bmonit
La surveillance des comportements surveille continuellement les points finaux, guettant les modifications inhabituelles du système d'exploitation ou des logiciels installés. La surveillance des comportements protège les points finaux via le blocage du comportement des programmes malveillants et la surveillance des événements. Une liste d'exceptions configurée par l'utilisateur et Certified Safe Software Service viennent compléter ces deux fonctionnalités.
Important !
La surveillance des comportements prend uniquement en charge les plates-formes 32 bits.
Par défaut, la surveillance des comportements est désactivée pour les versions 32 bits de Windows Server 2003 et Windows Server 2008. Avant d'activer la surveillance des comportements sur ces plates-formes serveur, consultez les instructions et pratiques recommandées décrites dans Services client.
Le blocage du comportement des programmes malveillants fournit un niveau nécessaire de protection supplémentaire contre les menaces pour les programmes qui affichent un comportement malveillant. Il observe les événements du système sur une période de temps. Pendant que les programmes exécutent différentes combinaisons ou séquences d'actions, le blocage du comportement des programmes malveillants détecte les comportements malveillants connus et bloque les programmes associés. Utilisez cette fonctionnalité pour vous assurer un niveau de protection plus élevé contre les menaces nouvelles, inconnues et émergentes.
Lorsqu'un programme est bloqué et que les notifications sont activées, OfficeScan affiche une notification sur l'ordinateur client. Pour plus d'informations relatives aux notifications, consultez la section Notifications de surveillance des comportements pour les utilisateurs clients.
La surveillance des événements fournit une approche plus générique de la protection contre les logiciels non autorisés et les attaques de programmes malveillants. Elle surveille les zones du système pour certains événements, permettant aux administrateurs de gérer les programmes qui déclenchent ces événements. Utilisez la surveillance des événements si vous avez des exigences de protection du système spécifiques différentes de la protection fournie par le blocage du comportement des programmes malveillants.
Les événements du système surveillés comprennent :
|
Événements |
Description |
|
Fichier système dupliqué |
Bon nombre de programmes malveillants créent des copies d'eux-mêmes ou d'autres programmes malveillants en se servant de noms de fichiers utilisés par les fichiers système Windows. Ceci a généralement pour but d'écraser ou de remplacer ces fichiers système, d'éviter la détection ou de décourager les utilisateurs de supprimer les programmes malveillants. |
|
Modification du fichier Hosts |
Le fichier Hosts établit la correspondance entre les noms de domaine et les adresses IP. De nombreux programmes malveillants modifient le fichier Hosts de telle sorte que le navigateur Web soit redirigé vers des sites Web infectés, inexistants ou contrefaits. |
|
Comportement suspect |
Le comportement suspect peut être une action spécifique ou une série d'actions inhabituelles de la part de programmes légitimes. Les programmes présentant un comportement suspect doivent être employés avec la plus grande prudence. |
|
Nouveau plug-in Internet Explorer |
Les programmes malveillants de type spywares/graywares installent souvent des plug-ins Internet Explorer indésirables, tels que des barres d'outils ou des outils d'aide à la navigation (BHO - Browser Helper Objects). |
|
Modification des paramètres d'Internet Explorer |
De nombreux virus/programmes malveillants modifient les paramètres d'Internet Explorer, notamment la page d'accueil, les sites Web de confiance, les paramètres de serveur proxy et les extensions de menu. |
|
Modification des stratégies de sécurité |
La modification des stratégies de sécurité de Windows peut permettre à des applications indésirables de s'exécuter puis de changer les paramètres du système. |
|
Injection de bibliothèques de programmes |
De nombreux programmes malveillants configurent Windows de telle sorte que toutes les applications chargent automatiquement une bibliothèque de programmes (DLL). Ceci permet aux routines malveillantes contenues dans cette DLL de s'exécuter chaque fois qu'une de ces applications est lancée. |
|
Modification du shell |
