CP R72 Endpoint Security Client UserGuide FR

Endpoint Security Client
Guide de l'utilisateur
R72
© 2003-2009 Check Point Software Technologies
Tous droits réservés. Ce produit et la documentation associée sont protégés par
copyright et distribués sous licence, ce qui restreint leur utilisation, leur copie,
leur distribution et leur décompilation. Aucune partie de ce produit ou de la
documentation associée ne peut être reproduite sous aucune forme ni par aucun
moyen sans l'autorisation écrite préalable de Check Point. Bien que toute
précaution ait été prise pour la préparation du présent manuel, Check Point dénie
toute responsabilité concernant d'éventuelles erreurs ou omissions. Cette
publication et les aspects qu'elle décrit sont sujets à modification sans préavis.
DROITS LIMITÉS D'UTILISATION :
L'utilisation, la duplication ou la diffusion par le gouvernement est soumise à
restrictions comme indiqué dans le sous-paragraphe (c)(1)(ii) de la clause des
droits des données techniques et des logiciels d'ordinateur à DFARS 252.227-
7013 and FAR 52.227-19.
MARQUES :
Vous trouverez la liste de nos marques sur la page :
http://www.checkpoint.com/copyright.html
Pour consulter les notices des autres fournisseurs, voir :
http://www.checkpoint.com/3rd_party_copyright.html
Sommaire
Introduction à Endpoint Security........................................................................... 11
Présentation de la Page principale Endpoint Security........................................... 11
Présentation de la Page principale Endpoint Security........................................ 12
Icônes de la barre d'état................................................................................. 12
Volets........................................................................................................... 13
Volet Présentation ......................................................................................... 14
Réponse aux alertes.......................................................................................... 18
Alertes Nouveau programme ........................................................................... 18
Alertes Nouveau réseau et VPN....................................................................... 19
Alertes de conformité..................................................................................... 19
VPN ................................................................................................................... 21
Principes de base du VPN ................................................................................. 21
Types de VPN d'Endpoint Security .................................................................. 22
Interfaces VPN compactes et étendues ............................................................ 22
Démarrage et arrêt des services client VPN ...................................................... 23
Authentification ............................................................................................... 23
Modification des méthodes d'authentification................................................... 24
Gestion des certificats ................................................................................... 25
Configuration des profils et des sites .................................................................. 30
Gestion des profils de connexion..................................................................... 31
Gestion des sites VPN .................................................................................... 35
Connexion et déconnexion ................................................................................. 39
Statut de connexion....................................................................................... 40
Configuration des options de connexion ........................................................... 43
Options de configuration avancées ..................................................................... 50
Blocage des messages contextuels .................................................................. 50
Tunnel de parcours NAT................................................................................. 50
Options de ligne de commande .......................................................................51
Anti-virus et Anti-espion .......................................................................................55
Endpoint Security Anti-virus et Anti-espion..........................................................55
Activation des fonctions Anti-virus et Anti-espion ..............................................56
Affichage de l'état de protection anti-virus et anti-espion ...................................56
Anti-virus et Anti-espion .................................................................................56
Analyse ............................................................................................................57
Signification des résultats de l'analyse .............................................................58
Traitement manuel des fichiers .......................................................................58
Envoi d'informations sur des virus et de logiciels espions à Check Point ..............59
Affichage des éléments placés en quarantaine ..................................................60
Affichage des historiques................................................................................61
Options avancées ..............................................................................................63
Planification des analyses ...............................................................................63
Mise à jour des définitions de virus et de logiciel espion ....................................64
Spécification des cibles de l'analyse ................................................................65
Analyse en accès ...........................................................................................66
Spécification des méthodes de détection des logiciels espions ...........................67
Activation du traitement automatique des virus.................................................67
Activation du traitement automatique des logiciels espions ................................68
Réparation de fichiers d'archive.......................................................................68
Options d'analyse de virus...............................................................................69
Liste des exceptions de l'anti-virus...................................................................69
Liste d'exceptions de l'Anti-espion ...................................................................70
Pare-feu..............................................................................................................73
Fonctionnement de la protection Pare-feu ...........................................................73
Comprendre les zones........................................................................................74
Les zones permettent d'organiser la sécurité avec un Pare-feu ............................74
Les zones permettent de contrôler les programmes............................................75
Configuration des nouvelles connexions réseau ....................................................76
Intégration au services réseau ............................................................................76
Activation du partage de fichiers et d'imprimantes............................................ 76
Connexion à des serveurs de messagerie réseau................................................ 77
Activation du partage de connexion Internet (ICS) ............................................ 77
Sélection des niveaux de sécurité....................................................................... 78
Configuration des options de sécurité avancées ................................................... 79
Configuration des options de sécurité de la Passerelle....................................... 79
Configuration des options ICS......................................................................... 80
Configuration des options de sécurité générales................................................ 81
Configuration des options de sécurité du réseau ............................................... 82
Gestion du trafic des zones................................................................................ 83
Affichage du trafic des zones.......................................................................... 83
Modification des sources de trafic des zones .................................................... 84
Ajout à la zone sûre ....................................................................................... 84
Ajout à la zone bloquée.................................................................................. 86
Blocage et déblocage de ports ........................................................................... 86
Paramètres d'autorisation de port par défaut .................................................... 87
Ajout de ports personnalisés ........................................................................... 89
Configuration de la connexion VPN pour le Pare-feu............................................. 89
Protocoles VPN pris en charge ........................................................................ 89
Configuration de la connexion VPN.................................................................. 90
Contrôle des programmes ..................................................................................... 93
Comprendre le Contrôle des programmes ............................................................ 93
Contrôle d'accès des programmes ................................................................... 93
Authentification de programme ....................................................................... 94
Définition des options du Contrôle des programmes ............................................. 94
Définition du niveau de contrôle des programmes ............................................. 94
Activation du verrouillage automatique ............................................................ 96
Configuration de l'accès des programmes............................................................ 96
Définition des droits d'accès de programme ..................................................... 97
Personnalisation des paramètres de contrôle des programmes............................ 98
Définition d'autorisations spécifiques ................................................................. 99
Utilisation de la liste des programmes..............................................................99
Ajout à la liste des programmes.....................................................................100
Octroi de droits d'accès Internet aux programmes............................................101
Octroi de droits de serveur aux programmes....................................................101
Octroi de droits d'envoi de courrier électronique aux programmes .....................102
Contrôle des programmes Avancé ..................................................................102
Désactivation de la protection MailSafe en sortie.............................................103
Définition des options d'authentification ........................................................103
Octroi de l'autorisation d'utiliser des programmes pour d'autres utilisateurs .......103
Gestion des composants de programme .............................................................104
Utilisation de programmes avec le client ...........................................................104
Utilisation du logiciel anti-virus .....................................................................105
Utilisation des navigateurs ............................................................................105
Utilisation des programmes de conversation ...................................................105
Utilisation du courrier électronique ................................................................106
Utilisation d'un répondeur Internet ................................................................106
Utilisation du partage de fichiers ...................................................................107
Utilisation de FTP ........................................................................................107
Utilisation de flux média...............................................................................107
Utilisation des jeux ......................................................................................107
Utilisation du Contrôle à distance ..................................................................108
Utilisation de VNC .......................................................................................108
Utilisation de Voix sur IP ..............................................................................109
Utilisation de programmes de conférence Web ................................................109
Full Disk Encryption ...........................................................................................111
Authentication au Full Disk Encryption..............................................................111
Garantie de la non-falsification de votre ordinateur .............................................112
Authentication pour la première fois .................................................................112
Utilisation d'un mot de passe fixe ..................................................................112
Utilisation d'un jeton dynamique ...................................................................114
Utilisation d'une carte à puce ou d'un jeton USB ............................................115
Que faire en cas d'oubli du mot de passe ? .................................................... 117
Que faire si je ne peux pas accéder à mon jeton ou à ma carte à puce ?............ 117
Fonctionnalités facultatives de Full Disk Encryption........................................... 118
Synchronisation des mots de passe ............................................................... 118
Sécurité du périphérique optimisée et à connexion unique .............................. 120
Connexion intégrée à Windows...................................................................... 122
Utilisation du volet de Full Disk Encryption....................................................... 122
Affichage des informations de l'état et du cryptage ......................................... 122
Modification de vos informations d'authentification ........................................ 125
Modification de la langue de l'interface ......................................................... 126
Caractères pris en charge dans l'environnement de pré-amorçage ..................... 130
Media Encryption .............................................................................................. 131
Caractéristiques ............................................................................................. 131
Gestionnaire de stratégie.............................................................................. 132
Gestionnaire de supports amovibles............................................................... 132
Gestionnaire de périphériques ...................................................................... 133
Surveillance de la sécurité des programmes ................................................... 133
Mots de passe mis en cache ......................................................................... 134
Utilisation du client EPM ................................................................................ 135
Cryptage de support..................................................................................... 135
Cryptage des CD et DVD............................................................................... 138
Accès à un support crypté ............................................................................ 138
Accès au support crypté à partir d'ordinateurs sans Media Encryption............... 139
Effacement des CD et des DVD ..................................................................... 141
Modification du mot de passe du périphérique crypté ..................................... 141
Utilisation du gestionnaire de supports amovibles.............................................. 142
Autorisation des supports amovibles .............................................................. 142
Utilisation du Gestionnaire de périphériques ..................................................... 143
Utilisation de la surveillance de la sécurité des programmes ............................... 143
Section Maintenance ...................................................................................... 144
WebCheck .........................................................................................................145
Comprendre WebCheck....................................................................................145
Protection de WebCheck ...............................................................................145
Mode Internet et mode entreprise ..................................................................146
Avrtissements de site douteux ..........................................................................147
Bannière jaune Attention ..............................................................................147
Avertissement en rouge "risque de phishing" ("Might Be Phishing") ...................148
Alertes Avertissement en rouge......................................................................149
Protection des courriers électroniques ..................................................................151
Protection MailSafe en sortie ...........................................................................151
Activation de la protection MailSafe en sortie ....................................................152
Personnalisation de la protection MailSafe en sortie ...........................................152
Activation de MailSafe par programme ...........................................................152
Configuration des options MailSafe ................................................................153
Stratégies..........................................................................................................155
Types de Stratégie ..........................................................................................155
Fonctionnement de l'arbitrage des stratégies......................................................156
Affichage des Stratégies disponibles .................................................................156
Utilisation du volet Stratégies...........................................................................156
Alertes et historiques..........................................................................................159
Fonctionnement des alertes et des historiques ...................................................159
A propos des alertes .....................................................................................159
A propos de la consignation des événements...................................................160
Configuration des options de base des alertes et des historiques ..........................161
Configuration du niveau d'alerte ....................................................................161
Configuration des options d'historique des événements et des programmes........161
Afficher ou masquer les alertes ........................................................................162
Afficher ou masquer les alertes de Pare-feu ....................................................162
Configuration des options d'historique des événements et des programmes...........163
Formatage de l'apparence des historiques.......................................................163
Personnalisation de la consignation des événements........................................163
Personnalisation de la consignation des programmes ...................................... 164
Affichage des entrées d'historique................................................................. 164
Affichage de l'historique texte....................................................................... 166
Archivage des entrées d'historique ................................................................ 167
Utilisation d'Alert Advisor............................................................................. 168
Référence aux alertes ........................................................................................ 169
Alertes informatives ........................................................................................ 169
Alerte Pare-feu/de protection ........................................................................ 169
Alerte MailSafe ........................................................................................... 171
Alertes Programme bloqué............................................................................ 171
Alertes Verrouillage Internet ......................................................................... 172
Alertes de conformité................................................................................... 173
Alertes de programme ..................................................................................... 174
Alertes Nouveau programme ......................................................................... 174
Alertes Programme connu ............................................................................ 175
Alertes Programme modifié .......................................................................... 176
Alertes Composant de programme ................................................................. 177
Alertes Programme serveur ........................................................................... 179
Alertes Programme avancées ........................................................................ 180
Alertes Action manuelle requise .................................................................... 182
Alertes Nouveau réseau................................................................................ 182
Dépannage ....................................................................................................... 185
Dépannage du VPN......................................................................................... 185
Configuration du client pour le trafic VPN ...................................................... 186
Configuration automatique du VPN et règles avancées .................................... 186
Délai de détection automatique du VPN......................................................... 186
Dépannage du réseau...................................................................................... 187
Afficher votre ordinateur sur votre réseau local ............................................... 187
Partage local de fichiers et d'imprimantes...................................................... 188
Solutions en cas de démarrage lent ............................................................... 188
Dépannage des connexions Internet ................................................................. 188
Echec de la connexion à Internet après l'installation........................................189
Autorisation des messages de détection FAI....................................................190
Connexion via un client ICS ..........................................................................191
Connexion via un serveur proxy......................................................................191
Glossaire ...........................................................................................................193
Index ................................................................................................................207
Chapitre 1
Introduction à Endpoint
Security
Check Point Endpoint Security™ est le premier et le seul agent autonome qui
combine tous les composants essentiels pour une sécurité totale de l'extrémité : le
pare-feu de niveau le plus élevé, l'Anti-virus, l'Anti-espion, le Full Disk Encryption,
le Media Encryption avec protection des ports, le contrôle d'accès au réseau (NAC,
network access control), le contrôle de programme et VPN.
Check Point Endpoint Security protège les ordinateurs et élimine le besoin de
déployer et de gérer plusieurs agents, ce qui réduit le coût total de possession
Dans cette section
Présentation de la Page principale Endpoint Security 11

Réponse aux alertes 18
Présentation de la Page principale Endpoint

Security
La Page principale Endpoint Security centralise l'accès aux différentes
fonctionnalités de sécurité qui protègent votre ordinateur.
Pour ouvrir la Page principale Endpoint Security, sélectionnez Paramètres dans le
menu Endpoint Security de la barre des tâches.
11
Présentation de la Page principale Endpoint Security
Figure 0-1 Page principale Endpoint Security
Le menu gauche permet d'accéder aux volets disponibles.
Icônes de la barre d'état

Les icônes qui s'affichent dans la barre d'état vous permettent de contrôler
instantanément l'état de votre sécurité et l'activité Internet et d'accéder à vos
paramètres de sécurité en quelques clics. Cliquez avec le bouton droit sur l'une
des icônes ci-dessous pour faire apparaître un menu contextuel.
Table 0-1 Icônes de la barre d'état
12
Icône Description
Le VPN est connecté.
Analyse de sécurité, cryptage ou modification des paramètres du client en

cours
Attention requise
(par exemple : client non conforme à la stratégie, erreur d'application ou
redémarrage nécessaire).
Volets
Votre client Endpoint Security peut avoir un ou tous les volets possibles, selon
l'installation et la configuration que l'administrateur vous a créé.
VPN
Affiche si vous êtes connecté à VPN, si vous avez VPN installé sur votre client
Endpoint Security.
Anti-virus et Anti-espion
Indique si chaque protection est activée et, le cas échéant, le nombre de virus ou
d'espions traités.
Pare-feu
Indique si le pare-feu est activé et affiche le nombre d'alertes de pare-feu et de
verrouillage Internet générées depuis la dernière réinitialisation. Si un message
d'avertissement est affiché, cliquez sur le texte souligné pour accéder
immédiatement au volet dans lequel vous pouvez modifier vos paramètres.
Contrôle des programmes

Indique si le contrôle des programmes est configuré de manière sécurisée et
affiche le nombre d'alertes de programme générées depuis la dernière
réinitialisation. Le client Endpoint Security vous avertit en cas de désactivation du
contrôle des programmes.
Chapter 1 Introduction à Endpoint Security 13
Full Disk Encryption
Fournit l'accès aux options de Full Disk Encryption.
Media Encryption
Fournit l'accès aux options de Media Encryption et au client EPM.
WebCheck
Indique quelles options de WebCheck ont été fournies à ce client par
l'administrateur Endpoint Security.
Protection des courriers électroniques

Indique si MailSafe est activé et affiche le nombre de pièces jointes qui ont été
placées en quarantaine depuis la dernière réinitialisation. Si un message
d'avertissement est affiché, cliquez sur le texte souligné. Le volet qui s'affiche
vous permet d'ajuster vos paramètres.
Stratégies
Affiche une tables des stratégies disponibles et les détails de la stratégie active
courante.
Volet Présentation
Le volet Présentation permet d'accéder rapidement aux problèmes les plus urgents
et propose une analyse rapide de l'état des différentes zones de protection et de
connexion.
Pour ouvrir le volet Présentation, procédez comme suit :
1. Cliquez avec le bouton droit sur l'icône Endpoint Security de la barre d'état.
2. Sélectionnez Paramètres.
La Page principale Endpoint Security affiche l'onglet Général du volet
Présentation.
14
Utilisation de l'onglet Général du volet Présentation
L'onglet Général du volet Présentation indique si les paramètres de sécurité du pare-
feu, des programmes et de la messagerie sont activés et affiche le récapitulatif des
activités de sécurité. Dans l'onglet Général, vous pouvez :
• Vérifier rapidement si votre ordinateur est sécurisé.

• Consulter un résumé de l'activité du client
• Déterminer si votre version du client est à jour
• Accéder au didacticiel du produit
Définition des préférences

L'onglet Présentation|Préférences permet d'accéder aux paramètres courants.
Configuration du mot de passe de niveau utilisateur
Si vous configurez un mot de passe de niveau utilisateur, vous serez la seule
personne à pouvoir fermer ou désinstaller le client Endpoint Security, et modifier
vos paramètres de sécurité. La présence d'un mot de passe n'empêche pas les
autres utilisateurs d'accéder à Internet depuis votre ordinateur.
Si votre version du client Endpoint Security a été installée par un administrateur
avec un mot de passe d'installation, cet administrateur peut accéder à toutes les
fonctions.
Lorsque vous définissez un mot de passe pour la première fois, veillez à vous
déconnecter avant de vous absenter de votre ordinateur. Sinon, d’autres
utilisateurs peuvent modifier vos paramètres.
Ce paramètre permet aux autres personnes d'utiliser les programmes et d'accéder
à Internet, mais les empêche de modifier vos paramètres de sécurité. Par exemple,
il peut être utile d'empêcher vos enfants de modifier les paramètres de Endpoint
Security, tout en leur permettant d'utiliser de nouveaux programmes sans
connaître votre mot de passe.
Remarque : Les autres utilisateurs ne pourront pas utiliser les
programmes présents dans votre liste de programmes bloqués.
Pour définir ou modifier le mot de passe du client Endpoint Security :
1. Sélectionnez Présentation|Préférences.
2. Cliquez sur Définir le mot de passe.
3. Tapez votre mot de passe et confirmez-le dans les champs prévus à cet effet.

4. Sélectionnez Autoriser les autres utilisateurs à utiliser les programmes sans mot de
passe.
5. Cliquez sur OK.
Remarque : pour être valide, un mot de passe doit comporter de 6 à
31 caractères. Les caractères valides sont les majuscules de A à Z,
les minuscules de a à z, les chiffres de 0 à 9 et les caractères
!,@,#,$,%,^,&,*.
Après avoir défini un mot de passe, vous devez vous connecter pour pouvoir
modifier les paramètres, désactiver le moteur de sécurité TrueVector ou
désinstaller Endpoint Security.
Configuration des préférences générales
Par défaut, le client démarre automatiquement en même temps que l’ordinateur.
Utilisez les paramètres de la zone Général pour modifier l'option de démarrage
automatique.
Pour définir les préférences générales d'affichage, procédez comme suit :
2. Dans la zone Général, spécifiez vos préférences.
• Charger le logiciel Check Point Endpoint Security au démarrage : Le client
Endpoint Security démarre automatiquement au démarrage de votre
ordinateur.
• Protéger le client Check Point Endpoint Security : empêche les chevaux de
Troie d'envoyer des requêtes clavier et souris au client.
Pour assurer la sécurité maximale, ne désactivez cette fonctionnalité que si
vous rencontrez des problèmes au niveau du clavier ou de la souris lors de
l'exécution de programmes d'accès à distance.
Si vous vous connectez à un serveur proxy à partir de cet ordinateur, cliquez sur
Options. Dans la fenêtre Options, indiquez les détails du serveur proxy.
Pour configurer un serveur proxy :
1. Sélectionnez Activer le serveur Proxy.

2. Dans le champ Serveur proxy, indiquez le nom de l'hôte ou l'adresse IP du
serveur proxy.
3. Dans le champ Port, indiquez le port ouvert entre cet ordinateur et le serveur
proxy.
16
4. Cliquez sur OK.
Configuration des préférences de contact
En définissant des préférences de contact, vous protégez la confidentialité de vos
données lorsque le client communique avec Check Point (par exemple, pour
détecter automatiquement les mises à jour).
Pour définir les préférences générales de contact :
2. Dans la zone Contact, spécifiez vos préférences.
• M'avertir par un message avant de prendre contact : Affiche un avertissement
avant de contacter Check Point pour envoyer des informations
d'abonnement, obtenir des mises à jour, rechercher une alerte ou
accéder à DNS pour chercher des adresses IP.
Remarque : si vous appartenez à la Communauté sécurisée Check
Point, vous ne serez pas averti avant l'envoi de données anonymes.
• Masquer mon adresse IP si possible : Empêche l'identification de votre
ordinateur lorsque vous contactez Check Point.
• Masquer le dernier octet de mon adresse IP si possible : Masque la dernière
partie de votre adresse IP (par exemple 123.456.789.XXX) lorsque vous
contactez Check Point.
Présentation de l'onglet Infos sur le produit

L'onglet Présentation|Infos sur le produit présente les informations de version des
composants suivants :
• client Endpoint Security (inclut aussi les date et heure d'installation)

• Moteur de sécurité TrueVector
• Pilote
• Moteur du VPN (le cas échéant)
• Moteur anti-vrus Anti-virus
• Moteur anti-vrus Anti-virus

Réponse aux alertes
Durant les premiers jours d'utilisation du client, en général de nombreuses alertes
s'affichent car le client Endpoint Security identifie vos différents programmes et
réseaux et il vous permet de configurer la sécurité selon vos besoins.
La manière de répondre à une alerte dépend du type de l'alerte.
Alertes Nouveau programme

La majorité des premières alertes que vous verrez seront des alertes Nouveau
programme. Ces alertes s'affichent lorsqu'un programme de votre ordinateur tente
d'accéder à Internet ou à votre réseau local. Utilisez les alertes Nouveau
programme pour accorder des droits d’accès aux programmes qui en ont besoin,
tels que votre navigateur ou votre programme de messagerie.
Remarque : cochez l'option Conserver cette réponse pour accorder
l'accès de manière permanente aux programmes fiables.
Peu de programmes ou de processus nécessitent des droits de serveur pour

fonctionner normalement. Certains processus, toutefois, sont utilisés par Microsoft
Windows pour effectuer des fonctions légitimes. Parmi les plus courants
rencontrés dans les alertes, on trouve :
• lsass.exe
• spoolsv.exe
• svchost.exe
• services.exe
• winlogon.exe
Si vous ne reconnaissez pas le programme ou le processus qui demande des droits
de serveur, allez sur le site de l'assistance Microsoft
(http://support.microsoft.com/) pour vous renseigner sur le processus et déterminer
sa nature et son rôle. N'oubliez pas que de nombreux processus Windows
légitimes, y compris ceux mentionnés plus haut, peuvent potentiellement être
utilisés par des pirates pour déguiser des vers et des virus ou pour assurer à des
chevaux de Troie un accès dérobé à votre système. Si vous n'étiez pas en train
d'effectuer une fonction quand l'alerte est apparue (comme parcourir des fichiers,
ouvrir une connexion sur un réseau ou télécharger des fichiers), la réaction la plus
sûre consiste à refuser les droits de serveur. Vous pouvez à tout moment accorder
des autorisations à des programmes et des services spécifiques depuis la liste des
18
programmes, accessible en sélectionnant l'ongletContrôle des
programmes|Programmes.
Si de nombreuses alertes de programme serveur s'affichent, lancez une recherche
anti-espion pour éliminer ce risque.
Alertes Nouveau réseau et VPN

Les autres alertes initiales que vous verrez sont les alertes Nouveau réseau et les
alertes Configuration VPN. Celles-ci ont lieu lorsque le client détecte une
connexion à un réseau ou à un VPN. Elles vous aideront à configurer votre zone
sûre, les autorisations de port/protocole et les autorisations des programmes afin
de pouvoir travailler en toute sécurité sur votre réseau.
Alertes de conformité
Les alertes relatives à la conformité sont générées lorsque le serveur Endpoint
Security associé au client Endpoint Security détermine que votre ordinateur n'est
pas conforme aux exigences de sécurité de l'entreprise. En fonction du type de
non-conformité, votre accès au réseau de l'entreprise peut être restreint ou même
interrompu.
Les ordinateurs sur lesquels sont installées les versions et les types corrects de
logiciels sont déclarés conformes aux exigences des entreprises en matière de
sécurité. Si dans le cas contraire Endpoint Security détermine qu'un ordinateur
n'est pas conforme :
• Il affiche une alerte de conformité (uniquement si l'affichage des alertes de

conformité est activé dans la stratégie de sécurité active),
• Il vous dirige sur une page Web indiquant comment configurer votre ordinateur
d'extrémité de manière à assurer sa conformité.
Ce qui se passe ensuite dépend des stratégies de sécurité de votre entreprise.
• Si la non-conformité n'exige pas de correction immédiate, votre accès au

réseau de l'entreprise peut être restreint : Vous pouvez conserver l'accès à
certaines ressources du réseau avant d'effectuer les corrections nécessaires
pour rendre votre ordinateur conforme.
• Si la cause de non-conformité exige une correction immédiate, votre accès au
réseau de l'entreprise peut être coupé : dans ce cas, vous n'aurez accès qu'à la
page Web vous expliquant comment rendre votre ordinateur conforme aux
exigences de sécurité de l'entreprise.

20
Chapitre 2
VPN
Le réseau privé virtuel (VPN) vous permet d'utiliser Internet pour vous connecter à
distance au réseau privé ou intranet de votre entreprise. Les réseaux VPN
autorisent une communication privée et sécurisée tout en utilisant des réseaux
publics tels qu'Internet pour la transmission.
Dans cette section
Principes de base du VPN 21

Authentification 23
Configuration des profils et des sites 30
Connexion et déconnexion 39
Options de configuration avancées 50
Principes de base du VPN

Le VPN Endpoint Security vous permet de vous connecter de façon sécurisée au
réseau de votre entreprise lorsque vous travaillez à distance. Une fois que votre
ordinateur et le site VPN ont prouvé leur identité (ou se sont authentifiés), toutes
les communications suivantes sont cryptées et sécurisées. Vous pouvez alors
accéder à des fichiers privés via Internet en sachant que les personnes non
autorisées ne peuvent ni les afficher ni les modifier. La connexion VPN peut être
établie directement au serveur ou par l'intermédiaire d'un fournisseur d'accès à
Internet (FAI). Les utilisateurs distants peuvent se connecter à l'organisation via
n'importe quel adaptateur réseau (y compris sans fil) ou connexion par modem.
La fonction VPN de Endpoint Security authentifie les différents participants et
crypte les données qu'ils transmettent. La fonction VPN utilise les protocoles
Internet standard pour un cryptage et une authentification renforcés. Le cryptage
permet de s'assurer que seules les parties authentifiées peuvent lire les données
21
transmises. L'intégrité des données est en outre assurée, c'est-à-dire que les
données ne peuvent pas être modifiées durant leur transit.
Le volet Général du VPN présente des informations sur la connexion VPN en cours
(le cas échéant) et sur l'état de votre connexion distante au serveur Endpoint
Security. Le volet Général vous permet de lancer l'assistant de site pour créer un
site VPN, vous connecter ou vous déconnecter d'un site VPN ou ouvrir la fenêtre
Paramètres VPN pour configurer des profils et des sites, configurer des options de
connexion particulières ou gérer les certificats.
Types de VPN d'Endpoint Security

Votre administrateur a configuré un type de VPN pour votre client. Il peut être un
VPN Check Point Endpoint Connect ou le VPN hérité Endpoint Security. Les
options que vous devez choisir dépendent du type de VPN fourni dans votre client.
En général, vous savez que vous avez des options Check Point Endpoint Connect si
vous voyez Options VPN (VPN Options) dans le volet VPN | Général (Main);
réciproquement, vous avez le client VPN hérité Endpoint Security si vous voyez les
Paramètres VPn (VPN Settings).
Interfaces VPN compactes et étendues

Si votre Endpoint Security est configuré avec un VPN hérité, il est déployé avec
une version compacte ou étendue de l'interface VPN.
Vous pouvez changer vous-même de version lors de l'exécution du client.
L'affichage compact fournit une vue simplifiée de l'interface VPN aux utilisateurs
qui n'ont pas besoin de plusieurs sites ou profils.
L'affichage étendu est destiné aux utilisateurs plus avancés qui doivent se
connecter à des sites VPN différents et qui souhaitent gérer leur configuration VPN
plus en détail.
Pour basculer entre les affichages étendu et compact, procédez comme suit :
1. Si vous passez de l'affichage étendu à l'affichage compact, vous devez

d'abord :
a. Supprimer tous les sites (voir Suppression de sites page 38).
b. Désactiver l'option de Connexion locale automatique (voir Connexion
locale automatique page 45).
22
c. Désactiver l'option de Connexion sécurisée au domaine (voir Connexion
sécurisée au domaine page 44).
2. Sélectionnez VPN | Général et cliquez sur Paramètres VPN.
3. Ouvrez l'onglet Avancé.
4. Dans la section Affichage du produit, sélectionnez Vue étendue ou Vue compacte
et cliquez sur OK.
5. Cliquez sur OK pour confirmer le redémarrage des services VPN.
Le volet VPN présente un message indiquant que les services VPN
redémarrent. Lorsque le volet VPN est restauré, il active l'affichage
sélectionné.
Démarrage et arrêt des services client VPN

Si votre client Endpoint Security est configuré avec Check Point Endpoint
Connect, vous pouvez démarrer et arrêter les services de client VPN.
Pour démarrer Endpoint Connect :
1. Démarrez > Programmes > Check Point Extrémité VPN

2. Cliquez sur Check Point Extrémité VPN.
Pour arrêter Endpoint Connect :
1. Cliquez avec le bouton droit sur l'icône de la barre d'état.

