Antivirus and Security Software from Sophos

Support en ligne

Maintenance des produits

Contacter le support

Services du support

Centres de ressources

Guide administrateur de déploiement de la protection contre les applications potentiellement indésirables (PUA)

Sophos Anti-Virus pour Windows 2000+, version 6.0 et supérieures, fournit une protection contre un grand nombre d'adwares et d'applications potentiellement indésirables (PUA) répandus. Il inclut la détection des PUA et le nettoyage des fichiers, des entrées de registre et des processus en mémoire

Sachez que le contrôle des PUA n'est pas disponible pour les ordinateurs Windows NT/95/98/Me.

PUA est un terme utilisé pour décrire les applications qui, tout en étant non malveillantes, sont généralement considérées comme inappropriées sur les réseaux professionnels. Les principales catégories de PUA sont les adwares, les composeurs, les spywares non malveillants, l'outil d'administration à distance et l'outil de piratage. Pourtant, certaines applications qui peuvent tomber dans la catégorie des PUA peuvent être considérées comme utiles par certaines utilisateurs.

Sophos conseille de déployer la protection contre les PUA par étapes sur votre réseau. Ceci vous donnera l'occasion d'évaluer la menace posée à votre système, de décider des mesures appropriées à prendre et de réduire la probabilité de perturbation pour l'utilisateur.

Cet article décrit le système du déploiement par étapes de la protection contre les PUA. Il a été conçu pour servir de complément au manuel utilisateur et à l'aide en ligne fournis avec votre console. Il ne doit donc pas être considérée comme un substitut de la documentation sur les produits.

Connu pour s'appliquer aux produits et aux versions Sophos suivantes
Enterprise Console 4.7.0
Enterprise Console 5.0.0
Sophos Enterprise Manager 4.7.0

Aperçu

  • La détection et la suppression des PUA sont configurées dans la stratégie Sophos Anti-Virus sous le volet 'Stratégies' de la console. Vous pouvez configurer une stratégie antivirus nouvelle ou existante comme le décrivent l'aide ou la documentation de votre console.
  • Si vous n'avez pas précédemment contrôlé vos ordinateurs à la recherche de PUA avant de les supprimer, il est très vraisemblable que vous trouviez les PUA sur votre réseau. Dans certains cas, un grand nombre de ces applications peut être installé. Le déploiement du contrôle par étapes vous permet de traiter plus facilement toutes les PUA détectées.
  • Il est conseillé de seulement activer le contrôle sur accès pour à la recherche des PUA comme étape finale d'un déploiement par étapes telle que cela est décrit ici.
  • L'activation du contrôle des PUA et l'introduction du nettoyage sur votre réseau peut avoir les conséquences suivantes sur les utilisateurs du réseau :
    • Les utilisateurs qui ont des PUA qu'ils considèrent comme désirables remarqueront peut-être que des applications ont été supprimés de leurs ordinateurs sans leur consentement.
    • Pour terminer la suppression d'une PUA indésirable, les utilisateurs auront peut-être à redémarrer leurs ordinateurs.
  • Vous devez vous familiariser avec la stratégie de votre entreprise concernant les PUA et décider s'il est acceptable que certaines de ces applications fonctionnent sur les ordinateurs des utilisateurs.
  • Des descriptions des PUA sont données sur le site Web de Sophos. Votre entreprise peut vouloir utiliser les informations fournies ici, pour vous aider à décider d'autoriser ou non une PUA donnée ou de la supprimer.
    • Si votre entreprise permet certaines PUA sur le réseau, vous devrez configurer vos stratégies afin que les PUA spécifiées soient 'autorisées'. Ce qui signifie qu'elles sont exclues du contrôle et du nettoyage.
    • Si votre entreprise n'autorise pas ces applications, vous pouvez régulièrement contrôler et nettoyer votre réseau sans avoir à autoriser ces PUA.

Remarque : le support technique Sophos ne peut vous conseiller quant à la suppression ou à l'autorisation d'une application.

  • En paramétrant et en gérant soigneusement les groupes et les stratégies, vous pouvez personnaliser le contrôle et le nettoyage des PUA selon les besoins d'une variété d'utilisateurs sur votre réseau. Par exemple, pour certains utilisateurs, vous pouvez détecter et supprimer toutes les PUA, tandis que pour d'autres, vous pouvez vouloir autoriser les PUA données pour leur utilisation, et en supprimer d'autres. Vous pouvez effectuer ceci en regroupant tous les utilisateurs avec les mêmes besoins, puis appliquer une stratégie appropriée à chaque groupe.

Détection et nettoyage des PUA

La détection des PUA doit être activée pour les contrôles sur accès et planifié.

Contrôle planifié - vous pouvez utiliser un contrôle planifié pour activer la contrôle des PUA et paramétrer un nettoyage automatique. La suppression des PUA peut être effectuée depuis votre console ou vous pouvez configurer un contrôle planifié pour les supprimer. Sachez qu'un ordinateur affecté peut nécessiter un redémarrage afin que certaines PUA soient complètement supprimées.

Cntrôle sur accès - Le contrôle sur accès peut assurer une protection contre les PUA en interceptant les fichiers au fur et à mesure qu'ils font l'objet d'un accès, mais n'assure pas le nettoyage. Certaines applications 'surveillent' les fichiers et tentent d'y accéder régulièrement. Si le contrôle sur accès est activé, il détecte chaque accès et affiche les alertes sur l'ordinateur affecté et alerte par ailleurs votre console.

Remarque :
si vous activez initialement le contrôle sur accès à la recherche des PUA, (plutôt qu'après le déploiement par étapes décrit ici), les utilisateurs peuvent voir le nombre des alertes PUA sur leurs ordinateurs. Ceci peut entraîner des problèmes s'ils n'ont pas encore vu les avertissements PUA et peut aussi générer de nombreux appels téléphoniques à l'équipe du support technique de votre entreprise.

Par conséquent, le contrôle sur accès à la recherche des PUA doit seulement être activé comme étape finale d'un processus de déploiement par étapes, après que vous avez contrôlé votre réseau et supprimé tous les logiciels indésirables.

Valeurs par défaut Sophos

Les valeurs par défaut suivantes existent :

  • Si vous installez Sophos Anti-Virus sur un réseau sur lequel aucune version antérieure de Sophos Anti-Virus est installé, le contrôle à la recherche des PUA est activé par défaut pour les contrôles planifiés.
  • Si votre réseau a été précédemment mis à niveau depuis Sophos Anti-Virus version 5 ou une version antérieure, ou Sophos Enterprise Console version 1.0, il se peut que la détection des PUA n'ait pas été activée pour tous les contrôles.
  • La détection des PUA n'est pas activée dans les paramètres de contrôle sur accès.

Toutes les applications potentiellement indésirables qui sont détectées apparaîtront dans le Gestionnaire de quarantaine.

Configuration d'un déploiement par étapes

Avant de commencer, sachez que vous devez avoir une bonne connaissance des procédures de configuration et d'utilisation des groupes et des stratégies, y compris savoir comment appliquer des stratégies aux groupes sélectionnés. Aucune étape de procédure détaillée n'est donnée dans cet article pour ces opérations de routine. Elles sont disponibles dans les sections correspondantes de l'aide ou de la documentation de votre console.

Action à mener

Récapitulatif

  1. Création d'une structure de groupe
  2. Création de stratégies PUA
  3. Création d'un plan de déploiement
  4. Déploiement
  5. Autorisation et nettoyage
  6. Fin du déploiement
  7. Maintenance

1. Création d'une structure de groupe

Planifiez et créez une structure de groupe adaptée à un déploiement par étapes. Décidez quelle est la taille gérable des groupes que vous créez, afin que vous puissiez facilement vous occuper des mesures de contrôle et de nettoyage lors du déploiement initial.

Les groupes peuvent être divisés en sous-groupes et une stratégie PUA spécifique peut être appliquée à chaque groupe ou sous-groupe. En fonction de leurs besoins individuels, les utilisateurs doivent être affectés à chaque groupe. Par exemple, si certains utilisateurs veulent conserver une PUA donnée sur leurs ordinateurs, ils doivent tous être placés dans un même groupe.

2. Création de stratégies PUA

Créez une ou plusieurs stratégies PUA pour répondre aux besoins de chacun des groupes que vous avez créés. Ces stratégies peuvent inclure la configuration de contrôles planifiés et la création de listes autorisées.

  1. Ouvrez une stratégie antivirus ou créez-en une nouvelle, afin de configurer la stratégie antivirus requise.
  2. Dans le volet 'Contrôle planifié', créez un nouveau contrôle ou choisissez de modifier celui existant. Assurez-vous que l'heure que vous choisissez pour l'exécution des contrôles planifiés cadre avec le plan de déploiement global que vous créez.
  3. Sous 'Configurer...' dans l'onglet Contrôle, dans le volet 'Contrôler les fichiers à la recherche de', sélectionnez 'Adwares et PUA'. Cliquez sur OK.

3. Création d'un plan de déploiement

Planifiez en détail quand vous appliquerez les stratégies aux groupes donnés. Arrangez-vous pour exécuter ceci par étapes, en travaillant sur quelques groupes à la fois.

Si vous avez des groupes importants, vous pouvez les diviser en groupes plus petits, en partageant la même stratégie, mais en appliquant la stratégie à des heures différentes. Ceci permet de répartir le contrôle sur une certaine durée et vous permet d'avoir suffisamment de temps pour consulter les résultats du contrôle sur ce groupe, et de mettre en place votre stratégie choisie de nettoyage et/ou d'autorisation.

4. Déploiement

  1. Conformément à votre plan de déploiement, appliquez la première de vos stratégies au premier de vos groupes. Le contrôle s'effectuera tel qu'il a été planifié. Il est possible que l'opération prenne un certain temps.
  2. Dans la console, cliquez deux fois sur les ordinateurs du groupe pour afficher la fenêtre 'Détails de l'ordinateur'.


    Voir l'image
  3. Vérifiez la date et l'heure par rapport au statut 'Fin du dernier contrôle planifié' (disponible dans la boîte de dialogue des détails de l'ordinateur ou dans l'onglet 'Détails de l'antivirus' de la vue principale de la console), pour s'assurer qu'il s'est exécuté correctement.
  4. Après le contrôle, la console affiche le statut en cours de chaque ordinateur. Si une PUA a été détectée, une alerte apparaît dans la section 'Alertes à traiter'. Ceci indique quand la PUA a été détectée pour la première fois, son nom et le type d'application.


    Voir l'image
  5. La liste des menaces est hiérarchique. Une menace virale remplace une menace une menace PUA. Il est conseillé de nettoyer les menaces virales avant les PUA. Reportez-vous à la section sur le nettoyage des ordinateurs dans le manuel de votre console et à l'article de la base de connaissances 'Sophos Anti-Virus : suppression des virus sur l'ordinateur local' pour des instructions sur le nettoyage des virus.

5. Autorisation et nettoyage

  1. Une fois que contrôle planifié est terminé sur tous les ordinateurs du groupe, ouvrez le stratégie que vous avez appliquée à ce groupe. Dans la boîte de dialogue 'Stratégie antivirus et HIPS', cliquez sur le bouton 'Autorisation...' et sélectionnez l'onglet 'Adwares et PUA'.
  2. Dans la boîte de dialogue 'Gestionnaire d'autorisation', tous les PUA qui ont été détectés par le contrôle apparaissent dans la liste 'Adwares et PUA connus'. Lorsque les contrôles qui suivent détectent des PUA supplémentaires, ils sont ajoutés à cette liste. Vous devez visualiser cette liste même si vous planifiez de vous protéger contre toutes les PUA. Elle peut contenir des applications que vous ne considérez pas comme des PUA ou contenir des applications à propos desquelles vous avez besoin de plus d'informations avant de décider comment les gérer.
  3. À partir d'ici, vous pouvez sélectionner des PUA que vous voulez autoriser et les déplacer dans la liste 'Adwares et PUA autorisés'. Lorsque vous autorisez une application, tous les ordinateurs du groupe sur lesquels cette stratégie est appliquée peuvent exécuter l'application sans aucune restriction (c'est-à-dire qu'elle ne sera pas détectée ou supprimée).
  4. Pour nettoyer les applications indésirables restantes, cliquez avec le bouton droit de la souris sur un ordinateur individuel ou sur un groupe d'ordinateurs et sélectionnez 'Résoudre les alertes et les erreurs...'.
  5. Dans l'onglet 'Alertes', vous pouvez filtrer les résultats dans le menu déroulant 'Afficher :' simplement pour 'Adwares et PUA'
  6. Sélectionnez les éléments que vous voulez nettoyer et sélectionnez 'Nettoyage'. Tous les éléments que vous voulez ignorer peuvent être effacés avec le bouton 'Approuver'. Les menaces sont listées par ordinateur et par application. Si besoin est, l'option 'Tout sélectionner' peut être choisie.
  7. À partir de là, vous pouvez voir qu'une fois que vous avez exécuté une action contre une PUA qui figurait dans la liste de la section 'Alertes à traiter', elle est déplacée dans la section 'Historique' de la fenêtre 'Détails de l'ordinateur'. Un statut mis à jour apparaît et l'action qui a été exécutée figure dans la liste en regard de chaque PUA nommée.


    Voir l'image .

  8. Si le processus de nettoyage

    • exige un redémarrage pour se terminer, une alerte 'Redémarrer l'ordinateur' apparaît dans la section 'Détails de l'ordinateur' de l'Enterprise Console.


      Voir l'image

    • n'est pas disponible pour une menace donnée ou si la tentative de nettoyage a échoué, la menace continue de figurer dans la section 'Alertes à traiter' de l'écran 'Détails de l'ordinateur'. Dans ce cas, reportez-vous aux pages d'analyse des PUA du site Web de Sophos pour plus d'informations sur la suppression d'une application indésirable donnée.

6. Fin du déploiement

Répétez les procédures des deux sections précédentes Déploiement et Autorisation et nettoyage, avec votre second groupe et les suivants, jusqu'à ce que tous les ordinateurs de votre réseau aient un contrôle initial et une autorisation ou un nettoyage.

7. Maintenance

Après avoir terminé le déploiement du contrôle des PUA sur tous les ordinateurs de votre réseau, le statut de ce dernier concernant les PUA doit être ainsi :

  • tous les ordinateurs de votre réseau ont été contrôlés,
  • toutes les PUA détectées apparaissent dans les 'Applications connues',
  • si nécessaire, vous avez autorisé des PUA sélectionnées afin qu'elles soient exclues des contrôles à venir
  • toutes les PUA indésirables ont été nettoyées de votre réseau.

Vous devez maintenant mettre en place une stratégie pour vous assurer que votre réseau reste dépourvu de PUA. Il est conseillé d'exécuter un contrôle planifié avec le contrôle des PUA activé sur tous les ordinateurs une fois par jour.

Le nettoyage automatique des PUA est disponible pour un contrôle planifié, mais il est conseillé de contrôler le nettoyage de l'Enterprise Console.

Sophos vous conseille d'activer maintenant le contrôle des PUA pour le contrôle sur accès. Si une PUA est détectée, par défaut, l'utilisateur de l'ordinateur infecté recevra une alerte. L'alerte sera aussi affichée dans l'Enterprise Console.

Si vous avez besoin de plus d'informations ou d'instructions, veuillez contacter le support technique.