Les paramètres antivirus et HIPS recommandés, qui sont aussi définis comme l'option par défaut pour une nouvelle stratégie dans une nouvelle installation de la console, sont configurés pour assurer la meilleure protection telle que recommandée par les SophosLabs.
Pour une utilisation normale, Sophos recommande que vous exécutiez Antivirus et HIPS avec les paramètres par défaut. Si le contrôle sur accès supplémentaire est activé, davantage de ressources système peuvent être consommées, ce qui peut augmenter l'utilisation de l'unité centrale lors du démarrage. .
Connu pour s'appliquer aux produits et aux versions Sophos suivants
Sophos Endpoint Security and Control 10.0
Les paramètres par défaut sont les suivants :
- Le contrôle des fichiers est activé en lecture, en écriture et au moment de renommer.
- Le contrôle sur accès des fichiers archives est 'désactivé'
- Le contrôle sur accès à la recherche des applications potentiellement indésirables est 'activé'
- Le contrôle des fichiers est paramétré sur 'uniquement les exécutables et autres fichiers vulnérables'
- 'Détecter les comportements malveillants' est activé
- 'Détecter les comportements suspects' est paramétré sur 'Alerter uniquement'
- 'Détecter les dépassements de mémoire tampon' est activé
- La protection Live est activée
- Le contrôle de la mémoire système est activé
- 'Bloquer l'accès aux sites Web malveillants' est 'activé'
- 'Nettoyer automatiquement les éléments contenant un virus/spyware' est activé
- Si aucun nettoyage n'est souhaité, l'action est paramétrée sur 'Refuser l'accès uniquement'.
Important : veuillez vous reporter à l'article 27267 de la base de connaissances pour plus de détails sur nos tout derniers paramètres de protection recommandés. Ceux-ci sont définis par défaut pour toutes les nouvelles installations.
Les informations ci-dessous sont fournies pour expliquer les paramètres principaux.
Contrôle en lecture
Cette option doit être activée dans pratiquement toutes les circonstances. Le contrôle sur accès assure une vérification virale de vos stations de travail. Tous les fichiers qui sont ouverts par l'ordinateur sont vérifiés avant qu'ils ne s'exécutent.
Contrôle en écriture
Le contrôle en écriture est utile pour suivre à la trace la source d'infection sur votre réseau ou si des fichiers infectés sont écrits depuis Internet. Les fichiers écrits sur votre disque dur par votre ordinateur, ou un autre ordinateur, seront vérifiés lorsqu'ils seront créés. Ceci empêchera un virus de propager des fichiers infectés sur tous les partages ouverts de votre réseau.
Le contrôle en écriture est très utile pour suivre à la trace un virus qui se propage sur des partages réseau, même si vous devez aussi vérifier l'utilisation du partage de fichiers sur votre réseau, en particulier la sécurité des partages administratifs.
Contrôle au moment de renommer
Le contrôle au moment de renommer peut être utile dans des circonstances semblables au contrôle en écriture, sauf que le fichier en question aura été écrit comme s'il s'agissait d'un fichier non exécutable, puis renommé pour le rendre exécutable. Utilisez le contrôle au moment de renommer dans les mêmes circonstances que le contrôle en écriture.
Contrôle sur accès des fichiers archivés
Le contrôle sur accès des fichiers archives consomme beaucoup de mémoire. Si le contrôle sur accès des fichiers archives est en cours d'utilisation, chaque fois qu'un tel fichier est visualisé dans Windows Explorer, son contenu est vérifié intégralement. Si le fichier est une archive auto-extractible, le composant auto-extractible sera vérifié avec les paramètres de contrôle sur accès par défaut. Il n'est donc pas nécessaire de vérifier toutes les fois l'intégralité du fichier avec le contrôle sur accès.
L'augmentation de la mémoire et de l'utilisation de l'unité centrale provoquée par le contrôle des fichiers archivés est gaspillé si le fichier ne fait alors l'objet d'aucun accès. Il n'est pas nécessaire d'utiliser le contrôle sur accès des archives sur une station de travail.
- Si vous avez besoin de vérifier une archive avant de l'ouvrir, utilisez un contrôle par clic droit. Le contenu du fichier sera quand même vérifié par le contrôle sur accès avant que vous ne l'exécutiez.
- Si vous avez besoin de vérifier un groupe de fichiers archivés, placez-les tous dans le même dossier et effectuez un contrôle par clic droit de ce dossier.
- Si vous avez besoin de vérifier les fichiers archivés sur un serveur de fichiers, utilisez un contrôle planifié.
Le contrôle sur accès des fichiers archivés peut être utile lorsqu'un serveur vérifie des fichiers avant de les réacheminer vers les stations de travail clientes, par exemple dans le cadre du trafic de transit. Il ne doit pas faire partie d'une configuration réseau standard.
Contrôle sur accès à la recherche des applications potentiellement indésirables
Les applications potentiellement indésirables (PUA, Potentially unwanted applications) sont des programmes qui doivent être utilisés avec précaution. Certaines d'entre elles (par exemple, les outils d'accès au réseau ou les clients de messagerie instantanée) peuvent être utiles pour certains employés. Si un tel programme est déjà en cours d'utilisation sur votre réseau et s'il est ensuite ajouté par Sophos à la liste des applications potentiellement indésirables, il sera bloqué immédiatement.
Utilisez des contrôles planifiés pour gérer les PUA dans un environnement de bureau. Vous pouvez ensuite décider quelles applications autoriser et lesquelles bloquer, sans bouleverser l'activité sur votre réseau.
Contrôle de 'Tous les fichiers'
Un contrôle de 'Tous les fichiers' doit être utilisé pour vérifier que tous les composants d'un virus ont été supprimés après la désinfection, mais il n'est pas nécessaire d'en faire une utilisation générale.
Le contrôle 'Exécutables seulement' standard vérifie tous les fichiers ayant des extensions de fichiers exécutables (par exemple, '.DOC', '.EXE', '.LNK', '.PIF'). Il vérifie aussi rapidement la structure de tous les fichiers et les contrôle si leur format est celui d'un fichier exécutable.
- Si vous voulez contrôler des types de fichiers supplémentaires, vous pouvez ajouter ces extensions de types de fichiers à la liste des exécutables contrôlés.
- Si vous préférez effectuer une vérification occasionnelle de tous les fichiers sur votre ordinateur, paramétrez un contrôle planifié hebdomadaire à un moment plus tranquille (par exemple, un dimanche après-midi).
Lors d'un contrôle de tous les fichiers sur un ordinateur, sachez que :
- Un contrôle de tous les fichiers peut prendre beaucoup plus de temps qu'un contrôle des exécutables seulement.
- Vous devez rarement, si ce n'est jamais, avoir besoin de supprimer un fichier non exécutable.
- Soyez prudent lors de la suppression des fichiers avec un contrôle de tous les fichiers. Vous pourriez supprimer des boîtes de messagerie contenant un courriel infecté ou archiver des fichiers contenant seulement un fichier infecté parmi beaucoup d'autres.
Nettoyer automatiquement les éléments contenant un virus/spyware
Dans Endpoint 10, le paramètre 'Nettoyer automatiquement les éléments contenant un virus/spyware' est activé par défaut pour le contrôle sur accès. Le fait d'avoir cette option activée signifie qu'il y a moins de travail administratif à traiter les malwares signalés à la console. Cette option signifie également que vous ne verrez pas les éléments sujets à des alertes sur le Tableau de bord et/ou en face du nom de l'ordinateur client dans la console car l'élément de malware a été traité avec succès. L'historique des alertes et le signalement inclura en revanche tous les événements de détection de malwares.
Nous conseillons fortement de laisser l'action de suivi sur 'Refuser l'accès uniquement'.
Détecter les comportements malveillants
Le comportement malveillant doit être activé pour la protection HIPS et l'option parent pour le comportement suspect. La désactivation du comportement malveillant désactive complètement HIPS. Nous recommandons de laisser cette option sélectionnée (cochée).
Détecter les comportements suspects
Le comportement suspect détecte les éléments qui se comportent comme du malware mais qui peuvent être autorisés si vous reconnaissez le fichier/programme. Par défaut, l'option est activée mais l'option de transition 'Alerter uniquement' signifie que les fichiers ne sont pas bloqués.
Si vous effectuez une mise à niveau vers Endpoint 10 et souhaitez en savoir plus sur comment vos paramètres sont migrés, veuillez consulter l'article 114528.
Détecter les dépassements de mémoire tampon
Les attaques par dépassement de la mémoire tampon peuvent constituer un risque similaire au comportement suspect. Si vous reconnaissez le fichier/processus en cours d'exécution, alors vous pouvez autoriser l'élément.
Protection Live
La protection Live Sophos améliore la détection des nouveaux malwares sans le risque des détections indésirables. Cela se fait en exécutant une recherche instantanée par rapport aux tout derniers malwares connus. Lorsque de nouveaux malwares sont identifiés, Sophos peut envoyer les mises à jour en quelques secondes. Pour avoir ce niveau élevé de protection, conservez le paramètre par défaut 'Activé'.
Pour plus d'informations, consultez l'article 110921.
Autres paramètres pour une meilleure protection dans la version 10.0
Les paramètres suivants pour une meilleure protection ont aussi été inclus dans la version 10.0.
- Nettoyage automatique pour les détections du contrôle planifié.