sélectionnez le module de protection souhaité pour afficher le graphique et la légende correspondants. Placez le pointeur de la souris sur un élément de la légende pour afficher les données de cet élément dans le graphique.
Les graphiques statistiques suivants sont disponibles :
Antivirus et antispyware - Affiche le nombre d'objets infectés et nettoyés.
Protection du système de fichiers - Affiche les objets lus ou écrits dans le système de fichiers.
Protection du client de messagerie - Affiche les objets envoyés ou reçus par les clients de messagerie.
Protection du serveur de messagerie - Affiche les statistiques antivirus et antispyware du serveur de messagerie.
Protection de l'accès Web et antihameçonnage - Affiche uniquement les objets téléchargés par des navigateurs
Web.
Protection antispam du serveur de messagerie - Affiche l'historique des statistiques de blocage du courrier
indésirable depuis le dernier démarrage.
Protection par mise en liste grise du serveur de messagerie - Inclut les statistiques de blocage du courrier
indésirable générées par la méthode de liste grise.
Activité de protection du transport des messages - Affiche les objets vérifiés/bloqués/supprimés par le serveur
de messagerie.
Performances de la protection du transport des messages - Affiche les données traitées par VSAPI/l'agent de
transport en o/s.
Activité de la protection de la base de données de boîtes aux lettres - Affiche les objets traités par VSAPI (nombre
d'objets vérifiés, mis en quarantaine et supprimés).
Performances de la protection de la base de données de boîtes aux lettres - Affiche les données traitées par
VSAPI (nombre de moyennes différentes pour Aujourd'hui, les 7 derniers jours et moyennes depuis la dernière
réinitialisation).
51
À côté des graphiques statistiques, vous pouvez voir le nombre total d'objets analysés, le nombre d'objets infectés, le nombre d'objets nettoyés et le nombre d'objets propres. Cliquez sur Réinitialiser pour effacer les informations de statistiques. Pour effacer et supprimer toutes les données existantes, cliquez sur Tout réinitialiser.
4.7.5 Cluster
ESET Cluster est une infrastructure de communication P2P de la gamme des produits ESET pour Microsoft Windows Server.
Cette infrastructure permet aux produits serveur d'ESET de communiquer les uns avec les autres et d'échanger des données (configuration et notifications, par exemple), ainsi que de synchroniser les données nécessaires pour le fonctionnement correct d'un groupe d'instances de produit. Un exemple de ce type de groupe peut être un groupe de nœuds dans un cluster de basculement Windows ou un cluster d'équilibrage de la charge réseau doté d'un produit ESET et dans lequel la configuration du produit doit être identique dans l'ensemble du cluster. ESET Cluster assure cette cohérence entre les instances.
Vous pouvez accéder à la page d'état ESET Cluster dans le menu principal en cliquant sur Outils > Cluster. Lorsque ce produit est configuré correctement, la page d'état a cet aspect :
Pour configurer ESET Cluster, cliquez sur Assistant Cluster.... Pour plus d'informations sur la configuration d'ESET
Cluster à l'aide de l'assistant, cliquez ici.
52
Lors de la configuration d'ESET Cluster, vous pouvez ajouter des nœuds de deux manières : automatiquement à l'aide du cluster de basculement Windows/d'équilibrage de la charge réseau existant ou manuellement en recherchant des ordinateurs se trouvant dans un domaine ou un groupe de travail.
Détection automatique - Détecte automatiquement les nœuds déjà membres d'un cluster de basculement Windows/d'équilibrage de la charge réseau, puis les ajoute à ESET Cluster. Parcourir - Vous pouvez ajouter manuellement des nœuds en saisissant les noms des serveurs (membres d'un même groupe de travail ou d'un même domaine).
REMARQUE : les serveurs ne doivent pas obligatoirement être membres d'un cluster de basculement Windows/
d'équilibrage de la charge réseau pour utiliser la fonctionnalité ESET Cluster. Il n'est pas nécessaire que votre environnement comporte un cluster de basculement Windows/d'équilibrage de la charge réseau pour que vous puissiez utiliser ESET Cluster.
Une fois que vous avez ajouté des nœuds à ESET Cluster, l'étape suivante consiste à installer ESET Mail Security sur chaque nœud. Cette installation est effectuée automatiquement lors de la configuration d'ESET Cluster.
Informations d'identification nécessaires pour une installation à distance d'ESET Mail Security sur d'autres nœuds du cluster :
Domaine : informations d'identification de l'administrateur du domaine Groupe de travail : vous devez veiller à ce que tous les nœuds utilisent les mêmes informations d'identification de compte d'administrateur local
Dans ESET Cluster, vous pouvez également utiliser une combinaison de nœuds automatiquement ajoutés en tant que membres d'un cluster de basculement Windows/d'équilibrage de la charge réseau existant et de nœuds manuellement ajoutés (à condition qu'ils se trouvent dans le même domaine).
REMARQUE : il n'est pas possible de combiner des nœuds de domaine et des nœuds de groupe de travail.
L'utilisation d'ESET Cluster exige également que l'option Partage de fichiers et d'imprimantes soit activée dans le Pare-feu Windows avant que l'installation d'ESET Mail Security soit poussée sur les nœuds d'ESET Cluster.
Vous pouvez démanteler ESET Cluster facilement en cliquant sur Détruire le cluster. Chaque nœud écrit alors un enregistrement sur la destruction d'ESET Cluster dans son journal des événements. Ensuite, toutes les règles du pare-feu ESET sont supprimées du Pare-feu Windows. Les anciens nœuds reviennent alors à leur état initial et peuvent être réutilisés dans un autre ESET Cluster, si nécessaire.
REMARQUE : la création d'ESET Clusters entre ESET Mail Security et ESET File Security pour Linux n'est pas pris en
charge. L'ajout de nouveaux nœuds à un ESET Cluster existant peut être effectué à tout moment en exécutant l'Assistant
Cluster comme décrit plus haut et ici. Consultez la section Cluster pour plus d'informations sur la configuration d'ESET Cluster.
53
4.7.6 Shell ESET
eShell (abréviation d'ESET Shell) est une interface à ligne de commande pour ESET Mail Security. eShell s'utilise en remplacement de l'interface utilisateur graphique et dispose de toutes les fonctionnalités et options proposées normalement par cette interface. eShell vous permet de configurer et d'administrer l'intégralité du programme sans avoir à utiliser l'interface utilisateur graphique.
Outre les fonctions et fonctionnalités disponible dans l'interface graphique, l'interface à ligne de commande vous permet d'automatiser l'exécution de scripts afin de configurer et de modifier la configuration, ou encore d'effectuer une opération. eShell est également utile pour les utilisateurs qui préfèrent les lignes de commande aux interfaces graphiques.
Le système eShell peut être exécuté de deux manières :
Mode interactif : ce mode est utile lorsque vous souhaitez utiliser régulièrement eShell (pas simplement
exécuter une seule commande), par exemple lorsque vous modifiez la configuration, affichez des journaux, etc.
Vous pouvez également utiliser le mode interactif si vous ne connaissez pas encore toutes les commandes. Le
mode interactif simplifie la navigation dans eShell. Il affiche également les commandes que vous pouvez utilisez
dans un contexte défini.
Commande unique/mode de traitement par lots : vous pouvez utiliser ce mode si vous avez uniquement besoin
d'exécuter une commande sans passer au mode interactif de eShell. Pour ce faire, saisissez dans l'invite de
commande Windows eShell et ajoutez les paramètres appropriés. Par exemple :
eshell get status
ou
eshell set antivirus status disabled
Pour pouvoir exécuter certaines commandes (comme celles du deuxième exemple ci-dessus) en mode de traitement par lots/script, vous devez configurer au préalable certains paramètres. Si vous n'effectuez pas cette configuration, le message Accès refusé s'affiche pour des raisons de sécurité.
REMARQUE : Pour bénéficier de toutes les fonctionnalités, ouvrez eShell en utilisant Exécuter en tant
qu'administrateur. Utilisez la même option lors de l'exécution d'une commande via Windows Command Prompt
(cmd). Ouvrez la commande en utilisant Exécuter en tant qu'administrateur. Sinon, vous ne serez pas en mesure d'exécuter toutes les commandes. En effet, lorsque vous ouvrez une commande ou eShell en utilisant un compte non-administrateur, vous ne disposez pas des autorisations suffisantes.
REMARQUE: afin d'exécuter les commandes eShell depuis l'invite de commande Windows ou d'exécuter les
fichiers de commandes, vous devez effectuer quelques paramétrages. Pour plus d'informations sur l'exécution de fichiers de commandes, cliquez ici.
Pour passer au mode interactif eShell, vous pouvez utiliser l'une des deux méthodes suivantes :
Par l'intermédiaire du menu Démarrer de Windows : Démarrer > Tous les programmes > ESET > ESET File Security >
ESET shell
Depuis l'invite de commande Windows en tapant eShell et en appuyant sur la touche Entrée. Lorsque vous exécutez eShell en mode interactif pour la première fois, l'écran de première exécution (guide)
s'affiche.
REMARQUE : Si vous souhaitez afficher ultérieurement cet écran de première exécution, tapez la commande
guide . Il présente des exemples de base concernant l'utilisation d'eShell avec une syntaxe, un préfixe, un chemin
d'accès à une commande, des formes abrégées, des alias, etc. Il constitue un guide rapide d'utilisation d'eShell.
54
À la prochaine exécution d'eShell, cet écran s'affiche :
REMARQUE : les commandes ne font pas la distinction entre les majuscules et les minuscules ; que vous saisissiez
les noms de commande en majuscules ou en minuscules, les commandes s'exécutent de la même manière.
Personnalisation d'eShell
Vous pouvez personnaliser eShell dans le contexte ui eshell . Vous pouvez configurer des alias, des couleurs, la langue et la stratégie d'exécution des scripts. Vous pouvez également choisir d'afficher les commandes masquées et d'autres paramètres.
4.7.6.1 Utilisation
Syntaxe
Pour qu'elles fonctionnent correctement, les commandes doivent avec une syntaxe correcte. Elles peuvent être composées d'un préfixe, d'un contexte, d'arguments, d'options, etc. Voici la syntaxe générale utilisée dans eShell :
[<préfixe>] [<chemin de la commande>] <commande> [<arguments>] Exemple (cette commande active la protection des documents) :
SET ANTIVIRUS DOCUMENT STATUS ENABLED SET - préfixe
ANTIVIRUS DOCUMENT - chemin vers une commande particulière, contexte auquel la commande appartient STATUS - commande proprement dite ENABLED - argument de la commande
L'utilisation de la valeur ? en tant qu'argument pour une commande affiche la syntaxe de cette commande. Par exemple, la commande STATUS ? affiche la syntaxe de la commande STATUS :
SYNTAXE : [get] | status set status enabled | disabled
Vous pouvez constater que [get] est entre crochets. Cela indique que le préfixe get est l'option par défaut de la commande status . En d'autres termes, lorsque vous exécutez la commande status sans indiquer de préfixe, la commande utilise le préfixe par défaut (dans ce cas get status). Vous gagnerez du temps en n'indiquant pas de préfixe. La valeur get est généralement le préfixe par défaut pour la plupart des commandes, mais vous devez effectuer cette vérification pour chaque commande et vous assurer qu'il correspond bien à l'instruction que vous souhaitez exécuter.
REMARQUE : Les commandes ne font pas la distinction entre les majuscules et les minuscules : que vous
55
saisissiez les noms de commande en majuscules ou en minuscules, les commandes s'exécutent de la même manière.
Préfixe/Opération
Un préfixe est une opération. La commande GET fournit des informations sur la configuration d'une fonctionnalité de ESET Mail Security ou indique l'état ( GET ANTIVIRUS STATUS affiche l'état de la protection en cours). La commande SET (préfixe) configure la fonctionnalité ou change son état (SET ANTIVIRUS STATUS ENABLED active la protection).
eShell vous permet d'utiliser ces préfixes. Les commandes peuvent prendre en charge ou ne pas prendre en charge les préfixes :
GET - renvoie le paramètre/l'état en cours. SET - définit la valeur/l'état. SELECT - sélectionne un élément. ADD - ajoute un élément. REMOVE - supprime un élément. CLEAR - supprime tous les éléments/fichiers. START - démarre une action. STOP - arrête une action. PAUSE - interrompt une action. RESUME - reprend une action. RESTORE - restaure les paramètres/l'objet/le fichier par défaut. SEND - envoie un objet/fichier. IMPORT - importe d'un fichier. EXPORT - exporte dans un fichier.
Les préfixes tels que GET et SET sont utilisés avec de nombreuses commandes (certaines commandes telles que
EXIT) n'utilisent pas de préfixe.
Chemin/Contexte de la commande
Les commandes sont placées dans des contextes qui constituent une arborescence. Le niveau supérieur de l'arborescence est la racine. Lorsque vous exécutez eShell, vous vous trouvez au niveau racine :
eShell>
Vous pouvez exécuter la commande depuis cet emplacement ou saisir le nom du contexte dans l'arborescence pour y accéder. Par exemple, lorsque vous saisissez le contexte TOOLS , toutes les commandes et sous-contextes disponibles depuis cet emplacement sont répertoriés.
Les éléments en jaune correspondent aux commandes que vous pouvez exécuter et les éléments en gris sont des sous-contextes que vous pouvez saisir. Un sous-contexte contient des commandes supplémentaires.
56
Si vous devez remonter d'un niveau, utilisez .. (deux points). Par exemple, imaginons que vous vous trouvez à ce niveau :
eShell antivirus startup>
saisissez .. et vous remontez d'un niveau :
eShell antivirus>
Si vous souhaitez retourner au niveau racine depuis eShell antivirus startup> (soit deux niveaux en dessous de
la racine), tapez simplement .. .. (deux points et deux points séparés par un espace). Vous remontez alors de
deux niveaux, ce qui correspond dans ce cas à la racine. Utilisez une barre oblique inverse \ pour retourner directement au niveau racine, quel que soit le niveau auquel vous vous trouvez dans l'arborescence. Si vous souhaitez atteindre un contexte spécifique dans des niveaux supérieurs, utilisez le nombre adéquat de .. pour accéder au niveau souhaité en employant un espace comme séparateur. Si vous souhaitez par exemple remonter de
trois niveaux, utilisez .. .. ..
Le chemin est relatif au contexte en cours. Si la commande est contenue dans le contexte en cours, n'indiquez pas de chemin. Par exemple, pour exécuter GET ANTIVIRUS STATUS , saisissez :
GET ANTIVIRUS STATUS - si vous êtes dans le contexte racine (la ligne de commande indique eShell>) GET STATUS - si vous êtes dans le contexte ANTIVIRUS (la ligne de commande indique eShell antivirus>) .. GET STATUS - si vous êtes dans le contexte ANTIVIRUS STARTUP (la ligne de commande indique eShell antivirus
startup>)
REMARQUE : vous pouvez utiliser un point ( . ) au lieu de deux ( .. ), car un point est l'abréviation de deux points.