2. Cliquez sur Fermer Client (Shutdown Client).
Authentification
Lorsque vous vous connectez à un site VPN et fournissez vos informations
d'identification, vous donnez vos informations d'authentification. Il existe de
nombreuses méthodes d'authentification.
Contactez votre administrateur système pour qu'il vous envoie l'un des éléments
suivants :
• Un certificat enregistré (sur disquette ou un jeton matériel) et un mot de passe

(pour ouvrir le certificat)
• Un code d'enregistrement qui vous permet de terminer le processus de création
du certificat en ligne.
Chapter 2 VPN 23
• Nom d'utilisateur et mot de passe
• Carte SecurID
• Code de réponse pour une carte à puce
Modification des méthodes d'authentification

Votre administrateur peut vous demander de modifier la méthode
d'authentification VPN et il doit vous fournir les informations d'authentification. Si
votre ordinateur portable joue le rôle de terminal pour d'autres utilisateurs (chaque
utilisateur se connectant au site avec son propre certificat unique), vous devrez
changer de certificat au moment nécessaire.
Remarque : vous ne pouvez pas changer de méthode d'authentification
lorsque vous êtes connecté à un site VPN.
La procédure de changement des méthodes d'authentification diffère en fonction
du type de VPN configuré pour votre client. Choisissez les instructions appropriées
à votre client, selon les options disponibles.
Pour changer de méthode d'authentification, procédez comme suit :
1. Ouvrez VPN | Général.

2. Si vous êtes connecté à un site VPN, cliquez sur Déconnecter :
3. Si le bouton Paramètres VPN s'affiche :
a. Cliquez sur Paramètres VPN.
b. Sur l'onglet Connexions, sélectionnez un site et cliquez sur
Propriétés.
c. Ouvrez l'onglet Authentification.
4. Si le bouton Options VPN s'affiche :
a. Cliquez sur Options VPN.
b. Sur l'onglet Sites, sélectionnez le site approprié et cliquez sur
Propriétés.
c. Ouvrez l'onglet Paramètres.
5. Sélectionnez la méthode d'authentification dans la liste déroulante Modèle.
6. Fournissez les informations relatives à votre méthode d'authentification.
Par exemple, si vous utilisez un certificat, cliquez sur Parcourir et choisissez le
certificat.
24
7. Cliquez sur OK.
La première fois que vous configurez un VPN, la même option de configuration de
modèle s'affiche dans la fenêtre Première configuration - Méthode
d'authentification. Sélectionnez la méthode d'authentification dans la liste
déroulante Modèle et cliquez sur OK.
Gestion des certificats

Lors de l'établissement d'une connexion VPN, il est conseillé d'utiliser des
certificats numériques pour l'authentification. Les certificats sont plus sûrs que
les autres méthodes telles que le nom d'utilisateur et le mot de passe. Lors de
l'authentification avec certificat, le client et le site VPN confirment tous deux que
le certificat de l'autre partie a été signé par une autorité de certification connue et
approuvée, et que le certificat n'a pas expiré ni été révoqué.
Vous ou votre administrateur devez vous inscrire auprès d'une autorité de
certification. Vous pouvez utiliser n'importe quelle autorité de certification tierce
PKI (Infrastructure de clés publiques) OPSEC (Open Platform for Security) prenant
en charge les standards PKCS#12, CAPI ou Entrust.
Le client Endpoint Security vous permet de créer ou de renouveler des certificats
Check Point et de gérer les certificats Entrust.
Gestion des certificats Entrust

Le client Endpoint Security reconnaît les certificats Entrust. Si vous le souhaitez,
vous pouvez créer et récupérer des certificats à l'aide de Entrust Entelligence Si
vous utilisez Entrust pour la gestion des certificats, le client se connecte
automatiquement à l'interface Entelligence lorsque cela est nécessaire.
Avant de commencer, assurez-vous que votre administrateur vous a fourni le
numéro de référence et le code d'autorisation requis pour effectuer la procédure.
Pour effectuer l'authentification avec un certificat Entrust :
Tout d'abord, activez Entrust Entelligence :

2. Sur l'onglet Certificats, désélectionnez Ne pas utiliser Entrust Entelligence.
Ensuite, établissez le certificat Entrust :
1. Sur l'onglet Certificats, cliquez sur Sélectionner le fichier INI, recherchez et
sélectionnez le fichier entrust.ini, puis cliquez sur Ouvrir.
Chapter 2 VPN 25
2. Par défaut, le fichier entrust.ini se trouve dans le répertoire Windows (par
exemple, C:\Windows).
3. Cliquez sur Configurer le fichier INI.
4. La fenêtre de Configuration de Entrust.INI s'affiche.
5. Indiquez les informations suivantes :
6. Le nom d'hôte ou l'adresse IP du gestionnaire de l'autorité de certification et
son numéro de port. Le numéro de port par défaut est 709.
7. Le nom d'hôte ou l'adresse IP du serveur LDAP et son numéro de port. Le
numéro de port par défaut est 389.
8. Cliquez sur OK.
Ensuite, créez le certificat Entrust :
1. Sur l'onglet Certificats, section des certificats Entrust, cliquez sur Créer.
2. La fenêtre de création d'un utilisateur s'affiche.
3. Cliquez sur Enregistrer dans un fichier. Ensuite, accédez au répertoire dans
lequel enregistrer le certificat.
4. Saisissez et confirmez le mot de passe de votre profil. Votre mot de passe doit
respecter les spécifications Entrust suivantes :
5. Comprendre au moins huit caractères
6. Comporter au moins une lettre majuscule ou un chiffre
7. Comporter au moins une lettre minuscule
8. Ne pas comporter de longues chaînes de caractères répétés
9. Ne pas inclure le nom d'utilisateur
10.Définissez les paramètres de votre profil en indiquant le Numéro de référence et
le Code d'autorisation fournis par votre administrateur système.
11.Cliquez sur OK.
12.Dans la fenêtre de confirmation, cliquez de nouveau sur OK.
Gestion des certificats Check Point

Votre administrateur système peut vous demander de créer un nouveau certificat
Check Point. Vous pouvez stocker un certificat Check Point sous forme de fichier
PKCS#12 (Public-Key Cryptography Standard 12) ou sous forme de jeton matériel
26
ou logiciel (CAPI). Pour savoir sous quelle forme vous devez stocker le certificat,
contactez votre administrateur système.
Avant de commencer, demandez à votre administrateur les informations
suivantes :
• Le format du certificat à utiliser

• La clé d'enregistrement du certificat
• L'adresse IP (ou nom d'hôte) de la passerelle VPN
Création d'un certificat Check Point PKCS#12
Si votre administrateur système vous a demandé d'enregistrer le certificat sous
forme de fichier PKCS#12, suivez les instructions de cette section.
Pour créer un fichier PKCS#12 :

2. Sur l'onglet Certificats, cliquez sur Créer un certificat.
La fenêtre Certificat Check Point s'affiche.
3. Sélectionnez Stocker sous forme de fichier (PKCS #12). Cliquez sur Suivant.
4. Fournissez l'adresse IP ou le nom d'hôte du site de connexion et la clé
d'enregistrement. Cliquez sur Suivant.
5. Saisissez et confirmez le mot de passe à utiliser avec le certificat. Cliquez sur
Suivant.
6. Dans la fenêtre de confirmation, cliquez sur Terminer.
Création d'un jeton CAPI de certificat Check Point
Si votre administrateur système vous a demandé d'enregistrer le certificat sous
forme de jeton matériel ou logiciel, suivez les instructions de cette section.
Avant de commencer, assurez-vous que votre administrateur a défini le fournisseur
de services cryptographiques (CSP) à utiliser. Certains fournisseurs de services
cryptographiques requièrent l'utilisation de matériel spécifique (par exemple un
dispositif de lecture/écriture de jeton). Endpoint Security fonctionne avec les
fournisseurs pris en charge par Windows, et l'autorité de certification interne de la
passerelle fournie par Check Point constitue le fournisseur de services
cryptographiques.
Pour créer un jeton matériel ou logiciel :

Chapter 2 VPN 27
2. Sur l'onglet Certificats, cliquez sur Créer un certificat.
3. Sélectionnez Stocker dans un jeton matériel ou logiciel (CAPI). Cliquez sur Suivant.
4. Sélectionnez le fournisseur de service cryptographique (CSP) correspondant à
votre stockage de certificat, puis cliquez sur Suivant.
Remarque : chaque fournisseur de service cryptographique affiche une
fenêtre de configuration spécifique. Il peut donc y avoir des
différences avec les instructions fournies ici. Pour plus d'informations,
consultez la documentation de votre fournisseur de services
cryptographiques.
5. Fournissez l'adresse IP ou le nom d'hôte du site de connexion et la clé
d'enregistrement. Cliquez sur Suivant.
6. Cliquez sur Niveau de sécurité, sélectionnez le niveau indiqué par votre
administrateur, puis cliquez sur Suivant.
7. Dans la fenêtre qui s'affiche, cliquez sur Terminer.
8. Cliquez sur Oui.
9. Dans la fenêtre qui s'affiche, cliquez sur Terminer.
Stockage de PKCS#12 dans le magasin CAPI
Si vous utilisez l'autorité de certificat interne (Internal Certificate Authority, ICA)
du Check Point de la passerelle de sécurité comme un CSP, vous pouvez utiliser
cette procédure pour stocker les fichiers PKCS#12 files dans le magasin CAPI.
Pour saisir le fichier PKCS#12 dans le magasin CAPI :
1. Double-cliquez sur le fichier avec l'extension p12.

L'assistant d'importation de certificat s'ouvre.
2. Cliquez sur Suivant (Next).
Le chemin correct vers le fichier que vous souhaitez importer est affiché
automatiquement :
3. Cliquez sur Suivant (Next), et entrez le mot depasse pour la clé privée.
Ceci est la clé obtenue de votre administrateur système.
• Activer une forte protection de clé privée : vous serez invité à entrer le mot
de passe chaque fois que la clé privée est utilisée par le client.
• Marquez cette clé comme étant exportable : la clé peut être sauvegardée ou
transportée plus tard.
28
4. Cliquez sur Suivant (Next), et autorisez le fichier à être stocké automatiquement
ou naviguez vers un dossier de stockage spécifique.
5. Cliquez sur Finir (Finish) pour exécuter l'assistant d'iportation de certificat.
Sauvegarde du certificat à un autre endroit
Vous ou votre administrateur pouvez choisir de ne pas sauvegarder votre certificat
dans le magasin CAPI.
Par exemple, si vous utilisez plusieurs stations de travail et portables, il y aurait
plus de sécurité à ne pas laisser votre certificat sur différentes machines.
De plus, si un portable est volé, et que le certificat n'est pas dessus, les voleurs ne
pourront pas utiliser le client pour se connecter à votre VPN sans connaître le mot
de passe, même s'ils ont le PKCS#12. Pour cette raison, votre administrateur
système peut alterner entre utiliser le certificat stocké dans le CAPI et vous
demander de vous authentifier en utilisant le certificat PKCS#12 directement. Si
cela arrive, un message s'affiche quand vous essayez de vous connecter au site
actif. Naviguez vers le dossier où le certificat est stocké.
Pour enregistrer le certificat :
1. enregistrez le certificat PKCS#12 sur une disquette ou une clé USB.
2. Configurez le schéma d'authentification pour utiliser les certificats (fenêtre
Propriétés de l'onglet du site | Authentification).
3. Dans la liste Certificat (Certificate), sélectionnez Depuis le fichier (From File).
4. Naviguez vers les certificats stockés sur une disquette ou une clé USB.
5. Entrez le mot de passe du certificat.
6. Cliquez sur Connecter (Connect).
Renouvellement des certificats Check Point
Le client Endpoint Security affiche automatiquement un message vous invitant à
renouveler votre certificat Check Point peu de temps avant son expiration. Vous
pouvez également renouveler le certificat à tout moment.
Pour renouveler un certificat avec les paramètres VPN (VPN Endpoint Security hérité) :

2. Sur l'onglet Certificats, cliquez sur Renouveler le certificat.
Le client affiche automatiquement la fenêtre de Renouvellement du certificat
Check Point lorsque votre certificat arrive à expiration.
Chapter 2 VPN 29
3. Dans le champ Certificat, confirmez l'emplacement du certificat actuel ou
sélectionnez le nouvel emplacement.
4. Dans le champ Mot de passe actuel, entrez le mot de passe qui permet d'ouvrir
le certificat.
5. Cliquez sur Suivant.
La fenêtre d'enregistrement du certificat s'affiche.
6. Confirmez le nom et l'emplacement du certificat.
7. Saisissez le nouveau mot de passe dans les champs Mot de passe et Confirmez le
mot de passe.
Votre mot de passe doit comporter au moins six caractères, dont quatre doivent
être uniques.
9. Cliquez sur Terminer.
Le client utilisera ce certificat lors de votre prochaine authentification.
Pour renouveler un certificat avec les paramètres VPN (VPN Check Point Endpoint
Connect) :
1. Sélectionnez VPN | Général et cliquez sur Options VPN.

2. Sur l'onglet Sites, sélectionnez le site et cliquez sur Propriétés.
3. Ouvrez l'onglet Paramètres et cliquez sur Renouveler
4. Cliquez sur la liste déroulante Certificat et sélectionnez votre certificat.
La fenêtre Création d'une nouvelle clé de signature RSA apparaît.
5. Cliquez sur OK et patientez jusqu'à l'affichage de la fenêtre indiquant
Renouvellement réussi.
Configuration des profils et des sites

Un site représente l'organisation à laquelle vous souhaitez vous connecter. Le
profil définit les paramètres utilisés par le client pour se connecter à votre site.
Remarque : les profils sont pris en charge par le VPN Endpoint Security
hérité.
Pour que le VPN Endpoint Security se connecte à un site, il doit obtenir des
informations sur la structure de celui-ci, par exemple les ordinateurs et les
30
serveurs disponibles dans l'organisation. L'assistant de connexion réunit ces
informations sur le site. La connexion initiale, qui diffère de toutes les prochaines,
obtient la structure (ou topologie) du site. Au cours de ce processus, vous êtes
invité à prouver votre identité, par le biais d'un certificat ou d'un autre moyen. Si
vous utilisez des certificats pour vous authentifier mais que votre administrateur
système ne vous a pas encore envoyé le vôtre, vous serez invité à vous enregistrer.
L'enregistrement d'un certificat consiste à terminer le processus de création du
certificat commencé par votre administrateur système. Lorsque ce processus de
définition d'un site est terminé, les connexions normales peuvent s'établir.
La fenêtre Paramètres affiche tous vos profils de connexion (ceux que vous avez
créés vous-même et ceux créés par votre administrateur système). Cette fenêtre
vous permet de définir votre site et les méthodes d'authentification.
Gestion des profils de connexion

Un profil de connexion définit les paramètres utilisés par le client pour se
connecter à votre site. La plupart des utilisateurs n'ont besoin que d'un seul profil.
Toutefois, si votre environnement réseau change fréquemment (par exemple, si
vous vous connectez dans un hôtel ou sur le réseau d'une société partenaire), la
création de plusieurs profils différents peut s'avérer nécessaire. Vous pouvez
effectuer vous-même cette opération ou la confier à l'administrateur système.
Chaque profil se connecte au site d'une manière légèrement différente, par
exemple en utilisant le mode bureau ou le mode concentrateur. Le client Endpoint
Security télécharge automatiquement les informations des nouveaux profils
lorsque vous faites une mise jour du site. Si vous avez plusieurs profils, contactez
votre administrateur pour savoir lequel utiliser.
Les fonctions décrites dans cette section ne sont disponibles qu'en affichage
étendu. (pour obtenir des informations sur l'affichage étendu, voir Interfaces VPN
compactes et étendues page 22.)
Création de profils
Si vous utilisez l'affichage étendu du VPN, votre administrateur système peut vous
demander de créer un nouveau profil de connexion pour un site particulier. Notez
que pour créer un nouveau profil de connexion, vous devez avoir déjà défini au
moins un site.
Pour créer un nouveau profil de connexion :
1. Effectuez l'une des opérations suivantes :
Chapter 2 VPN 31
• Sélectionnez VPN | Général et cliquez sur Paramètres VPN.
• Cliquez avec le bouton droit ou double-cliquez sur l'icône de la barre
d'état système, sélectionnez Se connecter au VPN, puis cliquez sur
Options.
2. Dans l'onglet Connexions, cliquez sur Nouveau | Profil.
La fenêtre des Propriétés du profil s'ouvre.
3. Entrez un nom de profil et une description.
4. Sélectionnez un site dans la liste déroulante Site.
5. Sélectionnez une passerelle dans la liste déroulante Passerelle .
6. Ouvrez l'onglet Avancé et sélectionnez les options de configuration définies par
votre administrateur.
7. Cliquez sur OK pour fermer la fenêtre des propriétés du profil, puis sur OK pour
fermer la fenêtre Paramètres VPN.
Exportation et importation de profils

Vous pouvez exporter (enregistrer) et importer des profils existants. Par exemple, si
votre administrateur crée un profil et vous demande de l'importer.
Pour exporter un profil :

2. Sur l'onglet Connexions, cliquez sur l'une des options suivantes :
• Sélectionnez le profil désiré et cliquez sur Options | Exporter le profil.
• Cliquez avec le bouton droit sur le profil désiré et sélectionnez Exporter
le profil.
Le profil est enregistré sous forme de fichier avec l'extension srp.
Pour importer un profil :
• Cliquez sur Nouveau|Importer un profil.
Clonage de profils
Vous pouvez cloner un profil, le modifier, puis l'enregistrer sous la forme d'un
nouveau profil.
32
Pour cloner un profil :

• Sélectionnez le profil souhaité et cliquez sur Nouveau | Cloner le profil.
• Cliquez avec le bouton droit sur le profil désiré et sélectionnez Cloner le
profil.
3. Modifiez les propriétés du profil selon vos besoins. Par exemple, modifiez le
nom, la description ou la passerelle.
4. Cliquez sur OK.
Modification des profils

Si vous utilisez l'affichage VPN étendu et si vous avez configuré plusieurs profils,
vous pouvez changer le profil avec lequel vous vous connectez.
Remarque : vous ne pouvez pas modifier les profils lorsque vous êtes
connecté à un site VPN.
Pour changer de profil :
1. Si vous êtes connecté à un site VPN, déconnectez-vous de l'une des manières

suivantes :
• Cliquez avec le bouton droit sur l'icône de la barre système Endpoint
Security et sélectionnez Déconnexion du VPN.
• Sélectionnez VPN et cliquez sur Déconnecter.
2. Ouvrez la fenêtre Connexion VPN de l'une des manières suivantes :
• Cliquez avec le bouton droit sur l'icône de la barre système Endpoint
Security et sélectionnez Connexion au VPN.
• Sélectionnez VPN et cliquez sur Connecter.
La fenêtre Connexion VPN s'ouvre.
3. Dans la liste déroulante Emplacement du profil, choisissez le profil souhaité.
4. Saisissez votre mot de passe et cliquez sur Connecter.
Le profil sélectionné est à présent défini par défaut.
Chapter 2 VPN 33
Création d'un raccourci de bureau pour un profil
Vous pouvez créer un raccourci de bureau pour ouvrir la fenêtre Connexion VPN
configurée pour utiliser le profil choisi. Cela fonctionne uniquement pour les
profils qui définissent une passerelle particulière (par opposition aux profils qui
utilisent le paramètre par défaut Toute Passerelle).
Pour créer un raccourci de profil :

• Sélectionnez le profil souhaité et cliquez sur Options | Créer un raccourci.
• Cliquez avec le bouton droit sur le profil désiré et sélectionnez Créer un
raccourci.
Vous pouvez alors double-cliquer sur le raccourci de votre bureau pour lancer
une connexion VPN.
Affichage des propriétés du profil

Le client affiche les propriétés du profil dans la fenêtre Propriétés du profil. Cette
fenêtre apparaît également lorsque vous clonez un profil ou créez un nouveau
profil.
Pour afficher les propriétés d'un profil :

2. Dans la colonne Connexions, cliquez avec le bouton droit sur le profil et
choisissez Propriétés.
3. Cliquez sur un onglet :
• Général : indique le nom du site, la description du site et la passerelle.
• Avancé : permet de définir le mode bureau, les améliorations de la
connectivité, le mode visiteur et le mode concentrateur.
Suppression de profils
Si vous utilisez l'affichage VPN étendu, vous pouvez supprimer les profils devenus
inutiles.
34
Remarque : vous pouvez supprimer uniquement les profils que vous
avez créés. Vous ne pouvez pas supprimer un profil téléchargé par
votre administrateur réseau.
Pour supprimer des profils

• Sélectionnez le profil et cliquez sur Supprimer.
• Cliquez avec le bouton droit sur le profil souhaité et sélectionnez
Supprimer le profil.
3. Dans la fenêtre de confirmation, cliquez sur Oui.
Gestion des sites VPN

Avant d'établir une connexion VPN, vous devez définir un site de destination (un
périphérique ou un serveur VPN) auquel vous connecter. La définition d'un site
indique au client comment se connecter au site VPN. Lors de la connexion initiale,
qui diffère de toutes les connexions suivantes, vous êtes invité à prouver votre
identité par le biais d'un certificat ou d'une autre méthode d'authentification. Le
client obtient alors la structure du site (ou topologie). Une fois le site défini, les
connexions normales peuvent être établies.
Définition de sites
Avant de pouvoir établir une connexion VPN, vous devez définir un site. Si vous
avez configuré le client pour afficher la version étendue de l'interface VPN, vous
pouvez au besoin définir d'autres sites. Pour définir un nouveau site, suivez les
instructions de cette section dans l'assistant de site.
Avant de définir un site, vous devez demander à l'administrateur :
• Les informations sur votre méthode d'authentification (nom d'utilisateur et mot

de passe, certificat ou équivalent). Si vous prévoyez d'utiliser un certificat pour
l'authentification, vous devez préalablement le créer ou le demander à votre
administrateur (voir Gestion de certificats voir "Gestion des certificats" page
25).
• Nom ou adresse IP de la passerelle de sécurité qui fournit l'accès distant au
réseau d'entreprise.
Chapter 2 VPN 35
Préparation :
Si vous utilisez la fonction VPN de Endpoint Security pour la première fois sans
avoir défini de site :
1. Sélectionnez VPN|Général et cliquez sur Connecter.
2. Dans la fenêtre qui s'ouvre, cliquez sur Oui.
Si vous avez déjà défini un site de destination VPN et souhaitez en définir un
autre :
1. Sélectionnez VPN | Général et cliquez sur Paramètres VPN | Options VPN.
2. Ouvrez l'onglet Sites.
• Si vous avez choisi l'affichage étendu, cliquez sur Nouveau | Site.
• Si vous avez choisi l'affichage compact, cliquez sur Définir un serveur.
• Si vous avez ouvert l'onglet Sites, cliquez sur Nouveau.
L'assistant de site s'affiche.
Pour définir un site :
1. Fournissez l'adresse IP ou le nom d'hôte du site VPN.

2. Sélectionnez Nom d'affichage et entrez un nom.
Le client identifie le site, ce qui peut prendre quelques minutes.
4. Sélectionnez la méthode d'authentification. Les choix et actions suivants sont :
• Nom d'utilisateur et mot de passe : cliquez sur Suivant pour passer à la
fenêtre Détails de l'utilisateur. Saisissez votre nom d'utilisateur et votre
mot de passe, puis cliquez sur Suivant.
• Certificat : cliquez sur Suivant pour passer à la fenêtre d'authentification
de certificat. Localisez et sélectionnez votre certificat, puis saisissez
son mot de passe. Cliquez sur Suivant.
• SecurID : cliquez sur Suivant pour passer à la fenêtre Authentification
SecurID. Choisissez Utiliser le jeton matériel Key FOB, Utiliser une carte
d'identification personnelle ou Utiliser un jeton logiciel SecurID. Cliquez sur
Suivant. Fournissez les informations nécessaires pour votre type
d'authentification. Cliquez sur Suivant.
36
• Réponse de vérification : cliquez sur Suivant pour passer à la fenêtre
Réponse de vérification. Saisissez votre nom d'utilisateur et cliquez sur
Suivant.
5. Le cas échéant, sélectionnez le type de configuration de la connectivité
(Standard ou Avancé) et cliquez sur Suivant.
Après quelques instants d'attente, la fenêtre de validation du site affiche
l'empreinte du certificat et le nom distinctif (DN).
Si votre administrateur vous a fourni l'empreinte du site et le DN, comparez-les
à ceux indiqués sur cette fenêtre. S'ils correspondent, cliquez sur Suivant.
La fenêtre suivante indique que Le site a bien été créé.
6. Cliquez sur Terminer.
Affichage des propriétés du site

Le client permet de consulter les propriétés du site, telles que son adresse IP et la
méthode d'authentification. Les informations de la fenêtre des propriétés du site
sont organisées dans plusieurs catégories :
• Général : indique le nom et l'adresse IP du site et la date de sa dernière mise à

jour.
• Authentification : afficher ou modifier la méthode d'authentification. Voir
Modification des méthodes d'authentification page 24.
• Avancé : activez le protocole NAT-T. Voir Activation des améliorations de la
connectivité voir "Tunnel de parcours NAT" page 50.
Pour afficher les propriétés d'un site :

2. Sur l'onglet Connexions ou Sites , cliquez avec le bouton droit sur le site
souhaité (pas sur le profil, mais sur le site qui le contient) et sélectionnez
Propriétés.
La fenêtre des Propriétés du site s'ouvre.
3. Ouvrez Général, Authentification ou l'onglet Avancé.
Mise à jour de sites

Lorsque vous actualisez un site, vous téléchargez les paramètres des nouveaux
clients, les informations mises à jour sur ce site et les profils associés, y compris
Chapter 2 VPN 37
les nouveaux profils configurés par votre administrateur. Pour mettre à jour un
site, vous devez d'abord vous y connecter. Si vous n'êtes pas connecté lorsque
vous tentez la mise à jour, le client vous invite à le faire.
Pour mettre à jour un site :

2. Sur l'onglet Connexions ou Sites , sélectionnez un site et cliquez sur Options |
Mettre à jour le site.
Si vous êtes déjà connecté au site, une fenêtre indique l'avancement de la
mise à jour.
Si vous n'êtes pas connecté, le client vous invite à le faire. Vous devez être
connecté pour effectuer la mise à jour.
Désactivation de sites
Vous pouvez désactiver un site, puis l'activer par la suite. Notez qu'en désactivant
un site, vous désactivez également tous les profils associés.
Pour désactiver un site :

2. Dans l'onglet Connexions, déconnectez votre connexion VPN.
• Sélectionnez le site souhaité et cliquez sur Options | Désactiver le site.
• Cliquez avec le bouton droit sur le site souhaité et sélectionnez
Désactiver le site.
Une croix rouge apparaît sur les icônes du site et les profils associés pour
indiquer qu'ils sont désactivés.
Pour réactiver un site :
• Sélectionnez le site souhaité et cliquez sur Options | Activer le site.

• Cliquez avec le bouton droit sur le site et sélectionnez Activer le site.
Suppression de sites
Vous pouvez supprimer les sites qui ne sont plus utiles.
38
Important : si vous supprimez un site, vous supprimez également tous
les profils associés.
Pour supprimer des sites :
1. Sélectionnez VPN | Général et cliquez sur l'onglet Paramètres VPN | Connexions.

