Paramètres antivirus et HIPS : guide des paramètres du contrôle planifié
Nous vous recommandons d'utiliser les paramètres de contrôle par défaut dans vos stratégies antivirus et HIPS, car ils constituent le meilleur compromis entre la protection de votre réseau contre les menaces et les performances générales du système. En revanche, si les performances ne constituent pas un problème, nous vous conseillons d'activer tous les paramètres pour une meilleure protection. Il y a peut-être d'autres raisons pour lesquelles vous pouvez souhaiter ajuster les paramètres par défaut.
Chaque fois que vous envisagez de changer les paramètres par défaut, utilisez le guide suivant pour comprendre quelles conséquences vos changements ont à la fois sur les performances du système et sur votre protection contre les menaces.
Dans cet article : Paramètres du contrôle planifié | Configurer les paramètres du contrôle et de nettoyage | Extensions et exclusions
Pour les paramètres du contrôle sur accès, reportez-vous au Guide des paramètres antivirus et HIPS (contrôles sur accès).
Paramètres du contrôle planifié
| Nom du paramètre | Par défaut | Commentaires |
|---|---|---|
| Disques durs locaux | Activé | Nous vous conseillons de contrôler les disques durs locaux au moins une fois par semaine. |
| Disquette et lecteurs amovibles | Désactivé | Si vous gardez régulièrement un lecteur amovible connecté à votre ordinateur, vous pouvez l'inclure dans le contrôle. En revanche, si vous supprimez souvent le lecteur amovible, utilisez le contrôle sur accès ou cliquez avec le bouton droit de la souris sur le lecteur dans Windows pour en réaliser le contrôler lorsque vous le reconnectez à l'ordinateur. |
| Lecteurs de CD-ROM | Désactivé | Si vous laissez régulièrement un CD-ROM ou un DVD-ROM dans votre lecteur, vous pouvez l'inclure dans le contrôle. En revanche, si vous changez souvent de disques, utilisez le contrôle sur accès ou réalisez le contrôle du lecteur lorsque vous insérez le disque dans l'ordinateur. |
| Jours d'exécution du contrôle |
Lundi, mardi, mercredi, jeudi, vendredi Activé |
Pour vous faciliter la tâche, nous avons paramétré une planification par défaut les jours ouvrés. Vous pouvez changer cela comme vous le désirez. |
| Jours d'exécution du contrôle |
Samedi, Dimanche Désactivé |
Pour les serveurs de fichiers, vous préférez peut-être paramétrer un contrôle qui aura lieu en période creuse, comme le weekend. |
| Heure d'exécution du contrôle | 21:00 | Nous vous conseillons de planifier ce contrôle pour qu'il s'exécute à un moment de la journée où l'ordinateur est normalement allumé, mais où cela ne gêne pas l'utilisateur.
Ce paramètre utilise le format d'horloge 24 heures. |
Configurer...
Onglet Contrôle
| Nom du paramètre | Par défaut | Commentaires |
|---|---|---|
| Contrôle de l'intérieur des fichiers archive | Désactivé |
Lorsque vous activez ce paramètre, ce dernier ajoute les formats de fichiers archive les plus répandus dans la liste des extensions qui sont vérifiées par le contrôle sur accès. Nous vous conseillons de ne pas effectuer de contrôle à l'intérieur des fichiers archive au cours de vos contrôles hebdomadaires car cela rallonge grandement l'opération. Nous vous conseillons à la place d'utiliser les contrôles sur accès (en lecture et en écriture) pour protéger votre réseau (sans contrôler à l'intérieur des fichiers archive) : tous les composants d'une archive décompactée pouvant être du malware seront bloqués par les contrôles en lecture et en écriture s'ils font l'objet d'un accès. Si vous voulez contrôler toutes les archives sur quelques ordinateurs à l'aide d'un contrôle planifié, nous vous conseillons de paramétrer un contrôle supplémentaire et d'ajouter seulement les extensions des archives à la liste des extensions à contrôler (et assurez-vous que l'option Contrôler tous les fichiers est désactivée). Ceci vous permettra de contrôler les fichiers archive au cours d'une opération aussi courte que possible. Veillez aussi à bien paramétrer un contrôle planifié régulier pour les ordinateurs qui s'occupera des extensions de fichiers exécutables et infectables. |
|
Rechercher les virus Macintosh |