De nombreux programmes malveillants modifient les paramètres du shell Windows de manière à s'associer eux-mêmes à certains types de fichiers. Cette routine permet à des programmes malveillants de se lancer automatiquement dès qu'un utilisateur ouvre les fichiers associés dans l'Explorateur Windows. La modification des paramètres du shell Windows peut aussi permettre à des programmes malveillants de suivre les programmes utilisés et de s'exécuter conjointement avec les applications légitimes. |
|
Nouveau service |
Les services Windows sont des processus dotés de fonctions spéciales qui, généralement, s'exécutent continuellement en arrière-plan et bénéficient d'un accès d'administration complet. Certains programmes malveillants s'installent eux-mêmes en tant que services afin de rester dissimulés. |
|
Modification du système de fichiers |
Certains fichiers système de Windows déterminent le comportement du système et notamment les paramètres relatifs aux programmes de démarrage et aux économiseurs d'écran. De nombreux programmes malveillants modifient les fichiers système de manière à s'exécuter automatiquement au démarrage et contrôler le comportement du système. |
|
Modification des stratégies de pare-feu |
La stratégie de pare-feu Windows détermine quelles applications ont accès au réseau, quels ports sont ouverts à la communication et quelles adresses IP peuvent communiquer avec l'ordinateur. De nombreux programmes malveillants modifient la stratégie de manière à s'octroyer à eux-mêmes l'accès au réseau et à Internet. |
|
Modification des processus système |
De nombreux programmes malveillants agissent de différentes façons sur les processus Windows intégrés. Ces actions peuvent consister à interrompre ou à modifier les processus en cours d'exécution. |
|
Nouveau programme de démarrage |
De nombreux programmes malveillants configurent Windows de telle sorte que toutes les applications chargent automatiquement une bibliothèque de programmes (DLL). Ceci permet aux routines malveillantes contenues dans cette DLL de s'exécuter chaque fois qu'une de ces applications est lancée. |
Lorsque la surveillance des événements détecte un événement du système surveillé, elle exécute l'action configurée pour l'événement. Vous pouvez choisir parmi les actions suivantes :
|
Actions sur les événements du système surveillés |
|
Action |
Description |
|
Évaluer |
OfficeScan autorise toujours les programmes associés à un événement, mais enregistre cette action dans les journaux pour évaluation. Il s'agit de l'action par défaut pour tous les événements du système surveillés. |
|
Autoriser |
OfficeScan autorise toujours les programmes associés à un événement. |
|
Demander si nécessaire |
OfficeScan invite les utilisateurs à autoriser ou refuser les programmes associés à un événement et ajoute les programmes à la liste d'exceptions Si l'utilisateur ne répond pas au cours d'une certaine période, OfficeScan autorise automatiquement l'exécution du programme. La valeur par défaut de la période est 30 secondes. Pour modifier la période, voir Pour modifier la période avant l'autorisation de l'exécution d'un programme :. |
|
Refuser |
OfficeScan bloque toujours les programmes associés à un événement et enregistre cette action dans les journaux. Lorsqu'un programme est bloqué et que les notifications sont activées, OfficeScan affiche une notification sur l'ordinateur client. Pour plus d'informations relatives aux notifications, consultez la section Notifications de surveillance des comportements pour les utilisateurs clients. |
La liste d'exceptions de la surveillance des comportements contient les programmes n'étant pas surveillés par la surveillance des comportements.
Programmes approuvés: Les programmes de cette liste peuvent être exécutés. Un programme approuvé sera toutefois vérifié par d'autres fonctionnalités de OfficeScan (telles qu'un scan des fichiers) avant que son exécution ne soit définitivement autorisée.
Programmes bloqués: Les programmes de cette liste ne peuvent jamais être démarrés. Pour configurer cette liste, la surveillance des événements doit être activée.
Configurez la liste d'exceptions depuis la console Web. Vous pouvez également donner aux utilisateurs le privilège de configurer leur propre liste d'exceptions depuis la console client. Pour obtenir des informations détaillées, voir Privilèges de surveillance des comportements.