2. Déconnectez votre connexion VPN.
• Sélectionnez le site et cliquez sur Supprimer.
• Cliquez avec le bouton droit sur le site et sélectionnez Supprimer le site.
4. Sur la fenêtre de confirmation, cliquez sur Oui.
Connexion et déconnexion
Cette section décrit la connexion, puis la déconnexion d'un site VPN. Pour suivre
ces instructions, vous devez préalablement définir au moins un site.
Pour vous connecter à un site existant :
• Cliquez sur l'option Connexion rapide, si elle est disponible. Vous êtes connecté
avec des informations d'identification prédéfinies.
1. Si cette option n'apparaît pas, procédez comme suit :
• Cliquez avec le bouton droit sur l'icône de la barre d'état système
Endpoint Security et sélectionnez Connexion au VPN.
• Dans Endpoint Security | VPN, cliquez sur Connecter.
La fenêtre Connexion VPN s'ouvre. Selon votre méthode d'authentification, les
champs de la fenêtre diffèrent. Par exemple, si vous utilisez un certificat pour
vous authentifier, le chemin du certificat s'affiche et vous êtes invité à saisir
votre mot de passe.
2. Saisissez les informations appropriées et cliquez sur Connecter.
Endpoint Security affiche une fenêtre d'avancement et indique si la connexion
est établie.
Pour vous déconnecter :
Chapter 2 VPN 39
• Cliquez avec le bouton droit sur l'icône de la barre d'état système
Endpoint Security et sélectionnez Déconnexion du VPN.
• Dans Endpoint Security, ouvrez VPN | Déconnecter.
Une fenêtre de confirmation s'affiche.
2. Cliquez sur Oui.
Statut de connexion
Vous pouvez afficher différents types d'informations sur l'état de la connexion.
Pour afficher les informations d'état de la connexion :
• Ouvrez VPN : affichez l'état de la connexion actuelle, le nom de profil actif, la

durée de la connexion et le temps restant avant la réauthentification.
• Sélectionnez VPN|Activité : affichez les détails sur la compression et la
décompression des paquets IP.
• Sélectionnez VPN et cliquez sur le lien Détails de la connexion : affichez les
détails sur la connexion.
Comprendre les Détails de la connexion - VPN hérité

le client d'Endpoint Security fournit les catégories suivantes d'informations
concernant la connexion actuelle, si votre VPN est SecureClient (VPN hérité Check
Point).
Table 0-2 Détails de connexion du VPN hérité
Type Description
d'informations
Status Summary Statut de la connexion client, adresse IP passerelle,
(Résumé de l'état) : adresse IP de l'ordinateur actuelle.
Connexions nom, adresse IP, nom du site et propriétés de tunnel de
chaque passerelle disponible. La passerelle est désignée
par la mention « (Primary (Principale)) ».
informations Plus d'informations passerelle.
passerelle
Encapsulation UDP Permet au client Endpoint Security de résoudre les
problèmes dû à un périphérique NAT masqué.
40
Mode Visiteur : Permet au client Endpoint Security de se connecter via
une passerelle qui limite les connexions au port 80 ou
443.
Mode bureau Empêche les conflits d'adresse IP sur des réseaux distants
en s'assurant que le client reçoit une adresse IP unique
de la passrelle passerelle.
Tunnel actif indique si le tunnel VPN est ouvert.
Compression IP Indique si les données sont compressées pour des liaisons

lentse, telle que la connexion par modem.
IKE sur TCP : Indique si la négociation IKE est sur TCP ou pas (si elle
ne l'est pas, elle est sur UDP) Permet l'IKE complexe.
Propriétés MTU du Unité de transmission maximale actuelle (MTU, Current
tunnel : Maximum Transmission Unit). Lorsque le client
communique avec un site par plusieurs routeurs, c'est la
plus petite unité de transmission maximale (MTU) de tous
les routeurs qui est importante.
Ordinateur : état de la connexion de l'ordinateur actif et autres
informations sur la connexion.
Paramètres actifs Résmé du profil actuel, comprenant : site auquel se
de la connexion : connecter, nom d'hôte de passerelle, spécifications de
protocole.
Nom Nom du profil de connexion, tel qu'affiché dans la fenêtre
Connexion VPN. Il peut s'agir d'une adresse IP.
Description Nom descriptif du profil, donnant d'autres informations.
Site Nom du site auquel se connecter.
Profile de Nom de la passerelle spécifiée dans le profil de

Passerelle connexion.
Profile de Passerelle réelle choisie pour la connexion ; ele peut
passerelle différer de la passerelle définie dans le profil de
sélectionné connexion.
Passerelle définie Nom de la passerelle définie.
dans le profil de
connexion
Prise en charge du indique si le mode bureau est pris en charge.
mode bureau
Prise en charge indique si la négociation de tunnel a lieu sur TCP et non
d'IKE sur TCP sur UDP pour éviter la fragmentation des paquets.
Imposer indique si l'encapsulation UDP est utilisée pour résoudre
l'encapsulation les problèmes dus aux périphériques NAT masqués qui ne
Chapter 2 VPN 41
UDP prennent pas en charge la fragmentation des paquets.
Mode Visiteur indique si le mode Visiteur est actif.
Acheminer le trafic indique si le mode concentrateur est actif.

par l'intermédiaire
d'une passerelle
(mode
concentrateur)
Identification du Indique si le processus qui identifie le MTU d'Endpoint
MTU du tunnel Security vers la passerelle est actif.
Description des détails de la connexion - VPN Endpoint Connect

Le client Endpoint Security fournit les informations suivantes si votre réseau
virtuel privé (VPN) est Endpoint Connect.
Détails, onglet Description

Nom Nom du site VPN passerelle auquel vous êtes connecté.
Adresse IP Adresse IP du site VPN.
Dernière connexion Jour, date et heure de votre dernière connexion à ce site.
Dernière adresse IP Adresse IP du mode bureau de la passerelle du VPN, le cas

du mode bureau échéant.
Description des paramètres de connexion - VPN Endpoint Connect

Paramètres, Description
onglet
Toujours connecter Si la configuration de votre client vous autorise à modifier
cette option, sélectionnez Activer Toujours connecter pour
établir automatiquement la connexion au VPN actif à
chaque fois que cela est possible.
Tunnel VPN Si la configuration de votre client vous autorise à modifier
cette option, sélectionnez Chiffrer la totalité du trafic et
l'acheminer vers la passerelle pour utiliser la fonction de
tunnel VPN pour tout trafic provenant de ce client.
42
Authentification Sélectionnez la méthode d'authentification dans la liste
déroulante.
Activation de la connexion
En vue d'un dépannage éventuel, votre administrateur système peut vous
demander de créer un journal de rapport.. Ce journal contient des informations
spécifiques au site et doit demeurer confidentiel. N'envoyez le rapport qu'à votre
administrateur système ou à une autre autorité compétente.
Pour activer la consignation :
1. Ouvrir VPN | Main et cliquer sur VPN Settings ou VPN Options.

2. Dans l'onglet Advanced, sélectionner Enable Logging.
Pour envoyer des journaux :
1. Dans l'onglet Advanced, cliquer sur Save Logs oo Collect Logs.

Si l'administrateur a une adresse e-mail pré-configurée pour les journaux, votre
programme d'e-mail par défaut s'ouvre avec l'adresse de prise en charge saisie
et les journaux en pièce jointe comme fichier CAB.
Si un message apparaît (Send this report only to your system
administrateur.) cliquer sur OK.
2. Attendre pendnat que les journaux sont connectés. Un message de
confirmation message s'affichera ; cliquer sur OK.
Le dossier où les journaux sont enregistrés est ouvert.
3. Envoyer le fichier CAB ou TGZ à l'administrateur.
Configuration des options de connexion

Cette section décrit les options de connexion.
Remarque : les options de connexion automatique, connexion sécurisée
au domaine et connexion locale automatique ne sont pas disponibles
dans la version compacte de l'interface VPN.
Connexion automatique
Cette option est disponible uniquement dans VPN Endpoint Security hérité.
Chapter 2 VPN 43
Cette option permet d'afficher une invite de connexion VPN lorsque vous tentez
d'accéder pour la première fois à un réseau privé, par exemple au réseau intranet
de l'entreprise. Cela vous évite d'avoir à parcourir Endpoint Security et à lancer
manuellement la connexion.
En mode de connexion automatique, le client vous invite à établir une connexion
VPN chaque fois qu'il détecte le trafic destiné à votre réseau d'entreprise ou à un
site intranet.
• Si vous choisissez de vous connecter, le client crypte le trafic destiné au site.

• Si vous ne vous connectez pas, le client vous demande d'indiquer le délai
avant l'affichage d'une autre invite de connexion. Durant ce temps, le trafic
destiné au site est envoyé non crypté. Toutefois, si votre site est configuré pour
ignorer tout trafic non crypté, vous ne pourrez pas communiquer avec les
serveurs situés derrière la passerelle du site.
• Si le mode bureau est également activé, vous devez également rétablir la
connexion une fois la connexion automatique établie.
Pour activer la connexion automatique :

2. Dans l'onglet Options, cochez l'option Activer la connexion automatique et cliquez
sur OK.
La fenêtre d'activation de la connexion automatique s'affiche.
3. Sélectionnez une option de relancement.
4. Cliquez sur OK.
Connexion sécurisée au domaine

Dans un environnement Windows, votre compte peut appartenir à un domaine
contrôlé par un contrôleur de domaine (un ordinateur qui fournit le service
Microsoft Active Directory aux utilisateurs et aux ordinateurs du réseau). L'option
de connexion sécurisée au domaine est très utile lorsque le contrôleur de domaine
se trouve derrière le pare-feu de votre site.
Lorsque vous tentez d'établir une connexion VPN à un domaine Windows, le client
envoie vos informations de connexion au contrôleur de domaine pour vérification.
Lorsque vous activez l'option de connexion sécurisée au domaine, le client établit
la connexion VPN avant de communiquer avec le contrôleur de domaine.
44
Pour activer l'option de connexion sécurisée au domaine :

2. Dans l'onglet Options, cochez l'option Activer la connexion sécurisée au domaine et
cliquez sur OK.
Connexion locale automatique

Si vous vous connectez au site VPN avec un nom d'utilisateur et un mot de passe
(et non avec un certificat), vous pouvez activer l'option de connexion locale
automatique pour automatiser votre connexion.
Si vous activez simultanément les options de connexion locale automatique et de
connexion automatique, le client établit automatiquement une connexion VPN
lorsque vous tentez d'accéder pour la première fois à un site nécessitant une
communication cryptée (c'est-à-dire le trafic destiné au site VPN). Cette option est
très utile pour les ordinateurs (terminaux) laissés sans surveillance qui servent de
nombreux utilisateurs.
Pour activer l'option de connexion locale automatique :

2. Dans l'onglet Options, cochez l'option Activer la connexion locale automatique et
cliquez sur Options de connexion locale automatique.
La fenêtre de connexion locale automatique s'affiche.
3. Saisissez votre nom d'utilisateur et votre mot de passe Windows, puis votre
nom d'utilisateur et votre mot de passe VPN et cliquez sur OK.
Un message vous signale que la modification sera appliquée au prochain
redémarrage.
4. Lorsque la fenêtre se ferme, cliquez sur OK pour fermer la fenêtre Paramètres
VPN.
Est connecté tout le temps

Cette option est disponible dans VPN seulement Check Point Endpoint Connect.
Pour s'assurer que vous restez connecté au site actif :
1. Ouvrez VPN|Général (Main) et cliquez sur Options VPN (VPN Options).
Chapter 2 VPN 45
La fenêtre Options s'ouvre.
2. Ouvrez l'onglet Sites.
3. Sélectionnez un site et cliquez sur Propriétés (Properties).
La fenêtre Propriétés s'ouvre.
4. Sélectionnez Enable Secure Domain Logon (Activer la connexion sécurisée au
domaine), puis cliquez sur OK.
Connexion via une zone d'accès sans fil

La stratégie de votre entreprise n'autorise peut-être pas l'accès automatique à un
réseau sans fil, par exemple dans un lieu public ou un hôtel. Votre stratégie peut
vous autoriser à contourner partiellement cette restriction pour enregistrer un
réseau sans fil. Ce contournement est temporaire et présente les limites
suivantes :
• Seuls les ports 80, 8080 et 443 sont ouverts. Ces ports sont généralement
utilisés pour l'enregistrement des zones d'accès sans fil.
• Au maximum, cinq adresses IP sont autorisées lors de l'enregistrement de la
zone d'accès sans fil.
• Les ports 80, 8080 et 443 sont fermés dans les cas suivants :
• Connexion réussie au réseau
• Après un délai de 10 minutes
• Echec de trois tentatives de connexion
Pour activer l'enregistrement d'une zone d'accès sans fil :

• Cliquez avec le bouton droit sur l'icône de la barre d'état système et
choisissez Inscription au hotspot/Hôtel.
• Ouvrez la fenêtre de connexion, cliquez sur Options et sélectionnez
Inscription au hotspot/Hôtel.
Un message s'affiche, indiquant la durée autorisée de l'enregistrement.
2. Connectez-vous à Internet.
Si l'option Inscription au hotspot/Hôtel n'est pas disponible, cette fonction a été désactivée
par votre administrateur réseau.
46
Activation du mode bureau
Le mode bureau oblige la passerelle à attribuer à votre ordinateur une adresse IP
temporaire qui n'est pas en conflit avec une autre adresse IP du site. L'adresse est
affectée après l'authentification et reste valide tant que vous restez connecté.
Cette fonction permet de résoudre certains problèmes de connectivité.
Le mode bureau peut être activé par l'intermédiaire d'un profil déployé sur votre
client par votre administrateur, mais vous pouvez également l'activer
manuellement.
Remarque : si le mode bureau et le mode de connexion automatique
sont activés en même temps, vous devez rétablir la connexion une fois
la connexion automatique établie.
Pour activer le mode bureau :

3. Sélectionnez l'onglet Avancé, puis Mode bureau et cliquez sur OK.
Activation du mode concentrateur

Le mode concentrateur permet au VPN Endpoint Security d'utiliser la passerelle
du site dans le rôle de routeur. Le trafic provenant du VPN Endpoint Security n'est
pas transféré au site interne mais à une autre passerelle. Si votre administrateur
système choisit d'utiliser le mode concentrateur, vous devrez peut-être l'activer
manuellement.
Pour activer le mode concentrateur :
1. Ouvrez VPN | Général.

2. Si le bouton Paramètres VPN s'affiche :
a. Cliquez sur Paramètres VPN.
b. Sur l'onglet Connexions, sélectionnez un profil et cliquez sur
Propriétés.
c. Ouvrez l'onglet Avancé.
d. Sélectionnez Acheminer tout le trafic via la passerelle et cliquez sur OK.
Chapter 2 VPN 47
3. Si le bouton Options VPN s'affiche :
a. Cliquez sur Options VPN.
b. Sur l'onglet Sites, sélectionnez un site et cliquez sur Propriétés.
c. Ouvrez l'onglet Paramètres.
d. Sélectionnez Chiffrer la totalité du trafic et l'acheminer vers la passerelle et
cliquez sur OK.
Remarque - L'administrateur doit configurer la passerelle de sécurité
afin qu'elle fonctionne comme un concentrateur, en définissant une
application réseau incluant : 0.0.0.1 > 255.255.255.254.
Paramètres proxy (mode visiteur)

Si vous vous connectez à l'organisation depuis un emplacement distant tel qu'un
hôtel ou les locaux d'un client, la connectivité Internet peut se limiter à la
navigation Web via les ports standard désignés pour HTTP, en général le port 80
pour HTTP et le port 443 pour HTTPS. Le client distant doit effectuer une
négociation IKE sur le port 500 ou envoyer des paquets IPSec (à la place des
paquets TCP habituels) ; de ce fait, le tunnel VPN ne peut pas être établi de la
manière habituelle. Le mode visiteur (également appelé Tunnel VPN) permet de
résoudre ce problème, via un serveur proxy.
Avant de configurer les paramètres proxy, contactez votre administrateur système
pour obtenir un nom d'utilisateur et un mot de passe valides permettant d'accéder
au proxy. Vous devrez peut-être avoir besoin du numéro de port et de l'adresse IP
du serveur proxy.
Pour configurer les paramètres du proxy :

• Dans Paramètres VPN : Sur l'onglet Options, cliquez sur Configurer les
paramètres du proxy.
• Dans Options VPN : Sur l'onglet Avancé, cliquez sur Paramètres du proxy.
3. Configurez les paramètres du proxy.
• Aucun Proxy / proxy transparent : par défaut
• Détecter le proxy dans les paramètres d'Internet Explorer : le client récupère
les paramètres du proxy dans Microsoft Internet Explorer. Avant de
sélectionner cette option, assurez-vous que les paramètres sont
48
manuellement définis : dans Microsoft Internet Explorer, Outils >
Options Internet > Connexions > Paramètres LAN, sélectionnez l'option
"Utiliser un serveur proxy pour cette connexion". Si l'option "Détecter
automatiquement les paramètres de connexion" ou "Utiliser un script de
configuration automatique" est activée, le client ne peut pas détecter
les paramètres du proxy dans Microsoft Internet Explorer.
• Définir le proxy manuellement : si les paramètres du proxy ne sont pas
détectés automatiquement, vous devrez peut-être configurer les
paramètres de Microsoft Internet Explorer avec les instructions,
l'adresse IP et le numéro de port fournis par votre administrateur
système.
4. Dans la section Authentification de proxy, saisissez le nom d'utilisateur et le
mot de passe pour l'authentification du proxy.
5. Cliquez sur OK.
Support de connexions par modem

L'option pour configurer et utiliser des connexions par modem via Endpoint
Security est disponible si vous avez le clientEndpoint Connect VPN.
Si aucun réseau n'est disponible quand vous tentez de vous connecter à un site, et
qu'aucune connexion par modem n' été configurée, le client.Endpoint Connect
affiche un message.
Echec de la connexion
Pas de réseau détecté
Cliquez ici pour activer la connexion par modem
• Cliquez sur le lien pour ouvrir l'assistant Nouvelle Connexion et configurer une
connexion par modem.
• Si une connexion unique par modem est déjà définie, cliquez sur le lien pour
vous connecter par modem et vous connecter.
• Si de nombreuses connexions sont définies, une liste s'affiche. Choisir une
connexion et Endpoint Connect établit la connexion par modem.
• Si Transparent Network and Interface Roaming (Réseau transparent et //
d'interface) est activé, et que VPN est dans l'état Reconnexion, Endpoint
Connect affiche un message Reconnexion (Reconnecting) avec le lien
pour activer la connexion par modem.
Chapter 2 VPN 49
Options de configuration avancées
Si vous utilisez la version étendue de l'interface VPN, le client propose des options
de configuration avancées.
Blocage des messages contextuels

Lorsque le VPN Endpoint Security est déconnecté du site et que l'option de
connexion automatique est activée, chaque fois que le VPN Endpoint Security
détecte du trafic destiné au site, un message contextuel vous invite à vous
connecter. Ce message contextuel peut être bloqué.
Si vous choisissez de bloquer les messages contextuels, par exemple pendant 60
minutes, tout le trafic destiné au site est abandonné ou envoyé non crypté pendant
cette période. A l'expiration des 60 minutes, vous êtes de nouveau invité à vous
connecter chaque fois que le VPN Endpoint Security détecte du trafic destiné au
site.
Pour bloquer les messages contextuels :
1. Cliquez avec le bouton droit sur l'icône Endpoint Security de la barre d'état
système.
2. Dans le menu contextuel, sélectionnez Options VPN | Bloquer les fenêtres
contextuelles d'auto-connexion.
La fenêtre de Blocage des messages contextuels apparaît.
3. Sélectionnez une option de blocage des messages contextuels :
4. Cliquez sur OK.
Tunnel de parcours NAT

La traduction d'adresse réseau (Network Address Translation - NAT) fournit
certains types de sécurité, différents de ceux fournis par VPN et le protocole VPN
IPSec. Pour utiliser le mécanisme NAT avec VPN, vous devez configurer votre
client VPN de façon à prendre en charge NAT-T. Vous devez le faire avec l'aide de
l'administrateur de la passerelle du pare-feu, car il faut configurer les options et
les ports NAT-T à la fois sur le client et la passerelle pour assurer la prise en
charge mutuelle.
50
Pour activer le parcours NAT :

3. Ouvrez l'onglet Avancé et sélectionnez Améliorations de la connectivité.
4. Sélectionnez Utiliser le tunnel de parcours NAT.
Votre administrateur doit activer la prise en charge NAT-T sur la passerelle, et
ouvrir le port UDP 4500 pour la session VPN. Il est nécessaire de définir un
périphérique NAT au niveau du pare-feu.
NAT-T ne prend pas en charge le mode IKE agressif.
5. Sélectionnez les options appropriées pour résoudre les problèmes relatifs aux
paquets volumineux :
• IKE sur TCP : Permet de résoudre le problème des gros paquets UDP
créés durant la phase I IKE, en utilisant des paquets TCP. Cette option
est utile si le VPN utilise des protocoles IKE. L'administrateur doit
activer le support IKE sur TCP.
• Imposer l'encapsulation UDP : Permet de résoudre le problème relatif aux
paquets UDP en les encapsulant dans les en-têtes IPSec.
L'administrateur doit activer le port 2746 pour la source et la
destination.
6. Cliquez sur OK.
Options de ligne de commande

Check Point Endpoint Connect du client VPN peuvent aussi être exécutés depuis
la ligne de commande.
Pour utiliser la ligne de commande :
1. Ouvrez une invite de commande.
DÉMARREZ > EXÉCUTER (RUN)> : cmd
2. Naviguez vers le répertoire Endpoint Connect :
C:\Program Files\CheckPoint\TRAC
3. Saisir command_line <command> [<args>]:
Chapter 2 VPN 51
Endroit où la <commande> est l'une des suivantes :
Table 0-3 Options de ligne de commande pour Endpoint Connect
Commande Fonction
Démarrer Démarre le service Endpoint Connect
Arrêter Arrête le service Endpoint Connect
Statut Imprime les informations de statut et
liste les connexions
infos de [-s <nom de site>] Liste toutes les connexions ou les
impressions d'informations de nom de
site
connect [-s <sitename>] [-u Connexion en utilisant la connexion
<username> -p <password> | -d <dn> donnée.
| -f <p12> | -pin <PIN> -sn <serial>] • le paramètre <nomsite
(sitename)> est facultatif. Si
aucun site n'est pas défini, le
client se connecte au site actif.
Si aucun site actif n'est défini,
un message d'erreur s'affiche.
• Les informations d'identité
peuvent être fournis.
Déconnecter Déconnecte la connexion courante
create -s <sitename> [-a Crée un nouveau site, et définit une
<authentication method>] méthode d'authentification. Les
valeurs d'authentification valides sont :
• username-password
• certificat
• p12-certificate
• Réponse de vérification
(Challenge Response)
• securIDKeyFob
• securIDPinPad
• SoftID
Un administrateur peut spécifier une
méthode d'authentification. Si la
mauvaise méthode est utilisée, vous
serez invité à entrer une alternative.
supprimer [-s <nom de site>] Supprime la connexion donnée
help / h Affiche comment utiliser la commande
list Liste des noms de domaine utilisateur
dans le CAPI
52
Commande Fonction
Démarrer Démarre le service Endpoint Connect
ver Affiche la version de Endpoint Connect
journal Affiche les messages de journaux
enroll_p12 -s <sitename> -f Inscrire le certificat a p12
<filename> -p <password> -r
<registrationkey> [ -l <keylength> ]
enroll_p12 -s <sitename> -f Renouveler le certificat a p12
enroll_p12 -s <sitename> -f Inscrire un certificat capi
renew_capi -s <sitename> -d <dn> [ -l Renouveller un certificat capi
<keylength> -sp
<strongkeyprotection> ]
change_p12_pwd -f <filename> [ -o Modification du mot de passe p12
<oldpassword> -n <newpassword> ]
Chapter 2 VPN 53
Chapitre 3
Les fonctionnalités Anti-virus et Anti-espion intégrées protègent simultanément et
de manière puissante votre ordinateur contre les virus et les espions Plusieurs
options d'analyse détectent automatiquement les virus et les espions logiciels, et
les rendent inoffensifs avant même qu'ils ne puissent endommager votre
ordinateur.
Dans cette section
Endpoint Security Anti-virus et Anti-espion 55

Analyse 57
Options avancées 63
Endpoint Security Anti-virus et Anti-espion

La fonctionnalité Anti-virus protège votre ordinateur contre les virus connus ou
inconnus en analysant et en comparant les fichiers à une base de données
répertoriant les virus connus et à un ensemble de caractéristiques qui permettent
d'identifier le comportement d'un virus. Les fichiers peuvent être analysés lors de
leur ouverture, leur fermeture ou leur exécution, ou bien lors d'une analyse
complète de l'ordinateur. Si un virus est détecté, l'anti-virus le rend inoffensif en
le réparant ou en refusant l'accès au fichier infecté.
La fonctionnalité Anti-espion détecte des composants espions sur votre ordinateur
et adopte deux approches différentes : soit il les supprime automatiquement, soit
il les place en quarantaine afin que vous puissiez les supprimer manuellement
après avoir évalué les risques qu'il présentent.
55
Activation des fonctions Anti-virus et Anti-espion
Avant d'activer la fonction de protection anti-virus, vous devez désinstaller tout
autre logiciel anti-virus présent sur votre ordinateur, ainsi que tout logiciel incluant
une protection anti-virus dans ses fonctionnalités. Le client Endpoint Security
peut désinstaller automatiquement certaines applications anti-virus. Si un
programme ne peut pas être désinstallé automatiquement, utilisez l'option
Ajout/Suppression de programmes du Panneau de configuration de Windows.
Pour activer la protection anti-virus et anti-espion :
1. Ouvrez Anti-virus/anti-espion | Général.

2. Dans la zone Anti-virus, cliquez sur Activé.
3. Dans la zone Anti-espion, cliquez sur Activé.
Affichage de l'état de protection anti-virus et anti-espion

Pour afficher l'état de votre protection anti-virus et anti-espion, consultez
Présentation | Général ou Anti-virus/anti-espion | Général.
L'onglet Général du volet Anti-virus / Anti-espion affiche l'état de la protection
anti-virus et anti-espion. Dans cette zone, vous pouvez :
• Vérifier que la protection anti-virus et anti-espion est activée.

• Connaître les dates et les heures de vos dernières analyses.
• Mettre à jour les fichiers de définition.
• Invoquer une analyse.
• Consulter les résultats de la dernière analyse.
• Accéder aux paramètres avancés.
Pour plus de détails sur les informations d'état du volet Présentation, voir
Utilisation de l'onglet Etat voir "Utilisation de l'onglet Général du volet
Présentation" page 15.
Chaque application anti-virus ou anti-espion contient un fichier de définitions,
contenant les informations qui permettent d'identifier les virus et les espions
détectés dans l'ordinateur. A mesure que de nouveaux virus et de nouveaux
56
logiciels espions sont découverts, le client met à jour ses bases de données avec
les fichiers de définition dont il a besoin pour détecter ces nouvelles menaces. Par
conséquent, votre ordinateur est vulnérable aux virus et logiciels espion chaque
fois que sa base de données de fichiers de définition de virus est obsolète.
Dans Anti-virus/espion | Général, vous pouvez voir si l'Anti-virus ou l'Anti-espion doit
être mis à jour.
Pour obtenir des mises à jour à la demande :
1. Ouvrir l'Anti-virus/anti-virus | Général.