Désactivé | Si votre réseau comporte des Mac ou si vous échangez régulièrement des fichiers qui peuvent être ouverts et édités dans un environnement Mac, activez ce paramètre. |
|
Contrôler la mémoire système |
Activé |
Si vous activez Contrôler la mémoire système, le contrôle sur accès exécute toutes les heures des contrôles de la mémoire système en tâche de fond. Il nous permet de détecter le malware caché dans la mémoire système (mémoire du noyau). Le contrôle de la mémoire système lit les zones de la mémoire système ou y écrit dedans en réponse aux demandes du moteur viral. Il n'est pas exécuté sur les systèmes d'exploitation x64 car il n'est pas jugé nécessaire par les SophosLabs. |
|
Exécuter un contrôle avec une priorité inférieure |
Désactivé |
Cette option est seulement disponible sur les plates-formes Windows Vista SP2 et supérieur. Les contrôles à la demande mettent ainsi plus longtemps à s'exécuter. |
|
Rechercher les rootkits |
Activé |
Autoriser la recherche automatique des rootkits. |
| Rechercher les adwares/PUA | Activé |
Les applications potentiellement indésirables (PUA, Potentially Unwanted Applications) sont des applications du type logiciel de surveillance PC et des blagues. Les SophosLabs incluent la détection des PUA connues dans les données de détection des menaces, elles-mêmes incluses dans vos mises à jour Endpoint Security and Control updates. Nous vous conseillons d'autoriser au départ les applications légitimes, comme les outils d'administration, en réalisant un contrôle planifié de votre réseau et en identifiant les applications légitimes et en les autorisant dans l'Enterprise Console. Ensuite, nous vous conseillons d'activer le contrôle sur accès pour bloquer à l'avenir les applications non autorisées. Pour plus d'instructions détaillées, reportez-vous au Guide de déploiement de l'administrateur pour une protection contre les applications potentiellement indésirables (PUA). Sachez que vous aurez à exécuter un contrôle planifié pour nettoyer tous les PUA trouvées par le programme de contrôle sur accès, vous devez donc garder ce paramètre activé. Les Labs examinent régulièrement les définitions de leurs PUA pour s'assurer que les nouveaux programmes aux intentions malveillantes ou immorales peuvent être bloqués de votre réseau. |
| Rechercher les fichiers suspects (HIPS) | Activé |
Les fichiers suspects sont des fichiers qui contiennent du code généralement utilisé dans les malwares. Comme il n'existe aucun moyen pour un programme de contrôle antivirus de connaître le contexte d'un fichier (par exemple, pour savoir que tel fichier écrit par l'un de vos ingénieurs logiciel est sûr), nous signalons tout fichier suspect possible. Cela peut conduire à quelques détections indisérables, mais nous estimons qu'il est important de mettre l'accent sur tous les fichiers potentiellement dangereux afin que tout un chacun puisse ensuite en fournir le contexte. Ce paramètre est activé par défaut car nous vous conseillons d'autoriser tout d'abord les fichiers légitimes, comme ceux écrits par vos employés. Pour cela, exécutez un contrôle planifié de votre réseau en identifiant les fichiers légitimes et en les autorisant dans l'Enterprise Console, puis activez le contrôle sur accès pour détecter les applications non autorisées à l'avenir. Lorsque les contrôles sur accès sont activés, vous pouvez soit désactiver ce paramètre dans vos contrôles planifiés, soit le laisser activé pour une protection optimale. Pour plus d'informations sur HIPS, veuillez consulter l'article de la base de connaissances suivant : http://www.sophos.fr/support/knowledgebase/article/48765.html |
| Activer la recherche des rootkits | Désactivé | Pour une protection optimale, nous vous conseillons de rechercher les rootkits lors de votre contrôle hebdomadaire. Par contre, la plupart des rootkits seront découverts par le contrôle sur accès, c'est pourquoi ce paramètre est désactivé par défaut. |
Onglet Nettoyage
| Nom du paramètre | Par défaut | Commentaires |
|---|---|---|
| Nettoyer automatiquement les éléments contenant un virus/spyware | Désactivé |