Par exemple : . GET STATUS - si vous êtes dans le contexte ANTIVIRUS STARTUP (la ligne de commande indique eShell antivirus
startup>)
Argument
Un argument est une action qui peut être réalisée pour une commande particulière. Par exemple, la commande
CLEAN-LEVEL (située dans ANTIVIRUS REALTIME ENGINE) peut être utilisée avec les arguments suivants :
no - Pas de nettoyage normal - Nettoyage normal strict - Nettoyage strict
Les arguments ENABLED ou DISABLEDpermettent d'activer ou de désactiver une fonctionnalité.
Forme abrégée/Commandes raccourcies
eShell vous permet de raccourcir les contextes, les commandes et les arguments (à condition que l'argument soit un paramètre ou une autre option). Il n'est pas possible de raccourcir un préfixe ou un argument s'il s'agit d'une valeur concrète telle qu'un nombre, un nom ou un chemin.
Voici des exemples de forme raccourcie : set status disabled => set stat en
add antivirus common scanner-excludes C:\path\file.ext => add ant com scann C:\path\file.ext Si deux commandes ou contextes commencent par la même lettre, ABOUT et ANTIVIRUS, et que vous saisissez la
commande raccourcie A , eShell ne parvient pas à déterminer laquelle de ces deux commandes vous souhaitez exécuter. Un message d'erreur s'affiche et répertorie les commandes commençant par un « A » pour que vous puissiez sélectionner celle à exécuter :
eShell>a La commande suivante n'est pas unique : a
Les commandes suivantes sont disponibles dans ce contexte :
ABOUT - Affiche les informations sur le programme ANTIVIRUS - Passe au contexte antivirus
57
Ensuite, l'ajout d'une ou de plusieurs lettres ( AB au lieu de A) eShell exécute la commande ABOUT car cette commande est unique.
REMARQUE : afin d'avoir la garantie qu'une commande s'exécute comme vous le souhaitez, il est recommandé de ne pas abréger les commandes, les arguments, etc. et d'utiliser plutôt la forme complète. La commande s'exécute alors exactement comme vous le souhaitez et vous évite de commettre des erreurs. Ce conseil s'applique notamment pour les fichiers et les scripts de traitement par lots.
Saisie semi-automatique
Il s'agit d'une nouvelle fonctionnalité d'eShell (ajoutée dans la version 2.0). Elle ressemble beaucoup à la fonctionnalité de saisie semi-automatique de l'invite de commande Windows. Alors que l'invite de commande Windows effectue une saisie semi-automatique des chemins d'accès aux fichiers, eShell effectue également une saisie semi-automatique des noms de commande, de contexte et d'opération. La saisie semi-automatique des arguments n'est pas prise en charge. Lorsque vous tapez une commande, appuyez sur la touche TAB pour terminer la saisie ou parcourir les variantes disponibles. Appuyez sur MAJ+TAB pour parcourir les variantes dans le sens inverse. Le mélange d'une forme abrégée et de la saisie semi-automatique n'est pas pris en charge. Utilisez une de ces deux options. Par exemple, lorsque vous saisissez antivir real scan la frappe de la touche TAB ne donne aucun résultat. Saisissez plutôt antivir et appuyez sur la touche TAB pour saisir automatiquement antivirus, tapez ensuite real + TAB et scan + TAB. Vous pouvez ensuite parcourir toutes les variantes disponibles : scan-create, scan­execute, scan-open, etc.
Alias
Un alias est un autre nom qui peut être utilisé pour exécuter une commande (à condition que la commande dispose d'un alias). Voici quelques alias par défaut :
(global) close - exit (global) quit - exit (global) bye - exit warnlog - tools log events virlog - tools log detections antivirus on-demand log - tools log scans
"(global)" signifie que la commande peut être utilisée dans tous les emplacements, quel que soit le contexte actuel. Une commande peut comporter plusieurs alias. Par exemple, la commande EXIT comporte les alias CLOSE,
QUIT et BYE. Si vous souhaitez quitter eShell, vous pouvez utiliser la commande EXIT proprement dite ou l'un de ses
alias. L'alias VIRLOG est attribué à la commande DETECTIONS qui se trouve dans le contexte TOOLS LOG . Les détections de commande sont ainsi disponibles depuis le contexte ROOT , ce qui facilite l'accès (vous n'avez plus à saisir TOOLS puis le contexte LOG et l'exécuter directement depuis ROOT).
eShell vous permet de définir vos propres alias. Commande ALIAS est accessible dans le contexte UI ESHELL .
Paramètres protégés par mot de passe
Les paramètres de ESET Mail Security peuvent être protégés par mot de passe. Vous pouvez définir un mot de passe
à l'aide de l'interface graphique utilisateur ou d'eShell à l'aide de la commande set ui access lock-password .
Vous devez ensuite saisir ce mot de passe de manière interactive pour certaines commandes (comme celles qui permettent de modifier des paramètres ou des données). Si vous envisagez d'utiliser eShell pendant une longue période et si vous ne souhaitez pas saisir le mot de passe de manière répétée, vous pouvez faire en sorte qu'eShell mémorise le mot de passe à l'aide de la commande set password . Votre mot de passe est alors automatiquement saisi pour chaque commande exécutée qui le demande. Le mot de passe est mémorisé jusqu'à ce que vous quittiez eShell. Vous devez donc réutiliser la commande set password lorsque vous démarrez une nouvelle session et que vous souhaitez qu'eShell mémorise le mot de passe.
Guide / Aide
Lorsque vous exécutez la commande GUIDE ou HELP , l'écran de première exécution apparaît et vous explique comment utiliser eShell. Cette commande est disponible dans le contexte ROOT (eShell>).
Historique de commande
eShell conserve un historique des commandes exécutées. Cet historique s'applique uniquement à la session interactive eShell en cours. Lorsque vous quittez eShell, l'historique des commandes est supprimé. Utilisez les flèches Haut et Bas de votre clavier pour parcourir l'historique. Lorsque vous avez localisé la commande que vous
58
recherchiez, vous pouvez la réexécuter ou la modifier sans avoir à saisir l'intégralité de la commande depuis le début.
CLS/Effacement de l'écran
La commande CLS peut être utilisée pour effacer le contenu de l'écran. Cette commande fonctionne de la même manière que l'invite de commande Windows ou que toute autre interface à ligne de commande.
EXIT/CLOSE/QUIT/BYE Pour fermer ou quitter eShell, vous pouvez utiliser l'une de ces commandes (EXIT, CLOSE, QUIT ou BYE).
4.7.6.2 Commandes
Cette section répertorie quelques commandes eShell de base, ainsi qu'une description en guise d'exemple.
REMARQUE : Les commandes ne font pas la distinction entre les majuscules et les minuscules : que vous
saisissiez les noms de commande en majuscules ou en minuscules, les commandes s'exécutent de la même manière.
Exemples de commandes (contenues dans le contexte ROOT) :
ABOUT
Répertorie les informations sur le programme. Cette commande indique le nom du produit installé, son numéro de version, les composants installés (notamment le numéro de version de chaque composant), ainsi que des informations de base sur le serveur et le système d'exploitation sur lesquels s'exécute ESET Mail Security.
CHEMIN DE CONTEXTE : root
PASSWORD
Normalement, lorsque vous exécutez des commandes protégées par mot de passe, vous êtes invité à taper un mot de passe pour des raisons de sécurité. Il concerne les commandes qui désactivent la protection antivirus et qui peuvent avoir une incidence sur le fonctionnement du produit ESET Mail Security. Vous êtes invité à saisir un mot de passe chaque fois que vous exécutez une commande de ce type. Afin d'éviter d'avoir à saisir un mot de passe à chaque fois, vous pouvez définir ce mot de passe. Il sera mémorisé par eShell et utilisé automatiquement à chaque exécution d'une commande protégée par un mot de passe. De cette manière, vous n'aurez plus à le saisir à chaque fois.
REMARQUE : le mot de passe défini ne fonctionne que pour la session interactive eShell en cours. Lorsque vous
quittez eShell, ce mot de passe défini est supprimé. Lorsque vous redémarrez eShell, le mot de passe doit être redéfini.
Ce mot de passe défini est également très utile lorsque vous exécutez des fichiers/scripts de traitement par lots. Voici un exemple de fichier de traitement par lots :
eshell start batch "&" set password plain <votremotdepasse> "&" set status disabled
La commande concaténée ci-dessus démarre un mode de traitement par lots, définit le mot de passe qui sera utilisé et désactive la protection.
CHEMIN DE CONTEXTE : root SYNTAXE : [get] | restore password set password [plain <motdepasse>]
59
OPÉRATIONS : get - Affiche le mot de passe set - Définit ou efface le mot de passe restauration - Efface le mot de passe ARGUMENTS : plain - Permet d'entrer le mot de passe en tant que paramètre. password - Mot de passe. EXEMPLES : set password plain <votremotdepasse> - Définit un mot de passe qui sera utilisé pour les commandes protégées
par mot de passe. restore password - Efface le mot de passe. EXEMPLES : get password - Utilisez cette commande pour définir si le mot de passe est configuré (le mot de passe n'apparaît
pas clairement ; il est remplacé par une série d'astérisques *). Si vous ne voyez aucun astérisque, cela signifie qu'aucun mot de passe n'est défini.
set password plain <votremotdepasse> - Utilisez cette commande pour configurer le mot de passe défini restore password - Cette commande efface le mot de passe défini.
STATUS
Affiche des informations sur l'état en cours de la protection ESET Mail Security (identique à l'interface utilisateur graphique).
CHEMIN DE CONTEXTE : root SYNTAXE : [get] | restore status set status disabled | enabled OPÉRATIONS : get - Affiche l'état de la protection antivirus set - Désactive/Active la protection antivirus restore - Restaure les paramètres par défaut ARGUMENTS : disabled - Désactive la protection antivirus enabled - Active la protection antivirus EXEMPLES : get status - Affiche l'état de la protection en cours set status disabled - Désactive la protection restore status - Restaure la protection sur le paramètre par défaut (activée)
VIRLOG
Cette commande est un alias de la commande DETECTIONS . Elle est utile lorsque vous devez afficher des
60
informations sur les infiltrations détectées.
WARNLOG
Cette commande est un alias de la commande EVENTS . Elle est utile lorsque vous devez afficher des informations sur différents événements.
4.7.6.3 Fichiers de commandes/scripts
Vous pouvez utiliser eShell comme outil de création de scripts puissant pour l'automatisation. Pour utiliser un fichier de commandes dans eShell, créez-en un comportant un eShell et une commande. Par exemple :
eshell get antivirus status
Vous pouvez également créer une chaîne de commandes, ce qui est parfois nécessaire. Si vous souhaitez par exemple obtenir le type d'une tâche planifiée spécifique, saisissez la commande suivante :
eshell select scheduler task 4 "&" get scheduler action
La sélection d'un élément (tâche numéro 4 dans le cas présent) ne s'applique généralement qu'à une instance d'eShell en cours d'exécution. Si vous deviez exécuter ces commandes à la suite, la seconde commande échouerait en affichant l'erreur « Aucune tâche n'est sélectionnée ou la tâche sélectionnée n'existe plus. »
Pour des raisons de sécurité, la stratégie d'exécution est définie par défaut sur Scripts limités. Vous pouvez ainsi utiliser eShell comme outil de surveillance (dans ce cas, vous ne pouvez pas apporter de modifications à la configuration de ESET Mail Security). Si vous utilisez des commandes qui ont un impact sur la sécurité, comme la désactivation de la protection, le message Accès refusé s'affiche. Pour pouvoir exécuter ces commandes qui apportent des modifications de configuration, il est recommandé d'utiliser des fichiers de commandes signés.
Si vous devez, pour une raison spécifique, modifier la configuration à l'aide d'une commande saisie manuellement dans l'invite de commande, vous devez accorder un accès total à eShell (non recommandé). Pour accorder un accès total, utilisez la commande ui eshell shell-execution-policy en mode interactif d'eShell. Vous pouvez également accorder un accès total par le biais de l'interface graphique utilisateur dans Configuration avancée >
Interface utilisateur > ESET Shell. Fichiers de commandes signés
eShell vous permet de protéger les fichiers de commandes courants (*.bat) à l'aide d'une signature. Les scripts sont signés à l'aide du mot de passe utilisé pour la protection des paramètres. Pour signer un script, vous devez activer au préalable la protection des paramètres. Vous pouvez le faire dans l'interface graphique utilisateur ou dans eShell à l'aide de la commande set ui access lock-password . Une fois que le mot de passe de protection des paramètres est configuré, vous pouvez commencer à signer les fichiers de commandes.
Pour signer un fichier de commandes, exécutez sign <script.bat> à partir du contexte racine d'eShell, où script.bat correspond au chemin d'accès au script à signer. Saisissez le mot de passe qui sera utilisé pour la signature, puis confirmez-le. Ce mot de passe doit correspondre au mot de passe de protection des paramètres. La signature est placée dans la partie inférieure du fichier de commandes sous forme de commentaire. Si le script a déjà été signé, sa signature est remplacée par la nouvelle.
REMARQUE : lorsque vous modifiez un fichier de commandes signé, vous devez le resigner.
REMARQUE : si vous modifiez le mot de passe de protection des paramètres, vous devez resigner tous les scripts
(sinon, les scripts ne peuvent plus être exécutés), car le mot de passe saisi lors de la signature d'un script doit correspondre au mot de passe de protection des paramètres sur le système cible.
Pour exécuter un fichier de commandes signé à partir de l'invite de commande Windows ou en tant que tâche planifiée, utilisez la commande suivante :
eshell run <script.bat>
, où script.bat correspond au chemin d'accès au fichier de commandes Par exemple : eshell run d:
\myeshellscript.bat
61
4.7.7 ESET SysInspector

ESET SysInspector est une application qui inspecte méticuleusement votre ordinateur, réunit des informations

détaillées sur les composants système, tels que pilotes et applications installés, connexions réseau ou entrées de registre importantes, puis évalue le niveau de risque de chaque composant. Ces informations peuvent aider à déterminer la cause d'un comportement suspect du système pouvant être dû à une incompatibilité logicielle ou matérielle, ou à une infection par un logiciel malveillant.
La fenêtre ESET SysInspector affiche les informations suivantes relatives aux journaux créés :
Heure - Heure de création du journal.
Commentaire - Bref commentaire.
Utilisateur - Nom de l'utilisateur qui a créé le journal.
État - État de création du journal.
Les actions disponibles sont les suivantes :
Ouvrir - Ouvre le journal créé. Vous pouvez également cliquer avec le bouton droit sur le journal créé et
sélectionner Afficher dans le menu contextuel.
Comparer - Compare deux journaux existants.
Créer - Crée un journal. Veuillez patienter jusqu'à ce que le journal ESET SysInspector soit prêt (l'option État
indique Créé).
Supprimer - Supprime les journaux sélectionnés de la liste. En cliquant avec le bouton droit de la souris sur un ou plusieurs journaux sélectionnés, vous ouvrez un menu
contextuel qui donne accès aux options suivantes :
Afficher - Ouvre le journal sélectionné dans ESET SysInspector (équivaut à double-cliquer sur un journal).
Créer - Crée un journal. Veuillez patienter jusqu'à ce que le journal ESET SysInspector soit prêt (l'option État
indique Créé).
Supprimer tout - Supprime tous les journaux.
Exporter - Exporte le journal dans un fichier .xml ou .xml compressé.
4.7.7.1 Créer un rapport de l'état de l'ordinateur
Entrez un bref commentaire décrivant le journal à créer, puis cliquez sur le bouton Ajouter. Patientez jusqu'à ce que le journal d'ESET SysInspector soit prêt (état Créé). Selon la configuration matérielle et les données système, la création du journal peut prendre un certain temps.
4.7.7.2 ESET SysInspector
4.7.7.2.1 Introduction à ESET SysInspector
ESET SysInspector est une application qui inspecte votre ordinateur en profondeur et qui affiche en détail toutes les données obtenues. Des informations telles que les pilotes et applications installés, les connexions réseau ou les entrées de registre importantes peuvent vous aider à élucider un comportement suspect du système, qu’il soit dû à une incompatibilité logicielle ou matérielle, ou à une infection par logiciel malveillant.
Vous pouvez accéder à ESET SysInspector de deux manières : Depuis la version intégrée dans les solutions ESET Security ou en téléchargeant gratuitement la version autonome (SysInspector.exe) depuis le site Internet d'ESET. Les deux versions sont identiques en matière de fonctionnalités et disposent des mêmes contrôles de programme. La seule différence réside dans la façon dont les résultats sont gérés. Les versions autonomes et intégrées vous permettent d'exporter des instantanés du système dans un fichier .xml et de les enregistrer sur le disque. Toutefois, la version intégrée vous permet également de stocker vos instantanés système directement dans Outils > ESET SysInspector (excepté ESET Remote Administrator).
Veuillez patienter pendant que ESET SysInspector analyse votre ordinateur. L'analyse peut prendre entre 10 secondes et quelques minutes, en fonction de la configuration de votre matériel, du système d'exploitation et du nombre d'applications installées sur votre ordinateur.
62
4.7.7.2.1.1 Démarrage d'ESET SysInspector
Pour démarrer ESET SysInspector, il suffit de lancer le fichier exécutable SysInspector.exe téléchargé depuis le site Web d'ESET.
Patientez pendant que l'application vérifie le système, une opération qui pourrait durer plusieurs minutes en fonction du matériel et des données à recueillir.
4.7.7.2.2 Interface utilisateur et utilisation de l'application
Pour des raisons de clarté, la fenêtre principale est divisée en quatre principales sections : les Contrôles du programme situés dans le haut de la fenêtre principale, la fenêtre Navigation à gauche, la fenêtre Description à droite au centre et la fenêtre Détails à droite au bas de la fenêtre principale. La section État du journal énumère les paramètres de base d'un journal (filtre utilisé, type de filtre, journal résultat d'une comparaison, etc.).
4.7.7.2.2.1 Contrôles du programme
Cette section contient la description de tous les contrôles du programme disponible dans ESET SysInspector.
Fichier
En cliquant sur Fichier, vous pouvez enregistrer l'état actuel du système en vue d'une enquête ultérieure ou ouvrir un journal déjà enregistré. Pour la publication, il est conseillé de créer un journal approprié pour envoi. Sous cette forme, le journal omet les informations sensibles (nom d'utilisateur, nom d'ordinateur, nom de domaine, privilèges actuels de l'utilisateur, variables d'environnement, etc.).
REMARQUE : vous pouvez ouvrir des rapports enregistrés de ESET SysInspector en les faisant glisser et en les déposant sur la fenêtre principale.
Arborescence
Permet de développer ou de réduire tous les nœuds et d'exporter les sections sélectionnées dans le script de
63
service.
Liste
Contient des fonctions qui simplifient la navigation dans le programme, ainsi que d'autres fonctionnalités comme l'obtention d'informations en ligne.
Aide
Contient des informations sur l'application et ses fonctions.
Détails
Ce paramètre détermine les informations affichées dans la fenêtre principale afin de simplifier l'utilisation des informations. En mode de base, vous avez accès aux informations utilisées pour trouver les solutions aux problèmes communs dans votre système. En mode Moyen, le programme affiche moins de détails. En mode Complet, ESET SysInspector indique toutes les informations requises pour résoudre des problèmes très particuliers.
Filtrage des éléments
Le filtrage des éléments est particulièrement adapté à la recherche de fichiers suspects ou d'entrées de Registre dans le système. En déplaçant le curseur, vous pouvez filtrer les éléments en fonction de leur niveau de risque. Si le curseur est positionné tout à fait à gauche (Niveau de risque 1), tous les éléments sont affichés. En déplaçant le curseur vers la droite, l'application filtre tous les éléments dont le risque est inférieur au niveau de risque actuel et affiche uniquement les éléments qui sont plus suspects que le niveau affiché. Si le curseur est en position maximale à droite, le programme affiche uniquement les éléments nuisibles connus.
Tous les éléments qui appartiennent aux catégories de risque 6 à 9 peuvent poser un risque pour la sécurité. Si vous n'utilisez pas certaines des solutions de sécurité d'ESET, nous vous conseillons d'analyser votre système à l'aide d'ESET Online Scanner dans le cas où ESET SysInspector détecte un élément de ce genre. ESET Online Scanner est un service gratuit.
REMARQUE : le niveau de risque d'un élément peut être rapidement déterminé grâce à la couleur que prend le curseur pour indiquer le niveau de risque.
Rechercher
La fonction de recherche permet de trouver rapidement un élément sur la base de son nom ou d'une partie de son nom. Les résultats de la recherche sont affichés dans la fenêtre Description.
Retour
En cliquant sur la flèche arrière ou avant, vous pouvez revenir aux informations affichées précédemment dans la fenêtre Description. Vous pouvez utiliser la touche de retour arrière et la barre d'espace au lieu de cliquer sur les flèches arrière ou avant.
Section d'état
Affiche le nœud actuel dans la fenêtre Navigation. Important : les éléments surlignés en rouge sont inconnus et c'est la raison pour laquelle l'application les marque
comme potentiellement dangereux. Si un élément est rouge, cela ne signifie pas automatiquement que vous pouvez supprimer le fichier. Avant de le supprimer, assurez-vous que les fichiers sont bel et bien dangereux ou qu'ils ne sont pas nécessaires.
64
4.7.7.2.2.2 Navigation dans ESET SysInspector
ESET SysInspector répartit divers types d'informations en plusieurs sections principales baptisées nœuds. Si des détails supplémentaires sont disponibles, vous pouvez les afficher en développant chaque nœud en sous-nœuds. Pour développer ou réduire un nœud, double-cliquez sur son nom, ou cliquez sur ou sur en regard du nom du nœud. Quand vous parcourez la structure arborescente des nœuds et des sous-nœuds dans la fenêtre de navigation, vous pouvez voir différents détails pour chaque nœud dans la fenêtre Description. Si vous parcourez les éléments de la fenêtre Description, des détails supplémentaires pour chaque élément peuvent être affichés dans la fenêtre Détails.
Voici les descriptions des principaux nœuds de la fenêtre Navigation et des informations qui s'y rapportent dans les fenêtres Description et Détails.
Processus en cours
Ce nœud comprend les informations sur les applications et les processus en cours d'exécution au moment de la création du journal. La fenêtre Détails comprend des détails complémentaires pour chaque processus tels que les bibliothèques dynamiques utilisées par les processus et leur emplacement dans le système, le nom de l'éditeur de l'application et le niveau de risque du fichier.
La fenêtre Détails contient des informations complémentaires sur les éléments sélectionnés dans la fenêtre Description telles que la taille du fichier ou son hachage.
REMARQUE : Un système d'exploitation comprend plusieurs composants noyaux importants fonctionnant 24 h. sur 24/7 j. sur 7 et assurant des fonctions de base et vitales pour d'autres applications utilisateur. Dans certains cas, ces processus sont repris dans l'outil ESET SysInspector avec un chemin d'accès au fichier commençant par \??\. Ces symboles garantissent l'optimisation préalable au lancement pour ce processus ; ils ne présentent aucun danger pour le système.
Connexions de réseau
La fenêtre Description contient la liste des processus et des applications qui communiquent via le réseau à l'aide du protocole sélectionné dans la fenêtre navigation (TCP ou UDP), ainsi que l'adresse distante à laquelle l'application est connectée. Vous pouvez également vérifier les adresses IP des serveurs DNS.
La fenêtre Détails contient des informations complémentaires sur les éléments sélectionnés dans la fenêtre Description telles que la taille du fichier ou son hachage.
Entrées de Registre importantes
Contient la liste des entrées de Registre sélectionnées qui sont souvent liées à des problèmes système. Il s'agit des entrées qui indiquent les applications de démarrage, les objets d'application d'assistance du navigateur, etc.
La fenêtre Description peut indiquer les fichiers en rapport avec les entrées de Registre particulières. La fenêtre Détails peut également présenter des détails supplémentaires.
Services
La fenêtre Description contient la liste des fichiers enregistrés en tant que services Windows. Vous pouvez contrôler la manière dont le démarrage du service est paramétré, ainsi que des détails spécifiques du fichier dans la fenêtre Détails.
Pilotes
Liste des pilotes installés sur le système.
Fichiers critiques
La fenêtre Description affiche le contenu des fichiers critiques liés au système d'exploitation Microsoft Windows.
Tâches du planificateur système
Contient une liste de tâches déclenchées par le Planificateur de tâches de Windows à une heure précise ou selon un intervalle spécifié.
65
Informations système
Ctrl+O
ouvre un journal existant
Ctrl+S
enregistre les journaux créés
Ctrl+G
génère un instantané standard du statut de l'ordinateur
Ctrl+H
génère un instantané du statut de l'ordinateur qui peut également journaliser des informations sensibles
1, O
affiche les éléments de niveau de risque 1 à 9 (acceptable)
2
affiche les éléments de niveau de risque 2 à 9 (acceptable)
3
affiche les éléments de niveau de risque 3 à 9 (acceptable)
4, U
affiche les éléments de niveau de risque 4 à 9 (inconnu)
5
affiche les éléments de niveau de risque 5 à 9 (inconnu)
6
affiche les éléments de niveau de risque 6 à 9 (inconnu)
7, B
affiche les éléments de niveau de risque 7 à 9 (risqué)
8
affiche les éléments de niveau de risque 8 à 9 (risqué)
9
affiche les éléments de niveau de risque 9 (risqué)
-
diminue le niveau de risque
+
augmente le niveau de risque
Ctrl+9
mode de filtrage, niveau égal ou supérieur
Ctrl+0
mode de filtrage, niveau égal uniquement
Ctrl+5
afficher par éditeur, tous les éditeurs
Ctrl+6
afficher par éditeur, uniquement Microsoft
Ctrl+7
afficher par éditeur, tous les autres éditeurs
Ctrl+3
afficher tous les détails
Ctrl+2
afficher les détails de précision moyenne
Ctrl+1
affichage de base
Retour arrière
revient une étape en arrière
Barre d'espace
avance d'une étape Ctrl+W
développe l'arborescence
Ctrl+Q
réduit l'arborescence
Ctrl+T
accède à l'emplacement d'origine de l'élément après la sélection dans les résultats de recherche
Ctrl+P
affiche des informations élémentaires sur un élément
Contient des informations détaillées sur le matériel et le logiciel, ainsi que des informations sur les variables d'environnement définies, les droits de l'utilisateur et les journaux d'événements du système.
Détails du fichier
Liste des fichiers système importants et des fichiers du dossier Program Files. Des informations complémentaires spécifiques sur les fichiers sont disponibles dans les fenêtres Description et Détails.
À propos de
Informations sur la version de ESET SysInspector et la liste des modules du programme. Voici les raccourcis clavier disponibles dans ESET SysInspector :
Fichier
Générer
Filtrage des éléments
Afficher
Autres commandes
66
Ctrl+A
affiche des informations complètes sur un élément
Ctrl+C
copie l'arborescence de l'élément
Ctrl+X
copie les éléments
Ctrl+B
trouve des informations sur les fichiers sélectionnés sur Internet
Ctrl+L
ouvre le dossier où se trouve le fichier sélectionné.
Ctrl+R
ouvre l'entrée correspondante dans l'éditeur de registre
Ctrl+Z
copie un chemin d'accès à un fichier (si l'élément est lié à un fichier)
Ctrl+F
passe au champ de recherche
Ctrl+D
ferme les résultats de la recherche
Ctrl+E
exécute le script de service
Comparaison
Ctrl+Alt+O
ouvre le journal d'origine/de comparaison
Ctrl+Alt+R
annule la comparaison
Ctrl+Alt+1
affiche tous les éléments
Ctrl+Alt+2
affiche uniquement les éléments ajoutés ; le journal indique les éléments présents dans le journal actuel
Ctrl+Alt+3
affiche uniquement les éléments supprimés ; le journal indique les éléments présents dans le journal précédent
Ctrl+Alt+4
affiche uniquement les éléments remplacés (fichiers inclus)
Ctrl+Alt+5
affiche uniquement les différences entre les journaux
Ctrl+Alt+C
affiche la comparaison
Ctrl+Alt+N
affiche le journal actuel
Ctrl+Alt+P
ouvre le journal précédent
F1
afficher l'aide
Alt+F4
quitter l'application
Alt+Maj+F4
quitter l'application sans demander
Ctrl+I
statistiques du journal
Divers
4.7.7.2.2.3 Comparer
La fonctionnalité Comparer permet de comparer deux journaux. Cette fonctionnalité met en évidence les éléments qui ne sont pas communs aux deux journaux. Cet outil est utile si vous souhaitez assurer le suivi des modifications dans le système. Il vous permettra de détecter l'activité d'un code malveillant.
Après son lancement, l'application crée un journal qui apparaît dans une nouvelle fenêtre. Accédez au menu Fichier > Enregistrer le journal pour enregistrer le journal dans un fichier. Vous pouvez ouvrir et afficher les fichiers journaux ultérieurement. Pour ouvrir un journal existant, sélectionnez Fichier > Ouvrir le journal. Dans la fenêtre principale de l'application, ESET SysInspector affiche toujours un journal à la fois.
En comparant deux journaux, vous pouvez afficher un journal actif et un autre journal enregistré dans un fichier. Pour comparer des journaux, choisissez l'option Fichier > Comparer les journaux, puis choisissez Sélectionner un fichier. Le journal sélectionné est comparé au journal actif dans les fenêtres principales de l'application. Le journal comparatif n'indiquera que les différences entre ces deux journaux.
REMARQUE : si vous comparez deux fichiers journaux, choisissez Fichier > Enregistrer le journal pour l'enregistrer dans un fichier ZIP. Les deux fichiers sont enregistrés. Si vous ouvrez ce fichier ultérieurement, les journaux qu'il contient seront comparés automatiquement.
En regard des éléments affichés, ESET SysInspector ajoute des symboles qui identifient les différences entre les journaux comparés.
Les éléments marqués par se trouvent uniquement dans le journal actif et sont absents du journal de comparaison ouvert. Les éléments marqués du signe ne figurent que dans le journal ouvert et sont absents du journal actif.
67
Description de tous les symboles qui peuvent être affichés à côté des éléments :
/gen
crée un journal directement depuis la ligne de commande sans exécuter l'interface utilisateur.
/privacy
crée un journal qui exclut les informations sensibles.
/zip
stocke le journal obtenu directement sur le disque dans un fichier compressé.
/silent
supprime l'affichage de la barre de progression de la création du journal.
/help, /?
affiche des informations sur les paramètres de la ligne de commande.
nouvelle valeur, absente du journal précédent.
cette section de l'arborescence contient de nouvelles valeurs.
valeur supprimée, présente uniquement dans le journal précédent.
cette section de l'arborescence contient des valeurs supprimées.
valeur/fichier modifié.
cette section de l'arborescence contient des valeurs/fichiers modifiés. le niveau de risque a diminué/était supérieur dans le journal précédent. le niveau de risque a augmenté/il était inférieur dans le journal précédent.
La section d'explication affichée dans le coin inférieur gauche décrit tous les symboles et affiche le nom des journaux comparés.
Les journaux de comparaison peuvent être enregistrés dans un fichier et ouverts ultérieurement :
Exemple
Générez et enregistrez un journal contenant des informations d'origine concernant le système, dans un fichier nommé précédent.xml. Après avoir apporté des modifications au système, ouvrez ESET SysInspector et laissez-le générer un nouveau journal. Enregistrez ce journal sous le nom actuel.xml.
Pour voir les différences entre ces deux journaux, utilisez l'option Fichier > Comparer les journaux. Le programme crée un journal de comparaison qui indique les différences entre les journaux.
Un résultat identique peut être obtenu si vous utilisez l'option de ligne de commande suivante :
SysInspector.exe actuel.xml précédent.xml
4.7.7.2.3 Paramètres de la ligne de commande
ESET SysInspector prend en charge la création de rapports via la ligne de commande à l'aide de ces paramètres :
Exemples
Pour charger un journal en particulier directement dans le navigateur, saisissez : SysInspector.exe "c:\clientlog.xml" Pour créer un journal à l'emplacement actuel, saisissez : SysInspector.exe /gen Pour créer un journal dans un dossier en particulier, saisissez : SysInspector.exe /gen="c:\dossier\" Pour créer un journal dans un fichier/dossier en particulier, saisissez : SysInspector.exe /gen="c:\dossier
\monnouveaujournal.xml"
Pour créer un journal qui exclut les informations sensibles directement dans un fichier compressé, saisissez :
SysInspector.exe /gen="c:\monnouveaujournal.zip"/privacy/zip Pour comparer deux journaux, utilisez : SysInspector.exe "actuel.xml" "original.xml"
REMARQUE : si le nom du fichier/dossier contient un espace, saisissez-le entre guillemets.
68
4.7.7.2.4 Script de service
Le script de service est un outil qui vise à offrir une aide aux clients qui utilisent ESET SysInspector en supprimant les objets indésirables du système.
Le script de service permet à l'utilisateur d'exporter l'ensemble du journal ESET SysInspector ou des parties sélectionnées uniquement. Après l'exportation, vous pouvez marquer des objets indésirables pour suppression. Vous pouvez ensuite exécuter le journal modifié pour supprimer les objets marqués.
Le script de service convient aux utilisateurs expérimentés qui connaissent les problèmes des systèmes de diagnostic. Des modifications non qualifiées peuvent endommager le système d'exploitation.
Exemple
si vous pensez que votre ordinateur est infecté par un virus qui n'est pas détecté par votre logiciel antivirus, suivez les instructions ci-après :
Exécutez ESET SysInspector pour obtenir un nouvel instantané du système. Sélectionnez le premier élément de la section à gauche (dans l'arborescence), appuyez sur la touche Ctrl, puis sélectionnez le dernier élément afin de marquer tous les éléments. Cliquez avec le bouton droit sur les objets sélectionnés, puis sélectionnez l'option du menu contextuel Exporter les sections sélectionnées dans un script de service. Les objets sélectionnés sont exportés dans un nouveau journal. Il s'agit de l'étape la plus importante de toute la procédure : ouvrez le nouveau journal et remplacez l'attribut + par - pour tous les objets que vous souhaitez supprimer. Assurez-vous que vous n'avez sélectionné aucun fichier/ objet important du système d'exploitation. Ouvrez ESET SysInspector, cliquez sur Fichier > Exécuter le script de services entrez le chemin d'accès de votre script. Cliquez sur OK pour lancer le script.
4.7.7.2.4.1 Création d'un script de service
Pour créer un script, cliquez avec le bouton droit de la souris sur n'importe quel élément de l'arborescence de menus (dans le volet de gauche) dans la fenêtre principale de ESET SysInspector. Dans le menu contextuel, choisissez l'option Exporter toutes les sections dans un script de service ou Exporter les sections sélectionnées dans
un script de service. REMARQUE : il est impossible d'exporter le script de service lorsque deux journaux sont comparés.
4.7.7.2.4.2 Structure du script de service
La première ligne de l'en-tête du script reprend des informations sur la version du moteur (ev), la version de l'interface utilisateur graphique (gv) et la version du journal (lv). Ces données permettent d'identifier d'éventuelles modifications dans le fichier .xml qui génère le script et d'éviter toute incohérence durant l'exécution. Cette partie du script ne peut pas être modifiée.
Le reste du fichier est scindé en sections dont les éléments peuvent être modifiés (elles indiquent les éléments qui sont traités par le script). Pour marquer un élément à traiter, remplacez le caractère « - » qui le précède par « + ». Les sections du script sont séparées par une ligne vide. Chaque section possède un numéro et un titre.
01) Running processes (processus en cours)
Cette section contient la liste de tous les processus en cours d'exécution dans le système. Chaque processus est identifié par son chemin UNC, puis par son code de hachage CRC16 entre astérisques (*).
69
Exemple :
01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08* + C:\Windows\system32\module32.exe *CF8A* [...]
Dans cet exemple, un processus, à savoir module32.exe, a été sélectionné (marqué par le caractère « + ») ; le processus s'arrête à l'exécution du script.
02) Loaded modules (modules chargés)
Cette section répertorie la liste des modules système en cours d'utilisation : Exemple :
02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll + c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll [...]
Dans cet exemple, le module khbekhb.dll a été marqué par un « + ». Quand le script est exécuté, il reconnaît les processus qui utilisent ce module et les arrête.
03) TCP connections (connexions TCP)
Cette section contient des informations sur les connexions TCP existantes. Exemple :
03) TCP connections:
- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe + Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System [...]
Lorsque le script est exécuté, il localise le propriétaire du socket dans les connexions TCP marquées et arrête le socket, ce qui libère des ressources système.
04) UDP endpoints (points de terminaison UDP)
Cette section contient des informations sur les points de terminaison UDP existants. Exemple :
04) UDP endpoints:
- 0.0.0.0, port 123 (ntp) + 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp) [...]
Lorsque le script est exécuté, il isole le propriétaire du socket aux points de terminaison UDP marqués et arrête le socket.
05) DNS server entries (entrées du serveur DNS)
Cette section contient des informations sur la configuration actuelle du serveur DNS.
70
Exemple :
05) DNS server entries: + 204.74.105.85
- 172.16.152.2 [...]
Les entrées du serveur DNS marquées sont supprimées à l'exécution du script.
06) Important registry entries (entrées de Registre importantes)
Cette section contient des informations relatives aux entrées de Registre importantes. Exemple :
06) Important registry entries: * Category: Standard Autostart (3 items) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c * Category: Internet Explorer (7 items) HKLM\Software\Microsoft\Internet Explorer\Main + Default_Page_URL = http://thatcrack.com/ [...]
Les entrées marquées sont supprimées, réduites à des valeurs de 0 octet ou réinitialisées sur leur valeur par défaut lors de l'exécution du script. L'action à appliquer à chaque entrée dépend de la catégorie de l'entrée et de la valeur de la clé dans ce Registre.
07) Services (services)
Cette section répertorie les services enregistrés dans le système. Exemple :
07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic
- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic
- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual [...]
Les services marqués et les services dépendants sont arrêtés et désinstallés après l'exécution du script.
08) Drivers (pilotes)
Cette section répertorie les pilotes installés. Exemple :
08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot
- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32 \drivers\adihdaud.sys, state: Running, startup: Manual [...]
Lorsque vous exécutez le script, les pilotes sélectionnés sont arrêtés. Notez que certains pilotes n'autoriseront pas leur arrêt.
09) Critical files (fichiers critiques)
Cette section contient des informations sur les fichiers essentiels au système d'exploitation.
71
Exemple :
09) Critical files: * File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1 [...] * File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON [...] * File: hosts
- 127.0.0.1 localhost
- ::1 localhost [...]
Les éléments sélectionnés sont soit supprimés, soit restaurés sur leur valeur d'origine.
4.7.7.2.4.3 Exécution des scripts de services
Marquez tous les éléments souhaités, puis enregistrez et fermez le script. Exécutez le script modifié directement depuis la fenêtre principale ESET SysInspector en choisissant l'option Exécuter le script de services dans le menu Fichier. Lorsque vous ouvrez un script, le programme affiche le message suivant : Voulez-vous vraiment exécuter le script de service « %Scriptname% » ? Une fois que vous avez confirmé votre sélection, un autre avertissement peut apparaître pour vous indiquer que le script de service que vous essayez d'exécuter n'a pas été signé. Cliquez sur Exécuter pour lancer le script.
Une boîte de dialogue confirmera l'exécution du script. Si le script n'a pu être traité que partiellement, une boîte de dialogue avec le message suivant apparaît : Le script de
service n'a été exécuté que partiellement. Voulez-vous afficher le rapport d'erreurs ? Choisissez Oui pour afficher un rapport des erreurs complexe qui répertorie les opérations qui n'ont pas été exécutées.
Si le script n'a pas été reconnu, une boîte de dialogue apparaîtra avec le message suivant : Le script de service
sélectionné n'est pas signé. L'exécution de scripts non signés et inconnus peut endommager gravement les données de votre ordinateur. Voulez-vous vraiment exécuter le script et ses actions ? Ceci peut être le résultat
d'incohérences au sein du script (en-tête endommagé, titre de section endommagé, ligne vide manquante entre les sections, etc.). Vous pouvez soit rouvrir le fichier de script et corriger les erreurs qu'il contient, soit créer un autre script de service.
4.7.7.2.5 FAQ
L'exécution d'ESET SysInspector requiert-elle des privilèges d'administrateur ?
Bien que ESET SysInspector puisse être exécuté sans privilèges d'administrateur, certaines des informations qu'il recueille peuvent être consultées uniquement via un compte administrateur. Une exécution en tant qu'utilisateur standard ou utilisateur disposant d'un accès restreint entraîne la collecte d'un volume inférieur d'informations sur l'environnement d'exploitation.
ESET SysInspector crée-t-il un fichier journal ?
ESET SysInspector peut créer un fichier journal sur la configuration de votre ordinateur. Pour en enregistrer un, dans le menu principal, sélectionnez Fichier > Enregistrer le journal. Les journaux sont enregistrés au format XML. Par défaut, les fichiers sont enregistrés dans le répertoire %USERPROFILE%\Mes documents\, conformément à la convention de dénomination de fichier SysInspector-%COMPUTERNAME%-YYMMDD-HHMM.XML. Vos pouvez changer l'emplacement et le nom du fichier avant la sauvegarde si vous le souhaitez.
Comment puis-je consulter le fichier journal d'ESET SysInspector ? Pour consulter un fichier journal créé par ESET SysInspector, exécutez le programme et choisissez Fichier > Ouvrir le
journal dans le menu principal. Vous pouvez également faire glisser les fichiers journaux et les déposer sur
l'application ESET SysInspector. Si vous devez consulter fréquemment les fichiers journaux ESET SysInspector, il est
72
conseillé de créer un raccourci vers le fichier SYSINSPECTOR.exe sur le Bureau ; vous pourrez ensuite faire glisser les fichiers et les déposer sur ce raccourci. Pour des raisons de sécurité, Windows Vista/7 peuvent désactiver la fonction glisser-déposer entre des fenêtres dont les autorisations diffèrent.
Existe-t-il une spécification pour le format de fichier journal ? Existe-t-il un kit de développement logiciel (SDK) ?
Pour l'instant, il n'existe ni spécifications pour le fichier journal, ni SDK car le programme en est toujours au stade du développement. Après la diffusion du programme, nous fournirons ces éléments sur la base des commentaires et des demandes des clients.
Comment ESET SysInspector évalue-t-il le risque que pose un objet en particulier ?
Dans la majorité des cas, ESET SysInspector attribue des niveaux de risque aux objets (fichiers, processus, clés de Registre, etc.) sur la base d'une série de règles heuristiques qui examinent les caractéristiques de chaque objet, puis qui évaluent le potentiel d'activité malveillante. Sur la base de cette heuristique, un niveau de risque de 1 -
Bon (vert) à 9 - Risqué (rouge) est attribué aux objets. Dans le volet de navigation gauche, la couleur des sections est
définie par le niveau de risque le plus élevé d'un des objets qu'elles contiennent.
Un niveau de risque « 6 - Inconnu (rouge) » signifie-t-il que l'objet est dangereux ?
Les évaluations d'ESET SysInspector ne garantissent pas qu'un objet est malveillant. Cette réponse doit être apportée par l'expert en sécurité. ESET SysInspector a été développé pour fournir aux experts en sécurité une évaluation rapide afin qu'ils puissent identifier les objets d'un système qui doivent faire l'objet d'un examen plus approfondi en cas de comportement étrange.
Pourquoi ESET SysInspector se connecte-t-il à Internet ?
À l'instar de nombreuses applications, ESET SysInspector possède un « certificat » avec une signature numérique qui permet de garantir que le logiciel a bien été diffusé par ESET et qu'il n'a pas été modifié. Afin de vérifier le certificat, le système d'exploitation contacte une autorité de certification pour confirmer l'identité de l'éditeur de logiciels. Il s'agit d'un comportement normal pour tous les programmes avec signature numérique sous Microsoft Windows.
Qu'est-ce que la technologie Anti-Stealth ?
La technologie Anti-Stealth offre une détection efficace des rootkits. Quand un système est attaqué par un code malveillant qui se comporte comme un rootkit, l'utilisateur risque une
perte ou un vol de données. Sans outil spécial de lutte contre les rootkits, il est pratiquement impossible de les détecter.
Pourquoi y a-t-il parfois des fichiers marqués comme « Signé par MS » avec une valeur différente dans le champ « Nom de la société » ?
Lorsqu'il tente d'identifier la signature numérique d'un fichier exécutable, ESET SysInspector recherche d'abord une signature numérique intégrée au fichier. Si une signature numérique est détectée, le fichier est validaté à l'aide de ces informations. En revanche, si aucune signature numérique n'est détectée, ESI lance la recherche du fichier CAT correspondant (Catalogue de sécurité - %systemroot%\system32\catroot) qui contient les informations relatives au fichier exécutable traité. Si le fichier CAT pertinent est trouvé, la signature numérique du fichier CAT est appliquée dans la procédure de validation du fichier exécutable.
Voilà pourquoi des fichiers sont parfois marqués « Signé par MS » mais ont un « Nom de la société » différent. Exemple : Windows 2000 comprend l'application HyperTerminal qui se trouve dans C:\Program Files\Windows NT. Le fichier
exécutable principal de l'application n'a pas de signature numérique, mais ESET SysInspector l'indique comme étant un fichier signé par Microsoft. Ceci s'explique par une référence dans C:\WINNT\system32\CatRoot\{F750E6C3-38EE- 11D1-85E5-00C04FC295EE}\sp4.cat qui pointe vers C:\Program Files\Windows NT\hypertrm.exe (le fichier exécutable principal de l'application HyperTerminal) et sp4.cat qui possède une signature numérique de Microsoft.
73
4.7.8 ESET SysRescue Live
ESET SysRescue Live est un utilitaire qui permet de créer un disque amorçable contenant une des solutions ESET Security : ESET NOD32 Antivirus, ESET Smart Security ou l'un des produits orientés serveur. Le principal avantage d'ESET SysRescue Live réside dans le fait que la solution ESET Security est exécutée indépendamment du système d'exploitation hôte, tout en ayant un accès direct au disque et au système de fichiers. Il est par conséquent possible de supprimer les infiltrations qui ne pourraient normalement pas être supprimées, par exemple lorsque le système d'exploitation est en cours d'exécution.
4.7.9 Planificateur
Le planificateur gère et lance les tâches planifiées avec des configurations et des propriétés prédéfinies. La configuration et les propriétés comprennent des informations telles que la date et l'heure, ainsi que des profils à utiliser pendant l'exécution de la tâche.
Le planificateur est accessible depuis la fenêtre principale de ESET Mail Security, dans Outils > Planificateur. Le planificateur contient la liste de toutes les tâches planifiées, des propriétés de configuration telles que la date et l'heure prédéfinies, ainsi que le profil d'analyse utilisé.
Il sert à planifier les tâches suivantes : la mise à jour de la base des signatures de virus, l'analyse, le contrôle des fichiers de démarrage du système et la maintenance des journaux. Vous pouvez ajouter ou supprimer des tâches dans la fenêtre principale du planificateur (cliquez sur Ajouter une tâche ou Supprimer dans la partie inférieure). Cliquez avec le bouton droit dans la fenêtre du planificateur pour effectuer les actions suivantes : afficher des informations détaillées, exécuter la tâche immédiatement, ajouter une nouvelle tâche ou supprimer une tâche existante. Utilisez les cases à cocher au début de chaque entrée pour activer/désactiver les tâches.

Par défaut, les tâches planifiées suivantes sont affichées dans le planificateur :

Maintenance des journaux Mise à jour automatique régulière Mise à jour automatique après une connexion d'accès à distance Mise à jour automatique après ouverture de session utilisateur Vérification des fichiers de démarrage (après l'ouverture de session de l'utilisateur) Vérification automatique des fichiers de démarrage (après la réussite de la mise à jour de la base des signatures
de virus)
Première analyse automatique
74
Pour modifier la configuration d'une tâche planifiée existante (par défaut ou définie par l'utilisateur), cliquez avec le bouton droit sur la tâche et cliquez sur Modifier. Vous pouvez également sélectionner la tâche à modifier et cliquer sur Modifier.
Ajout d'une nouvelle tâche
1. Cliquez sur Ajouter une tâche dans la partie inférieure de la fenêtre.
2. Entrez le nom de la tâche.
75
3. Sélectionnez la tâche souhaitée dans le menu déroulant :
Exécuter une application externe - Permet de programmer l'exécution d'une application externe. Maintenance des journaux - Les fichiers journaux contiennent également des éléments provenant
d'enregistrements supprimés. Cette tâche optimise régulièrement les entrées des fichiers journaux pour garantir leur efficacité. Contrôle des fichiers de démarrage du système - Vérifie les fichiers autorisés à s'exécuter au démarrage du système ou lors de l'ouverture de session de l'utilisateur. Analyse de l'ordinateur - Crée un instantané ESET SysInspector de l'ordinateur et collecte des informations détaillées sur les composants système (pilotes, applications) et évalue le niveau de risque de chacun de ces composants.
Analyse de l'ordinateur à la demande : effectue une analyse des fichiers et des dossiers de votre ordinateur. Première analyse - Par défaut, 20 minutes après une installation ou un redémarrage, une analyse de l'ordinateur
sera effectuée en tant que tâche de faible priorité. Mise à jour - Planifie une tâche de mise à jour en mettant à jour la base des signatures de virus et les modules de l'application.
4. Cliquez sur Activé si vous souhaitez activer la tâche (vous pouvez le faire ultérieurement en activant/désactivant la case à cocher correspondante dans la liste des tâches planifiées). Cliquez ensuite sur Suivant et sélectionnez une des options de planification :
Une fois - La tâche est exécutée à la date et à l'heure prédéfinies. Plusieurs fois - La tâche est exécutée aux intervalles indiqués. Quotidiennement - La tâche est exécutée tous les jours à l'heure définie. Chaque semaine - La tâche est exécutée à l'heure et au jour prédéfinis. Déclenchée par un événement - La tâche est exécutée après un événement particulier.
5. Sélectionnez Ignorer la tâche en cas d'alimentation par batterie pour diminuer les ressources système lorsque l'ordinateur portable fonctionne sur batterie. Cette tâche est exécutée à l'heure et au jour spécifiées dans les champs Exécution de tâche. Si la tâche n'a pas pu être exécutée au moment défini, vous pouvez désigner le moment auquel elle doit être réexécutée :
À la prochaine heure planifiée Dès que possible Immédiatement, si la durée écoulée depuis la dernière exécution dépasse la valeur spécifiée (l'intervalle peut être spécifié dans la zone de liste déroulante Durée écoulée depuis la dernière exécution.)
76
Cliquez avec le bouton droit sur une tâche et cliquez sur Afficher les détails des tâches dans le menu contextuel pour afficher les informations concernant la tâche.
77
4.7.10 Soumettre les échantillons pour analyse
La boîte de dialogue de soumission d'échantillons permet d'envoyer un fichier ou un site à ESET pour analyse ; elle est accessible dans Outils > Soumettre un échantillon pour analyse. Si vous trouvez sur votre ordinateur un fichier dont le comportement est suspect, vous pouvez le soumettre au laboratoire de recherche sur les menaces d'ESET pour analyse. Si le fichier s'avère être une application malveillante, sa détection sera intégrée à une prochaine mise à jour.
Vous pouvez également soumettre le fichier par e-mail. Pour ce faire, compressez le ou les fichiers à l'aide de WinRAR ou de WinZip, protégez l'archive à l'aide du mot de passe « infected » et envoyez-la à samples@eset.com. Veillez à utiliser un objet descriptif et indiquez le plus d'informations possible sur le fichier (notez par exemple le site Internet à partir duquel vous l'avez téléchargé).
REMARQUE : avant de soumettre un échantillon à ESET, assurez-vous qu'il répond à au moins l'un des critères
suivants :
Le fichier ou le site Web n'est pas du tout détecté. Le fichier ou le site Web est détecté à tort comme une menace.
Vous ne recevrez pas de réponse, excepté si des informations complémentaires sont nécessaires à l'analyse. Sélectionnez dans le menu déroulant Motif de soumission de l'échantillon la description correspondant le mieux à
votre message :
Fichier suspect Site suspect (site Web infecté par un logiciel malveillant quelconque) Fichier faux positif (fichier détecté à tort comme infecté) Site faux positif Autre
Fichier/Site : le chemin d'accès au fichier ou au site Web que vous souhaitez soumettre.
78
Adresse de contact : l'adresse de contact est envoyée à ESET avec les fichiers suspects. Elle pourra servir à vous contacter si des informations complémentaires sont nécessaires à l'analyse. La spécification d'une adresse de contact est facultative. Vous ne recevrez pas de réponse d'ESET, sauf si des informations complémentaires sont nécessaires à l'analyse. En effet, nos serveurs reçoivent chaque jour des dizaines de milliers de fichiers, ce qui ne permet pas de répondre à tous les envois.
4.7.10.1 Fichier suspect
Signes et symptômes observés d'infection par logiciel malveillant : saisissez une description du comportement du fichier suspect que vous avez observé sur votre ordinateur.
Origine du fichier (adresse URL ou fournisseur) : indiquez l'origine du fichier (sa source) et comment vous l'avez trouvé.
Notes et autres informations : saisissez éventuellement d'autres informations ou une description qui faciliteront le processus d'identification du fichier suspect.
REMARQUE : le premier paramètre (Signes et symptômes observés d'infection par logiciel malveillant) est
obligatoire. Les autres informations faciliteront la tâche de nos laboratoires lors du processus d'identification des échantillons.
4.7.10.2 Site suspect
Dans le menu déroulant Pourquoi ce site est-il suspect ?, sélectionnez l'une des options suivantes :
Infecté : un site Web qui contient des virus ou d'autres logiciels malveillants diffusés par diverses méthodes. Hameçonnage : souvent utilisé pour accéder à des données sensibles, telles que numéros de comptes bancaires,
codes secrets, etc. Pour en savoir plus sur ce type d'attaque, consultez le glossaire. Scam : un site d'escroquerie ou frauduleux. Sélectionnez Autre si les options ci-dessus ne correspondent pas au site que vous allez soumettre.
Notes et autres informations : saisissez éventuellement d'autres informations ou une description qui faciliteront l'analyse du site Web suspect.
4.7.10.3 Fichier faux positif
Nous vous invitons à soumettre les fichiers qui sont signalés comme infectés alors qu'ils ne le sont pas, afin d'améliorer notre moteur antivirus et antispyware et contribuer à la protection des autres utilisateurs. Les faux positifs (FP) peuvent se produire lorsque le motif d'un fichier correspond à celui figurant dans une base des signatures de virus.
Nom et version de l'application : titre et version du programme (par exemple : numéro, alias et nom de code). Origine du fichier (adresse URL ou fournisseur) : indiquez l'origine du fichier (sa source) et comment vous l'avez
trouvé. Objectif des applications : description générale, type (navigateur, lecteur multimédia, etc.) et fonctionnalité de
l'application. Notes et autres informations : saisissez éventuellement d'autres informations ou une description qui faciliteront le
traitement du fichier suspect.
REMARQUE : les trois premiers paramètres sont nécessaires pour identifier les applications légitimes et les
distinguer des codes malveillants. En fournissant des informations supplémentaires, vous facilitez l'identification et le traitement des échantillons par nos laboratoires.
79
4.7.10.4 Site faux positif
Nous vous recommandons de soumettre les sites faussement détectés comme infectés ou signalés à tort comme scam ou hameçonnage. Les faux positifs (FP) peuvent se produire lorsque le motif d'un fichier correspond à celui figurant dans une base des signatures de virus. Veuillez soumettre ce site Web afin d'améliorer notre moteur antivirus et antihameçonnage, et contribuer à la protection des autres utilisateurs.
Notes et autres informations - Saisissez éventuellement d'autres informations ou une description qui faciliteront le traitement du fichier suspect.
4.7.10.5 Autre
Utilisez ce formulaire si le fichier ne peut pas être classé par catégorie en tant que fichier suspect ou faux positif. Motif de soumission du fichier - Décrivez en détail le motif d'envoi du fichier.
4.7.11 Quarantaine
La principale fonction de la quarantaine est de stocker les fichiers infectés en toute sécurité. Les fichiers doivent être placés en quarantaine s'ils ne peuvent pas être nettoyés, s'il est risqué ou déconseillé de les supprimer ou s'ils sont détectés erronément par ESET Mail Security.
Vous pouvez choisir de mettre n'importe quel fichier en quarantaine. Cette action est conseillée si un fichier se comporte de façon suspecte, mais n'a pas été détecté par l'analyseur antivirus. Les fichiers en quarantaine peuvent être soumis pour analyse au laboratoire de recherche d'ESET.
Les fichiers du dossier de quarantaine peuvent être visualisés dans un tableau qui affiche la date et l'heure de mise en quarantaine, le chemin d'accès à l'emplacement d'origine du fichier infecté, sa taille en octets, la raison (par exemple, objet ajouté par l'utilisateur) et le nombre de menaces (s'il s'agit d'une archive contenant plusieurs infiltrations par exemple).
80
Mise en quarantaine de fichiers
ESET Mail Security met automatiquement les fichiers supprimés en quarantaine (si vous n'avez pas désactivé cette option dans la fenêtre d'alerte). Au besoin, vous pouvez mettre manuellement en quarantaine tout fichier suspect en cliquant sur le bouton Quarantaine. Les fichiers d'origine sont supprimés de leur emplacement initial. Il est également possible d'utiliser le menu contextuel à cette fin : cliquez avec le bouton droit dans la fenêtre
Quarantaine et sélectionnez l'option Quarantaine.
