Stratégie de protection des serveurs contre les menaces

La protection contre les menaces assure votre sécurité contre les programmes malveillants, les types de fichiers et sites Web dangereux et le trafic réseau malveillant.

Restriction : Vous pouvez utiliser certaines options sur les serveurs Windows uniquement.
Remarque : Si une option est verrouillée, votre administrateur Partenaire ou Entreprise a appliqué les paramètres généraux. Vous pouvez toujours arrêter de détecter les applications, les Exploits et les ransomwares depuis la liste des événements.

Allez dans Server Protection > Stratégies pour configurer la protection contre les menaces.

Pour configurer une stratégie, procédez comme suit :

  • Créez une stratégie Protection contre les menaces.
  • Ouvrez l’onglet Paramètres de la stratégie et configurez les options comme décrit ci-dessous. Assurez-vous que la stratégie est activée

Vous pouvez soit utiliser les paramètres conseillés, soit les modifier.

Avertissement : Procédez avec prudence avant de modifier les paramètres conseillés car cette opération peut affaiblir votre niveau de protection.
Remarque : Les SophosLabs surveillent les fichiers qui sont contrôlés de manière indépendante. Ils peuvent ajouter ou supprimer le contrôle de certains types de fichier afin d’assurer une protection optimale.

Intercept X Advanced for Server

Si vous avez cette licence, votre stratégie de protection contre les menaces offre la protection contre les ransomwares et les Exploits, la détection des menaces sans signature et les « dossiers Menace » pour l’analyse des événement de menace.

Nous vous conseillons d’utiliser ces paramètres pour bénéficier d’une protection maximale.

Remarque : si vous activez une de ces fonctions, les serveurs assignés à cette stratégie utilisent une licence Intercept X Advanced for Server.

Paramètres par défaut de Server Protection

Nous vous conseillons de conserver ces paramètres activés. Ces paramètres sont d’une extrême simplicité à configurer et vous permettent de bénéficier d’une protection optimale.

Ces paramètres offrent :

  • La détection des malwares connus.
  • Les vérifications Cloud pour autoriser la détection des malwares les plus récents recensés par Sophos.
  • La détection proactive des malwares qui n’ont jamais encore été détectés.
  • Le nettoyage automatique des malwares.
  • L’exclusion automatique du contrôle des applications connues.

Contrôle planifié

Le contrôle planifié procède au contrôle à l’heure ou aux heures que vous avez indiquées.

Ce mode de contrôle est activé par défaut sur les serveurs.

Vous pouvez sélectionner ces options :

  • Activer le contrôle planifié. Cette option vous permet de programmer une heure et un ou plusieurs jours pour le contrôle.
    Remarque : L’heure du contrôle planifié correspond à l’heure des terminaux (il ne s’agit pas de l’heure UTC).
  • Activer le contrôle en profondeur. Si vous sélectionnez cette option, les archives sont contrôlées pendant les contrôles planifiés. Cette option augmente la charge de travail du système et ralentit considérablement le contrôle.
    Remarque : Le contrôle des archives augmente la charge de travail du système et ralentit considérablement le contrôle.

Exclusions du contrôle

Certaines applications sont automatiquement exclues du contrôle en temps réel.

Vous pouvez également exclure d’autres éléments ou d’autres applications du contrôle. Vous pourriez vouloir le faire car une application de base de données a accès à de nombreux fichiers et déclenche de trop nombreux contrôles qui affectent les performances d’un serveur.

Conseil : Pour créer des exclusions pour une application, vous pouvez utiliser l’option d’exclusion de processus en cours d’exécution à partir de cette application. Cette opération est beaucoup plus sûre que l'exclusion de fichiers ou de dossiers.

Nous continuerons à vérifier toute présence de failles d’exploitation dans les éléments exclus. Toutefois, vous pouvez arrêter la vérification d’une faille d’exploitation qui a déjà été détectée en utilisant l’exclusion Exploits détectés).

Les exclusions définies dans une stratégie concernent uniquement les serveurs auxquels s’applique la stratégie.

Remarque : Pour appliquer des exclusions à tous vos utilisateurs et serveurs, veuillez configurer des exclusions générales sur la page Vue générale > Paramètres généraux > Exclusions générales.