Évidemment, vous pouvez, si vous le voulez, paramétrer cette option pour obtenir un nettoyage automatique de tous les malwares trouvés, mais nous vous laissons décider : vous pouvez avoir vos propres procédures de nettoyage du malware, c'est pourquoi nous ne voulons pas effectuer d'opérations sans votre consentement. Par exemple, vous pouvez préférer laisser en quarantaine les éléments détectés jusqu'à ce vous puissiez vous en occuper. Lorsque le programme de contrôle antivirus nettoie automatiquement les éléments contenant un virus ou un spyware, il détruit tous les éléments qui sont du malware pure et essaie de désinfecter tous les éléments qui ont été infectés. Ces fichiers désinfectés doivent être considérés comme définitivement endommagés, car le contrôle viral ne peut pas savoir ce que contenait le fichier avant qu'il ne soit endommagé : il peut uniquement nettoyer le code qui a été injecté par le virus. |
| En option si le nettoyage n'est pas possible ou pas voulu | Refuser uniquement l'accès |
L'option par défaut ‘Refuser uniquement l'accès’ signifie que le programme de contrôle viral vous demande ce qu'il faut faire avant de continuer. Tant que le programme de contrôle sur accès est activé, tout élément trouvé dans un contrôle est bloqué jusqu'à ce que vous indiquiez l'opération à réaliser au programme. Les autres options ‘Supprimer’ et ‘Refuser l'accès et déplacer’ peuvent être utilisées dans des circonstances particulières, comme quand le support technique Sophos vous aide à nettoyer les malwares sur votre réseau. Nous ne vous conseillons pas d'autoriser le programme de contrôle viral à supprimer automatiquement les fichiers infectés, car parfois des fichiers légitimes peuvent être détectés. Si vous activez ce paramètre, vérifiez régulièrement les journaux pour vous assurer que vous n'avez pas supprimé des fichiers importants. |
| Nettoyer automatiquement les adwares et PUA | Désactivé | Sélectionnez seulement cette option si vous êtes sûr d'avoir approuvé tous les programmes légitimes possibles de votre réseau. |
| Fichiers suspects | Refuser uniquement l'accès |
L'option par défaut ‘Refuser uniquement l'accès’ signifie que le programme de contrôle viral vous demande ce qu'il faut faire avant de continuer. Tant que le programme de contrôle sur accès est activé, tout élément trouvé dans un contrôle est bloqué jusqu'à ce que vous indiquiez l'opération à réaliser au programme. Nous vous conseillons d'utiliser le paramètre Refuser uniquement l'accès car ainsi, vous pouvez autoriser tous les programmes légitimes d de l'Enterprise Console. |
Extensions et exclusions
| Nom du paramètre | Par défaut | Commentaires |
|---|---|---|
| Contrôler tous les fichiers | Désactivé |
Il est conseillé de contrôler tous les fichiers lors d'un contrôle hebdomadaire. Si vous activez ce paramètre, il est inutile d'activer les autres options de cette section. |
| Contrôle des fichiers exécutables et infectés | Activé | Si vous ne contrôler pas tous les fichiers de l'ordinateur lors d'un contrôle planifié, nous vous conseillons de toujours activer ce paramètre. Lorsqu'il est activé, ce contrôle vérifie tous les fichiers avec des extensions de fichiers exécutables (par exemple, '.EXE', '.BAT', '.PIF') ou des fichiers qui sont susceptibles d'être infectés (par exemple, '.DOC', '.CHM', '.PDF'). Il vérifie aussi rapidement la structure de tous les fichiers et les contrôle si leur format est celui d'un fichier exécutable.
Si vous voulez contrôler des types de fichiers supplémentaires, vous pouvez ajouter les extensions de ces fichiers à la liste à contrôler à l'aide du bouton Ajouter. |
| Contrôler les fichiers sans extension | Activé |
Etant donné que les fichiers sans extension peuvent être du malware, activez toujours la détection sur accès. |
| Exclusions Windows/Linux/UNIX |
Aucune option d'exclusion n'est paramétrée par défaut Les exclusions dans cette partie concernent les fichiers, les dossiers et les lecteurs. Généralement, il est préférable de ne rien exclure d'un contrôle intégral pour s'assurer que tous vos fichiers, dossiers et lecteurs sont vérifiés une fois par semaine. |
Si vous avez besoin de plus d'informations ou d'instructions, veuillez contacter le support technique.
- ID article : 63985
- Créé le : 5 oct 2009
- Mis à jour le : 10 mai 2011