Restauration depuis la quarantaine
Les fichiers mis en quarantaine peuvent aussi être restaurés à leur emplacement d'origine. L'option Restaurer est disponible dans le menu contextuel accessible en cliquant avec le bouton droit sur le fichier dans le fenêtre Quarantaine. Si un fichier est marqué comme étant une application potentiellement indésirable, l'option Restaurer et exclure de l'analyse est également disponible. Pour en savoir plus sur ce type d'application, consultez le
glossaire. Le menu contextuel propose également l'option Restaurer vers qui permet de restaurer des fichiers vers
un emplacement autre que celui d'origine dont ils ont été supprimés.
REMARQUE : si le programme place en quarantaine, par erreur, un fichier inoffensif, il convient de le restaurer,
de l'exclure de l'analyse et de l'envoyer au service client d'ESET.
Soumission de fichiers mis en quarantaine
Si vous avez placé en quarantaine un fichier suspect non détecté par le programme ou si un fichier a été considéré par erreur comme étant infecté (par exemple par l'analyse heuristique du code) et placé en quarantaine, envoyez ce fichier au laboratoire d'ESET. Pour soumettre un fichier mis en quarantaine, cliquez avec le bouton droit sur le fichier et sélectionnez l'option Soumettre le fichier pour analyse dans le menu contextuel.
4.8 Aide et assistance
ESET Mail Security contient des outils de dépannage et des informations d'assistance qui vous aideront à résoudre les problèmes que vous pouvez rencontrer.
Aide
Consulter la base de connaissances ESET - La base de connaissances ESET contient des réponses aux questions les
plus fréquentes et les solutions recommandées pour résoudre divers problèmes. Régulièrement mise à jour par les spécialistes techniques d'ESET, la base de connaissances est l'outil le plus puissant pour résoudre différents types de problèmes.
Ouvrir l'aide - Cliquez sur ce lien pour lancer les pages d'aide ESET Mail Security. Trouver une solution rapide : cette option permet de trouver les solutions aux problèmes les plus fréquents.
Nous vous recommandons de lire cette section avant de contacter le service d'assistance technique.
Service client
Envoyer une demande d'assistance - Si vous ne trouvez pas de réponse à votre problème, vous pouvez également
utiliser le formulaire situé sur le site Web d'ESET pour prendre rapidement contact avec notre service client.
Outils d'assistance Encyclopédie des menaces - Permet d'accéder à l'encyclopédie des menaces ESET, qui contient des informations sur
les dangers et les symptômes de différents types d'infiltration. Historique de la base des signatures de virus - Mène à ESET Virus radar, qui contient des informations sur les
versions de la base des signatures de virus ESET. Nettoyeur spécialisé - Ce nettoyeur identifie et supprime automatiquement les infections courantes par logiciels
malveillants. Pour obtenir plus d'informations, consultez cet article de la base de connaissances ESET.
81
Informations sur le produit et la licence
À propos de ESET Mail Security - Affiche des informations sur votre copie de ESET Mail Security.
Gérer la licence - Cliquez sur cette option pour ouvrir la fenêtre Activation du produit. Sélectionnez l'une des méthodes disponibles pour activer ESET Mail Security. Pour plus d'informations, reportez-vous à la section
Comment activer ESET Mail Security.
4.8.1 Procédures
Ce chapitre couvre les questions et les problèmes les plus fréquents. Cliquez sur l'intitulé d'une rubrique pour apprendre comment résoudre le problème :
Comment mettre à jour ESET Mail Security Comment activer ESET Mail Security Comment programmer une tâche d'analyse (toutes les 24 heures) Comment éliminer un virus de mon serveur Fonctionnement des exclusions automatiques
Si votre problème n'est pas couvert dans la liste des pages d'aide ci-dessus, essayez d'effectuer une recherche par mot-clé ou entrez un ou plusieurs mots décrivant votre problème et lancez la recherche dans les pages d'aide d'ESET Mail Security.
Si vous ne trouvez pas la solution à votre problème/question dans les pages d'aide, vous pouvez consulter notre
base de connaissances en ligne qui est régulièrement mise à jour.
Au besoin, vous pouvez contacter directement notre centre d'assistance technique en ligne pour soumettre vos questions ou problèmes. Le formulaire de contact est disponible dans l'onglet Aide et support de votre programme ESET.
4.8.1.1 Comment mettre à jour ESET Mail Security
La mise à jour d'ESET Mail Security peut être effectuée manuellement ou automatiquement. Pour déclencher la mise à jour, cliquez sur Mettre à jour la base des signatures de virus. Il se trouve dans la section Mise à jour du programme.
Les paramètres d'installation par défaut créent une tâche de mise à jour automatique qui s'exécute chaque heure. Pour changer l'intervalle, accédez au Planificateur (pour plus d'informations sur le Planificateur, cliquez ici).
4.8.1.2 Comment activer ESET Mail Security
Une fois l'installation terminée, vous êtes invité à activer le produit. Plusieurs méthodes permettent d'activer le produit. Certains scénarios d'activation proposés dans la fenêtre
d'activation peuvent varier en fonction du pays et selon le mode de distribution (CD/DVD, page Web ESET, etc.).
Pour activer votre copie d'ESET Mail Security directement à partir du programme, cliquez sur l'icône dans la partie système de la barre des tâches, puis sélectionnez Activer la licence du produit dans le menu. Vous pouvez également activer le produit dans le menu principal sous Aide et assistance > Activer la licence ou État de la protection > Activer la licence du produit.
Pour activer ESET Mail Security, vous pouvez utiliser l'une des méthodes suivantes :
Clé de licence : chaîne unique au format XXXX-XXXX-XXXX-XXXX-XXXX qui sert à identifier le propriétaire de la licence et à activer la licence. Compte Administrateur Sécurité : compte créé sur le portail ESET License Administrator à l'aide d'informations d'identification (adresse électronique + mot de passe). Cette méthode permet de gérer plusieurs licences à partir d'un seul emplacement. Fichier de licence hors ligne : fichier généré automatiquement qui est transféré au produit ESET afin de fournir
82
des informations de licence. Ce fichier de licence hors ligne est généré à partir du portail des licences. Il est utilisé dans les environnements dans lesquelles l'application ne peut pas se connecter à l'autorité de certification.
Cliquez sur Activer ultérieurement avec ESET Remote Administrator si votre ordinateur est membre d'un réseau géré et si l'administrateur effectue l'activation à distance via ESET Remote Administrator. Vous pouvez également utiliser cette option si vous souhaitez activer ce client ultérieurement.
Dans la fenêtre principale du programme, cliquez sur Aide et assistance > Gérer la licence pour gérer les informations de licence à tout moment. L'ID de licence publique s'affiche ; il sert à identifier votre produit et votre licence auprès d'ESET. Le nom d'utilisateur sous lequel l'ordinateur est enregistré auprès du système de gestion des
licences est stocké dans la section À propos. Il est visible lorsque vous cliquez avec le bouton droit sur l'icône dans la partie système de la barre des tâches.
REMARQUE : ESET Remote Administrator peut activer des ordinateurs clients en silence à l'aide des licences
fournies par l'administrateur.
4.8.1.3 Comment créer une tâche dans le Planificateur
Pour créer une tâche dans Outils > Planificateur, cliquez sur Ajouter une tâche ou cliquez avec le bouton droit sur la tâche et sélectionnez Ajouter dans le menu contextuel. Cinq types de tâches planifiées sont disponibles :
Exécuter une application externe - Permet de programmer l'exécution d'une application externe. Maintenance des journaux - Les fichiers journaux contiennent également des éléments provenant
d'enregistrements supprimés. Cette tâche optimise régulièrement les entrées des fichiers journaux pour garantir leur efficacité. Contrôle des fichiers de démarrage du système - Vérifie les fichiers autorisés à s'exécuter au démarrage du système ou lors de l'ouverture de session de l'utilisateur. Créer un rapport de l'état de l'ordinateur : crée un instantané ESET SysInspector de l'ordinateur et collecte des informations détaillées sur les composants système (pilotes, applications) et évalue le niveau de risque de chacun de ces composants.
Analyse de l'ordinateur à la demande : effectue une analyse des fichiers et des dossiers de votre ordinateur. Première analyse : par défaut, 20 minutes après une installation ou un redémarrage, une analyse de l'ordinateur
sera effectuée en tant que tâche de faible priorité. Mise à jour - Planifie une tâche de mise à jour en mettant à jour la base des signatures de virus et les modules de l'application.
La tâche planifiée la plus fréquente étant la mise à jour, nous allons expliquer comment ajouter une nouvelle tâche de mise à jour :
Dans le menu déroulant Tâche planifiée, sélectionnez Mise à jour. Saisissez le nom de la tâche dans le champ Nom de la tâche, puis cliquez sur Suivant. Sélectionnez la fréquence de la tâche. Les options disponibles sont les suivantes : Une fois, Plusieurs fois, Quotidienne, Hebdomadaire et Déclenchée par un événement. Sélectionnez Ignorer la tâche en cas d'alimentation par batterie pour diminuer les ressources système lorsque l'ordinateur portable fonctionne sur batterie. Cette tâche est exécutée à l'heure et au jour spécifiées dans les champs Exécution de tâche. Vous pouvez définir ensuite l'action à entreprendre si la tâche ne peut pas être effectuée ou terminée à l'heure planifiée. Les options disponibles sont les suivantes :
À la prochaine heure planifiée Dès que possible Immédiatement, si la durée écoulée depuis la dernière exécution dépasse la valeur spécifiée (l'intervalle peut
être spécifié dans la zone de liste déroulante Durée écoulée depuis la dernière exécution)
À l'étape suivante, une fenêtre de synthèse apparaît. Elle contient des informations sur la tâche planifiée actuelle. Lorsque vous avez terminé vos modifications, cliquez sur Terminer.
La boîte de dialogue qui apparaît permet de sélectionner les profils à utiliser pour la tâche planifiée. Vous pouvez y définir le profil principal et le profil secondaire. Le profil secondaire est utilisé si la tâche ne peut pas être terminée à l'aide du profil principal. Cliquez sur Terminer pour ajouter la nouvelle tâche planifiée à la liste des tâches actuellement planifiées.
83
4.8.1.4 Comment programmer une tâche d'analyse (toutes les 24 heures)
Pour planifier une tâche régulière, accédez à ESET Mail Security > Outils > Planificateur. Vous trouverez ci-dessous un guide abrégé indiquant comment planifier une tâche qui analyse les disques locaux toutes les 24 heures.
Pour programmer une tâche d'analyse :
1. Cliquez sur Ajouter dans l'écran principal du planificateur.
2. Sélectionnez Analyse de l'ordinateur à la demande dans le menu déroulant.
3. Saisissez un nom pour la tâche et sélectionnez Plusieurs fois.
4. Choisissez de lancer la tâche toutes les 24 heures (1 440 minutes).
5. Sélectionnez une action à effectuer en cas de non-exécution de la tâche planifiée, quel qu'en soit le motif.
6. Passez en revue le résumé de la tâche planifiée, puis cliquez sur Terminer.
7. Dans le menu déroulant Cibles, sélectionnez Disques locaux.
8. Cliquez sur Terminer pour appliquer la tâche.
4.8.1.5 Comment éliminer un virus de votre serveur
Si votre ordinateur montre des signes d'infection par un logiciel malveillant (ralentissement, blocages fréquents, par exemple), nous recommandons d'effectuer les opérations suivantes :
1. Dans la fenêtre principale ESET Mail Security, cliquez sur Analyse de l'ordinateur.
2. Cliquez sur Analyse intelligente pour démarrer l'analyse de votre système.
3. Une fois l'analyse terminée, consultez le journal pour s'informer sur le nombre de fichiers analysés, infectés et
nettoyés.
4. Si vous ne souhaitez analyser qu'une certaine partie de votre disque, choisissez Analyse personnalisée et
sélectionnez les cibles à analyser.
4.8.2 Envoyer une demande d'assistance
Pour offrir l'assistance adéquate le plus rapidement possible, ESET requiert des informations sur la configuration de ESET Mail Security, sur le système et les processus en cours (fichier journal ESET SysInspector), ainsi que les données du Registre. ESET utilise ces données uniquement pour fournir une assistance technique au client.
Lorsque vous envoyez le formulaire Web, les données de configuration de votre système sont également envoyées à ESET. Sélectionnez Toujours envoyer ces informations si vous souhaitez mémoriser cette action pour ce processus. Pour soumettre le formulaire sans envoyer de données, cliquez sur Ne pas envoyer les données. Vous pouvez ainsi contacter le service client ESET à l'aide du formulaire d'assistance en ligne.
Ce paramètre peut être également configuré dans Configuration avancée > Outils > Diagnostics > Service client.
REMARQUE: si vous avez décidé d'envoyer les données système, vous devez remplir le formulaire Web et
l'envoyer. Sinon, votre ticket n'est pas créé et vos données système sont perdues.
84
4.8.3 ESET Outil de nettoyage spécialisé
L'outil de nettoyage spécialisé ESET est un outil de suppression des infections courantes par logiciels malveillants tels que Conficker, Sirefef ou Necurs. Pour plus d'informations, consultez cet article de la base de connaissances
ESET.
4.8.4 À propos d'ESET Mail Security
Cette fenêtre comporte des informations détaillées sur la version d'ESET Mail Security installée, et répertorie les modules du programme installés. La partie supérieure de la fenêtre comporte des informations sur le système d'exploitation et les ressources du système.
Vous pouvez copier les informations sur les modules (Composants installés) dans le Presse-papiers en cliquant sur Copier. Ce procédé peut être utile pour la résolution des problèmes ou lorsque vous contactez l'assistance technique.
85
4.8.5 Activation du produit
Une fois l'installation terminée, vous êtes invité à activer le produit. Plusieurs méthodes permettent d'activer le produit. Certains scénarios d'activation proposés dans la fenêtre
d'activation peuvent varier en fonction du pays et selon le mode de distribution (CD/DVD, page Web ESET, etc.).
Pour activer votre copie d'ESET Mail Security directement à partir du programme, cliquez sur l'icône dans la partie système de la barre des tâches, puis sélectionnez Activer la licence du produit dans le menu. Vous pouvez également activer le produit dans le menu principal sous Aide et assistance > Activer la licence ou État de la protection > Activer la licence du produit.
Pour activer ESET Mail Security, vous pouvez utiliser l'une des méthodes suivantes :
Clé de licence : chaîne unique au format XXXX-XXXX-XXXX-XXXX-XXXX qui sert à identifier le propriétaire de la licence et à activer la licence. Compte Administrateur Sécurité : compte créé sur le portail ESET License Administrator à l'aide d'informations d'identification (adresse électronique + mot de passe). Cette méthode permet de gérer plusieurs licences à partir d'un seul emplacement. Fichier de licence hors ligne : fichier généré automatiquement qui est transféré au produit ESET afin de fournir des informations de licence. Ce fichier de licence hors ligne est généré à partir du portail des licences. Il est utilisé dans les environnements dans lesquelles l'application ne peut pas se connecter à l'autorité de certification.
Cliquez sur Activer ultérieurement avec ESET Remote Administrator si votre ordinateur est membre d'un réseau géré et si l'administrateur effectue l'activation à distance via ESET Remote Administrator. Vous pouvez également utiliser cette option si vous souhaitez activer ce client ultérieurement.
Dans la fenêtre principale du programme, cliquez sur Aide et assistance > Gérer la licence pour gérer les informations de licence à tout moment. L'ID de licence publique s'affiche ; il sert à identifier votre produit et votre licence auprès d'ESET. Le nom d'utilisateur sous lequel l'ordinateur est enregistré auprès du système de gestion des
licences est stocké dans la section À propos. Il est visible lorsque vous cliquez avec le bouton droit sur l'icône dans la partie système de la barre des tâches.
REMARQUE : ESET Remote Administrator peut activer des ordinateurs clients en silence à l'aide des licences
fournies par l'administrateur.
4.8.5.1 Enregistrement
Veuillez enregistrer votre licence en renseignant les champs contenus dans le formulaire d'enregistrement, puis en cliquant sur Continuer. Les champs signalés comme obligatoires sont requis. Ces informations seront utilisées uniquement pour les questions liées à votre licence ESET.
4.8.5.2 Activation de Security Admin
Le compte Security Admin est un compte créé sur le portail des licences à l'aide de vos adresse électronique et mot de passe. Il peut voir toutes les autorisations des sièges. Un compte Security Admin permet de gérer plusieurs
licences. Si vous n'en avez pas, cliquez sur Créer un compte pour être redirigé vers la page Web d'ESET License Administrator dans laquelle vous pouvez vous enregistrer à l'aide de vos informations d'identification.
Si vous avez oublié votre mot de passe, cliquez sur Mot de passe oublié ? pour être redirigé vers le portail ESET Business. Saisissez votre adresse électronique et cliquez sur Envoyer. Vous recevrez ensuite un message contenant des instructions pour réinitialiser votre mot de passe.
REMARQUE : pour plus d'informations sur l'utilisation d'ESET License Administrator, reportez-vous au guide de
l'utilisateur ESET License Administrator.
86
4.8.5.3 Échec de l'activation
L'activation d'ESET Mail Security a échoué. Vérifiez que vous avez saisi la clé de licence correcte ou que vous avez associé une licence hors ligne. Si vous disposez d'une licence hors ligne différente, saisissez-la de nouveau. Pour vérifier la clé de licence que vous avez saisie, cliquez sur revérifier la clé de licence ou sur acheter une nouvelle licence afin d'être redirigé vers notre page Web dans laquelle vous pouvez acheter une nouvelle licence.
4.8.5.4 Licence
Si vous sélectionnez l'option d'activation Security Admin, vous êtes invité à sélectionner une licence associée à votre compte qui sera utilisée pour ESET Mail Security. Cliquez sur Activer pour continuer.
4.8.5.5 Progression de l'activation
ESET Mail Security procède maintenant à l'activation. Veuillez patienter. Cette opération peut prendre quelques minutes.
4.8.5.6 Activation réussie
L'activation a été effectuée, et ESET Mail Security est désormais activé. À partir de maintenant, ESET Mail Security recevra des mises à jour régulières pour identifier les menaces les plus récentes et protéger votre ordinateur. Cliquez sur Terminé pour terminer l'activation du produit.
87
5. Utilisation d'ESET Mail Security
Le menu Configuration contient les sections suivantes auxquelles vous pouvez accéder grâce à des onglets :
Serveur
Ordinateur Outils
Pour désactiver temporairement un module, cliquez sur le bouton bascule vert situé en regard. Notez que cette opération peut diminuer le niveau de protection de l'ordinateur.
Pour réactiver la protection d'un composant de sécurité désactivé, cliquez sur le bouton bascule rouge . Pour accéder aux paramètres détaillés d'un composant de sécurité spécifique, cliquez sur l'engrenage .
Cliquez sur Configuration avancée ou appuyez sur F5 pour accéder à des paramètres et des options supplémentaires.
D'autres options sont disponibles au bas de la fenêtre de configuration. Pour charger les paramètres de configuration à l'aide d'un fichier de configuration .xml ou pour enregistrer les paramètres de configuration actuels dans un fichier de configuration, utilisez l'option Importer/exporter les paramètres. Pour plus d'informations, consultez la section Importer/exporter les paramètres.
88
5.1 Serveur
ESET Mail Security offre à votre serveur Microsoft Exchange Server une excellente protection grâce aux fonctionnalités suivantes :
Antivirus et antispyware Protection antispam Règles Protection du transport des messages (Exchange Server 2007, 2010, 2013) Protection de la base de données des boîtes aux lettres (Exchange Server 2003, 2007, 2010) Analyse de base de données à la demande (Exchange Server 2007, 2010, 2013) Quarantaine (paramètres du type de quarantaine de messages)
Cette section de la configuration avancée vous permet d'activer ou de désactiver la protection de la base de
données des boîtes aux lettres et la protection du transport des messages et de modifier la priorité de l'Agent.
REMARQUE : si vous exécutez Microsoft Exchange Server 2007 ou 2010 vous pouvez choisir entre la protection de
la base de données de boîtes aux lettres et une analyse de base de données à la demande. Sachez toutefois qu'une seule de ces deux protections peut être active à la fois. Si vous choisissez d'utiliser l'analyse de base de données à la demande, vous devez désactiver l'intégration de la protection de la base de données de boîtes aux lettres. Sinon, l'analyse de base de données à la demande ne sera pas disponible.
89
5.1.1 Configuration de la priorité des agents
Dans le menu Configuration de la priorité des agents, vous pouvez définir la priorité selon laquelle les Agents ESET Mail Security deviennent actifs après le démarrage de Microsoft Exchange Server. Une valeur numérique définit la priorité. Plus la valeur est faible, plus la priorité est élevée. Cette configuration s'applique à Microsoft Exchange 2003.
Cliquez sur le bouton Modifier pour accéder à la configuration de la priorité des agents. Vous pouvez définir la priorité d'activation des Agents ESET Mail Security après le démarrage de Microsoft Exchange Server.
Modifier : définissez manuellement une valeur pour modifier la priorité de l'Agent sélectionné. Monter : augmente la priorité de l'Agent sélectionné par son déplacement vers le haut dans la liste des Agents. Descendre : diminue la priorité de l'Agent sélectionné par son déplacement vers le bas dans la liste des Agents.
Avec Microsoft Exchange Server 2003, vous pouvez spécifier la priorité des Agents indépendamment à l'aide d'onglets pour la fin des données et le destinataire.
5.1.1.1 Modifier la priorité
Si vous exécutez Microsoft Exchange Server 2003, vous pouvez définir manuellement une valeur pour modifier la priorité de l'agent de transport. Modifiez la valeur dans le champ de texte ou utilisez les flèches Haut et Bas pour modifier la priorité. Plus la valeur est faible, plus la priorité est élevée.
5.1.2 Configuration de la priorité des agents
Dans le menu Configuration de la priorité des agents, vous pouvez définir la priorité selon laquelle les Agents ESET Mail Security deviennent actifs après le démarrage de Microsoft Exchange Server. Cette configuration s'applique à Microsoft Exchange 2007 et version ultérieure.
90
Monter : augmente la priorité de l'Agent sélectionné par son déplacement vers le haut dans la liste des Agents. Descendre : diminue la priorité de l'Agent sélectionné par son déplacement vers le bas dans la liste des Agents.
5.1.3 Antivirus et antispyware
Dans cette section, vous pouvez configurer les options Antivirus et antispyware pour votre serveur de messagerie.
Important : la protection du transport des messages est assurée par l'agent de transport et est uniquement
disponible pour Microsoft Exchange Server 2007 ou version ultérieure. Votre serveur Exchange Server doit toutefois avoir le rôle serveur de transport Edge ou serveur de transport Hub. Cela s'applique également à une seule installation de serveur avec plusieurs rôles Exchange Server sur un ordinateur (s'il comprend le rôle de serveur de transport Edge ou Hub).
Protection du transport des messages : Si vous désactivez l'option Activer la protection antivirus et antispyware du transport des messages, le plugin ESET
Mail Security du serveur Exchange n'est pas déchargé depuis le processus du serveur Microsoft Exchange. Il passe uniquement en revue les messages sans rechercher les virus sur la couche de transport. Les messages font toujours l'objet d'une recherche de virus et de courrier indésirable sur la couche de base de données et les règles existantes sont appliquées.
Protection de la base de données de boîtes aux lettres : Si vous désactivez l'option Activer la protection antivirus et antispyware de la base de données de boîtes aux
lettres, le plugin ESET Mail Security du serveur Exchange n'est pas déchargé depuis le processus du serveur Microsoft Exchange. Il passe uniquement en revue les messages sans rechercher les virus sur la couche de base de données. Les messages font toujours l'objet d'une recherche de virus et de courrier indésirable sur la couche de base de données et les règles existantes sont appliquées.
91
5.1.4 Protection antispam
La protection antispam de votre serveur de messagerie est activée par défaut. Pour la désactiver, cliquez sur le commutateur en regard de l'option Activer la protection antispam.
Grâce à la fonction Utiliser les listes blanches Exchange Server pour ignorer automatiquement la protection antispam, ESET Mail Security peut utiliser les listes blanches spécifiques d'Exchange. Lorsqu'elle est activée, les éléments suivants sont à prendre en compte :
L'adresse IP du serveur figure dans la liste des adresses IP autorisées du serveur Exchange Server. La boîte aux lettres du destinataire du message comporte un indicateur de non-prise en charge de la protection antispam. Le destinataire du message dispose de l'adresse de l'expéditeur dans la liste des expéditeurs approuvés (vérifiez que vous avez configuré la synchronisation de la liste des expéditeurs approuvés dans l'environnement de serveur Exchange Server, y compris Agrégation de listes fiables).
Si l'un des cas ci-dessus s'applique à un message entrant, la vérification antispam est ignorée pour ce message. Par conséquent, l'éventuelle nature INDÉSIRABLE de ce message n'est pas évaluée et il est remis à la boîte aux lettres du destinataire.
L'option Accepter l'indicateur de non-prise en charge de la protection antispam défini sur la session SMTP est utile si vous avez authentifié les sessions SMTP entre les serveurs Exchange Server avec le paramètre de contournement antispam. Par exemple, si vous avez un serveur Edge et un serveur Hub, il n'est pas nécessaire d'exécuter l'analyse sur le trafic entre ces deux serveurs. L'option Accepter l'indicateur de non-prise en charge de la protection antispam défini sur la session SMTP est activée par défaut. Elle n'est toutefois appliquée que si un indicateur de contournement antispam est configuré pour la session SMTP sur le serveur Exchange Server. Si vous désactivez l'option Accepter l'indicateur de non-prise en charge de la protection antispam défini sur la session SMTP, ESET Mail Security analyse la session SMTP pour rechercher du courrier indésirable indépendamment du paramètre de contournement antispam sur le serveur Exchange Server.
92
REMARQUE : la base de données antispam doit être mise à jour régulièrement pour que le module de blocage de
courrier indésirable offre la meilleure protection. Pour mettre à jour régulièrement la base de données antispam, vérifiez que ESET Mail Security a accès aux adresses IP correctes sur les ports nécessaires. Pour plus d'informations sur les adresses IP et les ports à activer sur le pare-feu tiers, reportez-vous à cet article de base de connaissances.
5.1.4.1 Filtrage et vérification
Vous pouvez configurer des listes d'éléments autorisés, bloqués et ignorés en spécifiant des critères tels que l'adresse IP ou la plage, le nom de domaine, etc. Pour ajouter, modifier ou supprimer un critère, cliquez sur
Modifier pour la liste à gérer.
Liste des adresses IP approuvées Liste des adresses IP bloquées Liste des adresses IP ignorées Liste des domaines de corps bloqués Liste des domaines de corps ignorés Liste des adresses IP de corps bloquées Liste des adresses IP de corps ignorées Liste d'expéditeurs approuvés Liste des expéditeurs bloqués Domaine approuvé dans la liste des adresses IP Domaine bloqué dans la liste des adresses IP Domaine ignoré dans la liste des adresses IP Liste des jeux de caractères bloqués Liste des pays bloqués
93
5.1.4.2 Paramètres avancés
Ces paramètres permettent la vérification des messages par des serveurs externes (RBL - Realtime Blackhole List, DNSBL - DNS Blocklist) selon des critères définis.
Limite d'exécution de requête RBL (en secondes) : : cette option vous permet de définir une durée maximale pour
les requêtes RBL. Les réponses RBL utilisées sont celles qui proviennent exclusivement des serveurs RBL qui ont répondu dans les temps. Si la valeur est définie sur 0, aucun délai n'est appliqué.
Nombre maximum de domaines vérifiés par rapport à RBL : : cette option vous permet de limiter le nombre d'adresses IP qui sont interrogées sur le serveur RBL. Notez que le nombre total d'interrogations RBL correspond au nombre d'adresses IP figurant dans les en-têtes Reçu (jusqu'à un maximum d'adresses IP maxcheck RBL) multiplié par le nombre de serveurs RBL indiqués dans la liste RBL. Si la valeur est définie sur 0, un nombre illimité d'en-têtes reçus est vérifié. Notez que les adresses IP figurant dans la liste des adresses IP ignorées ne sont pas prises en compte dans la limite des adresses IP RBL.
Limite d'exécution de requête DNSBL (en secondes) : : vous permet de définir un délai maximal pour l'exécution de toutes les requêtes DNSBL.
Nombre maximum d'adresses vérifiées par rapport à DNSBL : : vous permet de limiter le nombre d'adresses IP qui sont interrogées sur le serveur DNS Blocklist.
Nombre maximum de domaines vérifiés par rapport à DNSBL : : vous permet de limiter le nombre de domaines qui sont interrogés sur le serveur DNS Blocklist.
Service RBL : : indique la liste des serveurs RBL (Realtime Blackhole List) à interroger lors de l'analyse des messages. Reportez-vous à la section RBL de ce document pour plus d'informations.
Service DNSBL : : indique la liste des serveurs DNSBL (DNS Blocklist) à interroger, avec les domaines et les adresses IP extraits du corps du message.
94
Activer la journalisation des données de diagnostic du moteur : écrit des informations détaillées sur le moteur antispam dans les fichiers journaux à des fins de diagnostic.
Taille de message maximale à analyser (Ko) : limite l'analyse antispam des messages plus volumineux que la valeur spécifiée. Ces messages ne sont pas analysés par le moteur antispam.
5.1.4.3 Paramètres de mise en liste grise
La fonction Activer la mise en liste grise active une fonctionnalité qui protège les utilisateurs du courrier indésirable à l'aide de la technique suivante : L'agent de transport envoie une valeur de retour SMTP indiquant un rejet temporaire (temporarily reject) (la valeur par défaut est 451/4.7.1) pour tout message qui ne provient pas d'un expéditeur reconnu. Un serveur légitime essaie de renvoyer le message après un délai. Les serveurs de courrier indésirable n'essaient généralement pas de renvoyer le message, car ils envoient des messages à des milliers d'adresses électroniques et ne perdent pas de temps à relancer des expéditions. La mise en liste grise est une couche supplémentaire de protection antispam et n'a aucun effet sur les fonctionnalités d'évaluation du module de blocage de courrier indésirable.
Lors de l'évaluation de la source du message, la méthode de mise en liste grise prend en compte les listes d'adresses IP approuvées, ignorées, autorisées et d'expéditeurs sûrs sur le serveur Exchange et les paramètres AntispamBypass de la boîte aux lettres du destinataire. Les messages de ces listes d'adresses IP/d'expéditeurs ou ceux remis à une boîte aux lettres dont l'option AntispamBypass est activée sont ignorés par la méthode de détection de mise en liste grise.
Utiliser uniquement la partie domaine de l'adresse de l'expéditeur : ignore le nom du destinataire dans l'adresse électronique ; seul le domaine est pris en compte.
Durée limite du refus de connexion initial (min) : lorsqu'un message est remis pour la première fois et qu'il est refusé temporairement, ce paramètre définit la période pendant laquelle le message est toujours refusé (mesuré depuis le premier refus). Une fois la période écoulée, le message est reçu correctement. La valeur minimum que vous entrez est de 1 minute.
Durée avant expiration des connexions non vérifiées (heures) : ce paramètre définit l'intervalle minimum pendant lequel les données de triplet sont stockées. Un serveur valide doit renvoyer un message souhaité avant l'expiration de cette période. Cette valeur doit être supérieure à la valeur Durée limite du refus de connexion initial.
95
Durée avant expiration des connexions vérifiées (jours) : nombre minimum de jours pendant lesquels les
Code de réponse
Code d'état
Message de réponse
451
4.7.1
Requested action aborted: local error in processing
(Action demandée interrompue : erreur locale en
cours de traitement)
informations de triplet doivent être stockées et pendant lesquels les messages d'un expéditeur défini sont reçus sans délai. Cette valeur doit être supérieure à la valeur Durée avant expiration des connexions non vérifiées.
Réponse SMTP (pour les connexions refusées temporairement) : vous pouvez spécifier un code de réponse, un code d'état et un message de réponse, qui définissent la réponse de refus temporaire SMTP envoyée au serveur
SMTP si un message est refusé. Exemple de message de réponse de rejet SMTP :
AVERTISSEMENT : une syntaxe incorrecte des codes de réponses SMTP peut provoquer un dysfonctionnement de
la protection par mise en liste grise. En conséquence, les messages de courrier indésirable peuvent être remis à des clients ou des messages ne peuvent pas être délivrés du tout.
REMARQUE : vous pouvez également utiliser des variables système lors de la définition de la réponse SMTP de
rejet.
96
5.1.5 Règles

Les règles permettent aux administrateurs de définir manuellement les conditions de filtrage des messages électroniques et les actions à exécuter sur les messages électroniques filtrés.

Il existe trois ensembles de règles distincts. Les règles disponibles dans votre système dépendent de la version de Microsoft Exchange Server installée avec ESET Mail Security sur le serveur.:
Protection de la base de données des boîtes aux lettres - Ce type de protection est uniquement disponible pour Microsoft Exchange Server 2010, 2007 et 2003 avec le rôle serveur de boîte aux lettres (Microsoft Exchange 2010 et
2007) ou serveur principal (Microsoft Exchange 2003). Ce type d'analyse peut être effectué sur une seule installation de serveur avec plusieurs rôles Exchange Server sur un ordinateur (s'il comprend le rôle de serveur de boîte aux lettres ou de serveur principal).
Protection du transport des messages - Cette protection est assurée par l'agent de transport et est uniquement disponible pour Microsoft Exchange Server 2007 ou version ultérieure avec le rôle serveur de transport Edge ou serveur de transport Hub. Ce type d'analyse peut être effectué sur une seule installation de serveur avec plusieurs rôles Exchange Server sur un ordinateur (s'il comprend un des rôles de serveur indiqués).
Analyse de base de données à la demande - Permet d'exécuter ou de planifier une analyse de la base de données de boîtes aux lettres Exchange. Cette fonctionnalité est uniquement disponible pour Microsoft Exchange Server 2007 ou version ultérieure avec le rôle serveur de boîte aux lettres ou serveur de transport Hub. Ce type d'analyse s'applique également à une seule installation de serveur avec plusieurs rôles Exchange Server sur un ordinateur (s'il comprend un des rôles de serveur indiqués). Pour plus d'informations sur les rôles d'Exchange 2013, consultez Rôles Exchange Server 2013.
5.1.5.1 Liste des règles
Une règle est composée de conditions et d'actions. Une fois que toutes les conditions d'un message électronique sont remplies, les actions sont exécutées sur celui-ci. En d'autres termes, les règles sont appliquées en fonction d'un ensemble de conditions combinées. Si plusieurs conditions sont associées à une règle, elles sont combinées à l'aide de l'opérateur logique ET et la règle n'est appliquée que lorsque les conditions sont réunies.
La fenêtre Liste des règles affiche les règles existantes. Les règles sont classées dans trois niveaux et évaluées dans cet ordre :
Règles de filtrage (1) Règles de traitement des pièces jointes (2) Règles de traitement des résultats (3)
Les règles d'un même niveau sont évaluées dans le même ordre que celui de leur affichage dans la fenêtre Règles. Vous pouvez uniquement modifier l'ordre des règles d'un même niveau. Par exemple, si vous disposez de plusieurs règles de filtrage, vous pouvez modifier l'ordre de leur application. Vous ne pouvez pas modifier leur ordre en plaçant les règles de traitement des pièces jointes avant les règles de filtrage (les boutons Monter/Descendre ne sont pas disponibles). En d'autres termes, vous ne pouvez pas mélanger des règles de niveaux différents.
La colonne Correspondances affiche le nombre de fois que la règle a été appliquée. Si vous décochez une case (à gauche du nom de chaque règle), la règle correspondante est désactivée jusqu'à ce que vous recochiez la case.
Ajouter... : ajoute une nouvelle règle. Modifier... : modifie une règle existante. Supprimer : supprime une règle sélectionnée. Monter : déplace la règle sélectionnée vers le haut de la liste. Descendre : déplace la règle sélectionnée vers le bas de la liste. Réinitialiser : réinitialise le compteur de règles (colonne Correspondances).
REMARQUE : si une nouvelle règle est ajoutée ou une règle existante est modifiée, une nouvelle analyse des
messages démarre automatiquement à l'aide des règles créées/modifiées.
97
Les règles permettent de vérifier un message lorsque celui est traité par l'agent de transport ou VSAPI. Si les deux méthodes, agent de transport et VSAPI, sont activées et que le message correspond aux conditions de la règle, le nombre de règles peut augmenter de 2 ou plus. Le système VSAPI accède en effet séparément au corps et à la pièce jointe d'un message, ce qui signifie que les règles sont appliquées à chacune de ces parties. Les règles sont également appliquées lors de l'analyse en arrière-plan (lorsque ESET Mail Security effectue par exemple une analyse des boîtes aux lettres suite au téléchargement d'une nouvelle base des signatures de virus), ce qui peut augmenter le compteur de règles.
5.1.5.1.1 Assistant Règle
Vous pouvez définir des conditions et des actions à l'aide de l'assistant Règle. Définissez d'abord les conditions, puis les actions. Cliquez sur Ajouter pour afficher la fenêtre Condition de règle dans laquelle vous pouvez sélectionner un type de condition, une opération et une valeur. À ce stade, vous pouvez ajouter une action de règle. Une fois les conditions et les actions définies, saisissez un nom pour la règle (un nom significatif vous permettant de reconnaître la règle). Ce nom sera affiché dans la liste des règles. Si vous souhaitez préparer des règles en vue d'une utilisation ultérieure, vous pouvez cliquer sur le commutateur en regard de l'option Active pour désactiver la règle. Pour activer une règle, cochez la case en regard de celle-ci dans la liste des règles.
Certaines conditions et actions sont différentes pour les règles propres à la protection du transport des messages, à la protection de la base de données de boîtes aux lettres et à l'analyse de base de données à la demande. Chaque type de protection utilise en effet une approche un peu différente lors du traitement des messages, tout particulièrement la protection du transport des messages.
98
5.1.5.1.1.1 Condition de règle
Cet assistant permet d'ajouter des conditions pour une règle. Sélectionnez Type > Opération dans la liste déroulante (la liste des opérations change en fonction du type de règle sélectionné), puis Paramètre. Les champs de paramètre changent en fonction du type de règle et de l'opération.
Choisissez par exemple Taille de la pièce jointe > est supérieur à , puis, sous Paramètre, spécifiez 10 Mo. Avec ces paramètres, un message qui contient une pièce jointe dont la taille est supérieure à 10 Mo est traité à l'aide de l'action de règle que vous avez spécifiée. Pour cette raison, vous devez spécifier une action à entreprendre lorsqu'une règle donnée est déclenchée si vous ne l'avez pas fait lors de la définition des paramètres de cette règle.
REMARQUE : il est possible d'ajouter plusieurs conditions pour une règle. Lors de l'ajout de plusieurs conditions,
les conditions qui s'annulent mutuellement ne sont pas affichées.
Les conditions suivantes sont disponibles pour la protection du transport des messages (certaines options peuvent ne pas s'afficher selon les conditions précédemment sélectionnées) :
Objet : s'applique aux messages qui contiennent ou non une chaîne spécifique (ou une expression régulière) dans l'objet.
Expéditeur : s'applique aux messages envoyés par un expéditeur spécifique. Destinataire : s'applique aux messages envoyés à un destinataire spécifique. Nom de la pièce jointe : s'applique aux messages qui contiennent des pièces jointes avec un nom spécifique. Taille de la pièce jointe : s'applique aux messages dont la pièce jointe ne correspond pas à la taille spécifiée, se
trouve dans la plage de tailles spécifiée ou dépasse la taille spécifiée. Type de la pièce jointe : s'applique aux messages avec un type de fichier joint spécifique. Les types de fichier sont
classés dans des groupes pour une sélection aisée. Vous pouvez sélectionner plusieurs types de fichier ou des catégories entières.
Taille du message : s'applique aux messages dont les pièces jointes ne correspondent pas à la taille spécifiée, se trouvent dans la plage de tailles spécifiée ou dépassent la taille spécifiée.
Résultat de l'analyse antispam : s'applique aux messages marqués ou non comme étant indésirables ou légitimes.
Résultat de l'analyse antivirus : s'applique aux messages marqués comme étant malveillants ou non. Message interne : s'applique selon qu'un message est interne ou non. Heure de réception : s'applique aux messages reçus avant ou après une date spécifique ou dans une plage de
dates spécifique.
En-têtes de message : s'applique aux messages contenant des données spécifiques dans l'en-tête. Contient une archive protégée par mot de passe : s'applique aux messages dont les pièces jointes d'archive sont
protégées par mot de passe. Contient une archive endommagée : s'applique aux messages dont les pièces jointes d'archive sont
endommagées (qui ne peuvent généralement pas être ouvertes).
Adresse IP de l'expéditeur : s'applique aux messages envoyés à partir d'une adresse IP spécifique. Domaine de l'expéditeur : s'applique aux messages provenant d'un expéditeur avec un domaine spécifique dans
son adresse électronique.
99
Unités d'organisation du destinataire : s'applique aux messages envoyés à un destinataire d'une unité d'organisation spécifique.
Les conditions suivantes sont disponibles pour la protection de la base de données de boîtes aux lettres et l'analyse de base de données à la demande (certaines options peuvent ne pas s'afficher selon les conditions précédemment sélectionnées) :
Objet : s'applique aux messages qui contiennent ou non une chaîne spécifique (ou une expression régulière) dans l'objet.
Expéditeur : s'applique aux messages envoyés par un expéditeur spécifique. Destinataire : s'applique aux messages envoyés à un destinataire spécifique. Boîte aux lettres : s'applique aux messages situés dans une boîte aux lettres spécifique. Nom de la pièce jointe : s'applique aux messages qui contiennent des pièces jointes avec un nom spécifique. Taille de la pièce jointe : s'applique aux messages dont la pièce jointe ne correspond pas à la taille spécifiée, se
trouve dans la plage de tailles spécifiée ou dépasse la taille spécifiée. Type de la pièce jointe : s'applique aux messages avec un type de fichier joint spécifique. Les types de fichier sont
classés dans des groupes pour une sélection aisée. Vous pouvez sélectionner plusieurs types de fichier ou des catégories entières.
Résultat de l'analyse antivirus : s'applique aux messages marqués comme étant malveillants ou non. Heure de réception : s'applique aux messages reçus avant ou après une date spécifique ou dans une plage de
dates spécifique.
En-têtes de message : s'applique aux messages contenant des données spécifiques dans l'en-tête. Contient une archive protégée par mot de passe : s'applique aux messages dont les pièces jointes d'archive sont
protégées par mot de passe. Contient une archive endommagée : s'applique aux messages dont les pièces jointes d'archive sont
endommagées (qui ne peuvent généralement pas être ouvertes).
Adresse IP de l'expéditeur : s'applique aux messages envoyés à partir d'une adresse IP spécifique. Domaine de l'expéditeur : s'applique aux messages provenant d'un expéditeur avec un domaine spécifique dans
son adresse électronique.
5.1.5.1.1.2 Action de règle
Vous pouvez ajouter des actions qui seront entreprises sur des messages et/ou des pièces jointes et qui correspondent aux conditions de règle.
REMARQUE : il est possible d'ajouter plusieurs conditions pour une règle. Lors de l'ajout de plusieurs conditions,
les conditions qui s'annulent mutuellement ne sont pas affichées.
Les actions suivantes sont disponibles pour la protection du transport des messages (certaines options peuvent ne pas s'afficher selon les conditions précédemment sélectionnées) :
Mettre le message en quarantaine : le message ne sera pas remis au destinataire et sera déplacé vers la
quarantaine des messages.
Supprimer la pièce jointe : supprime la pièce jointe d'un message. Le message sera remis au destinataire sans la pièce jointe.
Refuser le message : le message ne sera pas remis et un rapport de non-remise sera envoyé à l'expéditeur. Supprimer le message en silence : supprime un message sans envoyer de rapport de non-remise.
100
Loading...