2. Si Mise à jour en retard s'affiche dans la section Anti-virus ou Anti-espion
section, cliquez sur Mettre à jour.
Analyse
Il existe plusieurs manières de déclencher une analyse de votre ordinateur.
• Dans l'onglet Anti-virus/anti-espion | Général, cliquez sur Rechercher des virus,

Rechercher des logiciels espions ou Recherche de virus/logiciels espions.
• Cliquez avec le bouton droit sur un fichier de votre ordinateur et choisissez
Analyser avec l'Anti-virus Check Point.
• Programmez l'exécution unique ou régulière de l'analyse du système.
• Ouvrez un fichier (si l'analyse à l'accès est activée).
Vous pouvez exécuter cinq analyses en même temps. Les analyses sont effectuées
dans l'ordre où elles sont été initiées.
Les analyses système proposent un autre niveau de protection en vous permettant
d'analyser en une seule fois le contenu intégral de votre ordinateur. Les analyses
du système détectent les virus qui peuvent être latents sur le disque dur de votre
ordinateur et si vous les exécutez souvent, vous serez assuré que vos fichiers de
signatures de virus sont à jour.
Comme les analyses systèmes complètes sont approfondies, elles peuvent prendre
un certain temps. Les performances de votre système pourront par conséquent être
ralenties lorsque l'analyse complète du système est en cours. Pour empêcher un
impact sur votre flux de travail, vous pouvez programmer les analyses système à
une heure où vous serez moins susceptible d'utiliser votre ordinateur.
Remarque : si vous cliquez sur Pause dans la boîte de dialogue Analyse
pendant l'exécution d'une analyse, seule l'analyse en cours est
interrompue. L'analyse à l'accès n'est pas désactivée. Cliquez à
nouveau sur Pause pour poursuivre la recherche actuelle.
Chapter 3 Anti-virus et Anti-espion 57

Durant l'analyse, le bouton des Options avancées est désactivé.
Signification des résultats de l'analyse

Les résultats de l'analyse s'affichent dans la fenêtre Résultats de l'analyse.
Table 0-4 Informations des Résultats de l'analyse
Nom Nom du virus/logiciel espion.
Traitement Indique le traitement appliqué à l'infection/logiciel espion :
Placé en quarantaine ou Supprimé.
Risque Indique le niveau de risque associé à l'infection.
• Elevé : Constitue une menace pour la sécurité. Tous les
virus sont considérés comme présentant un risque
élevé.
• Moy : Risque de violation de la confidentialité.
• Bas : Logiciel publicitaire ou autre logiciel inoffensif mais
ennuyeux.
Chemin Emplacement du virus/logiciel espion.
Type Nom du virus, du ver ou du cheval de Troie à l'origine de
l'infection ; ou logiciel espion d'enregistrement clavier ou
cookie de traçage.
Etat : indique si le fichier a été réparé, supprimé ou demeure
infecté. Si le client n'a pas pu traiter l'élément, un lien
intitulé Ce qu'il reste à faire peut apparaître à cet endroit. Ce
lien vous orientera vers des informations et des instructions
détaillées.
Informations : fournit d'autres détails. Pour obtenir de plus
amples informations sur un virus ou un logiciel espion,
cliquez sur le lien En savoir plus.
Détails Eléments actifs : infections/logiciels espions détectés pendant
l'analyse et ne pouvant pas être traités automatiquement.
Pour accepter les traitements recommandés dans la colonne
Traitement, cliquez sur Appliquer.
Traitement automatique : éléments déjà traités ; aucune action
supplémentaire n'est nécessaire.
Traitement manuel des fichiers

Si le traitement automatique n'est pas activé ou si un fichier n'a pas pu être
réparé automatiquement, vous pouvez le traiter manuellement depuis la fenêtre
Détails d'analyse.
58
Pour traiter un fichier manuellement, procédez comme suit :
1. Dans la fenêtre Résultats de l'analyse, sélectionnez l'élément à traiter.

2. Dans la colonne Traitement, choisissez une option.
3. Cliquez sur Fermer lorsque vous avez terminé le traitement des fichiers.
Table 0-5 Options de traitement de virus
Réparer Tente de réparer le fichier sélectionné.
Quarantaine Ajoute l'extension .zl6 au fichier infecté pour le rendre
inoffensif. Le fichier est placé en quarantaine.
Renommer Permet de renommer le fichier pour que les analyses
ultérieures ne le détectent plus.
N'utilisez cette option que si vous êtes certain que le
fichier n'est pas un virus.
Supprimer Supprime le fichier sélectionné.
Supprimer au Supprime le fichier sélectionné au prochain démarrage de
redémarrage l'ordinateur.
Toujours Demande au client d'ignorer le fichier lors des analyses
ignorer ultérieures.
Ignorer une Demande au client de retirer l'élément de la liste et de ne
fois prendre aucune mesure.
Si les résultats d'une analyse de virus affichent Erreur, Aucun traitement disponible
ou Echec du traitement, aucune solution ne permet pour l'instant de supprimer
automatiquement le virus sans mettre en péril l'intégrité de l'ordinateur ou
d'autres fichiers.
Pour obtenir les procédures de traitement manuel, saisissez le nom du virus,
accompagné de la mention « suppression » dans un moteur de recherche, tel que
Google ou Yahoo pour trouver des instructions de suppression.
Check Point réalise en continu des recherches sur les virus afin de mettre en place
des moyens sûrs de les supprimer.
Envoi d'informations sur des virus et de logiciels espions à

Check Point
En envoyant le signalement de logiciels suspectés malveillants à Check Point, vous
contribuez à améliorer la sécurité et la protection de tous les utilisateurs Internet.
L'équipe de Check Point Security examine tous les signalements de nouveaux
fichiers. L'équipe de Check Point Security entreprend ensuite les actions
nécessaires et peut vous contacter pour vous demander de plus amples
informations sur les fichiers que vous avez signalés.
En raison du volume important de nouveaux logiciels malveillants chaque jour, nos
chercheurs ne peuvent pas traiter tous les fichiers signalés. Cependant, nous
apprécions l'assistance de nos utilisateurs et vous remercions de prendre le temps
de contribuer à la sécurisation du Web. En cas de doute ou de question, veuillez
vous adresser à : security@checkpoint.com
Pour signaler un logiciel malveillant à Check Point :
1. Placez le fichier malveillant dans une archive protégée par le mot de passe
infecté.
Pour en savoir plus sur la création d'une archive protégée par mot de passe,
consultez l'aide de WinZip.
2. Envoyez le fichier .zip à malware@checkpoint.com
Utilisez cette adresse e-mail uniquement pour envoyer des logiciels
malveillants à l'équipe Check Point Security.
Important : n'envoyez pas de fichier malveillant si vous ne pouvez pas le faire de
manière sécurisée ou si vous risquez d'infecter ou d'endommager votre système.
N'envoyez pas de fichier suspecté malveillant par e-mail à d'autres utilisateurs,
car vous risquez d'infecter leur système.
Affichage des éléments placés en quarantaine

Dans certains cas, les éléments détectés durant une recherche de virus ou de
logiciel espion ne peuvent pas être traités ou supprimés de manière automatique.
Ces derniers sont alors généralement mis en quarantaine afin de les rendre
inoffensifs, mais préservés en vue de leur traitement ultérieur après une mise à
jour de vos fichiers de signatures de virus et de logiciels espions.
Pour afficher des logiciels espions placés en quarantaine, procédez comme suit :
1. Ouvrez Anti-virus/anti-espion.
2. Ouvrez l'onglet Quarantaine.
3. Choisissez Virus ou Logiciel espion dans la liste déroulante Affichage Placé en
quarantaine.
Table 0-6 Informations sur les virus mis en quarantaine
Infection Nom du virus.
60
Jours en Nombre de jours écoulés depuis la mise en quarantaine
quarantaine du fichier
Chemin Emplacement du virus dans votre ordinateur.
Table 0-7 Informations sur les logiciels espion mis en quarantaine

Type Type de logiciel espion : enregistrement clavier ou
cookie.
Nom Nom du logiciel espion.
Risque Niveau de risque associé à l'infection : Bas, dans le cas
d'un logiciel publicitaire ; ou menace sérieuse dans le
cas d'un logiciel d'enregistrement clavier.
Jours en Nombre de jours écoulés depuis la mise en quarantaine
quarantaine du fichier
Gestion des éléments placés en quarantaine

Vous pouvez mettre des virus ou des logiciels espions en quarantaine ou les sortir
de la quarantaine.
Pour supprimer ou restaurer un élément placé en quarantaine :
1. Ouvrez Anti-virus/anti-espion | Quarantaine.

2. Choisissez Logiciel espion ou Virus dans la liste déroulante Affichage Placé en
quarantaine.
3. Sélectionnez l'élément dans la liste.
• Pour envoyer l'élément dans la corbeille, cliquez sur Supprimer.
• Pour envoyer l'élément vers son emplacement d'origine, cliquez sur
Restaurer. Utilisez cette fonction avec précaution afin d'éviter de
restaurer des fichiers qui peuvent s'avérer malveillants.
• Pour envoyer un élément à Check Point à des fins d'analyse,
sélectionnez-le et cliquez sur Plus d'infos.
Affichage des historiques

Par défaut, tous les événements relatifs à un virus ou un logiciel espion sont
enregistrés dans l'historique.

Pour afficher les événements consignés relatifs aux virus, procédez comme suit :
1. Sélectionnez Alertes et historiques | Consulter les logs.

2. Dans la liste déroulante Type d'alerte, sélectionnez Anti-virus ou Anti-espion.
Table 0-8 Informations de l'historique
Champ Informations
Date Date de l'infection.
Type Type d'événement survenu :

Virus Logiciel espion
• Mise à jour • Logiciel
• Analyse publicitaire
• Traitement • Objet
Browser Help
• Courrier
électroniqu • Composeur
e • Keylogger
• Cookie espion
Nom du Nom commun du virus (par exemple,
virus/logiciel iloveyou.exe) ou du logiciel espion (par exemple,
espion NavExcel).
Nom du fichier Nom du fichier infecté, nom des fichiers en
cours d'analyse ou nom et numéro de version de
la mise à jour et/ou du moteur.
Action entreprise Indique comment le virus a été géré par le
client.
• Mis à jour, Annulation de la mise à jour
ou Echec de la mise à jour
• Analysé, Annulation de l'analyse, Echec
de l'analyse
• Réparation du fichier, Echec de
réparation du fichier
• Placé en quarantaine, Echec de mise en
quarantaine
• Supprimé, Echec de la suppression
• Restauré, Echec de la restauration
• Renommé, Echec d'attribution d'un
nouveau nom
Acteur Détermine si l'action était manuelle ou
automatique.
62
Champ Informations
Courrier Si le virus a été détecté dans un courrier

électronique électronique ou dans l'adresse électronique de
l'expéditeur.
Options avancées
Le bouton Options avancées est activé si la stratégie personnelle est la seule
stratégies active (reportez-vous à la section Stratégies).
Si une stratégie d'entreprise ou de déconnexion est active, les fonctions de cette
option sont contrôlées par l'administrateur système.
Vous ne pourrez donc contrôler les Options avancées de votre propre client que si
la stratégie d'entreprise n'a pas encore été reçue et s'il n'y a pas de contact avec le
serveur Endpoint Security, ou si la stratégie affectée n'est constituée que d'une
stratégie d'entreprise et que votre client est déconnecté du serveur.
Planification des analyses

L'analyse de votre ordinateur en vue de détecter des virus et des espions logiciels
est l'une des actions les plus importantes que vous pouvez effectuer pour protéger
l'intégrité de vos données et votre environnement informatique. Comme l'analyse
est plus efficace si elle est effectuée régulièrement, il est préférable de la planifier
afin qu'elle soit automatiquement exécutée. Si votre ordinateur est éteint au
moment où l'analyse automatique doit commencer, celle-ci sera lancée quinze
minutes après le démarrage de votre ordinateur.
Pour programmer une analyse, procédez comme suit :

2. Dans la zone Anti-virus, cliquez sur le lien cliquez pour programmer.
La fenêtre Options avancées s'affiche.
3. Dans les options de programmation de l'analyse, cochez la case Rechercher les
virus, puis choisissez le jour et l'heure de l'analyse.
4. Spécifiez la fréquence de l'analyse : Quotidienne, Hebdomadaire ou Mensuelle.
5. Cochez l'option Rechercher les logiciels espions, puis choisissez le jour et l'heure
de l'analyse.
6. Spécifiez la fréquence d'analyse.

7. Cliquez sur OK.
Remarque : si vous choisissez l'analyse hebdomadaire, celle-ci sera
exécutée chaque semaine le jour correspondant à la date de début.
Par exemple, si la date de début est le 3 novembre 2009, l'analyse
aura lieu tous les mardis suivants.
Mise à jour des définitions de virus et de logiciel espion

Chaque application anti-virus ou anti-espion contient un fichier de définitions,
contenant les informations qui permettent d'identifier les virus et les espions
détectés dans l'ordinateur. A mesure que de nouveaux virus et de nouveaux
logiciels espions sont découverts, le client met à jour ses bases de données avec
les fichiers de définition dont il a besoin pour détecter ces nouvelles menaces. Par
conséquent, votre ordinateur est vulnérable aux virus et logiciels espions chaque
fois que sa base de données de fichiers de définition des virus est obsolète.
Si vous activez la fonction de mise à jour automatique, vous serez à même de
recevoir systématiquement les derniers fichiers de définition une fois qu'ils sont
disponibles.
Pour activer les mises à jour automatiques, procédez comme suit :

2. Cliquez sur Options avancées.
3. Ouvrez les options Mises à jour.
4. Cochez l'option Activer les mises à jour automatiques de l'Anti-virus.
5. Cochez l'option Activer les mises à jour automatiques de l'Anti-espion.
6. Dans la liste déroulante Définir la fréquence de mise à jour, spécifiez le moment
où le client doit vérifier la présence de mises à jour et éventuellement, les
télécharger et les installer.
7. Cliquez sur OK.
Le volet Anti-virus/anti-espion | Général, indique si l'Anti-virus ou l'Anti-espion doit

être mis à jour.
64
Pour obtenir des mises à jour à la demande :

2. Si Mise à jour en retard s'affiche dans la section Anti-virus ou Anti-espion,
cliquez sur le lien cliquez pour mettre à jour ou cliquez sur Mettre à jour.
Spécification des cibles de l'analyse

Vous pouvez indiquer les lecteurs, dossiers et fichiers spécifiques à analyser lors
d'une analyse système. Pour inclure un élément à l'analyse, cochez la case en
regard de l'élément. Par défaut, le client analyse uniquement les disques durs
locaux.
Pour spécifier les cibles de l'analyse, procédez comme suit :

3. Sélectionnez Gestion des virus|Analyser les cibles.
4. Sélectionnez les disques, dossiers et fichiers à analyser.
5. Cochez l'option Analyser les secteurs de démarrage de tous les disques locaux, puis
cliquez sur OK.
6. Cochez l'option Analyse de la mémoire système, puis cliquez sur OK.
Le tableau suivant décrit les icônes de la fenêtre Analyser les cibles.

Table 0-9 Icônes désignant les cibles de l'analyse
Icône Description
Le disque sélectionné et tous les sous-dossiers et fichiers

seront inclus à l'analyse.
Le disque sélectionné et tous les sous-dossiers et fichiers
seront exclus de l'analyse.
Le disque sélectionné sera inclus à l'analyse, mais un ou
plusieurs sous-dossiers ou fichiers seront exclus de
l'analyse.

Le dossier sélectionné sera exclu de l'analyse, mais un ou
plusieurs sous-dossiers ou fichiers seront inclus.
Le dossier sélectionné sera inclus à l'analyse. Si une case

est cochée et grisée, l'analyse du dossier et du fichier est
activée car l'analyse a été activée pour un disque ou un
dossier de plus haut niveau.
Le dossier sélectionné sera exclus de l'analyse. La croix
"x" grisée indique que l'analyse du dossier ou du fichier
est désactivée, car l'analyse a été désactivée pour un
disque ou un dossier de plus haut niveau.
Autre Disque RAM et tout lecteur inconnu.
Spécifiez d'autres lecteurs à analyser.
Analyse en accès
L'analyse lors de l'accès protège votre ordinateur contre les virus en détectant et
en traitant les virus qui peuvent être latents sur votre ordinateur. L'analyse en
accès est activée par défaut et elle assure la protection la plus active contre les
virus. Les fichiers sont analysés lors de leur ouverture, leur fermeture et leur
exécution afin de détecter des virus, permettant ainsi une détection immédiate et
un traitement des virus.
Remarque : l'analyse en accès recherche les virus dans une archive
(fichier compressé, tel que les fichiers d'extension .zip) uniquement lors
de l'ouverture du fichier. Contrairement aux autres types de fichiers, les
fichiers d'archive ne sont pas analysés lorsqu'ils sont déplacés d'un
emplacement à un autre.
L'analyse en accès ne prend pas en charge d'autres fournisseurs d'Anti-
virus, et elle est désactivée si vous n'utilisez pas Check Point ni l'Anti-
virus.
Pour activer l’analyse lors de l'accès, procédez comme suit :

3. Sélectionnez Gestion des virus | Analyse en accès, puis cochez l'option Activer
l'analyse lors de l'accès.
4. Cliquez sur OK.
66
Spécification des méthodes de détection des logiciels espions
En plus de la détection par défaut recherchant les logiciels espions actifs dans le
registre de votre ordinateur, il existe des méthodes qui permettent de détecter les
logiciels-espions latents ou difficiles à localiser.
Pour spécifier des méthodes de détection de logiciels espions, procédez comme suit :

3. Sélectionnez Gestion des logiciels espions|Détection.
4. Cochez l'option Rechercher les cookies de suivi.
5. Sous Options de détection maximum, indiquez si l'analyse doit être exhaustive ou
rapide :
• Analyse rapide intelligente : cette option est sélectionnée par défaut.
• Analyse complète du système : analyse le système de fichiers local.
• Analyse approfondie : analyse chaque octet de données de votre
ordinateur.
L'Analyse complète du système et l'Analyse approfondie peuvent affecter les
performances. Ne sélectionnez ces options que si vous soupçonnez la présence
d'un logiciel espion non identifié.
6. Cliquez sur OK.
Activation du traitement automatique des virus

Lorsqu'une infection virale est détectée, la fenêtre Analyse propose les options de
traitement disponibles, telles que Quarantaine, Réparer ou Supprimer. Par défaut,
le client tente automatiquement de traiter les fichiers contenant des virus.
Lorsqu'un fichier ne peut être réparé, la fenêtre Analyse vous en informe pour que
vous puissiez prendre les mesures appropriées.
Pour activer le traitement automatique des virus, procédez comme suit :

3. Sélectionnez Gestion des virus|Traitement automatique.

4. Sélectionnez l'option de traitement automatique désirée :
• Alertez-moi – Ne pas traiter automatiquement
• Essayer de réparer et m'alerter en cas d'échec
• Essayer de réparer, placer en quarantaine si la réparation échoue
(recommandé)
5. Cliquez sur OK.
Activation du traitement automatique des logiciels espions

Lorsqu'un logiciel espion est détecté, la fenêtre Analyse propose les options de
traitement disponibles, telles que Quarantaine ou Supprimer. La fenêtre Analyse
affiche la méthode de traitement recommandée du logiciel espion afin que vous
puissiez prendre les mesures appropriées.
Pour activer le traitement automatique des espions, procédez comme suit :

3. Sélectionnez Gestion des logiciels espions|Traitement automatique.
4. Cochez l'option Activer le traitement automatique des logiciels espions, puis cliquez
sur OK.
Réparation de fichiers d'archive

Si le fichier infecté se situe dans une archive (comme un fichier .zip), le client ne
peut pas le traiter tant que le fichier est compressé.
Pour réparer un fichier dans une archive, procédez comme suit :
1. Vérifiez que l'analyse en accès est activée.

2. Ouvrez le fichier spécifié dans la fenêtre Résultats de l'analyse à l'aide d'un
utilitaire d'archivage, tel que WinZip.
L'analyse en accès analyse le fichier pour rechercher des infections. La fenêtre
Résultats de l'analyse affiche les résultats de l'analyse.
3. Extrayez les fichiers à traiter de l'archive, puis exécutez à nouveau l'analyse.
68
Options d'analyse de virus
Vous pouvez configurer votre analyse anti-virus de manière à ce que tous les
fichiers dépassant une certaine taille soient ignorés (la valeur par défaut est
8 Mo). Cette option réduit la durée d'analyse sans accroître les risques puisque la
taille des fichiers virus est en règle générale inférieure à 8 Mo. Les fichiers de
taille importante pouvant contenir des virus, votre ordinateur est toujours protégé
si vous avez activé l'analyse lors de l'accès.
Vous pouvez également activer la base de données étendue. Cette base de
données inclut, outre la liste des virus standard, une liste complète des
programmes destructeurs. Toutefois, certains programmes destructeurs présents
dans la base de données étendue peuvent également être listés dans la base de
données standard de l'Anti-espion. Il est donc possible que des programmes
destructeurs suspects soient analysés deux fois. De plus, la liste de programmes
destructeurs de la base de données étendue peut également comprendre des
programmes que vous considérez comme inoffensifs.
Pour spécifier les options d'analyse de virus :

3. Sélectionnez Gestion des virus|Options d'analyse.
4. Cochez l'option Ignorer si l'objet est supérieur à et entrez la taille maximale de
l'objet dans le champ Mo.
5. Dans la liste déroulante Définir la priorité d'analyse, sélectionnez une option :
• Elevée (Analyses plus rapides, PC plus lent)
• Moyen
• Basse (Analyses plus lentes, PC plus rapide)
6. Cliquez sur OK.
Liste des exceptions de l'anti-virus

Certains logiciels considérés comme suspects par la base de données étendue
puissent nuire à votre ordinateur, endommager ou rendre vos données vulnérables
aux pirates informatiques, mais de nombreuses applications probablement
inoffensives sont identifiées comme des virus lors d'une analyse. Si vous utilisez

l'une de ces applications, vous pouvez les exclure des analyses anti-virus en les
ajoutant à la liste d'exceptions.
Pour ajouter un programme à la liste des exceptions :
• Dans la liste Résultats de l'analyse, cliquez sur le programme et choisissez

Toujours ignorer, ou procédez comme suit :
3. Sélectionnez Gestion des virus|Exceptions.
4. Dans la zone Exceptions de traitement des virus, cliquez sur Ajouter un fichier.
La fenêtre Ajouter une exception s'ouvre. Cette fenêtre présente des exemples
d'exceptions pouvant être ajoutées.
5. Spécifiez une exception comme dans les exemples ou cliquez sur Parcourir et
sélectionnez le fichier, le dossier ou le lecteur à exclure de l'analyse.
6. Cliquez sur OK.
Si, par inadvertance, vous ajoutez un virus à la liste des exceptions, vous pouvez
l'en retirer.
Pour retirer un virus de la liste des exceptions, procédez comme suit :

3. Sélectionnez Gestion des virus|Exceptions.
4. Dans la zone Exceptions de traitement des virus, sélectionnez le virus que vous
désirez supprimer, puis cliquez sur Supprimer de la liste.
5. Cliquez sur OK.
Liste d'exceptions de l'Anti-espion

Certains logiciels espions peuvent endommager votre ordinateur ou vos données,
mais de nombreuses applications inoffensives peuvent également être identifiées
comme des logiciels espions lors d'une analyse. Si vous utilisez l'une de ces
applications (logiciel de reconnaissance vocale, par exemple), vous pouvez
l'exclure des analyses de logiciels espions en l'ajoutant à la liste des exceptions.
70
Pour ajouter un programme à la liste des exceptions :
• Dans la liste Résultats de l'analyse, cliquez avec le bouton droit sur le

programme et choisissez Toujours ignorer.
Si, par inadvertance, vous ajoutez un logiciel espion à la liste des exceptions, vous
pouvez l'en retirer.
Pour supprimer un logiciel espion de la liste des exceptions, procédez comme suit :

3. Sélectionnez Gestion des logiciels espions|Exceptions.
4. Dans la zone Exceptions de traitement des logiciels espions, sélectionnez
l'application que vous souhaitez supprimer de la liste de l'anti-espion, puis
cliquez sur Supprimer de la liste.
5. Cliquez sur OK.

Chapitre 4
Pare-feu
La protection avec un Pare-feu constitue votre ligne de défense principale contre
les menaces issues d'Internet. Les zones et niveaux de sécurité par défaut du
client fournissent une protection immédiate contre la grande majorité des
menaces.
Dans cette section
Fonctionnement de la protection Pare-feu 73

Comprendre les zones 74
Configuration des nouvelles connexions réseau 76
Intégration au services réseau 76
Sélection des niveaux de sécurité 78
Configuration des options de sécurité avancées 79
Gestion du trafic des zones 83
Blocage et déblocage de ports 86
Configuration de la connexion VPN pour le Pare-feu 89
Fonctionnement de la protection Pare-feu

Dans le bâtiment, une cloison "pare-feu" sert à empêcher la propagation d'un
incendie. En informatique, le concept est similaire. Il existe de nombreux types
"d'incendies" sur Internet : activités de piratage, virus, vers, etc. Un pare-feu est
un système qui les empêche de se propager sur votre ordinateur.
Le pare-feu du client protège les "portes" de votre ordinateur, c'est-à-dire les ports
par lesquels le trafic Internet entre et sort. Le client examine tout le trafic réseau
qui arrive sur votre ordinateur et pose les questions suivantes :
• De quelle zone provenait le trafic et à quel port est-il adressé ?
73
• Les règles de cette zone autorisent-elles le trafic via ce port ?
• Ce trafic viole-t-il des règles globales ?
• Le trafic est-il autorisé par un programme de votre ordinateur (paramètres de
contrôle des programmes) ?
Les réponses à ces questions déterminent si le trafic doit être bloqué ou autorisé.
Comprendre les zones

Le client Endpoint Security effectue le suivi des éléments réseau et Internet
(sains, malveillants et inconnus) en utilisant des conteneurs virtuels appelés
Zones, dans lesquelles il classe les ordinateurs et les réseaux connectés à votre
ordinateur.
La Zone Internet page 204 est "inconnue" Tous les ordinateurs et réseaux du monde
appartiennent à cette zone tant que vous ne les placez pas dans une autre.
La Zone sûre page 204 est "saine". Elle contient les ordinateurs et réseaux que
vous jugez fiables et avec lesquels vous souhaitez partager des ressources (par
exemple, les autres ordinateurs de votre réseau local professionnel ou privé).
La Zone bloquée page 204 contient des éléments malveillants. Elle contient les
ordinateurs et réseaux que vous jugez non fiables.
Lorsqu'un autre ordinateur tente de communiquer avec le vôtre, le client
détermine la Zone dans laquelle se trouve cet autre ordinateur afin de décider de
l'action à entreprendre.
Les zones permettent d'organiser la sécurité avec un Pare-feu

Pour déterminer si le trafic provenant de chaque zone doit être autorisé ou bloqué,
le client utilise les niveaux de sécurité. Pour consulter et ajuster les niveaux de
sécurité, ouvrez le volet Pare-feu et sélectionnez l'onglet Général.
Paramètres de sécurité de niveau élevé

Le niveau de sécurité Elevé place votre ordinateur en mode furtif, ce qui le rend
invisible pour les pirates informatiques. Le paramètre de sécurité de niveau élevé
est la configuration par défaut pour la zone Internet.
Dans ce mode, le partage de fichiers et d'imprimantes est désactivé mais les
communications sortantes DNS et DHCP, ainsi que la diffusion/multidiffusion,
sont autorisées. Vous pouvez donc naviguer sur Internet. Tous les autres ports de
74
votre ordinateur sont fermés, à l'exception de ceux utilisés par un programme
disposant des droits d'accès et/ou des droits de serveur.
Paramètre de sécurité de niveau moyen

Le niveau de sécurité Moyen est le paramètre par défaut pour la zone sûre.
Le niveau de sécurité Moyen permet le partage de fichiers et d'imprimantes et
tous les ports et protocoles sont autorisés. (Toutefois, lorsque le niveau de sécurité
Moyen est appliqué à la zone Internet, NetBIOS entrant est bloqué. Cela protège
votre ordinateur d'attaques éventuelles visant vos services de gestion de réseau
Windows.) En niveau de sécurité Moyen, votre ordinateur n'est plus en mode furtif.
Il est conseillé d'utiliser le niveau de sécurité Moyen durant les premiers jours
d'utilisation normale d'Internet après l'installation du client. Après quelques jours
d'utilisation normale d'Internet, le client aura identifié la signature de la plupart
des composants utilisés par vos programmes et nécessitant l'accès à Internet ; un
message vous invitera alors à définir le niveau d'authentification des programmes
sur Elevé.
Aucun niveau de sécurité n'est nécessaire pour la zone bloquée, car aucun trafic
en provenance ou à destination de cette zone n'est autorisé.
Remarque : les utilisateurs expérimentés peuvent personnaliser le
niveau de sécurité élevé ou moyen de chaque zone en bloquant ou
en ouvrant des ports spécifiques. Voir Blocage et déblocage de
ports page 86.
Les zones permettent de contrôler les programmes

Lorsqu'un programme demande une autorisation d'accès voir "Droit d'accès" page
197 ou des droits de serveur page 197, il tente de communiquer avec un
ordinateur ou un réseau situé dans une zone particulière Vous pouvez accorder ou
refuser les autorisations suivantes pour chaque programme :
• Droit d'accès pour la zone sûre.