Pour configurer le blocage du comportement des programmes malveillants, la surveillance des événements et la liste d'exceptions :
Ordinateurs en réseau > Gestion des clients
Dans l'arborescence client, cliquez sur l'icône du domaine racine 
pour intégrer tous les clients ou sélectionner des domaines ou des clients spécifiques.
Cliquez sur Paramètres > Paramètres de surveillance des comportements.
Sélectionnez Activer le blocage du comportement des programmes malveillants.
Configurez les paramètres de surveillance des comportements.
Sélectionnez Activer la surveillance des événements.
Choisissez les événements du système à surveiller et sélectionnez une action pour chacun de ces événements. Pour des informations relatives aux événements du système surveillés et aux actions, voir Surveillance des événements.
Configurez la liste d'exceptions.
Sous Saisissez le chemin d'accès complet au programme, entrez le chemin d'accès complet du programme à approuver ou à bloquer. Séparez les entrées multiples par des points virgules (;). La liste d'exceptions prend en charge les caractères génériques et les chemins UNC.
Cliquez sur Approuver les programmes ou Bloquer les programmes.
OfficeScan accepte au maximum 100 programmes approuvés et 100 programmes bloqués.
Pour supprimer de la liste un programme approuvé ou bloqué, cliquez sur l'icône corbeille 
à côté du programme.
Si vous avez sélectionné un ou plusieurs domaines ou clients dans l'arborescence client, cliquez sur Enregistrer. Si vous avez cliqué sur l'icône du domaine racine, choisissez parmi les options suivantes :
Appliquer à tous les clients : applique les paramètres à tous les clients existants et à tout nouveau client ajouté à un domaine existant/futur. Les domaines futurs sont des domaines qui ne sont pas encore créés au moment de la configuration des paramètres.
Appliquer aux domaines futurs uniquement : applique les paramètres uniquement aux clients ajoutés aux domaines futurs. Cette option ne permet pas d'appliquer les paramètres aux nouveaux clients ajoutés à un domaine existant.
Pour modifier la période avant l'autorisation de l'exécution d'un programme :
Ordinateurs en réseau > Paramètres clients généraux
Ce paramètre fonctionne uniquement si la surveillance des événements est activée et si l'action pour un événement du système surveillé est "Demander si nécessaire". Cette action demande à l'utilisateur d'autoriser ou de refuser les programmes associés à l'événement. Si l'utilisateur ne répond pas au cours d'une certaine période, OfficeScan autorise automatiquement l'exécution du programme.
Pour plus d'informations, voir Surveillance des événements.
Accédez à la section Paramètres de surveillance des comportements.
Précisez la période dans Autoriser automatiquement le programme si le client ne répond pas dans les __ secondes.
Cliquez sur Enregistrer.
Le service Certified Safe Software Service interroge les centres de données Trend Micro pour vérifier la sécurité d'un programme détecté par le blocage du comportement des programmes malveillants ou la surveillance des événements. Activez le service Certified Safe Software Service pour réduire la probabilité de détection de faux-positifs.
Vérifiez que les clients disposent des paramètres proxy du client corrects avant d'activer Certified Safe Software Service. Des paramètres proxy incorrects, de même qu'une connexion Internet intermittente, peuvent entraîner des retards ou un échec de réception d'une réponse des centres de données Trend Micro, et faire que des programmes apparaissent comme sans réponse.
De plus, des clients avec une adresses IPv6 pure ne peuvent interroger directement depuis les centres de données Trend Micro. Un serveur proxy double pile pouvant convertir les adresses IP, tel que DeleGate, est nécessaire pour permettre aux clients de se connecter aux centres de données Trend Micro.
Pour activer Certified Safe Software Service :
Ordinateurs en réseau > Paramètres clients généraux
Accédez à la section Paramètres de surveillance des comportements.
Sélectionnez l'option Activer Certified Safe Software Service.
Cliquez sur Enregistrer.
Consultez aussi: