Aller au contenu

Protection des serveurs contre les menaces : Paramètres par défaut

La stratégie de base de protection des serveurs contre les menaces inclut les options standard suivantes.

Nous vous conseillons de conserver ces paramètres activés. Ces paramètres sont d’une extrême simplicité à configurer et vous permettent de bénéficier d’une protection optimale.

Avertissement

Procédez avec prudence avant de modifier les paramètres conseillés car cette opération peut affaiblir votre niveau de protection.

Restriction

Vous pouvez utiliser certaines options sur les serveurs Windows uniquement.

Protection à l’exécution (runtime)

La protection à l’exécution assure la protection contre les menaces en détectant le comportement ou le trafic suspect ou malveillant.

Protéger le trafic réseau

  • Détecter les connexions malveillantes vers des serveurs de commande et de contrôle : Cette option permet de détecter le trafic entre un terminal et un serveur qui pourrait indiquer une tentative éventuelle de prise de contrôle du terminal (une attaque de « commande et de contrôle »).
  • Empêcher le trafic réseau malveillant avec l’inspection des paquets (IPS) : Cette option contrôle les communications réseau et identifie puis bloque les menaces avant qu’elles ne puissent endommager le système d’exploitation ou les applications.

Activer Sophos Security Heartbeat : Cette fonction envoie des rapports sur l’état de sécurité à chaque Sophos Firewall enregistré sous votre compte Sophos Central. Si plusieurs pare-feu sont enregistrés, les rapports sont envoyés au pare-feu le plus proche. Si un rapport indique qu’un serveur est peut-être compromis, le pare-feu limite son accès.

Protection AMSI (avec contrôle optimisé des menaces de scripts). Cette option assure la protection contre le code malveillant (par exemple, les scripts PowerShell) à l’aide de l’interface AMSI (Antimalware Scan Interface). Nous lisons le code transmis par AMSI avant son exécution et nous notifions les applications utilisées pour exécuter le code des menaces. Si une menace est détectée, un événement est consigné dans le journal. Vous pouvez empêcher la suppression de l’enregistrement AMSI sur vos serveurs.

Live Protection

Sophos Live Protection vérifie la présence de fichiers suspects en consultant la base de données des SophosLabs recensant les malwares les plus récents.

  • Utiliser Sophos Live Protection pour vérifier les informations sur les menaces les plus récentes dans la base de données en ligne des SophosLabs : Cette option vérifie les fichiers au cours du contrôle en temps réel.

  • Utiliser Sophos Live Protection pendant les contrôles planifiés

Contrôle en temps réel - Fichiers locaux et partages réseau

Le contrôle en temps réel procède au contrôle des fichiers au moment où l’utilisateur tente d’y accéder. L’accès est autorisé si le fichier est sain.

  • localement et à distance : Si vous sélectionnez plutôt localement, nous ne contrôlons pas les fichiers dans les partages réseau.
  • À la lecture : Les fichiers seront contrôlés à leur ouverture.
  • À l’écriture : Les fichiers seront contrôlés lors de leur enregistrement.

Contrôle en temps réel - Internet

Le contrôle en temps réel contrôle les ressources Internet au moment où les utilisateurs tentent d’y accéder.

Contrôler les téléchargements en cours.

Bloquer l’accès aux sites Web malveillants : L’accès aux sites Web connus pour héberger des programmes malveillants sera interdit.

Détecter les fichiers de réputation douteuse : Cette option envoie un avertissement en cas de téléchargement de réputation douteuse. La réputation est basée sur la provenance d’un fichier, sur sa fréquence de téléchargement et sur d’autres facteurs. Vous pouvez indiquer :

  • La Action à prendre sur les téléchargements de réputation douteuse : Si vous sélectionnez Avertir l’utilisateur, les utilisateurs voient un message d’avertissement lorsqu’ils tentent de télécharger un fichier de réputation douteuse. Il s’agit du paramètre par défaut.
  • La Niveau de réputation : Si vous sélectionnez Strict, les fichiers de réputation moyenne ou douteuse sont détectés. Le paramètre par défaut est Conseillé.

Correction

Nettoyage automatique des malwares : Cette option essaye d’éliminer automatiquement les menaces détectées. Cette option est prise en charge sur les serveurs Windows et sur les machines virtuelles clientes protégées par Sophos Security VM uniquement si vous avez installé Sophos Guest VM Agent.

Remarque

Nous nettoyons toujours les fichiers PE (portable Executable) comme les applications, les bibliothèques et les fichiers système, même si vous désactivez le nettoyage automatique. Les fichiers PE sont mis en quarantaine et peuvent être restaurés.

Contrôle en temps réel - Options

Exclure automatiquement l’activité des applications connues : Sophos Central ne contrôlera pas les fichiers utilisés par certaines applications fréquemment utilisées. Retrouvez une liste des applications à la section Réputation des téléchargements. Vous pouvez exclure manuellement du contrôle d’autres applications à l’aide des options Exclusions.

Détecter les comportements malveillants (HIPS) : Cette option permet d’assurer la protection contre les menaces encore inconnues. Elle détecte et bloque les comportements malveillants ou suspects. Nous retirons progressivement cette option pour la remplacer par celle ci-dessous.

Détecter les comportements malveillants : Cette option permet d’assurer la protection contre les menaces encore inconnues. Elle détecte et bloque les comportements malveillants ou suspects.

Paramètres avancés

Ces paramètres servent uniquement à tester ou à résoudre des problèmes. Nous vous conseillons de conserver ces paramètres activés par défaut.