• Droit d'accès à la zone Internet.
• Droit de serveur pour la zone sûre.
• Droit de serveur pour la zone Internet.
En accordant les droits d'accès ou de serveur pour la zone sûre, vous autorisez un
programme à communiquer avec les ordinateurs et les réseaux que vous avez
placés dans cette zone. Il s’agit d’une stratégie très sécurisée. Même si un
Chapter 4 Pare-feu 75
programme a été altéré ou a reçu une autorisation de manière accidentelle, il ne
peut communiquer qu'avec un nombre restreint de réseaux et d'ordinateurs.
En revanche, en accordant les droits d'accès ou de serveur pour la zone Internet,
vous autorisez un programme à communiquer avec tous les ordinateurs et tous les
réseaux, où qu'ils se trouvent.
Configuration des nouvelles connexions réseau

Lorsque votre ordinateur se connecte à un réseau, vous devez décider de placer ce
réseau dans la zone sûre ou dans la zone Internet.
Placer un réseau dans la zone sûre vous permet de partager des fichiers, des
imprimantes et d'autres ressources avec les autres ordinateurs de ce réseau. Seuls
les réseaux que vous connaissez et savez sûrs (comme votre réseau local
professionnel ou privé) doivent être placés dans la zone sûre.
Placer un réseau dans la zone Internet vous empêche de partager des ressources
avec d’autres ordinateurs de ce réseau et vous protège contre les dangers associés
au partage de ressources. Les réseaux inconnus doivent être placés dans la zone
Internet.
Lorsque votre ordinateur se connecte à un nouveau réseau, une alerte affiche
l'adresse IP du réseau détecté et en général le réseau est placé par défaut dans la
Zone Internet.
Pour permettre à votre ordinateur de se connecter à Internet via un serveur proxy,
ajoutez le proxy à la zone sûre. Voir Ajout à la zone sûre page 84.
Intégration au services réseau

Si vous travaillez sur un réseau local à domicile ou au bureau, vous voudrez sans
doute partager des fichiers, des imprimantes réseau ou d'autres ressources avec
d'autres utilisateurs du réseau, ou envoyer et recevoir du courrier électronique via
les serveurs de messagerie de votre réseau. Les instructions de cette section
décrivent comment partager des ressources en toute sécurité.
Activation du partage de fichiers et d'imprimantes

Pour partager des imprimantes et des fichiers avec d'autres ordinateurs de votre
réseau, vous devez configurer le client Endpoint Security de façon à autoriser
l'accès aux ordinateurs avec lesquels vous souhaitez partager des ressources.
76
Pour configurer le client pour le partage de fichiers et d'imprimantes :
1. Ajoutez à la zone sûre le sous-réseau du réseau (ou, sur un petit réseau,

l'adresse IP de chaque ordinateur avec lequel vous voulez partager vos
ressources).
Voir Ajout à la zone sûre page 84.
2. Définissez le niveau de sécurité de la zone sûre sur Moyen. Les ordinateurs
sûrs pourront accéder à vos fichiers partagés.
Voir Configuration du niveau de sécurité des zones.
3. Définissez le niveau de sécurité de la zone Internet sur Elevé. Ainsi, votre
ordinateur est invisible pour les ordinateurs non sûrs.
Connexion à des serveurs de messagerie réseau

Le client Endpoint Security est configuré pour fonctionner avec des serveurs de
messagerie sur Internet via les protocoles POP3 et IMAP4, si vous autorisez votre
client de messagerie à accéder à Internet.
Certains serveurs de messagerie, tels que Microsoft Exchange, intègrent des
fonctions de collaboration et de synchronisation qui, pour pouvoir fonctionner,
exigent que vous fassiez confiance au serveur.
Pour configurer le client avec des serveurs de messagerie disposant de fonctions de

collaboration et de synchronisation, procédez comme suit :
1. Ajoutez le sous-réseau du réseau ou l'adresse IP du serveur de messagerie à la

zone sûre.
2. Définissez le niveau de sécurité de la zone sûre sur Moyen. Ainsi, les fonctions
de collaboration du serveur de messagerie peuvent être utilisées.
ordinateur est invisible pour les ordinateurs non sûrs.
Activation du partage de connexion Internet (ICS)

Si vous utilisez l'option de Partage de connexion Internet (ICS) de Windows ou un
programme de partage de connexion d'un autre fournisseur, vous pouvez protéger
tous les ordinateurs qui utilisent la connexion contre les menaces entrantes en
installant Endpoint Security uniquement sur l'ordinateur passerelle. Cependant,
pour protéger les données sortantes ou pour afficher des alertes sur les ordinateurs
client, vous devez installer Endpoint Security sur ces ordinateurs.
Avant de configurer le client, utilisez le logiciel de partage de connexion Internet
(ICS) pour configurer la liaison entre la passerelle et le client. Si vous utilisez un
matériel tel qu'un routeur pour partager votre connexion Internet au lieu de la
fonction de partage de connexion Internet de Microsoft (ICS), vérifiez que le sous-
réseau local se trouve dans la zone sûre.
Sélection des niveaux de sécurité

Les niveaux de sécurité page 200 par défaut du pare-feu (Elevé pour la zone
Internet, Moyen pour la zone sûre) vous protègent contre les analyses de port et
autres activités de piratage informatique, tout en vous permettant de partager des
imprimantes, des fichiers et d'autres ressources avec les ordinateurs sûrs de votre
réseau local. Dans la plupart des cas, il n'est pas nécessaire d'ajuster ces
paramètres par défaut. Votre ordinateur est protégé dès l'installation du client
Endpoint Security.
Pour définir le niveau de sécurité d'une zone, sélectionnez Pare-feu | Général et
déplacez le curseur sur le niveau souhaité.
Table 0-10 Niveau de sécurité
ELEVE Il s'agit du paramètre par défaut.
Votre ordinateur fonctionne en mode furtif : il est invisible pour
les autres ordinateurs.
L'accès aux services NetBIOS (Network Basic Input/Output
System) voir "NetBIOS" page 200 de Windows et au partage de
fichiers et imprimantes est bloqué.
Les ports sont bloqués sauf si vous autorisez explicitement un
programme à les utiliser.
MOY Votre ordinateur est visible par les autres ordinateurs.
L'accès aux services Windows et au partage de fichiers et
d'imprimantes est autorisé.
Les autorisations de programme sont appliquées.
BAS Votre ordinateur est visible par les autres ordinateurs.
Table 0-11 Niveau de sécurité de la zone sûre
78
ELEVE Votre ordinateur fonctionne en mode furtif : il est invisible pour
les autres ordinateurs.
L'accès aux services NetBIOS de Windows et au partage de
fichiers et d'imprimantes est bloqué.
Les ports sont bloqués sauf si vous autorisez explicitement un
programme à les utiliser.
MOY Il s'agit du paramètre par défaut.
Votre ordinateur est visible par les autres ordinateurs.
BAS Votre ordinateur est visible par les autres ordinateurs.
Configuration des options de sécurité avancées

Les options de sécurité avancées permettent de configurer le pare-feu pour
différentes situations particulières, par exemple le renforcement de la sécurité de
la passerelle et le partage de connexion Internet (ICS).
Configuration des options de sécurité de la Passerelle

Certaines sociétés demandent à leurs employés d'utiliser le client Endpoint
Security lorsqu'ils se connectent à Internet via la passerelle page 201 de
l'entreprise. Lorsque la commande Contrôler automatiquement la passerelle est
sélectionnée, le client vérifie la présence de passerelles compatibles et confirme
leur installation, afin que les passerelles qui nécessitent le client puissent
autoriser l'accès.
Vous pouvez laisser cette option sélectionnée, même si vous n'êtes pas connecté
via une passerelle. Cette option n'a pas d'incidence sur les fonctions Internet.
Pour configurer la vérification automatique de la passerelle :
1. Ouvrez Pare-feu | Général.

2. Cliquez sur Avancé.
La fenêtre Paramètres avancés s'ouvre.
3. Dans la section Sécurité de la Passerelle, cochez l'option Contrôler
automatiquement la passerelle pour l'application de la sécurité.
4. Cliquez sur OK.
Configuration des options ICS

Si vous utilisez le partage de connexion Internet (ICS) voir "ICS" page 198, utilisez
ces commandes pour configurer le client Endpoint Security afin qu'il reconnaisse
les clients et la passerelle ICS
Pour définir les préférences du Partage de connexion Internet (ICS), procédez comme
suit :

La fenêtre Paramètres avancés s'ouvre.
3. Dans la zone Partage de connexion Internet (ICS), choisissez vos paramètres de
sécurité.
• Cet ordinateur ne se trouve pas dans un réseau ICS/NAT : le Partage de
connexion Internet (ICS) est désactivé.
• Cet ordinateur est le client d'une passerelle ICS/NAT exécutant
Endpoint Security : Le client détecte automatiquement l'adresse IP de
la passerelle ICS et l'affiche dans le champ Adresse de la Passerelle.
Vous pouvez également saisir l'adresse IP dans le champ.
Sélectionnez Transmettre les alertes de la passerelle vers cet ordinateur pour
afficher sur l'ordinateur client les alertes générées sur la passerelle.
• Cet ordinateur est une passerelle ICS/NAT : Le client détecte
automatiquement l'adresse IP de la passerelle ICS et l'affiche dans le
champ Adresse locale. Vous pouvez également saisir l'adresse IP dans
le champ.
Sélectionnez Supprimer les alertes enregistrées en local si elles sont transmises
aux clients pour supprimer les alertes transférées de la passerelle aux
clients.
4. Cliquez sur OK.
80
Configuration des options de sécurité générales
Ces commandes permettent d'appliquer les règles générales relatives à certains
protocoles, types de paquets et autres formes de trafic (telles que le trafic serveur)
à la zone sûre et à la zone Internet.
Pour modifier les paramètres de sécurité généraux :

3. Dans la zone Paramètres généraux, choisissez vos paramètres de sécurité.
Table 0-12 Options des paramètres généraux
Champ Description
Bloquer tous les Bloque tous les paquets de données IP
fragments incomplets (fragmentés). Les pirates créent
parfois des paquets fragmentés pour
contourner ou parasiter les dispositifs réseau
qui lisent les en-têtes de paquet.
Attention : Si vous sélectionnez cette option, le
client bloque silencieusement tous les paquets
fragmentés sans vous avertir ni créer d'entrée
de journal. Ne sélectionnez cette option que si
vous savez comment votre connexion en ligne
traite les paquets fragmentés.
Bloquer les serveurs Empêche tous les programmes de votre
sécurisés ordinateur d'agir en tant que serveurs pour la
zone sûre. Notez que ce paramètre a la priorité
sur les droits d'accès accordés dans le volet
Programmes.
Bloquer les serveurs Pour empêcher tous les programmes de votre
Internet ordinateur d'agir en tant que serveurs pour la
zone sûre. Notez que ce paramètre a la priorité
sur les droits d'accès accordés dans le volet
Programmes.
Activer la protection ARP Bloque toutes les demandes ARP entrantes
sauf les demandes de diffusion de l'adresse de
l'ordinateur cible. Bloque également toutes les
réponses ARP entrantes, sauf celles qui
correspondent à des demandes ARP sortantes.
Filtrer IP trafic 1394 Filtre le trafic FireWire. Vous devez redémarrer
votre ordinateur si vous sélectionnez cette
Champ Description
option.
Autoriser les protocoles Autorise l'utilisation des protocoles VPN (ESP,

VPN AH, GRE, SKIP) même lorsque le niveau de
sécurité Elevé est appliqué. Si cette option est
désactivée, ces protocoles ne sont autorisés
qu'avec le niveau de sécurité Moyen.
Autoriser les protocoles Autorise l'utilisation des protocoles VPN autres
peu courants au niveau de que ESP, AH, GRE, SKIP au niveau de
sécurité Elevé sécurité Elevé.
Verrouiller le fichier hôte Empêche le fichier hôte de votre ordinateur
d’être modifié par des pirates via des logiciels
espions et des chevaux de Troie. Notez que
certains programmes légitimes doivent
modifier votre fichier hôte pour fonctionner.
Désactiver le Pare-feu Détecte et désactive le Pare-feu Windows.
Windows Cette option n'apparaît que si vous utilisez
Windows XP Service Pack 2.
Configuration des options de sécurité du réseau

La détection automatique de réseau simplifie la configuration de la zone sûre et
évite l'interruption des activités habituelles du réseau local, telles que le partage
de fichiers et d'imprimantes. Le client détecte uniquement les réseaux auxquels
vous êtes physiquement connecté. Les connexions à des réseaux routés ou virtuels
ne sont pas détectées.
Vous pouvez configurer le client de manière à inclure chaque réseau détecté dans
la zone sûre sans que vous en soyez averti, ou pour qu'il vous demande à chaque
fois si un nouveau réseau détecté doit être ajouté.
Pour spécifier les paramètres réseau, procédez comme suit :

3. Dans la zone Paramètres réseau, choisissez vos paramètres de sécurité.
Table 0-13 Options des paramètres réseau
Inclure les réseaux dans la zone Place automatiquement les nouveaux
sûre lors de leur détection réseaux dans la zone sûre. Ce paramètre
82
offre le niveau de sécurité le plus bas.
Exclure les réseaux de la zone sûre Bloque automatiquement l'ajout des

lors de leur détection nouveaux réseaux à la zone sûre et les place
dans la zone Internet. Ce paramètre offre le
niveau de sécurité le plus élevé.
Demander la zone dans laquelle Le client affiche une alerte Nouveau réseau
placer les nouveaux réseaux lors de ou l'Assistant de configuration réseau, qui
la détection permet de spécifier la zone.
Gestion du trafic des zones

L'onglet Zones contient les sources de trafic (ordinateurs, réseaux, ou sites) que
vous avez ajoutées à la Zone sûre ou à la Zone bloquée. Il contient également tous
les autres réseaux détectés par le client. Si vous utilisez un ordinateur autonome,
non connecté à un réseau, la liste des sources de trafic n'affiche que le réseau de
votre FAI (fournisseur d'accès Internet), qui doit en principe se trouver dans la
zone Internet.
Pour ouvrir la liste du trafic des zones, cliquez sur Pare-feu | Zones.
Affichage du trafic des zones

La liste du trafic des zones présente les sources de trafic et les zones auxquelles
elles appartiennent. Vous pouvez trier la liste par champ en cliquant sur l'en-tête
de la colonne. La flèche (^) située en regard de l'en-tête de colonne indique l'ordre
de tri. Pour inverser l'ordre de tri, cliquez une nouvelle fois sur le même en-tête.
Table 0-14 Champs de la liste des sources de trafic des zones
Champ Description
Nom Nom attribué à cet ordinateur, site ou réseau.
Adresse IP/Site Adresse IP ou nom d'hôte de la source de trafic.

Type d'entrée Type de la source de trafic : réseau, hôte, IP, site ou
sous-réseau.
Notez que l'autorisation ou le blocage du trafic pour le

type Hôte peut engendrer des lacunes dans le
paramétrage de sécurité, et notamment dans les réseaux
où les hôtes reçoivent leur adresse IP de manière
dynamique.
Champ Description
Zone Zone attribuée à la source du trafic : Internet, sûre ou
zone bloquée.
Modification des sources de trafic des zones

Dans la liste des sources de trafic, vous pouvez déplacer la source de trafic d'une
zone à l'autre et ajouter, supprimer ou modifier une source de trafic.
Pour modifier la zone d'une source de trafic :
1. Ouvrez Pare-feu | Zones.

2. Localisez la source du trafic.
3. Cliquez dans la colonne Zone et choisissez une zone.
4. Cliquez sur Appliquer.
Pour ajouter, supprimer ou modifier une source de trafic :

2. Dans la colonne Nom, cliquez sur la source de trafic, puis sur Ajouter, Modifier
ou Supprimer.
Ajout à la zone sûre

La zone sûre contient les ordinateurs fiables avec lesquels vous souhaitez partager
des ressources. Par exemple, si vous disposez à votre domicile de trois ordinateurs
reliés par un réseau Ethernet, vous pouvez ajouter chaque ordinateur ou
l'ensemble du sous-réseau de l'adaptateur réseau à la zone sûre. Les paramètres
de sécurité par défaut de la zone sûre (Moyen) vous permettent de partager, en
toute sécurité, des fichiers, des imprimantes et d'autres ressources sur le réseau
privé. Les pirates informatiques sont confinés dans la zone Internet où les
paramètres de sécurité élevés vous protègent.
Remarque : l'autorisation ou le blocage du trafic de type Hôte peut
permettre de contourner les paramètres de sécurité, notamment
sur les réseaux où les hôtes reçoivent une adresse IP de façon
dynamique.
84
Pour ajouter une seule adresse IP, procédez comme suit :

2. Cliquez sur Ajouter et sélectionnez Adresse IP.
La fenêtre Ajouter une adresse IP s'affiche.
3. Sélectionnez Sûrs dans la liste déroulante Zone .
4. Entrez l'adresse IP et la description.
5. Cliquez sur OK.
Pour ajouter une plage IP, procédez comme suit :

2. Cliquez sur Ajouter et sélectionnez Adresse IP.
La fenêtre Ajouter une plage IP s'affiche.
3. Sélectionnez Sûrs dans la liste déroulante Zone.
4. Entrez l'adresse IP de départ dans le premier champ et l'adresse IP de fin dans
le second champ.
5. Entrez une description.
6. Cliquez sur OK.
Pour ajouter un sous-réseau :

2. Cliquez sur Ajouter et sélectionnez Sous-réseau.
La fenêtre Ajouter un sous-réseau s'affiche.
4. Tapez l'adresse IP dans le premier champ, puis le masque de sous-réseau dans
le second.
5. Entrez une description.
6. Cliquez sur OK.
Pour ajouter un hôte ou un site à la zone sûre :

Remarque : pour afficher les adresses IP avant d'ajouter le site, cliquez
sur Rechercher. Si des modifications sont apportées aux adresses IP
associées au nom d'hôte après l'affectation de l'hôte à la zone sûre,
ces adresses IP ne sont pas ajoutées à la zone sûre.

2. Cliquez sur Ajouter, puis sélectionnez Hôte/Site.
La fenêtre Ajouter un hôte/site s'affiche.
4. Entrez le nom d'hôte intégralement qualifié dans le champ Nom de l'hôte.
5. Entrez la description de l'hôte et du site.
6. Cliquez sur OK.
Le client associe le nom d'hôte saisi aux adresses IP et ajoute ces adresses IP
à la zone sûre.
Pour ajouter un réseau à la zone sûre :

2. Dans la colonne Zone, cliquez sur la ligne contenant le réseau et sélectionnez
Sûre.
Remarque : le client détecte automatiquement les nouvelles connexions
réseau et vous aide à les ajouter à la zone appropriée.
Ajout à la zone bloquée

Pour l'ajout à la zone bloquée, suivez les instructions d'ajout à la zone sûre, mais
sélectionnez Bloqué dans la liste déroutante Zone .
Blocage et déblocage de ports

Les niveaux de sécurité par défaut du client déterminent les ports et les protocoles
autorisés et ceux qui sont bloqués. Si vous êtes un utilisateur avancé, vous pouvez
modifier la définition des niveaux de sécurité en modifiant les autorisations de
port et en ajoutant des ports personnalisés.
86
Paramètres d'autorisation de port par défaut
La configuration par défaut de la sécurité de niveau Elevé bloque tout le trafic
entrant et sortant pour les ports qui ne sont pas utilisés par les programmes
auxquels vous avez accordé des droits d'accès ou de serveur, à l'exception des
types de trafic suivants :
• Diffusion/multidiffusion DHCP
• DHCP sortant (port 67) - sur les systèmes Windows 9x
• DNS sortant (port 53) - Si l'ordinateur est configuré en tant que passerelle ICS
Table 0-15 Autorisations d'accès par défaut des types de trafic
Niveaux de sécurité
Type de trafic
ELEVE MOY BAS
DNS sortant bloqué n/d autoris
é
DHCP sortant bloqué n/d autoris
é
Diffusion/multidiff autorisé autorisé autoris
usion é
ICMP
entrant (écho ping) bloqué autorisé autoris

é
entrant (autre) bloqué autorisé autoris
é
sortant (écho ping) bloqué autorisé autoris
é
sortant (autre) bloqué autorisé autoris
é
IGMP
entrant bloqué autorisé autoris
é
sortant bloqué autorisé autoris
é
NetBIOS
entrant n/d bloqué autoris
é
sortant n/d autorisé autoris
Niveaux de sécurité
Type de trafic
ELEVE MOY BAS
DNS sortant bloqué n/d autoris
é
é
UDP (ports non utilisés par un programme autorisé)
é
é
TCP (ports non utilisés par un programme autorisé)
é
é
Pour modifier l'autorisation d'accès d'un port, procédez comme suit :

2. Dans la zone Niveau de sécurité de la zone Internet ou Niveau de sécurité de la
zone sûre, cliquez sur Personnaliser.
La fenêtre des Paramètres de Pare-feu personnalisés s'affiche.
3. Faites défiler les paramètres de sécurité pour localiser le niveau Elevé et
Moyen.
4. Pour bloquer ou autoriser un port ou un protocole spécifique, cochez la case
appropriée.
5. Cliquez sur OK.
Important : lorsque vous sélectionnez un type de trafic dans la liste des
paramètres de sécurité de niveau Elevé, vous AUTORISEZ ce type de
trafic et vous diminuez la protection de niveau ELEVE.
Lorsque vous sélectionnez un type de trafic dans la liste des
paramètres de sécurité de niveau Moyen, vous AUTORISEZ ce type de
trafic et vous diminuez la protection de niveau MOYEN.
88
Ajout de ports personnalisés
Pour autoriser la communication via des ports supplémentaires en niveau de
sécurité élevé, ou pour bloquer des ports supplémentaires en niveau de sécurité
Moyen, spécifiez des numéros de ports ou des plages de ports.
Pour spécifier des ports supplémentaires :

2. Dans la zone sûre ou la zone Internet, cliquez sur Personnaliser.
La fenêtre des Paramètres de Pare-feu personnalisés s'affiche.
3. Faites défiler le niveau de sécurité (Elevé ou Moyen) auquel vous voulez ajouter
des ports.
4. Sélectionnez le type de port indiquant aucun port sélectionné : UDP entrant,
UDP sortant, TCP entrant ou TCP sortant.
5. Entrez les ports ou les plages de ports à autoriser ou à bloquer dans le champ
Ports, en les séparant par des virgules. Par exemple, 139, 200-300.
6. Cliquez sur OK.
Configuration de la connexion VPN pour le Pare-feu

Le client Endpoint Security est compatible avec de nombreux types de logiciels
client VPN et peut configurer automatiquement la connexion pour certains clients
VPN.
Protocoles VPN pris en charge

Le client surveille les protocoles VPN énumérés dans le tableau suivant.
Table 0-16 Protocoles VPN pris en charge
Protocole
Explication et commentaires
réseau
AH Protocole d’en-tête d’authentification
(Authentication Header)
ESP Protocole de transport de données
sécurisé encapsulé (ESP)
GRE Protocole d’encapsulation de routage
générique (Generic Routing
Protocole
Explication et commentaires
réseau
Encapsulation)
IKE Protocole d’échange de clés Internet
(IKE)
IPSec Protocole de sécurité IP (IPSec)
L2TP Protocole de tunnel couche 2 (L2TP).
Le protocole L2TP est une version plus
sécurisée du protocole PPTP.
LDAP Protocole LDAP (Lightweight Directory
Access Protocol)
PPTP Protocole PPTP (Point-to-Point Tunneling
Protocol)
IGNORER Protocole SKIP (Simple Key Management
for Internet Protocol)
Configuration de la connexion VPN

Si votre connexion VPN ne peut pas être configurée automatiquement, le client
affiche une alerte Action manuelle requise qui vous informe des modifications
manuelles nécessaires pour configurer votre connexion.
Ajout de ressources VPN à la zone sûre

Vous devez ajouter la passerelle VPN à la zone sûre. De plus, d'autres ressources
liées au VPN doivent parfois être ajoutées à la zone sûre pour que votre VPN
fonctionne correctement.
Table 0-17 Ressources réseau liées au VPN requises
Ressources nécessaires Autres ressources

Les ressources suivantes sont Ces ressources sont nécessaires ou non,
nécessaires pour tous les selon votre installation VPN.
ordinateurs VPN et doivent être
ajoutées à la zone sûre.
Concentrateur VPN Serveurs DNS
90
Ressources nécessaires Autres ressources
Les ressources suivantes sont Ces ressources sont nécessaires ou non,
nécessaires pour tous les selon votre installation VPN.
ordinateurs VPN et doivent être
ajoutées à la zone sûre.
Ordinateurs hôtes distants Adresse de bouclage NIC de l’ordinateur
connectés au client VPN (s'ils hôte local (selon la version de Windows). Si
ne sont pas inclus dans la l’adresse de bouclage d’hôte local que vous
définition du sous-réseau du spécifiez est 127.0.0.1, n’exécutez pas le
réseau d'entreprise) logiciel proxy sur l’hôte local.
Sous-réseaux du réseau étendu Internet Passerelle
d’entreprise (WAN) auxquels le
client VPN doit accéder
Réseaux locaux d'entreprise Sous-réseaux locaux
auxquels le client VPN doit
accéder Serveurs de sécurité (par exemple des
serveurs RADIUS, ACE ou TACACS)
Déblocage de la Passerelle VPN

Si la passerelle VPN se trouve dans une plage ou dans un sous-réseau que vous
avez bloqué, vous devez manuellement la débloquer.
Pour débloquer une plage ou un sous-réseau IP :

2. Dans la colonne Zone, sélectionnez la plage ou le sous-réseau IP bloqué.
3. Sélectionnez Sûre.
Autorisation des protocoles VPN

Pour configurer votre logiciel VPN correctement avec le client Endpoint Security,
vous devrez modifier vos paramètres de sécurité généraux pour autoriser les
protocoles VPN.
Pour autoriser les protocoles VPN :

3. Dans la zone Paramètres généraux, cochez l'option Autoriser les protocoles VPN.
4. Cliquez sur OK.
Remarque : si votre programme VPN utilise des protocoles autres
que GRE, ESP et AH, cochez également l'option Autoriser les
protocoles peu courants au niveau de sécurité Elevé.
Octroi de l'autorisation d'accès au logiciel VPN

Octroi de l'autorisation d’accès au client VPN et à tous les autres programmes de
type VPN.
Pour accorder l'autorisation à votre programme VPN :
1. Sélectionnez Contrôle des programmes | Programmes.

2. Dans la colonne Programmes, sélectionnez votre programme VPN.
3. Dans la colonne Accès, cliquez sous Sûr et sélectionnez Autoriser.
Remarque : si votre programme VPN ne figure pas dans
la liste, cliquez sur Ajouter pour l'ajouter.
Pour accorder l'accès aux composants liés au VPN :
1. Sélectionnez Contrôle des programmes|Composants.

2. Dans la liste Composants, sélectionnez le composant de VPN auquel vous
voulez accorder l'accès.
3. Dans la colonne Accès, sélectionnez Autoriser.
92
Chapitre 5
Contrôle des programmes
Le contrôle des programmes vous protège en s'assurant que seuls les programmes
sûrs peuvent accéder à Internet. Vous pouvez utiliser les alertes de programme
pour configurer les droits des programmes au moment où vous en avez besoin, ou
utiliser l'onglet Programmes pour définir ces droits à l'avance. Les utilisateurs
expérimentés peuvent aussi contrôler les ports dont chaque utilisateur a le droit de
se servir.
Dans cette section
Comprendre le Contrôle des programmes 93

Définition des options du Contrôle des programmes 94
Configuration de l'accès des programmes 96
Définition d'autorisations spécifiques 99
Gestion des composants de programme 104
Utilisation de programmes avec le client 104
Comprendre le Contrôle des programmes

Pour protéger votre ordinateur contre ces menaces, les fonctions de contrôle des
programmes utilisent l'authentification des programmes (qui vérifie que ces
derniers n'ont pas été falsifiés) et le contrôle d'accès des programmes (qui accorde
les droits d'accès ou de serveur uniquement si vous l'autorisez).
Contrôle d'accès des programmes

Lorsqu'un programme demande l'accès pour la première fois, une alerte Nouveau
programme vous demande si vous voulez accorder le droit d'accès au programme.
Si le programme tente d'agir en tant que serveur, une alerte du Programme serveur
93
s'affiche. Une alerte Programme serveur vous demande si vous souhaitez accorder
à un programme le droit d'agir en tant que serveur.
Pour éviter l'apparition de très nombreuses alertes pour le même programme,
cochez la case Conserver cette réponse avant de cliquer sur Oui ou Non.
Cela permet par la suite au client de bloquer ou d'autoriser le programme. Si le
même programme demande un nouvel accès ultérieurement, une alerte
Programme connu vous demande si vous souhaitez accorder (ou refuser) le droit
d'accès à un programme qui a déjà émis une demande d'accès.
Etant donné que les chevaux de Troie et autres types de logiciels destructeurs ont
souvent besoin de droits de serveur pour fonctionner, veillez à n'accorder des
droits de serveur qu'aux programmes que vous connaissez et auxquels vous faites
confiance, ainsi qu'à ceux qui ont besoin de droits de serveur pour fonctionner
correctement.
Authentification de programme
Dès qu'un programme de votre ordinateur tente d'accéder à Internet, le client
Endpoint Security l'authentifie par sa Somme de contrôle. Si le programme a été
modifié depuis son dernier accès à Internet, le client affiche une alerte
Programme modifié.
Vous décidez si le programme doit recevoir le droit d'accès ou pas. Pour plus de
sécurité, le client authentifie également les composants (par exemple, les fichiers
DLL) DLL page 197 associés au fichier exécutable principal du programme . Si un
composant a été modifié depuis la dernière fois que vous avez accordé l'accès, le
client affiche une alerte Composant de programme, d'aspect similaire à une alerte
Programme modifié.
Définition des options du Contrôle des programmes

Lorsque vous utilisez le client Endpoint Security, aucun programme de votre
ordinateur ne peut accéder à Internet ou à votre réseau local, ni agir en tant que
serveur, à moins que vous lui en donniez l'autorisation.
Définition du niveau de contrôle des programmes

Utilisez le niveau de contrôle des programmes pour réguler le nombre des alertes
de programme qui s'affichent lorsque vous commencez à utiliser le client.
Check Point vous recommande d'utiliser le paramètre Moyen pendant les premiers
jours d'utilisation normale. Ce mode Apprentissage des composants permet à de
94
reconnaître rapidement les signatures MD5 de nombreux composants
fréquemment utilisés, sans interrompre votre travail par des alertes multiples. Il
est conseillé d'utiliser ce paramètre tant que vous n'avez pas utilisé au moins une
fois les programmes qui accèdent à Internet (par exemple, votre navigateur et vos
programmes de messagerie et de conversation), avec le client en cours
d'exécution. Lorsque vous avez utilisé chacun des programmes nécessitant un
accès à Internet, définissez le paramètre de Contrôle des programmes sur Elevé.
Pour définir le niveau global de contrôle des programmes :
1. Sélectionnez Contrôle des programmes| Général.

2. Dans la zone Contrôle des programmes, cliquez sur le curseur et déplacez-le
jusqu'au paramètre souhaité.
Table 0-18 Niveaux de contrôle des programmes
ELEVE Le contrôle des programmes Avancé et du contrôle et le
Contrôle d'interaction des applications sont activés.
De nombreuses alertes peuvent s'afficher.
Les programmes et les composants sont authentifiés.
Les autorisations de programme sont appliquées et le Contrôle
d'interaction des applications est activé.
MOY Le contrôle des programmes avancé et le Contrôle d'interaction

des applications sont désactivés.
Moins d'affichage d'alertes.
Le mode Apprentissage des composants est actif.
Les programmes sont authentifiés ; les composants sont
identifiés.
Remarque : lorsque vous avez utilisé chacun des programmes
nécessitant un accès à Internet, définissez le paramètre
Contrôle des programmes sur Elevé.
BAS Le contrôle des programmes Avancé est désactivé.
Le mode Apprentissage des composants est actif.
Aucune alerte de programme n'est affichée.
DESAC Le Contrôle des programmes est désactivé.

TIVE Aucun programme ni aucun composant n'est authentifié ni
identifié.
Aucune autorisation de programme n'est appliquée.
Des droits d'accès et de serveur sont accordés à tous les
programmes.
Aucune alerte de programme n'est affichée.
Chapter 5 Contrôle des programmes 95
Activation du verrouillage automatique
Le verrouillage Internet automatique protège votre ordinateur lorsque vous le
laissez connecté à Internet pendant une période prolongée, même si vous
n'utilisez pas activement les ressources du réseau ou d'Internet.
Lorsque le verrouillage Internet est activé, seul le trafic provenant des programmes
auxquels vous avez accordé le droit d'accès Ignorer le verrouillage est autorisé.
Tout trafic provenant de votre ordinateur et y arrivant est stoppé, y compris les
messages DHCP ou les signaux de détection du FAI, utilisés pour maintenir votre
connexion à Internet. Cela peut provoquer la perte de votre connexion Internet.
Vous pouvez définir les paramètres du verrouillage Internet de manière à l'activer :
• lorsque votre économiseur d'écran devient actif ou

• après un délai d'inactivité (en minutes) sur le réseau.
Pour activer ou désactiver le verrouillage automatique, procédez comme suit :
1. Sélectioinnez Contrôle des programme | Général.

2. Dans la zone Verrouillage automatique, sélectionnez On ou Off.
Pour définir les options de verrouillage automatique :
1. Sélectionnez Contrôle eds programmes | Général.

2. Dans la zone Verrouillage automatique, cliquez sur Personnaliser.
La fenêtre Paramètres de verrouillage personnalisés s'affiche.
3. Spécifiez le mode de verrouillage à utiliser.
• Verrouiller après __ minute(s) d'inactivité: Active le verrouillage automatique
après l'écoulement du nombre de minutes spécifié. Spécifiez une valeur
comprise entre 1 et 99.
• Verrouiller lorsque l'économiseur d'écran s'active : Active le verrouillage
automatique dès que votre écran s'active.
Configuration de l'accès des programmes

Vous pouvez configurer l'accès des programmes automatiquement ou
manuellement. En utilisant l'assistant Programmes, vous pouvez configurer
automatiquement l'accès à Internet pour certains des programmes les plus
courants.
96
Définition des droits d'accès de programme
Endpoint Security affiche une alerte Nouveau programme lorsqu'un programme de
votre ordinateur essaie d'accéder à Internet ou aux ressources du réseau local pour
la première fois. Il affiche une alerte Programme serveur lorsqu'un programme
essaie d'agir en tant que serveur pour la première fois. Vous pouvez configurer le
client pour qu'il autorise ou bloque automatiquement les nouveaux programmes
sans afficher d'alerte. Par exemple, si vous êtes certain(e) d'avoir accordé des
droits d'accès à tous les programmes légitimes, vous pouvez refuser
automatiquement l'accès à tout nouveau programme qui demanderait l'accès.
Pour définir les autorisations de tentative de connexion pour les nouveaux

programmes :
1. Sélectionnez Contrôle des programmes | Général.

2. Cliquez sur Avancé .
La fenêtre Paramètres de programme avancés s'ouvre.
3. Dans la zone Tentatives de connexion, spécifiez vos préférences pour chaque
zone.
Table 0-19 Tentatives de connexion
Toujours autoriser Accorde à tous les nouveaux programmes des
l'accès droits d'accès pour la zone spécifiée.
Toujours refuser Refuse les droits d'accès à tous les nouveaux
l'accès programmes pour la zone spécifiée.
Toujours demander Affiche une alerte demandant s'il faut accorder
l'autorisation au programme les droits d'accès à la zone
spécifiée.
Remarque : vous pouvez définir les paramètres pour chaque

programme dans l'onglet Programmes. Les paramètres de ce
volet s'appliquent UNIQUEMENT aux programmes qui ne sont
pas encore répertoriés dans l'onglet Programmes.
Pour définir les autorisations de tentative d'agir en tant que serveur pour les nouveaux
programmes :

3. Dans la zone Tentatives du serveur, spécifiez vos préférences pour chaque
zone.
Table 0-20 Tentatives du serveur
Toujours accepter la Autorise tous les programmes à agir en tant
connexion que serveur.
Toujours refuser la Empêche tous les programmes d'agir en tant
connexion que serveur.
Toujours demander avant Affiche une alerte demandant s'il faut
la connexion autoriser le programme à agir en tant que
serveur.
Personnalisation des paramètres de contrôle des programmes

Par défaut, le client vous demande s'il doit bloquer ou autoriser les tentatives de
connexion et les tentatives d'agir en tant que serveur pour les zones Internet et
sûres. De plus, si le service TrueVector est en cours d'exécution, mais que le client
ne l'est pas, l'accès du programme est refusé par défaut.
Vous pouvez personnaliser le contrôle des programmes en définissant des
propriétés de programme globales.
Pour définir les propriétés de programme globales :

2. Cliquez sur Avancé, puis sélectionnez l'onglet Alertes & Fonctionnalité.
3. Spécifiez des options de programme globales.
Table 0-21 Options de prgramme globales
Afficher une alerte lorsque Affiche une alerte Programme bloqué
l'accès à Internet est refusé lorsque le client refuse l'accès à un
programme. Pour que l'accès soit refusé
sans en informer l'utilisateur, décochez cette
option.
Refuser l'accès si Protège l'application cliente dans les rares
l'autorisation est définie sur cas où un processus indépendant (par
« demander » et que le exemple un cheval de Troie) ferme
service TrueVector est en l'interface utilisateur du client sans
cours d'exécution, mais que désactiver le service TrueVector, qui
le client ne l'est pas. continue à s'exécuter.
Demander un mot de passe Vous demande de saisir un mot de passe
pour permettre pour accorder les droits d'accès. Cette
temporairement l'accès à option vous oblige à être connecté pour
Internet à un programme pouvoir répondre Oui à une alerte de
programme.
Pour autoriser l'accès sans mot de passe,
98
décochez cette option.
Définition d'autorisations spécifiques

En définissant le niveau de Contrôle des programmes sur Elevé, Moyen ou Bas,
vous spécifiez globalement si les programmes et leurs composants doivent
demander l'autorisation avant de pouvoir accéder à Internet ou avant d'agir en tant
que serveur.
Vous pouvez également spécifier des paramètres différents pour un programme
individuel. Par exemple, si vous voulez accorder le droit d'accès à un programme
particulier, mais conserver un niveau de sécurité Elevé pour tous les autres
programmes, vous pouvez définir l'autorisation pour ce programme sur Autoriser.
Utilisation de la liste des programmes

La liste des programmes contient les programmes qui ont tenté d'accéder à
Internet ou au réseau local et indique dans quelle zone ils se trouvent, s'ils
peuvent agir en tant que serveur et s'ils ont le droit d'envoyer du courrier
électronique. A mesure que vous utilisez votre ordinateur, le client détecte les
programmes qui demandent un accès au réseau et les ajoute à la liste des
programmes.
Pour accéder à la liste des programmes :
Slectionnez Contrôle des programmes | Programmes.

Les colonnes Accès, Serveur et Envoi de courrier électronique indiquent pour
chaque programme s'il est autorisé à accéder à Internet, à agir en tant que serveur
et à envoyer du courrier électronique.
Table 0-22 Icônes des droits d'accès de programme
Symbole Signification
Les droits d'accès/de serveur sont accordés au
programme. Pour modifier l'autorisation, cliquez sur
l'icône et choisissez Bloquer ou Demander.

Symbole Signification
Le client affiche une alerte de programme lorsque le
programme demande les droits d'accès et/ou de
serveur. To change the permission, click the icon and
choose either Autoriser ou Bloquer.
Les droits d'accès/de serveur ne sont pas accordés au
programme. To change the permission, click the icon
and choose either Autoriser ou Demander.
Le programme est actuellement actif.
Ajout à la liste des programmes

Si vous voulez spécifier les droits d'accès ou de serveur pour un programme qui ne
figure pas dans la liste des programmes, vous pouvez l'ajouter à la liste, puis lui
accorder des autorisations.
Pour ajouter un programme à la liste des programmes :

2. Cliquer sur Ajouter.
La fenêtre Ajouter un programme s'affiche.
3. Sélectionnez le programme à ajouter, puis cliquez sur Ouvrir.
Veillez à sélectionner le fichier exécutable du programme.
Pour modifier un programme de la liste des programmes :
1. Sélectionnez Contrôle des programmes| Programmes.

2. Cliquez du bouton droit sur un programme dans la colonne Programmes et
choisissez l'une des options disponibles :
Table 0-23 Options de contrôle de programme
Change Le client utilise uniquement les informations de chemin d'accès
fréquemm du fichier pour authentifier le programme. La signature MD5
ent n'est pas contrôlée.
Attention : il s'agit d'un paramètre de sécurité de niveau Bas.
Options ouvre la boîte de dialogue Options du programme, dans laquelle
vous pouvez personnaliser les options de sécurité et créer des
règles expertes pour les programmes.
100
Propriétés ouvre la boîte de dialogue des propriétés de votre système
d'exploitation pour ce programme.
Supprimer supprime le programme de la liste.
Octroi de droits d'accès Internet aux programmes

Il existe plusieurs manières d'accorder à un programme l'autorisation d'accéder à
Internet : par l'intermédiaire d'une réponse à une alerte et d'une configuration
manuelle dans la liste des programmes et par configuration automatique par le
client.
De nombreux programmes parmi les plus courants peuvent être configurés
automatiquement pour un accès sécurisé à Internet. Pour déterminer si un
programme a été configuré manuellement ou automatiquement, sélectionnez-le
dans la liste et consultez la zone Détails de l'entrée.
Pour accorder à un programme l'autorisation d'accéder à Internet, procédez comme

suit :
1. Sélctionnez Contrôle des programmes | Programmes.

2. Dans la colonne Programmes , cliquez sur le programme et choisissez Autoriser.
Les règles intégrées garantissent une stratégie de sécurité cohérente pour chaque
programme. Les programmes qui ont accès à la zone Internet ont également accès
à la zone sûre. Les programmes dotés de droits de serveur dans une zone ont
également un droit d'accès à cette zone. Par exemple, si vous sélectionnez
Autoriser sous Zone sécurisée/Serveur, tous les autres droits du programme sont
automatiquement définis sur Autoriser.
Octroi de droits de serveur aux programmes

Faites attention lorsque vous donnez à des programmes l'autorisation d'agir en tant
que serveur, car de nombreux chevaux de Troie et autres types de logiciels
destructeurs ont besoin de droits de serveur pour nuire. L'autorisation d'agir en
tant que serveur doit être réservée aux programmes sûrs que vous connaissez bien
et qui ont besoin de cette autorisation pour leur bon fonctionnement.
Pour accorder à un programme l'autorisation d'agir en tant que serveur :

2. Dans la colonne Programmes, cliquez sur le programme et choisissez Autoriser.

Octroi de droits d'envoi de courrier électronique aux
programmes
Pour que votre programme de courrier électronique puisse envoyer des messages
de courrier électronique et activer la protection contre les menaces par courrier
électronique, accordez l'autorisation d'envoyer du courrier électronique à votre
programme de courrier électronique.
Pour accorder l'autorisation d'envoyer du courrier électronique à un programme :
1. SélectionnezContrôle des programmes | Programmes.

2. Dans la liste, cliquez dans la colonne Envoyer un message du programme et
choisissez Autoriser.
Contrôle des programmes Avancé

Le contrôle de programme avancé permet de renforcer votre sécurité en
empêchant des programmes inconnus d'utiliser des programmes de confiance pour
accéder à Internet et en empêchant les pirates d'utiliser les fonctions Windows
CreateProcess ou OpenProcess pour manipuler votre ordinateur.
Les applications suivantes ont par défaut l'autorisation d'utiliser d'autres
programmes pour accéder à Internet :
• Endpoint Security
• MS Word, Excel, Power Point et Outlook
Pour activer le contrôle de programme Avancé :

2. Dans la colonne Programmes , sélectionnez un programme.
3. Cliquez sur Options.
La fenêtre Options du programme s'affiche.
4. Sélectionnez l'onglet Sécurité.
5. Définition des options du Contrôle des programmes avancé :
Table 0-24 Contrôles des programmes Avancés
Ce programme peut en Autorise le programme sélectionné à
utiliser d'autres pour accéder utiliser d'autres programmes pour accéder
à Internet à Internet.
102
Permet une interaction entre Autorise le programme sélectionné à
les applications utiliser les fonctions OpenProcess et
CreateProcess sur votre ordinateur.
Désactivation de la protection MailSafe en sortie

Par défaut, la protection MailSafe en sortie est activée pour tous les programmes.
Etant donné que la capacité d'envoi de courriers électroniques n'est pas une
caractéristique de tous les programmes, vous pouvez choisir de désactiver la
protection des courriers électroniques sortants pour tout programme qui ne le
nécessite pas.
Pour désactiver la protection des courriers électroniques sortants pour un programme :

2. Sélectionnez un programme dans la liste, puis cliquez sur Options.
La fenêtre Options du programme s'affiche.
3. Ouvrez l'onglet Sécurité.
4. Désactivez la case Activer la protection des courriers électroniques sortants pour ce
programme.
Définition des options d'authentification

Par défaut, tous les programmes sont authentifiés par leurs composants. Vous
pouvez préciser des options d'authentification pour un programme dans la fenêtre
Options du programme.
Octroi de l'autorisation d'utiliser des programmes pour

d'autres utilisateurs
Il peut être utile d'empêcher vos enfants de modifier vos paramètres de sécurité,
tout en leur permettant d'utiliser de nouveaux programmes.
Pour autoriser l'accès aux programmes sans mot de passe :
1. Sélectionnez Présentation | Préférences.

2. Cliquez sur Définir le mot de passe.
3. Cochez la case Autoriser les autres utilisateurs à se servir des programmes sans mot
de passe (sauf si les droits du programme sont bloqués).
Lorsque cette option est sélectionnée, les utilisateurs doivent fournir un mot de
passe avant d'être autorisés à modifier vos paramètres. Cependant, sans fournir
de mot de passe, ils peuvent accorder les droits d'accès Internet à de nouveaux
programmes, ainsi qu'à des programmes dont l'autorisation est définie sur
Demander. Pour les programmes que vous avez explicitement bloqués, l'accès
continuera à être refusé.
4. Cliquez sur OK.
Gestion des composants de programme

Pour chaque programme de votre ordinateur, vous pouvez spécifier si le client doit
authentifier le programme exécutable principal uniquement ou ce dernier plus les
composants qu'il charge. De plus, vous pouvez autoriser ou refuser l'accès pour
chaque composant d'un programme.
La Liste des composants contient, pour les programmes autorisés, les composants
des programmes autorisés qui ont tenté d'accéder à Internet ou au réseau local. La
colonne Accès indique si le composant doit toujours avoir le droit d'accès ou si le
client doit vous prévenir lorsqu'il demande l'accès.
A mesure que vous utilisez votre ordinateur, le client détecte les composants
utilisés par vos programmes et les ajoute à la Liste des composants.
Pour accéder à la Liste des composants :
1. Sélectionnez Contrôle des programmes | Composants.
Pour accorder l'autorisation d'accès à un composant de programme :
1. Sélectionnez Contrôle des programmes | Composants.

2. Sélectionnez un composant dans la liste, puis cliquez dans la colonne Accès et
choisissez Autoriser.
Utilisation de programmes avec le client

Pour que vos autres logiciels soient compatibles avec le client, il peut être
nécessaire de modifier certains de leurs paramètres de configuration.
Un grand nombre de vos programmes les plus utilisés peuvent être configurés
automatiquement pour l'accès à Internet. Pour savoir si les programmes que vous
utilisez peuvent être configurés automatiquement, consultez la liste de l'assistant
104
Programmes. Bien que l'accès à Internet puisse être configuré automatiquement
dans certains cas, de nombreux programmes nécessitent également des droits de
serveur.
Utilisation du logiciel anti-virus

Pour que votre logiciel anti-virus puisse recevoir des mises à jour, il doit disposer
de droits d'accès pour la zone sûre.
Pour recevoir des mises à jour automatiques de la part du fournisseur de votre
logiciel anti-virus, ajoutez le domaine contenant les mises à jour (par exemple,
miseajour.miseajourav.com) à la zone sûre. Se référer à Ajout à la zone sûre page
84.
Utilisation des navigateurs

Pour fonctionner correctement, votre navigateur doit disposer des droits d'accès à
la zone Internet et à la zone sûre. Avant de donner cette autorisation, veillez à
configurer les paramètres de sécurité de votre navigateur pour une protection
optimale et vérifiez que vous disposez des dernières mises à jour de votre
navigateur.
Pour accorder à votre navigateur les droits d'accès, effectuez l'une des opérations
suivantes :
• Exécutez l'Assistant Programmes.

Le client détectera alors automatiquement votre navigateur et vous proposera
de lui attribuer les droits d'accès à la zone Internet.
• Donnez les droits d'accès au programme directement. Se référer à Octroi de

droits d'accès Internet aux programmes page 101.
Cliquez sur Oui lorsqu'une alerte de programme relative au navigateur s'affiche.
Utilisation des programmes de conversation

Les programmes de conversation et de messagerie instantanée (par exemple, AOL
Instant Messenger) peuvent nécessiter des droits de serveur pour fonctionner
correctement.
Pour accorder le droit de serveur à votre programme de conversation :

• Répondez Oui à l'alerte Programme serveur.
• Accorder les droits de serveur au programme.
Se référer à Octroi de droits de serveur aux programmes page 101.
Important Il est vivement recommandé de configurer votre logiciel de
conversation de manière à refuser les transferts de fichiers sans
demande préalable.
Utilisation du courrier électronique

Pour que votre programme de messagerie (par exemple, Microsoft Outlook) puisse
envoyer et recevoir des courriers électroniques, il doit disposer des droits d'accès à
la zone dans laquelle se trouve le serveur de messagerie. De plus, certains
logiciels client de messagerie peuvent comporter plusieurs composants nécessitant
des droits de serveur. Par exemple, Microsoft Outlook a besoin des droits de
serveur pour l'application de base (OUTLOOK.EXE) et pour le spouleur du sous-
système de messagerie (MAPISP32.exe).
Pour accorder un accès aux applications de courrier électronique :
1. Ajoutez le serveur de messagerie local à la zone sûre.

2. Limitez l'accès de l'application de courrier électronique à la zone sûre.
3. Ajoutez le serveur de messagerie distant (hôte) à la zone sûre.
Remarque Vous pouvez aussi renforcer la scurité n limitant les ports
que votre programme demessagerie électronique peut utiliser (se
référer à Paramètres par défaut de permission de port voir "Paramètres
d'autorisation de port par défaut" page 87).
Utilisation d'un répondeur Internet

Pour utiliser un répondeur Internet (tel que CallWave) avec le client, procédez
comme suit :
1. Attribuez au programme les droits de serveur et d'accès pour la zone Internet.
2. Ajoutez l'adresse IP des serveurs du fournisseur à la zone sûre.
3. Définissez le niveau de sécurité de la zone Internet sur Moyen.
Remarque : pour obtenir l'adresse IP de ces serveurs, contactez le
support technique du fournisseur.
106
Utilisation du partage de fichiers
Les programmes de partage de fichiers, tels que Napster, Limewire, AudioGalaxy
ou les logiciels client Gnutella, doivent disposer des droits de serveur pour la zone
Internet afin de pouvoir fonctionner avec le client.
Utilisation de FTP
Pour utiliser un programme FTP (File Transfer Protocol), vous devrez peut-être
ajuster les paramètres du client FTP.
Pour activer FTP avec le client :
1. Activez le mode passif ou le mode PASV dans votre client FTP.

Cette opération indique au client qu'il doit utiliser le même port pour les
communications dans les deux directions. Si le mode PASV n'est pas activé, le
client risque de bloquer les tentatives du serveur FTP visant à contacter un
nouveau port pour un transfert de données.
2. Ajoutez les sites FTP que vous utilisez à la zone sûre.
3. Attribuez au client FTP les droits d'accès à la zone sûre.
Pour plus d'informations sur l'ajout d'un programme à la zone sûre et sur
l'attribution de droits d'accès à un programme, reportez-vous à la section
Définition d'option de sécurité avancées voir "Configuration des options de sécurité
avancées" page 79.
Utilisation de flux média

Les applications qui transmettent les flux de données audio et vidéo en continu,
telles que RealPlayer, Windows Media Player et QuickTime, doivent disposer des
droits de serveur pour la zone Internet pour fonctionner avec le client.
Pour plus d'informations sur l'attribution de droits de serveur à un programme,
reportez-vous à la section Octroi de droits de serveur aux programmes page 101.
Utilisation des jeux

Pour pouvoir jouer en ligne sur Internet en passant par le client, vous devrez peut-
être ajuster les autorisations du programme et les niveaux de sécurité.

Utilisation du Contrôle à distance
Si votre ordinateur est l'hôte ou le client d'un système d'accès à distance tel que
PCAnywhere ou Timbuktu, configurez le contrôle à distance.
Pour configurer un accès à distance :
1. Ajoutez l'adresse IP des hôtes ou des clients à la zone sûre. Se référer à Ajout
à la zone sûre page 84.
2. Ajoutez à la zone sûre le sous-réseau du réseau auquel vous accédez à
distance.
3. Si une adresse IP dynamique est attribuée à l'ordinateur distant, ajoutez
l'adresse ou l'ensemble des adresses de serveur DHCP à la zone sûre.
Important Si le contrôle client à distance ou l'hôte est sur un réseau
qui n'est pas sous contrôle, le périmètre pare-feus ou d'autres
fonctionnalités peuvent vous empêcher de vous connecter.
Utilisation de VNC
Pour que VNC et Endpoint Security fonctionnent simultanément :
1. Sur les postes serveur et client, effectuez l'une des opérations suivantes :
• Si vous connaissez l'adresse IP ou le sous-réseau du client (viewer) que
vous utiliserez pour l'accès à distance, et que cette adresse IP ou ce
sous-réseau ne change pas, vous pouvez l'ajouter à la zone sûre. Se
référer à Ajout à la zone sûre page 84.
• Si vous ne connaissez pas l'adresse IP du client ou si elle est destinée à
changer, attribuez au programme les droits d'accès et de serveur pour la
zone Internet et la zone sûre. Se référer à : Définition d'autorisations
spécifiques page 99.
Lorsqu'un message de VNCviewer vous y invite sur le poste du client, saisissez
le nom ou l'adresse IP du serveur, suivi du mot de passe. Vous devez être en
mesure de vous connecter.
2. Sur le poste du client (VNC Viewer), exécutez VNCviewer pour vous connecter
au serveur. N'exécutez pas le programme en « mode écoute ».
Important Si vous autorisez l'accès via VNC en lui attribuant les droits
d'accès et les droits de serveur, veillez à définir et utiliser votre mot
de passe VNC pour maintenir la sécurité.
108
Nous vous recommandons d'ajouter les adresses IP du serveur et du
client à la zone sûre plutôt que d'accorder les droits pour la zone
Internet à l'application.
Utilisation de Voix sur IP

Pour utiliser un programme Voix sur IP (VoIP) avec le client, vous devez appliquer
l'une des méthodes suivantes ou les deux, en fonction du programme :
1. Attribuez les droits de serveur et d'accès à l'application VoIP.
2. Ajoutez les serveurs de votre fournisseur VoIP à la zone sûre. Pour obtenir les
adresses IP de ces serveurs, contactez l'assistance clientèle de votre
fournisseur VoIP.
Utilisation de programmes de conférence Web

Si vous rencontrez des difficultés lors de l'utilisation d'un programme de
conférence Web tel que Microsoft Netmeeting, procédez comme suit :
1. Ajoutez le domaine ou l'adresse IP à laquelle vous vous connectez à la zone
sûre. Reportez-vous à la section Ajout à la zone sûre page 84.
2. Désactivez l'option « Partage de Bureau à distance » du programme de
conférence Web.

Chapitre 6
Full Disk Encryption
Le Full Disk Encryption est une solution logicielle de sécurité d'entreprise basée
sur une stratégie de solution logicielle de sécurité. Il Full Disk Encryption combine
la protection de démarrage, l'authentication au pré-amorçage et un cryptage fort
pour s'assurer que seuls les utilisateurs autorisés ont accès aux informations
stockées dans les ordinateurs de bureau et portables.
Le Full Disk Encryption est déployé et administré à travers le réseau. Le cryptage
étant automatique et transparent, la sécurité est imposée sans effort particulier de
la part des utilisateurs.
Dans cette section
Authentication au Full Disk Encryption 111

Garantie de la non-falsification de votre ordinateur 112
Authentication pour la première fois 112
Fonctionnalités facultatives de Full Disk Encryption 118
Utilisation du volet de Full Disk Encryption. 122
Authentication au Full Disk Encryption

Cette section traite de la façon d'utiliser un mot de passe fixe, un jeton
dynamique, ou une carte à puce ou un jeton USB pour vous authentifier, accéder
à votre ordinateur protégé en Full Disk Encryption.
L'authentification signifie que le < vérifie si vous êtes autorisé(e) à utiliser un
ordinateur spécifique. Lorsque vous allumez ou redémarrez un ordinateur protégé
par le Full Disk Encryption, la boîe de dialogue Identification compte utilisateur
s'ouvre.
111
Saisissez un nom de compte utilisateur valide et un mot de passe. Le Full Disk
Encryption vérifie que vous êtes autorisé(e) à accéder à l'ordinateur et autorise son
démarrage.
Garantie de la non-falsification de votre ordinateur

Si vous n'avez pas démarré l'ordinateur vous-même, appuyez toujours sur les
touches CTRL+ALT+SUPPR pour le redémarrer avant de vous authentifier. Cette
opération garantit que votre ordinateur n'est pas falsifié et que le nom et le mot de
passe de votre compte utilisateur ne peuvent pas être piratés.
Authentication pour la première fois

Les sections suivantes présentent l'accès à un ordinateur protégé par un
ordinateur protégé par le Full Disk Encryptionen tant que nouvel utilisateur.
Supposons que votre administrateur ait configuré pour vous un compte utilisateur
et un mot de passe temporaires. La première fois que vous vous authentifiez au
Full Disk Encryption, vous devez utiliser les noms de compte et mot de passe
utilisateur temporaires.
Une fois le nom de compte et le mot de passe temporaires correctement saisis, le
Full Disk Encryption vous invite à saisir vos (nouveau) nom de compte personnel et
mot de passe fixe (ou pour utiliser un jeton dynamique ou une carte à puce pour
authentication). Il s'agit là des informations d'identité que vous utiliserez ensuite,
à la place du nom de compte et du mot de passe temporaires. Votre
administrateur vous indiquera votre nom d'utilisateur et les exigences relatives au
mot de passe.
Plutôt qu'un compte utilisateur temporaire, votre administrateur a pu configurer
votre compte utilisateur personnel et son mot de passe, ou un jeton dynamique ou
une carte à puce qui vous permette de vous authentifier. L'administrateur vous
indiquera comment vous authentifier pour la première fois.
Utilisation d'un mot de passe fixe

Un mot de passe fixe est une chaîne de caractères confidentielle, que vous seul(e)
et le Full Disk Encryption, connaissez, et que vous utiliserez à chaque accès à
votre ordinateur.
Votre administrateur Full Disk Encryption vous indiquera quels nom de compte
utilisateur et mot de passe utiliser pour accéder pour la première fois à
l'ordinateur protégé par le Full Disk Encryption.
112
Pour vous authentifier à l'aide d'un mot de passe fixe :
1. Démarrez l'ordinateur protégé par Full Disk Encryption.

La boîte de dialogue Identification du compte utilisateur (User Account Identification)
s'ouvre.
Remarque - si vous n'avez pas démarré personnellement l'ordinateur,
appuyez sur CTRL+ALT+SUPPR pour vous assurer que votre ordinateur
n'a pas été falsifié. Votre ordinateur redémarre et le Full Disk
Encryption affiche à nouveau la boîte de dialogue Identification de
compte utilisateur (User Account Identification ).
2. Saisissez les informations suivantes :
• Dans le champ Nom de compte utilisateur (User account name), saisissez
celui que votre administrateur vous a envoyé.
• Dans le champ Mot de passe (Password) saisissez celui que votre
administrateur vous a envoyé. Lors de sa saisie, le mot de passe est
masqué par des astérisques (*).
3. Cliquez sur OK.
4. Si votre administrateur a configuré un compte utilisateur ordinaire et non un
compte temporaire, cliquez sur Continuer (Continue). Vous vous êtes authentifié
et le Full Disk Encryption autorise le démarrage de Windows.
Si votre administrateur vous a configuré un compte d'utilisateur temporaire, le
Full Disk Encryption affiche le message suivant :
Avant de continuer, le nom du compte utilisateur
temporaire doit être modifié en un nom de compte
utilisateur normal, et un nouveau mot de passe doit être
défini. Votre nom de compte utilisateur correct risque
d'être déjà affiché dans la fenêtre suivante. S'il est
correct, vous devez seulement définir un nouveau mot de
passe.
5. Cliquez sur OK pour fermer cette boîte de message.
Vous allez à présent saisir votre (nouveau) nom de compte utilisateur personnel
et le mot de passe fixe. Il s'agit là des informations d'identité que vous
utiliserez ensuite, à la place du nom de compte et du mot de passe
temporaires dont vous venez de vous servir.
La boîte dedialogue Utilisateur temporaire (Temporary User) s'ouvre.
6. Saisissez le nom de votre compte utilisateur personnel et cliquez sur OK.
La boîte de dialogue Définir nouveau mot de passe (Set new password) s'ouvre.
Chapter 6 Full Disk Encryption 113

7. Saisissez, puis confirmez le mot de passe fixe que vous souhaitez utiliser et
cliquez sur OK.
Le Full Disk Encryption confirme que vous avez accédé à l'ordinateur pour la
première fois en utilisant vos informations d'identité de Full Disk Encryption.
8. Cliquez sur Continuer (Continue) pour fermer la boîte de dialogue.
Le Full Disk Encryption permet maintenant à Windows de démarrer.
Utilisation d'un jeton dynamique

Un jeton dynamique est un mot de passe que vous générez à l'aide d'un jeton de
mot de passe chaque fois que vous souhaitez être authentifié(e) par le Full Disk
Encryption.
Votre administrateur de Full Disk Encryption vous fournira un jeton dynamique, les
informations nécessaires pour vous en servir et un nom d'utilisateur.
Pour vous authentifier à l'aide d'un jeton dynamique :
1. Démarrez l'ordinateur protégé par Full Disk Encryption.

La boîte de dialogue User Account Identification (Identification du compte utilisateur)
s'ouvre.
2. Dans le champ Nom decompte utilisateur, saisissez le nom d'utilisateur que vous
a envoyé votre administrateur, puis appuyez sur TAB.
Le Full Disk Encryption comprend alors que vous allez vous authentifier à
l'aide d'un jeton dynamique et affiche la boîte de dialogue Identification du
compte utilisateur (User Account Identification)
3. Dans le jeton dynamique, saisissez les informations de vérification de Full Disk
Encryption pour générer une réponse.
4. Saisissez la réponse dans le champ Réponse (Response) et cliquez sur OK.
Le Full Disk Encryption confirme que vous avez accédé à l'ordinateur pour la
première fois en utilisant vos informations d'identité de Full Disk Encryption.
5. Cliquez sur Continuer (Continue) pour fermer la boîte de dialogue.
Le Full Disk Encryption permet maintenant à Windows de démarrer.
114
Utilisation d'une carte à puce ou d'un jeton USB
Les cartes à puce ou les jetons USB stockent des certificats protégés par des
codes personnels. Pour être authentifié(e) par le Full Disk Encryption, connectez
la carte ou le jeton à l'ordinateur et saisissez un code personnel de carte ou de
jeton valide.
Votre administrateur Full Disk Encryption vous fournira la carte à puce ou le jeton
USB, les informations nécessaires pour vous en servir et un nom d'utilisateur et un
mot de passe temporaires à utiliser lors du premier accès à l'ordinateur protégé par
le Full Disk Encryption.
Vérifiez que votre carte à puce ou jeton USB est connecté(e) à votre ordinateur
avant de vous authentifier.
Pour vous authentifier à l'aide d'une carte à puce ou d'un jeton USB :
1. Connectez votre carte à puce ou jeton USB à votre ordinateur protégé par Full
Disk Encryption.
2. Démarrez votre ordinateur.
La boîte de dialogue User Account Identification (Identification du compte utilisateur)
s'ouvre.
3. Saisissez les informations suivantes :
• Dans le champ Nom de compte utilisateur (User account name), saisissez
celui que votre administrateur vous a envoyé.
• Dans le champ Mot de passe (Password), saisissez celui que votre
administrateur vous a envoyé. Lors de sa saisie, le mot de passe est
masqué par des astérisques (*).
4. Cliquez sur OK.
Si votre administrateur a configuré un compte utilisateur ordinaire et non un
compte temporaire, ignorez les deux étapes suivantes.
Si votre administrateur vous a configuré un compte d'utilisateur temporaire, le
Full Disk Encryption affiche le message suivant :

Avant de continuer, le nom du compte utilisateur
temporaire doit être modifié en un nom de compte
utilisateur normal, et un nouveau mot de passe doit être
défini. Votre nom de compte utilisateur correct risque
d'être déjà affiché dans la fenêtre suivante. S'il est
correct, vous devez seulement définir un nouveau mot de
passe.
5. Cliquez sur OK pour fermer cette boîte de message.
La boîte de dialogue Temporary User (Utilisateur temporaire) s'ouvre.
6. Saisissez votre nouveau nom de compte utilisateur et cliquez sur OK.
Le Full Disk Encryption comprend que vous avez un compte utilisateur qui
utilise une carte à puce pour l'authentification. Il confirme qu'il s'agit de votre
première connexion à l'aide du nouveau nom de compte utilisateur. La boîte de
dialogue Logon Successful (Connexion réusie) s'ouvre.
7. Cliquez sur Continue (Continuer).
Après le chargement de Windows, la boîte de dialogue Change Credentials
(Modifier les informations d'identité) s'ouvre.
8. Sélectionnez le certificat que vous souhaitez utiliser, puis cliquez sur OK.
Important Ne choisissez pas le certificat 'Magasin personnel' ; si vous
le faites, vous ne pourrez pas vous authentifier après le redémarrage
de l'ordinateur.
Le Full Disk Encryption confirme la mise à jour de votre certificat d'utilisateur.
9. Cliquez sur OK.
10.Lorsque vous y êtes invité(e), redémarrez l'ordinateur.
Après le redémarrage, la boîte de dialogue Token Authentication (Authentification
du jeton)s'ouvre.
11.Saisissez votre code personnel. Lors de sa saisie, le code personnel est masqué
par des astérisques (*).
12.Cliquez sur OK.
Remarque : Quelle que soit la disposition du clavier utilisé, nous vous
conseillons d'utiliser des codes personnels de carte à puce constitués
uniquement de caractères ASCII :
!"#$%&'()*+,-./ 0123456789:;<=>?@
ABCDEFGHIJKLMNOPQRSTUVWXYZ
[\]^_`abcdefghijklmnopqrstuvwxyz{|}~
Le caractère espace est aussi un caractère ASCII.
116
Le Full Disk Encryption communique avec la carte à puce et réalise
l'authentification.
13.Cliquez sur OK.
Que faire en cas d'oubli du mot de passe ?

Si vous avez oublié votre mot de passe, vous pouvez utiliser l'option de Full Disk
Encryption Password Change (Modification du mot de passe).
Pour modifier votre mot de passe :
1. Démarrez l'ordinateur protégé par Full Disk Encryption. La boîte de dialogue

User Account Identification (Identification du compte utilisateur) s'ouvre.
2. Saisissez votre nom d'utilisateur et sélectionnez Remote Help (Aide à distance).
La boîte de dialogue Logon Successful (Connexion réusie) s'ouvre.
3. Contactez votre administrateur de Full Disk Encryption ou le service
d'assistance qui vous guidera tout au long du processus de modification du
mot de passe.
Que faire si je ne peux pas accéder à mon jeton ou à ma carte

à puce ?
Si vous ne pouvez pas accéder à votre jeton dynamique ou à votre carte à puce,
vous pouvez utiliser l'option de Full Disk Encryption One-Time logon (Connexion
unique).
Pour utiliser l'option One-time logon (Connexion unique) :
1. Démarrez l'ordinateur protégé par Full Disk Encryption. La boîte de dialogue

User Account Identification (Identification du compte utilisateur) s'ouvre.
2. Saisissez votre nom d'utilisateur et sélectionnez Remote Help (Aide à distance).
La boîte de dialogue Logon Successful (Connexion réusie) s'ouvre.
3. Sélectionnez l'option One-Time Logon (Connexion unique) pour activer cette
fonction. Contactez votre administrateur de Full Disk Encryption ou le service
d'assistance qui vous guidera tout au long du processus de connexion unique.

Fonctionnalités facultatives de Full Disk Encryption
Cette section présente quelques options facultatives que votre administrateur peut
avoir choisi de configurer pour votre installation de Full Disk Encryption. Par
exemple, selon la configuration, il est possible que vous puissiez ou non utiliser le
même mot de passe pour vous connecter à Windows et vous authentifier auprès du
Full Disk Encryption, ou que vous n'ayez aucunement besoin de saisir vos
informations d'identité de Full Disk Encryption.
Synchronisation des mots de passe

La synchronisation des mots de passe du Full Disk Encryptionpermet de
synchroniser mutuellement les mots de passe Windows de Full Disk Encryption,
pour autant que votre administrateur ait activé cette fonction pour votre compte
utilisateur.
Selon la configuration des paramètres par votre administrateur, vos mots de passe
peuvent être synchronisés de l'une des deux façons suivantes :
• Utilisation du mot de passe Windows lors de l'authentification auprès du Full

Disk Encryption
Si cette option de synchronisation a été configurée pour vous, le mot de passe
Windows est également utilisé pour l'authentification du pré-amorçage du Full
Disk Encryption. Une fois les mots de passe synchronisés, la modification du
mot de passe Windows remplace automatiquement celui de Full Disk
Encryption par le nouveau de Windows.
(Ce paramètre est appelé Synchronize Windows Password to Preboot (Synchroniser
le mot de passe Windows avec celui du pré-amorçage) dans l'application de
l'administrateur.)
• Utilisation du mot de passe de Full Disk Encryption lors de l'authentification

auprès de Windows.
Si cette option de synchronisation a été configurée pour vous, le mot de passe
utilisé pour l'authentification du pré-amorçage de Full Disk Encryption sert
également pour l'authentification Windows. Une fois les mots de passe
synchronisés, la modification du mot de passe de Full Disk Encryption
remplace automatiquement celui de Windows par le nouveau mot de passe de
Full Disk Encryption.
(Ce paramètre est appelé Synchronize Windows Password to Preboot (Synchroniser
le mot de passe Windows avec celui du pré-amorçage) dans l'application de
l'administrateur.)
118
Utilisation du mot de passe Windows pour le Full Disk Encryption
Lorsque votre stratégiede synchronisation des mots de passe a été modifiée de
sorte que vous puissiez utiliser celui de Windows pour vous authentifier auprès du
Full Disk Encryption, les mots de passe sont synchronisés dans les cas suivants :
• Vous modifiez votre mot de passe Windows.

ou
• Vous vous connectez à Windows pour la première fois après la modification de

la stratégie.
Le système vous invitera à saisir votre mot de passe de Full Disk Encryption, qui
sera synchronisé avec celui de Windows.
Une fois les mots de passe synchronisés, la modification du mot de passe
Windows remplace automatiquement celui de Full Disk Encryption par le nouveau
mot de passe Windows.
Pour synchroniser le mot de passe de Full Disk Encryption avec celui de Windows :
1. Que vous ayez modifié votre mot de passe Windows ou que vous vous
connectiez à Windows pour la première fois après la modification de la
stratégie, la boîte de dialogue Password Synchronization (Synchronisation des mots
de passe) s'ouvre.
2. Veuillez fournir votre mot de passe de Full Disk Encryption et cliquer sur OK.
Le Full Disk Encryption confirme que votre mot de passe a été modifié.
Dorénavant, utilisez votre mot de passe Windows pour vous authentifier auprès
du Full Disk Encryption.
Utilisation du mot de passe Windows pour le Full Disk Encryption

Lorsque votre stratégie de synchronisation des mots de passe a été modifiée de
sorte que vous puissiez utiliser celui de Full Disk Encryption pour vous connecter à
Windows, les mots de passe sont synchronisés dans les cas suivants :
• Modifiez votre mot de passe de Full Disk Encryption

Lorsque vous modifiez votre mot de passe de Full Disk Encryption, le système
vous demande votre mot de passe Windows. Ce dernier est ensuite synchronisé
avec votre mot de passe de Full Disk Encryption.

• Vous vous connectez à Windows pour la première fois après la modification de
la stratégie.
La synchronisation des mots de passe est automatique.
Une fois les mots de passe synchronisés, la modification du mot de passe
Windows de Full Disk Encryption par le nouveau mot de passe Windows de Full
Disk Encryption.
Sécurité du périphérique optimisée et à connexion unique

Cette section décrit comment se connecter avec Single Sign-on (SSO) (connexion
unique) ou avec une sécurité de périphérique avancée.
• Authentification unique: La fonctionnalité d'authentification unique Single Sign-

on (SSO) vous permet de vous authentifier Full Disk Encryption et d'être
automatiquement authentifié et connecté à Windows.
• Sécurité de périphérique optimisée : La fonctionnalité de sécurité de périphérique
optimisée vous permet de vous authentifier au cryptage total de disque Full
Disk Encryption et d'être automatiquement authentifié et connecté à Windows,
la connexion d'extrémité de VPN Endpoint Connect, et le Media Encryption.
Remarque Votre administrateur de Full Disk Encryption décide si vous
aurez accès ou pas à SSO ou une sécurité de périphérique optimisée
ou aucune d'entre elles.
Première connexion après l'activation de SSO ou la sécurité du

périphérique optimisée.
Après que l'administrateur a activé SSO ou la sécurité de périphérique optimisée
pour votre compte utilisateur de Full Disk Encryption sur un ordinateur, le Full
Disk Encryption doit apprendre les informations d'identité de votre compte. Cette
opération est effectuée à la première connexion après l'activation de SSO ou de la
sécurité de périphérique optimisée. Pour cette connexion, vous vous connectez à
Windows de la façon habituelle. Le Full Disk Encryption stocke alors vos
informations d'identité de façon sécurisée et les utilise lors de connections
ultérieures quand SSO ou la sécurité de périphérique optimisée est activée.
Désactivation de l'option SSO

Lorsque l'option SSO n'est pas sélectionnée (quand la case à cocher SSO Active
(SSO actif)n'est pas sélectionnée), aucune information d'identité n'est
communiquée à Windows. Il est alors possible d'utiliser un autre compte
utilisateur Windows.
120
Lorsque la fonction SSO a été désactivée, aucune information d'identité Windows
n'est enregistrée ni utilisée, et la chaîne est rompue. Lorsque la fonction SSO est
réactivée, les informations d'identité précédentes doivent être à nouveau
spécifiées pour que cette option refonctionne.
Modifications de mot de passe et de sécurité de périphérique

optimisée et de SSO
Régulièrement, il vous faudra modifier votre mot de passe Windows. Le Full Disk
Encryption recherchera les boîtes de dialogue Change Password (Modifier le mot de
passe) et enregistrera les modifications. Quand une boîte de dialogue Change
Password (Modifier le mot de passe) est ouverte, le Full Disk Encryption enregistre la
saisie de l'utilisateur effectuée dans le champ Nouveau mot de passe. Lorsque
vous redémarrez ensuite votre ordinateur, l'option SSO ou sécurité de périphérique
optimisée fonctionne de la façon habituelle, puisque le nouveau mot de passe a
déjà été stocké.
Se connecter avec SSO ou la sécurité de périphérique optimisée

activée.
La connexion, quand SSO ou la sécurité de périphérique optimisée est activée, est
similaire à la connexion sans SSO ou sans la sécurité de périphérique optimisée.
Simplement, n'oubliez pas de cocher la case Activer SSO (SSO Active). La sécurité
de périphérique optimisée utilise la même boîte de dialogue.
Pour vous connecter avec l'option SSO activée :
1. Authentifiez-vous de la manière habituelle dans la boîte de dialogue User

Account Identification (Identification du compte utilisateur).
2. Assurez-vous que la case à cocher Activer SSO (SSO active) soit activée, puis
cliquez sur OK.
Votre ordinateur démarre et avec SSO vous êtes automatiquement connecté(e)
à Windows. Avec la sécurité de périphrique optimisée vous êtes
automatiquement connecté à Windows et à l'extrémité de connexion Endpoint
Connect de VPN, le Media Encryption ou les deux.
Remarque - si votre administrateur a configuré Activer SSO (SSO Active)
pour qu'il soit activé, vous pouvez aussi effacer cette option pour ne
pas utiliser SSO.

Connexion intégrée à Windows
Si la fonctionnalité de connexion Windows intégrée (Windows Integrated Logon,
WIL) a été séléctionnée par votre administrateur, vous êtes normalement
connectée à Windows sans saisir vos informations d'identité de Full Disk
Encryption.
Selon les paramètres configurés par votre administrateur de Full Disk Encryption,
il se peut que vous ne puissiez pas démarrer Windows en mode sécurisé.
De plus, vous pouvez avoir besoin de vous authentifier au Full Disk Encryption si
vous l'avez déjà exécuté les actions suivantes :
• Vous avez retiré votre ordinateur avec fonction WIL du réseau

• Vous avez ajouté des périphériques matériels à votre ordinateur WIL ou modifié
d'une manière quelconque le disque dur
• Vous avez déplacé le disque dur dans un autre ordinateur
• Vous avez dépassé le nombre d'échecs de tentative de connexion à Windows.
Si le système détecte l'un de ces problèmes, la fonction WIL peut être désactivée
automatiquement. L'ordinateur redémarre et vous devez vous authentifier auprès
du Full Disk Encryption avant le chargement du système d'exploitation.
Utilisation du volet de Full Disk Encryption.

Ce chapitre présente l'utilisation du volet de Full Disk Encryption du client
Endpoint Security une fois que vous vous êtes authentifié(e) auprès du Full Disk
Encryption et que vous avez accès au système d'exploitation. Le volet de Full Disk
Encryption vous permet d'effectuer les opérations suivantes :
• Afficher les informations de l'état et du cryptage

• Modifier vos informations d'identité utilisateur de Full Disk Encryption
• Modifier la langue de l'interface utilisateur du client de Full Disk Encryption.
Affichage des informations de l'état et du cryptage

Vous pouvez afficher les informations de l'état de votre installation de Full Disk
Encryption dans le volet Full Disk Encryption.
Pour afficher les informations d'état :
Ouvrir le Full Disk Encryption | Général (Main).
122
Informations d'état de Full Disk Encryption
Le volet de Full Disk Encryption | Général (|Main) présente les informations d'état
suivantes.
Champ Etat Explication

Version installée Version de Full Disk Encryption présente sur
localement l'ordinateur.
Compte utilisateur de pré- Nom du compte utilisateur authentifié au pré-
amorçage amorçage
Compte utilisateur Nom du compte utilisateur actuellement
FDEMC connecté à la console FDEMC (FDE Management
Console) de Full Disk Encryption, le cas échéant.
Mode MI Indique si l'installation de Full Disk Encryption
est exécuté en mode MI ou pas. Les valeurs
possibles sont : Oui (Yes) ou Non (No).
Connexion intégrée à Valeur actuellement spécifiée pour le paramètre
Windows Connexion intégrée à Windows (WIL, Windows
Integrated Logon). Les valeurs possibles sont :
Activé ou Désactivé.
Dernière mise à jour de la Date et heure de création du dernier fichier de
récupération récupération
Dernière livraison du Date et heure de la dernière copie du fichier de
fichier de récupération récupération dans son répertoire cible. Le
répertoire cible est le répertoire spécifié sous
Recovery Path (Chemin de restauration) dans les
paramètres Installer sous System Settings
(Paramètres du système).
Dernière mise à jour du Date et heure de la dernière mise à jour du fichier
fichier journal journal par le Full Disk Encryption.
Dernière livraison du Date et heure de la dernière écriture dans le
fichier journal fichier journal local par le Full Disk Encryption.
Le nom de fichier du journal local correspond au
nom de l'ordinateur. Le fichier journal local est
stocké dans le ou les répertoires spécifiés dans
Set Central Log Path(s) (Définir le chemin des
journaux centraux) (paramètres Installer sous
System Settings (Paramètres du système)).
Dernière modification Date et heure de la dernière modification d'un
locale paramètre local ; contient également le groupe et
le nom du compte de l'utilisateur qui a effectué
la modification.

Dernier profil de mise à Date et heure auxquelles le dernier profil de mise
jour à jour a été téléchargé et le chemin, comprenant
le nom du profil à partir duquel il a été
téléchargé.
Date d'expiration de la Date d'expiration de la licence. La date
licence d'expiration n'est utilisée que pour les versions
d'évaluation du produit.
Activation de licence Etat de la licence de Full Disk Encryption.
Informations d'activation de licence Full Disk Encryption

Les états d'activation de licence peuvent être l'un des suivants :
• Licence activée: Normalement, la licence est automatiquement activée sur le

serveur de licence utilisé pour l'installation.
• Licence non activée: Si votre licence n'est pas activée pour une raison
quelconque, le Full Disk Encryption affichera des boîtes de dialogue, qui vous
invitent à activer la licence sur le serveur de licence. Si vous en faites
l'expérience, assurez-vous d'être en ligne. Lorsque vous l'êtes, les informations
sont automatiquement envoyées au serveur de licence. Si le Full Disk
Encryption affiche des boîtes de dialogue même lorsque vous êtes en ligne,
contactez votre service d'assistance.
• Activation désactivée : Si vous utilisez une licence héritée qui ne peut pas être
enregistrée sur le serveur de licence, ce paramètre apparaît désactivé.
Informations sur le cryptage

Les informations de Cryptage suivantes sont affichées pour chaque volume :
Champ Etat Explication

Décryptage de Indique la progression du décryptage et le pourcentage
nn% en cours terminé.
Complètement Indique que le volume est complètement crypté.
crypté
Décryptage de Indique la progression du décryptage et le pourcentage
nn% en cours terminé.
Non crypté Indique que le volume n'est pas crypté.
Erreur Une erreur est survenue lors du cryptage ou du décryptage.
124
Remarque -si un disque n'est ni crypté ni protégé contre l'amorçage, il
n'apparaît pas dans le champ d'informations sur le cryptage.
Modification de vos informations d'authentification

Le volet de Full Disk Encryption vous permet d'effectuer les opérations suivantes :
• Modifier votre mot de passe si vous vous authentifiez avec un mot de passe
fixe.
• Modifier votre méthode d'authentification courante (méthode de connexion) -
mot de passe fixe, jeton dynamique, carte à puce. Les méthodes
d'authentification que vous pouvez modifier apparaissent actives sous Logon
method (Méthode de connexion)dans la boîte de dialogue Modifier les informations
d'identité. Les autres sont grisées puisqu'elles ne sont pas disponibles.
Pour modifier vos informations d'identité :
1. Ouvrir le Full Disk Encryption | Advanced (Avancé).

2. Cliquez sur Modifier.
La boîte de dialogue de Full Disk Encryption Authentication s'ouvre.
3. Authentication dans la boîte de dialogue de Full Disk Encryption authentication.
Si vous vous authentifiez avec une carte à puce, sélectionnez Use inserted smart
card (Utiliser la carte à puce insérée).
Si vous devez utiliser l'aide à distance pour vous authentifier, contactez votre
administrateur d'aide à distance, qui vous guidera tout au long de la
procédure.
Après une authentification avec succès, la boîte de dialogue Change Credentials
(Modifier les informations d'identité) s'ouvre.
La boîte de dialogue Modifier les informations d'identité affiche les méthodes de
connexion disponibles. Celles-ci peuvent être :
• Mot de passe fixe (Fixed Password) : Si vous vous authentifiez avec un mot
de passe fixe, saisissez et confirmez un nouveau mot de passe. Si la
case à cocher Hide typing (Masquer la saisie) est activée, les caractères
que vous saisissez s'affichent sous forme d'astérisques (*), sinon, les
véritables caractères apparaissent. La boîte de dialogue vous indique la
validité du mot de passe saisi.
• Jeton dynamique (Dynamic token) : Saisissez les informations requises.
• Carte à puce (Smart card) : Saisissez les informations requises.
4. Sélectionnez la Méthode de connexion (Logon method) désirée.
5. Cliquez sur OK.
Modification de la langue de l'interface

Vous pouvez modifier la langue utilisée dans l'interface de pré-amorçage du client
Full Disk Encryption, la barre d'état, l'utilitaire de récupération et l'interface
d'authentification unique (si cette option est activée).
Pour modifier la langue utilisée :
1. Ouvrir le Full Disk Encryption | Advanced (Avancé).

