ESET Mail Security for Exchange Server 8.0 Manuel du propriétaire

Ajouter à Mes manuels
332 Des pages
ESET Mail Security for Exchange Server 8.0 Manuel du propriétaire | Fixfr
ESET Mail Security
Guide de l'utilisateur
Cliquez ici pour consulter la version de l'aide en ligne de ce document
Copyright © 2021 par ESET, spol. s r.o.
ESET Mail Security a été développé par ESET, spol. s r.o.
Pour plus d'informations, visitez www.eset.com.
Tous droits réservés. Aucune partie de cette documentation ne peut être reproduite, stockée
dans un système d'archivage ou transmise sous quelque forme ou par quelque moyen que ce
soit, électronique, mécanique, photocopie, enregistrement, numérisation ou autre sans
l'autorisation écrite de l'auteur.
ESET, spol. s r.o. se réserve le droit de modifier les applications décrites sans préavis.
Service client : www.eset.com/support
RÉV. 26/11/2021
1 Préface ................................................................................................................................ 1
2 Présentation ........................................................................................................................ 2
2.1 Fonctionnalités principales ............................................................................................ 3
2.2 Nouveautés .................................................................................................................. 5
2.3 Flux des messages ........................................................................................................ 6
2.4 Fonctionnalités de ESET Mail Security et rôles d'Exchange Server ...................................... 7
2.5 Rôles d'Exchange Server ................................................................................................ 9
2.6 Connecteur POP3 et protection antispam ......................................................................... 9
2.7 Modules de protection ................................................................................................. 10
2.8 Sécurité multicouche ................................................................................................... 12
2.8 Protection de la base de données de boîtes aux lettres ............................................................... 12
2.8 Protection du transport des messages ................................................................................. 13
2.8 Analyse de base de données de boîtes aux lettres à la demande .................................................... 15
2.8 Analyse des boîtes aux lettres Office 365 .............................................................................. 16
3 Configuration système requise .......................................................................................... 17
3.1 Compatibilité SHA-2 requise ......................................................................................... 19
4 Préparation de l'installation ............................................................................................... 19
4.1 Étapes d'installation d'ESET Mail Security ...................................................................... 21
4.1 Modification d'une installation existante ............................................................................... 26
4.2 Installation silencieuse/sans assistance ......................................................................... 27
4.2 Installation via la ligne de commande .................................................................................. 28
4.3 Activation du produit ................................................................................................... 32
4.3 ESET Business Account ................................................................................................. 33
4.3 Activation réussie ....................................................................................................... 34
4.3 Échec de l'activation .................................................................................................... 34
4.3 Licence ................................................................................................................... 34
4.4 Mise à niveau vers une version plus récente .................................................................. 34
4.4 Mise à niveau via ESET PROTECT ....................................................................................... 36
4.4 Mise à niveau via ESET Cluster ......................................................................................... 38
4.5 Installation dans un environnement à cluster ................................................................. 41
4.6 Terminal Server .......................................................................................................... 41
4.7 Environnement multiserveur/DAG ................................................................................. 42
5 Prise en main ..................................................................................................................... 42
5.1 Tâches de post-installation .......................................................................................... 42
5.2 Gérés via ESET PROTECT .............................................................................................. 44
5.3 Supervision ................................................................................................................ 44
5.3 État ....................................................................................................................... 46
5.3 Mise à jour Windows disponible ........................................................................................ 47
5.3 Isolement réseau ........................................................................................................ 48
6 Utilisation d'ESET Mail Security ......................................................................................... 49
6.1 Analyser .................................................................................................................... 50
6.1 Fenêtre Analyse et journal d'analyse ................................................................................... 53
6.2 Fichiers journaux ........................................................................................................ 55
6.2 Filtrage des journaux .................................................................................................... 60
6.3 Mise à jour ................................................................................................................. 62
6.4 Quarantaine de messages ............................................................................................ 64
............................................................................................................. 67
6.5 Serveur .................................................................................................................. 68
6.5 Ordinateur ............................................................................................................... 69
6.5 Réseau ................................................................................................................... 70
6.5 Assistant de dépannage du réseau ..................................................................................... 71
6.5 Internet et messagerie .................................................................................................. 71
6.5 Outils - Journalisation des données de diagnostic ..................................................................... 72
6.5 Importer et exporter les paramètres ................................................................................... 74
6.6 Outils ........................................................................................................................ 74
6.6 Processus en cours ...................................................................................................... 75
6.6 Surveiller l'activité ...................................................................................................... 77
6.6 Statistiques de protection ............................................................................................... 79
6.6 Cluster ................................................................................................................... 80
6.6 Assistant Cluster - Sélectionner des nœuds ............................................................................ 83
6.6 Assistant Cluster - Paramètres du cluster .............................................................................. 84
6.6 Assistant Cluster - Paramètres de configuration du cluster ........................................................... 85
6.6 Assistant Cluster - Vérification des nœuds ............................................................................. 86
6.6 Assistant Cluster - Installation des nœuds ............................................................................. 87
6.6 ESET Shell ............................................................................................................... 90
6.6 Utilisation ................................................................................................................ 92
6.6 Commandes ............................................................................................................. 99
6.6 Fichiers de commandes/scripts ....................................................................................... 103
6.6 ESET Dynamic Threat Defense ....................................................................................... 104
6.6 ESET SysInspector ..................................................................................................... 106
6.6 ESET SysRescue Live .................................................................................................. 107
6.6 Planificateur ........................................................................................................... 107
6.6 Planificateur - Ajouter une tâche ..................................................................................... 108
6.6 Type de tâche ......................................................................................................... 110
6.6 Planification de la tâche ............................................................................................... 111
6.6 Déclenchée par un événement ....................................................................................... 112
6.6 Exécuter l’application ................................................................................................. 113
6.6 Tâche ignorée ......................................................................................................... 113
6.6 Aperçu des tâches planifiées ......................................................................................... 113
6.6 Soumettre les échantillons pour analyse ............................................................................. 113
6.6 Fichier suspect ........................................................................................................ 114
6.6 Site suspect ............................................................................................................ 115
6.6 Fichier faux positif ..................................................................................................... 116
6.6 Site faux positif ........................................................................................................ 116
6.6 Autre ................................................................................................................... 117
6.6 Quarantaine ........................................................................................................... 117
7 Paramètres de protection du serveur .............................................................................. 118
7.1 Configuration de la priorité des agents ........................................................................ 119
7.2 Antivirus et antispyware ............................................................................................ 120
7.3 Protection antispam .................................................................................................. 122
7.3 Filtrage et vérification ................................................................................................. 123
7.3 Antispam - Configurations avancées ................................................................................. 126
7.3 Paramètres de mise en liste grise .................................................................................... 131
6.5 Configuration
............................................................................................................ 132
7.3 Protection de rétrodiffusion ........................................................................................... 135
7.3 Protection contre l'usurpation de l'expéditeur ....................................................................... 136
7.4 Protection antihameçonnage ...................................................................................... 138
7.5 Règles ..................................................................................................................... 139
7.5 Condition de règle ..................................................................................................... 143
7.5 Action de règle ........................................................................................................ 150
7.5 Exemples de règle .................................................................................................... 154
7.6 Protection du transport des messages ........................................................................ 157
7.6 Configurations avancées du transport des messages ............................................................... 160
7.7 Protection de la base de données de boîtes aux lettres ................................................. 161
7.7 Analyse en arrière-plan ............................................................................................... 163
7.8 Analyse de base de données de boîtes aux lettres à la demande .................................... 164
7.8 Analyse de base de données de boîtes aux lettres .................................................................. 167
7.8 Analyse des boîtes aux lettres Office 365 ............................................................................ 169
7.8 Éléments de boîte aux lettres supplémentaires ..................................................................... 170
7.8 Serveur proxy ......................................................................................................... 171
7.8 Détails du compte d'analyse de base de données ................................................................... 171
7.9 Types de quarantaine de messages ............................................................................. 173
7.9 Quarantaine locale .................................................................................................... 174
7.9 Stockage de fichiers ................................................................................................... 175
7.9 Interface Web ......................................................................................................... 176
7.9 Envoyer les rapports de mise en quarantaine des messages - tâche planifiée .................................... 182
7.9 Interface Web Quarantaine de messages pour les utilisateurs ..................................................... 184
7.9 Boîte aux lettres de quarantaine et quarantaine MS Exchange ..................................................... 186
7.9 Paramètres du gestionnaire de la mise en quarantaine ............................................................. 188
7.9 Serveur proxy ......................................................................................................... 188
7.9 Détails du compte du gestionnaire de mise en quarantaine ........................................................ 189
7.10 Test antivirus .......................................................................................................... 190
7.11 Test antispam ......................................................................................................... 190
7.12 Test anti-hameçonnage ............................................................................................ 190
8 Paramètres généraux ...................................................................................................... 191
8.1 Ordinateur ............................................................................................................... 192
8.1 Détection par l'apprentissage machine .............................................................................. 194
8.1 Exclusions ............................................................................................................. 198
8.1 Exclusions de performance ........................................................................................... 199
8.1 Exclusions de détection ............................................................................................... 200
8.1 Assistant Créer une exclusion ........................................................................................ 203
8.1 Options avancées ..................................................................................................... 203
8.1 Exclusions automatiques .............................................................................................. 203
8.1 Cache local partagé ................................................................................................... 204
8.1 Une infiltration est détectée .......................................................................................... 205
8.1 Protection en temps réel du système de fichiers .................................................................... 206
8.1 Paramètres ThreatSense .............................................................................................. 208
8.1 Autres paramètres ThreatSense ...................................................................................... 212
8.1 Extensions de fichier exclues de l'analyse ........................................................................... 213
8.1 Exclusions des processus ............................................................................................. 213
7.3 SPF et DKIM
.............................................................................................. 215
8.1 Filtre d’exclusion ...................................................................................................... 217
8.1 Analyses des logiciels malveillants ................................................................................... 218
8.1 Gestionnaire de profils ................................................................................................ 220
8.1 Cibles du profil ........................................................................................................ 220
8.1 Cibles à analyser ...................................................................................................... 222
8.1 Analyse en cas d'inactivité ............................................................................................ 225
8.1 Analyse au démarrage ................................................................................................ 225
8.1 Vérification automatique des fichiers de démarrage ................................................................ 226
8.1 Supports amovibles ................................................................................................... 227
8.1 Protection des documents ............................................................................................ 227
8.1 Analyse Hyper-V ....................................................................................................... 228
8.1 HIPS .................................................................................................................... 230
8.1 Paramètres de règle HIPS ............................................................................................. 233
8.1 Configurations avancées de HIPS ..................................................................................... 236
8.2 Configuration des mises à jour ................................................................................... 236
8.2 Restauration des mises à jour ........................................................................................ 241
8.2 Tâche planifiée : mise à jour .......................................................................................... 241
8.2 Miroir de mise à jour .................................................................................................. 242
8.3 Protection du réseau ................................................................................................. 244
8.3 Exceptions IDS ......................................................................................................... 246
8.3 Liste noire temporaire des adresses IP ............................................................................... 246
8.4 Internet et messagerie .............................................................................................. 247
8.4 Filtrage des protocoles ................................................................................................ 247
8.4 Internet et clients de messagerie .................................................................................... 249
8.4 SSL/TLS ................................................................................................................ 249
8.4 Liste des certificats connus ........................................................................................... 251
8.4 Communication SSL chiffrée .......................................................................................... 251
8.4 Protection du client de messagerie ................................................................................... 252
8.4 Protocoles de messagerie ............................................................................................. 254
8.4 Alertes et notifications ................................................................................................ 254
8.4 Barre d'outils MS Outlook ............................................................................................. 255
8.4 Barre d'outils Outlook Express et Windows Mail ..................................................................... 256
8.4 Boîte de dialogue de confirmation .................................................................................... 256
8.4 Analyser à nouveau les messages .................................................................................... 257
8.4 Protection de l’accès Web ............................................................................................ 257
8.4 Gestion des adresses URL ............................................................................................ 258
8.4 Créer une liste ......................................................................................................... 259
8.4 Protection Web antihameçonnage .................................................................................... 261
8.5 Contrôle des appareils ............................................................................................... 263
8.5 Règles de périphérique ............................................................................................... 263
8.5 Groupe de périphériques ............................................................................................. 266
8.6 Outils de configuration .............................................................................................. 267
8.6 Créneaux horaires ..................................................................................................... 268
8.6 Microsoft Windows® Mise à jour ..................................................................................... 268
8.6 Analyseur de ligne de commande .................................................................................... 268
8.6 ESET CMD .............................................................................................................. 271
8.1 Protection dans le cloud
............................................................................................................. 273
8.6 Licence ................................................................................................................. 274
8.6 Fournisseur WMI ....................................................................................................... 275
8.6 Données fournies ...................................................................................................... 275
8.6 Accès aux données fournies .......................................................................................... 284
8.6 ESET PROTECT cibles à analyser ..................................................................................... 285
8.6 Mode de remplacement ............................................................................................... 285
8.6 Fichiers journaux ...................................................................................................... 289
8.6 Mappage des événements Syslog .................................................................................... 292
8.6 Serveur proxy ......................................................................................................... 295
8.6 Notifications ........................................................................................................... 296
8.6 Notifications d'application ............................................................................................ 297
8.6 Notifications du Bureau ............................................................................................... 297
8.6 Notifications par e-mail ............................................................................................... 298
8.6 Personnalisation ....................................................................................................... 300
8.6 Mode de présentation ................................................................................................. 300
8.6 Diagnostics ............................................................................................................ 301
8.6 Assistance technique .................................................................................................. 302
8.6 Cluster ................................................................................................................. 302
8.7 Interface utilisateur .................................................................................................. 304
8.7 Alertes et boîtes de message ......................................................................................... 305
8.7 Configuration de l’accès .............................................................................................. 306
8.7 ESET Shell ............................................................................................................. 307
8.7 Désactivation de l'interface utilisateur graphique sur Terminal Server ............................................ 307
8.7 États et messages désactivés ........................................................................................ 308
8.7 Paramètres des états d'application ................................................................................... 308
8.7 Icône dans la partie système de la barre des tâches ................................................................ 309
8.8 Rétablir les paramètres par défaut .............................................................................. 311
8.9 Aide et assistance ..................................................................................................... 311
8.9 Envoyer une demande d'assistance .................................................................................. 313
8.9 À propos d'ESET Mail Security ........................................................................................ 313
8.10 Glossaire ................................................................................................................ 314
9 Contrat de licence de l'utilisateur final ............................................................................ 314
10 Politique de confidentialité ............................................................................................ 322
8.6 ESET RMM
Préface
Ce guide a pour objectif de vous aider à optimiser l'utilisation de ESET Mail Security. Pour
obtenir des informations sur une fenêtre du programme dans laquelle vous vous trouvez,
appuyez sur la touche F1 du clavier. La page d'aide relative à la fenêtre actuellement
affichée apparaîtra.
Pour des questions de cohérence et afin d'éviter toute confusion, la terminologie employée
dans ce guide est basée sur les noms des paramètres ESET Mail Security. Un ensemble
uniforme de symboles est également utilisé pour souligner des informations importantes.
REMARQUE
Une remarque est une simple observation succincte. Bien que vous puissiez l'ignorer, elle
peut fournir des informations précieuses (fonctionnalités spécifiques ou lien vers une
rubrique connexe, par exemple).
IMPORTANT
Ces informations requièrent votre attention et ne doivent pas être ignorées. Les notes
importantes comprennent des informations importantes mais qui ne sont pas critiques.
AVERTISSEMENT
Informations critiques qui requièrent toute votre attention. Les avertissements ont pour
but de vous empêcher de commettre des erreurs préjudiciables. Veuillez lire
attentivement le texte des avertissements car il fait référence à des paramètres système
très sensibles ou à des actions présentant des risques.
EXEMPLE
Il s'agit d'un cas pratique dont l'objectif est de vous aider à comprendre l'utilisation d'une
fonction spécifique.
Si l'élément ci-dessous apparaît dans le coin supérieur droit d'une page d'aide, il signale une
navigation dans les fenêtres d'une interface utilisateur graphique (GUI) de ESET Mail Security.
Suivez ces instructions pour accéder à la fenêtre décrite dans la page d'aide correspondante.
Ouvrir ESET Mail Security
Cliquez sur Configuration > Serveur > Configuration du scan de OneDrive >
Enregistrer
1
Conventions de mise en forme :
Convention
Signification
Gras
Titres des sections, noms des fonctionnalités ou éléments de l'interface
utilisateur (boutons, par exemple).
Italique
Espaces réservés indiquant les informations que vous devez fournir. Par
exemple, nom du fichier ou chemin d'accès indique que vous devez saisir
un chemin d'accès ou un nom de fichier.
Courier New
Exemples de code ou commandes.
Lien hypertexte Permet d'accéder facilement et rapidement à des références croisées ou à
une adresse Internet externe. Les liens hypertexte sont mis en surbrillance
en bleu et peuvent être soulignés.
%ProgramFiles% Répertoire système de Windows qui contient les programmes Windows et
les autres programmes installés.
Les pages d'aide en ligne de ESET Mail Security sont divisées en plusieurs chapitres et souschapitres. Vous trouverez des informations pertinentes en parcourant le Sommaire des pages
d'aide. Vous pouvez également utiliser la recherche en texte intégral en saisissant des mots
ou des phrases.
Présentation
ESET Mail Security pour Microsoft Exchange Server est une solution intégrée qui protège les
serveurs de messagerie et les boîtes aux lettres des utilisateurs de différents types de
contenu malveillant, y compris les pièces jointes infectées par des vers ou des chevaux de
Troie, les documents contenant des scripts malveillants, le hameçonnage et le courrier
indésirable. ESET Mail Security fournit quatre types de protection : Antivirus, antispam,
antihameçonnage et règles. ESET Mail Security filtre le contenu malveillant au niveau des
bases de données de boîtes aux lettres et sur la couche de transport des messages, avant
qu'il arrive dans la boîte de réception du destinataire.
ESET Mail Security prend en charge Microsoft Exchange Server versions 2007 et ultérieures,
ainsi que Microsoft Exchange Server dans un environnement en cluster. Les rôles Microsoft
Exchange Server spécifiques (mailbox, hub, edge) sont également pris en charge.
ESET Mail Security fournit non seulement la protection de Microsoft Exchange Server, mais
également tous les fonctionnalités nécessaires à la protection du serveur proprement dit
(protection en temps réel du système de fichiers, protection du réseau, protection de l'accès
à Internet et protection du client de messagerie).
Vous pouvez gérer ESET Mail Security à distance dans des réseaux de grande taille grâce à
ESET PROTECT. De plus, ESET Mail Security peut être utilisé avec des outils de surveillance et
d'administration à distance (RMM) tiers.
2
Fonctionnalités principales
Le tableau ci-dessous présente les fonctionnalités disponibles dans ESET Mail Security.
Véritable produit
64 bits
Performances et stabilité supérieures des composants principaux du
produit.
Antimalware
Une protection récompensée et innovante contre les logiciels
malveillants. Cette technologie de pointe empêche les attaques et
élimine tous les types de menaces, notamment les virus, les
rançongiciels, les rootkits, les vers et les logiciels espions, grâce à une
analyse dans le cloud pour des taux de détection plus élevés. D'un
faible encombrement, cette protection utilise peu de ressources
système pour ne pas avoir d'impact négatif sur les performances. Elle
utilise un modèle de sécurité par couches. Chaque couche, ou phase,
possède un certain nombre de technologies de base. La phase de préexécution comprend les technologies suivantes : analyseur UEFI,
protection contre les attaques réseau, réputation et cache, sandbox
intégré au produit, détections ADN. Les technologies de la phase
d'exécution sont les suivantes :bloqueur d'exploit, protection
antirançongiciels, scanner de mémoire avancé et analyseur de scripts
(AMSI). La phase de post-exécution utilise les technologies suivantes :
protection anti-botnet, système CMPS et sandboxing. Cet ensemble de
technologies riche en fonctionnalités offre un niveau de protection
inégalé.
Antispam
Le composant antispam est essentiel pour n'importe quel serveur de
messagerie. ESET Mail Security utilise un moteur antispam de pointe
qui empêche les tentatives d'hameçonnage et de remise de courrier
indésirable avec des taux de capture très élevés. ESET Mail Security a
réussi de manière consécutive un test de filtrage de courrier
indésirable de Virus Bulletin, autorité de test de sécurité de premier
plan, et a reçu la certification VBSpam+ pendant plusieurs années. Le
moteur antispam a atteint un taux de capture de courrier indésirable
de 99,99 % sans aucun faux positif, ce qui en fait une technologie de
pointe en matière de protection antispam. La fonctionnalité antispam
de ESET Mail Security intègre plusieurs technologies (RBL et DNSBL,
empreintes digitales, vérification de la réputation, analyse de contenu,
règles, création manuelle de liste blanche/noire, protection de
rétrodiffusion et validation des messages à l'aide de SPF et DKIM) afin
d'optimiser la détection. La protection antispam d'ESET Mail Security
est une solution cloud. La plupart des bases de données de cloud sont
situées dans les centres de données ESET. Les services cloud
Antispam permettent une mise à jour rapide des données, ce qui
accélère le temps de réaction en cas d'apparition de nouveau courrier
indésirable.
3
Protection
antihameçonnage
Fonctionnalité qui empêche les utilisateurs d'accéder à des pages Web
connues pour le hameçonnage. Les e-mails peuvent contenir des liens
menant à des pages Web d'hameçonnage. ESET Mail Security utilise
un analyseur sophistiqué qui recherche ces liens (URL) dans le corps
et l'objet des e-mails entrants. Les liens sont comparés avec la base
de données d'hameçonnage.
Règles
Les règles permettent aux administrateurs de filtrer les e-mails
indésirables et les pièces jointes en fonction de la politique de
l'entreprise. Les pièces jointes comprennent les exécutables, les
fichiers multimédias, les archives protégées par mot de passe, etc.
Différentes actions peuvent être effectuées sur les e-mails filtrés et
leurs pièces jointes, par exemple une mise en quarantaine, une
suppression, un envoi de notification ou une journalisation des
événements.
Exporter vers le
serveur syslog
(Arcsight)
Permet la duplication du contenu du journal de la protection du
serveur de messagerie sur le serveur syslog au format CEF (Common
Event Format) en vue d'une utilisation avec des solutions de gestion
des journaux telles que Micro Focus ArcSight. Les événements
peuvent être alimentés par le biais de SmartConnector vers ArcSight
ou exportés vers des fichiers. Vous disposez ainsi d'un moyen pratique
de surveillance centralisée et de gestion des événements de sécurité.
Vous pouvez tirer parti de cette fonctionnalité, tout particulièrement si
vous disposez d'une infrastructure complexe comprenant un grand
nombre de serveurs Microsoft Exchange avec la solution ESET Mail
Security.
Analyse des boîtes
aux lettres
Office 365
Pour les entreprises qui utilisent un environnement Exchange hybride,
permet d'analyser les boîtes aux lettres dans le cloud.
ESET Dynamic
Threat Defense
Service ESET Cloud. Lorsque ESET Mail Security évalue un e-mail
comme étant suspect, celui-ci est placé temporairement dans la
quarantaine ESET Dynamic Threat Defense. Un e-mail suspect est
automatiquement soumis au serveur ESET Dynamic Threat Defense
pour analyse à l'aide des moteurs de détection de logiciels
malveillants sophistiqués. ESET Mail Security reçoit ensuite le résultat
des analyses. L'e-mail suspect est traité en fonction du résultat.
Gestionnaire de
quarantaine de
messages avec
interface web
L'administrateur peut inspecter les objets mis en quarantaine et
choisir de les supprimer ou de les libérer. Cette fonctionnalité offre un
outil de gestion facile à utiliser.
L'interface web de la quarantaine permet de gérer à distance le
contenu. Il est possible de choisir ses administrateurs et/ou de
déléguer l'accès. En outre, les utilisateurs peuvent afficher et gérer
leur courrier indésirable après s'être connectés à l'interface Web
Quarantaine de messages. Ils ont accès uniquement à leurs messages.
Rapports de mise en Les rapports de mise en quarantaine des messages sont des e-mails
quarantaine de
envoyés aux utilisateurs ou aux administrateurs sélectionnés afin de
messages
leur fournir des informations sur tous les e-mails mis en quarantaine.
Ils leur permettent également de gérer à distance le contenu mis en
quarantaine.
4
Analyse de base de
données de boîtes
aux lettres à la
demande
L'analyse de base de données de boîtes aux lettres à la demande
permet aux administrateurs d'analyser manuellement des boîtes aux
lettres sélectionnées ou de planifier l'analyse en dehors des heures de
bureau. L'analyseur de base de données de boîtes aux lettres utilise
l'API des services Web Exchange pour se connecter à Microsoft
Exchange Server via les protocoles HTTP/HTTPS. L'analyseur utilise
également le parallélisme pendant l'analyse afin d'améliorer les
performances.
ESET Cluster
ESET Cluster permet de gérer plusieurs serveurs à partir d'un seul et
même emplacement. À l'instar d'ESET File Security pour Microsoft
Windows Server, l'ajout de nœuds de serveur à un cluster facilite la
gestion en raison de la distribution possible d'une configuration à tous
les membres du cluster. ESET Cluster peut être également utilisé pour
synchroniser les bases de données de mise en liste grise et le contenu
de la quarantaine locale des messages.
Exclusions des
processus
Exclut des processus spécifiques de l'analyse antimalware à l'accès.
L'analyse antimalware à l'accès peut entraîner des conflits dans
certaines situations, par exemple lors d'une sauvegarde ou de
migrations dynamiques de machines virtuelles. Les exclusions des
processus réduisent le risque de ces conflits potentiels et augmentent
les performances des applications exclues, ce qui a un effet positif sur
les performances globales et la stabilité de l'ensemble du système.
L'exclusion d'un processus/d'une application correspond à l'exclusion
de son fichier exécutable (.exe).
eShell (shell ESET)
eShell 2.0 est désormais disponible dans ESET Mail Security. eShell est
une interface à ligne de commande qui offre aux utilisateurs
expérimentés et aux administrateurs des options plus complètes pour
gérer les produits serveur ESET.
ESET PROTECT
Meilleure intégration à ESET PROTECT, y compris la possibilité de
planifier diverses tâches . Pour plus d'informations, consultez l'aide
en ligne d'ESET PROTECT .
Installation basée sur L'installation peut être personnalisée pour ne contenir que des
les composants
composants sélectionnés du produit.
Protection contre
l'usurpation de
l'expéditeur
Nouvelle fonctionnalité qui protège contre une pratique courante qui
consiste à falsifier les informations relatives à l'expéditeur d'un e-mail,
appelée « usurpation de l'identité de l'expéditeur ». Il est peu probable
que le destinataire de l'e-mail fasse la distinction entre un expéditeur
valide et un expéditeur dont l'identité a été falsifiée, car l'e-mail
semble généralement avoir été envoyé depuis une source légitime.
Vous pouvez activer et configurer la protection contre l'usurpation de
l'expéditeur dans Configurations avancées ou créer des règles
personnalisées.
Nouveautés
ESET Mail Security contient les nouvelles fonctionnalités suivantes :
• Véritable produit 64 bits
5
• Analyse des boîtes aux lettres Office 365
• Protection anti-hameçonnage des messages
• Protection de rétrodiffusion
• Amélioration des règles (de nouvelles conditions et actions ont été ajoutées comme la
condition Corps du messages)
• Amélioration de la mise en quarantaine des pièces jointes aux e-mails
• Rapports administrateur de mise en quarantaine de messages
• Synchronisation de la quarantaine locale de messages via ESET Cluster
• Journal de protection SMTP
• ESET Dynamic Threat Defense
• Prise en charge d'ESET Enterprise Inspector
• ESET RMM
• Exporter vers le serveur syslog (Arcsight)
• Isolement réseau
• Détection par l'apprentissage machine
• Journaux d'audit
• Micro mises à jour des composants du programme
• Protection contre l'usurpation de l'expéditeur
Flux des messages
Le diagramme ci-dessous montre le flux des messages dans Microsoft Exchange Server et
ESET Mail Security. Pour plus d'informations sur l'utilisation de ESET Dynamic Threat Defense
(EDTD) avec ESET Mail Security, consultez les pages d'aide EDTD .
6
Fonctionnalités de ESET Mail Security et
rôles d'Exchange Server
Le tableau ci-après permet d'identifier les fonctionnalités disponibles pour chaque version
prise en charge de Microsoft Exchange Server et des rôles. L'assistant d'installation de ESET
Mail Security vérifie votre environnement pendant l'installation. Une fois installé, ESET Mail
Security affiche ses fonctionnalités selon la version détectée d'Exchange Server et des rôles.
Analyse
de base
Protection de
Version
du
données
Protection Protection
d'Exchange Server
Règles transport de boîtes
antispam antihameçonnage
et rôle serveur
des
aux
messages lettres à
la
demande
Protection
de la base
de
données
de boîtes
aux lettres
Microsoft Exchange
Server 2007
(plusieurs rôles)
✓
7
✓
✓
✓
✓
✓
Analyse
de base
Protection de
Version
du
données
Protection Protection
d'Exchange Server
Règles transport de boîtes
antispam antihameçonnage
et rôle serveur
des
aux
messages lettres à
la
demande
Protection
de la base
de
données
de boîtes
aux lettres
Microsoft Exchange
Server 2007 (Edge)
✓
✓
✓
✓
✗
✗
Microsoft Exchange
Server 2007 (Hub)
✓
✓
✓
✓
✓
✗
Microsoft Exchange
Server 2007 (boîte
aux lettres)
✗
✓
✓
✗
✓
✓
Microsoft Exchange
Server 2010
(plusieurs rôles)
✓
✓
✓
✓
✓
✓
Microsoft Exchange
Server 2010 (Edge)
✓
✓
✓
✓
✗
✗
Microsoft Exchange
Server 2010 (Hub)
✓
✓
✓
✓
✓
✗
Microsoft Exchange
Server 2010 (boîte
aux lettres)
✗
✓
✓
✗
✓
✓
Microsoft Exchange
Server 2013
(plusieurs rôles)
✓
✓
✓
✓
✓
✗
Microsoft Exchange
Server 2013 (Edge)
✓
✓
✓
✓
✗
✗
Microsoft Exchange
Server 2013 (boîte
aux lettres)
✓
✓
✓
✓
✓
✗
Microsoft Exchange
Server 2016(Edge)
✓
✓
✓
✓
✗
✗
Microsoft Exchange
Server 2016 (boîte
aux lettres)
✓
✓
✓
✓
✓
✗
Microsoft Exchange
Server 2019 (Edge)
✓
✓
✓
✓
✗
✗
Microsoft Exchange
Server 2019 (boîte
aux lettres)
✓
✓
✓
✓
✓
✗
Windows Small
Business
Server 2011 SP1
✓
✓
✓
✓
✓
✓
8
Rôles d'Exchange Server
Rôle Edge et rôle Hub
Par défaut, les fonctionnalités antispam sont désactivées sur les serveurs de transport Edge
et Hub. Cette configuration est à privilégier dans une organisation Exchange avec serveur de
transport Edge. Il est recommandé que le serveur de transport Edge exécute le filtrage
antispam ESET Mail Security sur les messages avant leur transmission dans l'organisation
Exchange.
Le rôle Edge reste toutefois l'emplacement privilégié de l'analyse antispam, car il permet à
ESET Mail Security de rejeter les courriers indésirables dans les premières phases du
processus sans charger inutilement les couches réseau. Dans cette configuration, les
messages entrants sont filtrés par ESET Mail Security sur le serveur de transport Edge, afin
qu'ils puissent être envoyés en toute sécurité au serveur de transport Hub sans nécessiter de
filtrage supplémentaire.
Si votre organisation n'utilise pas de serveur de transport Edge et ne dispose que d'un
serveur de transport Hub, il est recommandé d'activer les fonctionnalités antispam de ce
dernier qui reçoit via SMTP les messages entrants provenant d'Internet.
REMARQUE
En raison des restrictions techniques de Microsoft Exchange Server 2007, ESET Mail
Security ne prend pas en charge le déploiement de Microsoft Exchange Server avec le
rôle de serveur d'accès au client autonome uniquement (CAS).
Connecteur POP3 et protection antispam
Les versions de Microsoft Windows Small Business Server (SBS) contiennent un connecteur
POP3 intégré natif qui permet au serveur de récupérer les messages électroniques des
serveurs POP3 externes. La mise en œuvre de ce connecteur POP3 natif de Microsoft varie
selon la version de Microsoft Windows Small Business Server.
ESET Mail Security prend en charge le connecteur POP3 de Microsoft SBS, à condition qu'il
soit configuré correctement. Les messages téléchargés via le connecteur POP3 de Microsoft
sont analysés pour rechercher la présence de courrier indésirable. La protection antispam de
ces messages est possible, car le connecteur POP3 transfère les messages électroniques d'un
compte POP3 vers Microsoft Exchange Server via SMTP.
ESET Mail Security a été testé avec des services de messagerie courants, tels que Gmail.com,
Outlook.com, Yahoo.com, Yandex.com et gmx.de, sur les systèmes SBS suivants :
• Microsoft Windows Small Business Server 2011 SP1
9
IMPORTANT
Si vous utilisez le connecteur POP3 intégré de Microsoft SBS et si tous les e-mails sont
analysés pour rechercher la présence de courrier indésirable, appuyez sur F5 pour
accéder à Configuration avancée, Serveur > Protection du transport des
messages > Paramètres avancés. Pour le paramètre Analyser également les
messages reçus des connexions authentifiées ou internes, sélectionnez
Protection antivirus, anti-hameçonnage et antispam dans la liste déroulante. La
protection antispam est ainsi assurée pour les messages récupérés des comptes POP3.
Vous pouvez également utiliser un connecteur POP3 tiers tel que P3SS (au lieu du connecteur
POP3 intégré de Microsoft SBS).
Modules de protection
Les fonctionnalités principales de ESET Mail Security englobent les modules de protection
suivants :
Antivirus
La protection antivirus est l'une des fonctions de base d'ESET Mail Security. La protection
antivirus vous prémunit des attaques contre le système en contrôlant les échanges de
fichiers et de courrier, ainsi que les communications Internet. Si une menace comportant un
code malveillant est détectée, le module Antivirus peut l'éliminer en la bloquant dans un
premier temps, puis en la nettoyant, en la supprimant ou en lamettant en quarantaine.
Antispam
10
La protection antispam intègre plusieurs technologies (RBL, DNSBL, empreintes digitales,
vérification de la réputation, analyse de contenu, règles, création manuelle de liste
blanche/noire, etc.) afin d'optimiser la détection des menaces par courrier électronique.
La protection antispam d'ESET Mail Security est une solution cloud. La plupart des bases de
données de cloud sont situées dans les centres de données ESET. Les services cloud
Antispam permettent une mise à jour rapide des données, ce qui accélère le temps de
réaction en cas d'apparition de nouveau courrier indésirable. Cela permet également de
supprimer des données incorrectes ou fausses des listes noires ESET. Les communications
avec les services cloud Antispam sont effectuées via un protocole propriétaire sur le port
53535, dans la mesure du possible. Si les communications ne sont pas possibles via le
protocole d'ESET, les services DNS sont utilisés à la place (port 53). L'utilisation de DNS n'est
toutefois pas aussi efficace, car elle nécessite l'envoi de plusieurs requêtes lors du processus
de classification du courrier indésirable d'un seul message électronique.
REMARQUE
Il est recommandé d'ouvrir le port TCP/UDP 53535 pour les adresses IP répertoriées dans
cet article de la base de connaissances . Ce port est utilisé par ESET Mail Security pour
envoyer des requêtes.
Normalement, aucun message électronique (ou une partie d'un message) n'est envoyé
pendant le processus de classification du courrier indésirable. Toutefois, si ESET LiveGrid®
est activé et que vous avez explicitement autorisé la soumission d'échantillons pour analyse,
seul un message marqué comme courrier indésirable (ou probablement courrier indésirable)
peut être envoyé afin de faciliter l'analyse approfondie et l'amélioration de la base de
données cloud.
Si vous souhaitez signaler un faux positif ou une classification négative, consultez cet article
de la base de connaissances pour plus d'informations.
En outre, ESET Mail Security peut également utiliser la méthode de mise en liste grise
(désactivée par défaut) du filtrage du courrier indésirable.
Anti-hameçonnage
ESET Mail Security comprend l'anti-hameçonnage qui empêche les utilisateurs d'accéder à
des pages Web connues pour le hameçonnage. Si des e-mails contiennent des liens menant
à des pages Web d'hameçonnage, ESET Mail Security utilise un analyseur sophistiqué qui
recherche ces liens (URL) dans le corps et l'objet des e-mails entrants. Les liens sont
comparés avec la base de données d'hameçonnage et les règles avec la condition Corps du
message sont évaluées.
Règles
11
La disponibilité des règles dans votre système pour la protection de la base de données de
boîtes aux lettres, l'analyse de la base de données de boîtes aux lettres à la demande et la
protection du transport des messages dépend de la version de Microsoft Exchange Server
installée avec ESET Mail Security sur le serveur.
Les règles permettent de définir manuellement les conditions de filtrage des messages
électroniques et les actions à exécuter sur les messages électroniques filtrés. Il existe
différents ensemble de conditions et d'actions. Vous pouvez créer différentes règles qui
peuvent être combinées. Si une règle utilise plusieurs conditions, ces dernières sont liées à
l'aide de l'opérateur logique AND. Par conséquent, la règle n'est exécutée que si toutes ses
conditions sont remplies. Si plusieurs règles sont créées, l'opérateur logique OR est
appliqué, ce qui signifie que le programme exécute la première règle dont les conditions
sont remplies.
Dans la séquence d'analyse, la première technique utilisée est la mise en liste grise, si elle
est activée. Les procédures suivantes utilisent toujours les techniques suivantes : protection
basée sur des règles définies par l'utilisateur, suivie d'une analyse antivirus et enfin d'une
analyse antispam.
Sécurité multicouche
ESET Mail Security assure une protection complexe à différents niveaux :
• Protection de la base de données de boîtes aux lettres
• Protection du transport des messages
• Analyse de base de données de boîtes aux lettres à la demande
• Analyse des boîtes aux lettres Office 365
REMARQUE
Pour obtenir une vue complète, reportez-vous à la matrice des fonctionnalités ESET Mail
Security et des versions de Microsoft Exchange Server et de leurs rôles.
Protection de la base de données de
boîtes aux lettres
L'analyse de boîtes aux lettres est déclenchée et contrôlée par le serveur Microsoft
Exchange. Les messages stockés dans la base de données du serveur Microsoft Exchange
Server sont analysés en continu. En fonction de la version de Microsoft Exchange Server, de
la version de l'interface VSAPI et des paramètres définis par l'utilisateur, l'analyse peut être
déclenchée dans l'un des cas suivants :
• Lorsque l'utilisateur accède à sa messagerie, dans un client de messagerie par
exemple (les messages sont toujours analysés avec le dernier moteur de détection) ;
• En arrière-plan, lorsque l'utilisation du serveur Microsoft Exchange Server est faible ;
• De manière proactive (en fonction de l'algorithme interne de Microsoft Exchange
Server).
12
REMARQUE
La protection de la base de données de boîtes aux lettres n'est pas disponible pour
Microsoft Exchange Server 2013, 2016 et 2019.
La protection de la base de données de boîtes aux lettres est disponible pour les systèmes
suivants :
Version
d'Exchange
Server et rôle
serveur
Analyse
de base
Protection de
du
données
Protection Protection
Règles transport de boîtes
antispam antihameçonnage
des
aux
messages lettres à
la
demande
Protection
de la base
de
données
de boîtes
aux lettres
Microsoft Exchange
Server 2007 (boîte ✗
aux lettres)
✓
✓
✗
✓
✓
Microsoft Exchange
Server 2007
✓
(plusieurs rôles)
✓
✓
✓
✓
✓
Microsoft Exchange
Server 2010 (boîte ✗
aux lettres)
✓
✓
✗
✓
✓
Microsoft Exchange
Server 2010
✓
(plusieurs rôles)
✓
✓
✓
✓
✓
Windows Small
Business
Server 2011 SP1
✓
✓
✓
✓
✓
✓
Ce type d'analyse peut être effectué sur une seule installation de serveur avec plusieurs rôles
Exchange Server sur un ordinateur (s'il comprend le rôle de serveur de boîte aux lettres ou
de serveur principal).
Protection du transport des messages
Le filtrage de messages au niveau du serveur SMTP est assuré par un plugin spécialisé. Dans
Microsoft Exchange Server 2007 et 2010, le plugin est enregistré en tant qu'agent de
transport dans les rôles Edge ou Hub du serveur Microsoft Exchange.
Le filtrage au niveau du serveur SMTP effectué par un agent de transport offre une protection
sous la forme de règles antivirus, antispam et définies par l'utilisateur. Contrairement au
filtrage VSAPI, le filtrage au niveau du serveur SMTP est effectué avant l'arrivée des
messages analysés dans la boîte aux lettres Microsoft Exchange Server.
13
Anciennement appelée filtrage de messages au niveau du serveur SMTP. Cette protection est
assurée par l'agent de transport et est uniquement disponible pour Microsoft Exchange
Server 2007 ou version ultérieure avec le rôle serveur de transport Edge ou serveur de
transport Hub. Ce type d'analyse peut être effectué sur une seule installation de serveur avec
plusieurs rôles Exchange Server sur un ordinateur (s'il comprend un des rôles de serveur
indiqués).
La protection du transport des messages est disponible pour les systèmes suivants :
Version
d'Exchange
Server et rôle
serveur
Analyse
de base
Protection de
du
données
Protection Protection
Règles transport de boîtes
antispam antihameçonnage
des
aux
messages lettres à
la
demande
Protection
de la base
de
données
de boîtes
aux lettres
Microsoft Exchange
✓
Server 2007 (Hub)
✓
✓
✓
✓
✗
Microsoft Exchange
✓
Server 2007 (Edge)
✓
✓
✓
✗
✗
Microsoft Exchange
Server 2010
✓
(plusieurs rôles)
✓
✓
✓
✓
✓
Microsoft Exchange
Server 2013
✓
(plusieurs rôles)
✓
✓
✓
✓
✗
Microsoft Exchange
✓
Server 2013 (Edge)
✓
✓
✓
✗
✗
Microsoft Exchange
Server 2013 (boîte ✓
aux lettres)
✓
✓
✓
✓
✗
Microsoft Exchange
✓
Server 2016(Edge)
✓
✓
✓
✗
✗
Microsoft Exchange
Server 2016 (boîte ✓
aux lettres)
✓
✓
✓
✓
✗
Microsoft Exchange
✓
Server 2019 (Edge)
✓
✓
✓
✗
✗
Microsoft Exchange
Server 2019 (boîte ✓
aux lettres)
✓
✓
✓
✓
✗
Windows Small
Business
Server 2011
✓
✓
✓
✓
✓
14
✓
Analyse de base de données de boîtes
aux lettres à la demande
Permet d'exécuter ou de planifier une analyse de la base de données de boîtes aux lettres
Exchange. Cette fonctionnalité est uniquement disponible pour Microsoft Exchange
Server 2007 ou version ultérieure avec le rôle serveur de boîte aux lettres ou serveur de
transport Hub. Ce type d'analyse s'applique également à une seule installation de serveur
avec plusieurs rôles Exchange Server sur un ordinateur (s'il comprend un des rôles de
serveur indiqués).
L'analyse de la base de données de boîtes aux lettres à la demande est disponible pour les
systèmes suivants :
Analyse
de base
Protection de
Version
du
données
Protection Protection
d'Exchange Server
Règles transport de boîtes
antispam antihameçonnage
et rôle serveur
des
aux
messages lettres à
la
demande
Protection
de la base
de
données
de boîtes
aux lettres
Microsoft Exchange
Server 2007
(plusieurs rôles)
✓
✓
✓
✓
✓
✓
Microsoft Exchange
Server 2007 (Hub)
✓
✓
✓
✓
✓
✗
Microsoft Exchange
Server 2007 (boîte
aux lettres)
✗
✓
✓
✗
✓
✓
Microsoft Exchange
Server 2010
(plusieurs rôles)
✓
✓
✓
✓
✓
✓
Microsoft Exchange
Server 2010 (Hub)
✓
✓
✓
✓
✓
✗
Microsoft Exchange
Server 2010 (boîte
aux lettres)
✗
✓
✓
✗
✓
✓
Microsoft Exchange
Server 2013
(plusieurs rôles)
✓
✓
✓
✓
✓
✗
Microsoft Exchange
Server 2013 (boîte
aux lettres)
✓
✓
✓
✓
✓
✗
15
Analyse
de base
Protection de
Version
du
données
Protection Protection
d'Exchange Server
Règles transport de boîtes
antispam antihameçonnage
et rôle serveur
des
aux
messages lettres à
la
demande
Protection
de la base
de
données
de boîtes
aux lettres
Microsoft Exchange
Server 2016 (boîte
aux lettres)
✓
✓
✓
✓
✓
✗
Microsoft Exchange
Server 2019 (boîte
aux lettres)
✓
✓
✓
✓
✓
✗
Windows Small
Business
Server 2011 SP1
✓
✓
✓
✓
✓
✓
Analyse des boîtes aux lettres Office 365
ESET Mail Security propose une fonctionnalité d'analyse pour les environnements Office 365
hybrides. Elle n'est disponible et visible dans ESET Mail Security que si vous disposez d'un
environnement Exchange hybride (sur site et dans le cloud). Les deux scénarios de routage
sont pris en charge par Exchange Online ou par le biais de l'organisation sur site. Pour plus
d'informations, consultez Routage du transport dans les déploiements hybrides d'Exchange
.
Vous pouvez analyser les boîtes aux lettres distantes et les dossiers publics Office 365
comme vous le feriez avec l'analyse de base de données de boîtes aux lettres à la demande.
16
L'exécution d'une analyse de base de données de messagerie complète peut entraîner une
charge système indésirable dans un environnement de grande taille. Pour éviter ce
problème, lancez une analyse sur des bases de données ou des boîtes aux lettres
spécifiques. Pour réduire davantage l'impact sur le système, utilisez le filtre temporel en haut
de la fenêtre. Par exemple, au lieu d'utiliser Analyser tous les messages, vous pouvez
sélectionner Analyser les messages modifiés au cours de la semaine dernière.
Il est recommandé de configurer un compte Office 365. Appuyez sur la touche F5 et accédez
à Serveur > Analyse de base de données de boîtes aux lettres à la demande.
Consultez également Détails du compte d'analyse de base de données.
Pour afficher l'activité de l'analyse des boîtes aux lettres Office 365, consultez Fichiers
journaux > Analyse de la base de données de boîtes aux lettres.
Configuration système requise
Systèmes d'exploitation pris en charge :
• Microsoft
• Microsoft
• Microsoft
• Microsoft
• Microsoft
17
Windows Server 2019 (Server Core et Expérience utilisateur)
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1 avec KB4474419 et KB4490628
(lisez la
compatibilité avec SHA-2 requise)
• Microsoft Windows Small Business Server 2011 SP1 (x64) avec KB4474419
et
KB4490628
REMARQUE
Sous Windows Server 2008 R2 SP1, le composant Protection du réseau est désactivé
par défaut dans l'installation Standard. Utilisez l'installation personnalisée pour
installer ce composant.
Versions de Microsoft Exchange Server prises en charge :
• Microsoft Exchange Server 2019 jusqu’à CU11
• Microsoft Exchange Server 2016 jusqu’à CU22
• Microsoft Exchange Server 2013 jusqu’à CU23 (CU1 et CU4 ne sont pas pris en
charge)
• Microsoft Exchange Server 2010 SP1, SP2, SP3 jusqu'à RU32
• Microsoft Exchange Server 2007 SP1, SP2, SP3
REMARQUE
Le rôle serveur d'accès au client autonome n'est pas pris en charge. Pour plus
d’informations, consultez les rôles serveur Exchange.
Il est recommandé de se référer aux fonctionnalités ESET Mail Security et aux rôles
Exchange Server pour identifier les fonctionnalités disponibles pour chaque version prise
en charge de Microsoft Exchange Server et des rôles.
Configuration matérielle minimale requise :
Composant
Configuration requise
Processeur
Cœur unique Intel ou AMD x86 ou x64
Mémoire
256 Mo de mémoire disponible
Disque dur
700 Mo d'espace disque disponible
Résolution d'écran 800 x 600 pixels ou supérieure
La configuration matérielle recommandée d'ESET Mail Security est identique pour Microsoft
Exchange Server. Pour plus d'informations, consultez les articles techniques Microsoft
suivants :
Microsoft Exchange Server 2007
Microsoft Exchange Server 2010
Microsoft Exchange Server 2013
Microsoft Exchange Server 2016
REMARQUE
Il est vivement recommandé d'installer le dernier Service Pack du système d'exploitation
Microsoft Server et de l'application serveur avant l'installation du produit de sécurité
ESET. Il est aussi conseillé d'installer les dernières mises à jour et les correctifs les plus
récents de Windows dès qu'ils sont disponibles.
18
Compatibilité SHA-2 requise
Microsoft a annoncé que l'algorithme SHA-1 (Secure Hash Algorithm 1) était devenu obsolète
et a commencé la migration vers SHA-2 au début de l'année 2019. Pour cette raison, tous les
certificats signés à l’aide de l’algorithme SHA-1 ne seront plus reconnus et entraîneront des
alertes de sécurité. La sécurité de l’algorithme de hachage SHA-1 est devenue
malheureusement moins sûre en raison des faiblesses détectées dans celui-ci, des
performances accrues des processeurs et de l’avènement du cloud computing.
L’algorithme de hachage SHA-2 (en tant que successeur de SHA-1) est maintenant la
méthode préférée pour garantir la durabilité de la sécurité SSL. Pour plus d’informations,
consultez l'article Microsoft Docs sur les algorithmes de hachage et de signature .
REMARQUE
Cette modification signifie que sous les systèmes d’exploitation ne prenant pas en charge
SHA-2, votre solution de sécurité ESET ne sera plus en mesure de mettre à jour ses
modules, y compris le moteur de détection. ESET Mail Security ne sera donc pas
entièrement fonctionnel et ne pourront pas garantir une protection suffisante.
Si vous exécutez Windows Server 2008 R2 SP1 ou Microsoft Windows Small Business
Server 2011 SP1, vérifiez que votre système est compatible avec SHA-2. Appliquez les
correctifs en fonction de la version de votre système d’exploitation :
• Microsoft Windows Server 2008 R2 SP1 : appliquez KB4474419
et KB4490628
(un redémarrage supplémentaire du système peut être nécessaire)
• Microsoft Windows Small Business Server 2011 SP1 (x64) : appliquez
KB4474419
nécessaire)
et KB4490628
(un redémarrage supplémentaire du système peut être
IMPORTANT
Une fois les mises à jour installées et le système redémarré, ouvrez l'interface utilisateur
graphique d'ESET Mail Security pour vérifier l'état de celui-ci. Si l'état est orange,
effectuez un autre redémarrage du système. L’état doit être vert, ce qui indique une
protection maximale.
REMARQUE
Il est vivement recommandé d'installer le dernier Service Pack du système d'exploitation
Microsoft Server et de l'application serveur. Il est aussi conseillé d'installer les dernières
mises à jour et les correctifs les plus récents de Windows dès qu'ils sont disponibles.
Préparation de l'installation
Nous vous recommandons de suivre quelques étapes pour préparer l'installation du produit :
• Après l'achat de ESET Mail Security, téléchargez le package d'installation .msi à partir
19
du site Web d'ESET .
• Vérifiez que le serveur sur lequel vous envisagez d'installer ESET Mail Security répond
aux exigences du système..
• Connectez-vous au serveur à l'aide d'un compte Administrateur.
REMARQUE
Notez que vous devez exécuter le programme d'installation à l'aide du compte
Administrateur intégré ou d'un compte Administrateur de domaine (si le compte
Administrateur local est désactivé). Tout autre utilisateur, même s'il est membre du
groupe Administrateurs, ne disposera pas de droits d'accès suffisants. Vous devez donc
utiliser le compte Administrateur intégré, car vous ne pourrez pas terminer l'installation
avec un autre compte d'utilisateur que l'administrateur local ou de domaine.
• Si vous allez effectuer une mise à niveau depuis une installation existante de ESET
Mail Security, il est recommandé de sauvegarder la configuration actuelle à l'aide de la
fonctionnalité Exporter les paramètres.
• Supprimez/désinstallez les logiciels tiers de votre système, si nécessaire. Il est
conseillé d'utiliser ESET AV Remover . Pour obtenir la liste des logiciels antivirus tiers
qu'ESET AV Remover peut supprimer, consultez cet article de la base de connaissances
.
• Si vous effectuez l'installation ESET Mail Security sous Windows Server 2016, Microsoft
recommande de désinstaller les fonctionnalités de Windows Defender et d'annuler
l'inscription à Windows Defender ATP afin d'éviter tout problème lié à la présence de
plusieurs antivirus sur un ordinateur.
REMARQUE
Si les fonctionnalités de Windows Defender sont présentes sur le serveur Windows
Server 2016 ou 2019 lors de l’installation d'ESET Mail Security, elles sont désactivées
par ESET Mail Security pour éviter les collisions entre la protection en temps réel et
d'autres produits antivirus. Les fonctionnalités de Windows Defender sont également
désactivées par ESET Mail Security à chaque démarrage/redémarrage du système.
Il existe une exception à cette situation : si vous effectuez une installation de composant
sans le composant Protection en temps réel du système de fichiers, les
fonctionnalités de Windows Defender sous Windows Server 2016 ne sont pas désactivées.
• Pour obtenir une vue complète, reportez-vous à la matrice des fonctionnalités ESET
Mail Security et des versions de Microsoft Exchange Server et de leurs rôles.
• Vous pouvez vérifier le nombre de boîtes aux lettres en exécutant l'outil de
comptage des boîtes aux lettres (pour plus d'informations, voir cet article de la base
de connaissances ). Une fois ESET Mail Security installé, il affiche le nombre actuel de
boîtes aux lettres dans la partie inférieure de la fenêtre Supervision.
Vous pouvez exécuter le programme d'installation de ESET Mail Security dans deux modes
20
d'installation :
• Interface utilisateur graphique (GUI)
Il s'agit du type d'installation recommandé dans un assistant d'installation.
• Installation silencieuse/sans assistance
Outre l'assistant d'installation, vous pouvez choisir d'installer ESET Mail Security de
manière silencieuse par le biais d'une ligne de commande.
IMPORTANT
Il est fortement recommandé, dans la mesure du possible, d'installer ESET Mail Security
sur un système d'exploitation récemment installé et configuré. Si vous n'avez pas besoin
de l'installer sur un système existant, il est recommandé de désinstaller la version
précédente d'ESET Mail Security, de redémarrer le serveur et d'installer ensuite la
nouvelle version d'ESET Mail Security.
• Mise à niveau vers une version plus récente
Si vous utilisez une ancienne version d'ESET Mail Security, vous pouvez sélectionner la
méthode de mise à niveau adaptée.
Une fois ESET Mail Security, installé ou mis à niveau, les activités suivantes sont présentées
ci-dessous.
• Activation du produit
Certains scénarios d'activation proposés dans la fenêtre d'activation peuvent varier en
fonction du pays et selon le mode de distribution.
• Tâches de post-installation
Consultez la liste des tâches recommandées que vous pouvez effectuer une fois ESET
Mail Security installé.
• Configuration de la protection du serveur
Vous pouvez affiner la configuration de ESET Mail Security en modifiant les paramètres
avancés de chaque fonctionnalité afin de répondre à vos besoins..
Étapes d'installation d'ESET Mail Security
Il s'agit d'un assistant d'installation standard de l'interface utilisateur graphique. Doublecliquez sur le package .msi, puis suivez les étapes pour installer ESET Mail Security :
1.Cliquez sur Suivant pour continuer ou sur Annuler pour interrompre l'installation.
2.L'assistant d'installation s'exécute dans une langue spécifiée en tant
qu'emplacement du domicile ou d'un paramètre Zone géographique >
Emplacement du système d'exploitation (ou emplacement actuel d'une zone
géographique et d'une langue > emplacement dans les anciens systèmes). Dans
21
le menu déroulant, sélectionnez la langue du produit dans laquelle installer ESET
Mail Security. La langue sélectionnée pour ESET Mail Security est indépendante de la
langue utilisée dans l'assistant d'installation.
3.Cliquez sur Suivant. Le Contrat de Licence de l'Utilisateur Final s'affiche. Après avoir
accepté les termes du Contrat de Licence de l'Utilisateur Final et la Politique de
confidentialité, cliquez sur Suivant.
22
4.Choisissez l'un des types d'installation disponibles (la disponibilité dépend du
système d'exploitation) :
Terminer
Permet d'installer toutes les fonctionnalités d'ESET Mail Security. Également appelée
installation intégrale. Il s'agit du type d'installation recommandé. Il est disponible pour
Windows Server 2012, 2012 R2, 2016 et 2019.
REMARQUE
si vous planifiez d'utiliser l'option Quarantaine locale pour les messages électroniques et
si vous ne souhaitez pas que les fichiers des messages en quarantaine soient stockés sur
le lecteur C:, remplacez le chemin d'accès au dossier de données par celui souhaité.
Sachez toutefois que tous les fichiers de données ESET Mail Security seront stockés à cet
emplacement.
Standard
Permet d'installer toutes les fonctionnalités d'ESET Mail Security recommandées.
Disponible pour Windows Server 2008 R2 SP1, Windows Small Business Server 2011 SP1.
REMARQUE
Sous Windows Server 2008 R2 SP1, l'installation du composant Protection du réseau
est désactivée par défaut (installation Standard). Si vous souhaitez que ce composant
soit installé, vous devez sélectionner l'option d'installation personnalisée.
23
Personnalisé
Permet de sélectionner les fonctionnalités d'ESET Mail Security à installer sur votre
système. La liste des modules et des fonctionnalités disponibles du produit s'affiche avant
le démarrage de l'installation. Ce type d'installation s'avère utile lorsque vous souhaitez
personnaliser ESET Mail Security et installer uniquement les composants dont vous avez
besoin.
24
5.Vous êtes invité à sélectionner l'emplacement d'installation d'ESET Mail Security. Par
défaut, le programme s'installe dans le dossier C:\Program Files\ESET\ESET Mail
Security. Cliquez sur Parcourir pour changer d'emplacement (non recommandé).
6.Cliquez sur Installer pour commencer l'installation. Lorsque l'installation est
terminée, l'interface utilisateur graphique d'ESET démarre et l'icône de barre d'état
s'affiche dans la zone de notification (partie système de la barre des tâches).
25
Modification d'une installation existante
Vous pouvez ajouter ou supprimer des composants inclus dans l'installation. Pour ce faire,
exécutez le fichier d'installation .msi que vous avez utilisé lors de l'installation initiale ou
accédez à Programmes et fonctionnalités (accessible à partir du Panneau de
configuration Windows), cliquez avec le bouton droit sur ESET Mail Security, puis sélectionnez
Modifier. Suivez ces étapes pour ajouter ou supprimer des composants.
Trois options sont disponibles : Vous pouvez modifier les composants installés, réparer
votre installation d'ESET Mail Security ou la supprimer (désinstaller) entièrement.
Si vous sélectionnez l'option Modifier, la liste des composants disponibles s'affiche.
Choisissez les composants à ajouter ou à supprimer. Vous pouvez ajouter/supprimer
simultanément plusieurs composants. Cliquez sur le composant et sélectionnez une option
dans le menu déroulant :
26
Après avoir sélectionné une option, cliquez sur Modifier pour effectuer les modifications.
REMARQUE
vous pouvez modifier à tout moment les composants installés en exécutant le
programme d'installation. Pour la plupart des composants, un redémarrage du serveur
n'est pas nécessaire pour prendre en compte la modification. L'interface utilisateur
redémarre et seuls les composants que vous avez choisi d'installer sont visibles. Pour les
composants qui nécessitent un redémarrage du serveur, Windows Installer vous demande
de redémarrer le serveur. Les nouveaux composants seront disponibles une fois que le
serveur sera en ligne.
Installation silencieuse/sans assistance
Exécutez la commande suivante pour lancer l'installation en silence (pas d'interface
utilisateur) via une ligne de commande : msiexec /i <packagename> /qn /l*xv msi.log
REMARQUE
Sous Windows Server 2008 R2 SP1, la fonctionnalité Protection du réseau n'est pas
installée.
Pour s'assurer que l'installation a bien été effectuée ou en cas de problèmes liés à
l'installation, utilisez l'observateur d'événements Windows pour consulter le journal des
applications (recherchez les entrées dans Source : MsiInstaller).
27
EXEMPLE
Installation complète sous un système 64 bits :
msiexec /i emsx_nt64.msi /qn /l*xv msi.log ADDLOCAL=NetworkProtection,RealtimeProtection,^
DeviceControl,DocumentProtection,Cluster,GraphicUserInterface,SysInspector,SysRescue,Rmm,eula
Lorsque l'installation est terminée, l'interface utilisateur graphique d'ESET démarre et l'icône
de barre d'état
s'affiche dans la zone de notification (partie système de la barre des
tâches).
EXEMPLE
Installation du produit dans la langue spécifiée (allemand) :
msiexec /i emsx_nt64.msi /qn ADDLOCAL=NetworkProtection,RealtimeProtection,^
DeviceControl,DocumentProtection,Cluster,GraphicUserInterface,^
SysInspector,SysRescue,Rmm,eula PRODUCT_LANG=1031 PRODUCT_LANG_CODE=de-de
Pour obtenir des informations supplémentaires et la liste des codes de langue, voir
Paramètres de langue dans Installation via la ligne de commande.
IMPORTANT
Lorsque vous spécifiez les valeurs du paramètre REINSTALL, vous devez répertorier les
fonctionnalités restantes qui ne sont pas utilisées en tant que valeurs du paramètre
ADDLOCAL ou REMOVE. Pour que l'installation par ligne de commande s'effectue
correctement, vous devez répertorier toutes les fonctionnalités en tant que valeurs des
paramètres REINSTALL, ADDLOCAL et REMOVE. Les opérations d'ajout ou de suppression
peuvent ne pas réussir si vous n'utilisez pas le paramètre REINSTALL.
Pour obtenir la liste complète des fonctionnalités, reportez-vous à la section Installation
via la ligne de commande.
EXEMPLE
Suppression complète (désinstallation) d'un système 64 bits :
msiexec /x emsx_nt64.msi /qn /l*xv msi.log
REMARQUE
Après une désinstallation réussie, le serveur redémarre automatiquement.
Installation via la ligne de commande
Les paramètres suivants doivent être utilisés uniquement avec le niveau Réduit, De
base ou Néant de l'interface utilisateur. Pour connaître les paramètres de ligne de
commande appropriés, reportez-vous à la documentation de la version de msiexec
utilisée.
Paramètres pris en charge :
APPDIR=<chemin>
• chemin : chemin d'accès valide au répertoire
• Répertoire d'installation de l'application.
• Par exemple : emsx_nt64.msi /qn APPDIR=C:\ESET\ ADDLOCAL=DocumentProtection
28
APPDATADIR=<chemin>
• chemin : chemin d'accès valide au répertoire
• Répertoire d'installation des données de l'application.
MODULEDIR=<chemin>
• chemin : chemin d'accès valide au répertoire
• Répertoire d'installation du module.
ADDLOCAL=<liste>
• Installation du composant : liste des fonctionnalités non obligatoires à installer
localement.
• Utilisation avec les packages .msi ESET : emsx_nt64.msi /qn ADDLOCAL=<list>
• Pour plus d'informations sur la propriété ADDLOCAL, voir
https://docs.microsoft.com/en-gb/windows/desktop/Msi/addlocal
• La liste ADDLOCAL est une liste séparée par des virgules qui contient toutes les
fonctionnalités à installer.
• Lors de la sélection d'une fonctionnalité à installer, le chemin d'accès entier (toutes
les fonctionnalités parent) doit être explicitement inclus.
REMOVE=<list>
• Installation de composants : fonctionnalité parente que vous ne souhaitez pas installer
localement.
• Utilisation avec les packages .msi ESET : emsx_nt64.msi /qn REMOVE=<list>
• Pour plus d'informations sur la propriété REMOVE, voir
https://docs.microsoft.com/en-gb/windows/desktop/Msi/remove
• La liste REMOVE est une liste séparée par des virgules qui contient les fonctionnalités
parentes qui ne seront pas installées (ou qui seront retirées en cas d'installation
existante).
• Elle est suffisante pour spécifier uniquement la fonctionnalité parente. Il n'est pas
nécessaire d'inclure explicitement chaque fonctionnalité enfant dans la liste.
ADDEXCLUDE=<liste>
• La liste ADDEXCLUDE est séparée par des virgules et contient les noms de toutes les
fonctionnalités à ne pas installer.
• Lors de la sélection d'une fonctionnalité à ne pas installer, le chemin d'accès dans son
intégralité (c.-à-d., toutes ses sous-fonctionnalités) et les fonctionnalités connexes
invisibles doivent être explicitement inclus dans la liste.
• Par exemple : emsx_nt64.msi /qn ADDEXCLUDE=<list>
REMARQUE
ADDEXCLUDE
ne peut pas être utilisé avec ADDLOCAL.
Présence de la fonctionnalité
29
• Obligatoire : la fonctionnalité est toujours installée.
• Facultative : la fonctionnalité peut être désélectionnée pour l'installation.
• Invisible : fonctionnalité logique obligatoire pour que les autres fonctionnalités
fonctionnent correctement.
Liste des fonctionnalités d'ESET Mail Security :
IMPORTANT
Le nom de toutes les fonctionnalités respecte la casse. Par exemple RealtimeProtection
n'équivaut pas à REALTIMEPROTECTION.
Nom de la fonctionnalité Présence de la fonctionnalité
SERVER
Obligatoire
RealtimeProtection
Obligatoire
MAILSERVER
Obligatoire
WMIProvider
Obligatoire
HIPS
Obligatoire
Updater
Obligatoire
eShell
Obligatoire
UpdateMirror
Obligatoire
DeviceControl
Facultative
DocumentProtection
Facultative
WebAndEmail
Facultative
ProtocolFiltering
Invisible
NetworkProtection
Facultative
IdsAndBotnetProtection
Facultative
Rmm
Facultative
WebAccessProtection
Facultative
EmailClientProtection
Facultative
MailPlugins
Invisible
Cluster
Facultative
_Base
eula
ShellExt
Facultative
_FeaturesCore
GraphicUserInterface
Facultative
SysInspector
Facultative
SysRescue
Facultative
EnterpriseInspector
Facultative
Si vous souhaitez supprimer l'une des fonctionnalités suivantes, vous devez supprimer
30
l'ensemble du groupe en spécifiant chaque fonctionnalité appartenant au groupe. Autrement,
la fonctionnalité sera pas supprimée. Voici deux groupes (chaque ligne représente un
groupe) :
GraphicUserInterface,ShellExt
NetworkProtection,WebAccessProtection,IdsAndBotnetProtection,ProtocolFiltering,MailP
lugins,EmailClientProtection
EXEMPLE
Excluez la section NetworkProtection (y compris les fonctionnalités enfant) de l'installation en utilisant le
paramètre REMOVE et en spécifiant une fonctionnalité parente uniquement :
msiexec /i emsx_nt64.msi /qn ADDLOCAL=ALL REMOVE=NetworkProtection
Vous pouvez aussi utiliser le paramètre ADDEXCLUDE, mais vous devez également spécifier toutes les
fonctionnalités enfant :
msiexec /i emsx_nt64.msi /qn ADDEXCLUDE=NetworkProtection,WebAccessProtection,IdsAndBotnetProtection,^
ProtocolFiltering,MailPlugins,EmailClientProtection
Si vous souhaitez qu'ESET Mail Security soit configuré automatiquement après l'installation,
vous pouvez spécifier des paramètres de configuration de base dans la commande
d'installation.
EXEMPLE
Installation d'ESET Mail Security et désactivation d'ESET LiveGrid® :
msiexec /i emsx_nt64.msi /qn /l*xv msi.log CFG_LIVEGRID_ENABLED=0
Liste de toutes les propriétés de configuration :
Basculer
Valeur
CFG_POTENTIALLYUNWANTED_ENABLED=1/0
0 : Désactivé, 1 : Activé
CFG_LIVEGRID_ENABLED=1/0
0 : Désactivé, 1 : Activé
FIRSTSCAN_ENABLE=1/0
0 : Désactiver, 1 : Activer
CFG_PROXY_ENABLED=0/1
0 : Désactivé, 1 : Activé
CFG_PROXY_ADDRESS=<ip>
Adresse IP du proxy.
CFG_PROXY_PORT=<port>
Numéro de port du proxy.
CFG_PROXY_USERNAME=<user>
Nom d'utilisateur pour l'authentification.
CFG_PROXY_PASSWORD=<pass>
Mot de passe pour l'authentification.
Paramètres de langue : Langue du produit (vous devez spécifier les deux paramètres)
Basculer
Valeur
PRODUCT_LANG=
LCID décimal (ID de paramètres régionaux), par exemple1033 pour
English - United States. Voir la liste des codes de langue .
PRODUCT_LANG_CODE=
LCID chaîne (nom de culture de la langue) en minuscule, par
exempleen-us pour English - United States. Voir la liste des codes de
langue .
31
Activation du produit
Une fois l'installation terminée, vous êtes invité à activer le produit.
Pour activer ESET Mail Security, vous pouvez utiliser l'une des méthodes suivantes :
Utiliser une clé de licence achetée
Chaîne unique au format XXXX-XXXX-XXXX-XXXX-XXXX qui sert à identifier le propriétaire
de la licence et à activer la licence.
ESET Business Account
Utilisez cette option si vous êtes enregistré et si vous disposez d'un compte ESET
Business Account (EBA) dans lequel la licence ESET Mail Security a été importée. Vous
pouvez également saisir les informations d'identification du compte Administrateur
sécurité que vous utilisez sur le portail ESET License Administrator .
Fichier de licence hors ligne
Fichier généré automatiquement qui est transféré au produit ESET afin de fournir des
informations de licence. Ce fichier de licence hors ligne est généré à partir du portail des
licences. Il est utilisé dans les environnements dans lesquelles l'application ne peut pas
se connecter à l'autorité de certification.
Cliquez sur Activer ultérieurement dans ESET PROTECT si votre ordinateur est membre
32
d'un réseau géré et si votre administrateur effectuera une activation à distance via ESET
PROTECT. Vous pouvez également utiliser cette option si vous souhaitez activer
ultérieurement ce client.
Dans la fenêtre principale du programme, sélectionnez Aide et assistance > Gérer la
licence pour gérer les informations de licence à tout moment. L'ID de licence publique
s'affiche ; il sert à identifier votre produit et votre licence auprès d'ESET. Le nom d'utilisateur
sous lequel l'ordinateur est enregistré est stocké dans la section À propos. Il est visible
lorsque vous cliquez avec le bouton droit sur l'icône
dans la partie système de la barre des
tâches.
Une fois ESET Mail Security activé, la fenêtre principale du programme s'ouvre et affiche
l'état actuel dans la page Supervision. Au début de l'utilisation, vous devrez indiquer si vous
souhaitez faire partie de l'initiative ESET LiveGrid®.
La fenêtre principale du programme affiche également des notifications sur d'autres
éléments tels que les mises à jour du système (Windows Update) ou les mises à jour du
moteur de détection. Lorsque vous avez répondu à tous ces points, l'état de surveillance
devient vert et indique Vous êtes protégé.
Pour activer votre copie d'ESET Mail Security directement à partir du programme, cliquez sur
l'icône
dans la partie système de la barre des tâches, puis sélectionnez Le produit n’est
pas activé. dans le menu. Vous pouvez également activer le produit dans le menu principal
sous Aide et assistance > Activer le produit ou État de surveillance > Le produit
n’est pas activé..
REMARQUE
ESET PROTECT peut activer des ordinateurs clients en silence à l'aide des licences
fournies par l'administrateur.
ESET Business Account
un compte ESET Business Account permet de gérer plusieurs licences. Si vous n'en avez pas,
cliquez sur Créer un compte pour être redirigé vers le portail ESET Business Account où
vous pouvez vous enregistrer.
REMARQUE
Pour plus d'informations, consultez le guide de l'utilisateur ESET Business Account
(EBA).
Si vous utilisez les informations d'identification de l'Administrateur Sécurité et que vous avez
oublié votre mot de passe, cliquez sur J'ai oublié mon mot de passe pour être redirigé vers
le portail d'ESET License Administrator. Saisissez votre adresse e-mail et cliquez sur Envoyer
pour la confirmer. Vous recevrez ensuite un message contenant des instructions pour
réinitialiser votre mot de passe.
33
Activation réussie
L'activation a été effectuée, et ESET Mail Security est désormais activé. À partir de
maintenant, ESET Mail Security recevra des mises à jour régulières pour identifier les
menaces les plus récentes et protéger votre ordinateur. Cliquez sur Terminé pour terminer
l'activation du produit.
Échec de l'activation
L'activation de ESET Mail Security n'a pas été effectuée. Vérifiez que vous avez saisi la clé de
licence correcte ou que vous avez attaché une licence hors ligne. Si vous disposez d'une
autre licence hors ligne, veuillez l'indiquer. Pour vérifier la clé de licence que vous avez
saisie, cliquez sur vérifier de nouveau la clé de licence ou saisir une autre licence.
Si vous ne parvenez pas à procéder à l'activation, reportez-vous à l'assistant de dépannage
d'activation .
Licence
Vous serez invité à sélectionner une licence associée à votre compte qui sera utilisée pour
ESET Mail Security. Cliquez sur Continuer pour effectuer l'activation.
Mise à niveau vers une version plus
récente
Les nouvelles versions d'ESET Mail Security offrent des améliorations ou apportent des
solutions aux problèmes que les mises à jour automatiques des modules ne peuvent pas
résoudre.
Méthodes de mise à niveau:
• Désinstallation/installation : suppression de l'ancienne version avant l'installation
de la nouvelle. Téléchargez la dernière version du fichier ESET Mail Security Exportez
les paramètres de la version existante de ESET Mail Security si vous souhaitez
conserver la configuration. Désinstallez ESET Mail Security et redémarrez le serveur.
Effectuez une nouvelle installation avec le programme d'installation que vous avez
téléchargé. Importez les paramètres pour charger votre configuration. Cette procédure
est recommandée lorsqu'un seul serveur exécute ESET Mail Security.
• Sur place : méthode de mise à niveau sans suppression de la version existante et
avec installation dessus de la nouvelle version de ESET Mail Security.
34
IMPORTANT
Il est nécessaire que vous n'ayez aucune mise à jour Windows en attente sur votre
serveur, ni aucun redémarrage en attente en raison de Windows Updates ou de toute
autre raison. Si vous essayez d'effectuer une mise à niveau sur place avec des mises à
jour Windows en attente ou de redémarrer l'ordinateur, la version existante de ESET Mail
Security peut ne pas être supprimée correctement. Vous rencontrerez également des
problèmes si vous décidez de supprimer manuellement l'ancienne version de ESET Mail
Security.
REMARQUE
Un redémarrage du serveur sera nécessaire pendant la mise à niveau de ESET Mail
Security.
• À distance : à utiliser dans des environnements réseau de grande taille administrés
par ESET PROTECT. Il s'agit essentiellement d'une nouvelle mise à niveau, mais
effectuée à distance. Cette méthode s'avère utile si plusieurs serveurs exécutent ESET
Mail Security.
• Assistant ESET Cluster : peut être également utilisé en tant que méthode de mise à
niveau. Cette méthode est recommandée pour 2 serveurs au minimum avec ESET Mail
Security. Il s'agit essentiellement d'une méthode de mise à niveau sur place, mais
effectuée via ESET Cluster. Une fois la mise à niveau terminée, vous pouvez continuer à
utiliser ESET Cluster et tirer parti de ses fonctionnalités.
IMPORTANT
Une mise à niveau depuis la version 4.x ne permet pas de conserver certains paramètres,
notamment les règles qui ne peuvent pas être migrés. Ceci est dû aux modifications
apportées aux règles dans les dernières versions du produit. Il est recommandé de noter
les paramètres des règles avant d'effectuer une mise à niveau depuis la version 4.x. Vous
pouvez configurer les règles une fois la mise à niveau terminée. Les nouvelles règles
offrent une plus grande flexibilité et plus de possibilités par rapport à celles de la version
précédente d'ESET Mail Security.
Vous trouverez ci-dessous les paramètres qui sont conservés des versions précédentes
d'ESET Mail Security:
• Configuration générale d'ESET Mail Security
Paramètres de protection antispam
• Tous les paramètres identiques dans les versions précédentes ; les nouveaux
paramètres utilisent les valeurs par défaut.
• Entrées de liste blanche et de liste noire.
REMARQUE
Une fois le produit ESET Mail Security mis à niveau, il est recommandé d'examiner tous
les paramètres pour vérifier qu'ils sont correctement configurés et qu'ils répondent à vos
besoins.
35
Mise à niveau via ESET PROTECT
ESET PROTECT permet de mettre à niveau plusieurs serveurs qui exécutent une version
ancienne de ESET Mail Security. L'avantage de cette méthode est qu'elle permet de mettre
simultanément à niveau un grand nombre de serveurs tout en s'assurant que ESET Mail
Security est configuré de manière identique (en cas de besoin).
