Sophos Anti-Virus pour Windows 2000+: aperçu du système de prévention des intrusions sur l'hôte (HIPS)

  • ID de l'article 25044
  • Mis à jour : 27 janv. 2012

Le système de prévention des intrusions sur l'hôte (HIPS ou Host Intrusion Prevention System) est une technologie de sécurité qui protège les ordinateurs des virus non identifiés et de tout comportement suspect.

HIPS inclut à la fois l'exécution préalable et l'analyse comportementale runtime.

Connu pour s'appliquer aux produits et aux versions Sophos suivantes

Sophos Endpoint Security and Control 9.7
Sophos Endpoint Security and Control 10.0

Analyse comportementale runtime

Sophos Anti-Virus analyse le comportement des programmes exécutés sur le système. L'analyse comportementale runtime inclut :

Détection de comportements suspects
Cette opération consiste à analyser dynamiquement le comportement de tous les programmes exécutés sur le système afin de détecter et de bloquer toute activité qui semble malveillante. Le comportement suspect peut signifier des changements dans le registre entraînant l'exécution automatique d'un virus au redémarrage de l'ordinateur.

Détection des dépassements de la mémoire tampon
Cette opération consiste à analyser dynamiquement le comportement de tous les programmes exécutés sur le système afin de détecter les attaques par saturation de la mémoire tampon.

REMARQUE : la détection des dépassements de la mémoire tampon n'était pas disponible pour Windows Vista et les versions 64 bits de Windows dans Sophos Endpoint Security and Control 9.7 car ces systèmes d'exploitation sont protégés contre les dépassements de la mémoire tempon par la fonctionnalité de prévention de l'exécution des données (DEP, Data Execution Prevention) de Microsoft.  Dans Sophos Endpoint Security and Control 10.x, la protection contre les dépassements de la mémoire tampon (BOPS, buffer overflow protection) a été étendue pour inclure ces systèmes d'exploitation et en accroître la protection.

Analyse avant exécution

La protection Sophos Behavioral Genotype

Surveille le code sur un ordinateur et bloque celui qui se comporterait de façon malveillante avant son exécution. A la différence d'autres HIPS runtime qui surveillent le code en cours d'exécution et qui n'interviennent qu'après exécution du comportement suspect, Sophos Behavioral Genotype Protection identifie et bloque les programmes malveillants avant leur exécution.

Détection des fichiers suspects

Sophos Anti-Virus peut rechercher les fichiers suspects, c'est-à-dire les fichiers contenant certaines caractéristiques communes aux malwares, mais pas suffisammment pour que les fichiers soient identifiés comme un nouvel élément de malware. Par exemple, un fichier contenant du code de décompression dynamique fréquemment utilisé par les malwares peut être considéré comme suspect. Avec le contrôle sur accès activé, la détection des fichiers suspects contrôle un fichier lorsque l'utilisateur clique dessus pour l'ouvrir. Avec le contrôle des fichiers suspects activé dans les contrôles planifiés, Sophos Anti-Virus détecte les fichiers avant que quiconque ne tente de les ouvrir.

Utilisation de HIPS avec Sophos Anti-Virus

  • La détection des comportements suspects est paramétrée par défaut sur le mode 'alerter uniquement' dans Sophos Endpoint Security and Control 9.7. Si vous avez l'intention d'utiliser cette fonctionnalité, vous devrez la configurer.
  • Les paramètres HIPS de la stratégie Antivirus et HIPS s'appliquent au contrôle sur accès seulement.

Lorsque Sophos Anti-Virus 9.7 est installé pour la première fois, il détecte les comportements suspects et affiche de alertes (et les envoie à l'Enterprise Console). Par contre, il ne bloque aucun des programmes détectés.

Pour plus de détails sur la gestion des alertes, reportez-vous à l'article Sophos Anti-Virus pour Windows 2000+ : gestion de la détection des fichiers et comportements suspects.

Voir aussi

Le Guide de bon usage HIPS

Comment
Configurer le contrôle sur accès
Gestion des alertes sur les fichiers ou le comportement suspect
Décider d'autoriser ou de bloquer un fichier ou un programme
Autoriser les éléments trouvés par Sophos

Documentation

Pour des détails concernant l'installation, consultez le Guide de démarrage réseau de Sophos Endpoint Security et le Guide de mise à niveau réseau de Sophos Endpoint Security.

Pour plus de détails sur la gestion de votre installation, reportez-vous à l'article Sophos Anti-Virus pour Windows 2000+ : gestion de la détection des fichiers et comportements suspects.

 
Si vous avez besoin de plus d'informations ou d'instructions, veuillez contacter le support technique.

Évaluez cet article

Très mauvais Excellent

Commentaires