Pour créer une stratégie d’exclusion du contrôle :

  1. Cliquez sur Ajouter une exclusion (dans le coin supérieur droit de la page).

    La boîte de dialogue Ajouter une exclusion apparaît.

  2. Dans la liste déroulante Type d’exclusion, sélectionnez un type d’élément à exclure (fichier ou dossier, processus, site Web, application potentiellement indésirable).
  3. Indiquez un ou plusieurs éléments à exclure. Les règles suivantes s’appliquent :
    • Fichier ou dossier (Windows). Sur Windows, vous pouvez exclure le chemin complet vers un lecteur, un dossier ou un fichier. Vous pouvez utiliser les caractères de remplacement et les variables. Exemples :
      • Dossier : C:\programdata\adobe\photoshop\ (ajoutez une barre oblique pour un dossier)
      • Lecteur complet : D:
      • Fichier : C:\program files\program\*.vmg
    • Fichier ou dossier (Linux). Sur Linux, vous pouvez exclure un dossier ou un fichier. Vous pouvez utiliser les caractères de remplacement ? et *. Exemple : /mnt/hgfs/excluded.
    • Fichier ou dossier (Sophos Security VM). Sur les machines virtuelles clientes Windows protégées par Sophos Security VM, vous pouvez exclure le chemin complet vers un lecteur, un dossier ou un fichier comme vous pouvez le faire pour d’autres ordinateurs Windows. Vous pouvez uniquement utiliser le caractère de remplacement * pour les noms de fichier.
      Remarque : Par défaut, les exclusions s'appliquent à toutes les machines virtuelles clientes protégées par la machine virtuelle de sécurité. Pour les exclusions d’une ou de plusieurs machines virtuelles spécifiques.
    • Processus (Windows). Vous pouvez exclure tous les processus exécutés à partir d’une application. Cette opération exclut également les fichiers que le processus utilise (uniquement lorsque ce processus y accède). Si possible, saisissez le chemin complet vers l’application, et pas seulement le nom du processus affiché dans le Gestionnaire des tâches. Exemple : %PROGRAMFILES%\Microsoft Office\Office 14\Outlook.exe
      Remarque : Retrouvez plus de renseignements sur tous les processus ou autres éléments que vous avez besoin d’exclure pour une application dans le documentation de l’éditeur de l’application.
      Remarque : Vous pouvez utiliser les caractères de remplacement et les variables.
    • Site Web (Windows). Vous pouvez indiquer l’adresse IP, la plage d’adresses IP (« notation CIDR » ou Classless Inter-Domain Routing) ou le domaine des sites Web. Exemples :
      • Adresse IP : 192.168.0.1
      • Plage d’adresses IP : 192.168.0.0/24 où /24 correspond au nombre de bits dans le préfixe commun à toutes les adresses IP de cette plage. Ici, /24 correspond au masque réseau 11111111.11111111.11111111.00000000. Dans notre exemple, la plage inclut toutes les adresses IP commençant par 192.168.0.
      • Domaine : google.com
    • Application potentiellement indésirable (Windows). Vous pouvez exclure les applications généralement détectées comme spyware. Indiquez l’exclusion en utilisant le même nom que celui sous lequel le système l’a détecté. Retrouvez plus de renseignements sur les applications potentiellement indésirables (PUA) dans le Centre d’analyse des menaces de Sophos.
    • Exploits détectés (Windows/Mac). Vous pouvez exclure un Exploit qui a déjà été détecté. Nous ne le détecterons plus pour l’application concernée et ne bloquerons plus cette application.
      Remarque : La protection CryptoGuard contre les ransomware (rançongiciels) sera désactivée pour cet Exploit de l’application affecté sur vos serveurs Windows.
    • Protection AMSI (Windows). Sur Windows, vous pouvez exclure le chemin complet vers un lecteur, un dossier ou un fichier. Nous ne contrôlons pas le code à cet emplacement. Vous pouvez utiliser le caractère de remplacement * pour le nom ou l’extension de fichier.
    • Isolement du serveur (Windows). L’isolement de l’appareil (par un administrateur) est disponible pour les serveurs si vous êtes inscrit au Programme à accès anticipé (EAP) pour Intercept X Advanced for Server with EDR.

      Vous pouvez autoriser les appareils isolés à avoir des communications limitées avec les autres ordinateurs.

      Choisissez si les appareils isolés utiliseront les communications sortantes ou entrantes ou les deux.

      Limitez ces communications avec un ou plusieurs des paramètres suivants :

      • Port local : Les appareils peuvent utiliser ce port sur les ordinateurs isolés.
      • Port distant : Les appareils isolés peuvent utiliser ce port sur tous les ordinateurs.
      • Adresse distante : Les appareils isolés peuvent uniquement communiquer avec l’appareil utilisant cette adresse IP.

      Exemple 1 : Vous voulez l’accès au Bureau à distance sur un appareil isolé afin de pouvoir résoudre des problèmes sur cet appareil.

      • Sélectionnez Connexion entrante.
      • Dans Port local, saisissez le numéro du port.

      Exemple 2 : Vous voulez vous rendre sur un appareil isolé et de télécharger des outils de nettoyage à partir d’un serveur.

      • Sélectionnez Connexion sortante.
      • Dans Adresse distante, saisissez l’adresse du serveur.
  4. Dans le cas d’exclusions de Fichier ou dossier uniquement, dans la liste déroulante Activer pour, indiquez si l’exclusion s’applique au contrôle en temps réel, au contrôle planifié ou aux deux.
  5. Cliquez sur Ajouter ou sur Ajouter une autre. L’exclusion est ajoutée dans la liste des exclusions du contrôle.

Pour modifier une exclusion ultérieurement, cliquez sur son nom dans la liste des exclusions, puis cliquez sur Mettre à jour.

Exclusions de la prévention des Exploits

Vous pouvez exclure des applications de la protection contre les Exploits de sécurité. Par exemple, vous pourriez vouloir exclure une application qui n’a pas été détecté correctement en tant que menace jusqu’à ce que le problème soit résolu.

L’ajout d’exclusions réduit votre protection.

L’ajout d’exclusions à l’aide de l’option globale Vue générale > Paramètres généraux > Exclusions générales, crée des exclusions qui s’appliquent à tous les utilisateurs et appareils.

Nous vous recommandons d’utiliser cette option et d’assigner la stratégie contenant l’exclusion uniquement aux serveurs pour lesquels l’exclusion est nécessaire.

Restriction : Vous pouvez uniquement créer des exclusions pour les applications Windows.

Pour créer une exclusion de la stratégie de prévention des Exploits, procédez comme suit :

  1. Cliquez sur Ajouter une exclusion (dans le coin supérieur droit de la page).

    La boîte de dialogue Ajouter une exclusion apparaît.

  2. Dans Type d’exclusion, sélectionnez Prévention des Exploits (Windows).

    La liste des applications protégées sur votre réseau s’affiche.

  3. Sélectionnez l’application à exclure.
  4. Si vous ne voyez pas l’application souhaitée, cliquez sur L’application n’est pas dans la liste ?. Vous pouvez désormais exclure votre application de la protection en saisissant son chemin d’accès au fichier. Vous pouvez aussi utiliser les autres variables ci-dessous :
  5. Sous Préventions, choisissez parmi les options suivantes :
    • Désactivez Protéger l’application. L’application sélectionnée n’est pas vérifiée pour les Exploits.
    • Gardez Protéger l’application activé et sélectionnez les types d’Exploit qui seront contrôlés ou exclus.
  6. Cliquez sur Ajouter ou sur Ajouter une autre. L’exclusion est ajoutée dans la liste présente dans la page Exclusions générales.

    L’exclusion s’applique uniquement aux serveurs auxquels vous assignez cette stratégie.

Pour modifier une exclusion ultérieurement, cliquez sur son nom dans la liste des exclusions, puis cliquez sur Mettre à jour.

Messagerie de bureau

Vous pouvez ajouter un message à la fin de la notification standard. Si vous laissez le champ vide, seul le message standard est affiché.

L’option Messagerie de bureau est activée par défaut.

Cliquez dans le champ et saisissez le message que vous voulez ajouter.