Paramètres antivirus et HIPS : guide des paramètres sur accès
Nous vous recommandons d'utiliser les paramètres de contrôle par défaut dans vos stratégies antivirus et HIPS, car ils constituent le meilleur compromis entre la protection de votre réseau contre les menaces et les performances générales du système. En revanche, si les performances ne constituent pas un problème, nous vous conseillons d'activer tous les paramètres pour une meilleure protection. Il y a peut-être d'autres raisons pour lesquelles vous pouvez souhaiter ajuster les paramètres par défaut.
Chaque fois que vous envisagez de changer les paramètres par défaut, utilisez le guide suivant pour comprendre quelles conséquences vos changements ont à la fois sur les performances du système et sur votre protection contre les menaces.
Dans cet article, Paramètres sur accès :
Onglet Contrôle | Onglet Extensions | Onglets Exclusions Windows/Mac/Linux | Onglet Nettoyage | Paramètres du comportement runtime HIPS | Paramètres de messagerie | Paramètres de contrôle Web
Pour ce qui concerne les paramètres de contrôle planifié, reportez-vous au Guide des paramètres antivirus et HIPS (contrôles planifiés).
Ces paramètres sont configurés dans l'Enterprise Console, stratégie antivirus et HIPS.
Paramètres du contrôle sur accès
| Nom du paramètre | Par défaut | Commentaires |
|---|---|---|
| Activation du contrôle sur accès | Activé | Nous vous conseillons de toujours utiliser le contrôle sur accès. Comme vous allez le constater dans l'explilcation des paramètres du contrôle sur accès ci-dessous, cette fonction est essentielle pour identifier et éliminer les menaces les plus modernes avant qu'elles ne puissent s'exécuter sur votre système. |
Bouton Contrôle sur accès
Onglet Contrôle
| Nom du paramètre | Par défaut | Commentaires |
|---|---|---|
| Contrôler dans les archives (non recommandé) | Désactivé | Lorsque vous activez ce paramètre, ce dernier ajoute les formats de fichiers archive les plus répandus dans la liste des extensions qui sont vérifiées par le contrôle sur accès. Nous avons désactivé ce paramètre car il n'est généralement pas nécessaire pour exécuter des contrôles sur accès des fichiers archive. Si vous utilisez les paramètres de contrôle sur accès par défaut que nous avons mis au point, tout fichier à l'intérieur de l'archive fera l'objet d'un contrôle au moment de son ouverture ou de son exécution. Etant donné que le contrôle d'une archive est un processus gourmand en mémoire et que la plupart des fichiers archive d'une entreprise ne contiennent pas de malwares (ils doivent faire l'objet d'un filtrage à la passerelle par un produit comme l'appliance Sophos Web and Control), nous estimons que le temps de traitement supplémentaire prévu pour le contrôle des archives ne compense pas le retard que connaît l'utilisateur sur son poste d'extrémité. Bien entendu, si vous avez plusieurs utilisateurs qui connectent leurs clés USB personnelles ou d'autres supports amovibles à votre réseau ou si vous avez des besoins professionnels particuliers, il peut s'avérer judicieux d'activer ce paramètre pour une partie de vos utilisateurs. En guise d'alternative au contrôle sur accès des archives, nous vous suggérons d'envisager :
|
| Rechercher les virus Macintosh | Désactivé | Si votre réseau comporte des Mac ou si vous échangez régulièrement des fichiers qui peuvent être ouverts et édités dans un environnement Mac, activez ce paramètre. |
| Rechercher les adwares et les PUA | Désactivé | Les applications potentiellement indésirables (PUA, Potentially Unwanted Applications) sont des applications du type logiciel de surveillance PC et des blagues. Les SophosLabs incluent la détection des PUA connues dans les données de détection des menaces, elles-mêmes incluses dans vos mises à jour Endpoint Security and Control updates. Ce paramètre est désactivé par défaut car nous vous conseillons tout d'abord d'autoriser les applications légitimes, comme les outils d'administration. Pour cela, exécutez un contrôle planifié de votre réseau en identifiant les applications légitimes et en les autorisant, puis activez le contrôle sur accès pour bloquer à l'avenir les applications non autorisées. Pour plus d'instructions détaillées, reportez-vous au Guide de déploiement de l'administrateur pour une protection contre les applications potentiellement indésirables (PUA). Si vous activez ce paramètre sans tout d'abord paramétrer les exclusions, votre réseau peut se retrouver inondé d'alertes sur les détections de PUA. Vous pouvez passer en revue les alertes qui sont générées et paramétrer les exclusions dans l'Enterprise Console pour les effacer. Cette opération peut prendre un certain temps. Sachez que vous devrez exécuter un contrôle planifié pour nettoyer toutes les PUA trouvées. Les Labs examinent régulièrement les définitions de leurs PUA pour s'assurer que les nouveaux programmes aux intentions malveillantes ou immorales peuvent être bloqués de votre réseau. Vous pouvez suggérer de nouvelles PUA dans : https://secure.sophos.com/support/samples/. |
| Rechercher les fichiers suspects (HIPS) | Désactivé | Les fichiers suspects sont des fichiers qui contiennent du code généralement utilisé dans les malwares. Comme il n'existe aucun moyen pour un programme de contrôle antivirus de connaître le contexte d'un fichier (par exemple, pour savoir que tel fichier écrit par l'un de vos ingénieurs logiciel est sûr), nous signalons tout fichier suspect possible. Cela peut conduire à quelques détections indisérables (anglais), mais nous estimons qu'il est important de mettre l'accent sur tous les fichiers potentiellement dangereux afin que tout un chacun puisse ensuite en fournir le contexte. Ce paramètre est désactivé par défaut car nous vous conseillons d'autoriser tout d'abord les fichiers légitimes, comme ceux écrits par vos employés. Pour cela, exécutez un contrôle planifié de votre réseau en identifiant les fichiers légitimes et en les autorisant dans l'Enterprise Console, puis activez le contrôle sur accès pour détecter les applications non autorisées à l'avenir. Pour plus d'informations sur HIPS, veuillez consulter l'article de la base de connaissances suivante : http://www.sophos.fr/support/knowledgebase/article/48765.html |
| Contrôle sur accès : En lecture | Activé | Nous vous conseillons de toujours utiliser ce paramètre lorsque le contrôle sur accès est activé. Le contrôle au moment de la lecture garantit que tous les fichiers faisant l'objet d'un accès sont contrôlés avant leur ouverture ou leur utilisation. |
| Contrôle sur accès : En écriture | Désactivé | Ce paramètre est désactivé par défaut car il peut affecter les performances du système. Il s'agit toutefois d'un paramètre très utile, surtout sur les serveurs de fichiers où il y a beaucoup plus d'écritures que de lectures. Nous vous conseillons d'activer ce paramètre pour fournir plus de protection que le contrôle en lecture tout seul. |
| Contrôle sur accès : En renommant | Désactivé | En renommant est utile dans au moins deux situations (inhabituelles). La première concerne la détection des fichiers malveillants. Lorsqu'un fichier malveillant est installé sur votre ordinateur, il peut avoir une extension qui n'existe pas, comme .abc. Lorsqu'il est sur le point de s'exécuter, il peut être renommé en .exe. Aussi, les malwares peuvent écrire un fichier dans un emplacement, puis l'enregistrer dans un autre emplacement avec un nouveau nom. Cette opération qui consiste à renommer n'est pas captée par les contrôles en lecture ou en écriture. La seconde situation dans laquelle les contrôles 'en renommant' sont utiles est pour le contrôle des fichiers téléchargés. Certains navigateurs téléchargent un fichier avec un nom temporaire qui ne figure pas dans la liste des extensions par défaut et le renomment ensuite en un nom correct lorsque le téléchargement est terminé. Par exemple, un fichier .exe téléchargé peut éviter le contrôle même si le contrôle en écriture est activé. Par conséquent, si vous avez quelque raison de soupçonner que votre réseau est infecté par un malware, vous pouvez, si vous le voulez, activer temporairement ce paramètre dans vos stratégies. |
| Autoriser l'accès aux lecteurs avec secteurs de démarrage infectés. | Désactivé | Ce paramètre sert à autoriser l'accès à un support ou périphérique amovible de démarrage infecté, comme un disque, une disquette, un clé USB de démarrage, etc. Il doit seulement être utilisé sous le contrôle du support technique Sophos. |
Onglet Extensions
| Nom du paramètre | Par défaut | Commentaires |
|---|---|---|
| Contrôler tous les fichiers | Désactivé | Etant donné que les autres paramètres de contrôle sur accès empêchent toute attaque par des types de fichiers connus pour servir à infecter les ordinateurs (y compris les types de fichiers que vous pouvez définir vous-même), il est conseillé de conserver ce paramètre par défaut (désactivé) dans la plupart des circonstances. Le contrôle des fichiers non infectables sur l'ordinateur au moment de leur accès peut avoir des conséquences importantes sur les performances. Par exemple, de nombreuses applications utilisent leurs propres formats pour les fichiers temporaires. Lorsque chacun de ces éléments fait l'objet d'un accès, il est contrôlé. C'est pourquoi un programme qui nécessite déjà beaucoup de mémoire, comme les suites de photo-édition ou les logiciels financiers, va avoir besoin d'encore plus de temps pour le traitement pendant que le programme de contrôle sur accès contrôle chacun des fichiers temporaires qu'il utilise. Même pour les activités de réseau et informatiques habituelles, la diminution des performances qu'entraîne ce paramètre ne compense pas la très mince possibilité de détection par le programme de contrôle sur accès d'un fichier malveillant non inclus dans la liste des exécutables contrôlés par défaut. Par contre, lors d'un attaque de malware (ou directement après), assurez-vous que tous les composants d'un virus ont été supprimés après la désinfection. Ceci devrait normalement être effectué sous le contrôle du support technique de Sophos. Bien ententu, si vous vous sentez plus en sécurité de savoir que votre programme de contrôle viral vérifie tous les fichiers, nous vous suggérons de planifier à la place un contrôle hebdomadaire de tous les fichiers. Veillez simplement à prévoir cette planification lorsque vous utilisez rarement votre ordinateur (comme un dimanche après-midi). |
| Contrôler les fichiers exécutables et infectés | Activé | Nous vous conseillons de toujours activer ce paramètre. Lorsqu'il est activé, ce contrôle vérifie tous les fichiers portant des extensions d'exécutables (par exemple, '.EXE', '.BAT', '.PIF') ou des fichiers qui sont susceptibles d'être infectés (comme les fichiers '.DOC', '.CHM', '.PDF'). Il vérifie aussi rapidement la structure de tous les fichiers et les contrôle si leur format est celui d'un fichier exécutable. Si vous voulez contrôler des types de fichiers supplémentaires, vous pouvez ajouter les extensions de ces fichiers à la liste à contrôler à l'aide du bouton Ajouter. |
| Contrôler les fichiers sans extension | Activé | Etant donné que les fichiers sans extension peuvent être du malware, activez toujours la détection sur accès. |
Onglet Exclusions Windows
Nous vous conseillons de ne pas définir d'exclusions car de nombreux fichiers sont susceptibles d'être infectés par du malware. En revanche, certaines applications peuvent se conduire de manière inattendue parallèlement au programme de contrôle sur accès, comme les serveurs Microsoft Exchange/Citrix. Si vous rencontrez des problèmes avec une application lors de l'utilisation du programme de contrôle sur accès dans Endpoint Security and Control, veuillez contacter l'éditeur de logiciels pour plus d'informations sur les fichiers à exclure du contrôle.
| Nom du paramètre | Par défaut | Commentaires |
|---|---|---|
| Exclure les fichiers distants | Désactivé | Avec l'augmentation du nombre de vers de stockage réseau, nous vous conseillons de toujours conserver cette option désactivée (garantissant que les fichiers distants sont contrôlés lorsqu'ils font l'objet d'un accès) pour protéger votre réseau. |
Onglets Exclusions Mac et Linux
Ces exclusions s'appliquent aux réseaux qui incluent un ensemble de systèmes d'exploitation différents.
| Nom du paramètre | Par défaut | Commentaires |
|---|---|---|
| Nettoyer automatiquement les éléments contenant un virus/spyware | Désactivé | Logiquement, vous voudrez à coup sûr choisir cette option pour nettoyer automatiquement tout malware trouvé, mais nous vous laissons décider : peut-être avez-vous vos propre procédures de nettoyage des malwares. Nous ne voulons pas effectuer d'opérations sans votre consentement. Par exemple, vous pouvez préférer laisser en quarantaine les éléments détectés jusqu'à ce vous puissiez vous en occuper. Lorsque le programme de contrôle sur accès nettoie automatiquement les élements contenant un virus ou un spyware, il détruit tous les éléments qui sont du malware pure et essaie de désinfecter tous les éléments qui ont été infectés. Ces fichiers désinfectés doivent être considérés comme définitivement endommagés car le programme de contrôle viral ne peut pas savoir ce que le fichier contenait avant qu'il ne soit endommagé : il peut seulement nettoyer le code qui était injecté par le virus. |
| En option si le nettoyage n'est pas possible | Refuser uniquement l'accès | L'option par défaut ‘Refuser uniquement l'accès’ signifie que le programme de contrôle viral vous demande ce qu'il faut faire avant de continuer. Tout élément trouvé reste bloqué jusqu'à ce que vous indiquiez au programme de contrôle viral ce qu'il faut faire. Les autres options 'Supprimer' et ‘Refuser l'accès et déplacer' peuvent être utilisées dans des circonstances particulières (comme quand le support technique Sophos vous conseille de sélectionner cette option). Nous ne vous conseillons pas d'autoriser le programme de contrôle viral à supprimer automatiquement les fichiers infectés, car parfois des fichiers légitimes peuvent être détectés. Si vous activez ce paramètre, vérifiez régulièrement les journaux pour vous assurer que vous n'avez pas supprimé des fichiers importants. |
| Fichiers suspects - action par défaut | Refuser uniquement l'accès | L'option par défaut ‘Refuser uniquement l'accès’ signifie que le programme de contrôle viral vous demande ce qu'il faut faire avant de continuer. Tout élément trouvé est bloqué jusqu'à ce que vous indiquiez au programme de contrôle viral ce qu'il faut faire. |
Paramètres du comportement runtime HIPS
| Nom du paramètre | Par défaut | Commentaires |
|---|---|---|
| Détecter les comportements suspects | Activé | Ce paramètre détecte les opérations sur les fichiers lors de leur exécution. S'il pense que la simultanéité ou les séries d'opérations en cours d'exécution posent une menace, il vous alerte (si 'alerter seulement' est sélectionné) ou bloque l'opération (si 'alerter seulement' est désactivé) . Nous vous conseillons d'utiliser ce paramètre en mode 'alerter seulement' au départ et autoriser toute application qui déclenche des détections indésirables (anglais). Après vous être familiarisé avec les types d'applications qui déclenchent les alertes et si vous êtes sûr que vous avez autorisé les applications approuvées sur votre réseau, nous vous conseillons de désactiver 'alerter seulement'. |
| Détecter les dépassements de mémoire tampon | Activé | Ce paramètre protège votre ordinateur de toute attaque par dépassement de la mémoire tampon et nous vous conseillons de le laisser activé. Il est indispensable pour empêcher (et bloquer, si 'alerter seulement' est désactivé) les nouveaux malwares d'infecter vos systèmes. Etant donné que les dépassements de la mémoire tampon ne sont désirables en aucune circonstance, contactez tous les éditeurs de logiciels dont l'application déclenche un dépassement de la mémoire tampon qui, vous le savez, n'est pas un malware. Autorisez seulement ces applications si elles sont essentielles pour votre entreprise. Si vous rencontrez tout dépassement de la mémoire tampon suspect, veuillez contacter le support technique Sophos pour obtenir de l'aide sur l'identification et l'élimination des menaces. |
| Alerter seulement | Activé | La détection de tout comportement suspect doit être prioritaire lorsque vous déployez une nouvelle stratégie antivirus car ce paramètre 'Alerter seulement' est partagé avec la détection de la mémoire tampon, laquelle doit bloquer les attaques éventuelles juste après que la stratégie ne soit déployée. Par conséquent, une fois que vous avez approuvé les programmes légitimes qui sont susceptibles d'afficher un comportement suspect sur votre réseau, nous vous conseillons de désactiver 'alerter seulement' sans délai. |
Paramètres de messagerie
Nous avons activé la messagerie de bureau par défaut, mais nous n'avons pas activé d'autres types de messagerie. Nous vous conseillons de paramétrer le type de messagerie de votre choix avant de déployer vos stratégies antivirus et HIPS.
| Nom du paramètre | Par défaut | Commentaires |
|---|---|---|
| Activer la messagerie de bureau | Activé | Que vous vouliez ou non alerter l'utilisateur final sur vos ordinateurs, c'est votre choix. Ce paramètre fait apparaître un message sur le poste d'extrémité indiquant ce qui a été détecté, où et comment cela a été traité. Vous pouvez ajouter votre propre message à utiliser pour tout événement à propos duquel vous choisissez d'alerter l'utilisateur. Nous vous conseillons de conserver ce paramètre activé afin que l'utilisateur final puisse contacter votre support technique en cas de détection sur son ordinateur. Vous pouvez, si vous le voulez, ajouter un message personnalisé pour communiquer la stratégie de votre entreprise. |
Paramètres d'autorisation
Ce bouton ouvre une boîte de dialogue qui vous permet d'autoriser les adwares et PUA, les fichiers suspects, les applications affichant un comportement suspect ou un dépassement de la mémoire tampon qui ont été découvertes à l'aide des contrôles planifiés et du mode HIPS 'alerter seulement'.
Il n'y a pas d'applications ou de fichiers préautorisés dans vos stratégies antivirus et HIPS.
Onglet Contrôle Web
Le contrôle du contenu web contrôle les sites web à la recherche de contenu malveillant avant que votre navigateur charge la page. Lorsqu'une attaque de type web est découverte sur la page web principale ou dans un sous-élément, le contenu d'origine est bloqué et remplacé par une page de rapport sécurisée. Un message est généré sur le bureau pour chaque élément du contenu malveillant qui est bloqué. L'exécution du code malveillant est bloquée, aucun nettoyage n'est nécessaire. Pour plus d'informations sur la fonction de contrôle du contenu web dans Endpoint Security and Control, reportez-vous à l'article Aperçu du contrôle du contenu web dans Endpoint Security and Control.
Par défaut, le paramètre de contrôle web est défini de la même façon que le programme de contrôle sur accès. Si le contrôle sur accès est activé dans la stratégie, la fonction de contrôle du contenu web est aussi activée. Pour ce paramètre, vous pouvez soit choisir de le laisser activé ou désactivé tout le temps.
Si vous avez besoin de plus d'informations ou d'instructions, veuillez contacter le support technique.
- ID article : 63923
- Créé le : 5 oct 2009
- Mis à jour le : 30 nov 2009
