Auteur(s) : Jaime Création : 07/07/2009 Mise à jour : 25/07/2009

 

Antivirus Firewall Orange/Securitoo
Version 6

Tous les paramétrages se font dans les Paramètres avancés.

Avertissement

Tous les réglages doivent être fait lorsque les téléchargements des modules et des mises à jour sont terminés.

Pendant les téléchargements, vous pouvez avoir plusieurs fenêtres vides avec un avertissement signalant que vous devez télécharger et installer le dernier Service Pack de Windows, suivi du lien (l’adresse) cliquable de Microsoft pour obtenir les divers packs, Windows 2000, XP et Vista.

Si vous avez le dernier service pack installé sur votre système, attendez la fin des mises à jour et tout rentrera dans l’ordre.
Vous pourrez à partir de ce moment commencer les réglages sans problème. Et surtout pas avant !

Protection virus et spywares.

Conseil, paramétrez sur "Normal".
Sauf si vous savez que vous naviguez sur des sites à risques, dans ce cas configurez-le sur "Elevé". Mais attention cela consomme des ressources, donc un risque de ralentissement de la machine et de la navigation.

1 - Analyse en temps réel

A - Onglet Antivirus,

Cochez "Analyser le trafic Web et supprimer les virus détectés", ainsi que "Afficher le panneau de notification lors de l’analyse du trafic web".

Cela permet la suppression d'un objet dangereux en cas de téléchargement à risque (volontaire mais en ignorant le risque), ou lorsque le site visité l'installe sans votre accord. Un exemple en image :

En cliquant sur le bouton "Détails" (sur l’image correspond à "Masquer") nous avons des informations sur la bestiole.

Boutons :

- "Exclusion" : reportez-vous à ce tutoriel :
http://astucexp.over-blog.fr/article-12260112.html

- "Quarantaine" : mise en quarantaine d’un objet.

- "Historique des panneaux" : archivage de toutes les alertes que nous avons eues.
Il est important de le consulter. Cela permet de réparer en cas de blocage d’une application, en raison d'une mauvaise manipulation.

B - Onglet Spywares,

A "Actions", lorsqu’un spyware est détecté : choisir "Demander", permet en cas de fausse détection de refuser l’action proposée par l’antivirus.
Nous verrons un exemple de détection et l'action à mener à la page "Utilisation", chapitre "Vous avez un virus"

Trois boutons identiques, "Exclusion", "Quarantaine" et "Historique des panneaux".

Deux tutoriels :

- l’Antispyware :
http://astucexp.over-blog.fr/article-10934235.html

- l’anti Rootkit :
http://astucexp.over-blog.fr/article-10730656.html

C - Onglet Contrôle du système

Cochez :

- "Activer le contrôle du système".

- "Utiliser des requêtes serveur pour améliorer les performances".

- "Demander en cas d’incertitude".

- "Afficher la notification des événements refusés".

Ce contrôle des applications correspond à DeepGuard, où l’analyse du comportement d’une application dans un bac à sable virtuel, correspond à TeaTimer en puissance 12, à lire sur :

- F-Secure : http://www.f-secure.com/fr_FR/products/technologies/deepguard/

- Viruslist : http://www.viruslist.com/fr/analysis?pubid=200676117

- "Empêcher l'exécution de tous les composants ActiveX"
En cochant cette case vous bloquez tous les ActiveX, même ceux qui vous sont utiles, et qu’il faudra autoriser.
Si vous avez "SpywareBlaster" ne pas cocher, inutile d’avoir deux protections identiques. Celle de "SpywareBlaster" étant sélective ne bloquant pas les ActiveX qui vous sont utiles.

Boutons :

- "Applications". Cliquez pour l’ouvrir :

Pour l’agrandir, tirez sur les bords gauche ou droit avec la souris, le curseur représente deux flèches.

Cliquez en haut sur "Chemin".
On peut supprimer sans problème toutes les applications dont le chemin est dans un dossier Temp :
sélectionnez l'inscription et cliquez en bas sur le bouton "Supprimer".

- "Historique".
Idem ci-dessus.

C’est dans cet historique que l’on retrouve les alertes des applications que nous avons refusées, parfois par erreur, afin de pouvoir retourner dans le panneau Application et corriger l’erreur. Voir dans l’onglet "Utilisation".

Si vous désirez tester l'analyse en temps réel

Allez sur le site de F-Secure :
http://www.f-secure.com/virus-info/eicar_test_file.shtml

Le site de F-Secure en français est en restructuration, raison pour laquelle je vous propose le lien en anglais.
Le voici traduit en français par Google (en mini lien) : http://tinyurl.com/ms9ssu

Cliquez au milieu de la page sur :
- "Click here for EICAR (COM-format) – HTTP", analyse d’un fichier potentiellement dangereux
- "Click here for EICAR (ZIP – format)– HTTP", analyse d’un dossier compressé

Faire ce test sur votre machine vous permettra de contrôler si l'analyse en temps réel est correctement paramétrée.

Si vous effectuez ce test, une alerte doit s'afficher en bas à droite de l’écran.
Cliquez sur "Virus éliminé..." en bleu et souligné pour obtenir la même fenêtre que ci-dessus.

2) - Analyse du courrier électonique

A - Onglet Analyse

Aucun réglage spécifique, laissez par défaut.

Bouton Protocoles

- Port POP3 ; il doit être 110
- Port IMAP4 ; il doit être 143
- Port SMPT ; il doit être 25

- POP3, ou Post Office Protocol Version 3 est le port qui permet de récupérer le courrier électronique sur le serveur Orange.
- IMAP4 ou Internet Message Access Protocol (IMAP) est le protocole utilisé pour la réception des messages.
- SMPT ou Simple Mail Transfer Protocol (en gaulois "Protocole simple de transfert de courrier") utilisé pour transférer les messages de Outlook Express vers le serveur Orange.

Ainsi les ports entrant et sortant sont analysés par la Protection virus et spywares. Ce n’est pas le contrôle antispam, ou courrier non sollicité.

B - Onglet Action

Idem sauf cochez "Laisser le courrier bloqué dans la boîte d’envoi".

Cela permet en cas de problème, de pouvoir contrôler et modifier le message.

3) - Analyse planifiée.

Pour l’activer, cochez "Activer l’Analyse planifiée" puis faites votre choix

Par défaut elle est cochée au Vendredi, et si l’ordinateur est inutilisé pendant 5 min.

4) - Analyse manuelle,

Cochez "Afficher les éléments suspects après vérification complète".

Surtout ne cochez pas "analyser tous les fichiers", puisque c’est ce réglage qui est pris en compte pour une analyse planifiée.
Cela peut doubler le nombre de fichiers à analyser, allonge le temps d’analyse, prend des ressources, plusieurs plantages ont eu lieu.
Inutile d’analyser les fichiers texte ".txt", ou ".log" qui sont les historiques des applications, pour une simple analyse de contrôle.

Mais pour une analyse manuelle antispyware ou antirootkit, si vous suspectez la présence d'une bestiole, voyez les tutoriels.
Dans ce cas oui il faut effectuer ce réglage avant, afin de détecter les fichiers secondaires lorsqu’ils existent.
Ces analyses sont rapides, elles durent très peu.

Protection Internet.

Idem que ci-dessus, laissez sur "Normal", mais si vous naviguez sur des sites sensibles, configurez sur "Strict".
Surtout pas sur "Bloquer tout", vous ne pourriez plus naviguer.

1) - Pare-feu

A - Onglet Règles

Ce sont les ports ouverts ou fermés, qui permettent d’accéder à Internet, certains sont totalement fermés pour des bestioles qui les utilisent.

B - Onglet Services

Les bestioles reconnues utilisant des ports pour transmettre des informations sur nos machines, les Backweb, les vers (worm en anglais) Bagle, Blaster, Sasser et autres joyeusetés. Raison pour laquelle si votre poste est infecté par l'une de ces bestioles, posez-vous la question : quelle erreur l’utilisateur a-t-il bien pu commettre ?

Ou des services qui ont besoins d’un port spécifique, par exemple les mises à jour de cet antivirus.

C - Onglet Paramètres,

- IPv6 (Internet Protocol version 6)

Pour l’instant laissez "Bloquer".
IPv4 est largement suffisant, et paramétré par défaut, rien à régler dans la Protection Internet, mais dans la Connexion réseau de Windows.

- Adaptateur réseau approuvé

Si vous avez une carte réseau, elle doit apparaitre en cliquant sur la flèche à droite. Sélectionnez-la si vous avez un réseau, sans cette sélection les autres machines ne peuvent être reliées.

Lorsque vous aurez sélectionné votre ou vos cartes réseaux, une boîte d'alerte s'affichera, vous devrez confirmer :
"La définition d’une interface sécurisée influe sur la sécurité du système. Confirmer votre décision en cliquant sur OK".

Lorsque le réseau est actif, à "adresse IP" nous avons une adresse de type 192.168.X.X, la machine qui est connectée sur Internet aura 1 à la place du dernier X, et les machines en réseau auront des numéros différents. En aucun cas le même que celle qui est connectée sur Internet.

- Bouton afficher journal des alertes

L’ouvrir

En cliquant sur une alerte, puis en bas sur "Propriétés", nous avons des informations sur cette tentative d’intrusion, par exemple l’adresse (IP) de celui qui a tenté l’intrusion, ainsi que le port. En cliquant sur "Nom DNS", nous avons des informations complémentaires.

Décochez "Afficher fenêtres d’alerte", cela ne sert à rien, suivant les sites sensibles nous pouvons en avoir des dizaines. Mais si vous êtes curieux, vous pouvez laisser coché.

D - Onglet Activité,

Ce sont les ports ouverts qui permettent à des applications de se connecter, ainsi que l’adresse IP à laquelle elles se connectent

2) - Contrôle des applications

Cochez "Activer le contrôle des applications".

A - Onglet Applications

Ce sont les applications que vous avez acceptées ou refusées et qui ont besoin d’une autorisation.

B - Onglet Paramètres.

Conseil : cochez "Demander pour les nouvelles applications", et décochez le reste.

J’aime bien savoir quelle application demande une connexion, si vous laissez coché "Ne pas demander" pour les applications identifiées par le contrôle du système, toutes les applications qui sont répertoriées dans Analyse en temps réel / Contrôle du système, bouton Applications pourront se connecter.

Je refuse que Outlook Express puisse se connecter, mis à part pour aller chercher le courrier. En cas de besoin j’autorise au coup par coup. Danger s’il peut se connecter seul.

3) - Prévention intrusions

Décochez « Alerte en cas de suspicion de tentative d’intrusion ».
Cela ne sert à rien d’avoir ces alertes, je laisse le pare-feu travailler en silence.
Certains jours suivant les sites que nous visitons, nous serions envahis par ces alertes.

Le pare-feu nous informe seulement si une intrusion est réelle. La protection en temps réel de l’antivirus ou de l’antispyware intégré réagissent, si c'est un virus ou un spyware.

Bouton "Afficher le journal des alertes" j’ai aussi décoché "Afficher la boîte de dialogue d’alerte".
En cliquant sur une alerte, Idem que ci-dessus .
J’efface régulièrement afin de pouvoir les consulter facilement, idem en cliquant en bas sur le bouton "Effacer tout".

4) - Contrôle accès distant

A - Onglet Liste des numéros.

Suivant le type de connexion, si elle est manuelle avec un modem, vous pouvez avoir ceci :

C:\ Windows \ Explorer.EXE, et le numéro pour Orange 8,35

Si réseau, seul celui qui est connecté aura cette information.

Avec une Livebox, cette information n’apparaît pas.

B - Onglet Paramètres

Ce sont les applications qui peuvent fermer les connexions Internet. Celles que vous avez autorisées, ou celles qui intègrent cette fonction de fermeture.

Exemple :

Dans Outlook Express - "Outils" -> Onglet "Connexion".
On peut cocher l'option "Raccrocher après l’envoi et la réception".
C’est une application à qui on autorise de fermer la connexion.
Nous aurons l'alerte ci-contre.

Si une autre application non autorisée tente de fermer la connexion, une alerte l’indiquera, il faudra être vigilant (pourquoi ?).

- le logiciel du modem a une fonction pour fermer la connexion ;

- si connexion manuelle, explorer.exe peut aussi fermer.

avec ces deux application qui intègrent cette fonction de fermer la connexion nous n’avons pas d’alerte.

Le bouton "Afficher journal..." permet aux curieux de connaître toutes les heures ou la machine a été connectée.
Oups ! Il ne fallait pas le dire ! Vous allez pouvoir savoir si quelqu’un s’est connecté en votre absence.
S’ouvre dans le Bloc-notes et j’efface régulièrement.

5) - Consignation

Laissez par défaut, inutile de consigner. Cela consigne les applications qui se connectent et ralentit la navigation.

Bouton "Afficher journal des actions" : les applications qui se sont connectées, l’heure de connexion, et l’adresse ou elles se sont connectées, sous forme d’une série de chiffre, exemple 81.253.149.9,53

Contrôle du courrier indésirable

- Mode filtre courrier indésirable

Personnellement j’ai opté dans pour "Strict".

- Paramètres du filtre

Laissez coché par défaut.

- Dossier courrier non sollicité et phishing Outlook (hameçonnage ou filoutage),

--> "Effacer les messages antérieurs" : laissez coché, pour le nombre de jour à chacun son choix, j’ai opté pour 1 jour.

J’utilise cette fonction pour les lettres d’informations (news letters) auxquelles je me suis inscrit afin d’avoir des informations qui m’intéressent. Certaines lettres parviennent à raison de deux ou trois par semaine. Les archiver toutes, surtout celles qui n’ont aucun intérêt, chargerait l’archivage.
J’ai mis ces adresses dans "Expéditeurs filtrés", et ces lettres sont dirigées automatiquement vers le dossier "Courrier non sollicité".
Je garde celles qui m’intéressent en les déplaçant dans des sous dossiers.
Les autres je les laisse dans ce dossier. Ce contrôle les supprimera automatiquement un jour après.
Gain de temps, surtout pour le paresseux que je suis.

--> "Afficher la boîte de dialogue de confirmation" : au choix de chacun, c’est celle qui s’affiche en avant lorsque le courrier est téléchargé.

Boutons :

--> Réinitialisation…

Réinstalle les options par défaut si vous avez fait des réglages personnels.

--> Protocoles…

Le seul port qui est actif est POP3, il doit être 110, qui correspond comme signalé plus haut au courrier entrant.

Les autres ports, Port IMAP4 ; Port SMPT, sont grisés sans numéro de port, puisque ce sont les ports sortants.

Ce contrôle est pour le spam, le courrier non sollicité, phishing, et que vous recevez. Inutile qu’il contrôle le courrier que vous expédiez.

Attention, si vous avez une adresse dite sécurisée, le port POP3 sera 995 au lieu de 110, Yahoo, Hotmail, etc. Dans ce cas ce port n’est pas contrôlé par le Contrôle du courrier indésirable. De ce fait l’astuce expliquée plus haut n’est pas applicable.

Par contre il est bien contrôlé par la Protection virus et spywares. Testé en réel.

1) - Expéditeurs autorisés

Les adresses prises comme du courrier non sollicités ;
Comme celle de ma banque, qui donne parfois des informations sur les crédits, donc pris comme du phishing.

Boutons :

--> "Modifier" : permet de modifier une adresse,
Sélectionnez-la, cliquez sur ce bouton, une fenêtre s’ouvre, effectuez les modifications souhaitées, et cliquez sur le bouton OK.

--> "Ajouter" : permet d’ajouter une adresse.

--> "Supprimer" : permet de supprimer une adresse. Sélectionnez-la et cliquez sur ce bouton.

2) - Expéditeurs filtrés

Mêmes boutons, fonctions identiques.

Une astuce : pour qu’un nom de domaine soit pris dans son intégralité, j’ajoute un astérisque devant.
Exemple pour les lettres d’information Orange : *@orange-ftgroup.com

Comme signalé plus haut je garde celles qui m’intéressent en les déplaçant dans un autre dossier.

Mise à jour automatique.

Dans l’écran principal vous avez les informations, jour/heure de la mise à jour, rien à paramétrer

1) - Connexion

Sont cochés par défaut : "Détecter la connexion", et "Utiliser le proxy http de mon navigateur".
Rien à modifier si vous ne changez pas de mode de connexion.

2) – Téléchargements

Tous les modules qui sont installés, avec dates et heures de réception.

Seuls Av_Fw_Sc_psc8_601, Customisation 601 et Security Profiles PSC8 Red indiquent une date qui ne change pas.

Ainsi que pour Maj Antivirus Firewall (MF1), qui est une mise à jour majeure.

Pour tous les autres modules dans la colonne "Reçu le", il y a la date et l’heure de la mise à jour

Attention !
Si une mise à jour vient d’avoir lieu, il se peut qu’elle soit en gras, et signalée comme "Non installé".

Ne vous inquiétez pas, attendez qu’elle s’installe.

Sachez que l’on trouve sur F-Secure des outils pour faire ces mises à jour manuellement.

Le dossier "sc-latest.zip" pour le contrôle du courrier indésirable, ici :
http://download.f-secure.com/latest/sc-latest.zip

et l’outil "fsaua-reset.exe" pour réparer les mises à jour virus et spywares ici :
ftp://ftp.f-secure.com/support/tools/FSAUA-Reset/

Ou même la mise à jour complète "fsdbupdate.exe" et celle de ce jour fait 57389 KB ici :
ftp://ftp.f-secure.com/anti-virus/updates/

Bouton Afficher fichier journal

Nous trouvons en anglais les connexions pour les mises à jour, ainsi que les résultats.
J’efface régulièrement afin de pouvoir le consulter rapidement.

Exemple d’inscription :

[ 2264]Tue Jul 07 12:25:59 2009(3): Installation of 'F-Secure DeepGuard Update 2009-07-07_07' : Success

Généralités

1) - Info de sécurité

Depuis la version 4, nous n’en avons plus ;

Ceux qui ont possédé cette version doivent se souvenir des craintes que certains ont eues en recevant ces infos.
"Au secours ! J’ai eu une alerte disant que ma machine a un virus".

2) - Mon abonnement, vos coordonnés

L’état de l’abonnement, le type et votre clé d’enregistrement.

Rien à modifier.

A savoir que s'il y a modification de la clé, comme lors de la mise à jour de la version 3 à la version 4, elle nous est transmise pendant l’installation de la nouvelle version, et nous recevons un e-mail pour confirmation.

 

Bon paramétrage, cordialement.

<< Installation

Utilisation >> Annexe et FAQ >>

 

Jesses Entraide. Création 03/2005