La procédure est composée des phases suivantes :
• Mettez à niveau le premier serveur manuellement en installant la dernière version
de ESET Mail Security sur la version existante afin de conserver l'intégralité de la
configuration, notamment les règles, les diverses listes blanches et listes noires, etc.
Cette phase est effectuée localement sur le serveur exécutant ESET Mail Security.
• Demandez la configuration de la version de ESET Mail Security mise à niveau vers
la version 7.x, puis convertissez-la en stratégie dans ESET PROTECT. La stratégie
sera ultérieurement appliquée à tous les serveurs mis à niveau. Cette phase est
effectuée à distance à l'aide d'ESET PROTECT, comme celles présentées ci-dessous.
• Exécutez une tâche de désinstallation de logiciel sur tous les serveurs exécutant
l'ancienne version de ESET Mail Security.
• Exécutez une tâche d'installation de logiciel sur tous les serveurs sur lesquels la
dernière version de ESET Mail Security doit s'exécuter.
• Affectez la stratégie de configuration à tous les serveurs exécutant la dernière
version de ESET Mail Security.
Procédure détaillée :
1.Connectez-vous à l'un des serveurs exécutant ESET Mail Security, puis mettez-le à
niveau en téléchargeant et en installant la dernière version sur celle existante. Suivez
les étapes d'une installation standard. L'intégralité de la configuration d'origine de
l'ancienne version de ESET Mail Security est conservée pendant l'installation.
2.Ouvrez ESET PROTECT Web Console, sélectionnez un ordinateur client dans un
groupe statique ou dynamique, puis cliquez sur Afficher les détails.
36
3.Accédez à l'onglet Configuration
et cliquez sur le bouton Demander la
configuration pour recueillir l'intégralité de la configuration du produit administré.
L'obtention de la configuration prend quelques instants. Une fois que la dernière
configuration apparaît dans la liste, cliquez sur Produit de sécurité et choisissez
Ouvrir la configuration.
4.Créez une stratégie de configuration en cliquant sur le bouton Convertir en stratégie.
Saisissez le nom de la nouvelle stratégie, puis cliquez sur Terminer.
37
5.Accédez à Tâches client, puis sélectionnez la tâche Désinstaller un logiciel .
Lorsque vous créez la tâche de désinstallation, il est recommandé de redémarrer le
serveur après la désinstallation en cochant la case Redémarrage automatique si
nécessaire. Une fois la tâche créée, ajoutez tous les ordinateurs cibles souhaités pour
la désinstallation.
6.Vérifiez que ESET Mail Security est désinstallé sur toutes les cibles.
7.Créez une tâche Installer le logiciel
pour installer la dernière version de ESET Mail
Security sur toutes les cibles souhaitées.
8.Affectez la stratégie de configuration à tous les serveurs exécutant ESET Mail
Security (un groupe dans l'idéal).
Mise à niveau via ESET Cluster
La création d'un ESET Cluster permet de mettre à niveau plusieurs serveurs dont les versions
de ESET Mail Security sont anciennes. Il est recommandé d'utiliser la méthode d'ESET Cluster
si votre environnement comporte au moins 2 serveurs avec ESET Mail Security. L'autre
avantage de cette méthode de mise à niveau est que vous pouvez continuer à utiliser l'ESET
Cluster pour que la configuration de ESET Mail Security soit synchronisée sur tous les nœuds
membres.
Pour effectuer une mise à niveau à l'aide de cette méthode, procédez comme suit :
1.Connectez-vous à l'un des serveurs exécutant ESET Mail Security, puis mettez-le à
niveau en téléchargeant et en installant la dernière version sur celle existante. Suivez
38
les étapes d'une installation standard. L'intégralité de la configuration d'origine de
l'ancienne version de ESET Mail Security est conservée pendant l'installation.
2.Exécutez l'assistant ESET Cluster et ajoutez des nœuds de cluster (serveurs sur
lesquels vous souhaitez mettre à niveau ESET Mail Security). Si nécessaire, vous
pouvez ajouter d'autres serveurs qui n'exécutent pas encore ESET Mail Security (une
installation sera effectuée sur ceux-ci). Il est recommandé de conserver les paramètres
par défaut lors de la spécification du nom du cluster et du type d'installation (veillez à
ce que l'option Transmettre la licence aux nœuds sans produit activé soit
sélectionnée).
3.Examinez l'écran Journal de vérification des nœuds. Il répertorie les serveurs qui
disposent d'une ancienne version et pour lesquels le produit sera réinstallé. ESET Mail
Security sera également installé sur les serveurs ajoutés sur lesquels il n'est pas déjà
installé.
4.L'écran Installation des nœuds et activation du cluster indique l'avancement de
l'installation. Lorsque l'installation est terminée, des résultats similaires aux suivants
doivent s'afficher :
39
Si DNS ou le réseau n'est pas correctement configuré, l'erreur suivante peut s'afficher :
Échec de l'obtention du jeton d'activation du serveur. Essayez de réexécuter
l'assistant ESET Cluster. Il détruit le cluster et en crée un autre (sans réinstaller le produit).
L'activation doit alors s'effectuer correctement. Si le problème persiste, vérifiez les
paramètres DNS et réseau.
40
Installation dans un environnement à
cluster
Vous pouvez déployer ESET Mail Security dans un environnement à cluster (un cluster de
basculement par exemple). Nous vous recommandons d'installer ESET Mail Security sur un
nœud actif et de redistribuer l'installation sur un ou plusieurs nœuds passifs à l'aide de la
fonctionnalité ESET Cluster de ESET Mail Security. Outre l'installation, ESET Cluster sert
également de réplication de la configuration ESET Mail Security qui garantit la cohérence
entre les nœuds de cluster nécessaires au fonctionnement correct.
Terminal Server
Si vous installez ESET Mail Security sur un serveur Windows Server agissant comme
Terminal Server, vous souhaiterez peut-être désactiver l'interface utilisateur graphique ESET
Mail Security afin d'empêcher son démarrage à chaque connexion de l'utilisateur. Reportezvous à la section Désactivation de l'interface utilisateur graphique sur Terminal Server pour
accéder aux étapes de désactivation.
41
Environnement multiserveur/DAG
ESET Mail Security prend en charge les environnements multiserveur. Si votre infrastructure
se compose de plusieurs serveurs, par exemple un groupe de disponibilité de base de
données (DAG), vous pouvez installer ESET Mail Security sur chaque serveur Exchange
Server avec le rôle de boîte aux lettres.
La méthode la plus simple consiste à installer ESET Mail Security sur tous les serveurs à l'aide
d'ESET Cluster. Il est aussi recommandé d'activer l'option Utiliser ESET Cluster pour
stocker tous les messages en quarantaine sur un nœud dans les paramètres de la
quarantaine des messages. Si vous envisagez d'utiliser la mise en liste grise, activez l'option
Synchroniser les bases de données de mise en liste grise dans le cluster ESET.
Prise en main
La partie ci-dessous a pour but de vous aider à commencer à utiliser ESET Mail Security.
Tâches de post-installation
Destinée à vous aider pour la configuration initiale.
Surveillance
Donne une vue d'ensemble immédiate de l'état actuel de ESET Mail Security. En un clin
d'œil, vous pouvez déterminer si des problèmes requièrent votre attention.
Gérés via ESET PROTECT
Vous pouvez utiliser ESET PROTECT pour gérer ESET Mail Security à distance.
Tâches de post-installation
Vous trouverez ci-dessous les tâches recommandées qui couvrent la configuration initiale de
ESET Mail Security.
Thème
Description
Activation du produit
Vérifiez que ESET Mail Security est activé. Vous pouvez procéder à
l'activation de plusieurs manières différentes.
Mettre à jour
Une fois le produit activé, la mise à jour des modules s'exécute
automatiquement. Vérifiez l'état de la mise à jour pour déterminer si
la mise à jour a été correctement effectuée.
42
Thème
Description
Gestionnaire de
quarantaine de
messages
Découvrez le gestionnaire de quarantaine de messages, accessible
depuis l'interface graphique du programme. Cette fonctionnalité
permet de gérer les messages mis en quarantaine tels que le
courrier indésirable, les pièces jointes infectées contenant des
logiciels malveillants, les messages d'hameçonnage et les messages
filtrés par des règles. Vous pouvez afficher les détails de chaque
message et exécuter une action (libérer ou supprimer).
Interface Web
Quarantaine de
messages
L'interface Web Quarantaine de messages est une solution que vous
pouvez utiliser à la place du gestionnaire de quarantaine de
messages pour gérer à distance les éléments mis en quarantaine.
De plus, elle permet aux utilisateurs (destinataires d'e-mails) de
gérer leurs propres messages mis en quarantaine. Les utilisateurs
peuvent être informés du contenu mis en quarantaine grâce aux
rapports de mise en quarantaine des messages envoyés par e-mail.
Il est recommandé de configurer les rapports.
Rapports de mise en
quarantaine de
messages
Créez une tâche planifiée pour envoyer les rapports de mise en
quarantaine à vous-même et aux utilisateurs sélectionnés afin qu'ils
puissent libérer (diffuser) certains types de faux positifs et gérer le
contenu mis en quarantaine via l'interface Web Quarantaine de
messages. Les utilisateurs pourront accéder à l'interface Web en
cliquant sur un lien contenu dans les rapports de mise en
quarantaine des messages et en se connectant à l'aide de leurs
informations d'identification de domaine.
Antispam - Filtrage et
vérification
La fonctionnalité Antispam est une fonction sophistiquée basée sur
le cloud qui empêche vos utilisateurs (destinataires d'emails) de
recevoir du courrier indésirable. Il est recommandé d'utiliser le
filtrage et la vérification et d'ajouter vos adresses IP locales à la liste
des adresses IP ignorées. Les adresses IP de votre infrastructure
réseau seront alors ignorées lors de la classification. Vous pouvez
configurer et gérer les listes Approuvés, Bloqués et Ignorés pour
personnaliser le filtrage et la vérification. Vous pouvez également
activer la mise en liste grise si vous décidez d'utiliser cette
fonctionnalité.
Règles
Fonctionnalité puissante qui permet de filtrer les messages
électroniques en fonction de conditions et d'actions définies. Utilisez
des règles prédéfinies (modifiez-les si nécessaire) ou créez de
nouvelles règles personnalisées pour répondre à vos besoins. Les
règles peuvent être configurées pour n'importe quelle couche de
protection (protection du transport des messages, protection de la
base de données de boîtes aux lettres ou analyse de la base de
données de boîtes aux lettres à la demande).
Test antivirus
Vérifiez que la protection antivirus fonctionne correctement.
Test antispam
Vérifiez que la protection antispam fonctionne correctement.
Test antihameçonnage
Vérifiez que l'anti-hameçonnage fonctionne correctement.
43
Gérés via ESET PROTECT
ESET PROTECT est une application qui permet de gérer les produits ESET de manière
centralisée dans un environnement réseau. Le système de gestion des tâches ESET PROTECT
permet d'installer les solutions de sécurité ESET sur des ordinateurs distants et de réagir
rapidement face aux nouveaux problèmes et menaces. ESET PROTECT n'offre pas de
protection contre les codes malveillants ; le produit repose sur la présence des solutions de
sécurité ESET sur chaque client. Les solutions de sécurité ESET prennent en charge les
réseaux qui comprennent plusieurs types de plateformes. Votre réseau peut comprendre une
combinaison de systèmes d'exploitation actuels mobiles, Microsoft, Linux et Mac OS.
Pour plus d'informations sur ESET PROTECT, consultez l'aide en ligne d'ESET PROTECT .
Surveillance
L'état de protection indiqué dans la section Supervision vous informe sur le niveau de
protection et de sécurité actuel de votre ordinateur. La fenêtre principale affiche un résumé
de l'état de fonctionnement de ESET Mail Security.
L'icône verte d'état Vous êtes protégé indique qu'une protection maximale est assurée.
L'icône rouge indique des problèmes critiques ; la protection maximale de votre
ordinateur n'est pas assurée. Pour obtenir la liste des états de protection possibles, consultez
la section État.
44
L'icône orange indique que votre produit ESET nécessite votre attention en raison d'un
problème non critique.
Une coche verte s'affiche en regard des modules qui fonctionnent correctement. Un point
d'exclamation rouge ou une icône de notification orange s'affiche à côté des modules qui ne
fonctionnent pas correctement. Des informations supplémentaires sur le module s'affichent
dans la partie supérieure de la fenêtre. Une suggestion de solution pour corriger le module
est également affichée. Pour changer l'état d'un module, cliquez sur Configuration dans le
menu principal puis sur le module souhaité.
La page Supervision contient également des informations sur le système :
• Version du produit : numéro de version de ESET Mail Security.
• Nom du serveur : nom d'hôte ou nom FQDN de l'ordinateur.
• Système : informations sur le système d'exploitation.
• Ordinateur : informations sur le matériel.
• Durée d'exécution du serveur : indique la durée d'exécution du système. Il s'agit
de l'inverse du temps d'arrêt.
Nombre de boîtes aux lettres
ESET Mail Security détecte le nombre de boîtes aux lettres et affiche le décompte en fonction
de la détection :
• Domaine : nombre de toutes les boîtes aux lettres d'un domaine spécifique auquel
45
appartient Exchange Server.
• Local : indique le nombre de boîtes aux lettres (le cas échéant) du serveur Exchange
Server sur lequel ESET Mail Security est installé.
Si vous ne parvenez pas à résoudre le problème à l'aide des solutions suggérées, cliquez sur
Aide et assistance pour accéder aux fichiers d'aide ou pour effectuer des recherches dans
la base de connaissances ESET . Si vous avez besoin d'aide, vous pouvez envoyer une
demande d'assistance . L'assistance technique ESET répondra très rapidement à vos
questions et vous permettra de trouver une solution.
État
La fenêtre principale affiche un résumé de l'état de ESET Mail Security contenant des
informations détaillées sur votre système. Normalement, lorsque tout fonctionne
correctement, l'état de la protection est
vert. Il peut toutefois changer dans certains cas.
L'état de la protection devient
orange ou
rouge et un message d'avertissement
s'affiche si l'un des événements suivants se produit :
Message d'avertissement
Détail du message d'avertissement
Protection antivirus du
serveur de messagerie
désactivée
Cliquez sur Activer la protection antivirus dans l'onglet
Supervision ou réactivez l'option Protection antivirus et
antispyware dans le volet Configuration de la fenêtre
principale du programme.
Intégration du serveur de
messagerie désactivée
L'intégration du serveur de messagerie a été désactivée par
l'utilisateur. Cliquez sur Modifier la configuration de
l'intégration pour activer la protection du transport des
messages.
Le moteur antispam dispose
d'une connexion limitée au
cloud
Cette information indique des problèmes de connexion.
Vérifiez que les ports adéquats sont activés.
La détection d'applications
potentiellement indésirables
n'est pas configurée
Une application potentiellement indésirable est un
programme qui contient un logiciel publicitaire, installe des
barres d'outils ou dont les objectifs ne sont pas clairs. Dans
certains cas, un utilisateur peut estimer que les avantages
offerts par une application potentiellement indésirable
dépassent de loin les risques.
Produit non activé ou licence
arrivée à expiration
Cette information est indiquée par l'icône d'état de la
protection qui devient rouge. Le programme ne peut plus
effectuer de mise à jour après expiration de la licence. Suivez
les instructions de la fenêtre d'alerte pour renouveler la
licence.
ESET LiveGrid® est désactivé Le problème est signalé quand ESET LiveGrid® est désactivé
dans Configuration avancée.
46
Message d'avertissement
Détail du message d'avertissement
Protection en temps réel du
système de fichiers
interrompue
Cliquez sur Activer la protection en temps réel dans l'onglet
Supervision ou réactivez l'option Protection en temps
réel du système de fichiers dans l'onglet Configuration de
la fenêtre principale du programme.
Le système d’exploitation
n’est pas à jour
La fenêtre Mises à jour système affiche la liste des mises à
jour disponibles prêtes pour le téléchargement et
l'installation.
Votre appareil ne sera bientôt Pour obtenir des informations supplémentaires sur la mise à
plus protégé.
jour de votre version de Microsoft Windows, cliquez sur Voir
vos possibilités. Si vous exécutez Microsoft Windows
Server 2008 R2 SP1, vérifiez que votre système est
compatible avec SHA-2. Appliquez les correctifs en fonction
de la version de votre système d’exploitation.
Un redémarrage de
l'ordinateur est nécessaire
Si vous souhaitez redémarrer votre système immédiatement,
cliquez sur Redémarrer l'ordinateur. Si vous envisagez de
le redémarrer plus tard, cliquez sur Ignorer.
Protection contre les attaques Cliquez sur Activer la protection contre les attaques réseau
réseau (IDS) interrompue
(IDS) pour réactiver cette fonctionnalité.
Protection anti-botnet
interrompue
Cliquez sur Activer la protection anti-botnet pour réactiver
cette fonctionnalité.
Protection de l'accès Web
interrompue
Cliquez sur Activer la protection de l'accès Web dans l'onglet
Supervision ou réactivez l'option Protection de l'accès
Web dans le volet Configuration de la fenêtre principale du
programme.
Protection anti-hameçonnage Cette fonctionnalité n'est pas fonctionnelle, car d'autres
non fonctionnelle
modules du programme requis ne sont pas actifs.
Remplacement de la stratégie La configuration définie par la politique est remplacée de
actif
manière temporaire, probablement jusqu'à la fin du
dépannage. Si vous gérez ESET Mail Security à l'aide d'ESET
PROTECT et si une stratégie lui est affectée, le lien d'état
sera verrouillé (grisé) selon les fonctionnalités appartenant à
la stratégie.
Si vous ne parvenez pas à résoudre un problème, effectuez des recherches dans la base de
connaissances ESET . Si vous avez besoin d'aide, vous pouvez envoyer une demande
d'assistance . L'assistance technique ESET répondra très rapidement à vos questions et
vous permettra de trouver une solution.
Mise à jour Windows disponible
La fenêtre Mises à jour système affiche la liste des mises à jour disponibles prêtes pour le
téléchargement et l'installation. Le niveau de priorité de chaque mise à jour s'affiche à côté
de son nom. Cliquez avec le bouton droit sur une ligne de mise à jour et cliquez sur
Informations supplémentaires pour afficher une fenêtre contextuelle comportant des
informations supplémentaires :
47
Cliquez sur Exécuter une mise à jour système pour ouvrir la fenêtre Windows Update et
effectuer des mises à jour du système.
Isolement réseau
ESET Mail Security propose une option pour bloquer la connexion réseau du serveur appelée
isolement réseau. Dans certains scénarios extrêmes, vous souhaiterez peut-être isoler un
serveur du réseau comme mesure préventive. Ce peut être le cas, par exemple, si le serveur
a été infecté par un logiciel malveillant ou que l’ordinateur a été compromis.
Lorsque l'isolement réseau est activé, l'ensemble du trafic réseau est bloqué à l'exception du
trafic suivant :
• La connexion au contrôleur de domaine est conservée.
• ESET Mail Security parvient toujours à communiquer.
• S’il sont présents, ESET Management Agent et ESET Enterprise Inspector Agent
peuvent communiquer via le réseau.
Activez et désactivez l'isolement réseau à l'aide d’une commande eShell ou d’une tâche
client ESET PROTECT .
eShell
48
En mode interactif :
• Activer
l’isolement réseau : network advanced set status-isolation enable
• Désactiver
l’isolement réseau : network advanced set status-isolation disable
Vous pouvez également créer un fichier de commandes et l'exécuter à l’aide du mode
batch/script.
ESET PROTECT
• Activez l’isolement réseau via une tâche client .
• Désactivez l’isolement réseau via une tâche client .
Lorsque l'isolement réseau est activé, l'état d'ESET Mail Security devient rouge et le message
Accès réseau bloqué s'affiche.
L'utilisation de la valeur ESET Mail
Security
Cette partie contient une description détaillée de l'interface utilisateur du programme et
explique comment utiliser ESET Mail Security.
L'interface utilisateur permet d'accéder rapidement aux fonctionnalités couramment
utilisées :
• Surveillance
• Fichiers journaux
49
• Analyser
• Mettre à jour
• Quarantaine de messages
• Configuration
• Outils
Analyser
L'analyseur à la demande est un composant important d'ESET Mail Security. Il permet
d'analyser des fichiers et des répertoires de votre ordinateur. Pour assurer la protection du
réseau, il est essentiel que l'ordinateur soit analysé non seulement en cas de suspicion d'une
infection, mais aussi régulièrement dans le cadre de mesures de sécurité routinières. Nous
vous recommandons d'effectuer des analyses en profondeur de votre système de façon
régulière (une fois par mois, par exemple) afin de détectés les virus qui ne l'ont pas été par la
protection en temps réel du système de fichiers. Cela peut se produire si la protection en
temps réel du système de fichiers était désactivée au moment de l'infection, si le moteur de
détection n'a pas été mis à jour ou si le fichier n'a pas été détecté lors de son enregistrement
sur le disque.
Sélectionnez les analyses à la demande disponibles pour ESET Mail Security :
Analyse de base de données de boîtes aux lettres
Permet d'exécuter une analyse de base de données à la demande. Vous pouvez choisir
d'analyser des dossiers publics, des serveurs de messagerie et des boîtes aux lettres.
Vous pouvez également utiliser le Planificateur pour exécuter une analyse de base de
données à un moment spécifique ou lors d'un événement en particulier.
REMARQUE
Si vous exécutez Microsoft Exchange Server 2007, 2010, 2013 ou 2016, vous pouvez
choisir entre la protection de la base de données de boîtes aux lettres et une analyse de
base de données à la demande. Sachez toutefois qu'une seule de ces deux protections
peut être active à la fois. Si vous choisissez d'utiliser l'analyse de base de données à la
demande, vous devez désactiver l'intégration de la protection de la base de données de
boîtes aux lettres dans Configuration avancée, sous Serveur. Sinon, l'analyse de base de
données à la demande ne sera pas disponible.
Analyse des boîtes aux lettres Office 365
Permet d'analyser les boîtes aux lettres distantes dans les environnements hybrides
Office 365. Fonctionne de la même manière que l'analyse de base de données de boîte
aux lettres à la demande.
Analyse du stockage
Analyse tous les dossiers partagés sur le serveur local. Si l'option Analyse du stockage
n'est pas disponible, aucun dossier partagé ne se trouve sur le serveur.
50
Analyse de l'ordinateur
Permet de lancer rapidement une analyse de l'ordinateur et de nettoyer les fichiers
infectés sans intervention de l'utilisateur. L'analyse de l'ordinateur présente l'intérêt
d'être facile à utiliser et de ne pas nécessiter de configuration détaillée. L'analyse vérifie
tous les fichiers des disques locaux, et nettoie ou supprime automatiquement les
infiltrations détectées. Le niveau de nettoyage est automatiquement réglé sur sa valeur
par défaut. Pour plus d'informations sur les types de nettoyage, reportez-vous à la section
Nettoyage.
REMARQUE
Nous recommandons d'exécuter une analyse d'ordinateur au moins une fois par mois.
L'analyse peut être configurée comme tâche planifiée.
Analyse personnalisée
L'analyse personnalisée est une solution optimale si vous souhaitez spécifier des
paramètres d'analyse tels que les cibles et les méthodes d'analyse. L'analyse
personnalisée a l'avantage de permettre la configuration précise des paramètres
d'analyse. Les configurations peuvent être enregistrées dans des profils d'analyse définis
par l'utilisateur, qui sont utiles pour effectuer régulièrement une analyse avec les mêmes
paramètres.
Analyse de supports amovibles
Semblable à l'analyse intelligente, ce type d'analyse lance rapidement une analyse des
supports amovibles (par ex. CD/DVD/USB) qui sont connectés à l'ordinateur. Cela peut
être utile lorsque vous connectez une clé USB à un ordinateur et que vous souhaitez
l'analyser pour y rechercher les logiciels malveillants et autres menaces potentielles. Pour
lancer ce type d'analyse, vous pouvez aussi cliquer sur Analyse personnalisée, puis
sélectionner Supports amovibles dans le menu déroulant Cibles à analyser et cliquer
sur Analyser.
Analyse Hyper-V
Cette option s'affiche dans le menu uniquement si Hyper-V Manager est installé sur le
serveur qui exécute ESET Mail Security. L'analyse Hyper-V permet d'analyser les disques
d'une machine virtuelle sur un serveur Microsoft Hyper-V sans que le moindre agent ne
soit installé sur cette machine virtuelle spécifique.
Répéter la dernière analyse
Répète la dernière opération d'analyse avec les mêmes paramètres.
REMARQUE
L'option Répéter la dernière analyse n'est pas disponible si l'analyse de base de données
à la demande est présente.
51
Vous pouvez utiliser des options et afficher plus d'informations sur les états d'analyse :
Glisser-déposer des
fichiers
Vous pouvez également placer des fichiers par glisser-déposer dans
la fenêtre d'analyse de ESET Mail Security. Ces fichiers seront
analysés immédiatement à la recherche de virus.
Fermer/Fermer tout
Fermeture des messages donnés.
États d'analyse
Permet d'afficher l'état de l'analyse initiale. Cette analyse s'est
terminée ou a été interrompue par l'utilisateur.
Afficher le journal
Affiche des informations détaillées.
Plus d\'infos
Permet, pendant l'analyse, d'afficher des informations détaillées
telles que l'utilisateur qui a exécuté l'analyse, le nombre d'objets
analysés et la durée de l'analyse. Si l'analyse de base de
données à la demande est en cours, elle indique l'utilisateur qui a
exécuté l'analyse, mais pas le compte d'analyse de base de données
proprement dit qui est utilisé pour établir la connexion à EWS
(Exchange Web Services) pendant l'analyse.
Ouvrir la fenêtre
d'analyse
La fenêtre de progression de l'analyse indique l'état actuel de
l'analyse, ainsi que des informations sur le nombre de fichiers
contenant du code malveillant qui sont détectés.
52
Fenêtre Analyse et journal d'analyse
La fenêtre d'analyse affiche les objets actuellement analysés, y compris leur emplacement, le
nombre de menaces détectées (le cas échéant), le nombre d'objets analysés et la durée de
l'analyse. La partie inférieure de la fenêtre est un journal d'analyse qui indique le numéro de
version du moteur de détection, la date et l'heure du début de l'analyse et la sélection de la
cible.
Une fois l'analyse en cours, vous pouvez cliquer sur Suspendre si vous souhaitez
interrompre temporairement l'analyse. L'option Reprendre est disponible lorsque le
processus d'analyse est interrompu.
Faire défiler le journal de l’analyse
Laissez cette option activée pour que les anciens journaux défilent automatiquement et
pour consulter les journaux actifs dans la fenêtre Fichiers journaux.
REMARQUE
il est normal que certains fichiers, protégés par mot de passe ou exclusivement utilisés
par le système (en général pagefile.sys et certains fichiers journaux), ne puissent pas
être analysés.
Une fois l'analyse terminée, le journal d'analyse affiche toutes les informations pertinentes
liées à l'analyse spécifique.
53
Cliquez sur l'icône du commutateur
Filtrage pour ouvrir la fenêtre Filtrage du journal
dans laquelle vous pouvez définir des critères de filtrage ou de recherche. Pour afficher le
menu contextuel, cliquez avec le bouton droit sur une entrée de journal spécifique :
Action
Utilisation
Raccourci Voir
aussi
Filtrer les
enregistrements
identiques
Cette option active le filtrage des journaux et
affiche uniquement les enregistrements du
même type que celui sélectionné.
Ctrl + Maj +
F
Filtrer...
Après avoir cliqué sur cette option, la fenêtre
Filtrage des journaux permet de définir des
critères de filtrage pour des entrées de journal
spécifiques.
Activer le filtre
Active les paramètres du filtre. Lorsque vous
activez le filtrage pour la première fois, vous
devez définir des paramètres.
Désactiver le filtre
Désactive le filtrage (cette option revient à
cliquer sur le commutateur dans la partie
inférieure).
Copier
Copie les informations des entrées
sélectionnées/en surbrillance dans le Pressepapiers.
Copier tout
Copie des informations de toutes les entrées
dans la fenêtre.
54
Filtrage
des
journaux
Ctrl + C
Action
Utilisation
Exporter...
Exporte les informations des entrées
sélectionnées/en surbrillance dans un fichier
XML.
Exporter tout...
Exporte toutes les informations de la fenêtre
dans un fichier XML.
Raccourci Voir
aussi
Fichiers journaux
Les fichiers journaux contiennent les événements importants qui se sont produits, fournissent
un aperçu des résultats d'analyse, des menaces détectées, etc. Les journaux constituent un
outil puissant pour l'analyse système, la détection de menaces et le dépannage. La
consignation est toujours active en arrière-plan sans interaction de l'utilisateur. Les
informations sont enregistrées en fonction des paramètres de détail actifs. Il est possible de
consulter les messages texte et les journaux directement à partir de l'environnement ESET
Mail Security ou de les exporter pour les consulter à un autre endroit.
Sélectionnez le type de journal adéquat à partir du menu déroulant. Les journaux suivants
sont disponibles :
Détections
Le journal des détections contient des informations sur les infiltrations détectées par les
modules ESET Mail Security. Ces informations comprennent l'heure de détection, le nom
de l'infiltration, l'emplacement, l'action exécutée et le nom de l'utilisateur connecté au
moment où l'infiltration a été détectée. Double-cliquez sur une entrée du journal pour
afficher son contenu dans une fenêtre distincte. Au besoin, vous pouvez créer une
exclusion de détection : cliquez avec le bouton droit sur une entrée de journal (détection),
puis cliquez sur Créer une exclusion. L'assistant d’exclusion s'ouvre alors avec des
critères prédéfinis. S’il existe un nom de détection en regard d’un fichier exclu, cela
signifie que le fichier n’est exclu que pour la détection indiquée. Si ce fichier est infecté
par la suite par d’autres logiciels malveillants, il sera détecté.
Événements
Toutes les actions importantes exécutées par ESET Mail Security sont enregistrées dans
le journal des événements. Le journal des événements contient des informations sur les
événements qui se sont produits dans le programme. Il permet aux administrateurs
système et aux utilisateurs de résoudre des problèmes. Les informations qu'il contient
peuvent aider à trouver une solution à un problème qui s'est produit dans le programme.
Analyse de l'ordinateur
Tous les résultats des analyses sont affichés dans cette fenêtre. Chaque ligne correspond
à un seul contrôle d'ordinateur. Double-cliquez sur une entrée pour afficher les détails de
l'analyse correspondante.
55
Fichiers bloqués
Contient les entrées des fichiers ayant été bloqués et inaccessibles. Le protocole indique
la raison du blocage et le module source ayant bloqué le fichier, ainsi que l'application et
l'utilisateur ayant exécuté le fichier.
Fichiers envoyés
Contient les entrées des fichiers de la protection dans le cloud, d'ESET Dynamic Threat
Defense et d'ESET LiveGrid®.
Journaux d'audit
Contient les entrées des modifications de l'état de la configuration ou de la protection et
crée des instantanés pour une référence ultérieure. Cliquez avec le bouton droit de la
souris sur une entrée de type Modifications de paramètre, puis sélectionnez Afficher les
modifications dans le menu contextuel pour afficher des informations détaillées sur la
modification effectuée. Si vous souhaitez rétablir vos paramètres précédents,
sélectionnez Restaurer. Vous pouvez également utiliser Supprimer tout pour
supprimer les entrées de journal. Si vous souhaitez activer la journalisation d'audit,
accédez à Configuration avancée > Outils > Fichiers journaux > Journal d'audit.
HIPS
Contient des entrées de règles spécifiques qui sont marquées pour enregistrement. Le
protocole affiche l'application qui a appelé l'opération, le résultat (si la règle a été
autorisée ou bloquée), ainsi que le nom de la règle créée.
Protection du réseau
Contient les entrées des fichiers qui ont été bloqués par Anti-botnet et le système IDS
(protection contre les attaques réseau).
Sites Web filtrés
Liste des sites Web bloqués par la protection de l'accès Web et l'antihameçonnage des
messages. Ces journaux affichent l'heure, l'URL, l'utilisateur et l'application ayant ouvert
une connexion au site Web en question.
Contrôle de périphérique
Contient des enregistrements des supports amovibles ou périphériques qui ont été
connectés à l'ordinateur. Seuls les périphériques auxquels correspond une règle de
contrôle de périphérique seront enregistrés dans le fichier journal. Si la règle ne
correspond pas à un périphérique connecté, aucune entrée de journal ne sera créée pour
un périphérique connecté. Des détails figurent également tels que le type de
périphérique, le numéro de série, le nom du fournisseur et la taille du support (le cas
échéant).
56
Protection du serveur de messagerie
Tous les messages détectés par ESET Mail Security comme étant une infiltration ou du
courrier indésirable sont enregistrés ici. Ces journaux s'appliquent aux types de
protection suivants : antispam, antihameçonnage, règles, protection contre l’usurpation
d’identité de l’expéditeur et contre les logiciels malveillants. Lorsque vous double-cliquez
sur un élément, une fenêtre contextuelle s'ouvre. Elle contient des informations
supplémentaires sur l'e-mail telles que l'adresse IP, le domaine HELO, l'ID de message et
le type d'analyse indiquant la couche de protection sur laquelle il a été détecté. Vous
pouvez également consulter les résultats de l'analyse anti-logiciel malveillant,
antihameçonnage et antispam et voir la raison pour laquelle le message a été détecté et
si une règle a été activée.
REMARQUE
Tous les messages traités ne sont pas enregistrés dans un journal de la protection du
serveur de messagerie. Toutefois, tous les messages qui ont été modifiés (pièce jointe
supprimée, chaîne personnalisée ajoutée à un en-tête de message, etc.) sont écrits dans
le journal.
Analyse de base de données de boîtes aux lettres
Contient la version du moteur de détection, la date, l'emplacement analysé, le nombre
d'objets analysés, le nombre de menaces détectées, le nombre d'applications des règles
et l'heure d'achèvement.
Protection SMTP
Tous les messages qui ont été évalués à l'aide de la méthode de mise en liste grises sont
enregistrés dans ce journal, ainsi que les messages évalués par la protection de
rétrodiffusion et SPF. Chaque entrée contient le domaine HELO, l'adresse IP de
l'expéditeur et du destinataire, les états des actions (refusé, refusé (non vérifié) et
messages entrants vérifiés). Il existe une nouvelle action pour ajouter un sous-domaine
mise en liste grise dans la liste blanche (voir le tableau ci-dessous).
Analyse Hyper-V
Contient la liste des résultats d'analyse Hyper-V. Double-cliquez sur une entrée pour
afficher les détails de l'analyse correspondante.
57
Le menu contextuel (clic droit) permet de sélectionner une action sur l'entrée de journal
sélectionnée :
Action
Utilisation
Afficher
Affiche des détails supplémentaires sur le
journal sélectionné dans une nouvelle
fenêtre (identique à un double-clic).
Filtrer les
enregistrements
identiques
Cette option active le filtrage des journaux et Ctrl + Maj
affiche uniquement les enregistrements du + F
même type que celui sélectionné.
Filtrer...
Après avoir cliqué sur cette option, la fenêtre
Filtrage des journaux permet de définir des
critères de filtrage pour des entrées de
journal spécifiques.
Activer le filtre
Active les paramètres du filtre. Lorsque vous
activez le filtrage pour la première fois, vous
devez définir des paramètres.
Désactiver le filtre
Désactive le filtrage (cette option revient à
cliquer sur le commutateur dans la partie
inférieure).
Copier
Copie les informations des entrées
Ctrl + C
sélectionnées/en surbrillance dans le Pressepapiers.
58
Raccourci Voir aussi
Filtrage des
journaux
Action
Utilisation
Copier tout
Copie des informations de toutes les entrées
dans la fenêtre.
Supprimer
Supprime les entrées sélectionnées/en
surbrillance. Cette action requiert des
privilèges d'administrateur.
Supprimer tout
Supprime toutes les entrées de la fenêtre.
Cette action requiert des privilèges
d'administrateur.
Exporter...
Exporte les informations des entrées
sélectionnées/en surbrillance dans un fichier
XML.
Exporter tout...
Exporte toutes les informations de la fenêtre
dans un fichier XML.
Rechercher...
Ouvre la fenêtre Rechercher dans le journal
qui permet de définir des critères de
recherche. Vous pouvez utiliser la
fonctionnalité de recherche pour trouver un
enregistrement spécifique même lorsque le
filtrage est activé.
Suivant
Recherche l'occurrence suivante des critères F3
de recherche définis.
Précédent
Recherche l'occurrence précédente.
Créer une exclusion Pour exclure des objets du nettoyage à l'aide
du nom de la détection, du chemin d'accès
ou du hachage.
Raccourci Voir aussi
Suppr.
Ctrl + F
Rechercher
dans le
journal
Maj + F3
Créer une
exclusion
Ajouter l'adresse IP à
la liste blanche de
mise en liste grise
Ajoute l'adresse IP de l'expéditeur à la liste blanche des adresses IP.
La liste blanche des adresses IP figure dans la section Mise en liste
grise et SPF de l'option Filtrage et vérification. Cela s'applique aux
éléments consignés par la mise en liste grise ou SPF.
Ajouter le domaine à
la liste blanche de
mise en liste grise et
SPF
Ajoute le domaine de l'expéditeur à la liste blanche des domaines
en adresses IP. Seul le domaine est ajouté, le sous-domaine est
ignoré. Par exemple, si l'adresse de l'expéditeur est
sub.domain.com, seul domain.com est ajouté à la liste blanche. La
liste blanche des domaines en adresses IP figure dans la section
Mise en liste grise et SPF de l'option Filtrage et vérification. Cela
s'applique aux éléments consignés par la mise en liste grise.
Ajouter le sousdomaine à la liste
blanche de mise en
liste grise et SPF
Ajoute le sous-domaine de l'expéditeur à la liste blanche des
domaines en adresses IP. L'ensemble du domaine est ajouté, y
compris le sous-domaine (par exemple, sub.domain.com). Cela vous
donne plus de flexibilité pour le filtrage, si nécessaire. La liste
blanche des domaines en adresses IP figure dans la section Mise en
liste grise et SPF de l'option Filtrage et vérification. Cela s'applique
aux éléments consignés par la mise en liste grise.
59
Filtrage des journaux
La fonctionnalité de filtrage des journaux vous permet de trouver les informations que vous
recherchez, en particulier lorsqu'il existe de nombreuses entrées. Elle permet de limiter les
entrées de journal, par exemple, si vous recherchez un type spécifique d'événement, d'état
ou de période. Vous pouvez filtrer les entrées de journal en spécifiant certaines options de
recherche. Seules les entrées pertinentes (en fonction de ces options de recherche) sont
affichées dans la fenêtre Fichiers journaux.
Saisissez le mot-clé que vous recherchez dans le champ Rechercher le texte. Utilisez le
menu déroulant Rechercher dans les colonnes pour affiner votre recherche. Choisissez
une ou plusieurs entrées dans le menu déroulant Types d'entrée de journal. Définissez la
Période à partir de laquelle vous souhaitez afficher les résultats. Vous pouvez également
utiliser d'autres options de recherche, telles que Mot entier ou Respecter la casse.
Rechercher le texte
Saisissez une chaîne (mot ou partie de mot). Seuls les enregistrements contenant cette
chaîne sont affichés. Les autres enregistrements sont omis.
60
Rechercher dans les colonnes
Sélectionnez les colonnes à prendre en compte lors de la recherche. Vous pouvez cocher
une ou plusieurs colonnes à utiliser pour la recherche.
Types d'enregistrements
Choisissez un ou plusieurs types d'entrée de journal dans le menu déroulant :
• Diagnostic - Consigne toutes les informations nécessaires au réglage du programme
et de toutes les entrées ci-dessus.
• Entrées informatives - Enregistre tous les messages d'information, y compris les
messages de mises à jour réussies et toutes les entrées ci-dessus.
• Avertissements - Enregistre les erreurs critiques et les messages d'avertissement.
• Erreurs - Enregistre les erreurs du type « Erreur de téléchargement du fichier » et les
erreurs critiques.
• Critique - Consigne uniquement les erreurs critiques.
Période
Définissez la période pour laquelle vous souhaitez afficher les résultats :
• Non spécifié (option par défaut) - N'effectue aucune recherche dans la période ;
effectue une recherche dans l'intégralité du journal.
• Jour antérieur
• Dernière semaine
• Dernier mois
• Période - Vous pouvez indiquer la période exacte (De : et À :) afin de filtrer les
enregistrements correspondant à la période indiquée.
Mot entier
Utilisez cette case à cocher si vous souhaitez rechercher des mots complets afin d'obtenir
des résultats plus précis.
Respect de la casse
Activez cette option s'il est important que vous utilisiez des majuscules ou des minuscules
pendant le filtrage. Une fois que vous avez configuré vos options de filtrage/recherche,
cliquez sur OK pour afficher les entrées de journal filtrées ou sur Rechercher pour lancer
la recherche. La recherche dans les fichiers journaux s'effectue de haut en bas, à partir de
la position actuelle (de l'enregistrement sélectionné). La recherche s'arrête lorsqu'elle
trouve le premier enregistrement correspondant. Appuyez sur F3 pour rechercher
l'enregistrement suivant ou cliquez avec le bouton droit et sélectionnez Rechercher pour
affiner vos options de recherche.
61
Mise à jour
Dans la section Mise à jour, vous pouvez connaître l'état actuel de la mise à jour de ESET Mail
Security, notamment la date et l'heure de la dernière mise à jour. La mise à jour régulière
d'ESET Mail Security est la meilleure méthode pour conserver le niveau maximum de sécurité
de votre serveur. Le module de mise à jour veille à ce que le programme soit toujours à jour
de deux façons : en mettant à jour le moteur de détection et les composants système. La
mise à jour du moteur de détection et celle des composants du programme sont des
opérations importantes de la protection totale contre les attaques des codes malveillants.
REMARQUE
Si vous n'avez pas encore entré la clé de licence, vous ne pourrez pas recevoir de mises à
jour et vous serez invité à activer votre produit. Pour ce faire, accédez à Aide et
assistance > Activer le produit.
Version actuelle
Version de la build ESET Mail Security.
Dernière mise à jour
Dernière mise à jour - Date de la dernière mise à jour. Vérifiez qu'il s'agit d'une date
récente indiquant que les modules sont à jour.
62
Dernière recherche de mises à jour
Date de la dernière tentative de mise à jour des modules.
Afficher tous les modules
Permet d'afficher la liste des modules installés.
Rechercher des mises à jour
La mise à jour des modules est une opération importante de la protection totale contre
les attaques des codes malveillants.
Modifier la fréquence des mises à jour
Vous pouvez modifier la fréquence de la tâche du planificateur Mise à jour automatique
régulière.
Si vous ne recherchez pas des mises à jour dès que possible, l'un des messages d'erreur
suivants s'affiche :
Message d'erreur
Descriptions
La mise à jour des
Cette erreur apparaît après plusieurs tentatives infructueuses de
modules n'est plus à jour mise à jour des modules. Nous vous conseillons de vérifier les
paramètres de mise à jour. Cette erreur provient généralement de
l'entrée incorrecte de données d'authentification ou de la
configuration incorrecte des paramètres de connexion.
Échec de la mise à jour La clé de licence n'a pas été correctement saisie lors de la
des modules : le produit configuration des mises à jour. Nous vous recommandons de
n'est pas activé
vérifier vos données d'authentification. La fenêtre Configuration
avancée (F5) contient d'autres options de mise à jour. Dans le
menu principal, cliquez sur Aide et assistance > Gérer la licence
pour saisir une nouvelle clé de licence.
Une erreur s'est produite
pendant le
téléchargement des
fichiers de mise à jour
Cette erreur peut être due aux paramètres de connexion Internet.
Nous vous recommandons de vérifier votre connectivité à Internet
en ouvrant un site Web dans votre navigateur. Si le site Web ne
s'ouvre pas, cela est probablement dû au fait qu'aucune
connexion à Internet n'est établie ou que votre ordinateur a des
problèmes de connectivité. Consultez votre fournisseur de
services Internet si vous n'avez pas de connexion Internet active.
Échec de la mise à jour
des modules
Erreur 0073
Cliquez sur Mise à jour > Rechercher des mises à jour. Pour
plus d'informations, consultez cet article de la base de
connaissances .
REMARQUE
Les options du serveur proxy peuvent varier selon les profils de mise à jour. Si c'est le
cas, configurez les différents profils de mise à jour dans Configuration avancée (F5) en
cliquant sur Mise à jour > Profil.
63
Quarantaine de messages
Les e-mails et leurs composants, comme les pièces jointes, sont mis dans la Quarantaine des
messages au lieu de la quarantaine des fichiers classique. La Quarantaine des messages
permet de gérer plus facilement le courrier indésirable, les pièces jointes infectées contenant
des logiciels malveillants ou les messages d'hameçonnage. Il existe plusieurs raisons
différentes pour lesquelles les e-mails sont mis en quarantaine, en fonction du module de
protection ESET Mail Security qui gère le message (Anti-logiciels malveillants, Antispam ou
Règles).
Filtrage par icône
Vous pouvez utiliser des icônes pour filtrer les messages afin d'afficher les pièces jointes,
les e-mails ou les e-mails contenant des pièces jointes uniquement.
Intervalle de temps
Sélectionnez l'intervalle de temps pendant lequel vous souhaitez afficher les e-mails en
quarantaine. Lorsque vous sélectionnez Personnaliser, vous pouvez spécifier une plage
(Date de début et Date de fin).
Recherche rapide
Saisissez une chaîne dans la zone de texte pour filtrer les messages électroniques
affichés (toutes les colonnes font l'objet d'une recherche).
Motif
Utilisez les cases à cocher pour filtrer davantage par type (courrier indésirable, logiciel
malveillant, règle, hameçonnage ou identité de l'expéditeur usurpée).
IMPORTANT
Les données du gestionnaire de quarantaine de messages ne sont pas automatiquement
mises à jour. Il est recommandé de cliquer régulièrement sur Actualiser
afficher les éléments les plus récents dans la quarantaine de messages.
64
pour
Libérer
Libère l'e-mail pour le ou les destinataires d'origine à l'aide du répertoire de lecture et le
supprime de la quarantaine. Cliquez sur Oui pour confirmer l'action. Si l'élément mis en
quarantaine est une pièce jointe du dossier public ne prenant pas en charge les e-mails,
le bouton Libérer n'est pas disponible.
REMARQUE
Lorsque vous libérez un message électronique de la quarantaine, ESET Mail Security
ignore l'en-tête MIME To:, car il peut être facilement usurpé. Il utilise à la place les
informations de destinataire d'origine de la commande RCPT TO:, acquises pendant la
connexion SMTP. Le destinataire correct reçoit ainsi le message qui est libéré de la
quarantaine.
Supprimer
Supprime l'élément de la quarantaine. Cliquez sur Oui pour confirmer l'action. Les
éléments supprimés via l'interface utilisateur graphique sont retirés de la vue
Quarantaine, mais toujours stockés. Ceux-ci sont automatiquement supprimés
ultérieurement (après 3 jours par défaut).
Restaurer vers
Cette option permet de restaurer une ou plusieurs pièces jointes à un emplacement
spécifié. Elle est disponible uniquement pour les pièces jointes (elle sera grisée pour les
65
messages). Si vous devez traiter l'intégralité du message, utilisez la fonction Libérer à
cet effet.
Détails du message mis en quarantaine
Double-cliquez sur le message mis en quarantaine ou cliquez avec le bouton droit et
sélectionnez Détails. Une fenêtre indépendante s'ouvre alors. Elle contient des détails
sur le message électronique mis en quarantaine. Des informations supplémentaires sur
l'e-mail figurent également dans l'en-tête de courrier électronique RFC.
Détails de la pièce jointe mise en quarantaine
Lorsqu'une pièce jointe fait l'objet d'un double-clic, la boîte de dialogue des détails est
différente de celle d'un message. Les en-têtes RFC ne sont pas disponibles, mais une
zone comportant un texte d'enveloppe de pièce jointe est affichée. Vous pouvez saisir un
texte personnalisé d'enveloppe de pièce jointe lorsque vous la libérez de la mise en
quarantaine des messages.
Ces actions sont également disponibles dans le menu contextuel. Si vous le souhaitez,
cliquez sur Libérer, Supprimer ou Supprimer définitivement pour exécuter une action
sur un message mis en quarantaine. Cliquez sur Oui pour confirmer l'action. Si vous
choisissez Supprimer définitivement, le message est également supprimé du système de
fichiers, contrairement à l'option Supprimer qui supprime l'élément de la vue du
gestionnaire de quarantaine de messages.
66
Configuration
La fenêtre du menu Configuration contient les sections suivantes :
• Serveur
• Ordinateur
• Réseau
• Internet et messagerie
• Outils - Journalisation des données de diagnostic
Pour désactiver temporairement un module, cliquez sur la barre du curseur vert
en regard. Cette opération peut diminuer le niveau de protection de l'ordinateur.
située
Pour réactiver la protection d'un composant de sécurité désactivé, cliquez sur la barre du
curseur rouge
située en regard. Le composant revient à un état activé.
Pour accéder aux paramètres détaillés d'un composant de sécurité spécifique, cliquez sur
l'icône représentant un engrenage .
Importer/exporter les paramètres
Chargez les paramètres de configuration à l'aide d'un fichier de configuration .xml ou
67
enregistrez les paramètres de configuration actuels dans un fichier de configuration.
Configuration avancée
Configurez les paramètres et les options en fonction de vos besoins. Pour accéder à
l'écran Configuration avancée, appuyez sur F5 depuis n'importe où dans le
programme.
Serveur
La liste des composants que vous pouvez activer/désactiver à l'aide de la barre du curseur
s'affiche. Pour configurer les paramètres d'un élément spécifique, cliquez sur l'icône
représentant un engrenage .
Protection antivirus
Vous protège des attaques contre le système en contrôlant les échanges de fichiers et de
courrier, ainsi que les communications Internet.
Protection antispam
Intègre différentes technologies (RBL, DNSBL, empreintes digitales, vérification de la
réputation, analyse de contenu, règles, création manuelle de liste blanche/noire, etc.) afin
d'optimiser la détection des menaces par e-mail.
Protection antihameçonnage
Analyse le corps des messages entrants pour les liens de de hameçonnage (URL).
Exclusions automatiques
Identifie les applications serveur et les fichiers du système d'exploitation serveur
critiques, puis les ajoute automatiquement à la liste des exclusions. Cette fonctionnalité
réduira le risque de conflits potentiels et augmentera les performances globales du
serveur lors de l'exécution du logiciel de détection de menaces.
Cluster
Permet de configurer et activer ESET Cluster.
Pour désactiver temporairement un module, cliquez sur la barre du curseur vert
en regard. Cette opération peut diminuer le niveau de protection de l'ordinateur.
située
Pour réactiver la protection d'un composant de sécurité désactivé, cliquez sur la barre du
curseur rouge
située en regard. Le composant revient à un état activé.
68
Pour accéder aux paramètres détaillés d'un composant de sécurité spécifique, cliquez sur
l'icône représentant un engrenage .
Importer/exporter les paramètres
Chargez les paramètres de configuration à l'aide d'un fichier de configuration .xml ou
enregistrez les paramètres de configuration actuels dans un fichier de configuration.
Configuration avancée
Configurez les paramètres et les options en fonction de vos besoins. Pour accéder à
l'écran Configuration avancée, appuyez sur F5 depuis n'importe où dans le
programme.
Ordinateur
ESET Mail Security possède tous les composants nécessaires pour assurer la protection du
serveur en tant qu'ordinateur. Ce module permet d'activer/de désactiver et de configurer les
composants suivants :
Protection en temps réel du système de fichiers
Tous les fichiers ouverts, créés ou exécutés sur l'ordinateur sont analysés pour y
rechercher la présence éventuelle de code malveillant. Pour la protection en temps réel
du système de fichiers, il existe également une option pour configurer ou modifier les
exclusions. Cette option ouvre la fenêtre de configuration des exclusions dans laquelle
vous pouvez exclure de l'analyse des fichiers et des dossiers.
Contrôle de périphérique
Ce module permet d'analyser, de bloquer ou d'ajuster les filtres étendus/autorisations, et
de définir les autorisations des utilisateurs à accéder à un périphérique et à l'utiliser.
Système HIPS (Host Intrusion Prevention System)
Le système surveille les événements qui se produisent dans le système d'exploitation et
réagit en fonction d'un ensemble de règles personnalisées.
• Moteur d'analyse de mémoire avancé
• Bloqueur d'exploit
• Bouclier anti-ransomwares
Mode de présentation
Fonctionnalité destinée aux utilisateurs qui ne veulent pas être interrompus lors de
l'utilisation de leur logiciel. Ils ne souhaitent pas être dérangés par des fenêtres
contextuelles et veulent réduire les contraintes sur l'UC. Vous recevez un message
d'avertissement (risque potentiel de sécurité) et la fenêtre principale devient orange
69
lorsque le mode de présentation est activé.
Désactiver la protection antivirus et antispyware
Lorsque vous désactivez temporairement la protection antivirus et antispyware, vous
pouvez sélectionner la durée de désactivation du composant sélectionné dans le menu
déroulant et cliquer sur Appliquer pour désactiver le composant de sécurité. Pour
réactiver la protection, cliquez sur Activer la protection antivirus et antispyware ou
utilisez la barre du curseur.
Pour désactiver temporairement un module, cliquez sur la barre du curseur vert
en regard. Cette opération peut diminuer le niveau de protection de l'ordinateur.
située
Pour réactiver la protection d'un composant de sécurité désactivé, cliquez sur la barre du
curseur rouge
située en regard. Le composant revient à un état activé.
Pour accéder aux paramètres détaillés d'un composant de sécurité spécifique, cliquez sur
l'icône représentant un engrenage .
Importer/exporter les paramètres
Chargez les paramètres de configuration à l'aide d'un fichier de configuration .xml ou
enregistrez les paramètres de configuration actuels dans un fichier de configuration.
Configuration avancée
Configurez les paramètres et les options en fonction de vos besoins. Pour accéder à
l'écran Configuration avancée, appuyez sur F5 depuis n'importe où dans le
programme.
Réseau
Il autorise ou refuse les différentes connexions réseau en se basant sur vos règles de filtrage.
Il fournit une protection contre les attaques en provenance d'ordinateurs distants et permet
de bloquer certains services potentiellement dangereux.
Le module Réseau permet d'activer/de désactiver et de configurer les composants suivants :
Protection contre les attaques réseau (IDS)
Analyse le contenu du trafic réseau et protège contre les attaques réseau. Tout trafic
considéré comme nuisible sera bloqué..
Protection Anti-Botnet
Détection et blocage de la communication du botnet . Détecte rapidement et
70
précisément les logiciels malveillants sur le système.
Liste noire temporaire des adresses IP (adresses bloquées)
Afficher la liste des adresses IP qui ont été détectées comme source d'attaques et
ajoutées à la liste noire pour bloquer les connexions pendant une certaine période
Assistant de dépannage (applications ou périphériques récemment bloqués)
Permet de résoudre les problèmes de connectivité liés à la protection contre les attaques
réseau.
Pour désactiver temporairement un module, cliquez sur la barre du curseur vert
en regard. Cette opération peut diminuer le niveau de protection de l'ordinateur.
située
Pour réactiver la protection d'un composant de sécurité désactivé, cliquez sur la barre du
curseur rouge
située en regard. Le composant revient à un état activé.
Pour accéder aux paramètres détaillés d'un composant de sécurité spécifique, cliquez sur
l'icône représentant un engrenage .
Importer/exporter les paramètres
Chargez les paramètres de configuration à l'aide d'un fichier de configuration .xml ou
enregistrez les paramètres de configuration actuels dans un fichier de configuration.
Configuration avancée
Configurez les paramètres et les options en fonction de vos besoins. Pour accéder à
l'écran Configuration avancée, appuyez sur F5 depuis n'importe où dans le
programme.
Assistant de dépannage réseau
L'Assistant de dépannage surveille toutes les connexions bloquées et vous guide tout au long
du processus de dépannage pour corriger les problèmes de protection contre les attaques
réseau liées à des applications ou des appareils spécifiques. Il vous propose ensuite un
nouvel ensemble de règles à appliquer si vous les approuvez.
Internet et messagerie
Le module Internet et messagerie permet d'activer/de désactiver et de configurer les
composants suivants :
Protection de l'accès Web
71
Si cette option est activée, tout le trafic HTTP ou HTTPS est analysé afin d'y rechercher
des codes malveillants.
Protection du client de messagerie
Contrôle les communications reçues via les protocoles POP3 et IMAP.
Protection antihameçonnage
Vous protège des tentatives d'acquisition de mots de passe, de données bancaires ou
d'autres informations sensibles par des sites Web non légitimes se faisant passer pour
des sites Web dignes de confiance.
Pour désactiver temporairement un module, cliquez sur la barre du curseur vert
en regard. Cette opération peut diminuer le niveau de protection de l'ordinateur.
située
Pour réactiver la protection d'un composant de sécurité désactivé, cliquez sur la barre du
curseur rouge
située en regard. Le composant revient à un état activé.
Pour accéder aux paramètres détaillés d'un composant de sécurité spécifique, cliquez sur
l'icône représentant un engrenage .
Importer/exporter les paramètres
Chargez les paramètres de configuration à l'aide d'un fichier de configuration .xml ou
enregistrez les paramètres de configuration actuels dans un fichier de configuration.
Configuration avancée
Configurez les paramètres et les options en fonction de vos besoins. Pour accéder à
l'écran Configuration avancée, appuyez sur F5 depuis n'importe où dans le
programme.
Outils - Journalisation des données de
diagnostic
Vous pouvez activer la journalisation des données de diagnostic lorsque vous avez besoin
d'informations détaillées sur le comportement d'une fonctionnalité spécifique de ESET Mail
Security, lors de la résolution de problèmes par exemple. Lorsque vous cliquez sur l'icône
représentant un engrenage , vous pouvez configurer les fonctionnalités pour lesquelles les
journaux de diagnostic doivent être collectés.
Vous pouvez choisir la durée de l'activation (10 minutes, 30 minutes, 1 heure, 4 heures,
24 heures, jusqu’au redémarrage suivant du serveur ou de manière permanente). Une fois la
journalisation des données de diagnostic activée, ESET Mail Security collecte des journaux
72
détaillés selon les fonctionnalités activées.
Pour désactiver temporairement un module, cliquez sur la barre du curseur vert
en regard. Cette opération peut diminuer le niveau de protection de l'ordinateur.
située
Pour réactiver la protection d'un composant de sécurité désactivé, cliquez sur la barre du
curseur rouge
située en regard. Le composant revient à un état activé.
Pour accéder aux paramètres détaillés d'un composant de sécurité spécifique, cliquez sur
l'icône représentant un engrenage .
Importer/exporter les paramètres
Chargez les paramètres de configuration à l'aide d'un fichier de configuration .xml ou
enregistrez les paramètres de configuration actuels dans un fichier de configuration.
Configuration avancée
Configurez les paramètres et les options en fonction de vos besoins. Pour accéder à
l'écran Configuration avancée, appuyez sur F5 depuis n'importe où dans le
programme.
73
Importer et exporter les paramètres
La fonctionnalité Importer/Exporter les paramètres s'avère utile si vous devez sauvegarder la
configuration actuelle d'ESET Mail Security. Vous pouvez également utiliser la fonctionnalité
d'importation pour distribuer/appliquer les mêmes paramètres à d'autre(s) serveur(s) avec
ESET Mail Security. Les paramètres sont exportés dans un fichier .xml.
REMARQUE
Si vous ne disposez pas de suffisamment de droits pour écrire le fichier exporté dans le
répertoire spécifié, vous pouvez rencontrer une erreur lors de l'exportation des
paramètres.
Outils
Les fonctionnalités suivantes sont disponibles pour l'administration d'ESET Mail Security :
• Processus en cours
• Surveiller l'activité
• Statistiques de protection
74
• Cluster
• ESET Shell
• ESET Dynamic Threat Defense
• ESET SysInspector
• ESET SysRescue Live
• Planificateur
• Soumettre un échantillon pour analyse
• Quarantaine
Processus en cours
Les processus en cours affichent les programmes ou processus en cours d'exécution sur
votre ordinateur et informe ESET immédiatement et en permanence de l'existence de
nouvelles infiltrations. ESET Mail Security fournit des informations détaillées sur l'exécution
des processus afin de protéger les utilisateurs à l'aide de la technologie ESET LiveGrid®.
75
REMARQUE
Les applications connues marquées Meilleure réputation (vert) sont saines (répertoriées
dans la liste blanche) et sont exclues de l'analyse, ce qui améliore la vitesse de l'analyse
de l'ordinateur à la demande ou de la protection en temps réel du système de fichiers sur
votre ordinateur.
Réputation
Dans la majorité des cas, ESET Mail Security et la technologie ESET
LiveGrid® déterminent la réputation des objets sur la base d'une série de
règles heuristiques qui examinent les caractéristiques de chaque objet
(fichiers, processus, clés de registre, etc.), puis qui évaluent le potentiel
d'activité malveillante. Cette analyse heuristique attribue aux objets un
niveau de réputation allant de 9 - meilleure réputation (vert) à 0 - plus
mauvaise réputation (rouge).
Processus
Nom de l'image du programme ou du processus en cours d'exécution sur
l'ordinateur. Vous pouvez également utiliser le Gestionnaire de tâches
pour afficher tous les processus en cours d'exécution sur votre ordinateur.
Vous pouvez ouvrir le Gestionnaire de tâches en cliquant avec le bouton
droit de la souris sur une zone vide de la barre des tâches, puis en cliquant
sur Gestionnaire de tâches ou en appuyant sur les touches
Ctrl+Maj+Échap du clavier.
PID
ID des processus en cours d'exécution dans les systèmes d'exploitation
Windows.
Nombre
d'utilisateurs
Nombre d'utilisateurs utilisant une application donnée. Ces informations
sont collectées par la technologie ESET LiveGrid®.
76
Réputation
Dans la majorité des cas, ESET Mail Security et la technologie ESET
LiveGrid® déterminent la réputation des objets sur la base d'une série de
règles heuristiques qui examinent les caractéristiques de chaque objet
(fichiers, processus, clés de registre, etc.), puis qui évaluent le potentiel
d'activité malveillante. Cette analyse heuristique attribue aux objets un
niveau de réputation allant de 9 - meilleure réputation (vert) à 0 - plus
mauvaise réputation (rouge).
Heure de la
détection
Durée écoulée depuis la détection de l'application par la technologie ESET
LiveGrid®.
Nom de
l\'application
Nom attribué à un programme auquel appartient ce processus.
REMARQUE
Une application marquée Inconnu (orange) n'est pas nécessairement un logiciel
malveillant. Il s'agit généralement d'une nouvelle application. Vous pouvez soumettre un
échantillon pour analyse au laboratoire ESET si ce fichier vous semble suspect. Si le
fichier s'avère être une application malveillante, sa détection sera ajoutée à l'une des
prochaines mises à jour du moteur de détection.
Afficher les détails
Les informations suivantes apparaissent dans la partie inférieure de la fenêtre :
• Chemin - Emplacement de l'application sur l'ordinateur.
• Taille - Taille du fichier en Ko (kilo-octets) ou Mo (méga-octets).
• Description - Caractéristiques du fichier basées sur sa description du système
d'exploitation.
• Réseaux Sociaux - Nom du fournisseur ou du processus de l'application.
• Version - Informations fournies par l'éditeur de l'application.
• Produit - Nom de l'application et/ou nom de l'entreprise.
• Date de création - Date et heure de création d'une application.
• Date de modification - Date et heure de dernière modification d'une application.
Ajouter aux exclusions des processus
Cliquez avec le bouton droit sur un processus dans la fenêtre Processus en cours pour
l'exclure de l'analyse. Son chemin sera ajouté à la liste des exclusions des processus.
Surveiller l'activité
Pour regarder l'activité sous forme de graphique, sélectionnez une des activités suivantes
dans le menu déroulant :
Activité du système de fichiers
Quantité de données lues ou écrites L'axe vertical du graphique représente les données
lues (en bleu) et écrites (en vert).
77
Activité réseau
Quantité de données envoyées reçues. L'axe vertical du graphique représente les
données reçues (en bleu) et les données envoyées (en vert).
Activité du serveur de messagerie
Quantité de données traitées par la protection du transport (en bleu) et la protection de
base de données (en vert).
Au bas du graphique figure une chronologie qui enregistre en temps réel l'activité du
système de fichiers sur la base de l'intervalle sélectionné. Pour modifier la fréquence des
mises à jour, utilisez le menu déroulant Taux d'actualisation.
Les options disponibles sont les suivantes :
1 seconde
Le graphique est actualisé toutes les secondes et la chronologie
couvre les 10 dernières minutes.
1 minute (24 dernières Le graphique est actualisé toutes les secondes et la chronologie
heures)
couvre les 24 dernières heures.
1 heure (dernier mois) Le graphique est actualisé toutes les heures et la chronologie couvre
le dernier mois.
1 heure (mois
sélectionné)
78
Le graphique est actualisé toutes les heures et la chronologie couvre
le mois sélectionné. Sélectionnez un mois (et une année) dans le
menu déroulant pour voir l'activité. Cliquez sur Modifier.
Statistiques de protection
Pour afficher un graphique des données statistiques relatives aux modules de protection de
ESET Mail Security, sélectionnez le module de protection applicable dans le menu déroulant.
Les statistiques comprennent des informations telles que le nombre total d'objets analysés,
le nombre d'objets infectés, le nombre d'objets nettoyés et le nombre d'objets non infectés.
Placez le pointeur de la souris sur un objet en regard du graphique pour afficher uniquement
les données correspondant à cet objet dans le graphique. Pour effacer les informations de
statistique pour le module de protection actuel, cliquez sur Réinitialiser. Pour effacer les
données de tous les modules, cliquez sur Réinitialiser tout.
Les graphiques statistiques suivants sont disponibles dans ESET Mail Security :
Antivirus et antispyware
Affiche le nombre d'objets infectés et nettoyés.
Protection du système de fichiers
Affiche les objets lus ou écrits dans le système de fichiers.
Protection Hyper-V
Affiche le nombre d'objets infectés, nettoyés et non infectés (sur les systèmes dotés
79
d'Hyper-V uniquement).
Protection du client de messagerie
Affiche les objets envoyés ou reçus par les clients de messagerie.
Protection de l'accès Web et anti-hameçonnage
Affiche uniquement les objets téléchargés par des navigateurs Web.
Protection du serveur de messagerie
Affiche les statistiques du serveur de messagerie anti-logiciels malveillants.
Protection antispam du serveur de messagerie
Affiche l'historique des statistiques antispam. Le nombre Non analysé fait référence aux
objets qui ont été exclus de l'analyse (selon les règles, les messages internes, les
connexions authentifiées, etc.).
Protection par mise en liste grise du serveur de messagerie
Inclut les statistiques de blocage du courrier indésirable générées par la méthode de liste
grise.
Activité de la protection du transport des messages
Affiche les objets vérifiés/bloqués/supprimés par le serveur de messagerie.
Performances de la protection du transport des messages
Affiche les données traitées par VSAPI/l'agent de transport en o/s.
Activité de la protection de la base de données de boîtes aux lettres
Affiche les objets traités par VSAPI (nombre d'objets vérifiés, mis en quarantaine et
supprimés).
Performances de la protection de la base de données de boîtes aux lettres
Affiche les données traitées par VSAPI (nombre de moyennes différentes pour aujourd'hui,
les 7 derniers jours et moyennes depuis la dernière réinitialisation).
Cluster
ESET Cluster est une infrastructure de communication P2P de la gamme des produits ESET
pour Microsoft Windows Server. ESET Cluster convient particulièrement bien si vous disposez
80
d'une infrastructure Exchange avec plusieurs serveurs tels qu'un DAG.
Cette infrastructure permet aux produits serveur d'ESET de communiquer les uns avec les
autres et d'échanger des données (configuration et notifications, par exemple) et peut
synchroniser les bases de données de mise en liste grise et les données nécessaires pour le
fonctionnement correct d'un groupe d'instances de produit. Un exemple de ce type de
groupe peut être un groupe de nœuds dans un cluster de basculement Windows ou un
cluster d'équilibrage de la charge réseau doté de produits ESET et dans lequel la
configuration des produits doit être identique dans l'ensemble du cluster. ESET Cluster assure
cette cohérence entre les instances.
REMARQUE
Les paramètres de l'interface utilisateur et des tâches planifiées ne sont pas synchronisés
entre les nœuds d'ESET Cluster. Cela est fait exprès, par exemple pour empêcher
l'exécution d'une analyse planifiée de la base de données à la demande sur tous les
nœuds du groupe en même temps, sans entraîner de problèmes de performance inutiles.
Vous pouvez accéder à la page d'état ESET Cluster dans le menu principal en cliquant sur
Outils > Cluster. Lorsque ce produit est configuré correctement, la page d'état a cet
aspect :
REMARQUE
La création d'ESET Clusters entre ESET Mail Security et ESET File Security pour Linux n'est
pas pris en charge.
81
Lors de la configuration d'ESET Cluster, vous pouvez ajouter des nœuds de deux manières :
Détecter auto.
Ajoute automatiquement à ESET Cluster les nœuds déjà membres d'un cluster de
basculement Windows/d'équilibrage de la charge réseau.
Parcourir
Vous pouvez ajouter manuellement des nœuds en saisissant les noms des serveurs
(membres d'un même groupe de travail ou d'un même domaine).
REMARQUE
Les serveurs ne doivent pas obligatoirement être membres d'un cluster de
basculement Windows/d'équilibrage de la charge réseau pour utiliser la fonctionnalité
ESET Cluster. Il n'est pas nécessaire que votre environnement comporte un cluster de
basculement Windows/d'équilibrage de la charge réseau pour que vous puissiez utiliser
les clusters ESET Cluster.
Une fois que vous avez ajouté des nœuds à ESET Cluster, l'étape suivante consiste à installer
ESET Mail Security sur chaque nœud. Cette installation est effectuée automatiquement lors
de la configuration d'ESET Cluster. Informations d'identification nécessaires pour une
installation à distance d'ESET Mail Security sur d'autres nœuds du cluster :
Domaine
Informations d'identification de l'administrateur du domaine.
Groupe de travail
Vous devez veiller à ce que tous les nœuds utilisent les mêmes informations
d'identification de compte d'administrateur local.
Dans ESET Cluster, vous pouvez également utiliser une combinaison de nœuds
automatiquement ajoutés en tant que membres d'un cluster de basculement
Windows/d'équilibrage de la charge réseau existant et de nœuds manuellement ajoutés (à
condition qu'ils se trouvent dans le même domaine).
IMPORTANT
Il n'est pas possible de combiner des nœuds de domaine et des nœuds de groupe de
travail.
L'utilisation d'ESET Cluster exige également que l'option Partage de fichiers et
d'imprimantes soit activée dans le Pare-feu Windows avant que ESET Mail Security ne soit
poussé sur les nœuds d'ESET Cluster.
Vous pouvez ajouter à tout moment de nouveaux nœuds à un ESET Cluster existant en
exécutant l'Assistant Cluster.
82
Importer des certificats
Les certificats servent à fournir une authentification forte de machine à machine lorsque
le protocole HTTPS est utilisé. Il existe une hiérarchie de certificats indépendante pour
chaque cluster ESET. La hiérarchie possède un certificat racine et un ensemble de
certificats de nœud signés par le certificat racine. La clé privée du certificat racine est
détruite après la création de tous les certificats de nœud. Lorsque vous ajoutez un
nouveau nœud au cluster, une nouvelle hiérarchie de certificats est créée. Accédez au
dossier qui contient les certificats (qui ont été générés pendant l'Assistant Cluster).
Sélectionnez le fichier de certificat et cliquez sur Ouvrir.
Détruire le cluster
Vous pouvez démanteler des ESET Cluster. Chaque nœud écrit alors un enregistrement
sur la destruction d'ESET Cluster dans son journal des événements. Ensuite, toutes les
règles du pare-feu ESET sont supprimées du Pare-feu Windows. Les anciens nœuds
reviennent alors à leur état initial et peuvent être réutilisés dans un autre ESET Cluster, si
nécessaire.
Assistant Cluster - Sélectionner des
nœuds
Lors de la configuration d'un ESET Cluster, la première étape consiste à ajouter des nœuds.
Vous pouvez utiliser l'option Détection automatique ou la commande Parcourir pour
ajouter des nœuds. Vous pouvez également saisir le nom du serveur dans la zone de texte,
puis cliquer sur le bouton Ajouter.
Détecter auto.
Ajoute automatiquement les nœuds d'un Windows Failover Cluster/d'un Network Load
Balancing (NLB) Cluster existant. Le serveur à partir duquel vous créez l'ESET Cluster doit
être membre de ce Windows Failover Cluster/d'NLB Cluster pour pouvoir ajouter
automatiquement les nœuds. La fonctionnalité Autoriser le contrôle à distance doit
être activée dans les propriétés du cluster d'équilibrage de la charge réseau afin qu' ESET
Cluster puisse détecter correctement les nœuds. Une fois que vous disposez de la liste
des nœuds nouvellement ajoutés, vous pouvez supprimer les nœuds indésirables.
Parcourir
Permet de rechercher des ordinateurs et de les sélectionner dans un Domain ou un
Workgroup. Cette méthode permet d'ajouter manuellement des nœuds à ESET Cluster.
Une autre méthode pour ajouter des nœuds consiste à saisir le nom d'hôte du serveur à
ajouter, puis à cliquer sur Ajouter.
Charger
83
Permet d'importer la liste des nœuds depuis le fichier.
Pour modifier des nœuds de cluster dans la liste, sélectionnez le nœud que vous souhaitez
supprimer, puis cliquez sur Supprimer. Pour effacer entièrement la liste, cliquez sur
Supprimer tout.
Si vous disposez déjà d'un ESET Cluster, vous pouvez à tout moment y ajouter de nouveaux
nœuds. La procédure est identique à celle décrite ci-dessus.
REMARQUE
Tous les nœuds qui sont conservés dans la liste doivent être en ligne et accessibles. Par
défaut, Localhost est ajouté aux nœuds du cluster.
Assistant Cluster - Paramètres du cluster
Définissez le nom d'un cluster et d'autres paramètres propres au réseau (si nécessaire).
Nom du cluster
Saisissez un nom pour le cluster, puis cliquez sur Suivant.
Port d'écoute - Le port par défaut est 9777
84
Si vous utilisez déjà le port 9777 dans votre environnement réseau, indiquez un autre
numéro de port qui ne sera pas utilisé.
Ouvrir le port dans le Pare-feu Windows
Lorsque cette option est sélectionnée, une règle est créée dans le Pare-feu Windows.
Assistant Cluster - Paramètres de
configuration du cluster
Définissez le mode de distribution des certificats et l'installation ou non du produit sur les
autres nœuds.
Distribution de certificats
• Automatique à distance : le certificat est installé automatiquement.
• Manuelle : cliquez sur Générer et sélectionnez le dossier dans lequel stocker les
certificats. Les certificats suivants sont créés : un certificat racine et un certificat pour
chaque nœud, notamment pour celui (ordinateur local) à partir duquel vous configurez
ESET Cluster. Pour inscrire le certificat sur l'ordinateur local, cliquez sur Oui.
Installation du produit sur les autres nœuds
• Automatique à distance - ESET Mail Security est installé automatiquement sur
chaque nœud (à condition que l'architecture des systèmes d'exploitation soit identique).
• Manuelle : installez manuellement ESET Mail Security (lorsque les architectures des
systèmes d'exploitation sont différentes sur certains nœuds, par exemple).
Transmettre la licence aux nœuds sans produit activé
ESET Security active automatiquement les solutions ESET installées sur les nœuds sans
licence.
REMARQUE
Pour créer un ESET Cluster avec une architecture de système d'exploitation mixtes (32 et
64 bits), installez ESET Mail Security manuellement. Les systèmes d'exploitation utilisés
sont détectés lors des étapes suivantes. Ces informations sont alors affichées dans la
fenêtre de journal.
Assistant Cluster - Vérification des
85
nœuds
Une fois les informations d'installation spécifiées, une vérification des nœuds est exécutée.
Les informations suivantes sont affichées dans le journal de vérification des nœuds :
• Tous les nœuds existants sont en ligne.
• Les nouveaux nœuds sont accessibles
• Le nœud est en ligne.
• Le partage administratif est accessible.
• Une exécution à distance est possible.
• Les versions de produit correctes (ou aucun produit) sont installées.
• Les nouveaux certificats sont présents.
Le rapport est disponible une fois que la vérification des nœuds est terminée :
86
Assistant Cluster - Installation des
nœuds
Lors de l'installation sur une machine distante pendant l'initialisation d'ESET Cluster,
l'assistant tente de trouver le programme d'installation dans le répertoire
%ProgramData%\ESET\ESET Security\Installer. Si le package d'installation ne figure pas dans
ce répertoire, le système vous demande de localiser le fichier du programme d'installation.
87
REMARQUE
Lorsque vous tentez d'utiliser une installation à distance automatique pour un nœud doté
d'une autre architecture (32 bits par rapport à 64 bits), le programme le détecte et vous
invite à effectuer une installation manuelle.
88
Une fois que vous avez correctement configuré ESET Cluster, il apparaît comme étant activé
dans la page Configuration > Serveur.
REMARQUE
Si une ancienne version de ESET Mail Security est déjà installée sur certains nœuds, le
système vous informe que la version la plus récente est requise sur ces machines. La
mise à jour de ESET Mail Security peut entraîner un redémarrage automatique.
89
Vous pouvez en outre vérifier son état actuel dans la page d'état du cluster (Outils >
Cluster).
ESET Shell
eShell (abréviation d'ESET Shell) est une interface à ligne de commande pour ESET Mail
Security. eShell s'utilise en remplacement de l'interface utilisateur graphique et dispose de
toutes les fonctionnalités et options proposées normalement par cette interface. eShell vous
permet de configurer et d'administrer l'intégralité du programme sans avoir à utiliser
l'interface utilisateur graphique.
Outre les fonctions et fonctionnalités disponible dans l'interface graphique, l'interface à ligne
de commande vous permet d'automatiser l'exécution de scripts afin de configurer et de
modifier la configuration, ou encore d'effectuer une opération. eShell est également utile
pour les utilisateurs qui préfèrent les lignes de commande aux interfaces graphiques.
REMARQUE
Pour bénéficier de toutes les fonctionnalités, ouvrez eShell en utilisant Exécuter en tant
qu'administrateur. Utilisez la même option lors de l'exécution d'une commande via
Windows Command Prompt (cmd). Ouvrez l'invite de commande en utilisant Exécuter en
tant qu'administrateur. Si vous n'exécutez pas l'invite de commande en tant
qu'administrateur, vous ne pourrez pas exécuter des commandes en raison d'un manque
d'autorisations.
90
Le système eShell peut être exécuté de deux manières :
1.Mode interactif : ce mode est utile lorsque vous souhaitez utiliser régulièrement
eShell (pas simplement exécuter une seule commande), par exemple lorsque vous
modifiez la configuration, affichez des journaux, etc. Vous pouvez utiliser le mode
interactif si vous ne connaissez pas encore toutes les commandes. Le mode interactif
simplifie la navigation dans eShell. Il affiche également les commandes que vous
pouvez utilisez dans un contexte défini.
2.Commande unique/mode de traitement par lots : vous pouvez utiliser ce mode
si vous avez uniquement besoin d'exécuter une commande sans passer au mode
interactif de eShell. Pour ce faire, saisissez eshell avec les paramètres appropriés dans
l'invite de commande Windows.
EXEMPLE
eshell get status
ou eshell computer set real-time status disabled 1h
Pour pouvoir exécuter certaines commandes (comme celles du deuxième exemple ci-dessus)
en mode de traitement par lots/script, vous devez configurer au préalable certains
paramètres. Si vous n'effectuez pas cette configuration, le message Accès refusé s'affiche
pour des raisons de sécurité.
REMARQUE
Il est nécessaire de modifier les paramètres pour que les commandes eShell puissent être
utilisées dans une invite de commande Windows. Pour plus d'informations sur l'exécution
de fichiers de commandes, cliquez ici.
Vous pouvez entrer en mode interactif de deux manières différentes dans eShell :
1.Par l'intermédiaire du menu Démarrer de Windows : Démarrer > Tous les
programmes > ESET > ESET Mail Security > ESET Shell
2.Dans une invite de commande Windows, saisissez eshell, puis appuyez sur la
touche Entrée.
IMPORTANT
Si l'erreur 'eshell' is not recognized as an internal or external command s'affiche,
c'est en raison du non chargement de nouvelles variables d'environnement par votre
système après l'installation de ESET Mail Security. Vous pouvez ouvrir une nouvelle invite
de commandes et réessayer de démarrer eShell. Si une erreur s'affiche toujours ou si
vous avez une installation minimale de ESET Mail Security, démarrez eShell à l'aide d'un
chemin absolu, par exemple "%PROGRAMFILES%\ESET\ESET Mail Security\eShell.exe"
(vous devez utiliser des "" pour que la commande fonctionne).
Lorsque vous exécutez eShell en mode interactif pour la première fois, l'écran de première
exécution (guide) s'affiche.
91
REMARQUE
Si vous souhaitez afficher ultérieurement cet écran de première exécution, tapez la
commande guide. Il présente des exemples de base concernant l'utilisation d'eShell avec
une syntaxe, un préfixe, un chemin d'accès à une commande, des formes abrégées, des
alias, etc.
À la prochaine exécution d'eShell, cet écran s'affiche :
REMARQUE
Les commandes ne font pas la distinction entre les majuscules et les minuscules ; que
vous saisissiez les noms de commande en majuscules ou en minuscules, les commandes
s'exécutent de la même manière.
Personnalisation d'eShell
Vous pouvez personnaliser eShell dans le contexte ui eshell. Vous pouvez configurer des
alias, des couleurs, un langage, une stratégie d'exécution pour les scripts, des paramètres
pour les commandes masquées, etc.
Utilisation
Syntaxe
Pour qu'elles fonctionnent correctement, les commandes doivent avec une syntaxe correcte.
Elles peuvent être composées d'un préfixe, d'un contexte, d'arguments, d'options, etc. Voici
la syntaxe générale utilisée dans eShell :
[<préfixe>] [<chemin de la commande>] <commande> [<arguments>]
92
Exemple (cette commande active la protection des documents) :
SET COMPUTER SCANS DOCUMENT REGISTER ENABLED
SET
: préfixe
COMPUTER SCANS DOCUMENT
- chemin vers une commande particulière, contexte auquel la
commande appartient
REGISTER : commande proprement dite
ENABLED : argument de la commande
L'utilisation de la valeur ? en tant qu'argument pour une commande affiche la syntaxe de
cette commande. Par exemple, STATUS ? affiche la syntaxe de la commande STATUS :
SYNTAXE :
[get] status
OPÉRATIONS :
get
: Afficher l'état de tous les modules de protection
Vous pouvez constater que [get] est entre crochets. Cela indique que le préfixe get est
l'option par défaut de la commande status. En d'autres termes, lorsque vous exécutez la
commande status sans indiquer de préfixe, la commande utilise le préfixe par défaut (dans
ce casget status). Vous gagnerez du temps en n'indiquant pas de préfixe. La valeur get est
généralement le préfixe par défaut pour la plupart des commandes, mais vous devez
effectuer cette vérification pour chaque commande et vous assurer qu'il correspond bien à
l'instruction que vous souhaitez exécuter.
REMARQUE
Les commandes ne font pas la distinction entre les majuscules et les minuscules : que
vous saisissiez les noms de commande en majuscules ou en minuscules, les commandes
s'exécutent de la même manière.
Préfixe/Opération
Un préfixe est une opération. Le préfixe GET fournit des informations sur la configuration
d'une fonctionnalité de ESET Mail Security ou indique l'état (GET COMPUTER REAL-TIME STATUS
affiche l'état de la protection en cours du module en temps réel). La commande SET (préfixe)
configure la fonctionnalité ou change son état (SET COMPUTER REAL-TIME STATUS ENABLED
active la protection en temps réel).
93
eShell vous permet d'utiliser ces préfixes. Les commandes peuvent prendre en charge ou ne
pas prendre en charge les préfixes :
GET
renvoie le parametre/l'état actuel
SET
définit la valeur/l'état
SELECT
sélectionne un élément
ADD
ajoute un élément
REMOVE
supprime un élément
CLEAR
supprime tous les éléments/fichiers
START
démarre une action
STOP
arrête une action
PAUSE
interrompt une action
RESUME
reprend une action
RESTORE
restaure les parametres/l'objet/le fichier par défaut
SEND
envoie un objet/fichier
IMPORT
importe d'un fichier
EXPORT
exporte dans un fichier
REMARQUE
Les préfixes tels que GET et SET sont utilisés avec de nombreuses commandes (certaines
commandes telles que EXIT n'utilisent pas de préfixe).
Chemin/Contexte de la commande
Les commandes sont placées dans des contextes qui constituent une arborescence. Le
niveau supérieur de l'arborescence est la racine. Lorsque vous exécutez eShell, vous vous
trouvez au niveau racine :
eShell>
Vous pouvez exécuter la commande depuis cet emplacement ou saisir le nom du contexte
dans l'arborescence pour y accéder. Par exemple, lorsque vous saisissez le contexte TOOLS,
toutes les commandes et sous-contextes disponibles depuis cet emplacement sont
répertoriés.
94
Les éléments en jaune correspondent aux commandes que vous pouvez exécuter et les
éléments en gris sont des sous-contextes que vous pouvez saisir. Un sous-contexte contient
des commandes supplémentaires.
Si vous devez remonter d'un niveau, utilisez .. (deux points).
EXEMPLE
Par exemple, imaginons que vous vous trouvez à ce niveau :
eShell computer real-time>
saisissez .. pour remonter d'un niveau à :
eShell computer>
Si vous souhaitez retourner au niveau racine depuis eShell computer real-time> (soit deux
niveaux en dessous de la racine), tapez simplement .. .. (deux points et deux points
séparés par un espace). Vous remontez alors de deux niveaux, ce qui correspond dans ce cas
à la racine. Utilisez une barre oblique inverse \ pour retourner directement au niveau racine,
quel que soit le niveau auquel vous vous trouvez dans l'arborescence. Si vous souhaitez
atteindre un contexte spécifique dans des niveaux supérieurs, utilisez le nombre adéquat de
.. pour accéder au niveau souhaité en employant un espace comme séparateur. Si vous
souhaitez par exemple remonter de trois niveaux, utilisez .. .. ..
Le chemin est relatif au contexte en cours. Si la commande est contenue dans le contexte en
cours, n'indiquez pas de chemin. Par exemple, pour exécuter GET COMPUTER REAL-TIME
STATUS, saisissez :
GET COMPUTER STATUS
eShell>
GET STATUS
computer>
95
: si vous êtes dans le contexte racine (la ligne de commande indique
: si vous êtes dans le contexte (la ligne de commande indique eShell
.. GET STATUS : si vous
computer real-time>
êtes dans le contexte (la ligne de commande indique eShell
Vous pouvez utiliser un point . au lieu de deux .., car un point est l'abréviation de deux
points.
EXEMPLE
. GET STATUS : si vous
computer real-time>
êtes dans le contexte (la ligne de commande indique eShell
Argument
Un argument est une action qui peut être réalisée pour une commande particulière. Par
exemple, la commande CLEAN-LEVEL (située dans COMPUTER REAL-TIME ENGINE) peut être
utilisée avec les arguments suivants :
: Toujours résoudre la détection
safe : Résoudre la détection si cette opération est sûre, sinon conserver
normal : Résoudre la détection si cette opération est sûre, sinon demander
none : Toujours demander à l'utilisateur final
rigorous
Les arguments ENABLED ou DISABLED permettent d'activer ou de désactiver une fonctionnalité.
Forme abrégée/Commandes raccourcies
eShell vous permet de raccourcir les contextes, les commandes et les arguments (à condition
que l'argument soit un paramètre ou une autre option). Il n'est pas possible de raccourcir un
préfixe ou un argument s'il s'agit d'une valeur concrète telle qu'un nombre, un nom ou un
chemin. Vous pouvez utiliser les chiffres1 et 0 au lieu des arguments enabled et disabled.
EXEMPLE
computer set real-time status enabled
computer set real-time status disabled
=>
=>
com set real stat 1
com set real stat 0
Voici des exemples de forme raccourcie :
EXEMPLE
computer
computer
excl add
computer
set real-time status enabled
=>
com set real stat en
exclusions add detection-excludes object C:\path\file.ext
=>
com
det obj C:\path\file.ext
exclusions remove detection-excludes 1
=>
com excl rem det 1
Si deux commandes ou contextes commencent par la même lettre, ADVANCED et AUTOEXCLUSIONS, et que vous saisissez la commande raccourcie A, eShell ne parvient pas à
déterminer laquelle de ces deux commandes vous souhaitez exécuter. Un message d'erreur
s'affiche et répertorie les commandes commençant par un « A » pour que vous puissiez
sélectionner celle à exécuter :
96
eShell>a
The following command is not unique: a
Les sous-contextes suivants sont disponibles dans le contexte COMPUTER :
ADVANCED
AUTO-EXCLUSIONS
En ajoutant une ou plusieurs lettres (AD au lieu de A), eShell entre le sous-contexte ADVANCED
car il est unique. Cela s'applique aussi aux commandes abrégées.
REMARQUE
Afin d'avoir la garantie qu'une commande s'exécute comme vous le souhaitez, il est
recommandé de ne pas abréger les commandes, les arguments, etc. et d'utiliser plutôt la
forme complète. eShell exécute alors exactement ce que vous souhaitez et vous évite de
commettre des erreurs. Ce conseil s'applique notamment pour les fichiers et les scripts
de traitement par lots.
Saisie semi-automatique
Cette nouvelle fonctionnalité introduite avec eShell 2.0 ressemble beaucoup à la
fonctionnalité de saisie semi-automatique de l'invite de commande Windows. Alors que
l'invite de commande Windows effectue une saisie semi-automatique des chemins d'accès
aux fichiers, eShell effectue également une saisie semi-automatique des noms de
commande, de contexte et d'opération. La saisie semi-automatique des arguments n'est pas
prise en charge. Lorsque vous tapez une commande, appuyez sur Tab pour terminer la saisie
ou parcourir les variantes disponibles. Appuyez sur Maj+Tab pour parcourir les variantes
dans le sens inverse. Le mélange d'une forme abrégée et de la saisie semi-automatique n'est
pas pris en charge. Utilisez une de ces deux options. Par exemple, lorsque vous saisissez
computer real-time additional, la frappe de la touche TAB ne donne aucun résultat.
Saisissez plutôt com et appuyez sur la touche TAB pour saisir automatiquement computer,
tapez ensuite real + Tab et add + Tab et appuyez sur Entrée. Tapez on + Tab et continuez à
appuyer sur Tab pour parcourir toutes les variantes disponibles : on-execute-ah, on-executeah-removable, on-write-ah, on-write-archive-default, etc.
Alias
Un alias est un autre nom qui peut être utilisé pour exécuter une commande (à condition que
la commande dispose d'un alias). Voici quelques alias par défaut :
: quitter
(global) quit : quitter
(global) bye : quitter
(global) close
97
: tools log events
virlog - tools log detections
warnlog
"(global)" signifie que la commande peut être utilisée dans tous les emplacements, quel que
soit le contexte actuel. Une commande peut comporter plusieurs alias. Par exemple, la
commande EXIT comporte les alias CLOSE, QUIT et BYE. Si vous souhaitez quitter eShell, vous
pouvez utiliser la commande EXIT proprement dite ou l'un de ses alias. L'alias VIRLOG est
attribué à la commande DETECTIONS qui se trouve dans le contexte TOOLS LOG. Les détections
de commande sont ainsi disponibles depuis le contexte ROOT, ce qui facilite l'accès (vous
n'avez plus à saisir TOOLS puis le contexte LOG et l'exécuter directement depuis ROOT).
eShell vous permet de définir vos propres alias. La commande ALIAS est accessible dans le
contexte UI ESHELL.
Paramètres protégés par mot de passe
Les paramètres d'ESET Mail Security peuvent être protégés par mot de passe. Vous pouvez
définir un mot de passe à l'aide de l'interface graphique utilisateur ou d'eShell à l'aide de la
commande set ui access lock-password. Vous devez ensuite saisir ce mot de passe de
manière interactive pour certaines commandes (comme celles qui permettent de modifier
des paramètres ou des données). Si vous envisagez d'utiliser eShell pendant une longue
période et si vous ne souhaitez pas saisir le mot de passe de manière répétée, vous pouvez
faire en sorte qu'eShell mémorise le mot de passe à l'aide de la commande set password
(exécution depuis root). Votre mot de passe est alors automatiquement saisi pour chaque
commande exécutée qui le demande. Le mot de passe est mémorisé jusqu'à ce que vous
quittiez eShell. Vous devez donc réutiliser la commande set password lorsque vous démarrez
une nouvelle session et que vous souhaitez qu'eShell mémorise le mot de passe.
Guide / Aide
Lorsque vous exécutez la commande GUIDE ou HELP, l'écran de première exécution apparaît
et vous explique comment utiliser eShell. Cette commande est disponible uniquement dans
le contexte ROOT (eShell>).
Historique de commande
eShell conserve un historique des commandes exécutées. Cet historique s'applique
uniquement à la session interactive eShell en cours. Lorsque vous quittez eShell, l'historique
des commandes est supprimé. Utilisez les flèches Haut et Bas de votre clavier pour parcourir
l'historique. Lorsque vous avez localisé la commande que vous recherchiez, vous pouvez la
réexécuter ou la modifier sans avoir à saisir l'intégralité de la commande depuis le début.
CLS/Effacement de l'écran
La commande CLS peut être utilisée pour effacer le contenu de l'écran. Cette commande
fonctionne de la même manière que l'invite de commande Windows ou que toute autre
interface à ligne de commande.
98
EXIT/CLOSE/QUIT/BYE
Pour fermer ou quitter eShell, vous pouvez utiliser l'une de ces commandes (EXIT, CLOSE, QUIT
ou BYE).
Commandes
Cette section répertorie quelques commandes eShell de base, ainsi que des descriptions.
REMARQUE
Les commandes ne font pas la distinction entre les majuscules et les minuscules : que
vous saisissiez les noms de commande en majuscules ou en minuscules, les commandes
s'exécutent de la même manière.
Exemples de commandes (contenues dans le contexte ROOT) :
ABOUT
Répertorie les informations sur le programme. Cette commande permet d'afficher les
informations suivantes :
• Nom du produit de sécurité ESET installé et numéro de version
• Système d'exploitation et informations de base sur le matériel
• Nom d'utilisateur (domaine compris), nom complet de l'ordinateur (FQDN si le serveur
appartient à un domaine) et nom du siège
• Composants du produit de sécurité ESET installés et numéro de version de chaque
composant
CHEMIN DE CONTEXTE :
root
MOT DE PASSE
Normalement, lorsque vous exécutez des commandes protégées par mot de passe, vous êtes
invité à taper un mot de passe pour des raisons de sécurité. Il concerne les commandes qui
désactivent la protection et qui peuvent avoir une incidence sur la configuration du produit
ESET Mail Security. Vous êtes invité à saisir un mot de passe chaque fois que vous exécutez
une commande de ce type. Afin d'éviter d'avoir à saisir un mot de passe à chaque fois, vous
pouvez définir ce mot de passe. Il sera mémorisé par eShell et saisi automatiquement à
chaque exécution d'une commande protégée par un mot de passe.
99
REMARQUE
Le mot de passe ne fonctionne que pour la session interactive eShell en cours. Lorsque
vous quittez eShell, ce mot de passe défini est supprimé. Lorsque vous redémarrez
eShell, le mot de passe doit être redéfini.
Le mot de passe défini peut être également utilisé lors de l'exécution de fichiers de
commandes/scripts non signés. Veillez à définir la politique d'exécution du ESET Shell sur
Accès complet lors de l'exécution de fichiers de commandes non signés. Voici un exemple de
fichier de traitement par lots :
eshell set password plain <yourpassword> "&" computer set real-time status disabled
La commande concaténée ci-dessus définit un mot de passe et désactive la protection.
IMPORTANT
Il est recommandé d'utiliser des fichiers de commandes signés lorsque cela est possible.
Vous évitez ainsi que les mots de passe apparaissent en texte brut dans le fichier de
commandes (en cas d'utilisation de la méthode décrite ci-dessus). Pour plus
d'informations, voir Fichiers de commandes/scripts (section Fichiers de commandes
signés).
CHEMIN DE CONTEXTE :
root
SYNTAXE :
[get] | restore password
set password [plain <password>]
OPÉRATIONS :
get
: Affiche le mot de passe
set-
Définit ou efface le mot de passe
restore
: Efface le mot de passe
ARGUMENTS :
plain
100
: Permet d'entrer le mot de passe en tant que paramètre.
password
: Mot de passe
EXEMPLES :
: Définit un mot de passe qui sera utilisé pour les
commandes protégées par mot de passe.
set password plain <yourpassword>
restore password
: Efface le mot de passe
EXEMPLES :
: Utilisez cette commande pour définir si le mot de passe est configuré (le
mot de passe n'apparaît pas clairement ; il est remplacé par une série d'astérisques *). Si
vous ne voyez aucun astérisque, cela signifie qu'aucun mot de passe n'est défini.
get password
set password plain <votre_mot_de_passe>
: Utilisez cette commande pour configurer le
mot de passe défini.
restore password
: Cette commande efface le mot de passe défini.
STATUS
Affiche des informations sur l'état en cours de la protection en temps réel d'ESET Mail
Security et permet également d'interrompre et de reprendre la protection (identique à
l'interface utilisateur graphique).
CHEMIN DE CONTEXTE :
computer real-time
SYNTAXE :
[get] status
set status enabled | disabled
[ 10m | 30m | 1h | 4h | temporary ]
restore status
OPÉRATIONS :
get
: renvoie le paramètre/l'état en cours
set
: définit la valeur/l'état
restore
: restaure les paramètres/l'objet/le fichier par défaut
ARGUMENTS :
enabled
101
: Activer la protection/fonctionnalité
disabled
: Désactiver la protection/fonctionnalité
10m
: Désactiver pendant 10 minutes
30m
: Désactiver pendant 30 minutes
1h
: Désactiver pendant 1 heure
4h
: Désactiver pendant 4 heures
temporary
: Désactiver jusqu'au redémarrage
REMARQUE
Il n’est pas possible de désactiver toutes les fonctionnalités de protection à l’aide d’une
seule commande. Vous pouvez gérer les fonctionnalités de protection et les modules un
par un à l’aide de la commande status. Chaque fonctionnalité de protection ou module
possède sa propre commande status.
Liste des fonctionnalités avec la commande status :
Fonctionnalité
Contexte et commande
Exclusions automatiques
COMPUTER AUTO-EXCLUSIONS STATUS
Système HIPS (Host Intrusion Prevention System) COMPUTER HIPS STATUS
Protection en temps réel du système de fichiers
COMPUTER REAL-TIME STATUS
Contrôle des appareils
DEVICE STATUS
Protection Anti-Botnet
NETWORK ADVANCED STATUS-BOTNET
Protection contre les attaques réseau (IDS)
NETWORK ADVANCED STATUS-IDS
Isolement réseau
NETWORK ADVANCED STATUS-ISOLATION
ESET Cluster
TOOLS CLUSTER STATUS
Journalisation des données de diagnostic
TOOLS DIAGNOSTICS STATUS
Mode de présentation
TOOLS PRESENTATION STATUS
Protection antihameçonnage
WEB-AND-EMAIL ANTIPHISHING STATUS
Protection du client de messagerie
WEB-AND-EMAIL MAIL-CLIENT STATUS
Protection de l’accès Web
WEB-AND-EMAIL WEB-ACCESS STATUS
VIRLOG
Cette commande est un alias de la commande DETECTIONS. Elle est utile lorsque vous devez
afficher des informations sur les infiltrations détectées.
WARNLOG
Cette commande est un alias de la commande EVENTS. Elle est utile lorsque vous devez
afficher des informations sur différents événements.
102
Fichiers de commandes/scripts
Vous pouvez utiliser eShell comme outil de création de scripts puissant pour l'automatisation.
Pour utiliser un fichier de commandes dans eShell, créez-en un comportant un eShell et une
commande.
EXEMPLE
eshell get computer real-time status
Vous pouvez également créer une chaîne de commandes, ce qui est parfois nécessaire. Si
vous souhaitez par exemple obtenir le type d'une tâche planifiée spécifique, saisissez la
commande suivante :
eshell select scheduler task 4 "&" get scheduler action
La sélection d'un élément (tâche numéro 4 dans le cas présent) ne s'applique généralement
qu'à une instance d'eShell en cours d'exécution. Si vous deviez exécuter ces commandes à la
suite, la seconde commande échouerait en affichant l'erreur « Aucune tâche n'est
sélectionnée ou la tâche sélectionnée n'existe plus. »
Pour des raisons de sécurité, la stratégie d'exécution est définie par défaut sur Scripts
limités. Vous pouvez ainsi utiliser eShell comme outil de surveillance (dans ce cas, vous ne
pouvez pas apporter de modifications à la configuration de ESET Mail Security en exécutant
un script). Si vous essayez d'exécuter un script avec des commandes qui ont un impact sur la
sécurité, comme la désactivation de la protection, le message Accès refusé s'affiche. Il est
recommandé d'utiliser des fichiers de commandes signés pour exécuter des commandes qui
apportent des modifications de configuration.
Pour modifier la configuration à l'aide d'une commande saisie manuellement dans l'invite de
commande, vous devez accorder un accès total à eShell (non recommandé) Pour accorder un
accès total, utilisez la commande ui eshell shell-execution-policy en mode interactif
d'eShell ou via l'interface utilisateur graphique dans Configuration avancée (F5)>
Interface utilisateur > ESET Shell.
Fichiers de commandes signés
eShell vous permet de protéger les fichiers de commandes courants (*.bat) à l'aide d'une
signature. Les scripts sont signés à l'aide du mot de passe utilisé pour la protection des
paramètres. Pour signer un script, vous devez activer au préalable la protection des
paramètres. Vous pouvez le faire dans l'interface graphique utilisateur ou dans eShell à l'aide
de la commande set ui access lock-password. Une fois que le mot de passe de protection
des paramètres est configuré, vous pouvez commencer à signer les fichiers de commandes.
103
REMARQUE
Si vous modifiez le mot de passe de protection des paramètres, vous devez resigner tous
les scripts (sinon, les scripts ne peuvent plus être exécutés), car le mot de passe saisi lors
de la signature d'un script doit correspondre au mot de passe de protection des
paramètres sur le système cible.
Pour signer un fichier de commandes, exécutez sign <script.bat> à partir du contexte
racine d'eShell, où script.bat correspond au chemin d'accès au script à signer. Saisissez le
mot de passe qui sera utilisé pour la signature, puis confirmez-le. Ce mot de passe doit
correspondre au mot de passe de protection des paramètres. Une signature est placée dans
la partie inférieure du fichier de commandes sous forme de commentaire. Si le script a déjà
été signé, sa signature est remplacée par la nouvelle.
REMARQUE
Lorsque vous modifiez un fichier de commandes signé, vous devez le resigner.
Pour exécuter un fichier de commandes signé à partir de l'invite de commande Windows ou
en tant que tâche planifiée, utilisez la commande suivante :
eshell run <script.bat>
, où script.bat correspond au chemin d'accès au fichier de commandes.
EXEMPLE
eshell run d:\myeshellscript.bat
ESET Dynamic Threat Defense
ESET Dynamic Threat Defense offre une autre couche de sécurité en utilisant la technologie
ESET Cloud avancée pour détecter les menaces nouvelles. Il s'agit d'un service payant. Bien
qu'il soit similaire à ESET LiveGrid®, ESET Dynamic Threat Defense permet d'être protégé
contre les conséquences possibles liées aux nouvelles menaces. SiESET Dynamic Threat
Defense détecte du code ou un comportement suspect, il empêche toute activité de la
menace en la plaçant temporairement dans la quarantaine ESET Dynamic Threat Defense. Un
échantillon suspect (fichier ou e-mail) est automatiquement envoyé à ESET Cloud où le
serveur ESET Dynamic Threat Defense l'analyse à l'aide de ses moteurs de détection de
logiciels malveillants les plus récents. Pendant que les fichiers ou les e-mails sont dans la
quarantaine ESET Dynamic Threat Defense, ESET Mail Security attend les résultats du
serveur ESET Dynamic Threat Defense. Une fois l'analyse terminée, ESET Mail Security reçoit
un rapport comportant un résumé du comportement de l'échantillon observé. Si l'échantillon
s'avère inoffensif, il est libéré de la quarantaine ESET Dynamic Threat Defense, sinon il y
reste. S'il s'agit d'un faux positif et que vous êtes sûr que le fichier ou l'e-mail ne constitue
pas une menace, vous pouvez le libérer manuellement de la quarantaine ESET Dynamic
Threat Defense avant que ESET Mail Security reçoive les résultats du serveur ESET Dynamic
104
Threat Defense.
Les résultats ESET Dynamic Threat Defense pour les échantillons sont généralement donnés
en quelques minutes pour les e-mails. Toutefois, l'intervalle d'attente par défaut est défini sur
5 minutes. Dans de rares cas, lorsque les résultats ESET Dynamic Threat Defense ne sont pas
donnés dans l'intervalle, le message est libéré. Vous pouvez changer l'intervalle selon vos
préférences (entre 5 et 60 minutes, par incréments de 1 minute).
La fonctionnalité ESET Dynamic Threat Defense est visible dans ESET Mail Security, quel que
soit son état d'activation. Si vous ne possédez pas de licence, ESET Dynamic Threat Defense
est inactif. La licence ESET Dynamic Threat Defense est gérée par ESET PROTECT et
l'activation doit être effectuée dans ESET PROTECT à l'aide d'une politique.
Une fois ESET Dynamic Threat Defense activé, votre profil ESET Dynamic Threat Defense est
créé sur le serveur ESET Dynamic Threat Defense. Ce profil stocke tous les résultats
d'analyse ESET Dynamic Threat Defense pour les échantillons envoyés par ESET Mail
Security.
Pour que la fonction ESET Dynamic Threat Defense soit opérationnelle, les critères suivants
doivent être respectés :
ESET Mail Security gérés via ESET PROTECT
ESET Mail Security est activé à l'aide d'une licence ESET Dynamic Threat Defense
105
Activez ESET Dynamic Threat Defense dans ESET Mail Security à l'aide d'une politique ESET
PROTECT
Vous pouvez alors tirer parti de ESET Dynamic Threat Defense et envoyer manuellement un
échantillon pour qu'il soit analysé par ESET Dynamic Threat Defense .
ESET SysInspector
ESET SysInspector est une application qui inspecte méticuleusement votre ordinateur,
réunit des informations détaillées sur les composants système, tels que pilotes et
applications installés, connexions réseau ou entrées de registre importantes, puis évalue le
niveau de risque de chaque composant. Ces informations peuvent aider à déterminer la
cause d'un comportement suspect du système pouvant être dû à une incompatibilité
logicielle ou matérielle, ou à une infection par un logiciel malveillant.
Cliquez sur Créer et entrez un bref commentaire décrivant le journal à créer. Patientez
jusqu'à ce que le journal ESET SysInspector soit généré (l'état indique Créé). Selon la
configuration matérielle et les données système, la création du journal peut prendre un
certain temps.
La fenêtre ESET SysInspector affiche les informations suivantes relatives aux journaux créés :
• Heure - Heure de création du journal.
• Commentaire - Bref commentaire.
• Utilisateur - Nom de l'utilisateur qui a créé le journal.
• État - État de création du journal.
Les actions disponibles sont les suivantes :
• Afficher - Ouvre le journal créé. Vous pouvez également cliquer avec le bouton droit
sur un journal, puis sélectionner Afficher dans le menu contextuel.
• Comparer - Compare deux journaux existants.
• Créer - Crée un journal. Saisissez un bref commentaire décrivant le journal à créer et
cliquez sur Créer. Veuillez patienter jusqu'à ce que le journal ESET SysInspector soit prêt
(l'option État indique Créé).
• Supprimer - Supprime les journaux sélectionnés de la liste.
En cliquant avec le bouton droit de la souris sur un ou plusieurs journaux sélectionnés, vous
ouvrez un menu contextuel qui donne accès aux options suivantes :
• Afficher - Ouvre le journal sélectionné dans ESET SysInspector (équivaut à double-
cliquer sur un journal).
• Comparer - Compare deux journaux existants.
• Créer - Crée un journal. Saisissez un bref commentaire décrivant le journal à créer et
cliquez sur Créer. Veuillez patienter jusqu'à ce que le journal ESET SysInspector soit
prêt (l'option État indique Créé).
• Supprimer - Supprime les journaux sélectionnés de la liste.
106
• Supprimer tout - Supprime tous les journaux.
• Exporter - Exporte le journal dans un fichier .xml ou .xml compressé.
ESET SysRescue Live
ESET SysRescue Live est un utilitaire gratuit qui permet de créer un CD/DVD ou un lecteur
USB de secours amorçable. Vous pouvez démarrer un ordinateur infecté à partir de votre
support de secours pour rechercher des logiciels malveillants et nettoyer les fichiers infectés.
Le principal avantage d'ESET SysRescue Live réside dans le fait que la solution est exécutée
indépendamment du système d'exploitation hôte, tout en ayant un accès direct au disque et
au système de fichiers. Il est par conséquent possible de supprimer les menaces qui ne
pourraient normalement pas être supprimées (par exemple lorsque le système d'exploitation
est en cours d'exécution, etc.).
Planificateur
Le Planificateur gère et lance des tâches planifiées en fonction de paramètres définis. Vous
pouvez afficher une liste de toutes les tâches planifiées sous la forme d'un tableau qui
contient leurs paramètres (type et nom de la tâche, heure de lancement et dernière
exécution, par exemple). Vous pouvez également créer des tâches planifiées en cliquant sur
Ajouter une tâche. Pour modifier la configuration d'une tâche planifiée existante, cliquez sur
le bouton Modifier. Restaurez les paramètres par défaut de la liste des tâches planifiées,
cliquez sur Par défaut et sur Rétablir les paramètres par défaut. Toutes les
modifications apportées seront perdues (cette opération ne peut pas être annulée).
Il existe un ensemble de tâches par défaut prédéfinies :
• Maintenance des journaux
• Mise à jour automatique régulière (utilisez cette tâche pour mettre à jour la fréquence)
• Mise à jour automatique après une connexion d’accès à distance
• Mise à jour automatique après connexion de l’utilisateur
• Vérification des fichiers de démarrage (après l'ouverture de session de l'utilisateur)
• Vérification des fichiers de démarrage (après la réussite de la mise à jour des
modules)
REMARQUE
Cochez les cases appropriées pour activer ou désactiver les tâches.
107
Pour effectuer les actions suivantes, cliquez avec le bouton droit sur une tâche :
Afficher les détails
des tâches
Affiche des informations détaillées sur une tâche planifiée lorsque
vous double-cliquez ou cliquez avec le bouton droit sur celle-ci.
Exécuter maintenant Exécute une tâche de planificateur sélectionnée et l'effectue
immédiatement.
Ajouter...
Lance un assistant qui permet de créer une nouvelle tâche de
planificateur.
Modifier...
Permet de modifier la configuration d'une tâche planifiée existante
(par défaut et définie par l'utilisateur).
Supprimer
Supprime une tâche existante.
Planificateur - Ajouter une tâche
Pour créer une tâche planifiée :
1.Cliquez sur Ajouter une tâche.
2.Saisissez un nom de tâche et configurez votre tâche planifiée personnalisée.
3. Type de tâche : sélectionnez le type de tâche applicable dans le menu déroulant.
108
REMARQUE
Pour désactiver une tâche, cliquez sur la barre du curseur en regard de l'option Activée.
Pour activer la tâche ultérieurement, cochez la case de la vue Planificateur.
4. Planification de la tâche : sélectionnez l'une des options à définir lorsque vous
souhaitez exécuter votre tâche. Selon votre choix, vous serez invité à choisir une heure,
un jour, un intervalle ou un événement spécifique.
109
5. Tâche ignorée : si la tâche n'a pas pu être exécutée au moment défini, vous pouvez
désigner le moment auquel elle doit être exécutée.
6. Exécuter l'application : si la tâche est planifiée pour exécuter une application externe,
choisissez un fichier exécutable dans l'arborescence.
7.Si vous devez apporter des modifications, cliquez sur Précédent pour revenir aux
étapes précédentes et modifier les paramètres.
8.Cliquez sur Terminer pour créer la tâche ou appliquer les modifications.
La nouvelle tâche planifiée apparaît dans la vue Planificateur.
Type de tâche
L'assistant de configuration est différent pour chaque type de tâche d'une tâche planifiée.
Saisissez le nom de la tâche, puis sélectionnez le type de tâche de votre choix dans le
menu déroulant :
• Exécuter une application externe : permet de planifier l'exécution d'une
application externe.
• Maintenance des journaux : les fichiers journaux contiennent également des
éléments provenant d'entrées supprimées. Cette tâche optimise régulièrement les
entrées des fichiers journaux pour garantir leur efficacité.
• Contrôle des fichiers de démarrage du système : vérifie les fichiers autorisés à
s'exécuter au démarrage du système ou lors de l'ouverture de session de l'utilisateur.
110
• Créer un instantané du statut de l'ordinateur : crée un instantané ESET
SysInspector de l'ordinateur et collecte des informations détaillées sur les composants
système (pilotes, applications) et évalue le niveau de risque de chacun de ces
composants.
• Analyse de l'ordinateur à la demande : effectue une analyse des fichiers et des
dossiers de votre ordinateur.
• Mise à jour : planifie une tâche de mise à jour pour effectuer une mise à jour du
moteur de détection et des modules de l'application.
• Analyse de base de données de boîtes aux lettres : permet de planifier une
analyse de base de données et de choisir les éléments à analyser. C'est une analyse de
base de données à la demande.
REMARQUE
Si la protection de la base de données de boîtes aux lettres est activée, vous pouvez
toujours planifier cette tâche, mais le message d'erreur Analyse de base de données de
boîtes aux lettres - Analyse interrompue en raison d'une erreur s'affichera dans la section
Analyse de l'interface utilisateur graphique principale. Pour éviter cette erreur, assurezvous que la protection de la base de données de boîtes aux lettres est désactivée
pendant la période au cours de laquelle l'analyse de base de données de boîtes aux
lettres est planifiée.
• Envoyer les rapports de mise en quarantaine des messages : planifie l'envoi
d'un rapport de mise en quarantaine des messages par courrier électronique.
• Envoyer les rapports administrateur de mise en quarantaine des messages :
planifie l'envoi d'un rapport de mise en quarantaine des messages par courrier
électronique.
• Analyse en arrière-plan : permet à Exchange Server d'exécuter une analyse en
arrière-plan de base de données si nécessaire.
• Analyse Hyper-V : permet de planifier une analyse des disques virtuels dans Hyper-
V.
• Analyse Office 365 : permet de planifier une analyse des environnements hybrides
Office 365.
Pour désactiver une tâche lorsqu'elle a été créée, cliquez sur le commutateur en regard de
l'option Activée. Pour activer la tâche ultérieurement, cochez la case de la vue Planificateur.
Cliquez sur Suivant pour passer à l'étape suivante.
Planification de la tâche
Sélectionnez l'une des fréquences suivantes :
• Une fois : la tâche n'est exécutée qu'une seule fois, à la date et à l'heure spécifiées.
111
Pour exécuter la tâche une seule fois, à un moment donné, spécifiez la date et l'heure
de début dans Exécution de la tâche.
• Plusieurs fois : la tâche est exécutée aux intervalles indiqués (exprimés en
minutes). Indiquez l'heure à laquelle la tâche sera exécutée tous les jours dans
Exécution de la tâche.
• Quotidiennement : la tâche est exécutée tous les jours à l'heure définie.
• Hebdomadaire : la tâche est exécutée une ou plusieurs fois par semaine, au(x)
jour(s) et à l'heure indiqués. Pour exécuter la tâche plusieurs fois certains jours de la
semaine uniquement en commençant par le jour et l'heure spécifiés, indiquez l'heure de
début dans l'heure d'exécution de la tâche. Sélectionnez le ou les jours de la semaine
pendant lesquels la tâche doit être exécutée.
• Déclenchée par un événement - La tâche est exécutée après un événement
particulier.
Si vous activez l'option Ignorer la tâche en cas d’alimentation par batterie, une tâche
ne démarre pas si le système est alimenté par batterie au moment de l'exécution prévue.
Cela s'applique aux systèmes UPS, par exemple.
Déclenchée par un événement
Lors de la planification d'une tâche déclenchée par un événement, vous pouvez indiquer
l'intervalle minimum entre deux exécutions de la tâche.
La tâche peut être déclenchée par l'un des événements suivants :
• Chaque fois que l'ordinateur démarre
• Chaque jour au premier démarrage de l'ordinateur
• Connexion commutée à Internet/VPN
• Mise à jour du module réussie
• Mise à jour du produit réussie
• Ouverture de session de l'utilisateur : la tâche est déployée lorsque l'utilisateur
ouvre une session sur le système. Si vous ouvrez une session sur l'ordinateur plusieurs
fois par jour, choisissez un intervalle de 24 heures afin de réaliser la tâche uniquement
à la première ouverture de session de la journée, puis le lendemain.
• Détection de menaces
112
Exécuter l’application
Cette tâche permet de planifier l'exécution d'une application externe.
• Fichier exécutable : choisissez un fichier exécutable dans l'arborescence, cliquez sur
Parcourir (...) ou saisissez le chemin manuellement.
• Dossier de travail : définissez le répertoire de travail de l'application externe. Tous
les fichiers temporaires du fichier exécutable sélectionné sont créés dans ce
répertoire.
• Paramètres : paramètres de ligne de commande de l'application (facultatif).
Tâche ignorée
Si la tâche n'a pas pu être exécutée au moment défini, vous pouvez désigner le moment
auquel elle doit être exécutée :
• À la prochaine heure planifiée - La tâche est exécutée à l'heure indiquée (après
24 heures, par exemple).
• Dès que possible - La tâche s'exécute dès que possible, c'est-à-dire dès que les
actions qui empêchent son exécution ne sont plus valides.
• Exécuter la tâche immédiatement si le temps écoulé depuis la dernière
exécution dépasse l'intervalle spécifié - Durée écoulée depuis la dernière
exécution (heures) - Lorsque vous sélectionnez cette option, votre tâche est toujours
répétée après le nombre d'heures indiqué.
Aperçu des tâches planifiées
Cette boîte de dialogue affiche des informations détaillées sur une tâche planifiée lorsque
vous double-cliquez sur celle-ci dans la vue Planificateur. Vous pouvez également afficher
ces informations en cliquant avec le bouton droit sur la tâche et en choisissant Afficher les
détails des tâches.
Soumettre les échantillons pour analyse
La boîte de dialogue de soumission d'échantillons permet d'envoyer un fichier ou un site à
ESET pour analyse. Si vous trouvez sur votre ordinateur un fichier dont le comportement est
suspect, soumettez-le au laboratoire de recherche sur les menaces d'ESET pour analyse. Si le
fichier s'avère être une application malveillante, la détection sera intégrée à une prochaine
mise à jour.
113
Pour soumettre le fichier par e-mail, compressez le ou les fichiers à l'aide de WinRAR ou de
WinZip, protégez l'archive à l'aide du mot de passe infected et envoyez-la à
samples@eset.com. Utilisez un objet descriptif et indiquez le plus d'informations possible sur
le fichier (notez par exemple le site Internet à partir duquel vous l'avez téléchargé).
Avant de soumettre un échantillon à ESET, assurez-vous qu'il répond à l'un ou les deux
critères suivants :
• Le fichier ou le site Web n'est pas du tout détecté.
• Le fichier ou le site Web est détecté à tort comme une menace.
Si au moins l'une des exigences ci-dessus n'est pas satisfaite, vous ne recevrez pas de
réponse tant que des informations complémentaires n'auront pas été fournies.
Sélectionnez la description correspondant le mieux à votre message dans le menu déroulant
Motif de soumission de l'échantillon :
• Fichier suspect
• Site suspect (site Web infecté par un logiciel malveillant)
• Fichier faux positif (fichier détecté à tort comme infecté)
• Site faux positif
• Autre
Fichier/Site
Chemin d'accès au fichier ou au site Web que vous souhaitez soumettre.
Adresse de contact
L'adresse de contact est envoyée à ESET avec les fichiers suspects. Elle pourra servir à
vous contacter si des informations complémentaires sont nécessaires à l'analyse. La
spécification d'une adresse de contact est facultative. Vous ne recevrez pas de réponse
d'ESET, sauf si des informations complémentaires sont nécessaires à l'analyse. En effet,
nos serveurs reçoivent chaque jour des dizaines de milliers de fichiers, ce qui ne permet
pas de répondre à tous les envois.
Envoyer de manière anonyme
Cochez la case en regard de l'option Envoyer de manière anonyme pour envoyer le
fichier ou le site Web suspect sans saisir votre adresse e-mail.
Fichier suspect
Signes et symptômes observés d'infection par logiciel malveillant
Saisissez une description du comportement du fichier suspect que vous avez observé sur
114
votre ordinateur.
Origine du fichier (adresse URL ou fournisseur)
Indiquez l'origine du fichier (sa source) et comment vous l'avez trouvé.
Notes et autres informations
Saisissez éventuellement d'autres informations ou une description qui faciliteront le
processus d'identification du fichier suspect.
REMARQUE
le premier paramètre (Signes et symptômes observés d'infection par logiciel
malveillant) est obligatoire. Les autres informations faciliteront la tâche de nos
laboratoires lors du processus d'identification des échantillons.
Site suspect
Dans le menu déroulant Pourquoi ce site est-il suspect ?, sélectionnez l'une des options
suivantes :
Infecté
Site Web qui contient des virus ou d'autres logiciels malveillants diffusés par diverses
méthodes.
Hameçonnage
Souvent utilisé pour accéder à des données sensibles, telles que numéros de comptes
bancaires, codes secrets, etc. Pour en savoir plus sur ce type d'attaque, consultez le
glossaire .
Scam
Site d'escroquerie ou frauduleux.
Autre
Utilisez cette option si aucune des options ci-dessus ne correspond au site que vous allez
soumettre.
Notes et autres informations
Saisissez éventuellement d'autres informations ou une description qui pourront faciliter
l'analyse du site Web suspect.
115
Fichier faux positif
Nous vous invitons à soumettre les fichiers qui sont signalés comme infectés alors qu'ils ne le
sont pas, afin d'améliorer notre moteur de détection et de contribuer à la protection des
autres utilisateurs. Les faux positifs (FP) peuvent se produire lorsque le motif d'un fichier
correspond à celui figurant dans un moteur de détection.
REMARQUE
les trois premiers paramètres sont nécessaires pour identifier les applications légitimes
et les distinguer des codes malveillants. En fournissant des informations supplémentaires,
vous facilitez l'identification et le traitement des échantillons par nos laboratoires.
Nom et version de l'application
Titre et version du programme (par exemple : numéro, alias et nom de code).
Origine du fichier (adresse URL ou fournisseur)
Indiquez l'origine du fichier (sa source) et comment vous l'avez trouvé.
Objectif de l'application
Description générale, type (navigateur, lecteur multimédia, etc.) et fonctionnalité de
l'application.
Notes et autres informations
Saisissez éventuellement d'autres informations ou une description qui faciliteront le
traitement du fichier suspect.
Site faux positif
Nous vous recommandons de soumettre les sites détectés faussement comme infectés ou
signalés à tort comme scam ou hameçonnage. Les faux positifs (FP) peuvent se produire
lorsque le motif d'un site correspond à celui figurant dans un moteur de détection. Veuillez
soumettre ce site Web afin d'améliorer notre moteur de détection et de contribuer à la
protection des autres utilisateurs.
Notes et autres informations
Saisissez éventuellement d'autres informations ou une description qui faciliteront le
traitement du fichier suspect.
116
Autre
Utilisez ce formulaire si le fichier ne peut pas être classé par catégorie en tant que fichier
suspect ou faux positif.
Motif de soumission du fichier
Décrivez en détail le motif d'envoi du fichier.
Quarantaine
La principale fonction de la quarantaine est de stocker les fichiers infectés en toute sécurité.
Les fichiers doivent être placés en quarantaine s'ils ne peuvent pas être nettoyés, s'il est
risqué ou déconseillé de les supprimer ou s'ils sont détectés erronément par ESET Mail
Security. Vous pouvez choisir de mettre n'importe quel fichier en quarantaine. Cette action
est conseillée si un fichier se comporte de façon suspecte, mais n'a pas été détecté par
l'analyseur de logiciels malveillants. Les fichiers en quarantaine peuvent être soumis pour
analyse au laboratoire de recherche d'ESET.
Les fichiers du dossier de quarantaine peuvent être visualisés dans un tableau qui affiche la
date et l'heure de mise en quarantaine, le chemin d'accès à l'emplacement d'origine du
fichier infecté, sa taille en octets, la raison (par exemple, objet ajouté par l'utilisateur) et le
nombre de menaces (s'il s'agit d'une archive contenant plusieurs infiltrations par exemple).
117
Si des messages sont placés dans la quarantaine des fichiers, un chemin vers la boîte aux
lettres/le dossier/le nom de fichier s'affiche.
Mise en quarantaine de fichiers
ESET Mail Security met automatiquement les fichiers supprimés en quarantaine (si vous
n'avez pas désactivé cette option dans la fenêtre d'alerte). Pour mettre manuellement en
quarantaine tout fichier suspect, cliquez sur Quarantaine. Les fichiers d'origine sont
supprimés de leur emplacement initial. Il est également possible d'utiliser le menu
contextuel à cette fin : cliquez avec le bouton droit dans la fenêtre Quarantaine et
sélectionnez l'option Quarantaine.
Restauration depuis la quarantaine
Les fichiers mis en quarantaine peuvent aussi être restaurés à leur emplacement
d'origine. L'option Restaurer est disponible dans le menu contextuel accessible en
cliquant avec le bouton droit sur le fichier dans le fenêtre Quarantaine. Si un fichier est
marqué comme étant une application potentiellement indésirable , l'option Restaurer
et exclure de l'analyse est également disponible. Le menu contextuel propose
également l'option Restaurer vers qui permet de restaurer des fichiers vers un
emplacement autre que celui d'origine dont ils ont été supprimés.
REMARQUE
Si le programme place en quarantaine, par erreur, un fichier inoffensif, il convient de le
restaurer, de l'exclure de l'analyse et de l'envoyer au service client d'ESET.
Soumission de fichiers mis en quarantaine
Si vous avez placé en quarantaine un fichier suspect non détecté par le programme ou si
un fichier a été considéré par erreur comme étant infecté (par exemple par l'analyse
heuristique du code) et placé en quarantaine, envoyez ce fichier au laboratoire d'ESET.
Pour soumettre un fichier mis en quarantaine, cliquez avec le bouton droit sur le fichier et
sélectionnez l'option Soumettre le fichier pour analyse dans le menu contextuel.
Suppression d'un élément de la quarantaine
Cliquez avec le bouton droit sur un élément donné, puis sélectionnez Supprimer
l'élément en quarantaine. Vous pouvez également sélectionner les éléments
applicables, puis appuyer sur Suppr sur votre clavier.
Paramètres de protection du serveur
Il s'agit de l'option d'intégration principale. Utilisez la barre du curseur pour activer ou
désactiver l'intégration de la protection de la base de données des boîtes aux lettres ou la
protection du transport des messages sur votre serveur Exchange Server.
118
REMARQUE
Si vous exécutez Microsoft Exchange Server 2007 ou 2010, vous pouvez choisir entre la
protection de la base de données de boîtes aux lettres et une analyse de base de
données de boîtes aux lettres à la demande. Seul un type de protection peut être activé à
la fois. Si vous choisissez d'utiliser l'analyse de base de données de boîtes aux lettres à la
demande, vous devez désactiver l'intégration de la protection de la base de données de
boîtes aux lettres. Sinon, l'analyse de base de données de boîtes aux lettres à la
demande ne sera pas disponible.
Vous pouvez également modifier la priorité de l'Agent.
ESET Mail Security offre à votre serveur Microsoft Exchange Server une excellente protection
grâce aux fonctionnalités suivantes :
• Antivirus et antispyware
• Protection antispam
• Protection antihameçonnage
• Règles
• Protection du transport des messages (Exchange Server 2007, 2010, 2013, 2016,
2019)
• Protection de la base de données des boîtes aux lettres (Exchange Server 2007, 2010)
• Analyse de base de données de boîtes aux lettres à la demande (Exchange
Server 2007, 2010, 2013, 2016, 2019)
• Quarantaine de messages (paramètres du type de quarantaine de messages)
Configuration de la priorité des agents
Si cela s'avère nécessaire, vous pouvez spécifier l'ordre dans lequel les Agents ESET Mail
Security deviennent actifs après le démarrage de Microsoft Exchange Server. Une valeur
numérique définit la priorité. Plus la valeur est faible, plus la priorité est élevée. Cette
configuration s'applique à Microsoft Exchange Server 2007 et versions ultérieures.
119
Monter/Descendre
Augmente ou diminue la priorité de l'Agent sélectionné par son déplacement vers le haut
dans la liste des Agents.
Antivirus et antispyware
Dans cette section, vous pouvez configurer les options Antivirus et antispyware pour votre
serveur de messagerie.
IMPORTANT
la protection du transport des messages est assurée par l'agent de transport et est
uniquement disponible pour Microsoft Exchange Server 2007 ou version ultérieure. Votre
serveur Exchange Server doit toutefois avoir le rôle serveur de transport Edge ou
serveur de transport Hub. Cela s'applique également à une seule installation de
serveur avec plusieurs rôles Exchange Server sur un ordinateur (s'il comprend le rôle de
serveur de transport Edge ou Hub).
Protection du transport des messages
Si vous désactivez l'option Activer la protection antivirus et antispyware du
transport des messages, le plugin ESET Mail Security du serveur Exchange n'est pas
déchargé depuis le processus du serveur Microsoft Exchange. Il passe uniquement en
120
revue les messages sans rechercher les virus sur la couche de transport. Les messages
font toujours l'objet d'une recherche de virus et de courrier indésirable sur la couche de
base de données et les règles existantes sont appliquées.
Protection de la base de données de boîtes aux lettres
Si vous désactivez l'option Activer la protection antivirus et antispyware de la base
de données de boîtes aux lettres, le plugin ESET Mail Security du serveur Exchange
n'est pas déchargé depuis le processus du serveur Microsoft Exchange. Il passe
uniquement en revue les messages sans rechercher les virus sur la couche de base de
données. Les messages font toujours l'objet d'une recherche de virus et de courrier
indésirable sur la couche de transport et les règles existantes sont appliquées.
Analyse de base de données de boîtes aux lettres à la demande
Cette option est disponible après la désactivation de la protection de la base de
données de boîtes aux lettres dans la section Serveur.
Paramètres ThreatSense
Modifiez les paramètres d'analyse pour la protection du transport des messages, la
protection de la base de données de boîtes aux lettres et l'analyse de base de données de
boîtes aux lettres à la demande.
121
Protection antispam
La protection antispam de votre serveur de messagerie est activée par défaut. Pour la
désactiver, utilisez la barre du curseur en regard de l'option Activer la protection
antispam.
REMARQUE
La désactivation de la protection antispam ne modifie pas l'état de la protection. Bien que
la protection antispam soit désactivée, un état de Vous êtes protégé vert est toujours
affiché dans la section Supervision de l'interface utilisateur graphique principale. La
désactivation de la protection antispam n'est pas considérée comme une baisse du
niveau de protection.
Utiliser les listes blanches Exchange Server pour contourner la protection
antispam
ESET Mail Security peut utiliser les listes blanches spécifiques d'Exchange. Lorsqu'elle est
activée, les éléments suivants sont à prendre en compte :
• L'adresse IP du serveur figure dans la liste des adresses IP autorisées du serveur
Exchange Server.
• La boîte aux lettres du destinataire du message comporte un indicateur de non-prise
en charge de la protection antispam.
• Le destinataire du message dispose de l'adresse de l'expéditeur dans la liste des
122
expéditeurs approuvés (vérifiez que vous avez configuré la synchronisation de la liste
des expéditeurs approuvés dans l'environnement de serveur Exchange Server, y
compris Agrégation de listes fiables).
Si l'un des cas ci-dessus s'applique à un message entrant, la vérification antispam est
ignorée pour ce message. Par conséquent, l'éventuelle nature INDÉSIRABLE de ce
message n'est pas évaluée et il est remis à la boîte aux lettres du destinataire.
Accepter l’indicateur de contournement antispam défini sur la session SMTP
Est utile si vous avez authentifié les sessions SMTP entre les serveurs Exchange Server
avec le paramètre de contournement antispam. Par exemple, si vous avez un serveur
Edge et un serveur Hub, il n'est pas nécessaire d'exécuter l'analyse sur le trafic entre ces
deux serveurs. L'option Accepter l'indicateur de non-prise en charge de la
protection antispam défini sur la session SMTP est activée par défaut. Elle n'est
toutefois appliquée que si un indicateur de contournement antispam est configuré pour la
session SMTP sur le serveur Exchange Server. Si vous désactivez l'option Accepter
l'indicateur de non-prise en charge de la protection antispam défini sur la
session SMTP, ESET Mail Security analyse la session SMTP pour rechercher du courrier
indésirable indépendamment du paramètre de contournement antispam sur le serveur
Exchange Server.
REMARQUE
la base de données antispam doit être mise à jour régulièrement pour que le module de
blocage de courrier indésirable offre la meilleure protection. Pour mettre à jour
régulièrement la base de données antispam, vérifiez que ESET Mail Security a accès aux
adresses IP correctes sur les ports nécessaires. Pour plus d'informations sur les adresses
IP et les ports à activer sur le pare-feu tiers, reportez-vous à cet article de base de
connaissances .
Des paramètres supplémentaires pour chaque fonctionnalité figurent dans la section propre à
chacune d'entre elle :
• Filtrage et vérification
• Paramètres avancés
• Paramètres de mise en liste grise
• SPF et DKIM
• Protection de rétrodiffusion
• Protection contre l'usurpation de l'expéditeur
Filtrage et vérification
Vous pouvez configurer des listes d'éléments approuvés, bloqués et ignorés en spécifiant
des critères tels que l'adresse IP ou la plage, le nom de domaine, etc. Pour ajouter, modifier
ou supprimer un critère, cliquez sur Modifier pour la liste à gérer.
123
REMARQUE
Les adresses IP ou les domaines inclus dans les listes Ignorés ne seront pas testés par
Antispam, mais d'autres techniques de protection antispam seront appliquées.
Les listes Ignorés doivent contenir l'ensemble des adresses IP/noms de domaine de
l'infrastructure interne. Vous pouvez également inclure les adresses IP/noms de domaine
de vos FAI ou serveurs de messagerie externes qui sont actuellement mis en liste noire
par l'un des RBL ou DNSBL (liste noire dans le cloud - Blackhole List ESET ou tiers). Vous
pouvez ainsi recevoir des e-mails de sources incluses dans les listes Ignorés, même si
leurs adresses IP sont sur liste noire dans le cloud. Ces messages électroniques entrants
sont reçus et leur contenu est davantage inspecté par d'autres techniques de protection
antispam.
Liste des adresses IP Met automatiquement en liste blanche les messages électroniques
approuvées
provenant des adresses IP spécifiées. Le contenu de l'e-mail ne sera
pas vérifié.
Liste des adresses IP Bloque automatiquement les messages électroniques provenant des
bloquées
adresses IP spécifiées.
Liste des adresses IP Liste des adresses IP qui sont ignorées pendant la classification. Le
ignorées
contenu de l'e-mail sera vérifié. Utilisez la barre du curseur Fait
partie de l'infrastructure interne si vous mettez en liste blanche
les adresses IP locales du réseau. Voir l'exemple ci-dessous.
Liste des domaines
de corps bloqués
Bloque les messages électroniques qui contiennent le domaine
spécifié dans le corps. Seuls les domaines avec un vrai domaine de
niveau supérieur sont acceptés.
Liste des domaines
de corps ignorés
Les domaines spécifiés dans le corps des messages sont ignorés
pendant la classification. Seuls les domaines avec un vrai domaine de
niveau supérieur sont acceptés.
Liste des adresses IP Bloque les messages électroniques qui contiennent une adresse IP
de corps bloquées
spécifiée dans le corps.
Liste des adresses IP Les adresses IP spécifiées dans le corps des messages sont ignorées
de corps ignorées
pendant la classification.
Liste des expéditeurs Ajoute sur liste blanche les e-mails provenant d’un expéditeur
approuvés
spécifique. Une seule adresse d'expéditeur ou un domaine entier est
utilisé pour la vérification selon la priorité suivante :
1.SMTP 'MAIL FROM' adresse
2.Champ d'en-tête d'e-mail "Return-Path:"
3.Champ d'en-tête d'e-mail "X-Env-Sender:"
4.Champ d'en-tête d'e-mail "From:"
5.Champ d'en-tête d'e-mail "Sender:"
6.Champ d'en-tête d'e-mail "X-Apparently-From:"
Liste des expéditeurs Bloque les e-mails provenant d'un expéditeur spécifique. Toutes les
bloqués
adresses des expéditeurs identifiées ou des domaines entiers sont
utilisés pour la vérification :
SMTP 'MAIL FROM' adresse
Champ d'en-tête d'e-mail "Return-Path:"
Champ d'en-tête d'e-mail "X-Env-Sender:"
Champ d'en-tête d'e-mail "From:"
Champ d'en-tête d'e-mail "Sender:"
Champ d'en-tête d'e-mail "X-Apparently-From:"
124
Liste des domaines Met en liste blanche les messages électroniques provenant des
approuvés résolus en adresses IP qui sont résolues à partir des domaines spécifiés dans
adresses IP
cette liste. Les enregistrements SPF (Sender Policy Framework) sont
reconnus lors de la résolution des adresses IP.
Liste des domaines
bloqués résolus en
adresses IP
Bloque les messages électroniques provenant des adresses IP qui sont
résolues à partir des domaines spécifiés dans cette liste. Les
enregistrements SPF sont reconnus lors de la résolution des adresses
IP.
Liste des domaines
ignorés résolus en
adresses IP
Liste des domaines qui sont résolus en adresses IP qui ne sont pas
vérifiées pendant la classification. Les enregistrements SPF sont
reconnus lors de la résolution des adresses IP.
Liste des pays
bloqués
Bloque les messages électroniques des pays spécifiés. Le blocage
repose sur GeoIP. Si un courrier indésirable est envoyé à partir d'un
serveur de messagerie dont l'adresse IP est répertoriée dans la base
de données de géolocalisation pour un pays que vous avez
sélectionné dans les pays bloqués, il sera automatiquement marqué
comme courrier indésirable et une action sera effectuée selon le
paramètre Action à entreprendre sur les messages de courrier
indésirable sous Protection du transport des messages.
REMARQUE
Les listes de domaine du corps n'acceptent que les domaines avec un vrai domaine de
premier niveau, conformément à la liste officielle Base de données de zones racines de
domaines de premier niveau .
Si vous souhaitez ajouter plus d'entrées à la fois, cliquez sur Entrer plusieurs valeurs dans
la fenêtre contextuelle Ajouter, puis sélectionnez le séparateur à utiliser : Nouvelle ligne,
Virgule ou Point-virgule.
EXEMPLE
Objectif : Exclure les adresses IP locales de votre infrastructure de la protection antispam
en les ajoutant à la liste des adresses IP ignorées
Accédez à Configuration avancée (F5) > Serveur > Protection antispam >
Filtrage et vérification.
Cliquez sur Modifier en regard de la liste des adresses IP ignorées.
Cliquez sur Ajouter et spécifiez la plage d'adresses IP de votre infrastructure réseau
(format de la plage d'adresses IP : 1.1.1.1-1.1.1.255). Vous pouvez continuer à ajouter
d'autres plages (ou des adresses IP uniques) à la liste, si nécessaire.
Utilisez la barre du curseur Fait partie de l'infrastructure interne.
Mise en liste grise et SPF
Indiquez la liste blanche des domaines en adresses IP ou la liste des adresses IP pour
contourner automatiquement la mise en liste grise et SPF Vous pouvez consulter les fichiers
journaux dans la section Journal de la protection SMTP. Pour utiliser ces options, vous devez
activer Mise en liste grise, SPF ou les deux. Si vous activez SPF, vous devez activer la
configuration Refuser automatiquement les messages en cas d'échec de la
vérification SPF et/ou Ignorer automatiquement la mise en liste grise en cas de
125
réussite de la vérification SPF.
Utiliser les listes antispam pour contourner automatiquement la mise en liste grise
et SPF
Lorsque cette option est activée, la liste des adresses IP approuvées et ignorées est
utilisée avec les listes blanches des adresses IP et des domaines pour contourner
automatiquement la mise en liste grise et SPF.
Liste blanche des adresses IP
Vous pouvez ajouter une adresse IP, une adresse IP avec un masque et une plage
d'adresses IP. Vous pouvez modifier la liste en cliquant sur Ajouter, Modifier ou
Supprimer. Vous pouvez aussi importer votre liste personnalisée à partir d'un fichier
plutôt que d'ajouter chaque entrée manuellement, cliquer sur Importer et accéder au
fichier contenant les entrées à ajouter à la liste. De même, si vous devez exporter la liste
existante vers un fichier, sélectionnez Exporter dans le menu contextuel.
REMARQUE
Les listes blanches sont prioritaires par rapport aux listes noires, c’est-à-dire qu'un e-mail
contenant une adresse en liste blanche et en liste noire sera mis en liste blanche. Seuls la
dernière adresse de l'expéditeur et le nombre maximal d'adresses vérifiées à partir des
en-têtes Received: sont vérifiés par rapport aux listes blanches. Toutes les adresses sont
vérifiées par rapport aux listes noires locales.
Liste blanche des domaines en adresses IP
Cette option permet de spécifier des domaines (domainname.local, par exemple). Pour
gérer la liste, utilisez les commandes Ajouter, Supprimer ou Supprimer tout. Si vous
souhaitez importer votre liste personnalisée à partir d'un fichier plutôt que d'ajouter
chaque entrée manuellement, cliquez sur Importer et accédez ensuite au fichier
contenant les entrées à ajouter à la liste. De même, si vous devez exporter la liste
existante vers un fichier, sélectionnez Exporter dans le menu contextuel.
REMARQUE
La mise en liste grise et SPF sont évalués par la protection du transport de courrier et
permettent d'utiliser les listes blanches des adresses IP et des domaines vers les
adresses IP, ainsi que la liste des adresses IP approuvées et ignorées. Toutefois, si vous
utilisez des règles SPF, aucune de ces listes blanches n'est prise en compte pour les
règles.
Antispam - Configurations avancées
Ces paramètres permettent la vérification des messages par des serveurs externes (définis
comme RBL - Realtime Blackhole List, DNSBL - DNS Blocklist) selon des critères prédéfinis.
Nombre maximal d'adresses vérifiées à partir des en-têtes Received
126
Vous pouvez limiter le nombre d'adresses IP vérifiées par l'analyse antispam. Il s'agit des
adresses IP écrites dans les en-têtes Received: from. La valeur par défaut est 0, ce qui
signifie que seule l'adresse IP du dernier expéditeur identifié est vérifiée.
Vérifiez l'adresse de l'expéditeur dans la liste noire des utilisateurs finaux
Les e-mails qui ne sont pas envoyés à partir de serveurs de messagerie (ordinateurs qui
ne sont pas répertoriés en tant que serveurs de messagerie) sont vérifiés afin de
s'assurer que l'expéditeur ne figure pas dans la liste noire. Cette option est activée par
défaut. Si nécessaire, vous pouvez la désactiver. Dans ce cas, les messages qui ne sont
pas envoyés à partir de serveurs de messagerie ne seront pas vérifiés dans la liste noire.
REMARQUE
Les résultats des listes de blocage de tiers externes ont la priorité par rapport à la liste
noire des utilisateurs finaux pour les adresses IP dans les en-têtes Received: from. Toutes
les adresses IP (jusqu’au nombre maximal spécifié d’adresses vérifiées) sont envoyées
pour évaluation par des serveurs de tiers externes.
Serveurs RBL supplémentaires
Il s'agit d'une liste de serveurs RBL (Realtime Blackhole List) qui sont interrogés lors de
l'analyse des messages.
REMARQUE
Lorsque vous ajoutez un serveur RBL supplémentaire, saisissez le nom de domaine du
serveur (sbl.spamhaus.org, par exemple). Il fonctionnera avec les codes de retour pris en
charge par le serveur.
Vous pouvez également spécifier un nom de serveur avec un code de retour dans le format
serveur:réponse (par exemple, zen.spamhaus.org:127.0.0.4). Lorsque vous utilisez ce
format, il est recommandé d'ajouter chaque nom de serveur et code de retour séparément ;
vous obtiendrez ainsi une liste complète. Cliquez sur Entrer plusieurs valeurs dans la
fenêtre Ajouter pour spécifier tous les noms de serveur avec leur code de retour. Les
entrées doivent ressembler à l'exemple suivant (les noms d'hôte des serveurs RBL et les
codes de retour peuvent varier) :
127
Limite d'exécution de requête RBL (en secondes)
Cette option vous permet de définir une durée maximale pour les requêtes RBL. Les
réponses RBL utilisées sont celles qui proviennent exclusivement des serveurs RBL qui
ont répondu dans les temps. Si la valeur est définie sur 0, aucun délai n'est appliqué.
Nombre maximal d'adresses vérifiées dans la liste noire RBL
Cette option vous permet de limiter le nombre d'adresses IP qui sont interrogées sur le
serveur RBL. Notez que le nombre total d'interrogations RBL correspond au nombre
d'adresses IP figurant dans les en-têtes Reçu (jusqu'à un maximum d'adresses IP
maxcheck RBL) multiplié par le nombre de serveurs RBL indiqués dans la liste RBL. Si la
valeur est définie sur 0, un nombre illimité d'en-têtes reçus est vérifié. Notez que les
adresses IP figurant dans la liste des adresses IP ignorées ne sont pas prises en compte
dans la limite des adresses IP RBL.
Serveurs DNSBL supplémentaires
Il s'agit d'une liste de serveurs DNSBL (DNS Blocklist) à interroger, avec les domaines et
les adresses IP extraits du corps du message.
REMARQUE
Lorsque vous ajoutez un serveur DNSBL supplémentaire, saisissez le nom de domaine du
serveur (dbl.spamhaus.org, par exemple). Il fonctionnera avec les codes de retour pris en
charge par le serveur.
128
Vous pouvez également spécifier un nom de serveur avec un code de retour sous la forme
serveur:réponse (par exemple, zen.spamhaus.org:127.0.0.4). Dans ce cas, il est
recommandé d'ajouter chaque nom de serveur et code de retour séparément ; vous
obtiendrez ainsi une liste complète. Cliquez sur Entrer plusieurs valeurs dans la fenêtre
Ajouter pour spécifier tous les noms de serveur avec leur code de retour. Les entrées
doivent ressembler à l'exemple suivant (les noms d'hôte des serveurs DNSBL et les codes de
retour peuvent varier) :
Limite d'exécution de requête DNSBL (en secondes)
Permet de définir un délai maximal pour l'exécution de toutes les requêtes DNSBL.
Nombre maximum d'adresses vérifiées par rapport à DNSBL
Cette option vous permet de limiter le nombre d'adresses IP qui sont interrogées sur le
serveur DNS Blocklist.
Nombre maximal de domaines vérifiés dans la liste noire DNSBL
129
Cette option vous permet de limiter le nombre de domaines qui sont interrogés sur le
serveur DNS Blocklist.
Taille de message maximale à analyser (kB)
Limite l'analyse antispam des messages plus volumineux que la valeur spécifiée. La
valeur par défaut 0 signifie une analyse de taille de messages illimitée. Normalement, il
n'y a aucune raison de limiter l'analyse antispam. Si vous devez toutefois la limiter dans
certaines situations, remplacez la valeur par la taille requise. Une fois cette option définie,
le moteur antispam traite les messages dont la taille va jusqu'à celle spécifiée et ignore
les messages plus volumineux.
REMARQUE
La limite la plus petite autorisée est 12 kB. Si vous définissez une valeur de 1 à 12, le
moteur antispam continuera toujours à lire les messages dont la taille est supérieure ou
égale à 12 kB.
Activer le rejet temporaire des messages indéterminés
Lorsque le moteur antispam ne parvient pas à déterminer si le message est un COURRIER
INDÉSIRABLE ou non, ce qui signifie que le message comporte des caractéristiques de
COURRIER INDÉSIRABLE suspects mais pas suffisants pour être marqué comme
COURRIER INDÉSIRABLE, (premier courrier électronique d'une campagne ou message
provenant d'une plage d'adresses IP avec des évaluations mixtes, par exemple), ce
paramètre (s'il est activé) permet à ESET Mail Security de refuser temporairement ce
message, comme les listes grises, et de continuer à le refuser jusqu'à ce que :
• La période se soit écoulée et que le message soit accepté à la prochaine remise. Ce
message conserve la classification initiale (COURRIER INDÉSIRABLE ou MESSAGE
SOUHAITÉ).
• Le cloud antispam recueille suffisamment de données et soit capable de classer
correctement le message avant que la période ne s'écoule.
Le message refusé n'est pas conservé par ESET Mail Security et doit être renvoyé par le
serveur de messagerie d'envoi, conformément au document RFC SMTP.
Activer l'envoi des messages temporairement rejetés pour analyse
Le contenu des messages est automatiquement envoyé pour analyse. La classification
des messages est ainsi améliorée pour les prochains messages électroniques.
IMPORTANT
Il est possible que les messages temporairement refusés qui sont envoyés pour analyse
soient en réalité des MESSAGES SOUHAITÉS. Dans de rares cas, les messages
temporairement refusés peuvent être utilisés pour une évaluation manuelle. Activez
uniquement cette fonctionnalité lorsqu'il n'y a aucun risque de fuite de données
sensibles.
130
Paramètres de mise en liste grise
La fonction Activer la mise en liste grise active une fonctionnalité qui protège les
utilisateurs du courrier indésirable à l'aide de la technique suivante : L'agent de transport
envoie une valeur de retour SMTP indiquant un rejet temporaire (temporarily reject) (la
valeur par défaut est 451/4.7.1) pour tout message qui ne provient pas d'un expéditeur
reconnu. Un serveur légitime essaie de renvoyer le message après un délai. Les serveurs de
courrier indésirable n'essaient généralement pas de renvoyer le message, car ils envoient
des messages à des milliers d'adresses électroniques et ne perdent pas de temps à relancer
des expéditions. La mise en liste grise est une couche supplémentaire de protection
antispam et n'a aucun effet sur les fonctionnalités d'évaluation du module de blocage de
courrier indésirable.
Lors de l'évaluation de la source du message, la méthode de mise en liste grise prend en
compte les listes d'adresses IP approuvées, ignorées, autorisées et d'expéditeurs sûrs
sur le serveur Exchange et les paramètres AntispamBypass de la boîte aux lettres du
destinataire. Les messages de ces listes d'adresses IP/d'expéditeurs ou ceux remis à une
boîte aux lettres dont l'option AntispamBypass est activée sont ignorés par la méthode de
détection de mise en liste grise.
Utiliser uniquement la partie domaine de l'adresse de l'expéditeur
Ignore le nom de l'expéditeur dans l'adresse électronique ; seul le domaine est pris en
compte.
Synchroniser les bases de données de mise en liste grise dans le cluster ESET
Les entrées de base de données de mise en liste grise sont partagées en temps réel entre
les serveurs dans le cluster ESET. Lorsque l'un des serveurs reçoit un message traité par
la mise en liste grise, ces informations sont diffusées par ESET Mail Security sur les autres
nœuds du cluster ESET.
Durée maximale du refus de connexion initiale (min)
Lorsqu'un message est remis pour la première fois et qu'il est refusé temporairement, ce
paramètre définit la période pendant laquelle le message est toujours refusé (mesuré
depuis le premier refus). Une fois la période écoulée, le message est reçu correctement.
La valeur minimum que vous entrez est de 1 minute.
Heure d’expiration des connexions non vérifiées (heures)
Ce paramètre définit l'intervalle minimum pendant lequel les données de triplet sont
stockées. Un serveur valide doit renvoyer un message souhaité avant l'expiration de cette
période. Cette valeur doit être supérieure à la valeur Durée limite du refus de
connexion initial.
Délai d’expiration des connexions vérifiées (jours)
131
Nombre minimum de jours pendant lesquels les informations de triplet doivent être
stockées et pendant lesquels les messages d'un expéditeur défini sont reçus sans délai.
Cette valeur doit être supérieure à la valeur Durée avant expiration des connexions
non vérifiées.
Réponse SMTP pour les réponses temporairement refusées.
Spécifiez un code de réponse, un code d'état et un message de réponse, qui
définissent la réponse de refus temporaire SMTP envoyée au serveur SMTP si un message
est refusé. Exemple de message de réponse de rejet SMTP :
Code de réponse Code d'état Message de réponse
451
4.7.1
Réessayez ultérieurement
AVERTISSEMENT
une syntaxe incorrecte des codes de réponses SMTP peut provoquer un
dysfonctionnement de la protection par mise en liste grise. En conséquence, les
messages de courrier indésirable peuvent être remis à des clients ou des messages ne
peuvent pas être délivrés du tout.
REMARQUE
Vous pouvez également utiliser des variables système lors de la définition de la réponse
SMTP de rejet.
Tous les messages qui ont été évalués à l'aide de la méthode de mise en liste grises sont
enregistrés dans le journal de la protection SMTP.
SPF et DKIM
SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail) servent de méthodes de
validation permettant de vérifier qu'un message électronique entrant déclarant provenir d'un
domaine spécifique a été autorisé par le propriétaire du domaine. Les destinataires sont ainsi
protégés contre les messages électroniques falsifiés. ESET Mail Security utilise également
l'évaluation DMARC (Domain-based Message Authentication, Reporting and Conformance)
pour améliorer encore davantage SPF et DKIM.
SPF
Une vérification est effectuée afin de vérifier si un message électronique a été envoyé par un
expéditeur légitime. Une recherche DNS des enregistrements SPF du domaine de l'expéditeur
est effectuée afin d'obtenir une liste d'adresses IP. Si l'une des adresses IP des
enregistrements SPF correspond à l'adresse IP de l'expéditeur, la vérification SPF est
réussie. Si l'adresse IP de l'expéditeur ne correspond pas, la vérification a échoué. Tous les
domaines n'ont toutefois pas d'enregistrements SPF définis dans DNS. Si DNS ne contient
aucun enregistrement DNS, le résultat de la vérification n'est pas disponible. Une demande
DNS peut occasionnellement expirer. Dans ce cas, le résultat n'est également pas
disponible.
132
DKIM
Est utilisé par les organisations pour empêcher l'usurpation des messages électroniques en
ajoutant une signature numérique aux en-têtes des messages sortants selon la norme DKIM.
Cela implique l'utilisation d'une clé de domaine privée pour chiffrer les en-têtes sortants du
domaine et l'ajout d'une version publique de la clé pour les enregistrements DNS du
domaine. ESET Mail Security peut ensuite récupérer la clé publique pour déchiffrer les entêtes entrants et vérifier que le message provient véritablement du domaine et que ses entêtes n'ont pas été modifiés.
REMARQUE
Exchange Server 2010 et les versions antérieures ne sont pas entièrement compatibles
avec DKIM, car les en-têtes inclus dans les messages entrants signés numériquement
peuvent être modifiés lors de la validation DKIM.
DMARC
S'appuie sur les deux mécanismes SPF et DKIM existants. Vous pouvez utiliser les règles de la
protection du transport des messages pour évaluer le résultat DMARC et l'action
Appliquer la stratégie DMARC.
Détection automatique des serveurs DNS
Utilise les paramètres de votre carte réseau.
133
Adresse IP du serveur DNS
Si vous souhaitez utiliser un serveur DNS spécifique pour SPF et DKIM, saisissez l'adresse
IP (au format IPv4 ou IPv6) du serveur DNS à utiliser.
Délai d'expiration des requêtes DNS (en secondes)
Indiquez le délai d'expiration de la réponse DNS.
Refuser automatiquement les messages en cas d'échec de la vérification SPF
Si la vérification SPF échoue immédiatement, un message électronique peut être refusé
avant son téléchargement.
EXEMPLE
La vérification SPF est effectuée sur la couche SMTP. Elle peut toutefois être refusée
automatiquement sur la couche SMTP ou pendant l'évaluation des règles.
Il n'est pas possible de consigner les messages refusés dans le journal des événements si
vous utilisez le refus automatique sur la couche SMTP. En effet, la journalisation est
effectuée par une action de règle et le refus automatique est réalisé directement sur la
couche SMTP qui a lieu avant l'évaluation des règles. Comme les messages sont refusés
avant l'évaluation des règles, il n'y a aucune information à consigner au moment de
l'évaluation des règles.
Vous pouvez consigner les messages refusés uniquement s'ils ont été refusés par une
action de règle. Pour refuser les messages qui n'ont pas réussi la vérification SPF et les
consigner, désactivez l'option Refuser automatiquement les messages en cas
d'échec de la vérification SPF et créez la règle suivante pour la protection du
transport des messages :
Condition
Type : Résultat SPF
Opération : est
Paramètre : Échec
Actions
Type : Refuser le message
Type :Journaliser les événements
Utiliser l'en-tête From : si MAIL FROM est vide
L'en-tête MAIL FROM peut être vide. Il peut être aussi falsifié. Lorsque cette option est
activée et que MAIL FROM est vide, le message est téléchargé et l'en-tête From: est
utilisé à la place.
Ignorer automatiquement la mise en liste grise en cas de réussite de la vérification
SPF
Il n'y a aucune raison d'utiliser la mise en liste grise pour un message en cas de réussite
de la vérification SPF.
Réponse de refus SMTP
134
Vous pouvez spécifier un code de réponse, un code d'état et un message de
réponse, qui définissent la réponse de refus temporaire SMTP envoyée au serveur SMTP
si un message est refusé. Vous pouvez saisir un message de réponse au format suivant :
Code de réponse Code d'état Message de réponse
550
5.7.1
Échec de la vérification SPF
Protection de rétrodiffusion
La rétrodiffusion du courrier indésirable correspond aux notifications de non-remise
incorrectement adressées, envoyées par les serveurs de messagerie. La rétrodiffusion est un
effet secondaire indésirable du courrier indésirable. Lorsqu'un courrier indésirable est rejeté
par le serveur de messagerie du destinataire, un rapport de non-remise (NDR), également
appelé notification de non-remise, est envoyé à un expéditeur supposé (une adresse e-mail
falsifiée utilisée en tant qu'expéditeur du courrier indésirable d'origine), et non à l'expéditeur
réel du courrier indésirable. Un utilisateur, qui possède l'adresse e-mail, reçoit une
notification de non-remise, même s'il n'était pas du tout impliqué dans l'envoi du courrier
indésirable d'origine. C'est à ce moment que la protection de rétrodiffusion entre en jeu.
Vous pouvez empêcher la remise des rapports de non-remise dans les boîtes aux lettres des
utilisateurs au sein de votre organisation à l'aide de la protection de rétrodiffusion de ESET
Mail Security.
Lorsque vous activez la vérification NDR, vous devez indiquer une valeur initiale de
signature (chaîne comportant au moins 8 caractères, comme une phrase secrète). La
protection de rétrodiffusion de ESET Mail Security écrit la chaîne X-Eset-NDR: <hash> dans
l'en-tête de chaque e-mail sortant. La chaîne <hash> est une signature chiffrée qui contient
également la valeur initiale de la signature spécifiée.
Si un e-mail valable n'a pas pu être remis, votre serveur de messagerie reçoit généralement
un rapport de non-remise, qui est vérifié par ESET Mail Security en recherchant la chaîne XEset-NDR: <hash> dans l'en-tête. Si la chaîne X-Eset-NDR: est présente et que la signature
<hash> correspond, le rapport de non-remise est remis au destinataire de l'e-mail valable
indiquant l'échec de la remise du message. Si la chaîne Eset-NDR: est absente ou que la
signature <hash> est incorrecte, il s'agit d'une rétrodiffusion et le rapport de non-remise est
rejeté.
Ignorer automatiquement les messages NDR si la vérification échoue
Si la vérification NDR échoue immédiatement, un message électronique peut être refusé
avant son téléchargement.
Vous pouvez consulter l'activité Protection de rétrodiffusion dans la section Journal de la
protection SMTP.
135
Protection contre l'usurpation de
l'expéditeur
L'usurpation d'identité de l'expéditeur d'un e-mail est une pratique courante dans laquelle un
attaquant falsifie le nom ou l'adresse e-mail de l'expéditeur dans le but de tromper le
destinataire. Pour le destinataire de l'e-mail, ce type d'e-mail usurpé semble être un e-mail
authentique, ce qui constitue un risque. L'arnaque au PDG (CEO fraud) est un type
d'usurpation d'identité de l'expéditeur (l'attaquant se fait passer pour le PDG). Les employés
ne remettent pas en question ce type d'e-mail, ce qui permet à la personne malveillante de
réussir son attaque. L'usurpation d'identité ne s'applique pas uniquement aux PDG. Elle
usurpe souvent l'identité d'un véritable expéditeur, généralement une personne présente
dans le répertoire Active Directory de votre entreprise. Le message e-mail usurpé semble
alors très convaincant pour un destinataire peu méfiant, et peut facilement gagner sa
confiance.
ESET Mail Security propose une protection contre ce type de menace. La protection contre
l’usurpation de l’expéditeur vérifie si les informations de l’expéditeur sont valides à l’aide de
plusieurs méthodes.
La protection contre l'usurpation de l'expéditeur recherche le domaine contenu dans le
champ d'en-tête de l'e-mail "From:" et l'expéditeur de l'enveloppe, puis compare le domaine
trouvé aux listes de domaines. Si le domaine est différent, le message est considéré comme
valide (et non usurpé) et est traité par d’autres couches de protection d'ESET Mail Security.
Toutefois, si le domaine correspond à un domaine de la liste, il est peut-être usurpé et
nécessite une vérification supplémentaire.
Selon le paramètre, une vérification supplémentaire est effectuée. Vérification SPF, l'adresse
IP de l'enveloppe est vérifiée par rapport aux listes d'adresses IP, ou le message est
considéré automatiquement comme usurpé. Si le résultat de la vérification SPF est positif, ou
si l'adresse IP de l'enveloppe correspond à une adresse IP de la liste, le message est valide ;
sinon, il s'agit d'une usurpation. Une action est exécutée sur le message usurpé.
Vous pouvez utiliser la protection contre l'usurpation de l’expéditeur de deux façons
différentes :
• Activez Protection contre l'usurpation de l'expéditeur, configurez les paramètres
et spécifiez éventuellement des domaines et des listes d'adresses IP. L’action par défaut
sur les messages e-mail usurpés est Message en quarantaine. Pour modifier l’action
exécutée, accédez aux configurations avancées de la protection du transport des
messages.
• Ayez recours aux règles de protection du transport des messages, en utilisant la
condition Résultat SPF - En-tête De ou Résultat de la comparaison entre
l’expéditeur de l’enveloppe et l’en-tête De avec une action de votre choix. Les
règles vous offrent d’autres options et combinaisons si vous souhaitez obtenir un
comportement spécifique en ce qui concerne les messages e-mail usurpés.
136
Lorsque la protection contre l'usurpation de l'expéditeur est utilisée ou si un type d'action de
règle Journaliser les événements est spécifié, tous les messages qui ont été évalués par la
protection contre l'usurpation de l’expéditeur sont consignés dans les fichiers journaux. De
même, vous pouvez trouver des messages e-mail usurpés dans la Quarantaine de messages
lorsqu'une action est définie sur Message en quarantaine dans la protection du transport
des messages ou définie dans les règles.
Activer la protection contre l'usurpation de l'expéditeur
Activez la protection contre l'usurpation de l'expéditeur pour empêcher les attaques par
e-mail qui tentent de tromper les destinataires sur l'origine du message (identité de
l'expéditeur usurpée).
Activer les e-mails entrants avec mon propre domaine dans l’adresse de
l’expéditeur
Permet aux messages qui contiennent votre propre domaine dans l'en-tête d'e-mail
"From:" ou l'expéditeur de l'enveloppe (donc soupçonnés d'être usurpés) d'être vérifiés
davantage :
• Uniquement en cas de vérification SPF réussie : repose sur l'activation de SPF. Si le
résultat SPF est positif, le message est considéré comme valide et traité pour sa remise.
Si le résultat SPF est négatif, le message est usurpé (une action est exécutée). Vous
pouvez éventuellement activer l'option Refuser automatiquement les messages en cas
d'échec de la vérification SPF.
• Uniquement lorsque les adresses IP figurent dans la liste des adresses IP de
l’infrastructure : compare l'adresse IP de l'enveloppe par rapport aux listes d'adresses IP
(liste de mes propres adresses IP et liste des adresses IP ignorées marquées comme
Fait partie de l'infrastructure interne). Si l’adresse IP a une correspondance, le
message est valide et traité pour sa remise. Si l’adresse IP n'a pas de correspondance,
le message est usurpé (une action est exécutée).
• Jamais : si un message entrant contient votre propre domaine dans l’en-tête d'e-mail
"From:" ou l’expéditeur de l’enveloppe, il est automatiquement considéré comme étant
usurpé sans autre vérification. Une action est exécutée sur le message. Pour plus
d'informations sur les options d’action, consultez protection du transport des messages.
Charger automatiquement mes propres domaines à partir de la liste des domaines
acceptés
Il est vivement recommandé d’activer cette option pour conserver le niveau de protection
le plus élevé. De cette façon, les domaines et les adresses IP de votre infrastructure sont
pris en compte lors de l'évaluation par la protection contre l'usurpation de l'expéditeur.
Liste de mes propres domaines
Domaines considérés comme les vôtres. Ajoutez les domaines qui seront utilisés pendant
l’évaluation, en plus des domaines chargés automatiquement depuis Active Directory. Le
137
ou les domaines de l’expéditeur seront comparés aux domaines de ces listes. Si le
domaine n'a aucune correspondance, le message est valide. Si le domaine a une
correspondance, une vérification supplémentaire est effectuée en fonction du paramètre
Activer les e-mails entrants avec mon propre domaine dans l’adresse de
l’expéditeur.
Liste de mes propres adresses IP
Adresses IP considérées comme non fiables. Ajoutez les adresses IP qui seront utilisées
pendant l’évaluation, en plus des adresses IP de la liste des adresses IP ignorées
marquées comme Fait partie de l’infrastructure interne. L’adresse IP de l’enveloppe
de l’expéditeur est comparée aux adresses IP de ces listes. Si l’adresse IP de l’enveloppe
a une correspondance, le message est valide. Si l’adresse IP n'a pas de correspondance,
le message est usurpé et une action est exécutée.
Protection antihameçonnage
Le terme hameçonnage désigne une activité qui tente d'obtenir des informations sensibles
telles que les noms d'utilisateur, les mots de passe, les numéros de compte bancaire ou de
carte de crédit et les numéros de code PIN par le biais d'e-mail ou de pages web se faisant
passer pour une entité digne de confiance. Cette activité est généralement frauduleuse. C'est
une forme d'ingénierie sociale (manipulation d'utilisateurs dans le but d'obtenir des
informations confidentielles).
ESET Mail Security comprend l'anti-hameçonnage qui empêche les utilisateurs d'accéder à
des pages Web connues pour le hameçonnage. Si des e-mails contiennent des liens menant à
des pages Web d'hameçonnage, ESET Mail Security utilise un analyseur sophistiqué qui
recherche ces liens (URL) dans le corps et l'objet des e-mails entrants. Les liens sont
comparés avec la base de données d'hameçonnage. Si le résultat de l'évaluation est positif,
l'e-mail est considéré comme étant un message de hameçonnage. ESET Mail Security le
traite alors en fonction du paramètre Action à entreprendre sur le message de
hameçonnage pour chaque couche de protection (protection du transport des messages,
protection de la base de données de boîtes aux lettres et analyse de la base de données de
boîtes aux lettres à la demande). Des actions de règle sont également exécutées.
Normes des formats d'e-mail prises en charge :
• Texte brut
• HTML uniquement
• MIME
• MIME à plusieurs parties (e-mail qui comprend une partie HTML et une partie Texte
brut)
Entités HTML
prises en charge :
Les messages de hameçonnage peuvent contenir des entités HTML afin de tromper le moteur
anti-hameçonnage. L'anti-hameçonnage analyse et traduit également les symboles des
138
entités HTML pour trouver et évaluer correctement les adresses URL obscurcies.
Un caractère unique peut être représenté sous des formes différentes. Par exemple, un point
peut prendre les formes suivantes :
Comment les liens apparaissent
généralement dans les e-mails adressés
aux utilisateurs
Liens obscurcis contenus dans le corps du message
Type
http://www.example-phishing-domain.com/Fraud .
http://www.example-phishing-domain.com/Fraud
caractère
http://www.example-phishing-domain.com/Fraud
http://www.example-phishing-domain.com/Fraud
nom de
l'entité
Valeur
.
http://www.example-phishing-domain.com/Fraud
.
http://www.example-phishing-domain.com/Fraud
http://www.example-phishing-domain.com/Fraud nombre
hexadécimal
de l'entité
http://www.example-phishing-domain.com/Fraud
.
nombre
décimal de
l'entité
Pour afficher l'activité de la protection anti-hameçonnage des messages, consultez Fichiers
journaux > Journal de la protection du serveur de messagerie. Il contient des informations
sur les e-mails et les liens de hameçonnage détectés.
Signaler un site d'hameçonnage
Le lien Signaler vous permet de signaler un site Web de hameçonnage/malveillant à
ESET pour analyse.
Règles
Permettent de définir manuellement les conditions de filtrage des messages électroniques et
les actions à exécuter sur les messages électroniques filtrés. Vous pouvez également définir
des conditions et des actions qui sont différentes pour les règles propres à la protection du
transport des messages, à la protection de la base de données de boîtes aux lettres et à
l'analyse de base de données de boîtes aux lettres à la demande. Chaque type de protection
utilise en effet une approche un peu différente lors du traitement des messages, tout
particulièrement la protection du transport des messages.
REMARQUE
La disponibilité des règles dans votre système pour la protection de la base de données
de boîtes aux lettres, l'analyse de la base de données de boîtes aux lettres à la demande
et la protection du transport des messages dépend de la version de Microsoft Exchange
Server installée avec ESET Mail Security sur le serveur.
139
IMPORTANT
Des règles incorrectement définies pour l'analyse de base de données de boîtes aux
lettres à la demande peuvent entraîner des modifications irréversibles dans les bases
de données de boîtes aux lettres. Vérifiez toujours que vous disposez de la sauvegarde la
plus récente de vos bases de données de boîtes aux lettres avant d'exécuter l'analyse de
base de données de boîtes aux lettres à la demande avec des règles mises en place pour
la première fois. Il est aussi vivement recommandé de vérifier que les règles s'exécutent
selon les attentes. Dans le cadre d'une vérification, définissez des règles avec l'action
Journaliser les événements uniquement, car toute autre action peut apporter des
modifications à vos bases de données de boîtes aux lettres. Une fois la vérification
terminée, vous pouvez ajouter des actions de règle de destruction telles que Supprimer
la pièce jointe.
Les règles sont classées dans trois niveaux et évaluées dans cet ordre :
• Règles de filtrage (1) : règles évaluées avant l'analyse antispam, antivirus et anti-
hameçonnage.
• Règles de traitement des pièces jointes (2) : règle évaluée pendant l'analyse
antivirus.
• Règles de traitement des résultats (3) : règles évaluées avant l'analyse antispam,
antivirus et anti-hameçonnage.
Les règles d'un même niveau sont évaluées dans le même ordre que celui de leur affichage
dans la fenêtre Règles. Vous pouvez uniquement modifier l'ordre des règles d'un même
niveau. Si vous disposez de plusieurs règles de filtrage, vous pouvez modifier l'ordre de leur
application. Vous ne pouvez pas modifier leur ordre en plaçant les règles de traitement des
pièces jointes avant les règles de filtrage (les boutons Monter/Descendre ne sont pas
disponibles). En d'autres termes, vous ne pouvez pas mélanger des règles de niveaux
différents.
La colonne Correspondances affiche le nombre de fois que la règle a été appliquée. Si vous
décochez une case (à gauche du nom de chaque règle), la règle correspondante est
désactivée jusqu'à ce que vous recochiez la case.
140
Cliquez sur Réinitialiser pour réinitialiser le compteur de règles (colonne
Correspondances). Sélectionnez Afficher pour afficher une configuration affectée depuis
une politique ESET PROTECT.
IMPORTANT
En règle générale, si les conditions d'une règle sont remplies, l'évaluation des règles
s'arrête pour les autres règles dont la priorité est inférieure. Toutefois, si cela est
nécessaire, vous pouvez utiliser une action de règle spéciale, appelée Évaluer d'autres
règles, pour que l'évaluation continue.
Les règles permettent de vérifier un message lorsque celui est traité par la protection du
transport des messages, la protection de la base de données de boîtes aux lettres ou
l'analyse de la base de données de boîtes aux lettres à la demande. Chaque couche de
protection possède un ensemble de règles distinct.
Lorsque les conditions de la règle Protection de la base de données de boîtes aux lettres ou
Analyse de la base de données de boîtes aux lettres à la demande correspondent, le nombre
de règles peut augmenter de 2 ou plus. Ces couches de protection accèdent en effet
séparément au corps et aux pièces jointes d'un message, ce qui signifie que les règles sont
appliquées à chacune de ces parties. Les règles de protection de la base de données de
boîtes aux lettres sont également appliquées lors de l'analyse en arrière-plan (lorsque ESET
Mail Security effectue par exemple une analyse des boîtes aux lettres suite au
téléchargement d'une nouvelle base des signatures de virus), ce qui peut augmenter le
compteur de règles (accès).
Assistant Règle
1.Cliquez sur Ajouter (au centre) pour afficher la fenêtre Condition de règle dans
141
laquelle vous pouvez sélectionner un type de condition, une opération et une valeur.
Définissez d'abord les conditions, puis les actions.
IMPORTANT
Vous pouvez définir plusieurs conditions. Si vous le faites, elles doivent être toutes
remplies pour que la règle soit appliquée. Toutes les conditions sont unies à l'aide de
l'opérateur logique ET. Lorsque la plupart des conditions sont remplies à l'exception
d'une seule, le résultat de l'évaluation des conditions est considéré comme n'étant pas
rempli. L'action de la règle ne peut donc pas être exécutée.
2.Cliquez sur Ajouter (au centre) pour ajouter une action de règle.
REMARQUE
Il est possible d'ajouter plusieurs actions pour une règle.
3.Une fois les conditions et les actions définies, saisissez un nom pour la règle (un nom
significatif vous permettant de reconnaître la règle). Ce nom sera affiché dans la liste
des règles. Le champ Nom est obligatoire. S'il est surligné en rouge, tapez le nom de
la règle dans la zone de texte, puis cliquez sur OK pour créer la règle. Le surlignage en
rouge ne disparaît pas lorsque vous saisissez le nom de la règle. Vous devez aussi
cliquer sur OK pour qu'il disparaisse.
4.Si vous souhaitez préparer des règles en vue d'une utilisation ultérieure, vous pouvez
cliquer sur la barre du curseur en regard de l'option Active pour désactiver la règle.
Pour activer une règle, cochez la case en regard de celle-ci.
142
REMARQUE
si une nouvelle règle est ajoutée ou une règle existante est modifiée, une nouvelle
analyse des messages démarre automatiquement à l'aide des règles créées/modifiées.
Consultez les exemples de règle qui indiquent comment utiliser les règles.
Condition de règle
Cet assistant permet d'ajouter des conditions pour une règle. Sélectionnez le Type de
condition et une Opération dans la liste déroulante. La liste des opérations change en
fonction du type de règle sélectionné. Sélectionnez ensuite un Paramètre. Les champs de
paramètre changent en fonction du type de règle et de l'opération. Choisissez par exemple
Taille de fichier > est supérieur à , puis, sous Paramètre, spécifiez 10 Mo. Avec ces
paramètres, un fichier dont la taille est supérieure à 10 Mo est traité à l'aide des actions de
règle que vous avez spécifiées. Pour cette raison, vous devez spécifier une action à
entreprendre lorsqu'une règle donnée est déclenchée si vous ne l'avez pas fait lors de la
définition des paramètres de cette règle.
Si vous souhaitez importer votre liste personnalisée à partir d'un fichier plutôt que d'ajouter
chaque entrée manuellement, cliquez avec le bouton droit au milieu de la fenêtre et
sélectionnez Importer dans le menu contextuel. Accédez ensuite au fichier (.xml ou .txt)
contenant les entrées (délimitées par de nouvelles lignes) à ajouter à la liste. De même, si
vous devez exporter la liste existante vers un fichier, sélectionnez Exporter dans le menu
contextuel.
Vous pouvez également spécifier une Expression régulière et sélectionner une
opération : correspond à l'expression régulière ou ne correspond pas à l'expression
régulière.
REMARQUE
ESET Mail Security utilise std::regex. Pour créer des expressions régulières, reportez-vous
à Syntaxe ECMAScript . La syntaxe des expressions régulières ne respecte pas la casse,
ainsi que le résultat de la recherche.
IMPORTANT
Vous pouvez définir plusieurs conditions. Si vous le faites, elles doivent être toutes
remplies pour que la règle soit appliquée. Toutes les conditions sont unies à l'aide de
l'opérateur logique ET. Lorsque la plupart des conditions sont remplies à l'exception
d'une seule, le résultat de l'évaluation des conditions est considéré comme n'étant pas
rempli. L'action de la règle ne peut donc pas être exécutée.
Les types de conditions suivants sont disponibles pour la protection du transport des
messages, la protection de la base de données de boîtes aux lettres et l'analyse de base de
données de boîtes aux lettres à la demande (certaines options peuvent ne pas s'afficher
selon les conditions précédemment sélectionnées) :
143
Protection
Protection de la base
du
de
Nom de la condition transport données
des
de boîtes
messages aux
lettres
Analyse de
base de
données de
Description
boîtes aux
lettres à la
demande
Objet
✓
✓
✓
S'applique aux messages qui
contiennent ou non une chaîne
spécifique (ou une expression
régulière) dans l'objet.
✓
✓
✓
S'applique aux messages
envoyés par un expéditeur
spécifique.
Expéditeur
Expéditeur de
l'enveloppe
(expéditeur SMTP)
Adresse IP de
l'expéditeur
✓
✗
✗
Attribut d'enveloppe MAIL FROM
utilisé pendant la connexion
SMTP. Également utilisé pour la
vérification SPF.
✓
✗
✗
S'applique aux messages
envoyés par une adresse IP
spécifique.
✓
S'applique aux messages
provenant d'un expéditeur avec
un domaine spécifique dans son
adresse électronique.
✗
S'applique aux messages
provenant d'un expéditeur avec
un domaine spécifique dans son
adresse électronique.
✗
Valeur « From: » contenue dans
les en-têtes des messages. Il
s'agit de l'adresse visible par le
destinataire. Aucune vérification
n'est toutefois effectuée pour
s'assurer que le système d'envoi
est autorisé à envoyé le
message de la part de cette
adresse. Il est souvent utilisé
pour usurper l'identité de
l'expéditeur.
Domaine de
l'expéditeur de
✓
l'enveloppe / domaine
de l'expéditeur
Domaine de
l'expéditeur SMTP
✓
✓
✗
En-tête De - adresse
✓
144
✗
Protection
Protection de la base
du
de
Nom de la condition transport données
des
de boîtes
messages aux
lettres
Analyse de
base de
données de
Description
boîtes aux
lettres à la
demande
En-tête De - nom
d'affichage
✓
✗
✗
Valeur « From: » contenue dans
les en-têtes des messages. Il
s'agit du nom d'affichage visible
par le destinataire. Aucune
vérification n'est toutefois
effectuée pour s'assurer que le
système d'envoi est autorisé à
envoyé le message de la part de
cette adresse. Il est souvent
utilisé pour usurper l'identité de
l'expéditeur.
Destinataire
Unités d'organisation
du destinataire
Résultat de la
validation de
destinataire
✓
✓
✓
S'applique aux messages
envoyés à un destinataire
spécifique.
✓
✗
✗
S'applique aux messages
envoyés à un destinataire d'une
unité d'organisation spécifique.
✗
S'applique aux messages
envoyés à un destinataire validé
dans Active Directory.
✓
S'applique aux messages qui
contiennent des pièces jointes
avec un nom spécifique.
✓
S'applique aux messages dont la
pièce jointe ne correspond pas à
la taille spécifiée, se trouve dans
la plage de tailles spécifiée ou
dépasse la taille spécifiée.
✓
S'applique aux messages avec
un type de fichier joint
spécifique. Les types de fichier
sont classés dans des groupes
pour une sélection aisée. Vous
pouvez sélectionner plusieurs
types de fichier ou des
catégories entières.
✗
S'applique aux messages dont
les pièces jointes ne
correspondent pas à la taille
spécifiée, se trouvent dans la
plage de tailles spécifiée ou
dépassent la taille spécifiée.
✓
✗
Nom de la pièce jointe
✓
✓
Taille de la pièce
jointe
✓
✓
Type de la pièce jointe
✓
✓
Taille du message
✓
145
✗
Protection
Protection de la base
du
de
Nom de la condition transport données
des
de boîtes
messages aux
lettres
Analyse de
base de
données de
Description
boîtes aux
lettres à la
demande
Boîte aux lettres
✗
✓
✗
S'applique aux messages situés
dans une boîte aux lettres
spécifique.
✗
S'applique aux messages
contenant des données
spécifiques dans l'en-tête.
En-têtes de message
✓
✓
Corps du message
Message interne
Message sortant
Message signé
Message chiffré
Résultat de l'analyse
Antispam
✓
✗
✓
Une expression spécifiée est
recherchée dans le corps du
message. Vous pouvez utiliser la
fonctionnalité Retirer les balises
HTML pour retirer les attributs,
les valeurs et les balises HTML
et conserver le texte
uniquement. Le texte du corps
fera ensuite l'objet d'une
recherche.
✓
✗
✗
S'applique selon qu'un message
est interne ou non.
✓
✗
✗
S'applique aux messages
sortants.
✓
✗
✗
S'applique aux messages signés.
✓
✗
✗
S'applique aux messages
chiffrés.
✗
S'applique aux messages
marqués ou non comme étant
indésirables ou légitimes (voir
l'exemple).
✓
✗
Résultat de l'analyse
antivirus
✓
✓
✓
S'applique aux messages
marqués comme étant
malveillants ou non.
Résultat de l'analyse
anti-hameçonnage
✓
✗
✓
S'applique aux messages ayant
été évalués comme des
messages d'hameçonnage.
✓
S'applique aux messages reçus
avant ou après une date
spécifique ou dans une plage de
dates spécifique.
✗
S'applique aux messages avec
des pièces jointes d'archive qui
sont protégées par mot de
passe.
Heure de réception
✓
Contient une archive
protégée par mot de
passe
146
✓
✓
✓
Protection
Protection de la base
du
de
Nom de la condition transport données
des
de boîtes
messages aux
lettres
Analyse de
base de
données de
Description
boîtes aux
lettres à la
demande
Contient une archive
endommagée
✓
La pièce jointe est une
archive protégée par ✗
mot de passe.
La pièce jointe est une
archive endommagée. ✗
✓
✗
✗
✗
S'applique aux messages dont
les pièces jointes d'archive sont
endommagées (qui ne peuvent
généralement pas être
ouvertes).
✓
S'applique aux pièces jointes qui
sont protégées par mot de
passe.
✓
S'applique aux pièces jointes
endommagées (probablement
impossible à ouvrir).
✓
S'applique aux messages
figurant dans un dossier
spécifique. Si le dossier n'existe
pas, il est créé. Cela ne
s'applique pas aux dossiers
Public.
✗
S'applique aux messages qui ont
réussi ou non la vérification par
DKIM.
Nom du dossier
✗
✗
DKIM résultat
✓
147
✗
Protection
Protection de la base
du
de
Nom de la condition transport données
des
de boîtes
messages aux
lettres
Analyse de
base de
données de
Description
boîtes aux
lettres à la
demande
SPF résultat
✓
✗
✗
S'applique aux messages pour
lesquels le résultat de
l'évaluation SPF est le suivant :
Réussite : l'adresse IP est
autorisée à effectuer des envois
depuis le domaine (qualificateur
"+" SPF)
Échec : l'enregistrement SPF ne
contient pas le serveur d'envoi
ou l'adresse IP (qualificateur "-"
SPF)
Erreur récupérable : l'adresse
IP peut être autorisée ou non à
effectuer des envois depuis le
domaine (qualificateur "~" SPF)
Neutre : signifie que le
propriétaire du domaine a
indiqué dans l'enregistrement
SPF qu'il ne veut pas affirmer
que l'adresse IP est autorisée à
effectuer des envois depuis le
domaine (qualificateur "?" SPF)
Non disponible : le résultat
None SPF indique qu'aucun
enregistrement n'a été publié
par le domaine ou qu'aucun
domaine d'expéditeur vérifiable
a pu être déterminé pour
l'identité donnée.
Vous pouvez lire le document
RFC 4408 pour plus de détails
sur SPF.
Si vous utilisez le résultat SPF,
les listes blanches dans Filtrage
et vérification ne sont pas prises
en compte pour les règles.
DMARC résultat
A un enregistrement
DNS inversé
148
✓
✗
✗
S'applique aux messages qui ont
réussi ou non la vérification par
SPF ou DKIM les deux.
✓
✗
✗
S'applique aux messages dont le
domaine du serveur a un
enregistrement DNS inversé.
Protection
Protection de la base
du
de
Nom de la condition transport données
des
de boîtes
messages aux
lettres
Analyse de
base de
données de
Description
boîtes aux
lettres à la
demande
NDR résultat
✓
✗
✗
S'applique aux messages pour
lesquels la vérification NDR a
échoué.
✗
S'applique aux messages pour
lesquels le résultat de
l'évaluation SPF est le suivant :
Réussite : l'adresse IP est
autorisée à effectuer des envois
depuis le domaine (qualificateur
"+" SPF)
Échec : l'enregistrement SPF ne
contient pas le serveur d'envoi
ou l'adresse IP (qualificateur "-"
SPF)
Erreur récupérable : l'adresse
IP peut être autorisée ou non à
effectuer des envois depuis le
domaine (qualificateur "~" SPF)
Neutre : signifie que le
propriétaire du domaine a
indiqué dans l'enregistrement
SPF qu'il ne veut pas affirmer
que l'adresse IP est autorisée à
effectuer des envois depuis le
domaine (qualificateur "?" SPF)
Non disponible : le résultat
None SPF indique qu'aucun
enregistrement n'a été publié
par le domaine ou qu'aucun
domaine d'expéditeur vérifiable
a pu être déterminé pour
l'identité donnée.
Vous pouvez lire le document
RFC 4408 pour plus de détails
sur SPF.
Si vous utilisez le résultat SPF,
les listes blanches dans Filtrage
et vérification ne sont pas prises
en compte pour les règles.
✗
Compare le ou les domaines
contenus dans le champ de l'entête d'e-mail "From:" et
l’expéditeur de l’enveloppe aux
les listes de domaines.
résultat SPF - En-tête
De
✓
Résultat de la
comparaison entre
l’expéditeur de
l’enveloppe et l’entête De
149
✓
✗
✗
Le type de condition a associé les opérations suivantes :
• Chaîne : est, n'est pas, contient, ne contient pas, correspond, ne correspond pas, est
dans, n'est pas dans, correspond à l'expression régulière, ne correspond pas à
l'expression régulière
• Nombre : est inférieur à, est supérieur à, est compris entre
• Texte : contient, ne contient pas, correspond, ne correspond pas
• Date-heure : est inférieur à, est supérieur à, est compris entre
• Énumération : est, n'est pas, est dans, n'est pas dans
REMARQUE
Si le nom de la pièce jointe ou le type de pièce jointe est fichier Microsoft Office
(2007+), elle est traitée par ESET Mail Security comme une archive. Cela signifie que son
contenu est extrait et que chaque fichier contenu dans l'archive de fichiers Office (.docx,
.xlsx, .xltx, .pptx, .ppsx, .potx, par exemple.) est analysé séparément.
De plus, si vous désactivez Protection antivirus dans le menu Configuration ou
Paramètres avancés (F5) > Serveur > Antivirus et antispyware pour la couche de
protection de la base de données de boîtes aux lettres et de transport des messages, cela
aura une incidence sur ces conditions de règle :
• Nom de la pièce jointe
• Taille de la pièce jointe
• Type de la pièce jointe
• Résultat de l'analyse antivirus
• La pièce jointe est protégée par mot de passe.
• La pièce jointe est une archive endommagée.
• Contient une archive endommagée
• Contient une archive protégée par mot de passe
Action de règle
Vous pouvez ajouter des actions qui seront entreprises sur des messages et/ou des pièces
jointes et qui correspondent aux conditions de règle.
REMARQUE
Il est possible d'ajouter plusieurs actions pour une règle.
Les actions suivantes sont disponibles pour la protection du transport des messages, la
protection de la base de données de boîtes aux lettres et l'analyse de base de données de
boîtes aux lettres à la demande (certaines options peuvent ne pas s'afficher selon les
conditions sélectionnées) :
150
Nom de l'action
Protection
du
transport
des
messages
Protection
de la base
de données
de boîtes
aux lettres
Analyse de
base de
données de
Description
boîtes aux
lettres à la
demande
Message en
quarantaine
✓
Mettre en
quarantaine la pièce
jointe
Supprimer la pièce
jointe
✓
✓
✗
✓
✓
✗
Le message ne sera pas remis au
destinataire et sera déplacé vers
la quarantaine des messages.
Permet d'autoriser les utilisateurs
qui ne sont pas administrateurs
de libérer les e-mails mis en
quarantaine par cette règle (à
l'aide de l'interface Web ou des
rapports de mise en quarantaine.
✓
Place la pièce jointe au message
dans la quarantaine des fichiers.
Le message électronique sera
remis au destinataire avec la
pièce jointe tronquée à une
longueur nulle.
✓
Supprime la pièce jointe d'un
message. Le message sera remis
au destinataire sans la pièce
jointe.
✗
Supprime un message. Pour les
e-mails entrants reçus via SMTP,
un rapport de non-remise (NDR)
doit être généré par le serveur
d'envoi.
Refuser le message
✓
Supprimer le
message en silence
Définir la valeur SCL
151
✗
✓
✗
✗
Supprime un message sans
générer de rapport de nonremise.
✓
✗
✗
Modifie ou définit une valeur SCL
spécifique.
Nom de l'action
Protection
du
transport
des
messages
Protection
de la base
de données
de boîtes
aux lettres
Analyse de
base de
données de
Description
boîtes aux
lettres à la
demande
Envoyer des
notifications
d'événement à
l'administrateur
✓
✓
✓
Envoie des notifications
d'événement à un destinataire
spécifié dans les notifications par
e-mail. Vous devez activer la
fonctionnalité Envoyer des
notifications d'événement par email. Vous pouvez ensuite
personnaliser le format des
messages d'événement (pour
obtenir des suggestions, utilisez
l'info-bulle) pendant la création
de la règle. Vous pouvez
également sélectionner le niveau
de détail des messages
d'événement. Celui-ci dépend
toutefois du paramètre de
verbosité minimale dans la
section Notifications par e-mail.
Ignorer l'analyse
antispam
✓
✗
✗
Le message n'est pas analysé par
le moteur antispam.
Ignorer l'analyse
antivirus
✓
✓
✓
Le message n'est pas analysé par
le moteur antivirus.
Ignorer l'analyse anti✓
hameçonnage
✗
✓
Le message n'est pas analysé par
l'anti-hameçonnage.
✓
Permet l'évaluation d'autres
règles afin que l'utilisateur puisse
définir plusieurs ensembles de
conditions et d'actions à
entreprendre en fonction de ces
conditions.
Évaluer d'autres
règles
✓
152
✓
Nom de l'action
Protection
du
transport
des
messages
Protection
de la base
de données
de boîtes
aux lettres
Analyse de
base de
données de
Description
boîtes aux
lettres à la
demande
Journaliser les
événements
✓
153
✓
✓
Écrit des informations sur la règle
appliquée dans le journal du
programme et définit le format
des messages d'événement (pour
obtenir des suggestions, utilisez
l'info-bulle).
Si vous configurez le type
d'action Journaliser les
événements pour la protection
de la base de données de
boîtes aux lettres avec le
paramètre %IPAddress%, la
colonne Événement des fichiers
journaux est vide pour cet
événement spécifique. Cette
situation se produit, car il n'existe
pas d'adresse IP au niveau de la
protection de la base de données
de boîtes aux lettres. Certaines
options ne sont pas disponibles
pour tous les niveaux de
protection :
%IPAddress% : cette option est
ignorée par l'analyse de base
de données de boîtes aux
lettres à la demande et la
protection de la base de
données de boîtes aux
lettres.
%Mailbox% : cette option est
ignorée par la protection du
transport des messages.
Les options suivantes
s'appliquent uniquement aux
Règles de traitement des
pièces jointes :
%Attname% : cette option est
ignorée par les Règles de
filtrage et les Règles de
traitement des résultats.
%Attsize% : cette option est
ignorée par les Règles de
filtrage et les Règles de
traitement des résultats.
Nom de l'action
Protection
du
transport
des
messages
Protection
de la base
de données
de boîtes
aux lettres
Analyse de
base de
données de
Description
boîtes aux
lettres à la
demande
Ajouter un champ
d'en-tête
✓
✗
✗
Ajouter un préfixe
d'objet
✓
✗
✗
Remplacer la pièce
jointe par des
informations sur
l’action
Supprimer les
champs d'en-tête
✗
✓
Ajoute une chaîne personnalisée
à un en-tête de message.
Ajoute un préfixe à un objet.
✓
Remplace la pièce jointe par un
fichier texte contenant des
informations détaillées sur une
action entreprise.
Supprime les champs de l'en-tête
du message selon les paramètres
spécifiés.
✓
✗
✗
✗
✓
✓
Déplacer le message
✗
vers le dossier
✗
✓
Le message est déplacé vers le
dossier spécifique.
✓
Place un message électronique
dans la corbeille du côté du client
de messagerie.
✗
Si une condition du résultat
DMARC est remplie, le message
électronique est géré selon la
politique spécifiée dans
l'enregistrement DNS DMARC du
domaine de l'expéditeur.
Supprimer le
message
Déplacer le message
vers la corbeille
✗
✗
Appliquer la stratégie
DMARC
✓
✗
Supprime un message infecté.
Si vous désactivez Protection antivirus dans le menu Configuration ou Paramètres
avancés (F5) > Serveur > Antivirus et antispyware pour la protection du transport
des messages, cela aura une incidence sur ces actions de règle :
• Mettre en quarantaine la pièce jointe
• Supprimer la pièce jointe
Exemples de règle
Messages en quarantaine contenant un logiciel malveillant ou une pièce jointe protégée
par mot de passe, endommagée ou chiffrée
154
EXEMPLE
Objectif : Messages en quarantaine contenant un logiciel malveillant ou une pièce jointe
protégée par mot de passe, endommagée ou chiffrée
Créez la règle suivante pour la Protection du transport des messages:
Condition
Type : Résultat de l'analyse antivirus
Opération : n'est pas
Paramètre : Nettoyer
Action
Type : Message en quarantaine
Déplacer les messages n'ayant pas réussi la vérification SPF vers un dossier de courrier
indésirable
EXEMPLE
Objectif : Déplacer les messages n'ayant pas réussi la vérification SPF vers un dossier de
courrier indésirable
Créez la règle suivante pour la Protection du transport des messages:
Condition
Type : Résultat SPF
Opération : est
Paramètre : Échec
Action
Type : Définir la valeur SCL
Valeur : 5 (définissez la valeur sn le paramètre SCLJunkThreshold de la cmdlet GetOrganizationConfig du serveur Exchange Server. Pour plus d'informations, voir l'article
sur les actions de seuil SCL.)
Vérifier l'e-mail suspect provenant de l’usurpation d'identité de l’expéditeur
EXEMPLE
Objectif : Vérifier l'e-mail suspect provenant de l’usurpation d'identité de l’expéditeur Si
le message contient votre propre domaine dans l’en-tête d'e-mail "From:" ou l’expéditeur
de l’enveloppe, effectuez une vérification approfondie avec le résultat SPF. Si le résultat
SPF est neutre, mettre le message en quarantaine, journaliser les événements et avertir
l’administrateur.
Condition
Type : Résultat de la comparaison entre l’expéditeur de l’enveloppe et l’en-tête
De
Opération : est
Paramètre : Correspondance
Type : Résultat SPF - En-tête De
Opération : est
Paramètre : Neutre
Action
Type : Message en quarantaine, Journaliser les événements et Envoyer des
notifications d'événement à l'administrateur
Supprimer les messages d'expéditeurs spécifiques
155
EXEMPLE
Objectif : Supprimer les messages d'expéditeurs spécifiques
Créez la règle suivante pour la Protection du transport des messages:
Condition
Type : Expéditeur
Opération : est / appartient à
Paramètre : spammer1@domain.com, spammer2@domain.com
Action
Type : Supprimer le message en silence
Personnaliser une règle prédéfinie
EXEMPLE
Objectif : Personnaliser une règle prédéfinie
Détails : Autoriser les pièces jointes d'archive dans les messages provenant d'adresses IP
spécifiées (dans le cas de systèmes internes, par exemple) lors de l'utilisation de la règle
Fichiers d'archive interdits en pièces jointes
Ouvrez l'ensemble de règles Protection du transport des messages, sélectionnez
Fichiers d'archive interdits en pièces jointes et cliquez sur Modifier.
Condition
Type : Adresse IP de l'expéditeur
Opération : n'est pas / n'est aucun des
Paramètre : 1.1.1.2, 1.1.1.50-1.1.1.99
Corps du message
EXEMPLE
Objectif : Messages en quarantaine contenant une chaîne particulière dans le corps du
message
Créez la règle suivante pour la protection du transport des messages :
Condition
Type : Corps du message
Opération : contient/contient un des, cliquez sur Ajouter, saisissez l'URL du site Web
ou une partie de celle-ci
Action
Type : Message en quarantaine
Stocker les messages des destinataires qui n'existent pas
156
EXEMPLE
Objectif : Stocker les messages des destinataires qui n'existent pas
Détails : Si vous souhaitez mettre en quarantaine tous les messages envoyés à des
destinataires inexistants (indépendamment de leur marquage par la protection antivirus
ou antispam)
Condition
Type : Résultat de la validation de destinataire
Opération : est
Paramètre : Contient un destinataire non valide
Action
Type : Message en quarantaine
Protection du transport des messages
Vous pouvez configurer séparément des actions pour les menaces détectées sur la couche de
transport de chaque module ESET Mail Security (antivirus, Anti-hameçonnage et antispam).
Action à entreprendre si le nettoyage est impossible :
• Aucune action : permet de conserver les messages infectés qui ne peuvent pas être
nettoyés.
• Mettre le message en quarantaine : permet de placer les messages infectés dans
la boîte aux lettres de quarantaine.
• Refuser le message : permet de refuser un message infecté.
• Supprimer le message en silence : permet de supprimer les messages sans
envoyer de rapport de non-remise.
REMARQUE
Si vous sélectionnez Aucune action et si l'option Niveau de nettoyage est définie sur
Pas de nettoyage dans les paramètres ThreatSense de Antivirus et antispyware, l'état
de protection prend la couleur jaune. Cette combinaison présente un risque pour la
sécurité et il n'est pas recommandé de l'utiliser. Modifiez un paramètre pour assurer un
bon niveau de protection.
157
Action à entreprendre sur le message de hameçonnage:
• Aucune action : permet de conserver le message même s'il est marqué comme
étant un message de hameçonnage.
• Mettre le message en quarantaine : permet de placer les messages marqués
comme étant des messages de hameçonnage dans la boîte aux lettres de quarantaine.
• Refuser le message : permet de refuser les messages marqués comme étant des
messages de hameçonnage.
• Supprimer le message en silence : permet de supprimer les messages sans
envoyer de rapport de non-remise.
Action à entreprendre sur le courrier indésirable :
• Aucune action : permet de conserver le message même s'il est marqué comme
étant du courrier indésirable.
• Mettre le message en quarantaine : permet de placer les messages marqués
comme étant du courrier indésirable dans la boîte aux lettres de quarantaine.
• Refuser le message : permet de refuser les messages marqués comme étant
indésirables.
• Supprimer le message en silence : permet de supprimer les messages sans
envoyer de rapport de non-remise.
Action à exécuter sur les messages dont le domaine est usurpé :
158
• Aucune action : permet de conserver le message même s'il est marqué comme
étant usurpé.
• Mettre le message en quarantaine : permet de placer les messages marqués
comme étant usurpés dans la boîte aux lettres de quarantaine.
• Refuser le message : permet de refuser les messages marqués comme étant
usurpés.
• Supprimer le message en silence : permet de supprimer les messages sans
envoyer de rapport de non-remise.
Réponse de refus SMTP
Vous pouvez spécifier un code de réponse, un code d'état et un message de réponse,
qui définissent la réponse de refus temporaire SMTP envoyée au serveur SMTP si un message
est refusé. Vous pouvez saisir un message de réponse au format suivant :
Code de
réponse
Code
d'état
Message de réponse
250
2.5.0
Requested mail action okay, completed (Action demandée sur
courrier OK, terminée)
451
4.5.1
Requested action aborted:local error in processing (Action
demandée abandonnée : erreur locale dans le traitement)
550
5.5.0
Requested action not taken:mailbox unavailable (Action
demandée non entreprise : boîte aux lettres indisponible)
554
5.6.0
Invalid content (Contenu non valide)
REMARQUE
vous pouvez également utiliser des variables système pour configurer des réponses de
rejet SMTP.
Écrire les résultats de l'analyse dans les en-têtes de message
Lorsque cette option est activée, les résultats de l'analyse sont écrits dans des en-têtes
de message. Ces en-têtes de message commencent par X_ESET, ce qui permet de les
reconnaître facilement (X_EsetResult ou X_ESET_Antispam, par exemple).
Ajouter une notification au corps des messages analysés offre trois options :
• Ne pas ajouter aux messages : les informations ne seront pas ajoutées.
• Ajouter uniquement aux messages infectés : est uniquement appliqué aux
messages infectés.
• Ajouter à tous les messages (ne s'applique pas aux messages internes) : tous les
messages seront marqués.
Modifier l'objet
Lorsque cette option est activée, vous pouvez modifier les modèles ajoutés à l'objet des
messages infectés, des courriers indésirables ou des messages de hameçonnage.
159
Texte ajouté à l'objet des messages infectés
ESET Mail Security ajoute une notification à l'objet du message dont la valeur est définie
dans le champ de texte Texte ajouté à l'objet des messages infectés (le texte
prédéfini par défaut est [found threat %VIRUSNAME%]). Cette modification peut être
utilisée pour automatiser le filtrage des messages infectés en filtrant les messages avec
un objet spécifique, à l'aide par exemple de règles ou du côté client (si cette option est
prise en charge par le client de messagerie) pour placer ces messages dans un dossier
distinct.
Modèle ajouté à l’objet des messages indésirables
ESET Mail Security ajoute une notification à l'objet du message dont la valeur est définie
dans le champ de texte Modèle ajouté à l'objet des messages indésirables (le texte
prédéfini par défaut est [SPAM]). Cette modification peut être utilisée pour automatiser le
filtrage du courrier indésirable en filtrant les messages avec un objet spécifique, à l'aide
par exemple de règles ou du côté client (si cette option est prise en charge par le client
de messagerie) pour placer ces messages dans un dossier distinct.
Modèle ajouté à l'objet des messages de hameçonnage
ESET Mail Security ajoute une notification à l'objet du message dont la valeur est définie
dans le champ de texte Modèle ajouté à l'objet des messages de hameçonnage (le
texte prédéfini par défaut est [PHISH]). Cette modification peut être utilisée pour
automatiser le filtrage du courrier indésirable en filtrant les messages avec un objet
spécifique, à l'aide par exemple de règles ou du côté client (si cette option est prise en
charge par le client de messagerie) pour placer ces messages dans un dossier distinct.
REMARQUE
lors de la modification de texte, vous pouvez également utiliser des variables système qui
seront ajoutées à l'objet.
Configurations avancées du transport
des messages
Vous pouvez personnaliser davantage les paramètres de la protection du transport des
messages.
Analyser également les messages reçus à partir de connexions internes ou
authentifiées par
Vous pouvez choisir le type d'analyse à effectuer sur les messages reçus des sources
authentifiées ou des serveurs locaux. L'analyse de ces messages est conseillée car elle
optimise la protection. Elle est toutefois nécessaire si vous utilisez le connecteur POP3
intégré de Microsoft SBS pour récupérer les messages électroniques des serveurs POP3
externes ou des services de messagerie (Gmail.com, Outlook.com, Yahoo.com, gmx.dem,
160
par exemple). Pour plus d'informations, reportez-vous à la section Connecteur POP3 et
protection antispam. Sélectionnez le niveau de protection dans le menu déroulant. Il est
recommandé d'utiliser la protection antivirus (paramètre par défaut), tout
particulièrement pour les connexions internes, car il est peu probable que des messages
de hameçonnage ou de spam soient diffusés via vos serveurs locaux. Vous pouvez
toutefois renforcer la protection du connecteur Microsoft SBS POP3 en sélectionnant
Protection antivirus et anti-hameçonnage ou même Protection antivirus, antihameçonnage et antispam.
REMARQUE
Ce paramètre active ou désactive la protection antispam pour les utilisateurs authentifiés
et les connexions internes. Les messages électroniques des connexions non authentifiées
sont toujours analysés par l'antivirus, même si l'option Ne pas analyser est
sélectionnée.
REMARQUE
Les messages internes d'Outlook au sein de l'entreprise sont envoyés au format TNEF
(Transport Neutral Encapsulation Format). Le format TNEF n'est pas pris en charge par
l'antispam. Par conséquent, les e-mails internes au format TNEF ne seront pas analysés
en vue de rechercher du courrier indésirable, indépendamment du paramètre Analyser
également les messages reçus à partir de connexions internes ou authentifiées
par.
Supprimer l'en-tête SCL existant avant l'analyse
Cette option est activée par défaut. Vous pouvez la désactiver si l'en-tête SCL (Spam
Confidence Level) doit être conservé.
Protection de la base de données de
boîtes aux lettres
Si l'option Analyse proactive est activée, les nouveaux messages entrants sont analysés
dans l'ordre dans lequel ils ont été reçus. Si cette option est activée et qu'un utilisateur ouvre
un message qui n'a pas encore été analysé, ce message est analysé avant les autres
messages dans la file d'attente.
161
Analyse en arrière-plan
Permet l'exécution de l'analyse de tous les messages en arrière-plan (l'analyse s'exécute
dans le magasin des boîtes aux lettres et des dossiers publics, comme la base de données
Exchange). En fonction de différents facteurs tels que la charge actuelle du système, le
nombre d'utilisateurs actifs, etc., Microsoft Exchange Server décide si une analyse en arrièreplan doit s'exécuter ou non. Microsoft Exchange Server conserve la liste des messages
analysés et de la version de la base des signatures de virus utilisée. Si vous ouvrez un
message qui n'a pas été analysé par la base des signatures de virus la plus à jour, Microsoft
Exchange Server envoie le message à ESET Mail Security pour qu'il soit analysé avant d'être
ouvert dans le client de messagerie.
Vous pouvez choisir d'analyser uniquement les messages avec pièce jointe et de les
filtrer en fonction de leur heure de réception à l'aide des options Limite de durée de
l'analyse suivantes :
• Tous les messages
• Messages reçus au
• Messages reçus au
• Messages reçus au
• Messages reçus au
• Messages reçus au
cours de l’année dernière
cours des 6 derniers mois
cours des 3 derniers mois
cours du dernier mois
cours de la semaine dernière
L'analyse en arrière-plan pouvant avoir un impact sur la charge du système (elle est
effectuée après chaque mise à jour du moteur de détection), il est recommandé de planifier
cette analyse en dehors des heures de travail. L'analyse en arrière-plan planifiée peut être
162
configurée par l'intermédiaire d'une tâche spécifique dans le Planificateur. Lorsque vous
planifiez une analyse en arrière-plan, vous pouvez définir l'heure de son lancement, le
nombre de répétitions et d'autres paramètres disponibles dans le Planificateur. Une fois
planifiée, la tâche apparaît dans la liste des tâches planifiées ; vous pouvez modifier ses
paramètres, la supprimer ou la désactiver temporairement.
Nombre de threads
Le nombre de threads d'analyse peut être compris entre 1 et 21. Vous pouvez définir le
nombre de threads d'analyse indépendants utilisés en même temps. Un nombre de
threads supérieur sur des ordinateurs multiprocesseur peut augmenter le taux d'analyse.
Pour optimiser les performances du programme, il est conseillé d'utiliser le même nombre
de moteurs d'analyse ThreatSense et de threads d'analyse.
Analyser le corps des messages au format RTF
Active l'analyse des corps de messages RTF. Les corps de ces messages RTF peuvent
contenir des macrovirus.
REMARQUE
les corps des messages en texte brut ne sont pas analysés par VSAPI.
Action à entreprendre si le nettoyage est impossible :
• Aucune action : aucune modification apportée au message n'est appliquée.
• Tronquer à une longueur nulle : la longueur de la pièce jointe sera réduite à zéro.
• Remplacer le contenu par des informations sur l'action : le corps d'origine sera
remplacé par des informations sur l'action. Le contenu de la pièce jointe sera remplacé
par des informations sur l'action.
• Supprimer le message : le message sera supprimé.
Action à entreprendre sur le message de hameçonnage:
• Aucune action : aucune modification apportée au message n'est appliquée.
• Supprimer le message : le message sera supprimé.
REMARQUE
les dossiers publics sont traités comme les boîtes aux lettres. Cela signifie qu'ils sont
également analysés.
Analyse en arrière-plan
Ce type de tâche permet une analyse en arrière-plan de la base de données via VSAPI. Il
permet à Exchange Server d'exécuter une analyse en arrière-plan en cas de besoin.
L'analyse est déclenchée par Exchange Server, ce qui signifie qu'Exchange Server est
responsable de l'exécution de l'analyse dans le délai prévu.
163
Il est recommandé de permettre à cette tâche d'être exécutée en dehors des heures de
pointe lorsqu'Exchange Server n'est pas trop occupé (pendant la nuit, par exemple).
L'analyse en arrière-plan de la base de données peut en effet ajouter une charge
supplémentaire sur le système. De plus, cette tâche ne doit pas être planifiée en même
temps que des sauvegardes d'Exchange Server afin d'éviter tout problème de performances
ou de disponibilité.
REMARQUE
La protection de la base de données de boîtes aux lettres doit être activée pour que la
tâche planifiée puisse s'exécuter. Ce type de protection est uniquement disponible pour
Microsoft Exchange Server 2010 et 2007 avec le rôle serveur de boîte aux lettres
(Microsoft Exchange 2010 et 2007).
Délai d'expiration (heures)
Indiquez le nombre d'heures durant lesquelles Exchange Server est autorisé à exécuter
l'analyse en arrière-plan de la base de données à partir de l'exécution de cette tâche
planifiée. Une fois le délai d'expiration atteint, Exchange doit arrêter l'analyse en arrièreplan.
Analyse de base de données de boîtes
aux lettres à la demande
REMARQUE
Si vous exécutez Microsoft Exchange Server 2007 ou 2010, vous pouvez choisir entre la
protection de la base de données de boîtes aux lettres et une analyse de base de
données de boîtes aux lettres à la demande. Seul un type de protection peut être
activé à la fois. Si vous choisissez d'utiliser l'analyse de base de données de boîtes
aux lettres à la demande, vous devez désactiver l'intégration de la protection de la
base de données de boîtes aux lettres dans Configuration avancée (F5), sous
Serveur. Sinon, l'analyse de base de données de boîtes aux lettres à la demande
ne sera pas disponible.
Adresse de l'hôte
Nom ou adresse IP du serveur exécutant les services Web Exchange.
Nom d'utilisateur
Indiquez les informations d'identification de l'utilisateur qui dispose d'un accès adéquat
aux services Web Exchange.
Mot de passe utilisateur
Cliquez sur Définir en regard de Mot de passe de l'utilisateur, puis saisissez le mot de
passe de ce compte d'utilisateur.
164
IMPORTANT
Pour pouvoir analyser les dossiers publics, le compte utilisateur, employé pour l'analyse
de base de données de boîtes aux lettres à la demande, doit avoir une boîte aux lettres.
Sinon, le message d'erreur Failed to load public folders s'affiche dans le journal d'analyse
de base de données, avec un message plus spécifique renvoyé par Exchange.
Méthode d'accès aux boîtes aux lettres
Permet de sélectionner la méthode préférée d'accès aux boîtes aux lettres :
• Emprunt d'identité
Une configuration plus simple et plus rapide est Rôle ApplicationImpersonation qui
doit être affecté au compte d'analyse.
Attribuer le rôle ApplicationImpersonation à l'utilisateur
Si cette option est grisée, vous devez spécifier un nom d'utilisateur. Cliquez sur
Attribuer pour attribuer automatiquement le rôle ApplicationImpersonation à l'utilisateur
sélectionné. Vous pouvez également attribuer manuellement le rôle
ApplicationImpersonation à un compte d'utilisateur. Une politique de limitation EWS
illimitée est créée pour le compte d'utilisateur. Pour plus d'informations, consultez Détails
du compte d'analyse de base de données.
• Délégation
Utilisez ce type d'accès si vous voulez exiger un ensemble de droits sur chaque boîte aux
lettres, mais offrir des performances supérieures en matière de vitesse lors de l'analyse
de grandes quantités de données.
Accorder un accès délégué à l'utilisateur
Si cette option est grisée, vous devez spécifier un nom d'utilisateur. Cliquez sur Affecter
pour accorder automatiquement à l'utilisateur sélectionné un accès complet à toutes les
boîtes aux lettres utilisateur et partagées. Une politique de limitation EWS illimitée est
créée pour le compte d'utilisateur. Pour plus d'informations, consultez Détails du compte
d'analyse de base de données.
Utilliser SSL
Cette option doit être activée si les services Web Exchange sont définis sur Exiger SSL
dans IIS. Si SSL est activé, le certificat Exchange Server doit être importé dans le système
avec ESET Mail Security (si les rôles Exchange Server se trouvent sur des serveurs
différents). Les paramètres des services Web Exchange figurent dans IIS, dans
Sites/Default web site/EWS/SSL Settings.
REMARQUE
Désactivez l'option Utiliser SSL uniquement si les services Web Exchange sont
configurés pour ne pas exiger SSL dans IIS.
165
Ignorer l'erreur de certificat de serveur
Si vous utilisez un certificat signé automatiquement, vous pouvez ignorer l'erreur de
certificat de serveur.
Certificat client
Ne doit être défini que si les services Web Exchange requièrent le certificat de client.
Cliquez sur Sélectionner pour sélectionner un certificat.
Action à entreprendre si le nettoyage est impossible
Ce champ d'action permet de bloquer le contenu infecté.
• Aucune action : aucune action à entreprendre sur le contenu infecté du message.
• L'action Déplacer le message vers la corbeille n'est pas prise en charge pour les
éléments de dossier public. L'action Supprimer l'objet sera utilisée à la place.
• Supprimer l'objet : supprime le contenu infecté du message.
• Supprimer le message : supprime l'intégralité du message, y compris son contenu
infecté.
• Remplacer l’objet par des informations sur l’action : supprime un objet et ajoute
des informations indiquant que l'objet a été supprimé.
Action à entreprendre sur le message de hameçonnage:
• Aucune action : permet de conserver le message même s'il est marqué comme
étant de l'hameçonnage.
• L'action Déplacer le message vers la corbeille n'est pas prise en charge pour les
éléments de dossier public. L'action Supprimer l'objet sera utilisée à la place.
• Supprimer le message : supprime l'intégralité du message, y compris son contenu
infecté.
Nombre de threads d’analyse
Vous pouvez spécifier le nombre de threads que ESET Mail Security doit utiliser pour
analyser les bases de données. Plus le nombre de threads est élevé, plus les
performances sont optimales. Le nombre de threads a toutefois un impact sur le nombre
de ressources utilisées. La valeur par défaut est de 4 threads d'analyse.
REMARQUE
Si l'analyse de base de données de boîtes aux lettres à la demande utilise trop de
threads, la charge peut être trop élevée sur le système, ce qui peut ralentir d'autres
processus ou l'ensemble du système. Le message d'erreur « Trop de connexions
simultanées ouvertes » peut alors d'afficher.
Compte Office 365
Visible uniquement si vous disposez d'un environnement Office 365 hybride.
166
Nom d'utilisateur
Indiquez les informations d'identification de l'utilisateur qui dispose d'un accès adéquat
aux services Web Exchange.
Mot de passe utilisateur
Cliquez sur Définir en regard de Mot de passe de l'utilisateur, puis saisissez le mot de
passe de ce compte d'utilisateur.
Attribuer le rôle ApplicationImpersonation à l'utilisateur
Si cette option est grisée, vous devez spécifier un nom d'utilisateur. Cliquez sur
Attribuer pour attribuer automatiquement le rôle ApplicationImpersonation à l'utilisateur
sélectionné. Vous pouvez également attribuer manuellement le rôle
ApplicationImpersonation à un compte d'utilisateur. Une politique de limitation EWS
illimitée est créée pour le compte d'utilisateur. Pour plus d'informations, consultez Détails
du compte d'analyse de base de données.
Analyse de base de données de boîtes
aux lettres
L'exécution d'une analyse de base de données de messagerie complète peut entraîner une
charge système indésirable. Pour éviter ce problème, lancez une analyse sur des bases de
données ou des boîtes aux lettres spécifiques. Limitez davantage l'impact sur le système du
serveur en filtrant les cibles à analyser à l'aide des horodatages des messages.
IMPORTANT
Des règles incorrectement définies pour l'analyse de base de données de boîtes aux
lettres à la demande peuvent entraîner des modifications irréversibles dans les bases de
données de boîtes aux lettres. Vérifiez toujours que vous disposez de la sauvegarde la
plus récente de vos bases de données de boîtes aux lettres avant d'exécuter l'analyse de
base de données de boîtes aux lettres à la demande avec des règles mises en place pour
la première fois. Il est aussi vivement recommandé de vérifier que les règles s'exécutent
selon les attentes. Dans le cadre d'une vérification, définissez des règles avec l'action
Journaliser les événements uniquement, car toute autre action peut apporter des
modifications à vos bases de données de boîtes aux lettres. Une fois la vérification
terminée, vous pouvez ajouter des actions de règle de destruction telles que Supprimer
la pièce jointe.
Les types d'élément suivants sont analysés dans les dossiers publics et les boîtes aux
lettres des utilisateurs :
• Adresse électronique
• Publication
• Éléments de calendrier (réunions/rendez-vous)
167
• Tâches
• Contacts
• Journal
Utilisez la liste déroulante pour sélectionner les messages à analyser en fonction de leur
horodatage (les messages modifiés au cours de la semaine dernière, par exemple).
Vous avez également la possibilité d'analyser tous les messages, si cela s'avère
nécessaire
Pour activer ou désactiver l'analyse des pièces jointes, cochez la case située en regard de
l'option Analyser uniquement les messages avec pièce jointe. Cliquez sur Modifier
pour sélectionner le dossier public à analyser.
Cochez les cases en regard des bases de données et des boîtes aux lettres du serveur à
analyser. Le filtrage vous permet de retrouver rapidement les bases de données et les boîtes
aux lettres, tout particulièrement si votre infrastructure Exchange contient un grand nombre
de boîtes aux lettres.
168
Cliquez sur Enregistrer pour enregistrer les cibles à analyser et les paramètres dans le profil
d'analyse à la demande. Vous pouvez maintenant cliquer sur Analyser. Si vous n'avez pas
spécifié auparavant les détails du compte d'analyse de base de données une fenêtre
contextuelle s'ouvre pour vous demander les identifiants. Si vous ne les indiquez pas,
l'analyse de base de données de boîtes aux lettres à la demande démarrera.
REMARQUE
Si vous exécutez Microsoft Exchange Server 2007 ou 2010, vous pouvez choisir entre la
protection de la base de données de boîtes aux lettres et une analyse de base de
données de boîtes aux lettres à la demande. Seul un type de protection peut être activé à
la fois. Si vous choisissez d'utiliser l'analyse de base de données de boîtes aux
lettres à la demande, vous devez désactiver l'intégration de la protection de la base
de données de boîtes aux lettres dans Configuration avancée, sous Serveur.
Sinon, l'analyse de base de données de boîtes aux lettres à la demande ne sera pas
disponible.
Analyse des boîtes aux lettres Office 365
ESET Mail Security propose une fonctionnalité d'analyse pour les environnements Office 365
hybrides. Elle n'est disponible et visible dans ESET Mail Security que si vous disposez d'un
environnement Exchange hybride (sur site et dans le cloud). Les deux scénarios de routage
sont pris en charge par Exchange Online ou par le biais de l'organisation sur site. Pour plus
d'informations, consultez Routage du transport dans les déploiements hybrides d'Exchange
.
Vous pouvez analyser les boîtes aux lettres distantes et les dossiers publics Office 365
comme vous le feriez avec l'analyse de base de données de boîtes aux lettres à la demande.
169
L'exécution d'une analyse de base de données de messagerie complète peut entraîner une
charge système indésirable dans un environnement de grande taille. Pour éviter ce
problème, lancez une analyse sur des bases de données ou des boîtes aux lettres
spécifiques. Pour réduire davantage l'impact sur le système, utilisez le filtre temporel en haut
de la fenêtre. Par exemple, au lieu d'utiliser Analyser tous les messages, vous pouvez
sélectionner Analyser les messages modifiés au cours de la semaine dernière.
Il est recommandé de configurer un compte Office 365. Appuyez sur la touche F5 et accédez
à Serveur > Analyse de base de données de boîtes aux lettres à la demande.
Consultez également Détails du compte d'analyse de base de données.
Pour afficher l'activité de l'analyse des boîtes aux lettres Office 365, consultez Fichiers
journaux > Analyse de la base de données de boîtes aux lettres.
Éléments de boîte aux lettres
supplémentaires
Les paramètres de l'analyseur de base de données de boîtes aux lettres à la demande
permettent d'activer ou de désactiver l'analyse d'autres types d'élément de boîte aux
lettres :
• Analyser le calendrier
170
• Analyser les tâches
• Analyser les contacts
• Analyser le journal
REMARQUE
si vous rencontrez des problèmes de performances, vous pouvez désactiver l'analyse de
ces éléments. Les analyses durent plus longtemps lorsque ces éléments sont activés.
Serveur proxy
Si vous utilisez un serveur proxy entre le serveur Exchange Server avec le rôle de serveur
d'accès au client et le serveur Exchange Server sur lequel ESET Mail Security est installé,
indiquez les paramètres du serveur proxy. Ces paramètres sont obligatoires, car ESET Mail
Security se connecte à l'API des services Web via HTTP/HTTPS. Si vous ne les indiquez pas, la
boîte aux lettre de quarantaine et la quarantaine MS Exchange ne fonctionneront pas.
Serveur proxy
Saisissez l'adresse IP ou le nom du serveur proxy utilisé.
Port
Saisissez le numéro de port du serveur proxy.
Nom d'utilisateur, mot de passe
Saisissez les informations d'identification si le serveur proxy nécessite une
authentification.
Détails du compte d'analyse de base de
données
Cette boîte de dialogue s'affiche si vous n'avez pas indiqué un nom d'utilisateur ni un mot de
passe pour l'analyse de base de données. Indiquez les informations d'identification de
l'utilisateur ayant accès aux services Web Exchange dans cette fenêtre indépendante, puis
cliquez sur OK. Vous pouvez également accéder à Configuration avancée en appuyant sur
F5 et atteindre Serveur > Analyse de base de données de boîtes aux lettres à la demande.
Tapez un nom d'utilisateur, cliquez sur Définir, tapez un mot de passe, puis cliquez sur
OK.
Cliquez sur la case à cocher située en regard de l'option Enregistrer les informations du
compte pour enregistrer les paramètres du compte. Sinon, vous devrez les taper à chaque
fois que vous exécutez une analyse de base de données de boîtes aux lettres à la demande.
171
Si un compte d'utilisateur ne dispose pas d'un accès adéquat aux services Web Exchange,
vous pouvez sélectionner Créer l'attribution du rôle « ApplicationImpersonation » pour
attribuer ce rôle au compte d'utilisateur. Vous pouvez également attribuer manuellement le
rôle ApplicationImpersonation (voir la section Remarque ci-dessous).
IMPORTANT
Le compte d'analyse doit disposer du rôle ApplicationImpersonation pour permettre
au moteur d'analyse d'analyser les boîtes aux lettres des utilisateurs dans la ou les bases
de données de boîtes aux lettres Exchange. Si vous exécutez Exchange Server 2010 ou
une version ultérieure, une stratégie de limitation EWS illimitée est créée pour le compte
d'utilisateur. Veillez à configurer la stratégie de limitation EWS pour le compte d'analyse
afin d'éviter trop de demandes d'opération par ESET Mail Security, ce qui pourrait
entraîner l'expiration de certaines demandes. Pour plus d'informations sur les stratégies
de limitation, voir les articles Meilleures pratiques EWS et Présentation des stratégies
de limitation du client . Pour obtenir des informations détaillées et des exemples, voir
aussi Modifier les paramètres de limitation d'utilisateurs pour un utilisateur spécifique .
Si vous souhaitez attribuer manuellement le rôle ApplicationImpersonation à un compte
d'utilisateur et créer une politique de bande passante EWS pour ce compte, vous pouvez
utiliser les commandes suivantes (remplacez ESET-user par un nom de compte dans votre
système ; vous pouvez également définir des limites pour la nouvelle politique de bande
passante EWS en remplaçant $null par des nombres) :
172
Exchange Server 2007
Get-ClientAccessServer | Add-AdPermission -User ESET-user -ExtendedRights ms-ExchEPI-Impersonation
Get-MailboxDatabase | Add-AdPermission -User ESET-user -ExtendedRights ms-Exch-EPIMay-Impersonate
Exchange Server 2010
New-ManagementRoleAssignment -Name:ESET-ApplicationImpersonation Role:ApplicationImpersonation -User ESET-user
L'application de cette commande peut prendre quelques instants.
New-ThrottlingPolicy -Name ESET-ThrottlingPolicy -EWSFindCountLimit $null EWSFastSearchTimeoutInSeconds $null -EWSMaxConcurrency $null -EWSPercentTimeInAD
$null -EWSPercentTimeInCAS $null -EWSPercentTimeInMailboxRPC $null
Set-ThrottlingPolicyAssociation -Identity user-ESET -ThrottlingPolicy ESETThrottlingPolicy
Exchange Server 2013, 2016 et 2019
New-ManagementRoleAssignment -Name:ESET-ApplicationImpersonation Role:ApplicationImpersonation -User ESET-user
L'application de cette commande peut prendre quelques instants.
New-ThrottlingPolicy -Name ESET-ThrottlingPolicy -EWSMaxConcurrency Unlimited EwsCutoffBalance Unlimited -EwsMaxBurst Unlimited -EwsRechargeRate Unlimited
Set-ThrottlingPolicyAssociation -Identity ESET-user -ThrottlingPolicy ESETThrottlingPolicy
Types de quarantaine de messages
Le gestionnaire de quarantaine de messages est disponible pour les trois types de
quarantaine :
• Quarantaine locale
• Boîte aux lettres de quarantaine
• Quarantaine MS Exchange
Vous pouvez afficher le contenu de la quarantaine de messages dans le gestionnaire de
quarantaine de messages pour tous les types de quarantaine. La quarantaine locale peut être
en outre affichée dans l'interface Web Quarantaine de messages.
Stocker les messages des destinataires qui n'existent pas
Ce paramètre s'applique aux messages qui sont marqués comme mis en quarantaine
selon des règles, par la protection antivirus ou la protection antispam. Lorsque cette
option est activée, les messages qui ont été envoyés aux destinataires qui n'existent pas
dans Active Directory sont stockés dans la quarantaine de messages. Désactivez cette
fonctionnalité si vous ne souhaitez pas conserver ces messages dans la quarantaine de
messages. Lorsque la fonctionnalité est désactivée, les messages destinés à des
destinataires inconnus sont supprimés en silence.
Voir l'exemple : si vous souhaitez mettre en quarantaine tous les messages envoyés à
des destinataires inexistants.
173
Ignorer l'évaluation des règles lors de la libération des messages électroniques
Si vous souhaitez libérer un message de la quarantaine, celui-ci n'est pas évalué par des
règles. Ainsi, le message ne sera pas replacé dans la quarantaine et il sera remis
correctement au destinataire. Cette fonctionnalité est utilisée uniquement lorsque
l'administrateur libère le message. Si vous désactivez cette fonctionnalité ou si un
message est libéré par un utilisateur autre qu'un administrateur, celui-ci est évalué par
des règles.
REMARQUE
Les deux paramètres ci-dessus sont disponibles uniquement pour Microsoft Exchange
Server 2007 et les versions ultérieures.
Valeur initiale des signatures de courrier électronique pour un environnement
multiserveur
Permet d'ignorer l'évaluation des règles lors de la diffusion d'e-mails dans un
environnement multiserveur. Saisissez la même valeur initiale (chaîne de caractères
semblable à une phrase secrète) sur tous les serveurs lorsque vous souhaitez établir une
relation de confiance.
Format de l'enveloppe de la pièce jointe
Lorsque le message électronique est libéré de la quarantaine, il est ajouté en tant que
pièce jointe à un nouveau message (enveloppe de pièce jointe) qui est ensuite remis au
destinataire. Le destinataire reçoit le message d'origine qui est libéré de la quarantaine
en tant que pièce jointe. Vous pouvez utiliser le format prédéfini de l'enveloppe ou le
modifier selon vos besoins en utilisant les variables disponibles.
Utiliser ESET Cluster pour stocker tous les messages en quarantaine sur un nœud
Si vous utilisez ESET Cluster, cette option devient disponible. Il est recommandé d'utiliser
cette fonction, car elle permet de conserver stocké le fichier de quarantaine locale à un
seul emplacement, le nœud principal.
Nœud principal
Sélectionnez le nœud qui deviendra le nœud principal pour le stockage du fichier de
quarantaine locale. Vous gérerez la mise en quarantaine sur le nœud principal (vous
pouvez utiliser le gestionnaire de quarantaine de messages à partir de l'interface
utilisateur graphique principale ou l'interface Web Quarantaine de messages).
Quarantaine locale
La quarantaine locale utilise votre système de fichiers local pour stocker les messages
électroniques mis en quarantaine et une base de données SQLite en tant qu'index. Les
fichiers de base de données et les fichiers des messages électroniques mis en quarantaine
174
stockés sont chiffrés pour des raisons de sécurité. Ces fichiers figurent dans
C:\ProgramData\ESET\ESET Mail Security\MailQuarantine (dans Windows Server 2012).
REMARQUE
Si vous souhaitez que les fichiers en quarantaine soient stockés sur un disque autre que
le lecteur C: par défaut, remplacez le chemin d'accès du dossier de données pendant
l'installation de ESET Mail Security.
Fonctionnalités de la quarantaine locale :
• Le courrier indésirable et les messages électroniques en quarantaine sont stockés
dans un système de fichiers local, et non dans une base de données de boîtes aux
lettres Exchange.
• Chiffrement et compression des fichiers des messages électroniques mis en
quarantaine stockés localement.
• Solution Interface Web Quarantaine de messages utilisée à la place du gestionnaire de
quarantaine de messages.
• Les rapports de mise en quarantaine peuvent être envoyés à une adresse
électronique spécifiée à l'aide d'une tâche planifiée.
• Les fichiers des messages électroniques mis en quarantaine supprimés de la fenêtre
de quarantaine (au terme de 21 jours par défaut) sont stockés dans un système de
fichiers (jusqu'à ce que la suppression automatique ait lieu après un nombre spécifié de
jours).
• Suppression automatique des anciens fichiers de messages électroniques (au terme
de 3 jours par défaut). Pour plus d'informations, consultez les paramètres de stockage
des fichiers.
• Vous pouvez restaurer les fichiers des messages électroniques mis en quarantaine
supprimés à l'aide d'eShell (à condition qu'ils n'aient pas encore été supprimés du
système de fichiers).
• Inspectez les messages électroniques mis en quarantaine et décidez de les supprimer
ou de les libérer. Pour afficher et gérer de manière locale les messages électroniques
mis en quarantaine, vous pouvez utiliser le gestionnaire de quarantaine de messages à
partir de l'interface utilisateur graphique principale ou l'interface Web Quarantaine de
messages.
REMARQUE
L'option Quarantaine locale présente un désavantage : si vous exécutez plusieurs
serveurs ESET Mail Security dotés du rôle Serveur de transport Hub, vous devez gérer
séparément la quarantaine locale de chaque serveur. Plus vous disposez de serveurs de
messagerie, plus le nombre de mises en quarantaine à gérer sera important.
Stockage de fichiers
Dans cette section, vous pouvez modifier les paramètres du stockage des fichiers utilisé par
la quarantaine locale.
175
Compresser les fichiers mis en quarantaine
Les fichiers mis en quarantaine compressés occupent moins d'espace disque. Si vous ne
souhaitez pas compresser les fichiers, utilisez la barre du curseur pour désactiver la
compression.
Effacer les anciens fichiers après (jours)
Lorsque les messages atteignent le nombre de jours spécifié, ils sont supprimés de la
fenêtre de quarantaine. Toutefois, les fichiers ne sont pas supprimés du disque pendant le
nombre de jours spécifié dans Effacer les fichiers supprimés après (jours). Comme
les fichiers ne sont pas supprimés du système de fichiers, il est possible de les récupérer
à l'aide d'eShell.
Effacer les fichiers supprimés après (jours)
Supprime les fichiers du disque après le nombre de jours spécifié. Aucune récupération
n'est possible après la suppression des fichiers (à moins qu'une solution de sauvegarde
du système ne soit en place).
Interface Web
L'interface Web Quarantaine de messages est une solution que vous pouvez utiliser à la
place du gestionnaire de quarantaine de messages. Elle n'est toutefois disponible que pour la
quarantaine locale.
REMARQUE
L'interface Web Quarantaine de messages n'est pas disponible sur un serveur avec le rôle
serveur de transport Edge, car Active Directory n'est pas accessible pour
l'authentification.
L'interface Web Quarantaine de messages permet d'afficher l'état de la quarantaine des
messages. Elle permet également de gérer les objets des messages électroniques mis en
quarantaine. Cette interface Web est accessible par le biais des liens contenus dans les
rapports de mise en quarantaine ou en saisissant une URL dans votre navigateur Web. Pour
accéder à l'interface Web Quarantaine de messages, vous devez vous authentifier à l'aide
des informations d'identification du domaine. Internet Explorer effectue automatiquement
l'authentification pour un utilisateur du domaine. Toutefois, le certificat de la page Web doit
être valide, la connexion automatique doit être activée dans Microsoft Internet Explorer et
vous devez ajouter le site Web Quarantaine de messages aux sites de l'intranet local.
Les utilisateurs qui figurent dans Active Directory peuvent accéder à l'interface Web
Quarantaine de messages. Ils ne peuvent toutefois afficher que les éléments mis en
quarantaine qui ont été envoyés à leur adresse électronique (alias, y compris).
L'administrateur peut afficher tous les éléments mis en quarantaine de tous les destinataires.
176
IMPORTANT
ESET Mail Security n'utilise pas IIS pour exécuter l'interface Web Quarantaine de
messages. L'application utilise à la place l'API Serveur HTTP qui prend en charge SSL
pour permettre les échanges de données via des connexions HTTP sécurisées.
URL de l'interface web
Il s'agit de l'URL à laquelle l'interface Web Quarantaine de messages est disponible. Par
défaut, il s'agit du nom de domaine complet du serveur suivi de /quarantine
(mailserver.company.com/quarantine, par exemple). Vous pouvez spécifier votre propre
répertoire virtuel au lieu du répertoire /quarantine par défaut. Vous pouvez modifier l'URL
Web à tout moment en changeant sa valeur.
La valeur de l'URL Web doit être spécifiée sans schéma (HTTP, HTTPS) et sans numéro de
port. Utilisez uniquement la forme fqdn/virtualdirectory. Vous pouvez également utiliser
des caractères génériques au lieu d'un nom de domaine complet.
Une fois l'URL Web modifiée, il n'est pas possible de rétablir la valeur par défaut en cliquant
sur l'icône de rétablissement
Supprimez l'entrée et laissez la zone de texte vide.
Redémarrez votre serveur. Lorsque ESET Mail Security démarre et constate que l'URL Web
est vide, il remplit automatiquement le champ avec la valeur fqdn/quarantine par défaut.
REMARQUE
ESET Mail Security prend en charge des URL Web sous quatre formes différentes :
Caractère générique fort (+/quarantine)
Explicite (mydomain.com/quarantine)
Caractère générique faible lié à IP (192.168.0.0/quarantine)
Caractère générique faible (*/quarantine)
Pour plus d'informations, voir la section Host-Specifier Categories de l'article UrlPrefix
Strings (en anglais).
Langue des rapports et Web
Permet de définir la langue de l'interface Web de la quarantaine et des rapports de mise
en quarantaine.
Port HTTPS
Utilisé pour l'interface Web. Le numéro de port par défaut est 443.
Port HTTP
Utilisé pour libérer les messages électroniques de la quarantaine via des rapports sur les
messages électroniques.
177
IMPORTANT
Si un certificat SSL n'est pas installé sur IIS, configurez la liaison de port HTTPS. Si vous
modifiez le numéro de port pour HTTPS ou HTTP, veillez à ajouter la liaison de port
correspondante dans IIS .
Consigner l'action de version dans les événements
Lors de la libération d'éléments de la quarantaine des messages, cette action est écrite
dans les fichiers journaux.
Autoriser les administrateurs par défaut
Par défaut, les membres du groupe Administrateurs se voient accorder un accès
administrateur à l'interface Web Quarantaine de messages. Un accès administrateur n'a
aucune limite et permet à l'administrateur d'afficher tous les éléments mis en
quarantaine de tous les destinataires. Si vous désactivez cette option, seul les comptes
d'administrateur ont un accès à l'interface Web Quarantaine de messages.
Droits d'accès supplémentaires
Accordez aux utilisateurs un droit d'accès supplémentaire à l'interface Web Quarantaine
de messages et choisir un type d'accès. Pour ouvrir la fenêtre Droits d'accès
supplémentaires, cliquez sur Modifier. Cliquez sur Ajouter pour accorder l'accès à un
utilisateur. Dans la fenêtre contextuelle Nouveau droit d'accès, cliquez sur Sélectionner,
choisissez un utilisateur dans Active Directory (vous pouvez choisir un seul utilisateur),
puis le type d'accès dans la liste déroulante :
• Administrateur : l'utilisateur dispose d'un accès administrateur à l'interface Web
Quarantaine de messages.
• Accès délégué : utilisez ce type d'accès si vous souhaitez (déléguer) qu'un utilisateur
puisse afficher et gérer les messages mis en quarantaine d'un autre destinataire.
Indiquez l'adresse du destinataire en saisissant l'adresse électronique d'un
utilisateur dont les messages mis en quarantaine seront gérés par le délégué. Si un
utilisateur possède des alias dans Active Directory, vous pouvez ajouter des droits
d'accès supplémentaires à chaque alias, si vous le souhaitez.
178
Exemple d'utilisateurs à qui des droits d'accès supplémentaires ont été accordés pour
l'interface Web Quarantaine de messages :
Pour accéder à l'interface Web Quarantaine de messages, ouvrez votre navigateur Web et
utilisez l'URL spécifiée dans la zone Configuration avancée (F5) > Serveur >
Quarantaine de messages > Interface Web > URL Web.
Libérer
Libère le ou les messages électroniques pour le ou les destinataires d'origine à l'aide du
répertoire de lecture et le supprime de la quarantaine. Cliquez sur Soumettre pour
179
confirmer l'action.
REMARQUE
Lorsque vous libérez un message électronique de la quarantaine, ESET Mail Security
ignore l'en-tête MIME To:, car il peut être facilement usurpé. Il utilise à la place les
informations de destinataire d'origine de la commande RCPT TO:, acquises pendant la
connexion SMTP. Le destinataire correct reçoit ainsi le message qui est libéré de la
quarantaine.
Supprimer
Supprime l'élément de la quarantaine. Cliquez sur Soumettre pour confirmer l'action.
Lorsque vous cliquez sur Objet, une fenêtre indépendante s'ouvre. Elle contient des détails
sur le message électronique mis en quarantaine tels que le type, le motif, l'expéditeur, la
date, les pièces jointes, etc.
Cliquez sur Afficher les en-têtes pour consulter l'en-tête des messages électroniques mis
en quarantaine.
180
Si vous le souhaitez, cliquez sur Libérer ou Supprimer pour exécuter une action sur un
message électronique mis en quarantaine.
REMARQUE
vous devez fermer la fenêtre de votre navigateur pour vous déconnecter complètement
de l'interface Web Quarantaine de messages. Sinon, cliquez sur Atteindre la vue de
quarantaine pour revenir à l'écran précédent.
181
IMPORTANT
Si vous rencontrez des problèmes pour accéder à l'interface Web Quarantaine de
messages à partir de votre navigateur ou si l'erreur HTTP Error 403.4 - Forbidden (ou
une erreur similaire) s'affiche, vérifiez quel type de quarantaine est sélectionné et
assurez-vous que les options Quarantaine locale et Activer l'interface Web sont
activées.
Envoyer les rapports de mise en
quarantaine des messages - tâche
planifiée
Les rapports de mise en quarantaine des messages sont des e-mails de notification envoyés
aux utilisateurs et aux administrateurs sélectionnés afin de les informer de la mise en
quarantaine de leurs e-mails par ESET Mail Security. Ces rapports contiennent des liens qui
vous permettent, ainsi qu'aux utilisateurs qui reçoivent les rapports de mise en quarantaine
des messages, de supprimer ou de libérer (envoyer) directement les faux positifs. La
diffusion de certains messages filtrés par des règles ou mis en quarantaine par la protection
antivirus n'est pas autorisée pour les utilisateurs standard.
La tâche Envoyer les rapports de mise en quarantaine des messages / Envoyer les rapports
administrateur de mise en quarantaine des messages envoie un rapport de mise en
quarantaine des messages par e-mail selon la tâche planifiée spécifiée. Voici un exemple de
rapport de mise en quarantaine des messages utilisateur :
182
Le rapport de mise en quarantaine des messages contient aussi un lien vers l'interface Web
Quarantaine de messages pour les utilisateurs (ouvrir la visionneuse en ligne).
REMARQUE
La tâche Envoyer les rapports de mise en quarantaine des messages n'est disponible que
lorsque vous utilisez l'option Quarantaine locale. Vous ne pouvez pas l'utiliser avec la
boîte aux lettres de quarantaine et la quarantaine MS Exchange.
Adresse de l’expéditeur
Indiquez une adresse électronique à afficher en tant qu'expéditeur du rapport de mise en
quarantaine des messages.
Nombre maximal d'entrées dans le rapport
Vous pouvez limiter le nombre d'entrées par rapport. Le nombre par défaut est défini sur
50.
URL du site Web
183
Cette URL est incluse dans le rapport de mise en quarantaine des messages afin que le
destinataire puisse simplement cliquer sur le lien pour accéder à l'interface web
Quarantaine de messages.
Destinataires
Sélectionnez les utilisateurs qui recevront les rapports de mise en quarantaine des
messages. Cliquez sur Modifier pour sélectionner les boîtes aux lettres de destinataires
spécifiques.
REMARQUE
Le rapport Quarantaine de messages n'est envoyé que si des messages ont été mis en
quarantaine. Si la quarantaine est vide, le rapport n'est pas envoyé.
EXEMPLE
Objectif : Créer une tâche planifiée pour vous envoyer régulièrement des rapports de
mise en quarantaine des messages en tant qu'administrateur ou pour informer les
utilisateurs du courrier indésirable stocké dans la quarantaine des messages
Accédez à Outils > Planificateur > Ajouter une tâche, puis ouvrez l'assistant.
Entrez le nom de la tâche.
Sélectionnez le type de tâche dans le menu déroulant : Envoyer les rapports de mise
en quarantaine des messages (le rapport ne contient que le courrier indésirable d'un
utilisateur spécifique) ou Envoyer les rapports administrateur de mise en
quarantaine des messages (le rapport contient tous les messages, à savoir la totalité
de la quarantaine), puis cliquez sur Suivant.
Sélectionnez l'une des options pour définir lorsque vous souhaitez exécuter la tâche. Par
exemple, Hebdomadaire à 10.00.00 le Vendredi.
Indiquez l'adresse de l'expéditeur (administrateur@mondomaine.com).
Cliquez sur Modifier pour ajouter des destinataires à partir de la liste Sélectionnez les
boîtes aux lettres des utilisateurs qui recevront les rapports de mise en quarantaine des
messages.
Interface Web Quarantaine de messages
pour les utilisateurs
Vous avez accès à une interface Web où vous pouvez gérer les messages mis en quarantaine
tels que le courrier indésirable, les messages de hameçonnage ou dont l'identité a été
usurpée, ainsi que les messages filtrés par des règles définies par l'administrateur.
Normalement, vous pouvez uniquement afficher les messages envoyés à votre adresse email et mis en quarantaine. Toutefois, si la gestion des messages mis en quarantaine
d'autres utilisateurs vous a été déléguée, vous les afficherez également. Vous pouvez
distinguer les messages en fonction des destinataires. Utilisez la fonction de recherche pour
filtrer les messages par destinataire, par exemple.
Vous pouvez choisir une action à exécuter sur un message ou plusieurs messages, telle que
libérer, supprimer ou aucune action. La disponibilité des actions dépend du niveau
184
d'accès et des paramètres de la règle. Par exemple, vous ne pourrez peut-être pas libérer ou
supprimer certains types de messages.
Si un accès administrateur vous a été accordé, vous verrez tous les messages mis en
quarantaine pour tous les utilisateurs et pourrez effectuer n'importe quelle action.
Gestion des messages en quarantaine:
• L'interface Web Quarantaine de messages permet d'afficher ce qui a été mis en
quarantaine. Si vous disposez d'un accès délégué ou du rôle d'administrateur, vous
afficherez aussi les autres messages mis en quarantaine.
• Vous pouvez modifier le nombre d'entrées par page (taille de la page) dans le coin
inférieur gauche de la fenêtre.
• Si les messages sont trop nombreux, utilisez la fonctionnalité de recherche dans la
barre supérieure pour rechercher un e-mail spécifique ou filtrez le contenu par Objet,
Expéditeur ou Destinataire (l'option Destinataire est uniquement disponible pour les
utilisateurs qui disposent d'un accès délégué ou administrateur). En outre, vous pouvez
utiliser les cases à cocher pour afficher uniquement un message d'un certain type
(courrier indésirable, logiciel malveillant, règle, hameçonnage, expéditeur
185
usurpé).
• Pour libérer (remettre) un message qui a été mis en quarantaine parce qu'il a été
marqué comme faux positif pendant la classification, utilisez les boutons radio sur la
droite et sélectionnez Libérer. Pour supprimer un message, sélectionnez l'action
Supprimer. Vous pouvez sélectionner plusieurs messages en même temps. Une fois
votre sélection terminée, cliquez sur Envoyer. Les messages marqués comme devant
être libérés sont ensuite remis dans votre boîte aux lettres ou dans celle du destinataire
d'origine si vous disposez d'un accès délégué et libérez des messages pour d'autres
utilisateurs. Les messages marqués comme devant être supprimés sont définitivement
supprimés de la quarantaine.
REMARQUE
Une fois que vous avez cliqué sur Envoyer, les deux actions Libérer et Supprimer sont
irréversibles.
• L'affichage est actualisé automatiquement lorsque vous cliquez sur Envoyer. Vous
pouvez aussi l'actualiser manuellement à l'aide du bouton d'actualisation de votre
navigateur Web ou en appuyant sur la touche F5 du clavier.
REMARQUE
Seuls le courrier indésirable et les messages dont l'identité de l'expéditeur a été usurpée
peuvent être libérés. La libération des messages de type logiciel malveillant,
hameçonnage et règle n'est pas autorisée. Si vous devez libérer un message de ce type,
demandez de l'aide à votre administrateur.
• Il n'est pas nécessaire de supprimer régulièrement les messages mis en quarantaine.
Ils sont supprimés automatiquement après une période spécifiée par l'administrateur.
REMARQUE
Vous devez fermer la fenêtre de votre navigateur Web pour vous déconnecter
complètement de l'interface Web Quarantaine de messages. Sinon, cliquez sur Atteindre
la vue de quarantaine pour revenir à l'écran précédent.
Boîte aux lettres de quarantaine et
quarantaine MS Exchange
Si vous choisissez de ne pas utiliser l'option Quarantaine locale, vous disposez de deux
autres options : Boîte aux lettres de quarantaine et Quarantaine MS Exchange. Quelle
que soit l'option choisie, vous devez créer un utilisateur dédié avec une boîte aux lettres (par
exemple quarantaine principale@entreprise.com) qui sera utilisée pour stocker les messages
électroniques mis en quarantaine. Cet utilisateur et la boîte aux lettres seront également
utilisés par le gestionnaire de quarantaine de messages pour afficher et gérer les éléments
en quarantaine. Vous devez indiquer les détails du compte de cet utilisateur dans les
Paramètres du gestionnaire de la mise en quarantaine.
186
REMARQUE
L'avantage de l'utilisation des options Boîte aux lettres de quarantaine/ Quarantaine MS
Exchange par rapport à l'option Quarantaine locale réside dans le fait que les éléments
de quarantaine de messages sont gérés à partir d'un seul et même emplacement,
indépendamment du nombre de serveurs dotés du rôle Serveur de transport Hub.
Contrairement à la quarantaine locale, le courrier indésirable et les messages
électroniques en quarantaine des options Boîte aux lettres de quarantaine/ Quarantaine
MS Exchange sont stockés dans la ou les bases de données de boîtes aux lettres
Exchange. Toute personne disposant d'un accès à la boîte aux lettres de quarantaine
peut gérer les messages en quarantaine.
Lorsque l'on compare Boîte aux lettres de quarantaine et Quarantaine MS Exchange,
les deux options utilisent une boîte aux lettres dédiée comme mécanisme sous-jacent pour
stocker les messages mis en quarantaine, mais diffèrent légèrement dans la façon dont les
messages électroniques sont remis dans la boîte aux lettres. Boîte aux lettres de quarantaine
et Quarantaine MS Exchange :
Boîte aux lettres de quarantaine
ESET Mail Security crée un courrier électronique de wrapper distinct avec des informations
supplémentaires et les messages électroniques d'origine sous forme de pièce jointe et les
envoie à la boîte aux lettres.
Indiquez l'adresse de quarantaine des messages (par exemple quarantaine
principale@entreprise.com).
IMPORTANT
Il n'est pas recommandé d'utiliser le compte d'utilisateur Administrateur en tant que boîte
aux lettres de quarantaine.
Quarantaine MS Exchange
Exchange Server est chargé d'envoyer le courrier électronique à la boîte aux lettres. La boîte
aux lettres doit être définie en tant que quarantaine au niveau de l'organisation dans Active
Directory (par une commande PowerShell indiquée ci-dessous).
REMARQUE
Par défaut, cette quarantaine interne n'est pas activée dans Microsoft Exchange Server.
S'il n'est pas activé, ouvrez l'environnement de ligne de commande Exchange
Management Shell et entrer la commande suivante (remplacez Nom@domaine.com par
l'adresse réelle de la boîte aux lettres dédiée) :
Set-ContentFilterConfig -QuarantineMailbox name@domain.com
ESET Mail Security utilise le système de quarantaine Microsoft Exchange (cela s'applique à
Microsoft Exchange Server 2007 et version ultérieure). Dans ce cas, le mécanisme interne
Exchange stocke les messages potentiellement infectés et le courrier potentiellement
indésirable.
187
Paramètres du gestionnaire de la mise en
quarantaine
Adresse de l'hôte
Apparaît automatiquement si le serveur Exchange Server avec le rôle de serveur d'accès
au client est présent localement. Si le rôle de serveur d'accès au client n'est pas présent
sur le serveur sur lequel ESET Mail Security est installé mais s'il peut être détecté dans
Active Directory, l'adresse de l'hôte apparaît aussi automatiquement. Si elle n'apparaît
pas, vous pouvez saisir manuellement le nom de l'hôte. La détection automatique ne
fonctionne pas avec le rôle de serveur de transport Edge. L'adresse IP n'est pas prise en
charge. Vous devez utiliser le nom de l'hôte du serveur d'accès au client.
Nom d'utilisateur
Compte d'utilisateur de quarantaine dédié que vous avez créé pour stocker les messages
mis en quarantaine (ou compte ayant accès à cette boîte aux lettres via la délégation
d'accès). Pour le rôle de serveur de transport Edge qui n'appartient pas au domaine, il est
nécessaire d'utiliser l'adresse électronique complète (main_quarantine@company.com,
par exemple).
Mot de passe
Saisissez le mot de passe de votre compte de quarantaine.
Utilliser SSL
Cette option doit être activée si les services Web Exchange sont définis sur Exiger SSL
dans IIS. Si SSL est activé, le certificat Exchange Server doit être importé dans le système
avec ESET Mail Security (si les rôles Exchange Server se trouvent sur des serveurs
différents). Les paramètres des services Web Exchange figurent dans IIS, sous
Sites/Default web site/EWS/SSL Settings.
REMARQUE
Désactivez l'option Utiliser SSL uniquement si les services Web Exchange sont
configurés pour ne pas exiger SSL dans IIS.
Ignorer les erreurs de certificat de serveur
Ignore les états suivants : self-signed, wrong name in certificate, wrong usage, expired.
Serveur proxy
Si vous utilisez un serveur proxy entre le serveur Exchange Server avec le rôle de serveur
d'accès au client et le serveur Exchange Server sur lequel ESET Mail Security est installé,
188
indiquez les paramètres du serveur proxy. Ces paramètres sont obligatoires, car ESET Mail
Security se connecte à l'API des services Web via HTTP/HTTPS. Si vous ne les indiquez pas, la
boîte aux lettre de quarantaine et la quarantaine MS Exchange ne fonctionneront pas.
Serveur proxy
Saisissez l'adresse IP ou le nom du serveur proxy utilisé.
Port
Saisissez le numéro de port du serveur proxy.
Nom d'utilisateur, mot de passe
Saisissez les informations d'identification si le serveur proxy nécessite une
authentification.
Détails du compte du gestionnaire de
mise en quarantaine
Cette boîte de dialogue s'affiche si vous n'avez pas spécifié de détails de compte (nom
d'utilisateur et mot de passe) pour le Gestionnaire de mise en quarantaine. Indiquez les
informations d'identification d'un utilisateur disposant d'un accès à la boîte aux lettres de
quarantaine, puis cliquez sur OK. Vous pouvez également appuyer sur F5 pour accéder à
Configuration avancée et atteindre Serveur > Quarantaine des messages >
Paramètres du gestionnaire de la mise en quarantaine. Saisissez le nom d'utilisateur et le
mot de passe de la boîte aux lettres de quarantaine.
Cliquez sur la case à cocher située en regard de l'option Enregistrer les informations du
compte pour enregistrer les paramètres du compte pour une utilisation ultérieure lors de
l'accès au gestionnaire de mise en quarantaine.
189
Test antivirus
Pour vérifier que la protection en temps réel fonctionne et détecte les virus, utilisez un fichier
de test d'eicar.com. Ce fichier de test est un fichier inoffensif détectable par tous les
programmes antivirus. Le fichier a été créé par la société EICAR (European Institute for
Computer Antivirus Research) et permet de tester la fonctionnalité des programmes
antivirus.
Pour tester la fonctionnalité antivirus, créez un fichier texte contenant la chaîne suivante :
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Pour plus d’informations et pour télécharger les fichiers de test sous différents formats,
consultez http://2016.eicar.org/85-0-Download.html .
Test antispam
À l'aide d'une chaîne de test spéciale connue sous le nom de GTUBE (Generic Test for
Unsolicited Bulk Email), vous pouvez vérifier que la fonctionnalité antispam de ESET Mail
Security fonctionne et détecte le courrier indésirable entrant.
Pour tester la fonctionnalité antispam, envoyez un e-mail avec la chaîne de 68 octets
suivante dans le corps du message :
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X
Utilisez la chaîne telle quelle (une seule ligne, sans espace ni saut de ligne). Vous pouvez
télécharger un e-mail adéquat au format RFC-822.
Test anti-hameçonnage
Pour tester la fonctionnalité anti-hameçonnage, envoyez un e-mail avec le lien (URL) suivant
dans le corps ou l'objet du message :
https://www.amtso.org/check-desktop-phishing-page/
Pour afficher l'activité de la protection anti-hameçonnage des messages, consultez Fichiers
journaux > Journal de la protection du serveur de messagerie. Il contient des informations
sur les e-mails et les liens de hameçonnage détectés.
190
Paramètres généraux
Vous pouvez configurer des paramètres généraux et des options en fonction de vos besoins.
Le menu situé à gauche se compose des catégories suivantes :
Ordinateur
Permet d'activer ou de désactiver la détection des applications potentiellement
indésirables, suspectes et susceptibles d'être dangereuses et la protection Anti-Stealth.
Spécifiez les exclusions des processus ou des fichiers et dossiers. Configurez la protection
en temps réel du système de fichiers, les paramètres de ThreatSense, la protection dans
le cloud (ESET LiveGrid®), les analyses des logiciels malveillants (analyse de l'ordinateur
à la demande et autres options d'analyse), analyse Hyper-V et HIPS.
Mettre à jour
Configurez les options de mise à jour telles que les profils, l'âge du moteur de détection,
les captures instantanées pour la restauration des modules, le type de mise à jour, le
serveur de mise à jour personnalisé, le serveur de connexion/proxy, le miroir de mise à
jour, l'accès aux fichiers de mise à jour, le serveur HTTP, les détails du compte utilisateur
pour la connexion réseau, etc.
Internet et messagerie
Permet de configurer le filtrage des protocoles et les exclusions (applications et adresses
IP exclues), les options de filtrage du protocole SSL/TLS, la protection du client de
messagerie (intégration, protocoles de messagerie, alertes et notifications), la protection
de l'accès Web (protocoles web HTTP/HTTPS et gestion des adresses URL) ) et l'antihameçonnage du client de messagerie.
Contrôle de périphérique
Permet l'intégration ainsi que la configuration du contrôle de périphérique, des règles et
des groupes.
Outils de configuration
Permet de personnaliser des outils tels que ESET CMD, ESET RMM, le fournisseur WMI, les
cibles à analyser ESET PROTECT, les notifications Windows Update, les fichiers journaux,
le serveur proxy, les notifications par e-mail, les diagnostics, le cluster, etc.
Interface utilisateur
Permet de configurer le comportement de l'interface utilisateur graphique, les états, les
informations de licence, les alertes et les notifications, la protection par mot de passe, la
politique d'exécution d'eShell, etc.
191
Ordinateur
Le moteur de détection vous protège des attaques malveillantes contre le système en
analysant les échanges de fichiers et d'e-mails, ainsi que les communications Internet. Si un
objet classé comme logiciel malveillant est détecté, la correction commencera. Le moteur de
détection peut l'éliminer en le bloquant dans un premier temps, puis en exécutant une action
comme le nettoyage, la suppression ou la mise en quarantaine.
Protection en temps réel et par apprentissage machine
L’apprentissage machine avancé fait désormais partie du moteur de détection. Il constitue
couche avancée de protection qui améliore la détection basée sur l’apprentissage machine.
Pour en savoir plus sur ce type de protection, consultez le Glossaire . Vous pouvez
configurer les niveaux de protection et de rapport des catégories suivantes :
Logiciel malveillant
Un virus informatique est un fragment de code malveillant ajouté à des fichiers qui sont
sur votre ordinateur. Le terme « virus » est souvent utilisé de manière incorrecte. Le
terme « logiciel malveillant » (malware, en anglais) est plus précis. La détection des
logiciels malveillants est effectuée par le module du moteur de détection associé au
composant d'apprentissage machine. Pour en savoir plus sur ces types d'applications,
consultez le glossaire .
Applications potentiellement indésirables
Une application potentiellement indésirable est un logiciel dont l'objectif n'est pas
nécessairement malveillant. Il peut toutefois installer d'autres logiciels non souhaités,
modifier le comportement de l'appareil numérique, effectuer des activités non
approuvées ou non attendues par l'utilisateur ou avoir d'autres objectifs flous.
Cette catégorie comprend : logiciels qui affichent des publicités, wrappers de
téléchargement, diverses barres d'outils de navigateur, logiciels avec un comportement
trompeur, bundleware, trackware, etc.
Pour en savoir plus sur ces types d'applications, consultez le glossaire .
Applications potentiellement suspectes
Une application suspecte est un logiciel compressé par des compresseurs ou des
programmes de protection qui est souvent utilisée pour décourager l'ingénierie inverse ou
pour obfusquer le contenu de l'exécutable (pour masquer la présence de logiciels
malveillants par exemple) par des méthodes propriétaires de compression et/ou
chiffrement.
Cette catégorie comprend les éléments suivants : toutes les applications inconnues
compressées à l'aide d'un compresseur ou d'un programme de protection fréquemment
utilisées pour compresser les logiciels malveillants.
Applications potentiellement dangereuses
192
Cette classification s'utilise pour des logiciels authentiques du commerce susceptibles
d'être utilisés à des fins malveillantes. Les applications potentiellement dangereuses sont
des logiciels commerciaux authentiques susceptibles d'être utilisés à des fins
malveillantes.
Cette catégorie englobe : les outils de craquage, les générateurs de clés de licence, les
outils de piratage, les programmes d'accès à distance, les applications de résolution de
mot de passe ou les keyloggers (programmes qui enregistrent chaque frappe au clavier
de l'utilisateur). Cette option est désactivée par défaut.
Pour en savoir plus sur ces types d'applications, consultez le glossaire .
Lisez les informations suivantes avant de modifier un seuil (ou niveau) pour les rapports ou la
protection d'une catégorie :
Rapports
La création de rapports est effectuée par le moteur de détection et le composant
d'apprentissage machine. Vous pouvez définir le seuil des rapports pour les adapter à votre
environnement et à vos besoins. Il n'y a pas qu'une seule configuration correcte. Il est donc
recommandé de surveiller le comportement dans votre environnement et de déterminer
décider si une configuration différente des rapports est plus appropriée.
Les rapports n'exécutent pas des actions sur les objets. Ils transmettent les informations à
une couche de protection. C'est celle-ci qui prend des mesures en conséquence.
Offensif
Rapports configurés sur une sensibilité maximale. D’autres détections sont
signalées. Alors que le paramètre Offensif peut sembler être le plus sûr, il peut
souvent être trop sensible, ce qui peut être contre-productif.
REMARQUE
Le paramètre Offensif peut identifier à tort des objets comme étant
malveillants. Des actions seront alors exécutées sur ces objets (selon les
paramètres de protection).
Équilibré
Cette configuration offre un équilibre optimal entre les performances et la
précision des taux de détection et le nombre d'objets signalés à tort.
Prudent
Rapports configurés pour réduire le nombre d'objets identifiés à tort tout en
maintenant un niveau de protection suffisant. Les objets ne sont signalés que
lorsque la probabilité est évidente et correspond à un comportement
malveillant.
Désactivée La création de rapports n’est pas active. Aucune détection n’est effectuée,
signalée ou nettoyée.
REMARQUE
Les rapports sur les logiciels malveillants ne peuvent pas être désactivés.
Le paramètre Désactivée n’est donc pas disponible pour les logiciels
malveillants.
Si vous souhaitez rétablir les valeurs par défaut des paramètres de cette section, cliquez sur
la flèche en forme de demi-tour à côté de l’en-tête de section. Les modifications apportées à
cette section seront perdues.
Protection
193
Lorsqu’un objet est signalé en fonction de la configuration ci-dessus et des résultats de
l’apprentissage machine, il est bloqué. Une action est en outre exécutée (nettoyé, supprimé
ou déplacé vers la quarantaine).
Offensif
Les détections du niveau Offensif (ou d'un niveau inférieur) signalées sont
bloquées et la correction automatique (le nettoyage) est commencée.
Équilibré
Les détections du niveau Équilibré (ou d'un niveau inférieur) signalées sont
bloquées et la correction automatique (le nettoyage) est commencée.
Prudent
Les détections du niveau Prudent signalées sont bloquées et la correction
automatique (le nettoyage) est commencée.
Désactivée La création de rapports n’est pas active. Aucune détection n’est effectuée,
signalée ou nettoyée.
REMARQUE
Les rapports sur les logiciels malveillants ne peuvent pas être désactivés.
Le paramètre Désactivée n’est donc pas disponible pour les logiciels
malveillants.
Si vous souhaitez rétablir les valeurs par défaut des paramètres de cette section, cliquez sur
la flèche en forme de demi-tour à côté de l’en-tête de section. Les modifications apportées à
cette section seront perdues.
REMARQUE
Par défaut, les paramètres ci-dessous de la protection par apprentissage machine
s’appliquent également à l’analyse de l’ordinateur à la demande. Au besoin, vous pouvez
configurer séparément les paramètres de la protection par apprentissage machine
et à la demande. Cliquez sur l’icône de bouton bascule pour désactiver l’option Utiliser
les configurations de protection en temps réel et continuez la configuration.
Détection par l'apprentissage machine
Le moteur de détection vous protège des attaques malveillantes contre le système en
analysant les échanges de fichiers et d'e-mails, ainsi que les communications Internet. Si un
objet classé comme logiciel malveillant est détecté, la correction commencera. Le moteur de
détection peut l'éliminer en le bloquant dans un premier temps, puis en exécutant une action
comme le nettoyage, la suppression ou la mise en quarantaine.
Protection en temps réel et par apprentissage machine
L’apprentissage machine avancé fait désormais partie du moteur de détection. Il constitue
couche avancée de protection qui améliore la détection basée sur l’apprentissage machine.
Pour en savoir plus sur ce type de protection, consultez le Glossaire . Vous pouvez
configurer les niveaux de protection et de rapport des catégories suivantes :
Logiciel malveillant
Un virus informatique est un fragment de code malveillant ajouté à des fichiers qui sont
sur votre ordinateur. Le terme « virus » est souvent utilisé de manière incorrecte. Le
terme « logiciel malveillant » (malware, en anglais) est plus précis. La détection des
194
logiciels malveillants est effectuée par le module du moteur de détection associé au
composant d'apprentissage machine. Pour en savoir plus sur ces types d'applications,
consultez le glossaire .
Applications potentiellement indésirables
Une application potentiellement indésirable est un logiciel dont l'objectif n'est pas
nécessairement malveillant. Il peut toutefois installer d'autres logiciels non souhaités,
modifier le comportement de l'appareil numérique, effectuer des activités non
approuvées ou non attendues par l'utilisateur ou avoir d'autres objectifs flous.
Cette catégorie comprend : logiciels qui affichent des publicités, wrappers de
téléchargement, diverses barres d'outils de navigateur, logiciels avec un comportement
trompeur, bundleware, trackware, etc.
Pour en savoir plus sur ces types d'applications, consultez le glossaire .
Applications potentiellement suspectes
Une application suspecte est un logiciel compressé par des compresseurs ou des
programmes de protection qui est souvent utilisée pour décourager l'ingénierie inverse ou
pour obfusquer le contenu de l'exécutable (pour masquer la présence de logiciels
malveillants par exemple) par des méthodes propriétaires de compression et/ou
chiffrement.
Cette catégorie comprend les éléments suivants : toutes les applications inconnues
compressées à l'aide d'un compresseur ou d'un programme de protection fréquemment
utilisées pour compresser les logiciels malveillants.
Applications potentiellement dangereuses
Cette classification s'utilise pour des logiciels authentiques du commerce susceptibles
d'être utilisés à des fins malveillantes. Les applications potentiellement dangereuses sont
des logiciels commerciaux authentiques susceptibles d'être utilisés à des fins
malveillantes.
Cette catégorie englobe : les outils de craquage, les générateurs de clés de licence, les
outils de piratage, les programmes d'accès à distance, les applications de résolution de
mot de passe ou les keyloggers (programmes qui enregistrent chaque frappe au clavier
de l'utilisateur). Cette option est désactivée par défaut.
Pour en savoir plus sur ces types d'applications, consultez le glossaire .
Lisez les informations suivantes avant de modifier un seuil (ou niveau) pour les rapports ou la
protection d'une catégorie :
Rapports
195
La création de rapports est effectuée par le moteur de détection et le composant
d'apprentissage machine. Vous pouvez définir le seuil des rapports pour les adapter à votre
environnement et à vos besoins. Il n'y a pas qu'une seule configuration correcte. Il est donc
recommandé de surveiller le comportement dans votre environnement et de déterminer
décider si une configuration différente des rapports est plus appropriée.
Les rapports n'exécutent pas des actions sur les objets. Ils transmettent les informations à
une couche de protection. C'est celle-ci qui prend des mesures en conséquence.
Offensif
Rapports configurés sur une sensibilité maximale. D’autres détections sont
signalées. Alors que le paramètre Offensif peut sembler être le plus sûr, il peut
souvent être trop sensible, ce qui peut être contre-productif.
REMARQUE
Le paramètre Offensif peut identifier à tort des objets comme étant
malveillants. Des actions seront alors exécutées sur ces objets (selon les
paramètres de protection).
Équilibré
Cette configuration offre un équilibre optimal entre les performances et la
précision des taux de détection et le nombre d'objets signalés à tort.
Prudent
Rapports configurés pour réduire le nombre d'objets identifiés à tort tout en
maintenant un niveau de protection suffisant. Les objets ne sont signalés que
lorsque la probabilité est évidente et correspond à un comportement
malveillant.
Désactivée La création de rapports n’est pas active. Aucune détection n’est effectuée,
signalée ou nettoyée.
REMARQUE
Les rapports sur les logiciels malveillants ne peuvent pas être désactivés.
Le paramètre Désactivée n’est donc pas disponible pour les logiciels
malveillants.
Si vous souhaitez rétablir les valeurs par défaut des paramètres de cette section, cliquez sur
la flèche en forme de demi-tour à côté de l’en-tête de section. Les modifications apportées à
cette section seront perdues.
Protection du transport des messages et par apprentissage machine
196
Signalisation
Effectuée par le moteur de détection et le composant d’apprentissage machine. La création
de rapports n'exécute pas des actions sur les objets (cette opération est effectuée par les
couches de protection respectives).
Protection
Configurez les paramètres de la protection du transport des messages pour influencer
l’action exécutée sur les objets signalés. Vous pouvez également configurer une règle
personnalisée :
EXEMPLE
Objectif : Messages en quarantaine contenant un logiciel malveillant ou une pièce jointe
protégée par mot de passe, endommagée ou chiffrée
Créez la règle suivante pour la Protection du transport des messages:
Condition
Type : Résultat de l'analyse antivirus
Opération : est
Paramètre : Infecté - non nettoyé
Action
Type : Message en quarantaine
Si vous souhaitez rétablir les valeurs par défaut des paramètres de cette section, cliquez sur
la flèche en forme de demi-tour à côté de l’en-tête de section. Les modifications apportées à
cette section seront perdues.
Configurez la protection par apprentissage machine à l’aide d'eShell. Le nom du contexte
dans eShell est MLP. Ouvrez eShell en mode interactif et accéder à MLP :
server av transport mlp
Déterminez les paramètres de rapports actuels pour les applications suspectes :
get suspicious-reporting
Si vous souhaitez des rapports moins stricts, définissez le paramètre sur Prudent :
set suspicious-reporting cautious
Protection de base de données de boîtes aux lettres et par apprentissage machine
197
Signalisation
Effectuée par le moteur de détection et le composant d’apprentissage machine. La création
de rapports n'exécute pas des actions sur les objets (cette opération est effectuée par les
couches de protection respectives).
Protection
Configurez les paramètres de la protection de base de données de boîtes aux lettres pour
influencer l’action exécutée sur les objets signalés.
Si vous souhaitez rétablir les valeurs par défaut des paramètres de cette section, cliquez sur
la flèche en forme de demi-tour à côté de l’en-tête de section. Les modifications apportées à
cette section seront perdues.
Configurez la protection par apprentissage machine à l’aide d'eShell. Le nom du contexte
dans eShell est MLP. Ouvrez eShell en mode interactif et accéder à MLP :
server av database mlp
Déterminez les paramètres de rapports actuels pour les applications suspectes :
get suspicious-reporting
Si vous souhaitez des rapports moins stricts, définissez le paramètre sur Prudent :
set suspicious-reporting cautious
Analyse de base de données de boîtes aux lettres à la demande et protection par
apprentissage machine
Signalisation
Effectuée par le moteur de détection et le composant d’apprentissage machine. La création
de rapports n'exécute pas des actions sur les objets (cette opération est effectuée par les
couches de protection respectives).
Protection
Configurez les paramètres de l'analyse de base de données de boîtes aux lettres à la
demande pour influencer l’action exécutée sur les objets signalés.
Si vous souhaitez rétablir les valeurs par défaut des paramètres de cette section, cliquez sur
la flèche en forme de demi-tour à côté de l’en-tête de section. Les modifications apportées à
cette section seront perdues.
Configurez la protection par apprentissage machine à l’aide d'eShell. Le nom du contexte
dans eShell est MLP. Ouvrez eShell en mode interactif et accéder à MLP :
server av on-demand mlp
Déterminez les paramètres de rapports actuels pour les applications suspectes :
get suspicious-reporting
Si vous souhaitez des rapports moins stricts, définissez le paramètre sur Prudent :
set suspicious-reporting cautious
Exclusions
Les exclusions permettent d'exclure des fichiers et dossiers de l'analyse. Pour que la
détection des menaces s'applique bien à tous les objets, il est recommandé de ne créer des
exclusions que lorsque cela s'avère absolument nécessaire. Certaines situations justifient
l'exclusion d'un objet. Par exemple, lorsque les entrées de bases de données volumineuses
risquent de ralentir le serveur pendant l'analyse ou lorsqu'il peut y avoir conflit entre le
198
logiciel et l'analyse (par exemple, logiciel de sauvegarde).
AVERTISSEMENT
À ne pas confondre avec les extensions exclues, les exclusions des processus et le filtre
d'exclusion.
REMARQUE
une menace présente dans un fichier n'est pas détectée par le module de protection du
système de fichiers en temps réel ou par le module d'analyse de l'ordinateur si le fichier
en question répond aux critères d'exclusion de l'analyse.
Sélectionnez le type d'exclusion, puis cliquez sur Modifier pour en ajouter un autre ou
modifier un type existant :
• Exclusions de performance : permet d'exclure des fichiers et des dossiers de l’analyse.
• Exclusions de détection : permet d'exclure les objets de l’analyse à l’aide de critères
spécifiques : chemin, hachage du fichier ou nom de la détection.
Exclusions de performance
Cette fonctionnalité permet d’exclure des fichiers et des dossiers de l’analyse. Les exclusions
de performance s'avèrent utiles pour exclure de l'analyse au niveau des fichiers des
applications critiques ou en cas de comportement anormal du système ou de baisse de
performances lors de l'analyse.
Chemin d'accès
Exclut un chemin d'accès spécifique (fichier ou répertoire) pour cet ordinateur. N'utilisez
pas de caractères génériques ni d'astérisque (*) au milieu d'un chemin. Pour plus
d'informations, consultez cet article de la base de connaissances .
REMARQUE
Pour exclure le contenu d'un dossier, n'oubliez pas d'ajouter un astérisque (*) à la fin du
chemin (C:\Tools\*). C:\Tools ne sera pas exclu, car du point de vue du scanner, Tools
peut également être un nom de fichier.
Commentaire
Ajoutez un commentaire facultatif pour reconnaître facilement l’exclusion à l'avenir.
199
EXEMPLE
Exclusions de chemin utilisant un astérisque :
C:\Tools\* : le chemin doit se terminer par une barre oblique inverse (\) et un astérisque
(*) pour indiquer qu'il s'agit d'un dossier. Tout le contenu du dossier (fichiers et sousdossiers) sera exclu.
C:\Tools\*.* : même comportement que C:\Tools\*, ce qui signifie un fonctionnement
récursif.
C:\Tools\*.dat : exclura les fichiers dat du dossier Tools.
C:\Tools\sg.dat : exclura ce fichier spécifique, situé sur le chemin exact.
EXEMPLE
Pour exclure tous les fichiers d'un dossier, tapez le chemin d'accès au dossier et utilisez
le masque *.*
• Pour exclure les fichiers doc uniquement, utilisez le masque *.doc
• Si le nom d'un fichier exécutable comporte un certain nombre de caractères variables
dont vous ne connaissez que le premier (par exemple « D »), utilisez le format suivant :
D????.exe (Les points d'interrogation remplacent les caractères manquants/inconnus.)
EXEMPLE
Utilisez des variables système telles que %PROGRAMFILES% pour définir des exclusions
d'analyse.
• Pour exclure le dossier Program Files à l'aide de cette variable système, utilisez le
chemin d'accès %PROGRAMFILES%\ (veillez à ajouter la barre oblique inverse à la fin du
chemin lors de l'ajout aux exclusions).
• Pour exclure tous les fichiers d'un sous-répertoire %HOMEDRIVE%, utilisez le chemin
d'accès %HOMEDRIVE%\Excluded_Directory\*.*
Les variables suivantes peuvent être utilisées au format d'exclusion de chemin :
%ALLUSERSPROFILE%
%COMMONPROGRAMFILES%
%COMMONPROGRAMFILES(X86)%
%COMSPEC%
%HOMEDRIVE%
%HOMEPATH%
%PROGRAMFILES%
%PROGRAMFILES(X86)%
%SystemDrive%
%SystemRoot%
%WINDIR%
%PUBLIC%
Les variables système spécifiques à l'utilisateur (comme %TEMP% ou %USERPROFILE%)
et les variables d'environnement (comme %PATH%) ne sont pas prises en charge.
Exclusions de détection
Il s'agit d'une autre méthode pour exclure des objets de l'analyse, à l'aide du nom de la
détection, du chemin ou du hachage. Les exclusions de détection n'excluent pas les fichiers
et les dossiers de l'analyse (comme le font les exclusions de performance). Elles excluent les
objets uniquement lorsqu'ils sont détectés par le moteur de détection et que la liste des
200
exclusions contient une règle appropriée.
La méthode la plus simple pour créer une exclusion basée sur la détection consiste à utiliser
une détection existante à partir de Fichiers journaux > Détections. Cliquez avec le bouton
droit sur une entrée de journal (détection), puis cliquez sur Créer une exclusion. L'assistant
d'exclusion s'ouvre alors avec des critères prédéfinis.
Pour créer manuellement une exclusion de détection, cliquez sur Modifier > Ajouter (ou
Modifier lors de la modification d'une exclusion existante), puis spécifiez l'un ou plusieurs
des critères suivants (ils peuvent être combinés) :
Chemin d'accès
Exclut un chemin d'accès spécifique (fichier ou répertoire). Vous pouvez rechercher un
emplacement/fichier spécifique ou saisir la chaîne manuellement. N'utilisez pas de
caractères génériques ni d'astérisque (*) au milieu d'un chemin. Pour plus d'informations,
consultez cet article de la base de connaissances .
REMARQUE
Pour exclure le contenu d'un dossier, n'oubliez pas d'ajouter un astérisque (*) à la fin du
chemin (C:\Tools\*). C:\Tools ne sera pas exclu, car du point de vue du scanner, Tools
peut également être un nom de fichier.
Hachage
Exclut un fichier selon le hachage spécifié (SHA1), indépendamment du type, de
l'emplacement, du nom ou de l'extension du fichier.
Nom de la détection
Entrez un nom de détection (menace) valide. La création d’une exclusion basée
uniquement sur le nom de la détection peut présenter un risque de sécurité. Il est
conseillé de combiner le nom de la détection avec le chemin d’accès. Ce critère
d’exclusion ne peut être utilisé que pour certains types de détections.
Commentaire
Ajoutez un commentaire facultatif pour reconnaître facilement l’exclusion à l'avenir.
ESET PROTECT comprend la gestion des exclusions de détection qui permet de créer des
exclusions de détection et des les appliquer à d’autres ordinateurs/groupes.
Utiliser des caractères génériques pour indiquer un groupe de fichiers. Un point
d'interrogation (?) représente un seul caractère variable tandis qu'un astérisque (*)
représente une chaîne variable de zéro caractère ou plus.
201
EXEMPLE
Exclusions de chemin utilisant un astérisque :
C:\Tools\* : le chemin doit se terminer par une barre oblique inverse (\) et un astérisque
(*) pour indiquer qu'il s'agit d'un dossier. Tout le contenu du dossier (fichiers et sousdossiers) sera exclu.
C:\Tools\*.* : même comportement que C:\Tools\*, ce qui signifie un fonctionnement
récursif.
C:\Tools\*.dat : exclura les fichiers dat du dossier Tools.
C:\Tools\sg.dat : exclura ce fichier spécifique, situé sur le chemin exact.
EXEMPLE
Pour exclure une menace, entrez un nom de détection valide au format suivant :
@NAME=Win32/Adware.Optmedia
@NAME=Win32/TrojanDownloader.Delf.QQI
@NAME=Win32/Bagle.D
EXEMPLE
Pour exclure tous les fichiers d'un dossier, tapez le chemin d'accès au dossier et utilisez
le masque *.*
• Pour exclure les fichiers doc uniquement, utilisez le masque *.doc
• Si le nom d'un fichier exécutable comporte un certain nombre de caractères variables
dont vous ne connaissez que le premier (par exemple « D »), utilisez le format suivant :
D????.exe (Les points d'interrogation remplacent les caractères manquants/inconnus.)
EXEMPLE
Utilisez des variables système telles que %PROGRAMFILES% pour définir des exclusions
d'analyse.
• Pour exclure le dossier Program Files à l'aide de cette variable système, utilisez le
chemin d'accès %PROGRAMFILES%\ (veillez à ajouter la barre oblique inverse à la fin du
chemin lors de l'ajout aux exclusions).
• Pour exclure tous les fichiers d'un sous-répertoire %HOMEDRIVE%, utilisez le chemin
d'accès %HOMEDRIVE%\Excluded_Directory\*.*
Les variables suivantes peuvent être utilisées au format d'exclusion de chemin :
%ALLUSERSPROFILE%
%COMMONPROGRAMFILES%
%COMMONPROGRAMFILES(X86)%
%COMSPEC%
%HOMEDRIVE%
%HOMEPATH%
%PROGRAMFILES%
%PROGRAMFILES(X86)%
%SystemDrive%
%SystemRoot%
%WINDIR%
%PUBLIC%
Les variables système spécifiques à l'utilisateur (comme %TEMP% ou %USERPROFILE%)
et les variables d'environnement (comme %PATH%) ne sont pas prises en charge.
202
Assistant Créer une exclusion
L’exclusion recommandée est présélectionnée en fonction du type de détection, mais vous
pouvez spécifier des critères d’exclusion pour les détections. Cliquez sur Modifier les
critères :
• Fichiers exacts : permet d'exclure chaque fichier par son hachage SHA-1.
• Détection : spécifiez le nom de la détection pour exclure chaque fichier contenant
celle-ci.
• Chemin d’accès + détection : spécifiez le nom et le chemin d’accès de la détection
(y compris le nom du fichier) pour exclure chaque fichier contenant une détection située
à l’emplacement spécifié.
Ajoutez un commentaire facultatif pour reconnaître facilement l’exclusion à l'avenir.
Options avancées
Technologie Anti-Stealth
Système sophistiqué assurant la détection de programmes dangereux tels que les
rootkits , qui sont à même de se cacher du système d'exploitation. Il est impossible de
les détecter à l'aide de techniques de test ordinaires.
AMSI
Permet de laisser l'interface AMSI (Antimalware Scan Interface) analyser des scripts
PowerShell exécutés par l'environnement d'exécution de scripts WSH (Windows Script
Host).
Exclusions automatiques
Les développeurs d'applications et de systèmes d'exploitation serveur recommandent
d'exclure des analyses des logiciels malveillants les ensembles de dossiers et fichiers de
travail critiques pour la plupart de leurs produits. Les analyses des logiciels malveillants
peuvent avoir une influence négative sur les performances d'un serveur, ce qui peut
provoquer des conflits et même empêcher l'exécution de certaines applications sur le
serveur. Les exclusions permettent de réduire le risque de conflits potentiels et d'augmenter
les performances globales du serveur lors de l'exécution du logiciel anti-logiciels malveillants.
Consultez la liste complète des fichiers exclus de l'analyse des produits serveur ESET.
ESET Mail Security identifie les applications serveur et les fichiers du système d’exploitation
serveur critiques, puis les ajoute automatiquement à la liste des exclusions. Toutes les
exclusions automatiques sont activées par défaut. Vous pouvez désactiver/activer chaque
203
exclusion d'applications serveur à l’aide de la barre du curseur afin d'obtenir le résultat
suivant :
• Lorsque cette option est activée, les fichiers et dossiers critiques sont ajoutés à la liste
des fichiers exclus de l’analyse. À chaque redémarrage du serveur, le système vérifie
automatiquement les exclusions et met à jour la liste en cas de modification du système
ou des applications (lors de l’installation d’une nouvelle application serveur, par
exemple). Ce paramètre garantit que les exclusions automatiques recommandées sont
toujours appliquées.
• Lorsque cette option est désactivée, les fichiers et dossiers exclus automatiquement
sont supprimés de la liste. Les exclusions définies par l’utilisateur et saisies
manuellement ne seront pas affectées.
Les exclusions automatiques pour les serveurs Exchange Server reposent sur les
recommandations de Microsoft. ESET Mail Security applique uniquement des exclusions de
répertoire/fichier (les exclusions des processus et les exclusions des extensions de nom de
fichier ne sont pas appliquées). Pour plus d'informations, consultez les articles suivants de la
base de connaissances Microsoft :
• Recommandations d'analyse antivirus pour les ordinateurs d'entreprise qui exécutent
les versions de Windows prises en charge
• Recommandations pour dépanner un ordinateur Exchange Server avec un logiciel
antivirus installé
• Analyse antivirus au niveau fichier sur Exchange 2007
• Analyse antivirus au niveau fichier sur Exchange 2010
• Logiciel antivirus du système d'exploitation sur les serveurs Exchange
(Exchange 2013)
• Exécution d'un logiciel antivirus Windows sur les serveurs Exchange 2016
REMARQUE
Il existe également des exclusions de fichier de base de données Exchange pour les
bases de données actives et passives du groupe de disponibilité de base de données
hébergé sur le serveur local. Si un fichier de base de données Exchange est créé, il est
automatiquement exclu indépendamment de son état, qu'il soit actif ou passif.
Pour identifier et générer des exclusions automatiques, ESET Mail Security utilise une
application dédiée, eAutoExclusions.exe, située dans le dossier d’installation. Aucune
interaction n’est nécessaire, mais vous pouvez utiliser la ligne de commande pour répertorier
les applications serveur détectées sur votre système en exécutant la commande
eAutoExclusions.exe -servers. Pour afficher la syntaxe complète, utilisez la commande
eAutoExclusions.exe -?.
Cache local partagé
Le cache local partagé ESET permet d'accroître considérablement les performances dans les
environnements virtualisés en éliminant les analyses en double sur le réseau. Cela permet de
204
s'assurer que chaque fichier est analysé une seule fois et stocké dans le cache partagé.
Activez le bouton bascule Option de mise en cache pour enregistrer dans le cache local
des informations sur les analyses des fichiers et des dossiers sur le réseau. Si vous effectuez
une nouvelle analyse, ESET Mail Security recherche les fichiers analysés dans le cache. Si les
fichiers correspondent, ils sont exclus de l'analyse.
La configuration du serveur de cache comprend les éléments suivants :
• Nom de l'hôte - Nom ou adresse IP de l'ordinateur sur lequel se trouve le cache.
• Port - Numéro de port utilisé pour les communications (identique à celui défini dans le
cache local partagé).
• Mot de passe - Indiquez le mot de passe du cache local partagé si nécessaire.
Une infiltration est détectée
Des infiltrations peuvent atteindre le système à partir de différents points d'entrée : pages
Web, dossiers partagés, courrier électronique ou périphériques amovibles (USB, disques
externes, CD, DVD, disquettes, etc.).
Comportement standard
Pour illustrer de manière générale la prise en charge des infiltrations par ESET Mail Security,
celles-ci peuvent être détectées à l'aide de :
• Protection en temps réel du système de fichiers
• Protection de l'accès Web
• Protection du client de messagerie
• Analyse de l’ordinateur à la demande
Chaque fonction utilise le niveau de nettoyage standard et tente de nettoyer le fichier et de
le déplacer en Quarantaine ou met fin à la connexion. Une fenêtre de notification s'affiche
dans la zone de notification, dans l'angle inférieur droit de l'écran. Pour plus d'informations
sur les niveaux et le comportement de nettoyage, voir Nettoyage.
Nettoyage et suppression
Si aucune action n'est prédéfinie pour le module de protection en temps réel du système de
fichiers, vous êtes invité à sélectionner une option dans une fenêtre d'avertissement.
Généralement, les options Nettoyer, Supprimer et Aucune action sont disponibles. Il n'est
pas recommandé de sélectionner Aucune action, car cette option laissera les fichiers
infectés non nettoyés. La seule exception concerne les situations où vous êtes sûr qu'un
fichier est inoffensif et qu'il a été détecté par erreur.
Utilisez le nettoyage si un fichier sain a été attaqué par un virus qui y a joint du code
malveillant. Dans ce cas, essayez de nettoyer le fichier infecté pour le restaurer dans son
état d'origine. Si le fichier se compose uniquement de code malveillant, il est supprimé.
205
Si un fichier infecté est « verrouillé » ou utilisé par un processus système, il n'est
généralement supprimé qu'après avoir été déverrouillé (normalement, après un redémarrage
du système).
Menaces multiples
Si des fichiers infectés n'ont pas été nettoyés durant une analyse de l'ordinateur (ou si le
niveau de nettoyage a été défini sur Pas de nettoyage), une fenêtre d'alerte s'affiche ; elle
vous invite à sélectionner des actions pour ces fichiers. Sélectionnez dans la liste une action
distincte pour chaque menace. Vous pouvez également utiliser l'option Sélectionnez une
action pour toutes les menaces répertoriées, choisir dans la liste une action à exécuter
sur toutes les menaces et cliquer sur Terminer.
Suppression de fichiers dans les archives
En mode de nettoyage par défaut, l'archive complète n'est supprimée que si elle ne contient
que des fichiers infectés et aucun fichier sain. Autrement dit, les archives ne sont pas
supprimées si elles contiennent également des fichiers sains. Soyez prudent si vous
choisissez un nettoyage strict ; dans ce mode, une archive sera supprimée si elle contient au
moins un fichier infecté, quel que soit l'état des autres fichiers qu'elle contient.
Protection en temps réel du système de
fichiers
La protection en temps réel du système de fichiers contrôle tous les événements liés aux
logiciels malveillants dans le système. Lorsque ces fichiers sont ouverts, créés ou exécutés
sur l'ordinateur, elle les analyse pour y rechercher la présence éventuelle de code
malveillant. Par défaut, la protection en temps réel du système de fichiers est lancée au
démarrage du système et assure une analyse ininterrompue. Dans certains cas particuliers
(par exemple, en cas de conflit avec un autre analyseur en temps réel), la protection en
temps réel peut être désactivée en désélectionnant Démarrer automatiquement la
protection en temps réel du système de fichiers sous Protection en temps réel du
système de fichiers > Général dans Configuration avancée (F5).
ESET Mail Security est compatible avec les ordinateurs utilisant l'agent Azure File Sync avec
la hiérarchisation cloud activée. ESET Mail Security reconnaît les fichiers avec l'attribut
FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS.
Supports à analyser
Par défaut, tous les types de supports font l'objet de recherches de menaces potentielles :
• Disques locaux - Contrôle tous les disques durs système.
• Supports amovibles - Contrôle les CD/DVD, les périphériques USB, les périphériques
Bluetooth, etc.
• Disques réseau - Analyse tous les lecteurs mappés.
206
Il est recommandé d'utiliser les paramètres par défaut et de ne les modifier que dans des cas
spécifiques, par exemple lorsque l'analyse de certains supports ralentit de manière
significative les transferts de données.
Analyser quand
Par défaut, tous les fichiers sont analysés lors de leur ouverture, création ou exécution. Il est
recommandé de conserver ces paramètres par défaut, car ils offrent le niveau maximal de
protection en temps réel pour votre ordinateur :
• Ouverture de fichier - L'analyse est effectuée lorsque des fichiers sont ouverts.
• Création de fichier - L'analyse est effectuée lorsque des fichiers sont créés.
• Exécution de fichier - L'analyse est effectuée lorsque des fichiers sont exécutés.
• Accès aux appareils amovibles - L'analyse est effectuée lors de l'accès à des
supports de stockage amovibles. Lorsqu'un appareil amovible contenant un secteur
d'amorçage est inséré dans l'appareil, le secteur d'amorçage est immédiatement
analysé. Cette option n'active pas l'analyse des fichiers des appareils amovibles. Pour
l'activer, accédez à Supports à analyser > Appareils amovibles. Pour que l'accès
au secteur de démarrage des appareils amovibles fonctionne correctement, conservez
l'option Secteurs d'amorçage/UEFI activée dans les paramètres ThreatSense.
Exclusions des processus
Permet d'exclure des processus spécifiques. Vous pouvez par exemple exclure les
processus de la solution de sauvegarde. Toutes les opérations sur les fichiers de ces
processus exclus sont ainsi ignorées et considérées comme étant sûres, ce qui limite
l'interférence avec le processus de sauvegarde.
Paramètres ThreatSense
La protection en temps réel du système de fichiers vérifie tous les types de supports. Elle
est déclenchée par différents événements système, tels que l'accès à un fichier. La
protection du système de fichiers en temps réel peut être configurée pour traiter
différemment les nouveaux fichiers et les fichiers existants. Par exemple, vous pouvez
configurer la protection en temps réel du système de fichiers pour surveiller plus
étroitement les nouveaux fichiers.
Pour garantir un impact minimal de la protection en temps réel sur le système, les fichiers
déjà analysés ne sont pas analysés plusieurs fois (sauf s'ils ont été modifiés). Les fichiers
sont immédiatement réanalysés après chaque mise à jour de la base du moteur de
détection. Ce comportement est contrôlé à l'aide de l'optimisation intelligente. Si
l'optimisation intelligente est désactivée, tous les fichiers sont analysés à chaque
accès. Pour modifier ce paramètre, appuyez sur F5 pour ouvrir Configuration avancée,
puis développez Ordinateur > Protection en temps réel du système de fichiers.
Cliquez sur Paramètres ThreatSense > Autre, puis sélectionnez ou désélectionnez
Activer l'optimisation intelligente.
Autres paramètres ThreatSense
207
Vous pouvez modifier des options détaillées des Autres paramètres ThreatSense
pour les nouveaux fichiers et les fichiers modifiés ou des Autres paramètres
ThreatSense pour les fichiers exécutés.
Paramètres ThreatSense
ThreatSense est une technologie constituée de nombreuses méthodes complexes de
détection de menaces. C'est une technologie proactive : elle fournit une protection dès le
début de la propagation d'une nouvelle menace. Elle utilise une combinaison d'analyse de
code, d'émulation de code, de signatures génériques et de signatures de virus qui se
conjuguent pour améliorer sensiblement la sécurité du système. Ce moteur d'analyse est
capable de contrôler plusieurs flux de données simultanément, ce qui maximise l'efficacité et
le taux de détection. La technologie ThreatSense élimine avec succès les rootkits.
REMARQUE
pour plus de détails sur la vérification automatique des fichiers au démarrage, consultez
la section Analyse au démarrage.
Les options de configuration du moteur ThreatSense permettent de spécifier plusieurs
paramètres d'analyse :
• Les types de fichiers et les extensions à analyser
• La combinaison de plusieurs méthodes de détection
• Les niveaux de nettoyage, etc.
Pour ouvrir la fenêtre de configuration, cliquez sur Configuration des paramètres du
moteur ThreatSense dans la fenêtre Configuration avancée (F5) de chaque module
utilisant la technologie ThreatSense (voir ci-dessous). Chaque scénario de sécurité peut
exiger une configuration différente. ThreatSense est configurable individuellement pour les
modules de protection suivants :
• Protection du transport des messages
• Protection de la base de données de boîtes aux lettres à la demande
• Protection de la base de données de boîtes aux lettres
• Analyse Hyper-V
• Protection en temps réel du système de fichiers
• Analyses des logiciels malveillants
• Analyse en cas d’inactivité
• Analyse au démarrage
• Protection des documents
• Protection du client de messagerie
• Protection de l'accès Web
Les paramètres ThreatSense sont spécifiquement optimisés pour chaque module et leur
modification peut avoir une incidence significative sur le fonctionnement du système. Par
exemple, en modifiant les paramètres pour toujours analyser les fichiers exécutables
208
compressés par un compresseur d'exécutables ou pour autoriser l'heuristique avancée dans
la protection en temps réel du système de fichiers, vous pouvez dégrader les performances
du système (normalement, seuls les fichiers nouvellement créés sont analysés par ces
méthodes). Il est donc recommandé de ne pas modifier les paramètres par défaut de
ThreatSense pour tous les modules, à l'exception du module Analyse de l'ordinateur.
Objets à analyser
Cette section permet de définir les fichiers et les
composants de l'ordinateur qui vont faire l'objet d'une
analyse visant à rechercher les éventuelles
infiltrations.
Mémoire vive
Lance une analyse visant à rechercher les menaces qui attaquent la mémoire vive du
système.
Secteurs d'amorçage/UEFI
Analyse les secteurs d'amorçage afin de détecter la présence éventuelle de virus dans le
MBR (Master Boot Record, enregistrement d'amorçage principal). Dans le cas d'une machine
virtuelle Hyper-V, le MBR du disque est analysé en mode lecture seule.
Fichiers de courrier électronique
Prend en charge les extensions suivantes : DBX (Outlook Express) et EML.
Archives
Le programme prend en charge les extensions suivantes : ARJ, BZ2, CAB, CHM, DBX, GZIP,
ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE et de nombreuses
autres extensions.
Archives auto-extractibles
Les archives auto-extractibles (SFX) n'ont pas besoin de programmes spécialisés, archives,
pour être décompressées.
Fichiers exécutables compressés
Contrairement aux archiveurs standard, ces fichiers se décompressent en mémoire. Outre
les compacteurs statiques standard (UPX, yoda, ASPack, FSG, etc.), l'analyseur peut
reconnaître plusieurs autres types de compacteurs via l'utilisation de l'émulation de code.
REMARQUE
Pour la fonctionnalité de protection de la base de données de boîtes aux lettres, les
fichiers joints aux messages électroniques (.eml files, par exemple) sont analysés quel
que soit le paramètre sous Objets à analyser. En effet, Exchange Server analyse un
fichier .eml joint avant qu'il ne soit soumis pour analyse par ESET Mail Security. Le plugin VSAPI obtient les fichiers extraits de la pièce jointe .eml au lieu de recevoir le fichier
.eml d'origine.
Options d'analyse
209
Sélectionnez les méthodes à utiliser lors de la
recherche d'infiltrations dans le système. Les options
disponibles sont les suivantes :
Heuristique
La méthode heuristique utilise un algorithme d'analyse de l'activité (malveillante) des
programmes. Elle présente l'avantage d'identifier un code malveillant qui n'existait pas ou
qui n'était pas connu par le moteur de détection précédent.
Heuristique avancée/Signatures ADN
La méthode heuristique avancée utilise un algorithme heuristique développé par ESET,
optimisé pour la détection des vers informatiques et des chevaux de Troie, et écrit dans un
langage de programmation de haut niveau. L'utilisation de la méthode heuristique avancée
accroît de manière significative les possibilités de détection des menaces des produits ESET.
Les signatures peuvent détecter et identifier les virus avec grande efficacité. Grâce au
système de mise à jour automatique, les nouvelles signatures peuvent être disponibles dans
les quelques heures qui suivent la détection des menaces. L'inconvénient des signatures est
qu'elles ne détectent que les virus qu'elles connaissent (ou leurs versions légèrement
modifiées).
Nettoyage
Les paramètres de nettoyage déterminent le comportement de l'analyseur lors du nettoyage
des fichiers infectés. Trois niveaux de nettoyage sont possibles :
Pas de nettoyage
Les fichiers infectés ne sont pas nettoyés automatiquement. Le programme affiche alors une
fenêtre d'avertissement et laisse l'utilisateur choisir une action. Ce niveau est conçu pour les
utilisateurs expérimentés qui connaissent les actions à entreprendre en cas d'infiltration.
Nettoyage normal
Le programme tente de nettoyer ou de supprimer automatiquement tout fichier sur la base
d'une action prédéfinie (dépendant du type d'infiltration). La détection et la suppression d'un
fichier infecté sont signalées par une notification affichée dans l'angle inférieur droit de
l'écran. S'il n'est pas possible de sélectionner automatiquement l'action correcte, le
programme propose plusieurs actions de suivi. C'est le cas également si une action
prédéfinie ne peut pas être menée à bien.
Nettoyage strict
Le programme nettoie ou supprime tous les fichiers infectés. Les seules exceptions sont les
fichiers système. Si un fichier ne peut pas être nettoyé, l'application demande à l'utilisateur
le type d'opération à effectuer.
AVERTISSEMENT
si une archive contient un ou plusieurs fichiers infectés, elle peut être traitée de deux
façons. En mode Nettoyage normal par défaut, toute l'archive est supprimée si tous
ses fichiers sont infectés. En mode de nettoyage strict, l'archive est supprimée si elle
contient au moins un fichier infecté, quel que soit l'état des autres fichiers contenus.
IMPORTANT
Si un hôte Hyper-V s'exécute sous Windows Server 2008 R2 SP1, les options Nettoyage
normal et Nettoyage strict ne sont pas prises en charge. L'analyse des disques des
machines virtuelles est effectuée en mode lecture seule. Aucun nettoyage ne sera
effectué. Quel que soit le niveau de nettoyage sélectionné, l'analyse est toujours
effectuée en mode lecture seule.
210
Exclusions
L'extension est la partie du nom de fichier située après le point. Elle définit le type et le
contenu du fichier. Cette section de la configuration des paramètres ThreatSense vous
permet de définir les types de fichiers à exclure de l'analyse.
Autre
Lorsque vous configurez les paramètres du moteur ThreatSense pour l'analyse à la demande
d'un ordinateur, vous disposez également des options de la section Autre suivantes :
Analyser les flux de données alternatifs (ADS)
Les flux de données alternatifs (ADS) utilisés par le système de fichiers NTFS sont des
associations de fichiers et de dossiers que les techniques d'analyse ordinaires ne permettent
pas de détecter. De nombreuses infiltrations tentent d'éviter la détection en se faisant
passer pour des flux de données alternatifs.
Exécuter les analyses en arrière-plan avec une priorité faible
Toute séquence d'analyse consomme une certaine quantité de ressources système. Si vous
utilisez des programmes qui exigent une grande quantité de ressources système, vous
pouvez activer l’analyse en arrière-plan à faible priorité de manière à réserver des
ressources pour vos applications.
Consigner tous les objets
Si cette option est sélectionnée, le fichier journal affiche tous les fichiers analysés, même
ceux qui ne sont pas infectés.
Activer l’optimisation intelligente
Lorsque cette option est sélectionnée, les paramètres optimaux sont utilisés de manière à
garantir le niveau d'analyse le plus efficace tout en conservant la meilleure vitesse
d'analyse. Les différents modules de protection proposent une analyse intelligente en
utilisant différentes méthodes et en les appliquant à des types de fichiers spécifiques. Si
l'option Optimisation intelligente est désactivée, seuls les paramètres définis par l'utilisateur
dans le noyau ThreatSense de ces modules particuliers sont appliqués lors de la réalisation
d'une analyse.
Conserver la date et l’heure du dernier accès
Sélectionnez cette option pour conserver l'heure d'accès d'origine des fichiers analysés au
lieu de les mise à jour (par exemple, pour les utiliser avec des systèmes de sauvegarde de
données).
Limites
211
La section Limites permet de spécifier la taille maximale des objets et les niveaux
d'imbrication des archives à analyser :
Paramètres d'objet par défaut
Permet d'utiliser les paramètres par défaut (aucune limite). ESET Mail Security ignorera les
paramètres personnalisés.
Taille d’objet maximale
Définit la taille maximale des objets à analyser. Le module de protection n'analyse que les
objets d'une taille inférieure à celle spécifiée. Cette option ne doit être modifiée que par des
utilisateurs expérimentés et qui ont des raisons particulières d'exclure de l'analyse des
objets de plus grande taille. Valeur par défaut : illimité.
Durée d'analyse maximale par l'objet
Définit la durée maximum attribuée à l'analyse d'un objet. Si la valeur de ce champ a été
définie par l'utilisateur, le module de protection cesse d'analyser un objet une fois ce temps
écoulé, que l'analyse soit terminée ou non. Valeur par défaut : illimité.
Configuration de l'analyse d'archive
Pour modifier les paramètres d'analyse d'archive, désélectionnez l'option Paramètres
d'analyse d'archive par défaut.
Niveau d’imbrication des archives
Niveau d'imbrication des archives - Spécifie la profondeur maximale d'analyse des archives.
Valeur par défaut : 10. Pour les objets détectés par la protection du transport des messages,
le niveau d'imbrication actuel est +1, car la pièce jointe d'archive dans un message est
considérée comme étant du premier niveau.
EXEMPLE
Si le niveau d'imbrication est défini sur 3, un fichier d'archive avec un niveau
d'imbrication de 3 ne sera analysé sur une couche de transport que jusqu'à son niveau 2.
Par conséquent, si vous souhaitez que les archives soient analysées jusqu'au niveau 3,
définissez la valeur de Niveau d'imbrication des archives sur 4.
Taille maximale du fichier dans l'archive
Cette option permet de spécifier la taille maximale des fichiers (après extraction) à analyser
contenus dans les archives. Valeur par défaut : illimité.
REMARQUE
il n'est pas recommandé de modifier les valeurs par défaut. Dans des circonstances
normales, il n'y a aucune raison de le faire.
Autres paramètres ThreatSense
Autres paramètres ThreatSense pour les nouveaux fichiers et les fichiers modifiés
La probabilité d'infection des nouveaux fichiers ou des fichiers modifiés est
comparativement plus élevée que dans les fichiers existants. C'est la raison pour laquelle
le programme vérifie ces fichiers avec des paramètres d'analyse supplémentaires. Outre
les méthodes d'analyse basées sur les signatures, le système utilise également
l'heuristique avancée qui permet de détecter les nouvelles menaces avant la mise à
disposition de la mise à jour des modules. Outre les nouveaux fichiers, l'analyse porte
également sur les fichiers auto-extractibles (.sfx) et les compresseurs (fichiers
exécutables compressés en interne). Par défaut, les archives sont analysées jusqu'au
dixième niveau d'imbrication et sont contrôlées indépendamment de leur taille réelle.
212
Pour modifier les paramètres d'analyse d'archive, désactivez Paramètres d'analyse
d'archive par défaut.
Autres paramètres ThreatSense pour les fichiers exécutés
Par défaut, l'heuristique avancée n'est pas utilisée lors de l'exécution des fichiers.
Lorsque ce paramètre est activé, il est vivement recommandé de conserver les options
Optimisation intelligente et ESET LiveGrid® activées pour limiter l'impact sur les
performances système.
Extensions de fichier exclues de l'analyse
L'extension est la partie du nom de fichier située après le point. Elle définit le type du fichier.
Normalement, tous les fichiers sont analysés. Si vous devez toutefois exclure des fichiers
dotés d'une extension spécifique, la configuration du paramètre ThreatSense permet
d'exclure des fichiers de l'analyse selon leur extension. L'exclusion peut être utile si l'analyse
de certains types de fichiers provoque un dysfonctionnement de l'application.
EXEMPLE
Pour ajouter une nouvelle extension à la liste, cliquez sur Ajouter. Tapez l'extension dans
le champ correspondant (tmp, par exemple), puis cliquez sur OK. Lorsque vous
sélectionnez Entrer plusieurs valeurs, vous pouvez ajouter plusieurs extensions de
fichier en les séparant par des lignes, des virgules ou des points-virgules (sélectionnez
par exemple Point-virgule en tant que séparateur dans le menu déroulant, puis tapez
edb;eml;tmp).
Vous pouvez utiliser le symbole spécial ? (point d'interrogation). Le point d'interrogation
symbolise n'importe quel caractère (?db, par exemple).
REMARQUE
Pour afficher l'extension (type de fichier) de tous les fichiers sous un système
d'exploitation Windows, décochez Masquer les extensions des fichiers dont le type
est connu dans Panneau de configuration > Options des dossiers > Affichage.
Exclusions des processus
La fonctionnalité Exclusions des processus permet d'exclure des processus d'application de
l'analyse des logiciels malveillants à l'accès uniquement. En raison du rôle essentiel que
jouent les serveurs dédiés (serveur d'applications, serveur de stockage, etc.), des
sauvegardes régulières sont obligatoires pour garantir une reprise après incident dans les
meilleurs délais. Pour accélérer les sauvegardes et garantir l'intégrité du processus et la
disponibilité du service, certaines techniques, qui entrent en conflit avec la protection contre
les logiciels malveillants au niveau des fichiers, sont utilisées pendant les sauvegardes. Des
problèmes identiques peuvent se produire lors des migrations dynamiques de machines
virtuelles. La seule solution efficace pour éviter ces situations consiste à désactiver le logiciel
de protection contre les logiciels malveillants. En excluant des processus spécifiques (ceux
213
de la solution de sauvegarde, par exemple), toutes les opérations sur les fichiers de ces
processus exclus sont ainsi ignorées et considérées comme étant sûres, ce qui limite
l'interférence avec le processus de sauvegarde. Il est recommandé de faire preuve de
prudence lors de la création des exclusions. En effet, un outil de sauvegarde qui a été exclus
peut accéder à des fichiers infectés sans déclencher d'alerte. C'est d'ailleurs la raison pour
laquelle des autorisations étendues ne sont permises que dans le module de protection en
temps réel.
Les exclusions des processus réduisent le risque de conflits potentiels et augmentent les
performances des applications exclues, ce qui a un effet positif sur les performances et la
stabilité globales du système d'exploitation. L'exclusion d'un processus/d'une application est
l'exclusion de son fichier exécutable (.exe).
Vous pouvez ajouter des fichiers exécutables à la liste des processus exclus via
Configuration avancée (F5) > Ordinateur > Protection en temps réel du système de
fichiers > Général > Exclusion des processus ou en utilisant la liste des processus en
cours dans le menu principal Outils > Processus en cours.
Cette fonctionnalité a été conçue pour exclure les outils de sauvegarde. L'exclusion de l'outil
de sauvegarde du processus d'analyse garantit non seulement la stabilité du système, mais
aussi les performances de la sauvegarde, car celle-ci n'est pas ralentie pendant son
exécution.
EXEMPLE
Cliquez sur Modifier pour ouvrir la fenêtre de gestion Exclusions des processus, dans
laquelle vous pouvez ajouter des exclusions et recherchez un fichier exécutable
(Backup-tool.exe, par exemple) qui sera exclu de l'analyse.
Dès que le fichier .exe est ajouté aux exclusions, l'activité du processus exclu n'est pas
surveillée par ESET Mail Security et aucune analyse n'est effectuée sur les opérations sur
les fichiers exécutées par ce processus.
IMPORTANT
Si vous n'utilisez pas la fonction de navigation lorsque vous sélectionnez un exécutable
de processus, vous devez entrer manuellement un chemin d'accès complet à
l'exécutable. Sinon, l'exclusion ne fonctionnera pas correctement. De plus, HIPS peut
signaler des erreurs.
214
Vous pouvez également modifier des processus existants ou les retirer des exclusions.
REMARQUE
La protection de l'accès Web ne prend pas en compte ces exclusions. Par conséquent, si
vous excluez le fichier exécutable de votre navigateur Web, les fichiers téléchargés sont
toujours analysés. Une infiltration peut ainsi être toujours détectée. Ce scénario est utilisé
à titre d'exemple uniquement. Il n'est pas recommandé de créer des exclusions pour les
navigateurs Web.
Protection dans le cloud
ESET LiveGrid® est un système avancé d'avertissement anticipé constitué de plusieurs
technologies de cloud. Il contribue à la détection des nouvelles menaces en s'appuyant sur
l'évaluation de la réputation et améliore les performances d'analyse par la mise en liste
blanche. Les informations sur les nouvelles menaces sont envoyées en temps réel dans le
cloud, ce qui permet aux laboratoires d'ESET de lutte contre les logiciels malveillants
d'assurer en permanence une protection à jour et constante. Les utilisateurs peuvent
s'informer de la réputation des processus et des fichiers en cours d'exécution depuis
l'interface du programme ou à partir d'un menu contextuel comprenant des informations
supplémentaires mises à disposition par ESET LiveGrid®.
Lors de l'installation d'ESET Mail Security, sélectionnez l'une des options suivantes :
• Vous pouvez décider de ne pas activer ESET LiveGrid®. Le logiciel ne perd aucune
fonctionnalité, mais ESET Mail Security peut répondre dans certains cas plus lentement
aux nouvelles menaces que la mise à jour de la base du moteur de détection.
• Vous pouvez configurer ESET LiveGrid® afin d'envoyer des informations anonymes qui
concernent les nouvelles menaces et indiquent l'endroit où a été détecté le code
dangereux. Ce fichier peut être envoyé à ESET pour une analyse détaillée. En étudiant
ces menaces, ESET améliore ses capacités à détecter les menaces.
Le système ESET LiveGrid® collecte sur votre ordinateur des informations concernant les
nouvelles menaces détectées. Ces informations comprennent un échantillon ou une copie du
fichier dans lequel la menace est apparue, le chemin et le nom du fichier, la date et l'heure,
le processus par lequel la menace est apparue sur votre ordinateur et des informations sur le
système d'exploitation de votre ordinateur.
Par défaut, ESET Mail Security est configuré pour soumettre les fichiers suspects au
laboratoire d'ESET pour analyse. Les fichiers ayant une extension définie (.doc ou .xls par
exemple) sont toujours exclus. Vous pouvez également ajouter d'autres extensions si vous ou
votre entreprise souhaitez éviter d'envoyer certains fichiers.
Activer le système de réputation ESET LiveGrid® (recommandé)
Le système de réputation ESET LiveGrid® améliore l'efficacité des solutions de protection
contre les logiciels malveillants en comparant les fichiers analysés à une base de données
215
d'éléments mis en liste blanche et noire dans le cloud.
Activer le système de commentaires ESET LiveGrid®
Les données seront envoyées au laboratoire ESET pour analyse.
Envoyer les rapports de défaillance et les données de diagnostic
Permet d'envoyer des données telles que des rapports de défaillance, des modules ou des
images mémoire.
Soumettre des statistiques anonymes
Autorise ESET à collecter des informations anonymes concernant les nouvelles menaces
détectées (nom, date et l'heure de détection, méthode de détection et métadonnées
associées), les fichiers analysés (hachage, nom du fichier, origine du fichier, télémétrie),
les URL suspectes et bloquées et la version et la configuration du produit, notamment des
informations sur votre système.
Courriel de contact (facultative)
Votre adresse électronique peut être incluse avec les fichiers suspects. Nous pourrons
l'utiliser pour vous contacter si des informations complémentaires sont nécessaires pour
l'analyse. Notez que vous ne recevrez pas de réponse d'ESET, sauf si des informations
complémentaires s'avèrent nécessaires.
Soumission des échantillons
216
Soumission automatique des échantillons infectés
Cette option permet de soumettre tous les échantillons infectés à ESET pour analyse afin
d'améliorer les prochaines détections.
• Tous les échantillons infectés
• Tous les échantillons à l'exception des documents
• Ne pas envoyer
Soumission automatique des échantillons suspects
Les échantillons suspects ressemblant à des menaces et/ou des échantillons aux
caractéristiques ou au comportement inhabituels peuvent être envoyés pour analyse à ESET.
• Exécutable : comprend les fichiers exécutables suivants : .exe, .dll, .sys
• Archives : comprend les types de fichier d'archive suivants : .zip, .rar, .7z, .arch, .arj,
.bzip2, .gzip, .ace, .arc, .cab
• Scripts : comprend les types de fichier de script suivants : .bat, .cmd, .hta, .js, .vbs, .js,
.ps1
• Autre : comprend les types de fichier suivants : .jar, .reg, .msi, .swf, .lnk
• Courrier indésirable possible : améliore la détection globale du courrier indésirable.
• Documents : comprend des documents Microsoft Office ou des fichiers PDF avec du
contenu actif.
Exclusions
L'option Modifier en regard d'Exclusions dans ESET LiveGrid® permet de configurer le mode
de soumission des menaces au laboratoire des virus d'ESET pour analyse.
Taille maximale des échantillons (Mo)
Définissez la taille maximale des échantillons à analyser.
Filtre d’exclusion
Le filtre Exclusion permet d'exclure certains fichiers/dossiers de l'envoi (par exemple, il peut
être utile d'exclure des fichiers qui peuvent comporter des informations confidentielles, tels
que des documents ou des feuilles de calcul). Les fichiers de la liste ne seront jamais envoyés
aux laboratoires d'ESET pour analyse, même s'ils contiennent un code suspect. Les fichiers
les plus ordinaires sont exclus par défaut (.doc, etc.). Vous pouvez ajouter des fichiers à la
liste des fichiers exclus si vous le souhaitez.
Si vous avez déjà utilisé le système ESET LiveGrid® et l'avez désactivé, il est possible qu'il
reste des paquets de données à envoyer. Même après la désactivation, ces paquets sont
envoyés à ESET. Une fois toutes les informations actuelles envoyées, plus aucun paquet ne
sera créé.
217
Si vous trouvez un fichier suspect, vous pouvez le soumettre à notre laboratoire de recherche
sur les menaces pour analyse. S'il s'agit d'une application malveillante, sa détection est
ajoutée à la prochaine mise à jour du module de détection.
Analyses des logiciels malveillants
Cette section indique les options pour sélectionner les paramètres d'analyse.
REMARQUE
Ce sélecteur de profil d'analyse s'applique à l'analyse à la demande et à l'analyse
Hyper-V.
Profil sélectionné
Ensemble spécifique de paramètres utilisés par l'analyse à la demande. Vous pouvez
utiliser l'un des profils d'analyse prédéfinis ou créer un nouveau profil. Les profils
d'analyse utilisent différents paramètres du moteur ThreatSense.
Liste des profils
Pour créer un profil, cliquez sur Modifier. Saisissez le nom du profil et cliquez sur
Ajouter. Le nouveau profil sera affiché dans le menu déroulant Profil sélectionné qui
répertorie les profils d'analyse existants.
Cibles à analyser
Pour analyser une cible spécifique, cliquez sur Modifier, puis sélectionnez une option
dans le menu déroulant ou choisissez des cibles spécifiques dans la structure
(arborescence) des dossiers.
Paramètres ThreatSense
Permet de modifier les paramètres d'analyse pour l'analyse de l'ordinateur à la demande.
Protection à la demande et par apprentissage machine
218
La création de rapports est effectuée par le moteur de détection et le composant
d’apprentissage machine.
Fenêtre contextuelle Analyse Hyper-V :
Le menu déroulant Cibles à analyser pour Hyper -V permet de sélectionner des cibles à
analyser prédéfinies :
Par les paramètres de profil
Permet de sélectionner les cibles indiquées dans le profil
d'analyse sélectionné.
Toutes les machines virtuelles
Permet de sélectionner toutes les machines virtuelles.
Machines virtuelles sous tension Permet de sélectionner toutes les machines virtuelles en
ligne.
Machines virtuelles hors tension Permet de sélectionner toutes les machines virtuelles hors
ligne.
Aucune sélection
Efface toutes les sélections.
Cliquez sur Analyser pour exécuter l'analyse avec les paramètres personnalisés que vous
avez définis. Une fois que toutes les analyses sont terminées, cliquez sur Fichiers journaux
> Analyse Hyper-V.
219
Gestionnaire de profils
Le menu déroulant Profil d'analyse permet de sélectionner des profils d'analyse prédéfinis.
• Analyse intelligente
• Analyse via le menu contextuel
• Analyse approfondie
• Mon profil (s'applique à Analyse Hyper-V, Profils de mise à jour)
Pour plus d'informations sur la création d'un profil d'analyse correspondant à vos besoins,
reportez-vous à la section ThreatSenseConfiguration du moteur ; vous y trouverez une
description de chaque paramètre de configuration de l'analyse.
Le gestionnaire de profils est utilisé à trois emplacements différents dans ESET Mail Security.
Analyse de l’ordinateur à la demande
Vos paramètres d'analyse préférés peuvent être enregistrés pour les prochaines
analyses. Il est recommandé de créer autant de profils (avec différentes cibles et
méthodes, et d'autres paramètres d'analyse) que d'analyses utilisées régulièrement.
Mise à jour
L'éditeur de profils permet aux utilisateurs de créer de nouveaux profils de mise à jour.
Vous devez créer des profils de mise à jour personnalisés uniquement si votre ordinateur
utilise plusieurs moyens de connexion aux serveurs de mise à jour.
Analyse Hyper-V
Créez un profil, sélectionnez Modifier en regard de Liste des profils. Le nouveau profil
sera affiché dans le menu déroulant Profil sélectionné qui répertorie les profils
d'analyse existants.
Cibles du profil
Vous pouvez spécifier les cibles qui seront analysées pour les infiltrations. Choisissez des
objets (mémoire, secteurs d'amorçage et UEFI, lecteurs, fichiers et dossiers ou réseau) dans
l'arborescence qui répertorie toutes les cibles disponibles sur votre système. Cliquez sur
l'icône représentant un engrenage dans le coin supérieur gauche pour accéder aux menus
déroulants Cibles à analyser et Profil d'analyse.
REMARQUE
Ce sélecteur de profil d'analyse s'applique à l'analyse à la demande et à l'analyse
Hyper-V.
220
Mémoire vive
Analyse l'ensemble des processus et des données actuellement
utilisés par la mémoire vive.
Secteurs
d'amorçage/UEFI
Analyse les secteurs d’amorçage et UEFI pour rechercher la présence
de logiciels malveillants. Pour en savoir plus sur le Scanner UEFI,
consultez le glossaire.
Base de données WMI Analyse la totalité de la base de données WMI (Windows Management
Instrumentation), tous les espaces de noms, toutes les instances de
classe et toutes les propriétés. Recherche des références à des
fichiers infectés ou des logiciels malveillants intégrés en tant que
données.
Registre système
Analyse la totalité du registre système, toutes les clés et les sousclés. Recherche des références à des fichiers infectés ou des logiciels
malveillants intégrés en tant que données. Lors du nettoyage des
détections, la référence est conservée dans le registre pour s’assurer
qu’aucune donnée importante ne sera perdue.
Pour accéder rapidement à une cible à analyser ou ajouter un dossier ou des fichiers cibles,
entrez le répertoire cible dans le champ vide sous la liste de dossiers.
Le menu déroulant Cibles à analyser permet de sélectionner des cibles à analyser
prédéfinies :
Par les paramètres de profil Permet de sélectionner les cibles indiquées dans le profil
d'analyse sélectionné.
221
Par les paramètres de profil Permet de sélectionner les cibles indiquées dans le profil
d'analyse sélectionné.
Supports amovibles
Permet de sélectionner les disquettes, les périphériques USB,
les CD/DVD, etc.
Lecteurs locaux
Permet de sélectionner tous les disques durs du système.
Lecteurs réseau
Analyse tous les lecteurs réseau mappés.
Dossiers partagés
Sélectionne tous les dossiers partagés sur le serveur local.
Sélection personnalisée
Efface toutes les sélections. Une fois qu'elles ont été effacées,
vous pouvez effectuer votre sélection personnalisée.
Pour accéder rapidement à une cible à analyser (fichier ou dossier) afin de l'inclure dans
l'analyse, entrez son chemin dans le champ de texte sous l'arborescence. L'entrée de chemin
respecte la casse.
Le menu déroulant Profil d'analyse permet de sélectionner des profils d'analyse prédéfinis :
• Analyse intelligente
• Analyse via le menu contextuel
• Analyse approfondie
Ces profils d'analyse utilisent différents paramètres du moteur ThreatSense.
Afficher la progression de l'analyse
Si vous souhaitez effectuer uniquement une analyse du système sans actions de
nettoyage supplémentaires, sélectionnez Analyse sans nettoyage. Cette option s'avère
utile lorsque vous souhaitez obtenir une vue d'ensemble des éléments infectés et des
informations détaillées sur ces infections, le cas échéant. Vous pouvez aussi choisir parmi
trois niveaux de nettoyage en cliquant sur Configuration > Paramètres
ThreatSense > Nettoyage. Les informations de l'analyse sont enregistrées dans un
journal d'analyse.
Ignorer les exclusions
L'option Ignorer les exclusions permet d'effectuer une analyse tout en ignorant les
exclusions qui s'appliquent autrement.
Cibles à analyser
Si vous souhaitez uniquement analyser une cible spécifique, vous pouvez utiliser une
Analyse personnalisée et sélectionner une option dans le menu déroulant Cibles à
analyser ou choisir des cibles spécifiques dans la structure (arborescence) des dossiers.
Le sélecteur de profil des cibles à analyser s'applique à :
• Analyse à la demande
• Analyse Hyper-V
222
Pour accéder rapidement à une cible à analyser ou ajouter un dossier ou un fichier cible,
entrez cet élément dans le champ vide sous la liste de dossiers. Aucune cible ne doit être
sélectionnée dans la structure arborescente et le menu Cibles à analyser doit être défini
sur Aucune sélection.
Mémoire vive
Analyse l'ensemble des processus et des données actuellement
utilisés par la mémoire vive.
Secteurs
d'amorçage/UEFI
Analyse les secteurs d’amorçage et UEFI pour rechercher la présence
de logiciels malveillants. Pour en savoir plus sur le Scanner UEFI,
consultez le glossaire.
Base de données WMI Analyse la totalité de la base de données WMI (Windows Management
Instrumentation), tous les espaces de noms, toutes les instances de
classe et toutes les propriétés. Recherche des références à des
fichiers infectés ou des logiciels malveillants intégrés en tant que
données.
Registre système
Analyse la totalité du registre système, toutes les clés et les sousclés. Recherche des références à des fichiers infectés ou des logiciels
malveillants intégrés en tant que données. Lors du nettoyage des
détections, la référence est conservée dans le registre pour s’assurer
qu’aucune donnée importante ne sera perdue.
Le menu déroulant Cibles à analyser permet de sélectionner des cibles à analyser
prédéfinies.
Par les paramètres de profil Permet de sélectionner les cibles indiquées dans le profil
d'analyse sélectionné.
Supports amovibles
Permet de sélectionner les disquettes, les périphériques USB,
les CD/DVD, etc.
Lecteurs locaux
Permet de sélectionner tous les disques durs du système.
Lecteurs réseau
Analyse tous les lecteurs réseau mappés.
Dossiers partagés
Sélectionne tous les dossiers partagés sur le serveur local.
Sélection personnalisée
Efface toutes les sélections. Une fois qu'elles ont été effacées,
vous pouvez effectuer votre sélection personnalisée.
Vous pouvez choisir un profil à utiliser pour l'analyse des cibles sélectionnées dans le menu
déroulant Profil d'analyse. Le profil par défaut est Analyse intelligente. Il existe deux
autres profils d'analyse prédéfinis nommés Analyse approfondie et Analyse via le menu
contextuel. Ces profils d'analyse utilisent différents paramètres de moteur ThreatSense.
Fenêtre contextuelle Analyse personnalisée :
223
Afficher la progression de l'analyse
Si vous souhaitez effectuer uniquement une analyse du système sans actions de
nettoyage supplémentaires, sélectionnez Analyse sans nettoyage. Cette option s'avère
utile lorsque vous souhaitez obtenir une vue d'ensemble des éléments infectés et des
informations détaillées sur ces infections, le cas échéant. Vous pouvez aussi choisir parmi
trois niveaux de nettoyage en cliquant sur Configuration > Paramètres
ThreatSense > Nettoyage. Les informations de l'analyse sont enregistrées dans un
journal d'analyse.
Ignorer les exclusions
Vous pouvez effectuer une analyse tout en ignorant les exclusions qui s'appliquent
autrement.
Analyser
Permet d'exécuter l'analyse avec les paramètres personnalisés que vous avez définis.
Analyser en tant qu'administrateur
Permet d'exécuter l'analyse sous le compte administrateur. Cliquez sur cette option si
l'utilisateur actuel ne dispose pas des privilèges suffisants pour accéder aux fichiers à
analyser. Remarquez que ce bouton n'est pas disponible si l'utilisateur actuel ne peut pas
appeler d'opérations UAC en tant qu'administrateur.
224
Analyse en cas d'inactivité
Lorsque l'ordinateur n'est pas utilisé, une analyse silencieuse de l'ordinateur est effectuée sur
tous les disques locaux. La détection en cas d'inactivité s'exécute lorsque votre
ordinateur se trouve dans l'un des états suivants :
• Écran ou économiseur d'écran désactivé
• Ordinateur verrouillé
• Utilisateur déconnecté
Exécuter même si l’ordinateur est alimenté par batterie
Par défaut, l'analyse en cas d'inactivité n'est pas exécutée lorsque l'ordinateur (portable)
fonctionne sur batterie.
Activer la journalisation
Permet d'enregistrer les sorties d'analyse d'ordinateur dans la section Fichiers journaux
(dans la fenêtre principale du programme, cliquez sur Fichiers journaux et sélectionnez
Analyse de l'ordinateur dans le menu déroulant).
Paramètres ThreatSense
Modifiez les paramètres d'analyse pour l'analyse en cas d'inactivité.
Analyse au démarrage
Par défaut, la vérification automatique des fichiers au démarrage est effectuée au démarrage
du système (ouverture de session de l'utilisateur) et après une mise à jour des modules.
Cette analyse dépend de la configuration et des tâches du Planificateur.
Les options d'analyse au démarrage font partie de la tâche planifiée Contrôle des fichiers
de démarrage du système.
Pour modifier les paramètres d'analyse au démarrage, accédez à Outils > Planificateur,
sélectionnez l'une des tâches appelées Vérification automatique des fichiers de
démarrage (ouverture de session de l'utilisateur ou mise à jour des modules), puis sur
Modifier. À la dernière étape de l'assistant, vous pouvez modifier les options détaillées de
Vérification des fichiers de démarrage.
Vérification automatique des fichiers de
225
démarrage
Lorsque vous créez une tâche planifiée de contrôle des fichiers au démarrage du système,
plusieurs options s'offrent à vous pour définir les paramètres suivants :
Le menu déroulant Cible à analyser indique le niveau d'analyse appliqué aux fichiers
exécutés au démarrage du système. Les fichiers sont organisés par ordre croissant suivant
ces critères :
• Tous les fichiers enregistrés (la plupart des fichiers sont analysés)
• Fichiers rarement utilisés
• Fichiers couramment utilisés
• Fichiers fréquemment utilisés
• Seulement les fichiers utilisés fréquemment (nombre minimum de fichiers
analysés)
Il existe en outre deux groupes de Cible à analyser :
Fichiers exécutés avant la connexion de l'utilisateur
Contient des fichiers situés à des emplacements accessibles sans qu'une session ait été
ouverte par l'utilisateur (englobe pratiquement tous les emplacements de démarrage tels
que services, objets Application d'assistance du navigateur, notification Winlogon, entrées
de planificateur Windows, DLL connues, etc.).
Fichiers exécutés après la connexion de l’utilisateur
Contient des fichiers situés à des emplacements accessibles uniquement après
l'ouverture d'une session par l'utilisateur (englobe des fichiers qui ne sont exécutés que
pour un utilisateur spécifique, généralement les fichiers de
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run).
Les listes des fichiers à analyser sont fixes pour chaque groupe précité.
Priorité de l'analyse
Niveau de priorité servant à déterminer le démarrage d'une analyse :
• Normale - lorsque le système est moyennement chargé,
• Faible - lorsque le système est faiblement chargé,
• La plus faible - lorsque la charge du système est la plus faible possible,
• En période d'inactivité - la tâche n'est accomplie que lorsque le système n'est pas
utilisé.
226
Supports amovibles
ESET Mail Security permet d'analyser automatiquement les supports amovibles
(CD/DVD/USB). Ce module permet d'analyser un support inséré. Cela peut être utile si
l'administrateur souhaite empêcher les utilisateurs d'utiliser des supports amovibles avec du
contenu non sollicité.
Action effectuée après l'insertion d'un support amovible
Sélectionnez l’action à exécuter lors de l’insertion d’un supports amovible dans
l’ordinateur (CD/DVD/USB).
• Ne pas analyser - Aucune action n'est exécutée et la fenêtre Nouveau
périphérique détecté se ferme.
• Analyse automatique de périphérique - Le support amovible inséré fait l'objet
d'une analyse à la demande.
• Afficher les options d'analyse - Ouvre la section de configuration des supports
amovibles.
Lorsqu'un support amovible est inséré, la boîte de dialogue suivante s'affiche :
• Analyser maintenant - Cette option déclenche l'analyse du support amovible.
• Analyser ultérieurement - L'analyse du support amovible est reportée.
• Configuration - Ouvre la boîte de dialogue Configuration avancée.
• Toujours utiliser l'option sélectionnée - Lorsque cette option est sélectionnée, la
même action sera exécutée lorsqu'un support amovible sera inséré plus tard.
En outre, ESET Mail Security offre le contrôle des périphériques qui permet de définir des
règles d'utilisation de périphériques externes sur un ordinateur donné. Pour plus de détails
sur le contrôle des périphériques, reportez-vous à la section Contrôle des périphériques.
Protection des documents
La fonctionnalité de protection des documents analyse les documents Microsoft Office avant
leur ouverture, ainsi que les fichiers téléchargés automatiquement par Internet Explorer, tels
que des éléments Microsoft ActiveX. La protection des documents fournit une couche de
protection supplémentaire qui vient s'ajouter à la protection en temps réel du système de
fichiers. Elle peut être désactivée pour améliorer la performance des systèmes qui ne sont
pas exposés à un grand nombre de documents Microsoft Office.
Intégrer dans le système
Cette option renforce la protection des documents Microsoft Office (elle n’est pas requise
dans des conditions normales).
Paramètres ThreatSense
227
Modifiez les paramètres de la protection des documents.
REMARQUE
Cette fonctionnalité est activée par des applications utilisant Microsoft Antivirus API (par
exemple Microsoft Office 2000 et versions ultérieures, ou Microsoft Internet Explorer 5.0
et versions ultérieures).
Analyse Hyper-V
La version actuelle de l'analyse Hyper-V prend en charge l'analyse du système virtuel en
ligne ou hors ligne dans Hyper-V. Les types d'analyse pris en charge selon le système
Windows Hyper-V hébergé et l'état du système virtuel sont présentés ci-dessous :
Systèmes
virtuels avec Windows
Windows
la
Server 2008 R2 Server 2012
fonctionnalité SP1 Hyper-V
Hyper-V
Hyper-V
Machine
virtuelle en
ligne
aucune analyse
lecture seule
Windows
Server 2012
R2 Hyper-V
Windows
Server 2016
Hyper-V
Windows
Server 2019
Hyper-V
lecture seule
lecture seule
lecture seule
Machine
lecture
lecture
lecture
lecture
lecture
virtuelle hors seule/nettoyage seule/nettoyage seule/nettoyage seule/nettoyage seule/nettoyage
ligne
Configuration matérielle requise
Le serveur ne doit pas rencontrer de problèmes de performance lorsqu'il exécute des
machines virtuelles. L'activité d'analyse utilise principalement des ressources processeur.
Pour analyser les machines virtuelles en ligne, de l'espace disque disponible est nécessaire.
L'espace disque disponible doit être au moins deux fois supérieur à l'espace utilisé par les
points de contrôle/instantanés et les disques virtuels.
Limites spécifiques
• En raison de la nature des disques dynamiques, l'analyse des systèmes de stockage
RAID, des volumes fractionnés et des disques dynamiques n'est pas prise en charge. Il
est donc recommandé d'éviter, si possible, d'utiliser des disques dynamiques dans les
machines virtuelles.
• L'analyse est toujours effectuée sur la machine virtuelle actuelle et n'a aucun impact
sur les points de contrôle ou les instantanés.
• La configuration dans laquelle Hyper-V s'exécute sur un hôte dans un cluster n'est
actuellement pas prise en charge par ESET Mail Security.
• Les machines virtuelles sur un hôte Hyper-V s'exécutant sous Windows
Server 2008 R2 SP1 ne peuvent être analysées qu'en mode lecture seule (Pas de
nettoyage), quel que soit le niveau de nettoyage sélectionné dans Paramètres
228
ThreatSense.
REMARQUE
Bien qu'ESET Security prenne en charge l'analyse des MBR des disques virtuels, seule une
analyse en lecture seule est prise en charge pour ces cibles. Ce paramètre peut être
modifié dans Configuration avancée (F5) > Ordinateur > Analyse Hyper-V >
Paramètres ThreatSense > Secteurs d’amorçage.
La machine virtuelle à analyser est hors ligne - État Désactivée
ESET Mail Security utilise Hyper-V Management pour détecter les disques virtuels et pour s'y
connecter. Ainsi, ESET Mail Security accède au contenu des disques virtuels comme il le ferait
pour les données et fichiers des disques génériques.
La machine virtuelle à analyser est en ligne - État En cours d'exécution, En pause,
Enregistrée
ESET Mail Security utilise Hyper-V Management pour détecter les disques virtuels. Comme la
connexion à ces disques n'est pas possible, ESET Mail Security créée un point de
contrôle/instantané de la machine virtuelle, puis se connecte à ce dernier. Lorsque l'analyse
est terminée, le point de contrôle/instantané est supprimé. Cela signifie qu'une analyse en
lecture seule peut être effectuée, car la ou les machines virtuelles en cours d'exécution ne
sont pas affectées par l'activité d'analyse.
ESET Mail Security a besoin d'une minute pour créer un instantané ou un point de contrôle
lors de l'analyse. Vous devez tenir compte de ce point lorsque vous exécutez une analyse
Hyper-V sur un nombre élevé de machines virtuelles.
Convention d'affectation de noms
Le module de l'analyse Hyper-V utilise la convention d'affectation de noms suivante :
VirtualMachineName\DiskX\VolumeY
Où X correspond au nombre de disques et Y au nombre de volumes.
Computer\Disk0\Volume1
Le suffixe du nombre est ajouté en fonction de l'ordre de détection, qui est identique à l'ordre
que l'on retrouve dans le Gestionnaire de disques de la machine virtuelle. Cette convention
d'affectation de noms est utilisée dans la liste arborescente des cibles à analyser, dans la
barre de progression et dans les fichiers journaux.
Exécution d'une analyse
• À la demande - Cliquez sur Analyse Hyper-V pour afficher la liste des machines
virtuelles et des volumes disponibles à analyser. Sélectionnez les machines virtuelles,
disques ou volumes à analyser, puis cliquez sur Analyser.
• Pour créer une tâche du planificateur.
229
• Via ESET PROTECT en tant que tâche client appelée Analyse du serveur .
• Une analyse Hyper-V peut être gérée et lancée via eShell.
Il est possible d'exécuter simultanément plusieurs analyses Hyper-V. Lorsqu'une analyse est
terminée, vous recevez une notification comportant un lien vers des fichiers journaux.
Problèmes éventuels
• Lors de l'exécution de l'analyse d'une machine virtuelle en ligne, un point de
contrôle/instantané de cette machine virtuelle doit être créé. Par ailleurs, au cours de la
création d'un point de contrôle/instantané, il se peut que certaines actions génériques
de la machine virtuelle soient limitées ou désactivées.
• Si une machine virtuelle hors ligne est analysée, elle ne peut pas être mise en ligne
avant la fin de l'analyse.
• Hyper-V Manager vous permet de donner un nom identique à deux machines
virtuelles, ce qui peut s'avérer problématique pour distinguer les machines pendant la
consultation des journaux d'analyse.
HIPS
Le système HIPS (Host Intrusion Prevention System) protège votre système des logiciels
malveillants et de toute activité non souhaitée qui pourrait avoir une incidence sur votre
ordinateur. Il utilise l'analyse avancée des comportements, associée aux fonctionnalités de
détection du filtre réseau qui surveille les processus en cours, les fichiers et les clés de
registre. Le système HIPS diffère de la protection en temps réel du système de fichiers et ce
n'est pas un pare-feu. Il surveille uniquement les processus en cours d'exécution au sein du
système d'exploitation.
AVERTISSEMENT
Les modifications apportées aux paramètres HIPS ne sont effectuées que par un
utilisateur expérimenté. Une configuration incorrecte des paramètres HIPS peut en effet
entraîner une instabilité du système.
Activer l’auto-défense
ESET Mail Security intègre la technologie Auto-défense qui empêche les logiciels
malveillants d'endommager ou de désactiver la protection contre les logiciels
malveillants ; vous avez la garantie que votre système est protégé en permanence. Les
modifications apportées aux paramètres Activer HIPS et Activer l'auto-défense entrent en
vigueur après le redémarrage du système d'exploitation Windows. La désactivation de
l'intégralité du système HIPS nécessite également un redémarrage de l'ordinateur.
Activer le service protégé
Microsoft a introduit un concept de services protégés avec Microsoft Windows
230
Server 2012 R2. Il protège un service contre les attaques de logiciels malveillants. Le
noyau de ESET Mail Security fonctionne en tant que service protégé par défaut. Cette
fonctionnalité est disponible sous Microsoft Windows Server 2012 R2 et les nouveaux
systèmes d'exploitation serveur.
Active moteur d'analyse de mémoire avancé
Fonctionne avec le bloqueur d'exploit afin de renforcer la protection contre les logiciels
malveillants qui ne sont pas détectés par les produits anti-logiciels malveillants grâce à
l'obscurcissement ou au chiffrement. Advanced Memory Scanner est désactivé par
défaut. Pour en savoir plus sur ce type de protection, consultez le glossaire .
Activer le bloqueur d'exploit
Est conçu pour renforcer les types d'applications connues pour être très vulnérables aux
exploits (navigateurs, lecteurs de fichiers PDF, clients de messagerie et composants
MS Office). Le bloqueur d'exploit est désactivé par défaut. Pour en savoir plus sur ce type
de protection, consultez le glossaire .
Activer le bouclier anti-ransomwares
Pour utiliser cette fonctionnalité, activez HIPS et ESET Live Grid. Lisez des informations
supplémentaires sur les ransomwares dans le glossaire .
Mode de filtrage
Vous pouvez choisir l'un des modes de filtrage suivants :
• Mode automatique - Les opérations sont autorisées, à l'exception de celles bloquées
par des règles prédéfinies qui protègent votre système. Tout est autorisé, à l'exception
des actions refusées par la règle.
• Mode intelligent - L'utilisateur n'est averti que lors d'événements très suspects.
• Mode interactif - L'utilisateur est invité à confirmer les opérations. Autoriser/refuser
l'accès, Créer une règle, Mémoriser temporairement cette action.
• Mode basé sur des politiques - Les opérations sont bloquées. Accepte uniquement
les règles utilisateur/prédéfinies.
• Mode d'apprentissage - Les opérations sont autorisées et une règle est créée après
chaque opération. Les règles créées dans ce mode peuvent être affichées dans l'éditeur
de règles, mais leur niveau de priorité est inférieur à celui des règles créées
manuellement ou en mode automatique. Lorsque vous sélectionnez l'option Mode
d'apprentissage dans le menu déroulant Mode de filtrage HIPS, le paramètre Le
mode d'apprentissage prend fin le devient disponible. Sélectionnez la durée du
mode d'apprentissage. La durée maximale est de 14 jours. Lorsque la durée spécifiée
est arrivée à son terme, vous êtes invité à modifier les règles créées par HIPS en mode
d'apprentissage. Vous pouvez également choisir un autre mode de filtrage ou continuer
à utiliser le mode d'apprentissage.
231
Règles
Les règles déterminent les applications qui auront accès aux fichiers, parties du Registre
ou autres applications. Le système HIPS surveille les événements dans le système
d'exploitation et réagit en fonction de règles qui sont semblables à celles utilisées par le
pare-feu personnel. Cliquez sur Modifier pour ouvrir la fenêtre de gestion des règles HIPS.
Si l'action par défaut d'une règle est définie sur Demander, une boîte de dialogue
apparaît à chaque déclenchement de la règle. Vous pouvez choisir de refuser ou
d'autoriser l'opération. Si vous ne choisissez aucune action dans la période donnée, une
nouvelle action est sélectionnée en fonction des règles.
La boîte de dialogue permet de créer une règle en fonction de toute nouvelle action détectée
par le système HIPS, puis de définir les conditions dans lesquelles autoriser ou bloquer
cette action. Cliquez sur Détails pour afficher des informations supplémentaires. Les règles
créées de cette manière sont équivalentes aux règles créées manuellement ; la règle créée à
partir d'une boîte de dialogue peut être moins spécifique que celle qui a déclenché l'affichage
de la boîte de dialogue. En d'autres termes, après la création d'une règle, la même opération
peut déclencher la même fenêtre.
Demander à chaque fois
Une boîte de dialogue apparaît à chaque déclenchement de la règle. Vous pouvez choisir
de refuser ou d'autoriser l'opération.
232
Mémoriser jusqu'à la fermeture de l'application
Choisir une action Refuser ou Autoriser crée une règle HIPS temporaire qui sera utilisée
jusqu'à la fermeture de l'application en question. Si vous modifiez le mode de filtrage,
modifiez les règles ou que le module HIPS est mis à jour, et si vous redémarrez le
système, les règles temporaires sont supprimées.
Créer une règle et l'enregistrer de manière permanente
Créez une nouvelle règle HIPS. Vous pouvez la modifier ultérieurement dans la section
Gestion des règles HIPS.
Paramètres de règle HIPS
Cette fenêtre vous donne une vue d'ensemble des règles HIPS existantes.
Règle
Nom de règle défini par l'utilisateur ou sélectionné automatiquement.
Activé(e)
Désactivez ce commutateur si vous souhaitez conserver la règle dans la
liste, mais ne souhaitez pas l'utiliser.
Action
La règle spécifie une action (Autoriser, Bloquer ou Demander) à
exécuter, si les conditions sont remplies.
Sources
La règle est utilisée uniquement si l'événement est déclenché par une ou
des applications.
Cibles
La règle est utilisée uniquement si l'opération est liée à un fichier, une
application ou une entrée de registre spécifique.
Gravité
journalisée
Si vous activez cette option, les informations sur cette règle sont écrites
dans lejournal HIPS.
Notifier
Une petite fenêtre contextuelle apparaît dans le coin inférieur droit si un
événement est déclenché.
Créez une règle, cliquez sur Ajouter de nouvelles règles HIPS ou sur Modifier les entrées
sélectionnées.
Nom de la règle
Nom de règle défini par l'utilisateur ou sélectionné automatiquement.
Action
La règle spécifie une action (Autoriser, Bloquer ou Demander) à exécuter, si les
conditions sont remplies.
Opérations affectant
Vous devez sélectionner le type d'opération auquel s'applique la règle. La règle est
utilisée uniquement pour ce type d'opération et pour la cible sélectionnée. La règle est
composée d'éléments qui décrivent les conditions déclenchant cette règle.
233
Applications source
La règle est utilisée uniquement si l'événement est déclenché par ces applications. Dans
le menu déroulant, sélectionnez des applications spécifiques, puis cliquez sur Ajouter
pour ajouter de nouveaux fichiers ou dossiers. Vous pouvez également sélectionner
Toutes les applications dans le menu déroulant pour ajouter toutes les applications.
REMARQUE
Le fonctionnement de certaines règles prédéfinies par HIPS ne peut pas être bloqué et est
autorisé par défaut. En outre, les opérations système ne sont pas toutes surveillées par le
système HIPS. Ce système surveille les opérations qui peuvent être considérées comme
dangereuses.
Description des opérations importantes :
Opérations sur le fichier:
Supprimer le
fichier
L'application demande l'autorisation de supprimer le fichier cible.
Écrire dans le
fichier
L'application demande l'autorisation d'écrire dans le fichier cible.
Accès direct au
disque
L'application essaie de lire des informations du disque ou d'écrire sur le
disque d'une manière inhabituelle, non conforme aux procédures
Windows classiques. Les fichiers peuvent être modifiés sans que les
règles correspondantes soient appliquées. Cette opération peut provenir
d'un logiciel malveillant qui essaie de contourner la détection, d'un
logiciel de sauvegarde qui tente de faire une copie exacte d'un disque ou
encore d'un gestionnaire de partition qui essaie de réorganiser les
volumes du disque.
Installer l'élément Fait référence à l'appel de la fonction SetWindowsHookEx depuis la
hook global
bibliothèque MSDN.
Charger le pilote
Installation et chargement de pilotes dans le système.
La règle est utilisée uniquement si l'opération est liée à cette cible. Dans le menu déroulant,
sélectionnez Fichiers spécifiques, puis cliquez sur Ajouter pour ajouter des dossiers ou
des fichiers. Vous pouvez également sélectionner Tous les fichiers dans le menu déroulant
pour ajouter toutes les applications.
Opérations sur l'application:
Déboguer une autre
application
234
Ajout d'un système de débogage au processus. Lors du
débogage d'une application, de nombreux détails concernant son
comportement peuvent être affichés et modifiés. Vous pouvez
également accéder à ses données.
Déboguer une autre
application
Ajout d'un système de débogage au processus. Lors du
débogage d'une application, de nombreux détails concernant son
comportement peuvent être affichés et modifiés. Vous pouvez
également accéder à ses données.
Intercepter les
événements d'une autre
application
L'application source essaie de récupérer les événements
destinés à une application spécifique (il peut s'agir par exemple
d'un programme keylogger d'enregistrement des touches qui
essaie de capturer les événements d'un navigateur).
Terminer/Mettre en
attente une autre
application
Met un processus en attente, le reprend ou l'arrête (accessible
directement depuis l'explorateur des processus ou la fenêtre des
processus).
Démarrer une nouvelle
application
Démarrage de nouvelles applications et de nouveaux processus.
Modifier l'état d'une autre L'application source essaie d'écrire dans la mémoire de
application
l'application cible ou d'exécuter du code en son nom. Cette
fonctionnalité peut être utile pour protéger une application
importante : vous la configurez en tant qu'application cible dans
une règle qui bloque l'utilisation de cette opération.
La règle est utilisée uniquement si l'opération est liée à cette cible. Dans le menu déroulant,
sélectionnez Applications spécifiques, puis cliquez sur Ajouter pour ajouter des dossiers
ou des fichiers. Vous pouvez également sélectionner Toutes les applications dans le menu
déroulant pour ajouter toutes les applications.
Opérations sur le Registre:
Modifier les
paramètres de
démarrage
Toute modification apportée aux paramètres qui définissent les
applications à exécuter au démarrage de Windows. Elles peuvent
notamment être recherchées à l'aide de la clé Run du registre
Windows.
Supprimer du registre Suppression d'une clé de registre ou de sa valeur.
Renommer la clé de
registre
Changement du nom des clés de registre.
Modifier le registre
Création de nouvelles valeurs de clés de registre, modification de
valeurs existantes, déplacement de données dans l'arborescence de
base de données ou configuration des droits d'utilisateur ou de
groupe pour les clés de registre.
La règle est utilisée uniquement si l'opération est liée à cette cible. Dans le menu déroulant,
sélectionnez Entrées spécifiques, puis cliquez sur Ajouter pour ajouter des dossiers ou des
fichiers. Vous pouvez également sélectionner Toutes les entrées dans le menu déroulant
pour ajouter toutes les applications.
235
REMARQUE
Vous pouvez utiliser des caractères génériques qui peuvent présenter des restrictions lors le la saisie d'un dossier. Au lieu
d'utiliser une clé particulière, vous pouvez utiliser un astérisque (*) dans les chemins de registre. Par exemple
HKEY_USERS\*\software can mean HKEY_USER\.default\software, mais pas
HKEY_USERS\S-1-2-21-2928335913-73762274-491795397-7895\.default\software. HKEY_LOCAL_MACHINE\system\ControlSet*
n'est pas un chemin valide de clé de registre. Un chemin de clé de registre contenant le symbole \* signifie « ce chemin ou
tout autre niveau après ce symbole ». C'est le seul moyen d'utiliser des caractères génériques pour les cibles séjour.
L'évaluation porte tout d'abord sur la partie spécifique du chemin, puis sur celle figurant après le symbole (*).
AVERTISSEMENT
Une notification peut s'afficher si vous créez une règle trop générique.
Configurations avancées de HIPS
Les options suivantes sont utiles au débogage et à l'analyse d'un comportement
d'application :
Pilotes dont le chargement est toujours autorisé
Le chargement des pilotes sélectionnés est toujours autorisé, quel que soit le mode de
filtrage configuré, excepté en cas de blocage explicite par une règle utilisateur. Le
chargement des pilotes répertoriés dans cette liste est toujours autorisé quel que soit le
mode de filtrage HIPS, sauf s'il est bloqué explicitement par une règle de l'utilisateur.
Vous pouvez ajouter un nouveau pilote, modifier un pilote sélectionné dans la liste ou le
retirer.
REMARQUE
cliquez sur Réinitialiser si vous ne souhaitez pas que les pilotes que vous avez ajoutés
manuellement soient inclus. Cette commande peut s'avérer utile lorsque vous avez
ajouté plusieurs pilotes et que vous ne pouvez pas les supprimer manuellement de la
liste.
Consigner toutes les connexions bloquées
Toutes les opérations bloquées sont inscrites dans le journal HIPS.
Avertir en cas de changements dans les applications de démarrage
Affiche une notification sur le Bureau chaque fois qu'une application est ajoutée au
démarrage du système ou en est supprimée.
Configuration des mises à jour
Cette section fournit des informations sur la source des mises à jour telles que les serveurs
de mise à jour utilisés et les données d'authentification pour ces serveurs.
236
REMARQUE
Il est essentiel de remplir tous les paramètres de mise à jour avec précision afin de
télécharger correctement les mises à jour. Si vous utilisez un pare-feu, vérifiez que le
programme ESET est autorisé à accéder à Internet (communication HTTP, par exemple).
Général
Sélectionner le profil de mise à jour par défaut
Sélectionnez un profil existant ou créez-en un qui sera appliqué par défaut pour les mises à
jour.
Effacer le cache de mise à jour
En cas de problème de mise à jour, cliquez sur Effacer pour effacer le cache de mise à jour
temporaire.
Définir automatiquement l'âge maximal du moteur de détection / Âge maximal du
moteur de détection (jours)
Permet de définir le nombre maximum de jours au terme desquels l'âge du moteur de
détection est signalé comme étant obsolète. La valeur par défaut est de 7.
Restauration du module
Si vous pensez qu'une mise à jour du moteur de détection ou des modules du programme
est instable ou endommagée, vous pouvez restaurer la version précédente et désactiver les
mises à jour pendant une période donnée. Il est également possible d'activer les mises à jour
précédemment désactivées si vous les avez reportées pour une durée indéterminée. ESET
Mail Security enregistre des instantanés de moteur de détection et de modules du
programme à utiliser avec la fonctionnalité de restauration. Pour permettre la création
d'instantanés de moteur de détection, conservez l'option Créer des instantanés des
modules activés.
Nombre d’instantanés stockés localement
Définit le nombre d'instantanés précédents de module qui sont stockés.
Profils
Pour créer un profil de mise à jour personnalisé, sélectionnez Modifier en regard de Liste
des profils, saisissez un nom dans Nom du profil, puis cliquez sur Ajouter. Sélectionnez
le profil à modifier et changez les paramètres pour les types des mises à jour de
module ou créez un miroir de mise à jour.
Mises à jour
237
Sélectionnez le type de mise à jour à utiliser dans le menu déroulant :
• Mise à jour régulière - Par défaut, l'option Type de mise à jour est définie sur Mise à jour régulière pour que les
fichiers de mise à jour soient téléchargés automatiquement du serveur ESET lorsque le trafic réseau est le moins
surchargé.
• Mise à jour des versions bêta - Ces mises à jour ont subi des tests internes poussés et seront disponibles très
prochainement. Vous pouvez activer ces versions bêta afin d'accéder aux dernières méthodes de détection et aux
derniers correctifs. Toutefois, ces versions ne sont peut-être pas suffisamment stables pour être utilisées en
permanence et NE DOIVENT PAS être utilisées sur des serveurs de production et des stations de travail qui exigent
les plus grandes disponibilité et stabilité.
• Mise à jour retardée : permet d'effectuer la mise à jour à partir de serveurs de mise à jour spéciaux fournissant
les nouvelles versions de bases de virus après un délai d'au moins X heures (bases testées dans un environnement
réel et donc considérées comme stables).
Demander avant de télécharger une mise à jour
Lorsqu'une nouvelle mise à jour est disponible, le système vous demande si vous souhaitez la télécharger.
Demander si un fichier de mise à jour a une taille supérieure à (Ko)
Si la taille du fichier de mise à jour est supérieure à la valeur spécifiée dans le champ, une notification s'affiche.
Désactiver la notification de réussite de la mise à jour
Désactive les notifications qui apparaissent dans la barre d'état système, dans l'angle inférieur droit de l'écran.
Cette option est utile si une application s'exécute en mode plein écran. Notez que le mode de présentation
désactive toutes les notifications.
Mises à jour des modules
Les mises à jour des modules sont définies par défaut sur Choisir automatiquement. Le serveur de mise à jour
est l'emplacement où sont stockées les mises à jour. Si vous utilisez un serveur ESET, il est recommandé de
conserver l'option par défaut.
Si un serveur local HTTP, appelé également miroir, est utilisé, le serveur de mise à jour doit être configuré comme
suit :
http://computer_name_or_its_IP_address:2221
Si vous utilisez un serveur local HTTP avec SSL, le serveur de mise à jour doit être configuré comme suit :
https://computer_name_or_its_IP_address:2221
Si vous utilisez un dossier partagé local, le serveur de mise à jour doit être configuré comme suit :
\\computer_name_or_its_IP_address\shared_folder
Permettre des mises à jour plus fréquentes des signatures de détection
Le moteur de détection sera mis à jour à un intervalle plus fréquent. La désactivation de cette option peut avoir un
impact négatif sur le taux de détection.
Autoriser les mises à jour des modules à partir des supports amovibles
Permet d'effectuer une mise à jour à partir de supports amovibles s'ils contiennent un miroir créé. Lorsque l'option
Automatique est sélectionnée, les mises à jour s'exécutent en arrière-plan. Si vous souhaitez afficher les boîtes de
dialogue de mise à jour, sélectionnez l'option Toujours demander.
Mise à jour des composants du programme
Utilisez le menu déroulant Mode de mise à jour pour choisir comment appliquer les mises à jour des composants
du programme et les micro mises à jour des composants du programme d'ESET Mail Security lorsqu'une nouvelle
mise à jour est disponible. Les mises à jour des composants modifient généralement les fonctionnalités existantes,
mais peuvent également inclure de nouvelles fonctionnalités et des correctifs. En fonction du mode de mise à jour
choisi, la mise à jour des composants peut être effectuée automatiquement sans intervention ni confirmation (si un
redémarrage est nécessaire, vous serez averti). Vous pouvez également choisir d'être averti avant l'installation des
mises à jour.
REMARQUE
Dans certains cas, un redémarrage du serveur peut être nécessaire après la mise à jour du composant.
Les modes de mise à jour suivants sont disponibles :
• Demander avant d'effectuer une mise à jour : vous êtes invité à confirmer ou à refuser les mises à jour du
produit lorsqu'elles sont disponibles. Il s'agit de l'option par défaut. Un redémarrage du serveur peut être nécessaire
après la mise à jour du composant.
• Mise à jour automatique : les mises à jour des composants seront téléchargées et installées automatiquement.
N'oubliez pas que le redémarrage du serveur peut être nécessaire.
• Ne jamais mettre à jour : les mises à jour des composants ne seront pas effectuées. Car elle permet d'exécuter
les mises à jour des composants manuellement et de redémarrer le serveur pendant la fenêtre de maintenance
planifiée.
IMPORTANT
Le mode Mise à jour automatique redémarre automatiquement votre serveur une fois la mise à jour du
composant terminée.
238
Options de connexion
239
Serveur proxy
Pour accéder aux options de configuration du serveur proxy pour un profil de mise à jour donné. Cliquez
sur l'onglet Mode proxyet sélectionnez l'une des trois options suivantes :
• Ne pas utiliser de serveur proxy : aucun serveur proxy ne sera utilisé par ESET Mail Security lors
des mises à jour.
• Utiliser les paramètres globaux de serveur proxy : la configuration de serveur proxy indiquée
dans Configuration avancée (F5) > Outils > Serveur proxy sera utilisée.
• Connexion via un serveur proxy : utilisez cette option si :
Un serveur proxy doit être utilisé pour mettre à jour ESET Mail Security et ce serveur doit être différent
de celui indiqué dans les paramètres globaux (Outils > Serveur proxy). Si c'est le cas, des paramètres
supplémentaires doivent être spécifiés : l'adresse du serveur proxy, le port de communication (3128
par défaut), ainsi que le nom d'utilisateur et le mot de passe du serveur proxy si nécessaire.
Les paramètres de serveur proxy n'ont pas été définis globalement, mais ESET Mail Security se
connecte à un serveur proxy pour les mises à jour.
Votre ordinateur est connecté à Internet par l'intermédiaire d'un serveur proxy. Les paramètres sont
pris d'Internet Explorer pendant l'installation du programme, mais s'ils sont modifiés par la suite (par
exemple, en cas de changement de fournisseur de services Internet), vérifiez que les paramètres du
proxy HTTP figurant dans la fenêtre sont corrects. Dans le cas contraire, le programme ne pourra pas
se connecter aux serveurs de mise à jour.
REMARQUE
Les données d'authentification telles que Nom d'utilisateur et Mot de passe permettent
d'accéder au serveur proxy. Ne remplissez ces champs que si un nom d'utilisateur et un mot de
passe sont requis. Notez que ces champs ne sont pas ceux du mot de passe/nom d'utilisateur
d'ESET Mail Security et ne doivent être remplis que si vous savez que vous avez besoin d'un mot de
passe pour accéder à Internet via un serveur proxy.
Utiliser une connexion directe si le serveur proxy n'est pas disponible
Si un produit est configuré pour utiliser le proxy HTTP et que ce dernier est injoignable, le produit ignore
le proxy et communique directement avec les serveurs ESET.
Partages Windows
Lors d'une mise à jour depuis un serveur local exécutant Windows, une authentification est par défaut
exigée pour chaque connexion réseau.
Se connecter au reseau local en tant que
Pour configurer votre compte, sélectionnez l'une des options suivantes :
• Compte système (par défaut) : permet d'utiliser le compte système pour l'authentification. En
règle générale, aucun traitement d'authentification n'a lieu si les données d'authentification ne sont pas
fournies dans la section de configuration des mises à jour.
• Utilisateur actuel : sélectionnez cette option pour vous assurer que le programme s'authentifie à
l'aide du compte de l'utilisateur connecté. L'inconvénient de cette solution est que le programme ne
peut pas se connecter au serveur de mise à jour si aucun utilisateur n'est connecté.
• Utilisateur spécifié : sélectionnez cette option pour utiliser un compte d'utilisateur spécifique pour
l'authentification. Utilisez cette méthode en cas d'échec de la connexion avec le compte système. Notez
que le compte de l'utilisateur spécifié doit avoir accès au dossier des fichiers de mise à jour du serveur
local. Dans le cas contraire, le programme serait incapable d'établir une connexion ou de télécharger
les mises à jour.
AVERTISSEMENT
Si l'une des options Utilisateur actuel ou Utilisateur spécifié est activée, une erreur peut se
produire en cas de changement de l'identité du programme pour l'utilisateur souhaité. C'est pour
cette raison que nous recommandons d'entrer les données d'authentification du réseau local dans la
section de configuration des mises à jour. Dans cette section de configuration des mises à jour, les
données d'authentification doivent être entrées comme suit : domain_name\user (dans le cas d'un
groupe de travail, entrez workgroup_name\name) et le mot de passe. La mise à jour de la version
HTTP du serveur local n'exige aucune authentification.
Se déconnecter du serveur après la mise à jour
Permet de forcer une déconnexion si la connexion au serveur reste active, même après le
240
téléchargement des mises à jour.
Miroir de mise à jour
Les options de configuration du serveur Miroir local se trouvent dans Configuration
avancée (F5), sous l'onglet Mise à jour > Profils > Miroir de mise à jour.
Restauration des mises à jour
Si vous cliquez sur Restaurer, vous devez sélectionner une durée dans le menu déroulant
qui représente la période durant laquelle les mises à jour de la base du moteur de détection
et celles des modules de programme sont suspendues.
Sélectionnez Jusqu'à son retrait pour différer indéfiniment les mises à jour régulières
jusqu'à ce que vous restauriez manuellement cette fonctionnalité. Nous ne recommandons
pas de sélectionner cette option qui présente un risque potentiel pour la sécurité de
l'ordinateur.
La base du moteur de détection revient à la version la plus ancienne disponible, stockée sous
forme d'instantané dans le système de fichiers de l'ordinateur local.
Tâche planifiée : mise à jour
Pour mettre à jour le programme à partir de deux serveurs de mise à jour, vous devez créer
deux profils de mise à jour distincts. Si le premier ne permet pas de télécharger les fichiers
de mise à jour, le programme bascule automatiquement vers le second. Ce procédé est
notamment adapté aux portables dont la mise à jour s'effectue normalement depuis un
serveur de mise à jour du réseau local, mais dont les propriétaires se connectent souvent à
Internet à partir d'autres réseaux. Par conséquent, en cas d'échec du premier profil, le
second télécharge automatiquement les fichiers de mise à jour à partir des serveurs de mise
à jour d'ESET.
EXEMPLE
La procédure décrite ci-après vous permet d'utiliser une tâche pour modifier une mise à
jour automatique régulière existante.
1.Dans l'écran principal Planificateur, sélectionnez la tâche de mise à jour portant le
nom Mise à jour automatique régulière et cliquez sur Modifier pour ouvrir l'assistant
de configuration.
2.Définissez la tâche du planificateur à exécuter et sélectionnez l'une des options de
fréquence suivantes à définir lorsque vous souhaitez exécuter la tâche planifiée :
3.Si vous souhaitez empêcher l'exécution de la tâche lorsque le système fonctionne sur
batterie (système UPS, par exemple), cliquez sur le commutateur situé en regard de
l'option Ignorer la tâche en cas d’alimentation par batterie.
4.Sélectionnez le profil de mise à jour à utiliser pour la mise à jour. Sélectionnez une
action à effectuer en cas de non-exécution de la tâche planifiée, quel qu'en soit le motif.
5.Cliquez sur Terminer pour appliquer la tâche.
241
Miroir de mise à jour
Ouvrir ESET Mail Security
Appuyez sur F5 > Mise à jour > Profils > Miroir de mise à jour
ESET Mail Security permet de créer des copies des fichiers de mises à jour afin de les utiliser
pour la mise à jour d'autres postes de travail du réseau. L'utilisation d'un miroir, copie des
fichiers de mise à jour dans l'environnement du réseau local, s'avère pratique puisque les
fichiers de mise à jour doivent être téléchargés du serveur de mise à jour du fournisseur de
manière répétée, pour toutes les stations de travail. Les mises à jour sont téléchargées sur le
serveur miroir local puis distribuées à toutes les stations de travail pour éviter tout risque de
surcharge du réseau. La mise à jour de postes de travail à partir d'un miroir optimise
l'équilibre de la charge réseau et libère les bandes passantes des connexions Internet.
Miroir de mise à jour
Créer un miroir de mise à jour
Active les options de configuration du miroir.
Dossier de stockage
Cliquez sur Effacer si vous souhaitez changer un dossier par défaut défini pour stocker des
fichiers en miroir (C:\ProgramData\ESET\ESET Security\mirror). Cliquez sur Modifier pour
accéder à un dossier sur l'ordinateur local ou à un dossier réseau partagé. Si une
autorisation pour le dossier spécifié est requise, les données d'authentification doivent être
entrées dans les champs Nom d'utilisateur et Mot de passe. Si le dossier de destination
sélectionné se trouve sur un disque réseau exécutant le système d'exploitation Windows
NT/2000/XP, le nom d'utilisateur et le mot de passe spécifiés doivent disposer du droit
d'écriture sur ce dossier.
Le nom d'utilisateur et le mot de passe doivent être entrés au format Domain/User ou
Workgroup/User. N'oubliez pas de fournir les mots de passe correspondants.
Mise à jour des composants du programme
Fichiers
Lors de la configuration du miroir, vous pouvez indiquer les versions linguistiques des mises
à jour à télécharger. Les langues sélectionnées doivent être prises en charge par le serveur
miroir configuré par l'utilisateur.
Mettre à jour les composants automatiquement
Permet l'installation de nouvelles fonctionnalités et de mises à jour des fonctionnalités
existantes. Une mise à jour peut s'effectuer sans intervention de l'utilisateur ou après sa
notification. Le redémarrage de l'ordinateur peut être nécessaire après la mise à jour du
produit.
Mettre à jour les composants maintenant
Met à jour les composants du programme avec la nouvelle version.
Serveur HTTP
242
Port du serveur
Le port par défaut est 2221. Changez cette valeur si vous utilisez un autre port.
Authentification
Définit la méthode d'authentification utilisée pour accéder aux fichiers de mise à jour. Les
options disponibles sont les suivantes : Aucune, Général et NTLM.
• Sélectionnez Général pour utiliser le codage base64 avec l'authentification de base du
nom d'utilisateur et mot de passe.
• L'option NTLM fournit un codage utilisant une méthode de codage fiable. L'utilisateur créé
sur le poste de travail partageant les fichiers de mise à jour est utilisé pour l'authentification.
• L'option par défaut est Aucune. Elle autorise l'accès aux fichiers des mises à jour sans
exiger d'authentification.
AVERTISSEMENT
L'accès aux fichiers des mises à jour au moyen du serveur HTTP exige que le dossier
miroir soit sur le même ordinateur que l'instance ESET Mail Security qui l'a créé.
SSL pour serveur HTTP
Ajoutez votre fichier de chaîne de certificat ou générez un certificat signé
automatiquement si vous souhaitez exécuter le serveur HTTP avec la prise en charge HTTPS
(SSL). Les types de certificats suivants sont disponibles : PEM, PFX et ASN. Pour plus de
sécurité, vous pouvez utiliser le protocole HTTPS pour télécharger les fichiers de mise à jour.
Il est pratiquement impossible d'identifier des transferts de données et des informations de
connexion lorsque ce protocole est utilisé.
L'option Type de clé privée est définie sur Intégrée par défaut (ainsi, l'option Fichier de
clé privée est désactivée par défaut), ce qui signifie que la clé privée fait partie du fichier de
chaîne de certificat sélectionné.
Options de connexion
243
Partages Windows
Lors d'une mise à jour depuis un serveur local exécutant Windows, une authentification est
par défaut exigée pour chaque connexion réseau.
Se connecter au reseau local en tant que
Pour configurer votre compte, sélectionnez l'une des options suivantes :
• Compte système (par défaut) : permet d'utiliser le compte système pour
l'authentification. Normalement, aucun traitement d'authentification n'a lieu si les données
d'authentification ne sont pas fournies dans la section de configuration des mises à jour.
• Utilisateur actuel : sélectionnez cette option pour vous assurer que le programme
s'authentifie à l'aide du compte de l'utilisateur connecté. L'inconvénient de cette solution est
que le programme ne peut pas se connecter au serveur de mise à jour si aucun utilisateur
n'est connecté.
• Utilisateur spécifié : sélectionnez cette option pour utiliser un compte d'utilisateur
spécifique pour l'authentification. Utilisez cette méthode en cas d'échec de la connexion
avec le compte système. Notez que le compte de l'utilisateur spécifié doit avoir accès au
dossier des fichiers de mise à jour du serveur local. Dans le cas contraire, le programme
serait incapable d'établir une connexion et de télécharger les mises à jour.
AVERTISSEMENT
Si l'une des options Utilisateur actuel ou Utilisateur spécifié est activée, une erreur
peut se produire en cas de changement de l'identité du programme pour l'utilisateur
souhaité. C'est pour cette raison que nous recommandons d'entrer les données
d'authentification du réseau local dans la section de configuration des mises à jour. Dans
cette section de configuration des mises à jour, les données d'authentification doivent
être entrées comme suit : domain_name\user (dans le cas d'un groupe de travail, entrez
workgroup_name\name) et le mot de passe. La mise à jour de la version HTTP du serveur
local n'exige aucune authentification.
Se déconnecter du serveur après la mise à jour
Permet de forcer une déconnexion si la connexion au serveur reste active, même après le
téléchargement des mises à jour.
Protection du réseau
Activer la protection contre les attaques réseau (IDS)
Permet de configurer l'accès à certains services exécutés sur votre ordinateur à partir de
la zone Fiable et d'activer/désactiver la détection de plusieurs types d'attaques pouvant
être utilisés pour porter atteinte à votre ordinateur.
Activer la protection anti-botnet
Détecte et bloque les communications avec des serveurs de contrôle et de commande
malveillants selon les modèles classiques lorsque l'ordinateur est infecté et qu'un robot
tente de communiquer.
Exceptions IDS
Vous pouvez comparer les exceptions IDS (Intrusion Detection System) à des règles de
protection du réseau. Cliquez sur modifier pour définir des exceptions IDS.
244
Détection d’intrusion:
Protocole SMB : détecte et bloque divers problèmes de sécurité dans le protocole SMB.
Protocole RPC : détecte et bloque divers CVE dans le système d'appel des procédures à
distance développé pour l'environnement Distributed Computing Environment (DCE).
Protocole RDP : détecte et bloque divers CVE dans le protocole RDP (voir ci-dessus).
Bloquer l'adresse non sûre après une détection d'attaque : les adresses IP qui ont été
identifiées comme sources d'attaques sont ajoutées à la liste noire pour prévenir toute
connexion pendant une certaine période.
Afficher une notification après la détection d'une attaque : active les notifications qui
apparaissent dans la barre d'état système, dans l'angle inférieur droit de l'écran.
Afficher également des notifications pour les attaques entrantes contre les trous
de sécurité : vous avertit si des attaques contre des trous de sécurité sont détectées ou si
une menace tente d'accéder au système de cette manière.
Vérification des paquets:
Autoriser les connexions entrantes aux partages administratifs du protocole SMB :
les partages administratifs sont les partages réseau par défaut qui partagent les partitions
de disque dur (C$, D$, ...) au sein du système, ainsi que le répertoire système (ADMIN$).
Désactiver la connexion aux partages administratifs peut limiter de nombreux risques de
sécurité. Par exemple, le ver Conficker effectue des attaques par dictionnaire afin de se
connecter aux partages administratifs.
Refuser les dialectes SMB anciens (non pris en charge) : refuse des sessions SMB qui
utilisent un ancien dialecte SMB non pris en charge par IDS. Les systèmes d'exploitation
Windows modernes prennent en charge les anciens dialectes SMB en raison de la
rétrocompatibilité avec les anciens systèmes d'exploitation tels que Windows 95. Le pirate
peut utiliser un ancien dialecte dans une session SMB dans le but d'échapper à l'inspection
du trafic. Refusez les anciens dialectes SMB si votre ordinateur n'a pas besoin de partager
des fichiers (ou d'utiliser des communications SMB en général) avec un ordinateur équipé
d'une ancienne version de Windows.
Refuser les sessions SMB sans sécurité étendue : la sécurité étendue peut être utilisée
au cours de la négociation de session SMB, afin de fournir un mécanisme d'authentification
plus sécurisé que l'authentification par challenge/réponse du gestionnaire LAN (LM). Le
schéma LM est considéré comme faible et son utilisation n'est pas recommandée.
Autoriser la communication avec le service Security Account Manager : pour plus
d'informations sur ce service, voir [MS-SAMR] .
Autoriser la communication avec le service Local Security Authority : pour plus
d'informations sur ce service, voir [MS-LSAD] et [MS-LSAT] .
Autoriser la communication avec le service Remote Registry : pour plus
d'informations sur ce service, voir [MS-RRP] .
Autoriser la communication avec le service Service Control Manager : pour plus
d'informations sur ce service, voir [MS-SCMR] .
245
Autoriser les connexions entrantes aux partages administratifs du protocole SMB :
les partages administratifs sont les partages réseau par défaut qui partagent les partitions
de disque dur (C$, D$, ...) au sein du système, ainsi que le répertoire système (ADMIN$).
Désactiver la connexion aux partages administratifs peut limiter de nombreux risques de
sécurité. Par exemple, le ver Conficker effectue des attaques par dictionnaire afin de se
connecter aux partages administratifs.
Autoriser la communication avec le service Server : pour plus d'informations sur ce
service, voir [MS-SRVS] .
Autoriser la communication avec les autres services : autres services MSRPC.
Exceptions IDS
Les exceptions IDS (Intrusion Detection System) sont essentiellement des règles de
protection du réseau. Elles sont évaluées de haut en bas. L'éditeur d'exceptions IDS permet
de personnaliser le comportement de la protection réseau en fonction de différentes
exceptions IDS. La première exception correspondante est appliquée, pour chaque type
d'action (Bloquer, Notifier, Consigner) séparément. Haut/Monter/Bas/Descendrepermet
d'ajuster le niveau de priorité des exceptions. Pour créer une exception, cliquez sur Ajouter.
Cliquez sur Modifier pour modifier une exception IDS ou sur Supprimer pour la retirer.
Sélectionnez le type Alerte dans la liste déroulante. Indiquez le nom de la menace et la
direction. Accédez à l'application pour laquelle vous souhaitez créer l'exception. Indiquez
une liste d'adresses IP (IPv4 ou IPv6) ou de sous-réseaux. Pour plusieurs entrées, utilisez une
virgule comme délimiteur.
Configurez l'action de l'exception IDS en sélectionnant une des options dans le menu
déroulant (Par défaut, Oui, Non). Effectuez cette opération pour chaque type d'action
(Bloquer, Notifier, Consigner).
EXEMPLE
Si vous souhaitez qu'une notification soit affichée en cas d'alerte d'exception IDS et que
l'heure de l'événement soit enregistrée, laissez le type d'action, conservez le type
d'action Bloquer sur Par défaut. Pour les deux autres types d'actions (Notifier et
Consigner), sélectionnez Oui dans le menu déroulant.
Liste noire temporaire des adresses IP
Affichez la liste des adresses IP qui ont été détectées comme source d'attaques et ajoutées à
la liste noire pour bloquer les connexions pendant une certaine période. Cette option permet
d'afficher l'adresse IPqui a été bloquée.
Motif du blocage
Indique le type d'attaque qui a été empêché à partir de l'adresse (par exemple, attaque
par scan de port TCP).
246
Délai dépassé
Indique l'heure et la date auxquelles l'adresse arrivera à expiration dans la liste noire.
Supprimer/Supprimer tout
Supprime l'adresse IP sélectionnée de la liste noire temporaire avant son expiration ou
supprime immédiatement toutes les adresses de la liste noire.
Ajouter une exception
Ajoute une exception de pare-feu dans le filtrage IDS pour l'adresse IP sélectionnée.
Internet et messagerie
Vous pouvez configurer le filtrage des protocoles, la protection du client de messagerie, la
protection de l'accès Web et l'anti-hameçonnage pour protéger votre serveur lors des
communications Internet.
Protection du client de messagerie
Contrôle toute la communication par e-mail, protège des codes malveillants et vous
permet de choisir l'action à entreprendre en cas de détection d'infection.
Protection de l'accès Web
Surveille la communication entre les navigateurs Internet et les serveurs distants,
conformément aux règles des protocoles HTTP et HTTPS. Cette fonctionnalité permet
également de bloquer, d'autoriser et d'exclure certaines adresses URL.
Filtrage des protocoles
Offre une protection avancée destinée aux protocoles d'application et fournie par le
moteur d'analyse ThreatSense. Ce contrôle fonctionne automatiquement, que le
programme utilisé soit un navigateur Internet ou un client de messagerie. Il fonctionne
également pour la communication chiffrée (SSL/TLS).
Protection antihameçonnage
Permet de bloquer les pages Web connues pour diffuser du contenu d'hameçonnage.
Filtrage des protocoles
La protection contre les logiciels malveillants des protocoles d'application est fournie par le
moteur d'analyse ThreatSense qui intègre plusieurs techniques avancées d'analyse des
logiciels malveillants. Le filtrage des protocoles fonctionne automatiquement,
indépendamment du navigateur Internet ou du client de messagerie utilisés. Si le filtrage des
247
protocoles est activé, ESET Mail Security vérifie les communications qui utilisent le protocole
SSL/TSL. Accédez à Internet et messagerie > SSL/TLS.
Activer le filtrage de contenu des protocoles d'application
Si vous désactivez le filtrage des protocoles, notez que la plupart des composants d'ESET
Mail Security (protection de l'accès Web, protection des protocoles de
messagerie et protection antihameçonnage) dépendent de ce filtrage et que leurs
fonctionnalités ne seront pas disponibles.
Applications exclues
Pour exclure du filtrage de contenu la communication de certaines applications sensibles
au réseau, sélectionnez ces applications dans la liste. Aucune recherche de menace n'est
effectuée sur la communication HTTP/POP3 des applications sélectionnées. Cette option
permet d'exclure des applications spécifiques du filtrage des protocoles. Cliquez sur
Modifier et Ajouter pour sélectionner un exécutable dans la liste des applications afin
de l'exclure du filtrage des protocoles.
IMPORTANT
Il est recommandé d'utiliser cette option uniquement pour les applications qui ne
fonctionnent pas correctement lorsque leur communication est vérifiée.
Adresses IP exclues
Permet d'exclure des adresses distantes spécifiques du filtrage des protocoles. Les
adresses IP figurant dans cette liste sont exclues du filtrage du contenu des protocoles.
Les menaces ne sont pas détectées sur les communications HTTP/POP3/IMAP liées aux
adresses sélectionnées.
IMPORTANT
Il est recommandé d'utiliser cette option uniquement pour les adresses que vous savez
être fiables.
Cliquez sur Modifier et Ajouter pour indiquer l'adresse IP, la plage d'adresses ou le sousréseau auquel l'exclusion sera appliquée. Lorsque vous sélectionnez Entrer plusieurs
valeurs, vous pouvez ajouter plusieurs adresses IP en les séparant par des nouvelles lignes,
des virgules ou des points-virgules. Lorsque la sélection multiple est activée, les adresses
s'affichent dans la liste des adresses IP exclues.
REMARQUE
Les exclusions s'avèrent utiles lorsque le filtrage des protocoles entraîne des problèmes
de compatibilité.
248
Internet et clients de messagerie
À cause du nombre considérable de codes malveillants circulant sur Internet, la sécurisation
de la navigation sur Internet est un aspect très important de la protection des ordinateurs.
Les vulnérabilités des navigateurs Internet et les liens frauduleux contribuent à faciliter
l'accès imperceptible au système par des codes malveillants. C'est pourquoi ESET Mail
Security se concentre sur la sécurité des navigateurs Internet. Chaque application accédant
au réseau peut être marquée comme étant un navigateur Internet. Les applications qui ont
déjà utilisé des protocoles pour les communications ou les applications des chemins d'accès
sélectionnés peuvent être ajoutées à la liste Internet et clients de messagerie.
SSL/TLS
ESET Mail Security peut rechercher des menaces dans les communications qui utilisent le
protocole SSL (Secure Sockets Layer)/TLS (Transport Layer Security).
Vous pouvez utiliser plusieurs modes d'analyse pour examiner les communications SSL
protégées à l'aide de certificats approuvés, de certificats inconnus ou de certificats exclus de
la vérification des communications SSL protégées.
Activer le filtrage du protocole SSL/TLS
Si le filtrage des protocoles est désactivé, le programme n'analyse pas les
communications sur le protocole SSL/TLS. Le mode de filtrage du protocole SSL/TLS est
disponible dans les options suivantes :
• Mode automatique - Sélectionnez cette option pour analyser toutes les
communications SSL/TLS protégées, à l'exception de celles protégées par des certificats
exclus de la vérification. Si une nouvelle communication utilisant un certificat signé
inconnu est établie, vous n'êtes pas informé et la communication est automatiquement
filtrée. Lorsque vous accédez à un serveur disposant d'un certificat non approuvé
indiqué comme fiable (il figure dans la liste des certificats approuvés), la
communication vers le serveur est autorisée et le contenu du canal de communication
est filtré.
• Mode interactif - Si vous entrez un nouveau site protégé par SSL/TLS (avec un
certificat inconnu), une boîte de dialogue de sélection d'action s'affiche. Ce mode vous
permet de créer la liste des certificats SSL/TLS qui seront exclus de l'analyse.
• Mode de politique - Toutes les connexions SSL/TLS sont filtrées, à l'exception des
exclusions configurées.
Liste des applications filtrées par le protocole SSL/TLS
Ajoutez une application filtrée et définissez l'une des actions d'analyse. La liste des
249
applications filtrées SSL/TSL peut être utilisée pour personnaliser le comportement d'ESET
Mail Security pour des applications SSL/TLS spécifiques et mémoriser les actions choisies
en cas de sélection du mode interactif dans le mode de filtrage de protocole
SSL/TLS.
Liste des certificats connus
Permet de personnaliser le comportement d'ESET Mail Security pour des certificats SSL
spécifiques. Pour afficher et gérer la liste, cliquez sur l'option Modifier située en regard de
Liste des certificats connus.
Exclure la communication avec les domaines approuvés
Permet d'exclure les communications utilisant les certificats de validation étendue de la
vérification des protocoles (banque en ligne).
Bloquer les communications chiffrées à l’aide du protocole obsolète SSL v2
Les communications utilisant cette version antérieure du protocole SSL sont
automatiquement bloquées.
Certificat racine
Pour que la communication SSL/TLS fonctionne correctement dans les navigateurs/clients
de messagerie, il est essentiel d'ajouter le certificat racine pour ESET à la liste des
certificats racines connus (éditeurs). L'option Ajouter le certificat racine aux navigateurs
connus doit être activée. Sélectionnez cette option pour ajouter automatiquement le
certificat racine d'ESET aux navigateurs connus (Opera et Firefox par exemple). Pour les
navigateurs utilisant le magasin de certification système, le certificat est ajouté
automatiquement (Internet Explorer par exemple).
Pour appliquer le certificat à des navigateurs non pris en charge, cliquez sur Afficher le
certificat > Détails > Copier dans un fichier, puis importez-le manuellement dans le
navigateur.
Validité du certificat
S'il est impossible de vérifier le certificat à l'aide de la bibliothèque de certificats
TRCA
Dans certains cas, il est impossible de vérifier le certificat d'un site Web à l'aide du
magasin d'Autorités de certification racine de confiance. Cela signifie que le
certificat est signé par un utilisateur (l'administrateur d'un serveur Web ou d'une petite
entreprise, par exemple) et que le fait de le considérer comme fiable n'est pas toujours
un risque. La plupart des grandes entreprises (les banques par exemple) utilisent un
certificat signé par TRCA. Si l'option Interroger sur la validité du certificat est activée
(sélectionnée par défaut), l'utilisateur est invité à sélectionner une action à entreprendre
lorsque la communication chiffrée est établie. Vous pouvez sélectionner Bloquer toute
communication utilisant le certificat pour mettre toujours fin aux connexions
250
chiffrées aux sites avec des certificats non vérifiés.
Si le certificat est non valide ou endommagé
Cela signifie qu'il est arrivé à expiration ou que sa signature est incorrecte. Dans ce cas, il
est recommandé de conserver l'option Bloquer toute communication utilisant le
certificat activée.
Liste des certificats connus
Permet de personnaliser le comportement d'ESET Mail Security pour des certificats SSL/TLS
spécifiques et de mémoriser les actions choisies en cas de sélection du mode interactif
dans le mode de filtrage de protocole SSL/TLS. Vous pouvez configurer un certificat
sélectionné ou ajouter un certificat depuis une URL ou un fichier. Dans la fenêtre Ajouter un
certificat, cliquez sur URL ou Fichier, puis indiquez l'URL du certificat ou accédez à un fichier
de certificat. Les champs suivants seront automatiquement renseignés avec les données du
certificat :
• Nom du certificat : nom du certificat.
• Émetteur du certificat : nom du créateur du certificat.
• Objet du certificat : le champ d'objet identifie l'entité associée à la clé publique
stockée dans le champ d'objet de la clé publique.
Action d’accès
• Automatique : permet d'autoriser les certificats approuvés et demander quelle
action effectuer pour les certificats non approuvés.
• Autoriser ou Bloquer : permet d'autoriser/bloquer les communications sécurisées
par ce certificat indépendamment de sa fiabilité.
• Demander : permet de recevoir une invite lorsqu'un certificat spécifique est
rencontré.
Action d’analyse
• Automatique : permet d'effectuer une analyse en mode automatique et de
demander quelle action entreprendre en mode interactif.
• Analyser ou Ignorer : permet d'analyser ou d'ignorer les communications sécurisées
par ce certificat.
• Demander : permet de recevoir une invite lorsqu'un certificat spécifique est
rencontré.
Communication SSL chiffrée
Si votre système est configuré pour utiliser l'analyse du protocole SSL, une boîte de dialogue
vous invitant à choisir une action peut s'afficher dans les deux cas suivants :
251
Lorsqu'un site Web utilise un certificat non valide ou ne pouvant pas être vérifié et qu'ESET
Mail Security est configuré pour demander à l'utilisateur l'action à effectuer dans ce cas (par
défaut, oui pour les certificats ne pouvant pas être vérifiés, non pour les certificats non
valides), une boîte de dialogue s'affiche pour autoriser ou bloquer la connexion.
Lorsque l'option Mode de filtrage du protocole SSL est définie sur Mode interactif, une
boîte de dialogue demande pour chaque site Web d'analyser ou d'ignorer le trafic.
Certaines applications vérifient que le trafic SSL n'est ni modifié ni inspecté par quelqu'un.
Dans ce cas, ESET Mail Security doit ignorer ce trafic pour que les applications continuent de
fonctionner.
Dans les deux cas, l'utilisateur peut choisir de mémoriser l'action sélectionnée. Les actions
enregistrées sont stockées dans la liste des certificats connus.
Protection du client de messagerie
L'intégration d'ESET Mail Security aux clients de messagerie augmente le niveau de
protection active contre les codes malveillants dans les messages électroniques. Si votre
client de messagerie est pris en charge, l'intégration peut être activée dans ESET Mail
Security. Lorsque l'intégration est activée, la barre d'outils d'ESET Mail Security est insérée
directement dans le client de messagerie (la barre d'outils pour les nouvelles versions de
Windows Live Mail n'est pas insérée), ce qui permet une protection plus efficace des
messages.
252
Intégration aux clients de messagerie
Les clients de messagerie actuellement pris en charge sont Microsoft Outlook,
Outlook Express, Windows Mail et Windows Live Mail. Ce module fonctionne comme un
plug-in pour ces programmes. L'avantage principal du plug-in réside dans le fait qu'il est
indépendant du protocole utilisé. Lorsqu'un client de messagerie reçoit un message
chiffré, il le déchiffre et l'envoie au scanner de virus. Même si l'intégration n'est pas
activée, les communications par e-mail sont toujours protégées par le module de
protection du client de messagerie (POP3, IMAP).Pour obtenir la liste complète des clients
de messagerie pris en charge, avec leur version, reportez-vous à cet article de la base de
connaissances .
Désactiver la vérification au changement de contenu de la boîte aux lettres
Si vous constatez un ralentissement du système lors de l'utilisation du client de
messagerie (MS Outlook uniquement). Ce cas de figure peut survenir lors de la
récupération d'un e-mail à partir du magasin Kerio Outlook Connector.
Activer la protection de messagerie par les plug-ins clients
Permet de désactiver la protection du client de messagerie sans supprimer l'intégration
dans votre client de messagerie. Vous pouvez désactiver tous les plug-ins à la fois ou
désactiver les éléments suivants de manière sélective :
• Courrier reçu - Active/désactive la vérification des messages reçus.
• Courrier envoyé - Active/désactive la vérification des messages envoyés.
• Courrier lu - Active/désactive la vérification des messages lus.
Action à exécuter sur le courrier électronique infecté
• Aucune action - Si cette option est activée, le programme identifie les pièces jointes
infectées, mais n'entreprend aucune action sur les messages concernés.
• Supprimer les courriers - Le programme avertit l'utilisateur à propos d'une
infiltration et supprime le message.
• Déplacer les courriers vers le dossier Éléments supprimés - Les courriers
infectés sont automatiquement placés dans le dossier Éléments supprimés.
• Déplacer les courriers vers le dossier - Les courriers infectés sont
automatiquement placés dans le dossier spécifié.
• Dossier - Spécifiez le dossier personnalisé vers lequel les messages infectés doivent
être déplacés lorsqu'ils sont détectés.
Répéter l’analyse après mise à jour
Active/désactive une nouvelle analyse après la mise à jour du moteur de détection.
Accepter les résultats d’analyse d’autres modules
Si cette option est activée, le module de protection de messages accepte les résultats
d'analyse d'autres modules de protection (analyse des protocoles IMAP, POP3).
253
Protocoles de messagerie
Activer la protection de messagerie par le filtrage de protocoles
Les protocoles IMAP et POP3 sont les protocoles les plus répandus pour la réception de
messages dans un client de messagerie. ESET Mail Security protège ces protocoles, quel
que soit le client de messagerie utilisé.
ESET Mail Security prend également en charge l'analyse des protocoles IMAPS et POP3S qui
utilisent un canal chiffré pour transférer des informations entre un serveur et un client. ESET
Mail Security contrôle la communication à l'aide des protocoles SSL (Secure Socket Layer) et
TLS (Transport Layer Security). Le programme analyse uniquement le trafic sur les ports
définis dans les ports utilisés par le protocole IMAPS/POP3S, quelle que soit la version du
système d'exploitation.
Configuration du moteur d'analyse IMAPS/POP3S
Les communications chiffrées ne sont pas analysées lorsque les paramètres par défaut
sont utilisés. Pour activer l'analyse des communications chiffrées, accédez à l'option
Contrôle de protocole SSL/TLS.
Le numéro de port identifie le type du port. Voici les ports de messagerie par défaut pour :
Nom du port
Numéros de Description
port
POP3
110
Port non chiffré POP3 par défaut.
IMAP
143
Port non chiffré IMAP par défaut.
IMAP sécurisé (IMAP4- 585
SSL)
Activer le filtrage du protocole SSL/TLS. Les différents
numéros de ports doivent être séparés par une
virgule.
IMAP4 sur SSL (IMAPS) 993
Activer le filtrage du protocole SSL/TLS. Les différents
numéros de ports doivent être séparés par une
virgule.
POP3 sécurisé (SSLPOP)
Activer le filtrage du protocole SSL/TLS. Les différents
numéros de ports doivent être séparés par une
virgule.
995
Alertes et notifications
La protection de la messagerie permet de contrôler les communications reçues via les
protocoles POP3 et IMAP. ESET Mail Security utilise le plug-in pour Microsoft Outlook et
d'autres clients de messagerie pour contrôler toutes les communications impliquant le client
de messagerie (POP3, MAPI, IMAP, HTTP). Lorsqu'il examine les messages entrants, le
programme utilise toutes les méthodes d'analyse avancées comprises dans le moteur
d'analyse ThreatSense. Autrement dit, la détection des programmes malveillants s'effectue
254
avant la comparaison avec la base de détection de virus. L'analyse des communications via
le protocole POP3 et IMAP est indépendante du client de messagerie utilisé.
Après la vérification d'un courrier, une notification avec le résultat de l'analyse peut être
ajoutée au message. Vous pouvez sélectionner Ajouter une notification aux messages
reçus et lus, Ajouter une note à l'objet des messages infectés reçus et lus ou
Ajouter une notification aux messages envoyés. Gardez à l'esprit qu'en de rares
occasions, les notifications peuvent être omises en cas de messages HTML problématiques
ou de messages élaborés par un logiciel malveillant. Les notifications peuvent être ajoutées
aux messages reçus et lus, aux messages envoyés, ou aux deux catégories. Les options
disponibles sont les suivantes :
• Jamais - Aucune notification n'est ajoutée.
• Aux e-mails infectés seulement - Seuls les messages contenant un code
malveillant sont marqués comme contrôlés (valeur par défaut).
• Aux e-mails infectés seulement - Le programme ajoute des messages à tout
courrier analysé.
Ajouter une note à l’objet des messages infectés envoyés
Désactivez cette option si vous ne souhaitez pas que la protection de la messagerie
ajoute un avertissement de virus dans l'objet d'un message infecté. Cette fonctionnalité
permet tout simplement de filtrer les courriers infectés en fonction de son objet (s'il est
pris en charge par le programme de messagerie). Elle augmente également la crédibilité
du destinataire et, en cas de détection d'une infiltration, fournit des informations
précieuses sur le niveau de menace d'un message ou d'un expéditeur.
Texte ajouté à l'objet des messages infectés
Modifiez ce texte si vous souhaitez modifier le format du préfixe de l'objet d'un e-mail
infecté. Cette fonction remplace l'objet du message Hello par le préfixe [virus] au
format suivant : [virus] Hello. La variable %VIRUSNAME% représente la menace détectée.
Barre d'outils MS Outlook
La protection Microsoft Outlook fonctionne comme un module plugin. Après l'installation
d'ESET Mail Security, cette barre d'outils contenant les options de protection contre les
logiciels malveillants est ajoutée à Microsoft Outlook :
ESET Mail Security
Cliquez sur l'icône pour ouvrir la fenêtre principale du programme ESET Mail Security.
Analyser à nouveau les messages
Permet de lancer manuellement la vérification des messages. Vous pouvez indiquer les
messages à vérifier et activer une nouvelle analyse du message reçu. Pour plus
255
d'informations, consultez la section Protection du client de messagerie.
Configuration de l'analyseur
Affiche les options de configuration de la Protection du client de messagerie.
Barre d'outils Outlook Express et
Windows Mail
La protection pour Outlook Express et Windows Mail fonctionne comme un module plugin.
Après l'installation d'ESET Mail Security, cette barre d'outils contenant les options de
protection contre les logiciels malveillants est ajoutée à Outlook Express ou à Windows Mail :
ESET Mail Security
Cliquez sur l'icône pour ouvrir la fenêtre principale du programme ESET Mail Security.
Analyser à nouveau les messages
Permet de lancer manuellement la vérification des messages. Vous pouvez indiquer les
messages à vérifier et activer une nouvelle analyse du message reçu. Pour plus
d'informations, consultez la section Protection du client de messagerie.
Configuration de l'analyseur
Affiche les options de configuration de la Protection du client de messagerie.
Personnaliser l'apparence
Vous pouvez modifier l'apparence de la barre d'outils pour votre client de messagerie.
Désactivez cette option pour personnaliser l'apparence indépendamment des paramètres du
programme de messagerie.
• Afficher le texte - Affiche des descriptions des icônes.
• Texte à droite - Les descriptions d'options sont déplacées du bas vers le côté droit
des icônes.
• Grandes icônes - Affiche des icônes de grande taille pour les options de menu.
Boîte de dialogue de confirmation
Cette notification permet de vérifier que l'utilisateur veut vraiment exécuter l'action
sélectionnée, ce qui devrait éliminer des erreurs possibles. La boîte de dialogue offre
également la possibilité de désactiver les confirmations.
256
Analyser à nouveau les messages
La barre d'outils d'ESET Mail Security intégrée dans les clients de messagerie permet aux
utilisateurs de spécifier plusieurs options pour la vérification du courrier électronique.
L'option Analyser à nouveau les messages offre deux modes d'analyse :
• Tous les messages du dossier en cours : analyse les messages du dossier affiché.
• Messages sélectionnés uniquement : analyse uniquement les messages marqués
par l'utilisateur.
• Réanalyser les messages déjà analysés : permet d'exécuter une autre analyse sur
des messages déjà analysés.
Protection de l'accès Web
La protection de l'accès Web opère par surveillance des communications entre les
navigateurs Internet et les serveurs distants pour vous protéger des menaces en ligne,
conformément aux règles des protocoles HTTP et HTTPS (communications chiffrées).
L'accès aux pages Web connues pour comporter du contenu malveillant est bloqué avant le
téléchargement du contenu. Toutes les autres pages Web sont analysées par le moteur
d'analyse ThreatSense lors de leur chargement et sont bloquées en cas de détection de
contenu malveillant. La protection de l'accès Web offre deux niveaux de protection : un
blocage par liste noire et un blocage par contenu.
Général
Il est vivement recommandé de conserver l'option de protection de l'accès Web activée.
Cette option est accessible dans la fenêtre principale de ESET Mail Security depuis
Configuration > Internet et messagerie > Protection de l'accès Web.
Activer l'analyse avancée des scripts de navigateur
Par défaut, tous les programmes JavaScript exécutés par les navigateurs web sont contrôlés
par le moteur de détection.
Protocoles Web
Permet de configurer le contrôle de ces protocoles standard qui sont utilisés par la plupart
des navigateurs Internet. Par défaut, ESET Mail Security est configuré pour contrôler le
protocole HTTP utilisé par la plupart des navigateurs Internet.
ESET Mail Security prend également en charge le contrôle de protocole HTTPS. Les
communications HTTPS utilisent un canal chiffré pour transférer des informations entre un
serveur et un client. ESET Mail Security contrôle les communications à l'aide des protocoles
SSL (Secure Socket Layer) et TLS (Transport Layer Security). Le programme analyse
uniquement le trafic sur les ports définis dans les ports utilisés par le protocole HTTPS,
quelle que soit la version du système d'exploitation.
Les communications chiffrées ne sont pas analysées lorsque les paramètres par défaut sont
utilisés. Pour activer l'analyse des communications chiffrées, accédez à Configuration
avancée (F5) > Internet et messagerie > SSL/TLS.
257
Paramètres ThreatSense
Permet de configurer des paramètres tels que les types d'analyses (courriers
électroniques, archives, exclusions, limites, etc.) et les méthodes de détection pour la
protection de l'accès Web.
Gestion des adresses URL
La gestion des adresses URL permet de spécifier des adresses HTTP qui seront bloquées,
autorisées ou exclues de la vérification. Les sites Web qui figurent dans la liste des adresses
bloquées ne sont pas accessibles, sauf s'ils sont également inclus dans la liste des adresses
autorisées. Les sites Web qui se trouvent dans la liste des adresses exclues de la vérification
ne font pas l'objet d'une analyse de code malveillant lors de leur accès. L'option Filtrage du
protocole SSL/TLS doit être activée si vous souhaitez filtrer les adresses HTTPS en plus des
pages Web HTTP. Sinon, seuls les domaines des sites HTTPS que vous avez visités sont
ajoutés et non l'URL complète.
Une liste d'adresses bloquées peut contenir les adresses d'une liste noire publique externe et
une autre liste peut comporter votre propre liste noire, ce qui simplifie la mise à jour de la
liste externe tout en conservant la vôtre intacte.
Cliquez sur Modifier et Ajouter pour créer une liste d'adresses en plus des listes
prédéfinies. Cela peut s'avérer utile si vous souhaitez diviser de manière logique des groupes
différents d'adresses. Par défaut, les trois listes suivantes sont disponibles :
• Liste des adresses exclues de la vérification - Aucune vérification de la présence
de code malveillant n'est effectuée pour les adresses répertoriées dans la liste.
• Liste des adresses autorisées - Si l'option N'autoriser l'accès qu'aux adresses HTTP
figurant dans la liste des adresses autorisées est activée et si la liste des adresses
bloquées contient un astérisque (correspond à tout), l'utilisateur n'est autorisé à
accéder qu'aux adresses répertoriées dans cette liste. Les adresses de cette liste sont
autorisées même si elles sont incluses dans la liste des adresses bloquées.
• Liste des adresses bloquées - L'utilisateur n'est pas autorisé à accéder aux
adresses répertoriées dans cette liste, à moins qu'elles ne figurent également dans la
liste des adresses autorisées.
258
Vous pouvez ajouter une nouvelle adresse URL à la liste. Vous pouvez également saisir
plusieurs valeurs avec un séparateur. Cliquez sur Modifier pour changer une adresse
existante dans la liste ou sur Supprimer pour la supprimer. La suppression n'est possible
que pour les adresses créées avec l'option Ajouter, pas pour celles ayant été importées.
Dans toutes les listes, vous pouvez utiliser les symboles spéciaux « * » (astérisque) et « ? »
(point d'interrogation). L'astérisque représente n'importe quel chiffre ou caractère, alors que
le point d'interrogation symbolise un seul caractère. Un soin particulier doit être apporté à la
spécification des adresses exclues, car la liste ne doit contenir que des adresses sûres et
fiables. De la même manière, veillez à employer correctement les symboles « * » et « ? »
dans cette liste.
REMARQUE
Si vous souhaitez bloquer toutes les adresses HTTP, à l'exception des adresses figurant
dans la liste active des adresses autorisées, ajoutez un astérisque (*) à la liste active des
adresses bloquées.
Créer une liste
La liste contiendra les masques d'URL/de domaine souhaités qui seront bloqués, autorisés ou
exclus de la vérification. Lors de la création d'une liste, indiquez les paramètres suivants :
• Type de liste d’adresses : sélectionnez le type (Exclues de la vérification, Bloquées
ou Autorisées) de la liste déroulante.
• Nom de liste : indiquez le nom de la liste. Ce champ apparaît grisé lors de la
modification de l'une des trois listes prédéfinies.
259
• Description de la liste : tapez une brève description de la liste (facultatif). Ce
champ apparaît en grisé lors de la modification de l'une des trois listes prédéfinies.
• List active : utilisez le commutateur pour désactiver la liste. Vous pouvez la réactiver
ultérieurement en cas de besoin.
• Notifier lors de l'application : si vous souhaitez être averti lorsqu'une liste est
utilisée pour l'évaluation d'un site HTTP/HTTPS visité. Une notification est émise
lorsqu'un site Web est bloqué ou autorisé en raison de son inclusion dans la liste des
adresses bloquées ou autorisées. La notification contient le nom de la liste dans laquelle
figure le site Web spécifié.
• Niveau de verbosité : sélectionnez le niveau de verbosité (Aucun, Diagnostic,
Informations ou Avertissement) dans la liste déroulante. Les entrées avec le niveau de
verbosité Avertissement peuvent être collectées par ESET PROTECT.
ESET Mail Security permet de bloquer l'accès à des sites Web spécifiques et d'empêcher le
navigateur Internet d'en afficher le contenu. Par ailleurs, il permet à l'utilisateur de spécifier
des adresses à exclure de la vérification. Si l'utilisateur ignore le nom complet du serveur
distant ou s'il souhaite spécifier un groupe de serveurs distants, il peut employer des
« masques ».
Ces masques peuvent contenir les symboles ? et * :
• utilisez ?? pour représenter un caractère quelconque ;
• utilisez * pour représenter une chaîne de caractères.
EXEMPLE
*.c?m désigne toutes les adresses dont la dernière partie commence par la lettre c et se
termine par la lettre m, avec un caractère inconnu entre les deux (.com, .cam, etc.).
Une séquence initiale *. est traitée spécialement si elle est utilisée au début d'un nom de
domaine. Pour commencer, le caractère générique * ne peut pas représenter un caractère
barre oblique (('/')) dans ce cas. Cela a pour but d'éviter de contourner le masque. Par
exemple, le masque *.domain.com ne correspondra pas à
https://anydomain.com/anypath#.domain.com (un tel suffixe peut être ajouté à toute adresse
URL sans affecter le téléchargement). Ensuite, le *. correspond également à une chaîne vide
dans ce cas spécial. Elle vise à permettre une correspondance avec tout le domaine, y
compris tous les éventuels sous-domaines en utilisant un seul et unique masque. Par
exemple, le masque *.domain.com correspond également à https://domain.com. L'utilisation
de *domain.com serait incorrecte, car ce masque correspondrait aussi à
https://anotherdomain.com.
260
Entrez plusieurs valeurs
Ajoutez plusieurs adresses URL en les séparant par des nouvelles lignes, des virgules ou
des points-virgules. Lorsque la sélection multiple est activée, les adresses s'affichent dans
la liste.
Importer
Fichier texte comportant des adresses URL à importer (séparez les valeurs par un saut de
ligne, par exemple *.txt utilisant le codage UTF-8).
Protection Web antihameçonnage
Le terme d'hameçonnage (phishing en anglais) désigne une activité frauduleuse qui consiste
à manipuler les utilisateurs pour obtenir des informations confidentielles. L'hameçonnage est
souvent utilisé pour accéder à des données sensibles, telles que des numéros de comptes
bancaires, des codes secrets, etc.
ESET Mail Security comprend la protection antihameçonnage qui bloque les pages Web
connues pour diffuser ce type de contenu. Il est vivement recommandé d'activer la
fonctionnalité antihameçonnage dabs ESET Mail Security. Pour plus d'informations sur la
protection antihameçonnage dans ESET Mail Security, consultez notre article de la base de
connaissances .
261
Lorsque vous accédez à un site Web d'hameçonnage reconnu, la boîte de dialogue suivante
s'affiche dans votre navigateur Web. Si vous souhaitez toujours accéder au site Web, cliquez
sur Ignorer la menace (non recommandé).
REMARQUE
Par défaut, les sites Web d'hameçonnage potentiels que vous avez ajoutés à la liste
blanche expirent plusieurs heures après. Pour autoriser un site Web de manière
permanente, utilisez l'outil Gestion des adresses URL.
Signaler un site d'hameçonnage
Si vous rencontrez un site Web suspect qui semble effectuer des activités d'hameçonnage
ou malveillantes, vous pouvez le signaler à ESET pour analyse. Avant de soumettre un
site Web à ESET, assurez-vous qu'il répond à au moins l'un des critères suivants :
• Le site Web n'est pas du tout détecté.
• Le site Web est détecté à tort comme une menace. Dans ce cas, vous pouvez signaler
un site faux positif de hameçonnage .
Vous pouvez également soumettre le site Web par e-mail. Envoyez votre message à l'adresse
samples@eset.com. Veillez à utiliser un objet descriptif et indiquez le plus d'informations
possible sur le site Web (notez, par exemple, le site Web référant, comment vous avez appris
l'existence du site Web, etc.).
262
Contrôle des appareils
ESET Mail Security permet un contrôle automatique des appareils (CD/DVD/USB). Ce module
permet d'analyser, de bloquer ou d'ajuster les filtres étendus/autorisations, et de définir les
autorisations des utilisateurs à accéder à un appareil et à l'utiliser. Ce procédé peut être utile
si l'administrateur souhaite empêcher l'utilisation de appareils avec du contenu indésirable.
REMARQUE
Lorsque vous activez le contrôle des appareils à l'aide du commutateur Intégrer au
système, la fonctionnalité de contrôle de ESET Mail Security est activée. Vous devrez
toutefois redémarrer votre ordinateur pour que cette modification soit prise en compte
Le contrôle des appareils devient actif, ce qui vous permet de modifier les paramètres. Si un
appareil bloqué par une règle existante est détecté, une fenêtre de notification s'affiche et
l'accès au appareil n'est pas accordé.
Règles
Une règle de contrôle des appareils définit l'action qui sera exécutée lorsqu'un appareil
répondant aux critères de la règle est connecté à l'ordinateur.
Groupes
Lorsque vous cliquez sur Modifier, vous pouvez gérer les groupes de appareils. Créez un
groupe de appareils ou sélectionnez un groupe existant pour ajouter ou supprimer des
appareils dans la liste.
REMARQUE
Vous pouvez consulter les entrées du journal du contrôle des appareils dans Fichiers
journaux.
Règles de périphérique
Des périphériques spécifiques peuvent être autorisés ou bloqués par utilisateur, groupe
d'utilisateurs ou tout autre paramètre supplémentaire pouvant être spécifié dans la
configuration des règles. La liste des règles contient plusieurs éléments descriptifs des
règles, comme leur nom, le type de périphérique externe, l'action à réaliser lorsqu'un
nouveau périphérique est détecté et la gravité journalisée.
Vous pouvez ajouter une nouvelle règle ou modifier les paramètres d'une règle existante.
Entrez une description de la règle dans le champ Nom afin de mieux l'identifier. Cliquez sur
le bouton bascule situé en regard de l'option Règle activée pour désactiver ou activer cette
règle ; cette option peut être utile si vous ne souhaitez pas retirer la règle de façon définitive.
Appliquer pendant
263
Vous pouvez limiter des règles en créant des créneaux horaires. Créez un créneau
horaire ; il apparaîtra ensuite dans le menu déroulant.
Type de périphérique
Choisissez le type de périphérique externe dans le menu déroulant (Stockage
disque/Périphérique portable/Bluetooth/FireWire...). Les types de périphériques sont
hérités du système d'exploitation et sont visibles dans le Gestionnaire de périphériques
système si le périphérique est connecté à l'ordinateur. Les périphériques de stockage
comprennent les disques externes ou les lecteurs de carte mémoire conventionnels
connectés via USB ou FireWire. Les lecteurs de carte à puce regroupent tous les lecteurs
de carte avec circuit intégré embarqué, telles que les cartes SIM ou d'authentification. Les
scanners ou les appareils photo constituent des exemples de périphériques d'imagerie.
Ces périphériques ne fournissent pas d'informations sur les utilisateurs, uniquement sur
leurs actions. Cela signifie que les périphériques d'imagerie peuvent être bloqués
uniquement de façon globale.
Action
L'accès aux périphériques autres que ceux de stockage peut être autorisé ou bloqué. En
revanche, les règles s'appliquant aux périphériques de stockage permettent de
sélectionner l'un des paramètres des droits suivants :
• Lire/Écrire - L'accès complet au périphérique est autorisé.
• Bloquer - L'accès au périphérique est bloqué.
• Lecture seule - L'accès en lecture seule au périphérique est autorisé.
• Avertir - À chaque connexion d'un périphérique, l'utilisateur est averti s'il est
autorisé/bloqué, et une entrée est enregistrée dans le journal. Comme les périphériques
ne sont pas mémorisés, une notification s'affiche lors des connexions suivantes d'un
même périphérique.
REMARQUE
Notez que tous les droits (actions) ne sont pas disponibles pour tous les périphériques. Si
un périphérique comprend un espace de stockage, les quatre actions sont disponibles.
Pour les périphériques sans stockage, seules deux options sont disponibles (par exemple,
l'action Lecture seule n'étant pas disponible pour Bluetooth, un tel périphérique ne peut
être qu'autorisé ou bloqué).
Les autres paramètres indiqués ci-dessous peuvent être utilisés pour optimiser les règles et
les adapter à des périphériques. Tous les paramètres sont indépendants de la casse :
• Fabricant - Permet de filtrer par nom ou ID de fabricant.
• Modèle - Nom du périphérique.
• N° de série - Les périphériques externes ont généralement leur propre numéro de
série. Dans le cas d'un CD/DVD, Il s'agit du numéro de série du support et pas du
lecteur.
264
REMARQUE
Si ces trois descripteurs sont vides, la règle ignore ces champs lors de la recherche de
correspondances. Les paramètres de filtrage de tous les champs de texte ne respectent
pas la casse et les caractères génériques (*, ?) ne sont pas pris en charge.
pour déterminer les paramètres d'un périphérique, créez une règle d'autorisation pour ce
type de périphérique, connectez le périphérique à votre ordinateur, puis vérifiez les détails
du périphérique dans le journal du contrôle de périphérique.
Sélectionner le Niveau de verbosité dans la liste déroulante :
• Toujours - Consigne tous les événements.
• Diagnostic - Consigne les informations nécessaires au réglage du programme.
• Informations - Enregistre tous les messages d'information, y compris les messages
de mises à jour réussies et toutes les entrées ci-dessus.
• Avertissement - Enregistre les erreurs critiques et les messages d'avertissement.
• Aucun - Aucun journal n'est enregistré.
Les règles peuvent être limitées à certains utilisateurs ou groupes d'utilisateurs en les
ajoutant à la Liste des utilisateurs. Cliquez sur Modifier pour gérer la liste des utilisateurs.
• Ajouter - Ouvre la boîte de dialogue Types d'objet : utilisateurs ou groupes qui
permet de sélectionner les utilisateurs voulus.
• Supprimer - Supprime l'utilisateur sélectionné du filtre.
REMARQUE
tous les périphériques peuvent être filtrés par les règles de l'utilisateur (par exemple, les
périphériques d'image ne fournissent pas d'informations sur les utilisateurs, uniquement
sur les actions effectuées).
Les fonctions disponibles sont les suivantes :
Modifier
Permet de modifier le nom de la règle sélectionnée ou les paramètres de l'appareil inséré
(fabricant, modèle, numéro de série, etc.).
Copier
Crée une règle à partir des paramètres de la règle sélectionnée.
Supprimer
Permet de supprimer la règle sélectionnée. Vous pouvez également utiliser la case à
cocher située en regard d'une règle donnée pour la désactiver. La désactivation d'une
règle peut s'avérer utile si vous ne souhaitez pas la supprimer définitivement en vue de la
réutiliser ultérieurement.
265
Renseigner
Permet de donner une vue d'ensemble de tous les périphériques actuellement connectés
avec les informations suivantes : le type de périphérique, le fournisseur, le modèle et le
numéro de série (le cas échéant). Si vous sélectionnez un périphérique (dans la liste des
périphériques détectés) et cliquez sur OK, une fenêtre d'éditeur de règles s'affiche avec
des informations prédéfinies (vous pouvez ajuster tous les paramètres).
Les règles sont classées par ordre de priorité ; les règles de priorité supérieure sont dans la
partie supérieure de la liste. Vous pouvez sélectionner plusieurs règles et appliquer des
actions, par exemple les supprimer ou les déplacer vers le haut ou le bas de la liste, en
cliquant sur Haut/Monter/Bas/Descendre (boutons fléchés).
Groupes de périphériques
La fenêtre Groupes de périphériques se divise en deux parties. La partie droite de la fenêtre
contient la liste des périphériques appartenant à un groupe donné. La partie gauche
répertorie la liste des groupes existants. Sélectionnez le groupe contenant les périphériques
que vous souhaitez afficher dans le volet droit.
Vous pouvez créer des groupes de périphériques différents auxquels différentes règles sont
appliquées. Vous pouvez également créer un groupe unique de périphériques définis sur
Lire/Écrire ou Lecture seule. Les périphériques non reconnus sont ainsi bloqués par le
contrôle de périphérique lorsqu'ils sont connectés à votre ordinateur.
AVERTISSEMENT
Un périphérique connecté à votre ordinateur peut présenter un risque de sécurité.
Les fonctions disponibles sont les suivantes :
Ajouter
Créez un groupe de périphériques en saisissant son nom ou ajoutez un périphérique à un
groupe existant. Vous pouvez éventuellement indiquer des informations détaillées (le
nom du fabricant, le modèle et le numéro de série, par exemple) selon l'endroit de la
fenêtre sur lequel vous avez cliqué.
Modifier
Permet de modifier le nom du groupe sélectionné ou les paramètres du périphérique
inséré (fabricant, modèle, numéro de série, etc.).
Supprimer
Permet de supprimer le groupe ou le périphérique sélectionné en fonction de
l'emplacement sur lequel vous avez cliqué dans la fenêtre. Vous pouvez également
utiliser la case à cocher située en regard d'une règle donnée pour la désactiver. La
266
désactivation d'une règle peut s'avérer utile si vous ne souhaitez pas la supprimer
définitivement en vue de la réutiliser ultérieurement.
Importer
Permet d'importer la liste des numéros de série des périphériques à partir d'un fichier.
Renseigner
Permet de donner une vue d'ensemble de tous les périphériques actuellement connectés
avec les informations suivantes : le type de périphérique, le fournisseur, le modèle et le
numéro de série (le cas échéant). Si vous sélectionnez un périphérique (dans la liste des
périphériques détectés) et cliquez sur OK, une fenêtre d'éditeur de règles s'affiche avec
des informations prédéfinies (vous pouvez ajuster tous les paramètres).
Une fois la personnalisation terminée, cliquez sur OK. Cliquez sur Annuler pour fermer la
fenêtre Groupes de périphériques sans enregistrer les modifications.
REMARQUE
Veuillez noter que tous les droits (actions) ne sont pas disponibles pour tous les
périphériques. Si un périphérique comprend un espace de stockage, les quatre actions
sont disponibles. Pour les périphériques sans stockage, seules deux options sont
disponibles (par exemple, l'action Lecture seule n'étant pas disponible pour Bluetooth, un
tel périphérique ne peut être qu'autorisé ou bloqué).
Outils de configuration
Vous pouvez personnaliser les paramètres avancés des éléments suivants :
• Créneaux horaires
• ESET PROTECT cibles à analyser
• Mode de remplacement
• ESET CMD
• ESET RMM
• Licence
• Fournisseur WMI
• Fichiers journaux
• Serveur proxy
• Notifications par e-mail
• Mode de présentation
• Diagnostics
• Cluster
267
Créneaux horaires
Les créneaux horaires sont utilisés au sein des règles du contrôle de périphériques, ce qui
limite celles-ci lors de leur application. Créez un fuseau horaire et sélectionnez-le lors de
l'ajout de nouvelles règles ou de la modification de règles existantes (paramètre Appliquer
pendant). Vous pouvez ainsi définir des créneaux horaires couramment utilisés (heure de
travail, week-end, etc.) et les réutiliser facilement sans avoir à redéfinir les périodes pour
chaque règle. Un créneau horaire doit être applicable à n'importe quel type de règle adéquat
prenant en charge le contrôle temporel.
Microsoft Windows Update
Les mises à jour de Windows apportent des corrections importantes aux vulnérabilités
potentiellement dangereuses et améliorent le niveau général de sécurité de votre ordinateur.
C'est pourquoi il est essentiel d'installer les mises à jour de Microsoft Windows dès qu'elles
sont disponibles. ESET Mail Security vous informe des mises à jour manquantes en fonction
du niveau que vous spécifiez. Les niveaux suivants sont disponibles :
• Pas de mise à jour - Aucune mise à jour système n'est proposée au téléchargement.
• Mises à jour optionnelles - Les mises à jour marquées comme étant faiblement
prioritaires et au-dessus sont proposées au téléchargement.
• Mises à jour recommandées - Les mises à jour marquées comme étant courantes
et au-dessus sont proposées au téléchargement.
• Mises à jour importantes - Les mises à jour marquées comme étant importantes et
au-dessus sont proposées au téléchargement.
• Mises à jour critiques - Seules les mises à jour critiques sont proposées pour le
téléchargement.
Cliquez sur OK pour enregistrer les modifications. La fenêtre Mises à jour système s'affiche
après la vérification de l'état à l'aide du serveur de mise à jour. Les informations de mise à
jour système ne sont peut-être pas immédiatement disponibles après l'enregistrement des
modifications.
Analyseur de ligne de commande
Comme alternative à eShell, vous pouvez exécuter l'analyseur à la demande ESET Mail
Security via la ligne de commande en utilisant ecls.exe situé dans le dossier d'installation.
Voici la liste des paramètres et des commutateurs :
Options :
268
/base-dir=FOLDER
charger les modules depuis le DOSSIER
/quar-dir=FOLDER
DOSSIER de quarantaine
/exclude=MASK
exclure les fichiers correspondant à MASQUE de l'analyse
/subdir
analyser les sous-dossiers (valeur par défaut)
/no-subdir
ne pas analyser les sous-dossiers
/max-subdir-level=LEVEL
sous-niveau maximal de sous-dossiers dans les dossiers à
analyser
/symlink
suivre les liens symboliques (valeur par défaut)
/no-symlink
ignorer les liens symboliques
/ads
analyser ADS (valeur par défaut)
/no-ads
ne pas analyser ADS
/log-file=FILE
journaliser les résultats dans un FICHIER
/log-rewrite
écraser le fichier de résultats (valeur par défaut - ajouter)
/log-console
journaliser les résultats sur la console (valeur par défaut)
/no-log-console
ne pas journaliser les résultats sur la console
/log-all
également journaliser les fichiers nettoyés
/no-log-all
ne pas journaliser les fichiers nettoyés (valeur par défaut)
/aind
afficher l'indicateur d'activité
/auto
analyser et automatiquement nettoyer tous les disques locaux
Options de l'analyseur :
/files
analyser les fichiers (valeur par défaut)
/no-files
ne pas analyser les fichiers
/memory
mémoire scan
/boots
analyser les secteurs d'amorçage
/no-boots
ne pas analyser les secteurs d'amorçage (valeur par défaut)
/arch
analyser les archives (valeur par défaut)
/no-arch
ne pas analyser les archives
/max-obj-size=SIZE
analyser uniquement les fichiers plus petits que TAILLE Mo (valeur
par défaut 0 = illimité)
/max-arch-level=LEVEL
sous-niveau maximal d'archives à analyser dans les archives
(archives imbriquées)
/scan-timeout=LIMIT
analyser les archives pendant un maximum de LIMITE secondes
/max-arch-size=SIZE
n'analyser les fichiers contenus dans une archive que s'ils sont
plus petits que TAILLE (valeur par défaut 0 = illimité)
/max-sfx-size=SIZE
n'analyser les fichiers d'une archive auto-extractible que s'ils sont
plus petits que TAILLE Mo (valeur par défaut 0 = illimité)
/mail
analyser les fichiers des courriers électroniques (valeur par
défaut)
269
/no-mail
ne pas analyser les fichiers des courriers électroniques
/mailbox
analyser les boîtes aux lettres (valeur par défaut)
/no-mailbox
ne pas analyser les boîtes aux lettres
/sfx
analyser les archives auto-extractibles (valeur par défaut)
/no-sfx
ne pas analyser les archives auto-extractibles
/rtp
analyser les fichiers exécutables compressés (valeur par défaut)
/no-rtp
ne pas analyser les fichiers exécutables compressés
/unsafe
rechercher les applications potentiellement dangereuses
/no-unsafe
ne pas rechercher les applications potentiellement dangereuses
(valeur par défaut)
/unwanted
rechercher les applications potentiellement indésirables
/no-unwanted
ne pas rechercher les applications potentiellement indésirables
(valeur par défaut)
/suspicious
rechercher les applications suspectes (par défaut)
/no-suspicious
ne pas rechercher les applications suspectes
/pattern
utiliser les signatures (valeur par défaut)
/no-pattern
ne pas utiliser les signatures
/heur
activer l'heuristique (valeur par défaut)
/no-heur
désactiver l'heuristique
/adv-heur
activer l'heuristique avancée (valeur par défaut)
/no-adv-heur
désactiver l'heuristique avancée
/ext-exclude=EXTENSIONS
exclure de l'analyse les EXTENSIONS de fichier délimitées par
deux-points
/clean-mode=MODE
utiliser le MODE de nettoyage pour les objets infectés
Les options disponibles sont les suivantes :
• none (valeur par défaut) – Aucun nettoyage automatique ne sera
effectué.
• standard – ecls.exe tente de nettoyer ou de supprimer
automatiquement les fichiers infectés.
• strict – ecls.exe tente de nettoyer ou de supprimer
automatiquement les fichiers infectés sans l'intervention de
l'utilisateur (vous ne serez pas averti avant la suppression des
fichiers).
• rigorous – ecls.exe supprime les fichiers sans essayer de les
nettoyer, quel que soit le type de fichier.
• delete – ecls.exe supprime les fichiers sans tenter de les
nettoyer, mais s’abstient de supprimer les fichiers sensibles tels
que les fichiers système de Windows.
/quarantine
copier les fichiers infectés (si nettoyés) vers Quarantaine
(complète l’action effectuée lors du nettoyage)
/no-quarantine
ne pas copier les fichiers infectés vers Quarantaine
Options générales :
270
/help
afficher l'aide et quitter
/version
afficher les informations de version et quitter
/preserve-time
conserver la date et l'heure du dernier accès
Codes de sortie :
0
aucune menace détectée
1
menace détectée et nettoyée
10
certains fichiers n'ont pas pu être analysés (peuvent être des menaces)
50
menace détectée
100
erreur (les codes de sortie supérieurs à 100 signifient que le fichier n'a pas été analysé
et ne peut pas être considéré comme étant non infecté)
ESET CMD
Il s'agit d'une fonctionnalité qui permet d'utiliser des commandes ecmd avancées. Elle vous
offre la possibilité d'exporter et d'importer des paramètres à l'aide d'une ligne de commande
(ecmd.exe). Auparavant, il n'était possible d'exporter et d'importer des paramètres que dans
l'interface utilisateur graphique. La configuration de ESET Mail Security peut être exportée
dans un fichier .xml.
Lorsqu'ESET CMD est activé, deux méthodes d'autorisation sont disponibles :
• Aucun : aucune autorisation. Il n'est pas recommandé d'utiliser cette méthode car
elle permet l'importation de n'importe quelle configuration non signée, ce qui constitue
un risque potentiel.
• Mot de passe de configuration avancée : un mot de passe est nécessaire pour
importer une configuration à partir d'un fichier .xml devant être signé (reportez-vous à
la section relative à la signature d'un fichier de configuration .xml plus bas). Le mot de
passe spécifié dans la configuration de l'accès doit être fourni avant l'importation d'une
nouvelle configuration. Si la configuration de l'accès n'est pas activée, que le mot de
passe ne correspond pas ou que le fichier de configuration .xml n'est pas signé, la
configuration n'est pas importée.
Une fois qu'ESET CMD est activé, vous pouvez utiliser la ligne de commande pour exporter ou
importer des configurations de ESET Mail Security. Vous pouvez le faire manuellement ou
créer un script pour l'automatisation.
271
IMPORTANT
Pour utiliser les commandes ecmd avancées, vous devez les exécuter avec des privilèges
d'administrateur ou ouvrir une invite de commandes Windows (cmd) à l'aide de la
commande Exécuter en tant qu'administrateur. Si vous ne procédez pas ainsi, le
message Error executing command. s'affiche. Le dossier de destination doit aussi
exister lors de l'exportation d'une configuration. La commande d'exportation fonctionne
toujours lorsque le paramètre ESET CMD est désactivé.
EXEMPLE
Commande d'exportation des paramètres :
ecmd /getcfg c:\config\settings.xml
Commande d'importation des paramètres :
ecmd /setcfg c:\config\settings.xml
REMARQUE
Les commandes ecmd ne peuvent être exécutées que localement. L'exécution de la
tâche client Exécuter une commande à l'aide d'ESET PROTECT ne fonctionnera pas.
Signature d'un fichier de configuration .xml :
1.Téléchargez l'exécutable XmlSignTool.
2.Ouvrez une invite de commandes Windows (cmd) en utilisant Exécuter en tant
qu'administrateur.
3.Accédez à l'emplacement de xmlsigntool.exe
4.Exécutez une commande pour signer le fichier de configuration .xml : xmlsigntool
/version 1|2 <xml_file_path>
IMPORTANT
La valeur du paramètre /version dépend de la version de ESET Mail Security. Utilisez
/version 2 pour ESET Mail Security 7 et les versions ultérieures.
5.Lorsque l'utilitaire XmlSignTool vous y invite, saisissez le mot de passe de la
configuration avancée et saisissez-le de nouveau. Le fichier de configuration .xml est à
présent signé. Il peut être utilisé pour importer une autre instance de ESET Mail
Security avec ESET CMD à l'aide de la méthode d'autorisation du mot de passe.
272
EXEMPLE
Commande de signature du fichier de configuration exporté : xmlsigntool /version 2
c:\config\settings.xml
REMARQUE
Si le mot de passe de la configuration de l'accès change et si vous souhaitez importer une
configuration qui a été signée avec un ancien mot de passe, vous pouvez signer de
nouveau le fichier de configuration .xml à l'aide du mot de passe actuel. Vous pouvez
ainsi utiliser un ancien fichier de configuration sans l'exporter sur un autre ordinateur
exécutant ESET Mail Security avant l'importation.
ESET RMM
La surveillance et l'administration à distance (RMM, Remote Monitoring and Management) est
le processus qui consiste à surveiller et contrôler les systèmes logiciels (comme ceux des
postes de travail, serveurs et périphériques mobiles) à l'aide d'un agent installé localement
qui est accessible par un fournisseur de services d'administration.
Activer RMM
Active la surveillance et l'administration à distance. Vous devez disposer des droits
d'administrateur pour utiliser l'utilitaire RMM.
Mode de fonctionnement
Sélectionnez le mode de fonctionnement de RMM dans le menu déroulant :
• Séparation sûre uniquement : si vous souhaitez activer l’interface RMM pour les
opérations en lecture seule et sûres
• Toutes les opérations : si vous souhaitez activer l’interface RMM pour toutes les
273
opérations
Méthode d'autorisation
Définissez la méthode d'autorisation RMM à partir du menu déroulant :
• Aucune : aucune vérification de chemin d'application ne sera effectuée. Vous pouvez
exécuter ermm.exe depuis n'importe quelle application.
• Chemin de l'application : indiquez l'application qui est autorisée à exécuter
ermm.exe.
L'installation d'ESET Endpoint Security par défaut contient le fichier ermm.exe situé dans
ESET Mail Security (chemin d'accès par défaut : c:\Program Files\ESET\ESET Mail Security ).
ermm.exe échange des données avec RMM Plugin, qui communique avec RMM Agent,
associé à un serveur RMM Server.
• ermm.exe : utilitaire de ligne de commande développé par ESET qui permet de gérer
les produits Endpoint et les communications avec un RMM Plugin.
• RMM Plugin : application tierce exécutée localement sur le système du terminal
Windows. Le plugin a été conçu pour communiquer avec un RMM Agent spécifique
(Kaseya, par exemple) et ermm.exe.
• RMM Agent : application tierce (de Kaseya, par exemple) exécutée localement sur le
système du terminal Windows. L'Agent communique avec RMM Plugin et RMM Server.
• RMM Server : s'exécute en tant que service sur un serveur tiers. Les systèmes RMM
pris en charge le sont par Kaseya, Labtech, Autotask, Max Focus et Solarwinds N-able.
Pour plus d'informations sur ESET RMM dans ESET Mail Security, consultez notre article de la
base de connaissances .
Modules d'extension ESET Direct Endpoint Management pour les solutions RMM
tierces
RMM Server s'exécute en tant que service sur un serveur tiers. Pour plus d’informations,
reportez-vous aux guides de l'utilisateur en ligne d’ESET Direct Endpoint Management
suivants :
• Module d'extension ESET Direct Endpoint Management pour ConnectWise Automate
• Module d'extension ESET Direct Endpoint Management pour DattoRMM
• Module d'extension ESET Direct Endpoint Management pour Solarwinds N-Central
• Module d'extension ESET Direct Endpoint Management pour NinjaRMM
Licence
ESET Mail Security se connecte au serveur de licences ESET plusieurs fois par heure pour
effectuer des vérifications. Le paramètre Vérification de l'intervalle est défini par défaut
274
sur Automatique. Si vous souhaitez réduire le trafic réseau lié aux vérifications de licence,
définissez l'intervalle de vérification sur Limité. La vérification des licences ne sera alors
effectuée qu'une fois par jour (également après le redémarrage du serveur).
Lorsque l’intervalle de vérification est défini sur Limité, toutes les modifications de licence
apportées à ESET Mail Security via ESET Business Account et ESET MSP Administrator
peuvent prendre jusqu’à une journée pour être prises en compte.
Fournisseur WMI
Windows Management Instrumentation (WMI) est la mise en œuvre Microsoft de WBEM (WebBased Enterprise Management), l'initiative du secteur visant à développer une norme de
technologie pour l'accès aux informations de gestion dans les environnements d'entreprise.
Pour plus d'informations sur WMI, reportez-vous à la page
http://msdn.microsoft.com/en-us/library/windows/desktop/aa384642(v=vs.85).aspx
Fournisseur WMI ESET
Le fournisseur WMI d'ESET a pour objectif de permettre la surveillance à distance des
produits ESET dans un environnement d'entreprise sans exiger de logiciel ou d'outils ESET.
En soumettant le produit de base, l'état et les statistiques par l'intermédiaire de WMI, nous
améliorons considérablement la capacité de surveillance des produits ESET par les
administrateurs d'entreprise. Les administrateurs peuvent profiter des différentes méthodes
d'accès proposées par WMI (ligne de commande, scripts et outils de surveillance d'entreprise
tiers) pour surveiller l'état de leurs produits ESET.
La mise en œuvre actuelle fournit un accès en lecture seule aux informations de base sur les
produits et les fonctionnalités installées, l'état et les statistiques de protection des différents
scanners, ainsi que les fichiers journaux du produit.
Le fournisseur WMI permet d'utiliser les outils et l'infrastructure WMI Windows standard pour
lire l'état du produit et les journaux correspondants.
Données fournies
Toutes les classes WMI liées au produit ESET se trouvent dans l'espace de noms
« root\ESET ». Les classes suivantes, décrites plus en détail ci-dessous, sont actuellement
mises en œuvre :
Général
• ESET_Product
• ESET_Features
• ESET_Statistics
275
Journaux
• ESET_ThreatLog
• ESET_EventLog
• ESET_ODFileScanLogs
• ESET_ODFileScanLogRecords
• ESET_ODServerScanLogs
• ESET_ODServerScanLogRecords
• ESET_HIPSLog
• ESET_URLLog
• ESET_DevCtrlLog
• ESET_GreylistLog
• ESET_MailServeg
• ESET_HyperVScanLogs
• ESET_HyperVScanLogRecords
Classe ESET_Product
Il ne peut y avoir qu'une seule instance de la classe ESET_Product. Pour connaître les
propriétés de cette classe, reportez-vous aux informations générales concernant le produit
ESET installé :
• ID - Identifiant du type de produit, par exemple « emsl »
• Name - Nom du produit, « ESET Mail Security » par exemple
• FullName - Nom complet du produit, « ESET Mail Security pour IBM Domino » par
exemple
• Version - Version du produit, « 6.5.14003.0 » par exemple
• VirusDBVersion - Version de la base des virus, « 14533 (20161201) » par exemple
• VirusDBLastUpdate - Horodatage de la dernière mise à jour de la base des virus. La
chaîne contient l'horodatage au format WMI, par exemple
« 20161201095245.000000+060 »
• LicenseExpiration - Expiration de la licence. La chaîne contient l'horodatage au
format WMI
• KernelRunning - Valeur booléenne indiquant si le service ekrn est en cours
d'exécution sur la machine, par exemple « TRUE »
• StatusCode - Nombre indiquant l'état de protection du produit : 0 - Vert (OK), 1 Jaune (avertissement), 2 - Rouge (erreur)
• StatusText - Message indiquant la raison d'un code d'état différent de zéro ; dans les
autres cas, la valeur est Null
Classe ESET_Features
La classe ESET_Features comporte plusieurs instances en fonction du nombre de
fonctionnalités du produit. Chaque instance contient :
• Name - Nom de la fonctionnalité (les noms sont répertoriés ci-dessous)
• Status - État de la fonctionnalité : 0 - Inactif, 1 - Désactivé, 2 - Activé
276
La liste des chaînes représente les fonctionnalités du produit actuellement reconnues :
• CLIENT_FILE_AV - Protection antivirus en temps réel du système de fichiers
• CLIENT_WEB_AV - Protection antivirus Web du client
• CLIENT_DOC_AV - Protection antivirus des documents du client
• CLIENT_NET_FW - Pare-feu personnel du client
• CLIENT_EMAIL_AV - Protection antivirus de la messagerie du client
• CLIENT_EMAIL_AS - Protection antispam de la messagerie du client
• SERVER_FILE_AV - Protection antivirus en temps réel des fichiers stockés sur le
serveur de fichiers protégé, par exemple les fichiers d'une base de données de
contenus SharePoint dans le cas d'ESET Mail Security
• SERVER_EMAIL_AV - Protection antivirus de la messagerie du serveur protégé, par
exemple courriers dans MS Exchange ou dans IBM Domino
• SERVER_EMAIL_AS - Protection antispam de la messagerie du serveur protégé, par
exemple couriers dans MS Exchange ou dans IBM Domino
• SERVER_GATEWAY_AV - Protection antivirus des protocoles réseau protégés sur la
passerelle
• SERVER_GATEWAY_AS - Protection antispam des protocoles réseau protégés sur la
passerelle
Classe ESET_Statistics
La classe ESET_Statistics comporte plusieurs instances en fonction du nombre de scanners du
produit. Chaque instance contient :
• Scanner - Code chaîne du scanner, par exemple « CLIENT_FILE »
• Total - Nombre total de fichiers analysés
• Infected - Nombre de fichiers infectés détectés
• Cleaned - Nombre de fichiers nettoyés
• Timestamp - Horodatage de la dernière modification des statistiques. Format WMI,
par exemple « 20130118115511.000000+060 »
• ResetTime - Horodatage de la dernière réinitialisation des compteurs statistiques.
Format WMI, par exemple « 20130118115511.000000+060 »
La liste des chaînes représente les scanners actuellement reconnus :
• CLIENT_FILE
• CLIENT_EMAIL
• CLIENT_WEB
• SERVER_FILE
• SERVER_EMAIL
• SERVER_WEB
Classe ESET_ThreatLog
La classe ESET_ThreatLog comporte plusieurs instances, chacune d'entre elles représentant
une entrée du journal Menaces détectées. Chaque instance contient :
277
• ID - Identifiant unique de cette entrée de journal d'analyse
• Timestamp - Horodatage de création du journal (au format WMI).
• LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris
entre 0 et 8. Les valeurs correspondent aux niveaux nommés suivants : Debug, InfoFootnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical,
SecurityWarning-Critical
• Scanner - Nom du scanner qui a créé cet événement de journal.
• ObjectType - Type de l'objet qui a produit cet événement de journal.
• ObjectName - Nom de l'objet qui a produit cet événement de journal.
• Threat - Nom de la menace qui a été détectée dans l'objet décrit par les propriétés
ObjectName et ObjectType
• Action - Action exécutée après l'identification de la menace
• User - Compte utilisateur qui a provoqué la génération de cet événement de journal
• Information - Description complémentaire de l'événement
• Hash - Hachage de l'objet qui a produit cet événement de journal.
ESET_EventLog
La classe ESET_EventLog comporte plusieurs instances, chacune d'entre elles représentant
une entrée du journal Événements. Chaque instance contient :
• ID - Identifiant unique de cette entrée de journal d'analyse
• Timestamp - Horodatage de création du journal (au format WMI).
• LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris
entre 0 et 8. Les valeurs correspondent aux niveaux nommés suivants : Debug, InfoFootnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical,
SecurityWarning-Critical
• Module - Nom du module qui a créé cet événement de journal.
• Event - Description de l'événement.
• User - Compte utilisateur qui a provoqué la génération de cet événement de journal
ESET_ODFileScanLogs
La classe ESET_ODFileScanLogs comporte plusieurs instances, chacune d'entre elles
représentant une entrée d'analyse de fichier à la demande. Elle équivaut à la liste de
journaux Analyse de l'ordinateur à la demande de l'interface utilisateur graphique. Chaque
instance contient :
• ID - Identifiant unique de cette entrée de journal d'analyse
• Timestamp - Horodatage de création du journal (au format WMI).
• Targets - Dossiers/Objets cibles de l'analyse
• TotalScanned - Nombre total d'objets analysés
• Infected - Nombre d'objets infectés détectés
• Cleaned - Nombre d'objets nettoyés
• Status - État de l'analyse
ESET_ODFileScanLogRecords
278
La classe ESET_ODFileScanLogRecords comporte plusieurs instances, chacune d'entre elles
représentant une entrée de l'un des journaux d'analyse représentés par les instances de la
classe ESET_ODFileScanLogs. Les instances de cette classe fournissent les entrées de journal
de toutes les analyses à la demande/tous les journaux. Lorsqu'une seule instance de journal
d'analyse est requise, les instances doivent être filtrées par la propriété LogID. Chaque
instance de classe contient :
• LogID - Identifiant du journal d'analyse auquel appartient cette entrée (identifiant de
l'une des instances de la classe ESET_ODFileScanLogs)
• ID - Identifiant unique de cette entrée de journal d'analyse
• Timestamp - Horodatage de création du journal (au format WMI).
• LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris
entre 0 et 8. Les valeurs correspondent aux niveaux nommés suivants : Debug, InfoFootnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical,
SecurityWarning-Critical
• Log - Message proprement dit du journal
ESET_ODServerScanLogs
La classe ESET_ODServerScanLogs comporte plusieurs instances, chacune d'entre elles
représentant une exécution de l'analyse de serveur à la demande. Chaque instance contient :
• ID - Identifiant unique de cette entrée de journal d'analyse
• Timestamp - Horodatage de création du journal (au format WMI).
• Targets - Dossiers/Objets cibles de l'analyse
• TotalScanned - Nombre total d'objets analysés
• Infected - Nombre d'objets infectés détectés
• Cleaned - Nombre d'objets nettoyés
• RuleHits - Nombre total d'applications des règles
• Status - État de l'analyse
ESET_ODServerScanLogRecords
La classe ESET_ODServerScanLogRecords comporte plusieurs instances, chacune d'entre
elles représentant une entrée de l'un des journaux d'analyse représentés par les instances de
la classe ESET_ODServerScanLogs. Les instances de cette classe fournissent les entrées de
journal de toutes les analyses à la demande/tous les journaux. Lorsqu'une seule instance de
journal d'analyse est requise, les instances doivent être filtrées par la propriété LogID.
Chaque instance de classe contient :
• LogID - Identifiant du journal d'analyse auquel appartient cette entrée (identifiant de
l'une des instances de la classe ESET_ ODServerScanLogs)
• ID - Identifiant unique de cette entrée de journal d'analyse
• Timestamp - Horodatage de création de l'entrée de journal (au format WMI)
• LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris
entre 0 et 8. Les valeurs correspondent aux niveaux nommés suivants : Debug, InfoFootnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical,
SecurityWarning-Critical
279
• Log - Message proprement dit du journal
ESET_SmtpProtectionLog
La classe ESET_SmtpProtectionLog comporte plusieurs instances, chacune d'entre elles
représentant une entrée du journal Protection SMTP. Chaque instance contient :
• ID - Identifiant unique de cette entrée de journal d'analyse
• Timestamp - Horodatage de création de l'entrée de journal (au format WMI)
• LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris
entre 0 et 8. Les valeurs correspondent aux niveaux nommés suivants : Debug, InfoFootnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical,
SecurityWarning-Critical
• HELODomain - Nom du domaine HELO
• IP - Adresse IP de la source
• Sender - Expéditeur du courrier électronique
• Recipient - Destinataire du courrier électronique
• ProtectionType - Type de protection utilisé
• Action - Action effectuée
• Reason - Motif de l'action
• TimeToAccept - Nombre de minutes après lesquelles le courrier électronique est
accepté
ESET_HIPSLog
La classe ESET_HIPSLog comporte plusieurs instances, chacune d'entre elles représentant
une entrée du journal HIPS. Chaque instance contient :
• ID - Identifiant unique de cette entrée de journal
• Timestamp - Horodatage de création de l'entrée de journal (au format WMI)
• LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris
entre 0 et 8. Les valeurs correspondent aux niveaux nommés suivants : Debug, InfoFootnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical,
SecurityWarning-Critical
• Application - Application source
• Target - Type d'opération
• Action - Action entreprise par HIPS (autoriser, refuser, etc.)
• Rule - Nom de la règle responsable de l'action
• AdditionalInfo
ESET_URLLog
La classe ESET_URLLog comporte plusieurs instances, chacune d'entre elles représentant une
entrée du journal Sites Web filtrés. Chaque instance contient :
• ID - Identifiant unique de cette entrée de journal
• Timestamp - Horodatage de création de l'entrée de journal (au format WMI)
• LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris
280
entre 0 et 8. Les valeurs correspondent aux niveaux nommés suivants : Debug, InfoFootnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical,
SecurityWarning-Critical
• URL - URL
• Status - Ce qui est arrivé à l'URL, par exemple « Bloqué par le filtrage web »
• Application - Application ayant essayé d'accéder à l'URL
• User - Compte utilisateur sous lequel l'application était exécutée
ESET_DevCtrlLog
La classe ESET_DevCtrlLog comporte plusieurs instances, chacune d'entre elles représentant
une entrée du journal Contrôle de périphérique. Chaque instance contient :
• ID - Identifiant unique de cette entrée de journal
• Timestamp - Horodatage de création de l'entrée de journal (au format WMI)
• LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris
entre 0 et 8. Les valeurs correspondent aux niveaux nommés suivants : Debug, InfoFootnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical,
SecurityWarning-Critical
• Device - Nom de l'appareil
• User - Nom du compte utilisateur
• UserSID - SID du compte utilisateur
• Group - Nom du groupe d'utilisateurs
• GroupSID - SID du groupe d'utilisateurs
• Status - Ce qui est arrivé à l'appareil, par exemple « Écriture bloquée »
• DeviceDetails - Informations supplémentaires sur l'appareil
• EventDetails - Informations supplémentaires sur l'événement
ESET_MailServerLog
La classe ESET_MailServerLog comporte plusieurs instances, chacune d'entre elles
représentant une entrée du journal Serveur de messagerie. Chaque instance contient :
• ID - Identifiant unique de cette entrée de journal
• Timestamp - Horodatage de création de l'entrée de journal (au format WMI)
• LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris
entre 0 et 8. Les valeurs correspondent aux niveaux nommés suivants : Debug, InfoFootnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical,
SecurityWarning-Critical
• IPAddr - Adresse IP de la source
• HELODomain - Nom du domaine HELO
• Sender - Expéditeur du courrier électronique
• Recipient - Destinataire du courrier électronique
• Subject - Objet de l'e-mail
• ProtectionType - Type de protection effectué par l'action décrite par l'entrée de
journal actuel, à savoir contre les logiciels malveillant, antispam ou règles.
• Action - Action effectuée
• Reason - Raison pour laquelle l'action a été effectuée sur l'objet par le type de
281
protection donné.
ESET_HyperVScanLogs
La classe ESET_HyperVScanLogs comporte plusieurs instances, chacune d'entre elles
représentant une exécution de l'analyse de fichier Hyper-V. Elle équivaut à la liste de
journaux Analyse Hyper-V de l'interface utilisateur graphique. Chaque instance contient :
• ID - Identifiant unique de cette entrée de journal
• Timestamp - Horodatage de création de l'entrée de journal (au format WMI)
• Targets - Machines/disques/volumes cibles de l'analyse
• TotalScanned - Nombre total d'objets analysés
• Infected - Nombre d'objets infectés détectés
• Cleaned - Nombre d'objets nettoyés
• Status - État de l'analyse
ESET_HyperVScanLogRecords
La classe ESET_HyperVScanLogRecords comporte plusieurs instances, chacune d'entre elles
représentant une entrée de l'un des journaux d'analyse représentés par les instances de la
classe ESET_HyperVScanLogs. Les instances de cette classe fournissent les entrées de
journal de toutes les analyses/tous les journaux Hyper-V. Lorsqu'une seule instance de
journal d'analyse est requise, les instances doivent être filtrées par la propriété LogID.
Chaque instance de classe contient :
• LogID - Identifiant du journal d'analyse auquel appartient cette entrée (identifiant de
l'une des instances de la classe ESET_HyperVScanLogs)
• ID - Identifiant unique de cette entrée de journal
• Timestamp - Horodatage de création de l'entrée de journal (au format WMI)
• LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris
entre 0 et 8. Les valeurs correspondent aux niveaux nommés suivants : Debug, InfoFootnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical,
SecurityWarning-Critical
• Log - Message proprement dit du journal
ESET_NetworkProtectionLog
La classe ESET_NetworkProtectionLog comporte plusieurs instances, chacune d'entre elles
représentant une entrée du journal Protection du réseau. Chaque instance contient :
• ID - Identifiant unique de cette entrée de journal
• Timestamp - Horodatage de création de l'entrée de journal (au format WMI)
• LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris
entre 0 et 8. Les valeurs correspondent aux niveaux nommés suivants : Debug, InfoFootnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical,
SecurityWarning-Critical
• Event - Événement déclenchant une action de protection du réseau
• Action - Action effectuée par la protection du réseau
282
• Source - Adresse source du périphérique réseau
• Target - Adresse cible du périphérique réseau
• Protocol - Protocole de communication réseau
• RuleOrWormName - Nom du ver ou de la règle associé à l'événement
• Application - Application ayant initié la communication réseau
• User - Compte utilisateur qui a provoqué la génération de cet événement de journal
ESET_SentFilesLog
La classe ESET_SentFilesLog comporte plusieurs instances, chacune d'entre elles
représentant une entrée du journal Fichiers envoyés. Chaque instance contient :
• ID - Identifiant unique de cette entrée de journal
• Timestamp - Horodatage de création de l'entrée de journal (au format WMI)
• LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris
entre 0 et 8. Les valeurs correspondent aux niveaux nommés suivants : Debug, InfoFootnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical,
SecurityWarning-Critical
• Sha1 - Hachage Sha-1 du fichier envoyé
• File - Fichier envoyé
• Size - Taille du fichier envoyé
• Category - Catégorie du fichier envoyé
• Reason - Motif de l'envoi du fichier
• SentTo - Service ESET auquel le fichier a été envoyé
• User - Compte utilisateur qui a provoqué la génération de cet événement de journal
ESET_OneDriveScanLogs
La classe ESET_OneDriveScanLogs comporte plusieurs instances, chacune d'entre elles
représentant une exécution du scan de OneDrive. Elle équivaut à la liste de journaux Scan de
OneDrive de l'interface utilisateur graphique. Chaque instance contient :
• ID - Identifiant unique de ce journal OneDrive
• Timestamp - Horodatage de création du journal (au format WMI).
• Targets - Dossiers/Objets cibles de l'analyse
• TotalScanned - Nombre total d'objets analysés
• Infected - Nombre d'objets infectés détectés
• Cleaned - Nombre d'objets nettoyés
• Status - État de l'analyse
ESET_OneDriveScanLogRecords
La classe ESET_OneDriveScanLogRecords comporte plusieurs instances, chacune d'entre
elles représentant une entrée de l'un des journaux d'analyse représentés par les instances de
la classe ESET_OneDriveScanLogs. Les instances de cette classe fournissent les entrées de
journal de tous les scans/journaux OneDrive. Lorsqu'une seule instance de journal d'analyse
est requise, les instances doivent être filtrées par la propriété LogID. Chaque instance
contient :
283
• LogID - Identifiant du journal d'analyse auquel appartient cette entrée (identifiant de
l'une des instances de la classe ESET_OneDriveScanLogs)
• ID - Identifiant unique de ce journal OneDrive
• Timestamp - Horodatage de création du journal (au format WMI).
• LogLevel - Gravité de l'entrée de journal, exprimée sous la forme d'un chiffre compris
entre 0 et 8. Les valeurs correspondent aux niveaux nommés suivants : Debug, InfoFootnote, Info, Info-Important, Warning, Error, SecurityWarning, Error-Critical,
SecurityWarning-Critical
• Log - Message proprement dit du journal
Accès aux données fournies
Voici quelques exemples indiquant comment accéder aux données WMI ESET depuis la ligne
de commande Windows et PowerShell. Ces méthodes devraient fonctionner sur n'importe
quel système d'exploitation Windows actuel. Il existe néanmoins de nombreuses autres
manières d'accéder aux données depuis d'autres outils et langages de script.
Ligne de commande sans script
L'outil de ligne de commande wmic peut être utilisé pour accéder à différentes classes VMI
prédéfinies ou personnalisées.
Pour afficher les informations complètes sur le produit sur la machine locale :
wmic /namespace:\\root\ESET Path ESET_Product
Pour afficher uniquement la version du produit sur la machine locale :
wmic /namespace:\\root\ESET Path ESET_Product Get Version
Pour afficher les informations complètes sur le produit sur une machine distante dont
l'adresse IP est IP 10.1.118.180 :
wmic /namespace:\\root\ESET /node:10.1.118.180 /user:Administrator Path ESET_Product
PowerShell
Pour obtenir et afficher les informations complètes sur le produit sur la machine locale :
Get-WmiObject ESET_Product -namespace 'root\ESET'
284
Pour obtenir et afficher les informations complètes sur le produit sur une machine distante
dont l'adresse IP est IP 10.1.118.180 :
$cred = Get-Credential # invite l'utilisateur à fournir des informations
d'identification et les stocke dans la variable
Get-WmiObject ESET_Product -namespace 'root\ESET' -computername '10.1.118.180' -cred
$cred
ESET PROTECT cibles à analyser
Cette fonctionnalité permet à ESET PROTECT d'utiliser des cibles à analyser (analyse de base
de données de boîtes aux lettres à la demande et analyse Hyper-V) lors de l'exécution de la
tâche client Analyse du serveur sur un serveur à l'aide de ESET Mail Security. La
configuration des cibles d'analyse ESET PROTECT n'est disponible que si ESET Management
Agent est installé.
Lorsque vous activez Générer la liste des cibles, ESET Mail Security crée une liste de
cibles à analyser disponibles. Cette liste est régulièrement générée, en fonction de la
Période de mise à jour.
REMARQUE
Lorsque vous utilisez l'option Générer la liste des cibles pour la première fois, ESET
PROTECT a besoin d'environ la moitié de la période de mise à jour spécifiée pour
obtenir la liste. Par exemple, si la période de mise à jour est définie sur 60 minutes,
ESET PROTECT aura besoin d'environ 30 minutes pour recevoir la liste des cibles à
analyser. Si ESET PROTECT doit obtenir la liste plus rapidement, définissez la période de
mise à jour sur une valeur inférieure. Vous pourrez toujours l'augmenter ultérieurement.
Lorsque ESET PROTECT exécute une tâche client Analyse du serveur, il va collecter la liste
et vous demander de sélectionner des cibles à analyser pour l'analyse Hyper-V sur ce serveur
spécifique.
Mode de remplacement
Si une stratégie ESET PROTECT est appliquée à ESET Mail Security, une icône représentant un
verrou
s'affiche à la place du commutateur Activer/désactiver sur la page de
configuration et d'une icône représentant un verrou en regard du commutateur dans la
fenêtre Configuration avancée.
285
Normalement, les paramètres configurés via la stratégie ESET PROTECT ne peuvent pas être
modifiés. Le mode de remplacement permet de déverrouiller temporairement ces
paramètres. Vous devez toutefois activer le mode de remplacement à l'aide d'une
stratégie ESET PROTECT.
Connectez-vous à la console Web ESET PROTECT Web Console , accédez à Politiques,
sélectionnez la politique appliquée à ESET Mail Security et modifiez-la ou créez-en une autre.
Dans Paramètres, cliquez sur Mode de remplacement, activez ce mode et configurez les
paramètres restants, notamment le type d'authentification (Utilisateur Active Directory ou
Mot de passe).
286
Une fois que la stratégie est modifiée ou qu'une nouvelle stratégie est appliquée à ESET Mail
Security, le bouton Remplacer la stratégie apparaît dans la fenêtre Configuration avancée.
Cliquez sur le bouton Remplacer la stratégie, définissez la durée et cliquez sur Appliquer.
287
Si vous sélectionnez Mot de passe comme type d'authentification, saisissez le mot de passe
de remplacement de la stratégie.
288
Une fois que mode de remplacement est arrivé à expiration, toute modification de
configuration effectuée est remplacée par les paramètres de la stratégie ESET PROTECT
d'origine. Une notification s'affiche avant l'expiration du mode de remplacement.
Vous pouvez arrêter le mode de remplacement à tout moment avant son expiration dans
la page Supervision ou dans la fenêtre Configuration avancée.
Fichiers journaux
Cette section permet de modifier la configuration de la journalisation ESET Mail Security.
Entrées du journal
Les entrées sont écrites dans le journal des événements (C:\ProgramData\ESET\ESET
Security\Logs) et peuvent être affichées dans la visionneuse des fichiers journaux. Utilisez
les commutateurs pour activer ou désactiver une fonctionnalité spécifique :
Consigner les erreurs de transport des messages
Si cette option est activée et si un problème se produit sur la couche de transport des
messages, les messages d'erreur sont écrits dans le journal des événements.
Consigner les exceptions de transport des messages
Si une exception est levée sur la couche de transport des messages, les détails de celle-ci
sont écrits dans le journal des événements.
Filtre de journalisation
289
Produit une quantité importante de données, car toutes les options de journalisation sont
activées par défaut. Il est recommandé de désactiver de manière sélective les composants
qui ne sont pas utiles ou liés au problème.
REMARQUE
Pour démarrer la journalisation, vous devez activer la journalisation des données de
diagnostic générale au niveau du produit dans le menu principal Configuration >
Outils. Une fois la journalisation activée, ESET Mail Security collecte des journaux
détaillés selon les fonctionnalités de cette section qui sont activées.
Utilisez les commutateurs pour activer ou désactiver une fonctionnalité spécifique. Ces
options peuvent aussi être combinées selon la disponibilité de chaque composant dans ESET
Mail Security.
• Journalisation des données de diagnostic du transport des messages
IMPORTANT
Si l'analyse de base de données s'exécute normalement pendant la résolution des
problèmes, il est recommandé de désactiver l'option Journalisation des données de
diagnostic du transport des messages. Sinon, le journal obtenu peut comprendre un
trop grand nombre d'entrées, ce qui peut le rendre difficile à analyser.
• Journalisation des données de diagnostic des analyses de base de données à la
demande : écrit des informations détaillées dans les journaux, notamment lorsqu'un
dépannage est nécessaire.
• Journalisation des données de diagnostic du cluster - La journalisation des clusters
est incluse dans la journalisation des données générales de diagnostic.
• Journalisation des données de diagnostic du moteur antispam : lorsque vous devez
résoudre des problèmes, vous trouverez des informations détaillées sur le moteur antispam
dans les journaux. Écrit des informations détaillées sur le moteur antispam dans le fichier
journal à des fins de diagnostic. Le moteur antispam n'utilise pas le journal des
événements (fichier warnlog.dat) et ne peut donc pas être affiché dans la visionneuse des
fichiers journaux. Il écrit des entrées directement dans un fichier dédié
(C:\ProgramData\ESET\ESET Mail Security\Logs\antispam.0.log, par exemple) afin que les
données de diagnostic du moteur antispam soient conservées à un seul emplacement. Ainsi,
les performances de ESET Mail Security ne sont diminuées en cas de trafic important de
Fichiers journaux
messages.
290
Permettent de définir le mode de gestion des journaux. Cette option est importante,
principalement pour éviter toute utilisation excessive du disque. Les paramètres par défaut
permettent la suppression automatique des anciens journaux pour économiser de l'espace
disque.
Supprimer automatiquement les entrées plus anciennes que (jours)
Les entrées des journaux plus anciennes que le nombre de jours spécifié sont supprimées.
Supprimer automatiquement les anciennes entrées si la taille du journal est
dépassée
Lorsque la taille du journal dépasse Taille maximale du journal [Mo], les anciennes entrées
sont supprimées jusqu'à ce que la taille Taille réduite du journal [Mo] soit atteinte.
Sauvegarder automatiquement les entrées effacées
Les entrées de journal et les fichiers effacés automatiquement sont sauvegardés dans le
répertoire spécifié et, éventuellement, compressés au format ZIP.
Sauvegarder les journaux de diagnostic
Les journaux de diagnostic supprimés sont sauvegardés automatiquement. Si cette option n'est
pas activée, les entrées de journal de diagnostic ne sont pas sauvegardées.
Dossier de sauvegarde
Dossier dans lequel les sauvegardes du journal sont stockées. Vous pouvez activer les
sauvegardes de journal compressées à l'aide de l'outil ZIP.
Optimiser automatiquement les fichiers journaux
Lorsque cette option est activée, les fichiers journaux sont automatiquement défragmentés si
le pourcentage de fragmentation est supérieur à la valeur spécifiée dans le champs Si le
nombre d'entrées inutilisées dépasse (%). Cliquez sur Optimiser pour démarrer la
défragmentation des fichiers journaux. Toutes les entrées vides des journaux sont supprimées
pour améliorer les performances et accélérer le traitement des journaux. Cette amélioration se
constate notamment si les journaux comportent un grand nombre d'entrées.
Activer le protocole texte
Permet le stockage des journaux dans un autre format de fichier séparé des fichiers journaux :
• Répertoire cible - Répertoire dans lequel les fichiers journaux sont stockés (s'applique
uniquement aux formats Texte/CSV). Chaque section de journal dispose de son propre fichier
avec un nom de fichier prédéfini (par exemple virlog.txt pour la section Menaces détectées des
fichiers journaux si vous utilisez le format de fichier texte brut pour stocker les journaux).
• Type - Si vous sélectionnez le format de fichier Texte, les journaux sont stockés dans un
fichier texte dans lequel les données sont séparées par des tabulations. Le même processus
s'applique au format de fichier CSV (fichier séparé par des virgules). Si vous choisissez
Événement, les journaux sont stockés dans le journal des événements Windows (qui peut être
affiché dans Observateur d'événements accessible à partir du Panneau de configuration) au
lieu d'un fichier.
• Supprimer tous les fichiers journaux : efface tous les fichiers journaux sélectionnés dans
le menu déroulant Type.
REMARQUE
Pour résoudre les problèmes plus rapidement, l'assistance technique ESET peut vous
demander de fournir les journaux de votre ordinateur. ESET Log Collector facilite la
collecte des informations nécessaires. Pour plus d'informations sur ESET Log Collector,
consultez l'article de la base de connaissances .
Journal d’audit
Suivre les modifications de configuration ou de protection. Étant donné que la modification de
la configuration du produit peut avoir une incidence considérable sur le fonctionnement de
celui-ci, vous pouvez suivre les modifications à des fins d'audit. Vous pourrez consulter les
entrées des modifications dans la section Fichiers journaux > Journal d'audit.
291
Exportation des journaux
Exporter vers les journaux de l'application et des services Windows
Permet de dupliquer les entrées du Journal de la protection du serveur de messagerie dans
les journaux des applications et des services. Pour consulter le journal de la protection du
serveur de messagerie, ouvrez l'Observateur d'événements Windows, puis accédez à
Journaux des applications et des services > ESET > Sécurité > ExchangeServer >
MailProtection. Les journaux des applications et des services sont pris en charge sous
Microsoft Windows Server 2008 R2 SP1 ou version ultérieure.
Exporter vers le serveur syslog
Il est possible de dupliquer les journaux de la protection du serveur de messagerie sur le
serveur syslog au format CEF (Common Event Format). Le format CEF est un format texte
normalisé extensible qui peut être utilisé pour faciliter la collecte et l'agrégation de données
en vue d'une analyse ultérieure par un système de gestion d'entreprise. Dans ce cas, vous
pouvez l'utiliser avec les solutions SIEM (Security Information and Event Management) et de
gestion des journaux telles que Micro Focus ArcSight. Pour plus d'informations sur les
champs d'événement exportés et leur description, voir Mappage des événements Syslog.
Adresse du serveur
Saisissez l'adresse IP ou le nom d'hôte du serveur. Dans le cas d'ArcSight, spécifiez le
serveur sur lequel SmartConnector est installé.
Protocole
Sélectionnez le protocole à utiliser : TCP ou UDP.
Port
La valeur par défaut est 514 pour les deux protocoles.
Exporter vers un fichier
Permet l'exportation locale des journaux dans un fichier au format CEF. La capacité de
stockage de la journalisation étant limitée, une journalisation circulaire est utilisée. Les
entrées sont écrites séquentiellement dans les fichiers (de mailserver.0.log à
mailserver.9.log). Les dernières entrées sont stockées dans mailserver.0.log. Une fois sa
taille limite atteint, le fichier le plus ancien mailserver.9.log est supprimé et les autres
fichiers journaux sont renommés en séquence (mailserver.0.log est renommé en
mailserver.1.log, etc.).
Chemin d'accès au fichier
Le chemin d'accès par défaut est C:\ProgramData\ESET\ESET Security\Logs. Vous pouvez
modifier l'emplacement si nécessaire.
Mappage des événements Syslog
The following tables show ESET Mail Security event mapping to ArcSight data fields. You can
use these tables as a reference of what is being fed to ArcSight via SmartConnector.
Header
Device Vendor
"ESET"
Device Product
"EMSX"
Device Version
e.g. "7.1.10005.0"
292
"EMSX" or "ESET Mail Security for MS
Exchange Server"
Header
Device Event Class
ID
Event Name
e.g. "101"
Device Event Category unique identifier:
100-199 malware
200-299 phish
300-399 spam
400-499 policy
e.g. "MailScanResult:
malware"
A brief description of what happened in
the event:
MailScanResult: malware
MailScanResult: phishing link
MailScanResult: spam
MailScanResult: policy
CEF Key Name
CEF Key Full Name (Size) Field Description Detailed Field
Description
rt
deviceReceiptTime
Time event was
generated
The time at which
the event was
generated, in
milliseconds since
Jan 1st 1970
src
sourceAddress
Sender's IP
IP address of the
sending mail server
shost
sourceHostName (1023)
Sender's HELO
domain
HELO domain of the
sending mail server
flexString1
flexString1
Message-ID
Message-ID header
from the email
dhost
destinationHostName
(1023)
Receiving server
Hostname of the
machine that
received the
communication
msg
message (1023)
Message subject
Subject of the
message, from the
RFC5233 header
"Subject:"
suser
sourceUserName (1023)
SMTP sender
SMTP sender of the
email (MAIL FROM)
duser
destinationUserName
(1023)
SMTP recipient(s)
SMTP recipient(s) of
the email (RCPT TO)
act
deviceAction (63)
Action taken
Action taken
(cleaned,
quarantined, etc.)
cat
deviceEventCategory (1023) Detection category Most significant
detection (malware
>> phish >> spam
>> SPF/DKIM >>
policy)
293
CEF Key Name
CEF Key Full Name (Size) Field Description Detailed Field
Description
sourceServiceName sourceServiceName
Type of protection
"SMTP Transport
agent", "On-demand
database scan", etc.
deviceExternalId
deviceExternalId
Engine version
Anti-Malware engine
version, antispam
engine version, e.g.
"18620,7730"
cs1
deviceCustomString1
Anti-Malware result Result of AntiMalware scan,
including threat
name
cs1Label
deviceCustomString1Label
"Anti-Malware
result"
cs2
deviceCustomString2
Antispam result
cs2Label
deviceCustomString2Label
"Antispam result"
cs3
deviceCustomString3
Anti-Phishing result Result of AntiPhishing scan,
including detected
URL
cs3Label
deviceCustomString3Label
"Anti-Phishing
result"
cs4
deviceCustomString4
SPF/DKIM/DMARC
result
cs4Label
deviceCustomString4Label
"SPF/DKIM/DMARC
result"
cs5
deviceCustomString5
"From:" sender
cs5Label
deviceCustomString5Label
"From header"
cs6
deviceCustomString6
"To:" and "Cc:"
recipients
Result of Antispam
scan, including
reason for marking
as spam
Result of
SPF/DKIM/DMARC
check, in RFC7601
format
Sender address from
RFC5322 header
"From:"
Recipients addresses
from RFC5322
headers "To:" and
"Cc:"
cs6Label
deviceCustomString6Label
"To and Cc
headers"
fname
filename (1023)
Attachment name
Name of the first
detected attachment
fileHash
fileHash (255)
Attachment hash
Hash of the first
detected attachment
294
CEF Key Name
CEF Key Full Name (Size) Field Description Detailed Field
Description
fsize
fileSize
Attachment size
Size of the first
detected attachment
reason
reason (1023)
Rule/policy
activated
Name of the policy
triggered by the
email or it's content
File details
Information about all
detected
attachments, their
names, hashes and
sizes
ESETEMSXFileDetails ESETEMSXFileDetails
Optional
CEF Key CEF Key Full Name Field
Name
(Size)
Description
Detailed Field Description
end
endTime
Time event has
ended
The time at which the activity ended, in
milliseconds since Jan 1st 1970. Useful
only if sand boxing technology is used,
i.e. ESET Dynamic Threat Defense.
dtz
deviceTimeZone
(255)
Timezone of the
server
request
requestURL
Detected URL
Malign or blacklisted URL extracted
from mail body or mail headers.
Note: ESET Mail Security does not
provide single URL in logs due to the
fact that multiple URL's can be
detected in email messages by various
detection components.
Serveur proxy
Dans les grands réseaux locaux, la connexion de votre ordinateur à Internet peut s'effectuer
par l'intermédiaire d'un serveur proxy. Si c'est le cas, les paramètres suivants doivent être
définis. Si vous ne définissez pas les paramètres, le programme ne pourra pas se mettre à
jour automatiquement. Dans ESET Mail Security, il est possible de configurer le serveur proxy
à partir de deux sections dans la fenêtre Configuration avancée (F5).
1.Configuration avancée (F5) > Mise à jour > Profils > Mises à jour > Options
de connexion > Proxy HTTP
Ce paramètre s'applique au profil de mise à jour donné et est recommandé pour les
ordinateurs portables, car il permet de recevoir les mises à jour des modules depuis
différents emplacements.
2.Configuration avancée (F5) > Outils > Serveur proxy
La spécification du serveur proxy à ce niveau définit les paramètres de serveur proxy
295
globaux pour l'intégralité d'ESET Mail Security. Les paramètres définis ici seront utilisés
par tous les modules qui se connectent à Internet.
Pour spécifier des paramètres de serveur proxy à ce niveau, activez l'option Utiliser un
serveur proxy, puis entrez l'adresse du serveur proxy dans le champ Serveur proxy, ainsi
que le numéro de port de celui-ci.
Le serveur proxy exige une authentification
Si la communication réseau via le serveur proxy exige une authentification, activez cette
option et indiquez le nom d'utilisateur et le mot de passe.
Détecter le serveur proxy
Cliquez sur Détecter pour détecter et renseigner automatiquement les paramètres du
serveur proxy. Les paramètres indiqués dans Internet Explorer sont copiés.
REMARQUE
Cette fonctionnalité ne récupère pas les données d'authentification (nom d'utilisateur et
mot de passe) ; vous devez donc les fournir.
Utiliser une connexion directe si le serveur proxy n'est pas disponible
Si un produit est configuré pour utiliser le proxy HTTP et que ce dernier est injoignable, le
produit ignore le proxy et communique directement avec les serveurs ESET.
Notifications
Les notifications sur le Bureau et les info-bulles sont fournies à titre d'information
uniquement et n'exigent aucune interaction avec l'utilisateur. Elles s'affichent dans la partie
système de la barre d'état, dans l'angle inférieur droit de l'écran. D'autres options détaillées
(la durée d'affichage des notifications et la transparence de la fenêtre) peuvent être
modifiées en dessous. Activez l'option Ne pas afficher les notifications en cas
d'exécution d'applications en mode plein écran pour supprimer toutes les notifications
non interactives.
Afficher la notification de réussite de la mise à jour
Lorsqu'une mise à jour est réussie, une notification contextuelle s'affiche.
Envoyer des notifications d'événement par e-mail
Activez cette option pour activer les notifications par e-mail.
Notifications d'application
Cliquez sur Modifier pour activer ou désactiver l'affichage des notifications d'application.
296
Notifications d'application
Vous pouvez configurer des notifications ESET Mail Security à afficher sur le bureau et/ou à
envoyer par e-mail.
REMARQUE
Pour les notifications par e-mail, veillez à activer l'option Envoyer des notifications
d'événement par e-mail dans la section Général, puis configurez le serveur SMTP et
d'autres paramètres au besoin.
Notifications du Bureau
Vous pouvez configurer la manière dont ESET Mail Security traite les alertes de menace et les
notifications système (messages indiquant une mise à jour réussie, par exemple). Vous
pouvez par exemple configurer la Durée et la Transparence des notifications dans la barre
d'état système (cela ne s'applique qu'aux systèmes prenant en charge ces notifications).
Le menu déroulant Verbosité minimale des événements à afficher permet de
sélectionner le niveau de gravité des alertes et notifications. Les options disponibles sont les
suivantes :
• Diagnostic - Consigne toutes les informations nécessaires au réglage du programme
et de toutes les entrées ci-dessus.
• Entrées informatives - Enregistre tous les messages d'information, y compris les
messages de mises à jour réussies et toutes les entrées ci-dessus.
297
• Avertissements - Enregistre les erreurs critiques et les messages d'avertissement.
• Erreurs - Enregistre les erreurs du type « Erreur de téléchargement du fichier » et les
erreurs critiques.
• Critique - Consigne uniquement les erreurs critiques.
Le champ Sur les systèmes multi-utilisateurs, afficher les notifications sur l'écran
de l'utilisateur suivant indique l'utilisateur qui recevra les notifications système et les
autres notifications lorsque le système autorise la connexion simultanée de plusieurs
utilisateurs. Normalement, il doit s'agir de l'administrateur système ou de l'administrateur
réseau. Cette option est particulièrement utile pour les serveurs Terminal Server, à condition
que toutes les notifications système soient envoyées à l'administrateur.
Notifications par e-mail
ESET Mail Security peut automatiquement envoyer des courriers électroniques de notification
si un événement avec le niveau de verbosité sélectionné se produit. Activez l'option Envoyer
des notifications d'événement par e-mail pour activer les notifications par e-mail.
REMARQUE
Les serveurs SMTP avec chiffrement TLS sont pris en charge par ESET Mail Security.
Serveur SMTP
Nom du serveur SMTP utilisé pour envoyer des alertes et des notifications. Il s'agit
généralement du nom de votre serveur de messagerie.
Nom d'utilisateur et mot de passe
Si le serveur SMTP exige une authentification, ces champs doivent être remplis avec un
nom d'utilisateur et un mot de passe valides donnant accès au serveur SMTP.
Adresse de l’expéditeur
Saisissez l'adresse de l'expéditeur qui apparaît dans l'en-tête des mails de notification. Il
s'agit de l'adresse que le destinataire pourra voir dans le champ De.
Adresse du destinataire
Indiquez l'adresse du destinataire (À) à laquelle les notifications seront envoyées.
Activer TLS
Permet d'activer les messages d'alerte et de notification pris en charge par le chiffrement
TLS.
298
Configurations des e-mails
Verbosité minimale des notifications
Indique le niveau de verbosité minimal des notifications à envoyer.
Intervalle après lequel les nouveaux e-mails de notification seront envoyés (min)
Intervalle en minutes après lequel de nouvelles notifications seront envoyées par e-mail.
Définissez cette valeur sur 0 si vous souhaitez envoyer ces notifications immédiatement.
Envoyer chaque notification dans un e-mail séparé
Lorsque cette option est activée, le destinataire recevra un nouvel e-mail pour chaque
notification spécifique. Cela peut se traduire par la réception d'un nombre important d'emails dans une courte période de temps.
Format des messages
Les communications entre le programme et l'utilisateur ou l'administrateur système distants
se font via la messagerie ou le réseau local (au moyen du service Windows Messenger). Le
format par défaut des messages d'alerte et des notifications est optimal dans la plupart des
situations. Dans certaines situations, le format des messages d'événement doit être changé.
Format des messages d’événement
Format des messages d'événement qui s'affichent sur les ordinateurs distants.
Format des messages d’avertissement de menace
Messages d'alerte et de notification de menace dont le format par défaut est prédéfini. Il
est déconseillé de modifier ce format. Toutefois, dans certaines circonstances (par
exemple, si vous avez un système automatisé de traitement des messages), vous serez
peut-être amené à modifier le format des messages.
Les mots-clés (chaînes entourées de signes %) sont remplacés dans le message par les
informations réelles spécifiées. Les mots-clés suivants sont disponibles :
• %TimeStamp% - Date et heure de l'événement.
• %Scanner% - Module concerné.
• %ComputerName% - Nom de l'ordinateur sur lequel l'alerte s'est produite.
• %ProgramName% - Programme ayant généré l'alerte.
• %InfectedObject% - Nom du fichier, message infecté, etc.
• %VirusName% - Identification de l'infection.
• %ErrorDescription% - Description d'un événement autre qu'un virus.
Les mots-clés %InfectedObject% et %VirusName% ne sont utilisés que dans les messages
299
d'alerte de menace, tandis que le mot-clé %ErrorDescription% n'est utilisé que dans les
messages d'événement.
Jeu de caractères
Vous pouvez choisir le codage dans le menu déroulant. L'e-mail sera converti en fonction
du codage de caractères sélectionné.
Utiliser le codage Quoted-printable
L'e-mail source est codé au format Quoted-printable (QP) qui utilise les caractères ASCII
et peut correctement transmettre les caractères spéciaux par e-mail au format 8 bits
(áéíóú).
Personnalisation
Ce message sera affiché dans le pied de page de toutes les notifications sélectionnées.
Message de notification par défaut
Message par défaut à afficher dans le pied de page des notifications.
Menaces
Ne pas fermer automatiquement les notifications de logiciels malveillants
Les notifications de logiciels malveillants restent affichées à l'écran jusqu'à ce qu'elles
soient fermées manuellement.
Utiliser le message défaut
Vous pouvez désactiver le message par défaut et spécifier le Message de notification
de menace personnalisé qui sera affiché lors du blocage d'une menace.
Message de notification de menace
Entrez un message personnalisé à afficher lorsqu'une menace est bloquée.
Mode de présentation
Le mode de présentation est une fonctionnalité destinée aux utilisateurs qui ne veulent pas
être interrompus lors de l'utilisation de leur logiciel. Ils ne souhaitent pas être dérangés par
des fenêtres contextuelles et veulent réduire les contraintes sur l'UC. Il peut également être
utilisé au cours de présentations qui ne peuvent pas être interrompues par l'activité d'ESET
Mail Security. Lorsqu'il est activé, toutes les fenêtres contextuelles sont désactivées et les
tâches planifiées ne sont pas exécutées. La protection du système continue à fonctionner en
arrière-plan, mais n'exige aucune interaction de la part de l'utilisateur.
300
Activer automatiquement le mode de présentation lors de l’exécution
d’applications en mode plein écran
Le mode de présentation est automatiquement activé lorsque vous exécutez une
application en mode plein écran. Lorsque ce mode est activé, vous n'êtes plus en mesure
d'afficher les notifications ou le changement d'état de ESET Mail Security.
Désactiver automatiquement le mode de présentation après
Permet de définir une durée en minutes après laquelle le mode de présentation est
automatiquement désactivé.
Diagnostics
L'option Diagnostics fournit un fichier d'image mémoire en cas de défaillance d'une
application lors des processus ESET (par exemple ekrn). Dès qu’une application présente une
défaillance, un fichier d’image mémoire est généré. Ce fichier permet aux développeurs de
déboguer et de résoudre différents ESET Mail Security problèmes.
Cliquez sur le menu déroulant en regard de l'option Type de fichier d'image mémoire,
puis sélectionnez l'une des trois options disponibles :
• Désactiver - Permet de désactiver cette fonctionnalité.
• Mini - (Valeur par défaut) Enregistre le plus petit ensemble d'informations utiles qui
peut permettre d'identifier les raisons de l'arrêt inopiné de l'application. Ce type de
fichier d'image mémoire peut être utile lorsque l'espace disponible est limité. Toutefois,
en raison des informations limitées qui figurent dans ce fichier, les erreurs qui n'étaient
pas directement provoquées par la menace (car cette dernière ne s'exécutait pas au
moment du problème) risquent de ne pas être détectées par l'analyse de ce fichier.
• Complet - Enregistre tout le contenu de la mémoire système en cas d'arrêt inopiné de
l'application. Un fichier d'image mémoire complet peut contenir des données provenant
des processus en cours au moment de sa collecte.
Répertoire cible
Répertoire dans lequel est généré le fichier d’image mémoire lors de la défaillance.
Ouvrir le dossier de diagnostics
Cliquez sur " Ouvrir " pour ouvrir ce répertoire dans une nouvelle fenêtre de l'Explorateur
Windows.
Créer un fichier d'image mémoire de diagnostics
Cliquez sur Créer pour créer des fichiers d'image mémoire de diagnostics dans le
répertoire cible.
301
Journalisation avancée
Activer la journalisation avancée du contrôle des appareils
Enregistrez tous les événements qui se produisent dans le contrôle des appareils pour
permettre un diagnostic et la résolution des problèmes.
Activer la journalisation avancée du noyau
Enregistrez tous les événements qui se produisent dans le service de noyau ESET (ekrn) pour
permettre un diagnostic et la résolution des problèmes.
Activer la journalisation avancée des licences
Enregistrez toutes les communications du produit avec le serveur de licences.
Activer la journalisation avancée de la protection du réseau
Enregistrez toutes les données réseau qui passent par la protection du réseau au format
PCAP. Les développeurs peuvent ainsi diagnostiquer et résoudre les problèmes liés à la
protection du réseau.
Activer la journalisation avancée du système d'exploitation
Des informations supplémentaires sur le système d'exploitation telles que les processus en
cours, l'activité de l'UC et les opérations du disque sont recueillies.
Activer la journalisation avancée du filtrage des protocoles
Enregistrez toutes les données qui passent par le moteur de filtrage des protocoles au
format PCAP. Les développeurs peuvent ainsi diagnostiquer et résoudre les problèmes liés
au filtrage des protocoles.
Activer la journalisation avancée du moteur de mise à jour
Enregistrez tous les événements qui se produisent pendant le processus de mise à jour. Les
développeurs peuvent ainsi diagnostiquer et résoudre les problèmes liés au moteur de mise
à jour.
Assistance technique
Envoyer les données de configuration système
Sélectionnez Toujours soumettre pour que le système ne vous demande pas si vous
souhaitez soumettre les données de configuration d'ESET Mail Security au service client.
Utilisez sinon Demander avant soumission.
Cluster
L'option Activer le cluster est activée automatiquement lorsqu'ESET Cluster est configuré.
Vous pouvez la désactiver manuellement dans la fenêtre Configuration avancée (F5) en
cliquant sur l'icône de commutateur (lorsque vous devez modifier la configuration sans
affecter les autres nœuds d'ESET Cluster, par exemple). Ce commutateur active ou désactive
uniquement la fonctionnalité ESET Cluster. Pour configurer ou détruire le cluster, utilisez
l'Assistant Cluster ou la commande Détruire le cluster située dans la section Outils >
Cluster de la fenêtre principale du programme.
Fonctionnalité ESET Cluster non configurée et désactivée :
302
Fonctionnalité ESET Cluster correctement configurée avec ses informations et options :
303
Interface utilisateur
Configurez le comportement de l'interface utilisateur graphique (GUI) de ESET Mail Security.
Vous pouvez ajuster l'apparence du programme et l'utilisation des effets.
Éléments de l'interface utilisateur
Utilisez le menu déroulant Mode de démarrage de l'interface utilisateur graphique pour
sélectionner un mode de démarrage de l'interface utilisateur graphique (GUI) parmi les
suivants :
• Complet - L'intégralité de l'interface utilisateur graphique est affichée.
• Terminal - Aucune notification ni alerte n'est affichée. L'interface utilisateur graphique
peut être uniquement démarrée par l'administrateur. L'interface utilisateur doit être définie
sur le mode Terminal si les éléments graphiques ralentissent les performances de votre
ordinateur ou entraînent d'autres problèmes. Vous souhaiterez peut-être également
désactiver l'interface utilisateur graphique sur un serveur Terminal Server. Pour plus
d'informations sur l'installation de ESET Mail Security sur un serveur Terminal Server,
reportez-vous à la rubriqueDésactiver l'interface utilisateur graphique sur un serveur
Terminal Server.
Afficher l’écran de démarrage
Désactivez cette option si vous préférez ne pas afficher l'écran de démarrage lorsque
l'interface graphique de ESET Mail Security démarre, par exemple lors de la connexion au
système.
Émettre un signal sonore
ESET Mail Security émet un signal sonore en cas d'événement important lors d'une analyse,
par exemple lorsqu'une menace est découverte ou lorsque l'analyse est terminée.
Intégrer dans le menu contextuel
Lorsque cette option est activée, les éléments de commande de ESET Mail Security sont
intégrés dans le menu contextuel. Le menu contextuel est le menu qui s'affiche lorsque vous
cliquez avec le bouton droit sur un objet (fichier). Il répertorie toutes les actions que vous
pouvez effectuer sur un objet.
États d'application
Cliquez sur Modifier pour sélectionner les états affichés dans la fenêtre Supervision. Vous
pouvez également utiliser les politiques d'ESET PROTECT pour configurer les états de votre
application. Un état d'application est également affiché si votre produit n'est pas activé ou si
la licence est arrivée à expiration.
Informations de licence/Afficher les informations de la licence
Lorsque cette option est activée, des messages et des notifications concernant votre licence
s'affichent.
Alertes et boîtes de message
En configurant Alertes and notifications, vous pouvez modifier le comportement des
alertes concernant les menaces détectées et les notifications système. Ces alertes
peuvent être personnalisées en fonction de vos besoins. Si vous choisissez de ne pas
afficher certaines notifications, ces dernières apparaissent dans la zone États et
messages désactivés. Vous pouvez vérifier leur état, afficher des détails supplémentaires
ou supprimer des notifications de cette fenêtre.
304
Configuration de l'accès
Vous pouvez empêcher toute modification non autorisée à l'aide de l'outil Configuration
de l'accès afin d'assurer un niveau élevé de sécurité.
ESET Shell
Vous pouvez configurer les droits d'accès aux données, fonctionnalités et paramètres du
produit par l'intermédiaire d'eShell en changeant la Politique d'exécution du ESET Shell.
Icône dans la partie système de la barre des tâches
Rétablir tous les paramètres de cette section
Alertes et boîtes de message
Vous pouvez configurer la manière dont ESET Mail Security traite les alertes de menace et les
notifications système (messages indiquant une mise à jour réussie, par exemple). Vous
pouvez par exemple configurer la Durée et la Transparence des notifications dans la barre
d'état système (cela ne s'applique qu'aux systèmes prenant en charge ces notifications).
Afficher les alertes interactives
Désactivez cette fonctionnalité si vous souhaitez empêcher ESET Mail Security d'afficher
des alertes dans la zone de notification Windows.
Liste des alertes interactives
Utile pour l'automatisation. Désactivez l'option Demander à l'utilisateur pour les
éléments que vous souhaitez automatiser et choisissez l'action à exécuter au lieu que la
fenêtre d'alerte attende votre action.
Les zones de message servent à afficher de courts messages de texte ou des questions.
Fermer automatiquement les zones de message
Permet de fermer automatiquement les fenêtres d'alerte après un certain délai. Si les
fenêtres d'alerte ne sont pas fermées manuellement, le système les ferme
automatiquement une fois le laps de temps écoulé.
Messages de confirmation
Lorsque vous cliquez sur Modifier, une fenêtre contextuelle s'affiche. Elle contient la liste
des messages de confirmation que ESET Mail Security affiche avant l'exécution d'une
action. Utilisez les cases à cocher pour personnaliser vos préférences pour les messages
de confirmation.
305
Configuration de l’accès
Il est essentiel que ESET Mail Security soit correctement configuré pour garantir la sécurité
maximale du système. Tout changement inapproprié peut entraîner des problèmes, voire
même la perte de données importantes. Pour éviter des modifications non autorisées, la
configuration de ESET Mail Security peut être protégée par mot de passe.
IMPORTANT
Si vous désinstallez ESET Mail Security alors que vous utilisez la protection par mot de
passe de la configuration d'accès, vous serez invité à saisir le mot de passe. Si vous ne le
saisissez pas, vous ne pourrez pas désinstaller ESET Mail Security.
Protéger les paramètres par un mot de passe
Verrouille ou déverrouille les paramètres de configuration du programme. Cliquez sur
cette option pour ouvrir la fenêtre Configuration du mot de passe.
Définir le mot de passe
Pour définir ou modifier un mot de passe visant à protéger les paramètres de
configuration, cliquez sur Définir. Pour protéger les paramètres de configuration d'ESET
Mail Security afin d'éviter toute modification non autorisée, vous devez définir un
nouveau mot de passe. Si vous souhaitez modifier un mot de passe existant, tapez votre
ancien mot de passe dans le champ Ancien mot de passe, saisissez votre nouveau mot
de passe dans les champs Nouveau mot de passe et Confirmer le mot de passe,
puis cliquez sur OK. Ce mot de passe sera nécessaire à toute modification apportée à
ESET Mail Security.
Demander des droits d’administrateur complets pour des comptes Administrateur
limités
Sélectionnez cette option pour inviter l'utilisateur actuel (qui ne possède pas les
autorisations d'administrateur) à saisir les informations d'identification du compte
administrateur lors de la modification de certains paramètres du système, comme la
désactivation des modules de protection.
REMARQUE
Si le mot de passe de la configuration de l'accès change et si vous souhaitez importer un
fichier de configuration .xml existant (qui a été signé avant la modification du mot de
passe) à l'aide de la ligne de commande ESET CMD, veillez à signer de nouveau le fichier
à l'aide du mot de passe actuel. Vous pouvez ainsi utiliser un ancien fichier de
configuration sans avoir besoin de l'exporter sur un autre ordinateur exécutant ESET Mail
Security avant l'importation.
306
ESET Shell
Vous pouvez configurer les droits d'accès aux données, fonctionnalités et paramètres du
produit par l'intermédiaire d'eShell en changeant la Politique d'exécution du ESET Shell.
Le paramètre par défaut est Scripts limités, mais vous pouvez le modifier et choisir
Désactivé, Lecture seule ou Accès complet, si nécessaire.
Désactivé
eShell ne peut pas être utilisé. Seule la configuration d'eShell est autorisée dans le
contexte ui eshell. Vous pouvez personnaliser l'aspect d'eShell, mais vous ne pouvez
pas accéder aux paramètres ou données du produit.
Lecture seule
eShell peut être utilisé comme outil de surveillance. Vous pouvez afficher tous les
paramètres dans les modes de traitement par lots et interactif. Vous ne pouvez toutefois
pas modifier les paramètres, les fonctionnalités ni les données.
Scripts limités
En mode interactif, vous pouvez afficher l'ensemble des paramètres, des fonctionnalités
et des données. En mode de traitement par lots, eShell fonctionne comme si vous étiez
en mode de lecture seule. Toutefois, si vous utilisez des fichiers de commandes signés,
vous ne pouvez pas modifier les paramètres ni les données.
Accès complet
L'accès à tous les paramètres est illimité dans les modes interactif et de traitement par
lots (lors de l'exécution de fichiers de commandes). Vous pouvez afficher et modifier les
paramètres. Pour exécuter eShell avec un accès complet, vous devez utiliser un compte
d'administrateur. Si la fonctionnalité Contrôle de compte d'utilisateur (UAC) est activée,
une élévation est également requise.
Désactivation de l'interface utilisateur
graphique sur Terminal Server
Ce chapitre indique comment désactiver l'interface utilisateur graphique d'ESET Mail Security
sur Windows Terminal Server pour les sessions utilisateur.
Normalement, l'interface utilisateur graphique d'ESET Mail Security démarre chaque fois
qu'un utilisateur distant se connecte au serveur et crée une session de terminal. Cet
affichage n'est généralement pas conseillé sur les serveurs Terminal Server. Si vous
souhaitez désactiver l'interface utilisateur graphique pour les sessions de terminal, vous
pouvez le faire par le biais d'eShell en exécutant la commande set ui ui gui-start-mode
307
none.
L'interface utilisateur graphique passe ainsi en mode terminal. Il existe deux modes
pour le démarrage de l'interface utilisateur graphique :
set ui ui gui-start-mode full
set ui ui gui-start-mode none
Si vous souhaitez connaître le mode actuellement utilisé, exécutez la commande get ui ui
gui-start-mode.
REMARQUE
Si vous avez installé ESET Mail Security sur un serveur Citrix, il est recommandé d'utiliser
les paramètres décrits dans cet article de la base de connaissances .
États et messages désactivés
Messages de confirmation
Affiche la liste des messages de confirmation que vous pouvez choisir d'afficher ou non.
Paramètres des états d'application
Permet d'activer ou de désactiver l'affichage de l'état dans la page Supervision du menu
principal.
Paramètres des états d'application
Cette boîte de dialogue permet de sélectionner les états d'application à afficher ou non, par
exemple lorsque vous interrompez la protection antivirus et antispyware, ce qui entraînera
une modification de l'état de la protection dans la page Supervision. Un état d'application est
également affiché si votre produit n'est pas activé ou si la licence est arrivée à expiration.
Les états d'application peuvent être modifiés par le biais des stratégies d'ESET PROTECT .
Les catégories et états sont affichés dans une liste comportant deux options : Afficher et
Envoyer l'état. La colonne d'envoi des états d'application est visible uniquement dans la
configuration de la politique de ESET PROTECT . ESET Mail Security affiche les paramètres
avec une icône représentant un verrou. Vous pouvez utiliser le mode de remplacement pour
modifier les états d'application de façon temporaire.
308
Icône dans la partie système de la barre
des tâches
Permet d'accéder rapidement à des fonctionnalités et des éléments d'ESET Mail Security
souvent utilisés. Ces éléments sont accessibles en cliquant avec le bouton droit sur l'icône
dans la partie système de la barre des tâches.
309
Plus d'informations
Permet d'afficher la page Supervision pour montrer l'état actuel de la protection et les
messages.
Désactiver la protection
Affiche la boîte de dialogue de confirmation qui désactive la protection antivirus et
antispyware ; cette dernière protège des attaques malveillantes en contrôlant les fichiers
et les communications par messagerie et Internet. Chaque fois que vous désactivez
temporairement les modules antivirus ou antispyware à l'aide de l'icône
dans la partie
système de la barre des tâches, la boîte de dialogue Désactiver la protection s'affiche.
La protection contre les logiciels malveillants est alors désactivée pendant la période
sélectionnée (pour désactiver la protection de manière permanente, vous pouvez utiliser
l'option Configuration avancée). Soyez prudent. La désactivation de la protection peut
exposer votre système à des menaces.
Configuration avancée
Utilisez cette option pour accéder à Configuration avancée.
Fichiers journaux
Contiennent tous les événements importants qui se sont produits et fournissent un
aperçu des menaces détectées.
Masquer ESET Mail Security
Masque la fenêtre ESET Mail Security.
Réinitialiser la présentation des fenêtres
Rétablit la taille et la position par défaut de la fenêtre ESET Mail Security.
Rechercher des mises à jour
Commence la mise à jour des modules afin de garantir un niveau optimal de protection
contre les codes malveillants.
À propos
Les informations système fournissent des détails sur la version installée d'ESET Mail
Security, sur les modules installés et sur la date d'expiration de votre licence. Des
informations sur votre système d'exploitation et les ressources système figurent dans la
partie inférieure de la page.
310
Rétablir les paramètres par défaut
Vous pouvez rétablir les valeurs par défaut des paramètres dans Configuration avancée.
Deux options sont disponibles. Vous pouvez rétablir les valeurs par défaut de tous les
paramètres ou ce ceux d'une section spécifique uniquement (les paramètres des autres
sections ne sont pas modifiés).
Rétablir tous les paramètres
Tous les paramètres de toutes les sections de la configuration avancée seront restaurés à
l'état qu'ils avaient après l'installation de ESET Mail Security. Cette option peut être
comparée à Restaurer les paramètres d'usine.
REMARQUE
Une fois que vous cliquez sur Rétablir les paramètres par défaut, les modifications
apportées sont perdues. Cette action ne peut pas être annulée.
Rétablir tous les paramètres de cette section
Rétablit les valeurs des paramètres du module dans la section sélectionnée. Toutes les
modifications que vous avez apportées dans cette section seront perdues.
Rétablir le contenu des tables
Lorsque cette option est activée, les règles, les tâches ou les profils ajoutés
automatiquement ou manuellement sont perdus.
Aide et assistance
ESET Mail Security contient des outils de dépannage et des informations d'assistance qui
vous aideront à résoudre les problèmes que vous pouvez rencontrer.
311
Aide
Rechercher la Base de connaissances ESET
La base de connaissances ESET contient des réponses aux questions les plus fréquentes
et les solutions recommandées pour résoudre divers problèmes. Régulièrement mise à
jour par les spécialistes techniques d'ESET, la base de connaissances est l'outil le plus
puissant pour résoudre différents types de problèmes.
Ouvrir l'aide
Lance les pages d'aide en ligne de ESET Mail Security.
Trouver une solution rapide
Cette option permet de trouver les solutions aux problèmes les plus fréquents. Nous vous
recommandons de lire cette section avant de contacter le service d'assistance technique.
Assistance technique
Envoyer une demande d'assistance
Si vous ne trouvez pas de réponse à votre problème, vous pouvez également utiliser le
formulaire situé sur le site Web d'ESET pour prendre rapidement contact avec notre
service d'assistance technique.
Informations détaillées pour l'assistance technique
Affiche des informations détaillées (nom du produit, version du produit, etc.) pour
l'assistance technique.
Outils d'assistance
Encyclopédie des menaces
Permet d'accéder à l'encyclopédie des menaces ESET, qui contient des informations sur
les dangers et les symptômes de différents types d'infiltration.
ESET Log Collector
Établit un lien vers la page de téléchargement ESET Log Collector. ESET Log Collector
est une application qui collecte automatiquement les informations de configuration et les
journaux d'un serveur pour permettre de résoudre plus rapidement les problèmes.
Historique du moteur de détection
Mène à ESET Virus radar, qui contient des informations sur les versions des modules de
détection ESET.
ESET Specialized Cleaner
312
L'outil de nettoyage spécialisé ESET est un outil de suppression des infections courantes
par logiciels malveillants tels que Conficker, Sirefef, Necurs, etc.
Informations sur le produit et la licence
Activer le produit / Changer de licence
Cliquez sur cette option pour ouvrir la fenêtre Activation du produit. Sélectionnez l'une
des méthodes disponibles pour activer ESET Mail Security.
À propos de ESET Mail Security
Affiche des informations sur votre copie de ESET Mail Security.
Envoyer une demande d'assistance
Pour offrir l'assistance adéquate le plus rapidement possible, ESET requiert des informations
sur la configuration de ESET Mail Security, sur le système et les processus en cours (fichier
journal ESET SysInspector), ainsi que les données du Registre. ESET utilise ces données
uniquement pour fournir une assistance technique au client. Ce paramètre peut être
également configuré dans Configuration avancée (F5) > Outils > Diagnostics >
Assistance technique.
REMARQUE
Si vous choisissez d'envoyer les données système, vous devez remplir le formulaire Web
et l'envoyer. Sinon, votre ticket n'est pas créé et vos données système sont perdues.
Lorsque vous envoyez le formulaire Web, les données de configuration de votre système sont
également envoyées à ESET. Sélectionnez Toujours envoyer ces informations si vous
souhaitez mémoriser cette action pour ce processus.
Ne pas envoyer les données
Utilisez cette option si vous ne souhaitez pas envoyer de données. Vous serez redirigé
vers la page Web de l'assistance technique ESET.
À propos d'ESET Mail Security
Cette fenêtre fournit des informations sur la version installée de ESET Mail Security. La partie
supérieure de la fenêtre contient des informations sur le système d'exploitation et les
ressources système, ainsi que sur l'utilisateur actuellement connecté et le nom de
l'ordinateur.
Composants installés
Permet d'obtenir des informations sur les modules, d'afficher la liste des composants
313
installés et les informations associées. Cliquez sur Copier pour copier la liste dans le
Presse-papiers. Ce procédé peut être utile pour la résolution des problèmes ou lorsque
vous contactez l'assistance technique.
Glossaire
Pour plus d'informations sur les termes techniques, les menaces et la sécurité sur Internet,
consultez la page du glossaire .
Contrat de licence de l'utilisateur final
IMPORTANT : Veuillez lire soigneusement les termes et conditions d’application du produit
stipulés ci-dessous avant de télécharger, d’installer, de copier ou d’utiliser le produit. EN
TÉLÉCHARGEANT, EN INSTALLANT, EN COPIANT OU EN UTILISANT LE LOGICIEL,
VOUS ACCEPTEZ CES TERMES ET CONDITIONS ET RECONNAISSEZ AVOIR PRIS
CONNAISSANCE DE LA POLITIQUE DE CONFIDENTIALITÉ.
Contrat de licence de l'utilisateur final
Selon les termes du présent Contrat de Licence pour l'Utilisateur Final (« Contrat ») signé par
et entre ESET, spol. s r. o., dont le siège social se situe au Einsteinova 24, 85101 Bratislava,
Slovak Republic, inscrite au Registre du Commerce du tribunal de Bratislava I. Section Sro,
Insertion No 3586/B, numéro d'inscription des entreprises : 31333532 (« ESET » ou
« Fournisseur ») et vous, personne physique ou morale, (« vous » ou « Utilisateur Final »),
vous êtes autorisé à utiliser le Logiciel défini à l'article 1 du présent Contrat. Dans le cadre
des modalités indiquées ci-dessous, le Logiciel défini à l'article 1 du présent Contrat peut être
enregistré sur un support de données, envoyé par courrier électronique, téléchargé sur
Internet, téléchargé à partir de serveurs du Fournisseur ou obtenu à partir d'autres sources.
CE DOCUMENT N’EST PAS UN CONTRAT D’ACHAT, MAIS UN ACCORD LIÉ AUX DROITS DE
L’UTILISATEUR FINAL. Le Fournisseur reste le propriétaire de la copie du Logiciel et du
support physique fourni dans l’emballage commercial, et de toutes les copies du Logiciel que
l’Utilisateur Final est autorisé à faire dans le cadre du présent Contrat.
En cliquant sur « J’accepte » ou « J’accepte ...» lorsque vous téléchargez, installez, copiez ou
utilisez le Logiciel, vous acceptez les termes et conditions du présent Contrat. Si vous n’êtes
pas d’accord avec tous les termes et conditions du présent Contrat, cliquez immédiatement
sur l'option d'annulation, annulez le téléchargement ou l'installation, détruisez ou renvoyez le
Logiciel, le support d'installation, la documentation connexe et une facture au Fournisseur ou
à l'endroit où vous avez obtenu le Logiciel.
VOUS RECONNAISSEZ QUE VOTRE UTILISATION DU LOGICIEL INDIQUE QUE VOUS AVEZ LU ET
COMPRIS LE PRÉSENT CONTRAT ET ACCEPTÉ D’EN RESPECTER LES TERMES ET CONDITIONS.
1. Logiciel. Dans le cadre du présent Contrat, le terme « Logiciel » désigne : (i) le
programme informatique et tous ses composants ; (ii) le contenu des disques, des CD-ROM,
314
des DVD, des courriers électroniques et de leurs pièces jointes, ou de tout autre support
auquel le présent Contrat est attaché, dont le formulaire de code objet fourni sur un support
de données, par courrier électronique ou téléchargé par le biais d’Internet ; (iii) tous
documents explicatifs écrits et toute documentation relative au Logiciel, en particulier, toute
description du Logiciel, ses caractéristiques, description des propriétés, description de
l’utilisation, description de l’interface du système d’exploitation sur lequel le Logiciel est
utilisé, guide d’installation ou d’utilisation du Logiciel ou description de l’utilisation correcte
du Logiciel (« Documentation ») ; (iv) les copies du Logiciel, les correctifs d’erreurs du
Logiciel, les ajouts au Logiciel, ses extensions, ses versions modifiées et les mises à jour des
parties du Logiciel, si elles sont fournies, au titre desquels le Fournisseur vous octroie la
Licence conformément à l’article 3 du présent Contrat. Le Logiciel est fourni exclusivement
sous la forme d'un code objet exécutable.
2. Installation, Ordinateur et Clé de licence. Le Logiciel fourni sur un support de
données, envoyé par courrier électronique, téléchargé à partir d'Internet ou de serveurs du
Fournisseur ou obtenu à partir d'autres sources nécessite une installation. Vous devez
installer le Logiciel sur un Ordinateur correctement configuré, qui doit au moins satisfaire les
exigences spécifiées dans la Documentation. La méthode d'installation est décrite dans la
Documentation. L'Ordinateur sur lequel le Logiciel sera installé doit être exempt de tout
programme ou matériel susceptible de nuire au bon fonctionnement du Logiciel. Le terme
Ordinateur désigne le matériel, notamment les ordinateurs personnels, ordinateurs portables,
postes de travail, ordinateurs de poche, smartphones, appareils électroniques portatifs ou
autres appareils électroniques, pour lequel le Logiciel a été conçu et sur lequel il sera installé
et/ou utilisé. Le terme Clé de licence désigne la séquence unique de symboles, lettres,
chiffres ou signes spéciaux fournie à l'Utilisateur Final afin d'autoriser l'utilisation légale du
Logiciel, de sa version spécifique ou de l'extension de la durée de la Licence conformément
au présent Contrat.
3. Licence. Sous réserve que vous ayez accepté les termes du présent Contrat et que vous
respectiez tous les termes et conditions stipulés dans le présent Contrat, le Fournisseur vous
accorde les droits suivants (« Licence ») :
a) Installation et utilisation. Vous détenez un droit non exclusif et non transférable
d’installer le Logiciel sur le disque dur d’un ordinateur ou sur un support similaire de
stockage permanent de données, d’installer et de stocker le Logiciel dans la mémoire d’un
système informatique et d’exécuter, de stocker et d’afficher le Logiciel.
b) Précision du nombre de licences. Le droit d’utiliser le Logiciel est lié au nombre
d’Utilisateurs Finaux. On entend par « Utilisateur Final » : (i) l’installation du Logiciel sur un
seul système informatique, ou (ii) si l’étendue de la Licence est liée au nombre de boîtes aux
lettres, un Utilisateur Final désigne un utilisateur d’ordinateur qui reçoit un courrier
électronique par le biais d’un client de messagerie. Si le client de messagerie accepte du
courrier électronique et le distribue automatiquement par la suite à plusieurs utilisateurs, le
nombre d’Utilisateurs Finaux doit être déterminé en fonction du nombre réel d’utilisateurs
auxquels le courrier électronique est distribué. Si un serveur de messagerie joue le rôle de
passerelle de courriel, le nombre d’Utilisateurs Finaux est égal au nombre de serveurs de
messagerie pour lesquels la passerelle fournit des services. Si un certain nombre d’adresses
315
de messagerie sont affectées à un seul et même utilisateur (par l’intermédiaire d’alias) et
que ce dernier les accepte et si les courriels ne sont pas distribués automatiquement du côté
du client à d’autres utilisateurs, la Licence n’est requise que pour un seul ordinateur. Vous ne
devez pas utiliser la même Licence au même moment sur plusieurs ordinateurs. L'Utilisateur
Final n'est autorisé à saisir la Clé de licence du Logiciel que dans la mesure où il a le droit
d'utiliser le Logiciel conformément à la limite découlant du nombre de licences accordées par
le Fournisseur. La Clé de licence est confidentielle. Vous ne devez pas partager la Licence
avec des tiers ni autoriser des tiers à utiliser la Clé de licence, sauf si le présent Contrat ou le
Fournisseur le permet. Si votre Clé de licence est endommagée, informez-en immédiatement
le Fournisseur.
c) Version Business Edition. Une version Business Edition du Logiciel est requise pour
utiliser le Logiciel sur des serveurs de courrier, relais de courrier, passerelles de courrier ou
passerelles Internet.
d) Durée de la Licence. Le droit d’utiliser le Logiciel est limité dans le temps.
e) Logiciel acheté à un fabricant d’équipement informatique. La Licence du Logiciel
acheté à un fabricant d’équipement informatique ne s’applique qu’à l’ordinateur avec lequel
vous l’avez obtenu. Elle ne peut pas être transférée à un autre ordinateur.
f) Version d’évaluation ou non destinée à la revente. Un Logiciel classé comme non
destiné à la revente ou comme version d’évaluation ne peut pas être vendu et ne doit être
utilisé qu’aux fins de démonstration ou d’évaluation des caractéristiques du Logiciel.
g) Résiliation de la Licence. La Licence expire automatiquement à la fin de la période pour
laquelle elle a été accordée. Si vous ne respectez pas les dispositions du présent Contrat, le
Fournisseur est en droit de mettre fin au Contrat, sans renoncer à tout droit ou recours
juridique ouvert au Fournisseur dans de tels cas. En cas d’annulation du présent Contrat,
vous devez immédiatement supprimer, détruire ou renvoyer à vos frais le Logiciel et toutes
les copies de sauvegarde à ESET ou à l’endroit où vous avez obtenu le Logiciel. Lors de la
résiliation de la Licence, le Fournisseur est en droit de mettre fin au droit de l'Utilisateur final
à l'utilisation des fonctions du Logiciel, qui nécessitent une connexion aux serveurs du
Fournisseur ou à des serveurs tiers.
4. Fonctions avec des exigences en matière de connexion Internet et de collecte de
données. Pour fonctionner correctement, le Logiciel nécessite une connexion Internet et doit
se connecter à intervalles réguliers aux serveurs du Fournisseur ou à des serveurs tiers et
collecter des données en conformité avec la Politique de confidentialité. Une connexion
Internet et une collecte de données sont requises pour les fonctions suivantes du Logiciel :
a) Mises à jour du Logiciel. Le Fournisseur est autorisé à publier des mises à jour du
Logiciel (« Mises à jour ») de temps à autre, mais n’en a pas l’obligation. Cette fonction est
activée dans la configuration standard du Logiciel ; les Mises à jour sont donc installées
automatiquement, sauf si l’Utilisateur Final a désactivé l’installation automatique des Mises à
jour. Pour la mise à disposition de Mises à jour, une vérification de l'authenticité de la Licence
est requise. Elle comprend notamment la collecte d'informations sur l'Ordinateur et/ou la
plate-forme sur lesquels le Logiciel est installé, en conformité avec la Politique de
316
confidentialité.
b) Réacheminement des infiltrations et des données au Fournisseur. Le Logiciel
contient des fonctions qui collectent des échantillons de virus, d'autres programmes
informatiques également nuisibles et d'objets problématiques, suspects, potentiellement
indésirables ou dangereux tels que des fichiers, des URL, des paquets IP et des trames
Ethernet (« Infiltrations »), puis les envoient au Fournisseur, en incluant, sans s'y limiter, des
informations sur le processus d'installation, l'ordinateur ou la plateforme hébergeant le
Logiciel et des informations sur les opérations et fonctions du Logiciel (« Informations »). Les
Informations et les Infiltrations sont susceptibles de contenir des données (y compris des
données personnelles obtenues par hasard ou accidentellement) concernant l’Utilisateur final
et/ou d’autres usagers de l’ordinateur sur lequel le Logiciel est installé et les fichiers affectés
par les Infiltrations et les métadonnées associées.
Les informations et les infiltrations peuvent être collectées pat les fonctions suivantes du
Logiciel :
i. La fonction Système de réputation LiveGrid collecte et envoie les hachages
unidirectionnelles liés aux Infiltrations au Fournisseur. Cette fonction est activée dans les
paramètres standard du Logiciel.
ii. La fonction Système de commentaires LiveGrid collecte et envoie les Infiltrations avec les
Informations et les métadonnées associées au Fournisseur. Cette fonction peut être activée
par l'Utilisateur Final pendant le processus d'installation du Logiciel.
Le Fournisseur utilisera les Informations et Infiltrations reçues uniquement pour effectuer des
analyses et des recherches sur les Infiltrations et améliorer le Logiciel et la vérification de
l'authenticité de la Licence. Il prendra en outre les mesures adéquates afin de protéger les
Infiltrations et Informations reçues. Si vous activez cette fonction du Logiciel, les Infiltrations
et Informations peuvent être collectées et traitées par le Fournisseur, comme stipulé dans la
Politique de confidentialité et conformément aux réglementations en vigueur. Vous pouvez
désactiver ces fonctions à tout moment.
Aux fins du présent Contrat, il est nécessaire de collecter, traiter et stocker des données
permettant au Fournisseur de vous identifier conformément à la Politique de confidentialité.
Vous acceptez que le Fournisseur vérifie à l'aide de ses propres moyens si vous utilisez le
Logiciel conformément aux dispositions du présent Contrat. Vous reconnaissez qu'aux fins du
présent Contrat, il est nécessaire que vos données soient transférées pendant les
communications entre le Logiciel et les systèmes informatiques du Fournisseur ou de ceux de
ses partenaires commerciaux, dans le cadre du réseau de distribution et de support du
Fournisseur, afin de garantir les fonctionnalités du Logiciel, l'autorisation d'utiliser le Logiciel
et la protection des droits du Fournisseur.
Après la conclusion du présent Contrat, le Fournisseur et ses partenaires commerciaux, dans
le cadre du réseau de distribution et de support du Fournisseur, sont autorisés à transférer, à
traiter et à stocker des données essentielles vous identifiant, aux fins de facturation,
d'exécution du présent Contrat et de transmission de notifications sur votre Ordinateur. Vous
acceptez de recevoir des notifications et des messages, notamment des informations
317
commerciales.
Des informations détaillées sur la vie privée, la protection des données
personnelles et Vos droits en tant que personne concernée figurent dans la
Politique de confidentialité, disponible sur le site Web du Fournisseur et
directement accessible à partir de l'installation. Vous pouvez également la
consulter depuis la section d'aide du Logiciel.
5. Exercice des droits de l’Utilisateur Final. Vous devez exercer les droits de l'Utilisateur
Final en personne ou par l'intermédiaire de vos employés. Vous n'êtes autorisé à utiliser le
Logiciel que pour assurer la sécurité de vos opérations et protéger les Ordinateurs ou
systèmes informatiques pour lesquels vous avez obtenu une Licence.
6. Restrictions des droits. Vous ne pouvez pas copier, distribuer, extraire des composants
ou créer des travaux dérivés basés sur le Logiciel. Vous devez respecter les restrictions
suivantes lorsque vous utilisez le Logiciel :
a) Vous pouvez effectuer une copie de sauvegarde archivée du Logiciel sur un support de
stockage permanent, à condition que cette copie de sauvegarde archivée ne soit pas
installée ni utilisée sur un autre ordinateur. Toutes les autres copies que vous pourriez faire
du Logiciel seront considérées comme une violation du présent Contrat.
b) Vous n’êtes pas autorisé à utiliser, modifier, traduire, reproduire ou transférer les droits
d’utilisation du Logiciel ou des copies du Logiciel d’aucune manière autre que celles prévues
dans le présent Contrat.
c) Vous ne pouvez pas vendre, concéder en sous-licence, louer à bail ou louer le Logiciel ou
utiliser le Logiciel pour offrir des services commerciaux.
d) Vous ne pouvez pas rétroconcevoir, décompiler ou désassembler le Logiciel ni tenter de
toute autre façon de découvrir le code source du Logiciel, sauf dans la mesure où cette
restriction est expressément interdite par la loi.
e) Vous acceptez de n’utiliser le Logiciel que de façon conforme à toutes les lois applicables
de la juridiction dans laquelle vous utilisez le Logiciel, notamment les restrictions applicables
relatives aux droits d’auteur et aux droits de propriété intellectuelle.
f) Vous acceptez de n'utiliser le Logiciel et ses fonctions que de façon à ne pas entraver la
possibilité des autres Utilisateurs Finaux à accéder à ces services. Le Fournisseur se réserve
le droit de limiter l'étendue des services fournis à chacun des Utilisateurs Finaux, pour
permettre l'utilisation des services au plus grand nombre possible d'Utilisateurs Finaux. Le
fait de limiter l'étendue des services implique aussi la résiliation totale de la possibilité
d'utiliser toute fonction du Logiciel ainsi que la suppression des Données et des informations
présentes sur les serveurs du Fournisseur ou sur des serveurs tiers, qui sont afférentes à une
fonction particulière du Logiciel.
g) Vous acceptez de ne pas exercer d'activités impliquant l'utilisation de la Clé de licence, qui
soit contraire aux termes du présent Contrat, ou conduisant à fournir la Clé de licence à toute
318
personne n'étant pas autorisée à utiliser le logiciel (comme le transfert d'une Clé de licence
utilisée ou non utilisée ou la distribution de Clés de licence dupliquées ou générées ou
l'utilisation du Logiciel suite à l'emploi d'une Clé de licence obtenue d'une source autre que le
Fournisseur).
7. Droit d’auteur. Le Logiciel et tous les droits inclus, notamment les droits d’auteur et les
droits de propriété intellectuelle sont la propriété d’ESET et/ou de ses concédants de licence.
ESET est protégée par les dispositions des traités internationaux et par toutes les lois
nationales applicables dans le pays où le Logiciel est utilisé. La structure, l’organisation et le
code du Logiciel sont des secrets commerciaux importants et des informations confidentielles
appartenant à ESET et/ou à ses concédants de licence. Vous n’êtes pas autorisé à copier le
Logiciel, sauf dans les exceptions précisées en 6 (a). Toutes les copies que vous êtes autorisé
à faire en vertu du présent Contrat doivent contenir les mentions relatives aux droits
d’auteur et de propriété qui apparaissent sur le Logiciel. Si vous rétroconcevez, décompilez
ou désassemblez le Logiciel ou tentez de toute autre façon de découvrir le code source du
Logiciel, en violation des dispositions du présent Contrat, vous acceptez que les données
ainsi obtenues doivent être automatiquement et irrévocablement transférées au Fournisseur
dans leur totalité, dès que de telles données sont connues, indépendamment des droits du
Fournisseur relativement à la violation du présent Contrat.
8. Réservation de droits. Le Fournisseur se réserve tous les droits sur le Logiciel, à
l’exception des droits qui vous sont expressément garantis en vertu des termes du présent
Contrat en tant qu’Utilisateur final du Logiciel.
9. Versions multilingues, logiciel sur plusieurs supports, copies multiples. Si le
Logiciel est utilisé sur plusieurs plateformes et en plusieurs langues, ou si vous recevez
plusieurs copies du Logiciel, vous ne pouvez utiliser le Logiciel que pour le nombre de
systèmes informatiques ou de versions pour lesquels vous avez obtenu une Licence. Vous ne
pouvez pas vendre, louer à bail, louer, concéder en sous-licence, prêter ou transférer des
versions ou des copies du Logiciel que vous n’utilisez pas.
10. Début et fin du Contrat. Ce Contrat entre en vigueur à partir du jour où vous en
acceptez les modalités. Vous pouvez résilier ce Contrat à tout moment en désinstallant de
façon permanente, détruisant et renvoyant, à vos frais, le Logiciel, toutes les copies de
sauvegarde et toute la documentation associée remise par le Fournisseur ou ses partenaires
commerciaux. Quelle que soit la façon dont ce Contrat se termine, les dispositions énoncées
aux articles 7, 8, 11, 13, 19 et 21 continuent de s’appliquer pour une durée illimitée.
11. DÉCLARATIONS DE L’UTILISATEUR FINAL. EN TANT QU’UTILISATEUR FINAL, VOUS
RECONNAISSEZ QUE LE LOGICIEL EST FOURNI « EN L’ÉTAT », SANS AUCUNE GARANTIE
D’AUCUNE SORTE, QU’ELLE SOIT EXPRESSE OU IMPLICITE, DANS LA LIMITE PRÉVUE PAR LA
LOI APPLICABLE. NI LE FOURNISSEUR, NI SES CONCÉDANTS DE LICENCE, NI SES FILIALES, NI
LES DÉTENTEURS DE DROIT D’AUTEUR NE FONT UNE QUELCONQUE DÉCLARATION OU
N’ACCORDENT DE GARANTIE EXPRESSE OU IMPLICITE QUELCONQUE, NOTAMMENT DES
GARANTIES DE VENTE, DE CONFORMITÉ À UN OBJECTIF PARTICULIER OU SUR LE FAIT QUE LE
LOGICIEL NE PORTE PAS ATTEINTE À DES BREVETS, DROITS D’AUTEURS, MARQUES OU
AUTRES DROITS DÉTENUS PAR UN TIERS. NI LE FOURNISSEUR NI AUCUN AUTRE TIERS NE
319
GARANTIT QUE LES FONCTIONS DU LOGICIEL RÉPONDRONT À VOS ATTENTES OU QUE LE
FONCTIONNEMENT DU LOGICIEL SERA CONTINU ET EXEMPT D’ERREURS. VOUS ASSUMEZ
L’ENTIÈRE RESPONSABILITÉ ET LES RISQUES LIÉS AU CHOIX DU LOGICIEL POUR L’OBTENTION
DES RÉSULTATS ESCOMPTÉS ET POUR L’INSTALLATION, L’UTILISATION ET LES RÉSULTATS
OBTENUS.
12. Aucune obligation supplémentaire. À l’exception des obligations mentionnées
explicitement dans le présent Contrat, aucune obligation supplémentaire n’est imposée au
Fournisseur et à ses concédants de licence.
13. LIMITATION DE GARANTIE. DANS LA LIMITE MAXIMALE PRÉVUE PAR LES LOIS
APPLICABLES, LE FOURNISSEUR, SES EMPLOYÉS OU SES CONCÉDANTS DE LICENCE NE
SERONT EN AUCUN CAS TENUS POUR RESPONSABLES D’UNE QUELCONQUE PERTE DE
PROFIT, REVENUS, VENTES, DONNÉES, OU DES FRAIS D’OBTENTION DE BIENS OU SERVICES
DE SUBSTITUTION, DE DOMMAGE MATÉRIEL, DOMMAGE PHYSIQUE, INTERRUPTION
D’ACTIVITÉ, PERTE DE DONNÉES COMMERCIALES, OU DE TOUT DOMMAGE DIRECT, INDIRECT,
FORTUIT, ÉCONOMIQUE, DE GARANTIE, PUNITIF, SPÉCIAL OU CORRÉLATIF, QUELLE QU’EN
SOIT LA CAUSE ET QUE CE DOMMAGE DÉCOULE D’UNE RESPONSABILITÉ CONTRACTUELLE,
DÉLICTUELLE OU D’UNE NÉGLIGENCE OU DE TOUTE AUTRE THÉORIE DE RESPONSABILITÉ,
LIÉE À L’INSTALLATION, À L’UTILISATION OU À L’IMPOSSIBILITÉ D’UTILISER LE LOGICIEL,
MÊME SI LE FOURNISSEUR OU SES CONCÉDANTS DE LICENCE ONT ÉTÉ AVERTIS DE
L’ÉVENTUALITÉ D’UN TEL DOMMAGE. CERTAINS PAYS ET CERTAINES LOIS N’AUTORISANT PAS
L’EXCLUSION DE RESPONSABILITÉ, MAIS AUTORISANT LA LIMITATION DE RESPONSABILITÉ, LA
RESPONSABILITÉ DU FOURNISSEUR, DE SES EMPLOYÉS OU DE SES CONCÉDANTS DE LICENCE
SERA LIMITÉE AU MONTANT QUE VOUS AVEZ PAYÉ POUR LA LICENCE.
14. Aucune disposition du présent Contrat ne porte atteinte aux droits accordés par la loi de
toute partie agissant comme client si l’exécution y est contraire.
15. Assistance technique. ESET ou des tiers mandatés par ESET fourniront une assistance
technique à leur discrétion, sans garantie ni déclaration solennelle. L’Utilisateur Final devra
peut-être sauvegarder toutes les données, logiciels et programmes existants avant que
l’assistance technique ne soit fournie. ESET et/ou les tiers mandatés par ESET ne seront en
aucun cas tenus responsables d’un quelconque dommage ou d’une quelconque perte de
données, de biens, de logiciels ou de matériel, ou d’une quelconque perte de profit en raison
de la fourniture de l’assistance technique. ESET et/ou les tiers mandatés par ESET se
réservent le droit de décider si l’assistance technique couvre la résolution du problème. ESET
se réserve le droit de refuser, de suspendre l’assistance technique ou d’y mettre fin à sa
discrétion. Des informations de licence, d'autres informations et des données conformes à la
Politique de confidentialité peuvent être requises en vue de fournir une assistance technique.
16. Transfert de Licence. Le Logiciel ne peut pas être transféré d’un système informatique
à un autre, à moins d’une précision contraire dans les modalités du présent Contrat.
L’Utilisateur Final n’est autorisé qu’à transférer de façon définitive la Licence et tous les
droits accordés par le présent Contrat à un autre Utilisateur Final avec l’accord du
Fournisseur, si cela ne s’oppose pas aux modalités du présent Contrat et dans la mesure où
(i) l’Utilisateur Final d’origine ne conserve aucune copie du Logiciel ; (ii) le transfert des droits
320
est direct, c’est-à-dire qu’il s’effectue directement de l’Utilisateur Final original au nouvel
Utilisateur Final ; (iii) le nouvel Utilisateur Final assume tous les droits et devoirs de
l’Utilisateur Final d’origine en vertu du présent Contrat ; (iv) l’Utilisateur Final d’origine
transmet au nouvel Utilisateur Final toute la documentation permettant de vérifier
l’authenticité du Logiciel, conformément à l’article 17.
17. Vérification de l’authenticité du Logiciel. L’Utilisateur final peut démontrer son droit
d'utiliser le Logiciel de l'une des façons suivantes : (i) au moyen d'un certificat de licence
émis par le Fournisseur ou un tiers mandaté par le Fournisseur ; (ii) au moyen d'un contrat de
licence écrit, si un tel contrat a été conclu ; (iii) en présentant un courrier électronique
envoyé au Fournisseur contenant tous les renseignements sur la licence (nom d'utilisateur et
mot de passe). Des informations de licence et des données d'identification de l'Utilisateur
Final conformes à la Politique de confidentialité peuvent être requises en vue de vérifier
l'authenticité du Logiciel.
18. Licence pour les pouvoirs publics et le gouvernement des États-Unis. Le Logiciel
est fourni aux pouvoirs publics, y compris le gouvernement des États-Unis, avec les droits de
Licence et les restrictions mentionnés dans le présent Contrat.
19. Conformité aux contrôles à l'exportation.
a) Vous ne devez en aucun cas, directement ou indirectement, exporter, réexporter,
transférer ou mettre le Logiciel à la disposition de quiconque, ou l'utiliser d'une manière ou
participer à un acte qui pourrait entraîner ESET ou ses sociétés de holding, ses filiales et les
filiales de l'une de ses sociétés de holding, ainsi que les entités contrôlées par ses sociétés de
holding (« Sociétés affiliées ») à enfreindre ou faire l'objet des conséquences négatives de
l'enfreinte des Lois sur le contrôle à l'exportation, qui comprennent
i. les lois qui contrôlent, limitent ou imposent des exigences en matière de licence pour
l'exportation, la réexportation ou le transfert de marchandises, de logiciels, de technologies
ou de services, émises ou adoptées par un gouvernement, un état ou un organisme de
réglementation des États-Unis d'Amérique, de Singapour, du Royaume-Uni, de l'Union
européenne ou de l'un de ses États membres, ou tout pays dans lequel les obligations au
titre de l'accord doivent être exécutées, ou dans lequel ESET ou l'une de ses filiales est
établie ou mène ses activités (« Lois sur le contrôle des exportations ») et
ii. toute sanction économique, financière, commerciale ou autre, sanction, restriction,
embargo, interdiction d'importation ou d'exportation, interdiction de transfert de fonds ou
d'actifs ou de prestation de services, ou mesure équivalente imposée par un gouvernement,
un État ou un organisme de réglementation des États-Unis d'Amérique, de Singapour, du
Royaume-Uni, de l'Union européenne ou de l'un de ses États membres, ou tout pays dans
lequel les obligations au titre de l'accord doivent être exécutées, ou dans lequel ESET ou
l'une de ses filiales est établie ou mène ses activités (« Lois sur les sanctions »).
b) ESET a le droit de suspendre ses obligations en vertu des présentes Conditions ou d'y
mettre fin avec effet immédiat dans le cas où :
i. ESET estime raisonnablement que l'Utilisateur a enfreint ou est susceptible d'enfreindre la
321
disposition de l'Article 19.a du Contrat ; ou
ii. l'Utilisateur final et/ou le Logiciel deviennent soumis aux Lois sur le contrôle à l'exportation
et, par conséquent, ESET estime raisonnablement que l'exécution continue de ses obligations
en vertu de l'accord pourrait entraîner ESET ou ses affiliés à enfreindre ou faire l'objet des
conséquences négatives de l'enfreinte des Lois sur le contrôle à l'exportation.
c) Rien dans le Contrat ne vise, et rien ne doit être interprété comme incitant ou obligeant
l'une des parties à agir ou à s'abstenir d'agir (ou à accepter d'agir ou à s'abstenir d'agir)
d'une manière qui soit incompatible, pénalisée ou interdite en vertu de toute loi sur le
contrôle à l'exportation applicable.
20. Avis. Tous les avis, les renvois du Logiciel et la documentation doivent être adressés à :
ESET, spol. s r. o., Einsteinova 24, 85101 Bratislava, Slovak Republic.
21. Loi applicable. Le présent Contrat est régi par la loi de la République Slovaque et
interprété conformément à celle-ci. L’Utilisateur Final et le Fournisseur conviennent que les
principes relatifs aux conflits de la loi applicable et la Convention des Nations Unies sur les
contrats pour la Vente internationale de marchandises ne s’appliquent pas. Vous acceptez
expressément que le tribunal de Bratislava I. arbitre tout litige ou conflit avec le Fournisseur
ou en relation avec votre utilisation du Logiciel, et vous reconnaissez expressément que le
tribunal a la juridiction pour de tels litiges ou conflits.
22. Dispositions générales. Si une disposition du présent Contrat s'avère nulle et
inopposable, cela n'affectera pas la validité des autres dispositions du présent Contrat. Ces
dispositions resteront valables et opposables en vertu des conditions stipulées dans le
présent Contrat. En cas de discordance entre les versions linguistiques du présent Contrat,
seule la version en langue anglaise fait foi. Le présent Contrat ne pourra être modifié que par
un avenant écrit et signé par un représentant autorisé du Fournisseur ou une personne
expressément autorisée à agir à ce titre en vertu d’un contrat de mandat.
Cela constitue l'intégralité du Contrat entre le Fournisseur et vous en relation avec le Logiciel,
et il remplace toute représentation, discussion, entreprise, communication ou publicité
antérieure en relation avec le Logiciel.
EULA ID: BUS-STANDARD-20-01
Politique de confidentialité
ESET, spol. s r.o., dont le siège social est établi au Einsteinova 24, 851 01 Bratislava,
Slovaquie, enregistrée au registre du commerce géré par le Tribunal de district de Bratislava
I, Section Sro, Entrée No 3586/B, Numéro d'identification de l'entreprise 31333532, en tant
que Contrôleur des données (« ESET » ou « Nous ») souhaite faire preuve de transparence en
ce qui concerne le traitement des données personnelles et la confidentialité des clients. Pour
cela, Nous publions cette Politique de confidentialité dans le seul but d'informer notre client
(« Utilisateur Final » ou « Vous ») sur les sujets suivants :
322
• traitement des données personelles,
• confidentialité des données,
• droits des personnes concernées.
Traitement des données personelles
Les services ESET qui sont implémentés dans le produit sont fournis selon les termes du
Contrat de Licence de l'Utilisateur Final (« CLUF »), mais certains d'entre eux peuvent
nécessiter une attention particulière. Nous souhaitons Vous donner plus de détails sur la
collecte de données liée à la fourniture de nos services. Nous proposons différents services
qui sont décrits dans le Contrat de Licence de L'utilisateur Final et la documentation produit,
tels qu'un service de mise à jour/mise à niveau, ESET LiveGrid®, une protection contre toute
utilisation abusive des données, une assistance, etc. Pour que tous ces services soient
fonctionnels, Nous devons collecter les informations suivantes :
• Mise à jour et autres statistiques relatives aux informations concernant l'installation et
votre ordinateur, notamment la plate-forme sur laquelle notre produit est installé, et
informations sur les opérations et fonctionnalités de nos produits (système d'exploitation,
informations matérielles, identifiants d'installation, identifiants de licence, adresse IP,
adresse MAC, paramètres de configuration du produit).
• Hachages unidirectionnels liés aux infiltrations dans le cadre du système de réputation
ESET LiveGrid® qui améliore l'efficacité de nos solutions contre les logiciels malveillants en
comparant les fichiers analysés à une base de données d'éléments en liste blanche et liste
noire dans le cloud.
• Échantillons suspects et métadonnées génériques dans le cadre du système de
commentaires ESET LiveGrid® qui permet à ESET de réagir immédiatement face aux
besoins des utilisateurs finaux et de rester réactifs face aux dernières menaces. Nous
dépendons de Vous pour l'envoi
od'infiltrations (échantillons potentiels de virus et d'autres programmes malveillants et
suspects), d'objets problématiques, potentiellement indésirables ou potentiellement
dangereux (fichiers exécutables), de messages électroniques que Vous avez signalés
comme spam ou détectés par notre produit ;
od'informations sur les appareils du réseau local, telles que le type, le fabricant, le
modèle et/ou le nom de l'appareil ;
od'informations concernant l'utilisation d'Internet, telles que l'adresse IP et des
informations géographiques, les paquets IP, les URL et les trames Ethernet ;
ode fichiers de vidage sur incident et des informations qu'ils contiennent.
Nous ne souhaitons pas collecter vos données en dehors de ce cadre, mais cela s'avère
parfois impossible. Des données collectées accidentellement peuvent être incluses dans des
logiciels malveillants (informations collectées à votre insu ou sans votre consentement) ou
dans des noms de fichier ou des URL. Nous ne souhaitons pas que ces données fassent partie
de nos systèmes ni qu'elles soient traitées dans le but déclaré dans la présente Politique de
323
confidentialité.
• Des informations de licence, telles que l'identifiant de la licence, et des données
personnelles comme le nom, le prénom, l'adresse, l'adresse e-mail sont nécessaires pour la
facturation, la vérification de l'authenticité de la licence et la fourniture de nos services.
• Des coordonnées et des données contenues dans vos demandes d'assistance sont
requises pour la fourniture du service d'assistance. Selon le canal que Vous choisissez pour
nous contacter, Nous pouvons collecter votre adresse e-mail, votre numéro de téléphone,
des informations sur la licence, des détails sur le produit et la description de votre demande
d'assistance. Nous pouvons Vous demander de nous fournir d'autres informations pour
faciliter la fourniture du service d'assistance.
Confidentialité des données
ESET est une entreprise présente dans le monde entier par le biais d'entités affiliées et de
partenaires du réseau de distribution, de service et d'assistance ESET. Les informations
traitées par ESET peuvent être transférées depuis et vers les entités affiliées ou les
partenaires pour l'exécution du CLUF (pour la fourniture de services, l'assistance ou la
facturation, par exemple). Selon votre position géographique et le service que Vous
choisissez d'utiliser, il est possible que Nous devions transférer vos données vers un pays en
l'absence de décision d'adéquation de la Commission européenne. Même dans ce cas,
chaque transfert d'informations est soumis à la législation en matière de protection des
données et n'est effectué que si cela s'avère nécessaire. Des clauses contractuelles standard,
des règles d'entreprise contraignantes ou toute autre protection adéquate doivent être mises
en place, sans aucune exception.
Nous faisons tout notre possible pour éviter que les données soient stockées plus longtemps
que nécessaire, tout en fournissant les services en vertu du Contrat de Licence de
l'Utilisateur Final. Notre période de rétention peut être plus longue que la durée de validité de
votre licence, pour vous donner le temps d'effectuer votre renouvellement. Des statistiques
réduites et rendues anonymes et d'autres données anonymes d'ESET LiveGrid® peuvent être
traitées ultérieurement à des fins statistiques.
ESET met en place des mesures techniques et organisationnelles adéquates pour assurer un
niveau de sécurité adapté aux risques potentiels. Nous faisons tout notre possible pour
garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes
et des services de traitement. Toutefois, en cas de violation de données entraînant un risque
pour vos droits et libertés, Nous sommes prêts à informer l'autorité de contrôle ainsi que les
personnes concernées. En tant que personne concernée, Vous avez le droit de déposer une
plainte auprès d'une autorité de contrôle.
Droits des personnes concernées
ESET est soumise à la réglementation des lois slovaques et est tenue de respecter la
législation en matière de protection des données de l'Union européenne. Sous réserve des
conditions fixées par les lois applicables en matière de protection des données, en tant que
324
personne concernée, les droits suivants Vous sont conférés :
• droit de demander l'accès à vos données personnelles auprès d'ESET,
• droit à la rectification de vos données personnelles si elles sont inexactes (Vous avez
également le droit de compléter les données personnelles incomplètes),
• droit de demander l'effacement de vos données personnelles,
• droit de demander de restreindre le traitement de vos données personnelle,
• le droit de s'opposer au traitement des données
• le droit de porter plainte et
• droit à la portabilité des données.
Si vous souhaitez exercer vos droits en tant que personne concernée ou si vous avez une
question ou un doute, envoyez-nous un message à l'adresse suivante :
ESET, spol. s r.o.
Data Protection Officer
Einsteinova 24
85101 Bratislava
Slovak Republic
dpo@eset.sk
325

Manuels associés