2. Dans le menu déroulant Sélectionner la langue (Select Language), choisissez la
langue désirée.
3. Fermez le Client Endpoint Security A votre prochain démarrage de Full Disk
Encryption, la boîte de dialogue d'environnement de pré-amorçage utilisera la
langue sélectionnée.
Langues prises en charge

Les caractères suivants sont pris en charge dans l'environnement de pré-amorçage
Full Disk Encryption :
BR Portugais du Brésil
CA Français (Canada)
CN Chinois (simplifié)
CZ Tchèque
DE Allemand
ES Espagnol
FR Français
HU Hongrois
IT Italien
JP Japonais
KO Coréen
PL Polonais
PT Portugais
RU Russe
TH Thaïlandais
TW Chinois (traditionnel)
126
US Anglais
Remarque - vous pouvez également choisir la langue du système

d'exploitation, énumérée en tant que Système d'exploitation dans le
menu déroulant. Si l'option Système d'exploitation (Operating System) est
sélectionnée et que la langue du système d'exploitation n'est pas prise
en charge, l'anglais américain est affiché.
Langues de remplacement
Si la langue du système d'exploitation n'est pas une variante d'une des langues prises en charge,
par exemple, Français (Canada) ou Chinois (Singapour), la variante de la langue utilisée
correspond à la langue de remplacement indiquée dans le tableau suivant :
ID Langue sélectionnée Langue de ID

remplacement
0x0C04 Chinois (Hong Kong Chinois (traditionnel) 0x7C04
S.A. R.)
0x1404 Chinois (Macau S.A.R.) Chinois (traditionnel) 0x7C04
0x0804 Chinois (République de Chinois (simplifié) 0x0004

Chine)
0x0004 Chinois (simplifié) Chinois (simplifié) 0x0004
0x1004 Chinois (Singapour) Chinois (simplifié) 0x0004
0x0404 Chinois (Taiwan) Chinois (traditionnel) 0x7C04
0x7C04 Chinois (traditionnel) Chinois (traditionnel) 0x7C04
0x0009 Anglais Anglais (Etats-Unis) 0x0409
0x0C09 Anglais (Australie) Anglais (Etats-Unis) 0x0409
0x2809 Anglais (Belize) Anglais (Etats-Unis) 0x0409
0x1009 Anglais (Canada) Anglais (Etats-Unis) 0x0409

remplacement
0x2409 Anglais (Caraïbes) Anglais (Etats-Unis) 0x0409
0x1809 Anglais (Irlande) Anglais (Etats-Unis) 0x0409
0x2009 Anglais (Jamaïque) Anglais (Etats-Unis) 0x0409
0x1409 Anglais (Nouvelle- Anglais (Etats-Unis) 0x0409

Zélande)
0x3409 Anglais (République Anglais (Etats-Unis) 0x0409
des Philippines)
0x1C09 Anglais (Afrique du Anglais (Etats-Unis) 0x0409
Sud)
0x2C09 Anglais (Trinité-et- Anglais (Etats-Unis) 0x0409
Tobago)
0x0809 Anglais (Royaume-Uni) Anglais (Royaume- 0x0809
Uni)
0x0409 Anglais (Etats-Unis) Anglais (Etats-Unis) 0x0409
0x3009 Anglais (Zimbabwe) Anglais (Etats-Unis) 0x0409
0x000C Français Français (France) 0x040C

0x080C Français (Belgique) Français (France) 0x040C
0x0C0C Français (Canada) Français (France) 0x040C
0x040C Français (France) Français (France) 0x040C
0x140C Français (Luxembourg) Français (France) 0x040C
0x180C Français (Principauté Français (France) 0x040C
de Monaco)
0x100C Français (Suisse) Français (France) 0x040C
0x0007 Allemand Allemand 0x0407
(Allemagne)
0x0C07 Allemand (Autriche) Allemand 0x0407
(Allemagne)
0x0407 Allemand (Allemagne) Allemand 0x0407
(Allemagne)
128
remplacement
0x1407 Allemand Allemand 0x0407
(Liechtenstein) (Allemagne)
0x1007 Allemand (Luxembourg) Allemand 0x0407
(Allemagne)
0x0807 Allemand (Suisse) Allemand 0x0407
(Allemagne)
0x0010 Italien Italien (Italie) 0x0410
0x0410 Italien (Italie) Italien (Italie) 0x0410
0x810 Italien (Suisse) Italien (Italie) 0x0410
0x0011 Japonais Japonais (Japon) 0x0411
0x0411 Japonais (Japon) Japonais (Japon) 0x0411
0x0019 Russe Russe (Russie) 0x0419
0x0419 Russe (Russie) Russe (Russie) 0x0419
0x000A Espagnol Espagnol (Espagne) 0x0C0A
0x2C0A Espagnol (Argentine) Espagnol (Espagne) 0x0C0A
0x400A Espagnol (Bolivie) Espagnol (Espagne) 0x0C0A
0x340A Espagnol (Chili) Espagnol (Espagne) 0x0C0A
0x240A Espagnol (Colombie) Espagnol (Espagne) 0x0C0A
0x140A Espagnol (Costa Rica) Espagnol (Espagne) 0x0C0A
0x1C0A Espagnol (République Espagnol (Espagne) 0x0C0A
dominicaine)
0x300A Espagnol (Equateur) Espagnol (Espagne) 0x0C0A
0x440A Espagnol (El Salvador) Espagnol (Espagne) 0x0C0A
0x100A Espagnol (Guatemala) Espagnol (Espagne) 0x0C0A
0x480A Espagnol (Honduras) Espagnol (Espagne) 0x0C0A
0x080A Espagnol (Mexique) Espagnol (Espagne) 0x0C0A
0x4C0A Espagnol (Nicaragua) Espagnol (Espagne) 0x0C0A
0x180A Espagnol (Panama) Espagnol (Espagne) 0x0C0A
0x3C0A Espagnol (Paraguay) Espagnol (Espagne) 0x0C0A
0x280A Espagnol (Pérou) Espagnol (Espagne) 0x0C0A
0x500A Espagnol (Porto Rico) Espagnol (Espagne) 0x0C0A

remplacement
0x0C0A Espagnol (Espagne) Espagnol (Espagne) 0x0C0A
0x380A Espagnol (Uruguay) Espagnol (Espagne) 0x0C0A
0x200A Espagnol (Vénézuela) Espagnol (Espagne) 0x0C0A
Caractères pris en charge dans l'environnement de pré-

amorçage
Les caractères suivants sont pris en charge dans l'environnement de pré-amorçage Full Disk
Encryption :
130
Chapitre 7
Media Encryption
Check Point Media Encryption est une solution unique qui fournit un mécanisme
piloté par des stratégies pour sécuriser les informations des entreprises et assurer
l'intégrité des données. Le produit comprend les fonctions suivantes, définies par
votre administrateur système.
Media Encryption est un composant intégral du client Check Point Endpoint
Security. Le client Endpoint Security combine les protections du pare-feu, du
contrôle d'accès au réseau, du contrôle des programmes, d'un anti-programme
destructeur, de la sécurité des données et des accès à distance dans une
application unifiée dotée d'une interface utilisateur commune.
Dans cette section
Caractéristiques 131
Utilisation du client EPM 135
Utilisation du gestionnaire de supports amovibles 142
Utilisation du Gestionnaire de périphériques 143
Utilisation de la surveillance de la sécurité des programmes 143
Section Maintenance 144
Caractéristiques
Pour afficher ou modifier les paramètres de Media Encryption :
1. Cliquez avec le bouton droit sur l'icône de la barre d'état Paramètres.

Le client Check Point Endpoint Security s'ouvre.
2. Cliquez sur le Media Encryption dans la liste du volet.
131
Le volet Media Encryption s'ouvre. Les fonctionnalités qui ont été désactivées
par votre administrateur système s'affichent en gris.
Gestionnaire de stratégie
Le gestionnaire de stratégie de cryptage facultatif (EPM) vous autorise à crypter et
contrôler l'accès aux données sur un support amovible connecté aux ordinateurs
d'extrémité. Lors de l'accès aux périphériques de stockage amovibles, la plus
grande menace est la perte d'informations sensibles ou propriétaires. Le
Gestionnaire de stratégie de cryptage s'assure que les données peuvent être
seulement accédées par des personnes autorisées sur des systèmes autorisés.
Le gestionnaire de stratégie de cryptage assure le cryptage transparent des
périphériques de stockage de supports amovibles. Cette fonction comprend le
cryptage des supports CD ou DVD lors de l'utilisation du logiciel intégré sur les
stations de travail protégées de Media Encryption. Selon la façon dont le Media
Encryption est défini par votre administrateur système, vous pouvez accéder aux
données sur des périphériques cryptés même hors connexion. Vous pouvez aussi
avoir accès aux périphériques cryptés sur des ordinateurs qui n'ont pas le Media
Encryption installé, tant que le support a été crypté en le permettant et que vous
possédez le mot de passe pour le périphéique.
Gestionnaire de supports amovibles

Le Gestionnaire de supports amovibles contrôle l'accès à des supports amovibles
et à des périphériques tels que : disquettes, assistants numériques, appareils
photo numériques, disques durs externes (formatés en FAT), etc. Il contrôle
l'accès aux périphérique sur tous les ports disponibles y compris USB et Firewire.
Les lecteurs CD et DVD sont protégés en utilisant la fonctionalité de Gestionnaire
de périphérique, reportez-vous à la section Gestionnaire de périphérique voir
"Gestionnaire de périphériques" page 133.
Tous les supports amovibles (sauf les CD, les DVD et les disques durs formatés
NTFS) doivent être autorisés avant que l'accès ne soit permis. Le processus
d'autorisation d'un support amovible implique le stockage d'une signature
numérique dans le support lui-même. Cette signature doit être présente pour
pouvoir accéder au support amovible depuis un ordinateur terminal extrémité
protégé.
Votre administrateur système a contrôlé l'autorisation en définissant des règles de
Gestionnaire de supports amovibles dans une stratégie de Media Encryption
installée sur votre ordinateur. Les règles définissent les droits d'accès pour chaque
132
type de supports amovibles, y compris les conditions préalables requises telles que
l'analyse anti-virus et l'autorisation des données.
La signature numérique est automatiquement mise à jour quand vous déplacez les
données vers et à partir du périphérique quand vous êtes au sein de
l'environnement protégé. Si des changemnts du support sont permis hors de
l'organisation, le périphérique doit être autorisé à nouveau, c'est-à-dire que vous
devez entrer un mot de passe et un Media Encryption doit autoriser à nouveau le
périphérique avant qu'il puisse être autorisé à nouveau dans l'environnement
protégé.
Le Media Encryption s'assure que tous les périphériques ne possèdent pas de virus
et empêchent le cryptage non autorisé et le décryptage de données. Selon la
configuration, le Media Encryption peut vous empêcher d'avoir accès aux
périphériques enfichables à chaud et Plug-and-Play non autorisés.
Gestionnaire de périphériques
Le Media Encryption de gestion de périphériques contrôle l'accès aux
périphériques connectés aux ports variés sur votre ordinateur. Votre administrateur
système peut avoir défini des règles pour les ports suivants : IrDA, COM, USB,
Firewire et LPT. Ces ègles spécifient si vous avez les permissions en lecture seule,
lecture/écriture et exécution pour les supports amovibles connectés àun port sur
votre ordinateur, tels que : lecteurs CD/DVD, assistants numériques, périphériques
Bluetooth et disques durs externes. Le gestionnaire de périphériques peut aussi
vous empêcher complètement de connecter des périphériques non autorisés à des
ports de votre ordinateur.
Surveillance de la sécurité des programmes

La surveillance de la sécurité des programmes peut, selon la configuration défini
par votre administrateur système, vous empêcher de créer des types de fichier sur
votre ordinateur sur des lecteurs réseaux. La surveillance de la sécurité des
programmes peut aussi vous empêcher de modifier ou de supprimer certains
fichiers.
Les types de fichiers protégés sont spécifiés par leur extension et peuvent être
utilisés pour empêcher la modification de logiciels sans licence ou non autorisés
(.exe, .com, .dll, etc.), de types de fichiers potentiellement malveillants (.vbs, .scr,
etc.) ou simplement non désirés (.mpg, .mp3, .mov, .avi, etc.). Cette protection
s'applique à toutes les sources externes, y compris aux pièces jointes de la
messagerie et aux téléchargements sur Internet.
Chapter 7 Media Encryption 133

Mots de passe mis en cache
Normalement, quand votre ordinateur est connecté au réseau de l'entreprise, vous
pouvez avoir accès aux données sur des supports amovibles automatiquement
(c'est-à-dire, sans devoir entrer un mot de passe). Si vous essayez d'avoir accès
aux même données hors-ligne à prtir du réseau d'entreprise ou sur un ordinateur
qui n'a pas de Media Encryption installé, on peut vous demander d'entrer un mot
de passe.
Si la fonctionnalité de mise en cache des mots de passe est activée par votre
administrateur système, vous pouvez laisser le Media Encryption enregistrer le mot
de passe lors de la saisie d'un mot de passe pour la première fois. La prochaine
fois que vous avez accès au périphérique, vous pouvez choisir d'utiliser le mot de
passe enregistré au lieu de saisir le mot de passe à nouveau.
Lors de l'insertion d'un périphérique crypté dans votre ordinateur, la boîte de
dialogue Contrôle d'accès (Access Control) s'ouvre.
Pour enregistrer un mot de passe :
Sélectionnez les options Entrer un mot de passe (Enter a Password) et Mettre en cache
un mot de passe (Cache Password), et entrez un mot de passe qui corresponde à la
stratégie définie pour votre organisation et cliquez sur OK.
Pour utiliser un mot de passe déjà enregistré :
Sélectionnez l'option Utiliser le mot de passe mis en cache et cliquez sur OK. Vous
pouvez voir le texte "Accès complet" (Full Access) ou "Accès lecture seule" (Read
Only Access) entre parenthèses après Utiliser le mot de passe mis en cache (Use
Cached Password). Cela vous indique si le mot de passe enregistré vous donnera
un accès complet ou un accès en lecture seule sur le support crypté.
Pour modifier un mot de passe déjà enregistré :
Sélectionnez les options Entrer un mot de passe (Enter password) et Mettre en cache un
mot de passe (Cache Password), et entrez l'ancien mot de passe, puis cliquez sur OK.
Une nouvelle boîte de dialogue vous indique où définir le nouveau mot de passe.
Options grisées
Certaines options de la boîte de dialogue Mot de passe (Password) peuvent être
grisées pour les raisons suivantes :
Grisée : Motif :
"Utiliser le mot de passe en cache" La fonctionnalité de mots de passe mis en
et "Mettre en cache un mot de cache n'a pas été activée par votre
passe" administrateur système.
ou
Premier accès au support, aucun mot de passe
n'a été défini auparavant.
134
'Utiliser le mot de passe mis en Il n'y a pas de mot de passse mis en cache. Le
cache" (Use cached password) mot de passe peut ne pas avoir été enregistré
auparavant.
ou
Le mot de passe vient d'être changé. Lors d'un
changement de mot de passe, l'ancien mot de
passe a été effacé du cache et le nouveau n'a
pas encore été enregistré.
'Mettre en cache un mot de passe' Vous devez changer votre mot de passe. La
(Cache password) case à cocher Mettre en cache un mot de
passe est grisée puisqu'il n'est pas nécessaire
d'enregistrer l'ancien mot de passe.
Utilisation du client EPM

Cette section décrit le procssus de cryptage, de décryptage et la gestion du
support amovible.
Le Media Encryption sécurise le support amovible en cryptant tout ou partie de la
zone de stockage du support ou toutes les zones de stockage du support, puis met
vos informations dans cette zone cryptée. Pour crypter et gérer les supports
amovibles, vous pouvez utiliser le client EPM de stratégie.
Pour travailler avec le Client EPM, cliquez sur Ouvrir dans la section client EPM
dans la page Media Encryption.
La fenêtre Client EPM s'affiche et présente les périphériques de supports
amovibles connectés dans le volet gauche.
Cryptage de support
La stratégie dans votre organisation peut être configurée pour permettre l'accès
seulement au support crypté. Dans ce cas, un procesus de cryptage démarera dès
que vous insérez un support non crypté dans votre ordinateur protégé par le Media
Encryption. Vous pouvez aussi démarrer un processus de cryptage manuellement.
Dans les deux cas vous êtes guidé dans le processus de cryptage par un assistant.
Le processus crée une zone de stockage cryptée sur le périphérique, ce processus
est appelé importation.
Vous pouvez définir, en pourcentage, la proportion de périphérique à crypter. Si,
par exemeple, vous la définissez à 50%, le Media Encryption crée un conteneur
crypté qui est la moitié de la taille de l'espace disque total. Quand vous importez
et cryptez des fichiers, les fichiers sont toujours placés dans ce conteneur.
Remarque : si vous définissez une zone qui est plus petite que les
données que vous voulez y mettre, le cryptage échouera.
Pour crypter un support :
1. Démarrez l'assistant en insérant un support amvible ou un CD/DVD dans votre

ordinateur, ou cliquez sur Importation (Import) dans la fenêtre du Client EPM si
l'assistant ne démarre pas automatiquement. Cliquez sur Suivant (Next).
Important Il n'est pas conseillé de crypter un support amovible qui
peut être utilisé dans des périphériques externes non informatiques
tels que : les appareils numériques, les lecteurs de MP3, etc. Dans
de tels cas, un message s'affiche et le support reçoit des droits en
lecture seule. Si le processus de cryptage a commencé, laissez-le se
terminer puis décryptez le support en cliquant sur Export.
2. Dans la fenêtre Media Properties (Propriétés du support), entrez le pourcentage du
support à crypter. Cliquez sur Suivant (Next).
Remarque Pour les CD ou les DVD, il n'est pas possible de crypter
seulement une partie du disque, donc ce paramètre est grisé.
3. Dans la fenêtre Media Owner Information (Informations sur le propriétaire du support),
définissez le propriétaire du périphérique de support en sélectionnant l'une des
options suivantes :
• Le propriétaire du support sera attribué lors de la première utilisation (Media
owner will be assigned on first use ) : Le premier utilisateur qui insère le
support dans un ordinateur extrémité terminal en devient
automatiquement le propriétaire.
• Attribuer le support à un utilisateur (Assign media to a user ) : Attribuez la
propriété à l'utilisateur qui effectue le cryptage ou cliquez sur Parcourir
pour sélectionner un utilisateur du domaine actif.
Remarque Lors du cryptage de CD ou de DVD, seule l'option Attribuer le
support à un utilisateur (Assign media to a user) est disponible.
5. Dans la fenêtre Password Protection (Protection par mot de passe), entrez et
confirmez le mot de passe d'accès. Les mots de passe se conforment aux
règles définies par votre système administrateur. Cliquez sur Suivant (Next).
Le mot de passe permet aux autres utilisateurs, qui n'ont pas le Media
Encryption installé, d'accéder aux informations sur le périphérique ou le
disque. Si vous choisissez de ne pas définir de mot de passe ici, le disque sera
accessible seulement lorsqu'il est en ligne sur le réseau courant (ou un autre
réseau défini par votre système administrateur) et l'accès automatique au
support est activé par votre système administrateur.
136
6. Si vous cryptez un CD ou un DVD, une fenêtre affiche l'endroit où vous pouvez
ajouter et supprimer les fichiers qui seront importés vers la zone cryptée sur le
disque.
a. Montez d'un niveau dans la structure du dossier.
b. Ajoutez des fichiers ou ajoutez un dossier entier à graver sur le
disque.
c. Sélectionnez et supprimez tout fichier ou dossier que vous ne
souhaitez pas inclure sur le disque. Cliquez sur Suivant (Next). Les
fichiers seront importés, et le disque sera gravé.
d. Un message affiche le moment où le processus de gravure sera
terminé.
7. La fenêtre Progression (Progress) présente la progression du cryptage. Selon le
type de support et la quantité de données, ce processus peut être long.
Important Ne retirez en AUCUN cas le périphérique de stockage durant
le processus de cryptage. Un tel geste détruirait vos données et
endommagerait le support.
8. Lorsque la fenêtre Terminer s'affiche, cliquez sur Terminer (Finish) pour
compléter le processus. La fenêtre Client EPM (EPM Client) réapparaît.
Notez que l'état du support crypté indique à présent Crypté (Encrypted) et que le
bouton Importer n'est plus disponible.
Les informations suivantes s'affichent pour le périphérique sélectionné :
• Etat EPM (EPM Status): Etat actuel du périphérique crypté sélectionné
• Media Size (Taille du support) : Taille du périphérique sélectionné.
• Date de création (Date created) : Date à laquelle le lecteur crypté
sélectionné a été créé.
• Date d'accès (Date Accessed) : Date du dernier accès au lecteur crypté
sélectionné.
• Propriétaire(Owner) : ID de l'utilisateur qui a créé le périphérique crypté.
Remarque il est recommandé de toujours utiliser la fonctionnalité
‘Safely remove hardware (Supprimer le matériel en toute sécurité)’ pour
déconncter le support crypté de votre ordinateur pour l'empêcher
d'être corrompu. Cliquez sur l'icône de suppression de matériel en
toute sécurité dans la barre d'état et sélctionnez le support à
déconnecter.

Cryptage des CD et DVD
Si votre stratégie l'autorise, Media Encryption peut crypter des CD et des DVD
dans les limites suivantes :
• Les CD peuvent être cryptés sur Windows XP et Windows Vista.

• Les DVD peuvent être cryptés sur Windows Vista.
• Le cryptage peut être réalisé seulement sur des disques RW et des disques
vierges R/RW.
• Une fois le CD/DVD gravé, il n'est plus possible d'ajouter ou de supprimer des
données. De tels disques peuvent seulement être effacés entièrement.
Le processus d'importation et d'exportation de fichiers vers les CD/DVD est le
même que pour les autres supports amovibles décrits dans Cryptage de supports
voir "Cryptage de support" page 135. Les deux différences entre les CD et les DVD
et d'autres supports amovibles sont les suivantes : on ne peut crypter qu'une partie
d'un CD ou un DVD et qu'on ne peut pas ajouter ni supprimer des fichiers une fois
le disque gravé. Pour supprimer des informations sur un disque réinscriptible,
vous devez utiliser la fonction Effacer (Erase) pour l'effacer entièrement.
Accès à un support crypté

Lors de la protection de l'information, le Media Encryption crée une zone cryptée
sur votre périphérique amovible où toutes les données sont placées. Pour accéder
aux données d'une zone protégée, vous pouvez choisir entre deux solutions :
décrypter ou exporter les informations. Normalement, votre stratégie de Media
Encryption ne permet qu'au propriétaire ou à un autre utilisateur autorisé
d'effectuer le décryptage.
Décryptage :
le client de cryptage de support Media Encryption lit les informations du support
mais les informations restent dans la zone protégée. C'est ce qui arrive
habituellement lorsque vous accédez au support de votre ordinateur lorsqu'il est
connecté au réseau de votre société. Si vous n'êtes pas connecté au réseau ou
essayez d'accéder au support à partir d'un ordinateur qui n'a pas de Media
Encryption installé, vous pouvez avoir à entrer un mot de passe.
Exportation :
l'exportation signifie que le Media Encryption extrait les données de la zone
cryptée et supprime l'espace crypté. Le support ne sera plus crypté à partir de
maintenant.
138
Pour décrypter le support amovible :
1. Insérez votre support crypté dans votre ordinateur.

2. Si vous n'avez pas d'accès automatique au support, vous pouvez avoir besoin
d'entrer un mot de passe. Dans la fenêtre Mot de passe (Password), entrez le mot
de passe approprié ou utilisez un mot de passe enregistré. Cliquez sur OK.
3. Les fichiers sont maintenant accessibles. Ils ne sont pas cryptés, par
conséquent il est possible de déplacer les fichiers du support avers votre
disque dur en cliquant et déplaçant ou en copiant et en collant.
Pour exporter des informations à partir du support amovible :
1. Insérez votre support crypté dans votre ordinateur.

2. Ouvrez le Client EPM et cliquez sur Exporter. L'assistant EPM Media Export
(Exportation de média EPM) s'ouvre.
3. Si vous n'avez pas d'accès automatique au support, vous pouvez avoir besoin
d'entrer un mot de passe. Dans la fenêtre Mot de passe (Password), entrez le mot
de passe approprié ou utilisez un mot de passe enregistré. Cliquez sur OK.
4. Cliquez sur Terminer (Finish) pour terminer le processus. Le décryptage peut
prendre du temps selon la taille et le type de périphérique. Quand le processus
de décryptage est terminé, la zone crytée a été décryptée et supprimée. Les
données sur le support sont maintenant décryptées et non protégées.
Important Ne retirez en AUCUN cas, en aucun cas le périphérique de
stockage durant le processus de cryptage. Un tel geste détruirait vos
données et endommagerait le support.
Accès au support crypté à partir d'ordinateurs sans Media

Encryption
Si votre profil permet l'accès aux informations cryptées à partir d'ordinateurs qui
n'ont pas de Media Encryption, un fichier unlock.exe est copié automatiquement
copié dans le dossier racine du support amovible durant le processus de cryptage.
Remarque Vous povez définir un mot de passe durant le processus de
cryptage pour pouvoir accéder aux informations à partir d'ordinateur
qui n'ont pas de Media Encryption.

Pour décrypter le support amovible lorsque vous êtes hors-ligne :
1. Insérez le périphérique crypté dans une machine qui n'exécute pas le Media
Encryption. Les fichiers suivants sont affichés : dvrem.epm, autorun.exe et
unlock.exe.
Dvrem.epm est le stockage cryté, autorun.exe exécute le fichier non verouillé et
unlock.exe est le fichier qui décrypte le sockage crypté.
2. Por accéder aux données cryptées, double-cliquez sur le fichier unlock.exe (il
s'auto-exécutera sur la plupart des systèmes). Entrez le mot de passe d'accès.
3. La fenêtre du navigateur du gestionnaire de stratégie de cryptage s'ouvre, qui
affiche le contenu du périphérique crypté.
4. Il y a deux méthodes pour accéder aux données du périphérique crypté :
l'extraction de fichiers vers le disque dur local ou vers un emplacement
sécurisé sur le périphérique même. Se reporter à la description de ces deux
méthodes ci-dessous.
Si vous utilisez un mot de passe d'accès complet, il est maintenant possible de
glisser et déplacer ou copier et coller des fichiers vers et à partir du
périphérique crypté. Si vous avez utilisé un mot de passe en lecture seule, vous
pouvez seulement lire les informations sur le périphérique mais pas déplacer
les fichiers vers ou à partir du périphérique.
Extraction de fichiers vers un disque dur local

Vous pouvez extraire des fichiers et des dossiers à partir de la zone cryptée et les
enregistrer sur un disque dur local ou un lecteur réseau.
Pour extraire des fichiers vers votre disque dur ou lecteur réseau :
1. Sélectionnez les fichiers ou dossiers que vous voulez décrypter et enregistrer

sur un disque dur local en utilisant les touches Ctrl et Shift , puis cliquez du
bouton droit et sélectionner Extraire (Extract).
2. Sélectionnez l'emplacement où vous souhaitez que les fichiers soient
enregistrés.
Les fichiers sontmaintenant cryptés et enregistrés en texte clair à
l'emplacement coisi.
3. Qund vous choisissez le navigateur EPM, on vous demande si vous souhaitez
supprimer de façon sécurisée tous les fichiers extraits. En cliquant sur Oui,
140
tous les fichiers nouveaux extraits seront supprimés de façon sécurisée, ne
laissant ainsi aucune trace d'information personnelle.
Extraction de fichiers vers un emplacement temporaire sécurisé
Pour extraire des fichiers vers un emplacement sécurisé :
• Double-cliquez sur le fichier dans le navigateur du lecteur.

Le navigateur EPM décrypte de faon transparente le fichier vers un
emplacement temporaire et ouvre automatiquement le fichier avec l'application
associée.
Pour afficher un fichier en mode sécurisé :
• Double-cliquez sur le fichier d'installation.

Si vous effectuez des modifications sur le fichier décrypté, une invite s'affiche,
qui vous demande si le fichier crypté dans le périphérique doit être mis à jour.
Cliquez sur Oui si vous souhaitez enregistrer le fichier.
Effacement des CD et des DVD

Après qu'un CD ou un DVD est gravé, il n'y a aucune façon de supprimer un seul
fichier du disque. La seule option est d'effacer toutes les informations sur le
disque.
Pour effacer un disque, cliquez sur Effacer (Erase) dans l'EPM.
Modification du mot de passe du périphérique crypté

Pour modifier le mot de passe d'accès au support amovible d'un périphérique crypté :
1. sélectionnez le périphérique requis dans le volet gauche de la fenêtre Client

EPM (EPM Client).
2. Cliquez sur Set (Définir). La fenêtre Mot de passe (Password) s'ouvre.
3. Saisissez l'ancien mot de passe et cliquez sur OK.
Si vous saisissez un mot de passe d'Accès total, vous avez le droit de changer
un mot de passe en accès total et un mot de passe en lecture seule. Si vous

saisissez un mot de passe en lecture seule, vous avez seulement le droit de
changer le mot de passe en lecture seule.
Remarque - les mots de passe en accès total et en lecture seule ne
peuvent être identiques.
4. Saisissez et confirmez le nouveau mot de passe.
Remarque - le mot de passe doit satisfaire les critères définis par
l'administrateur auxquels on peut avoir accès en cliquant sur Stratégie
Remarque.
5. Cliquez sur OK.
Utilisation du gestionnaire de supports amovibles

Vous pouvez contrôler l'accès à un support amovible et à des périphériques tels
que : disquettes, lecteurs de disques externes (formatés FAT), assistants
numériques, mémoire flash, appareils photosnumériques, etc.
Lorsque le Gestionnaire de supports amovibles est activé, l'accès à tous les
supports amovibles (sauf les CD et les DVD) doit être autorisé.
Autorisation des supports amovibles

Si la stratégie permet aux utilisateurs d'autoriser les supports amovibles, une
alerte s'affiche :
Pour autoriser le périphérique de support amovible depuis cette fenêtre, cliquez sur
Authorize (Autoriser).
1. Cliquez sur Autoriser (Authorize).

L'assistant d'importation de support s'ouvre, ce qui vous guidera à travers les
étapes d'autorisation.
2. Cliquez sur Ignorer (Ignore) pour fermer cette alerte et le support amovible n'est
alors pas accessible.
Si c'est autorisé,vous pouvez aussi autoriser des supports amovbibles en cliquant
sur Analyser (Scan) dans la section (Gestionnaire de supports amovibles (Removable
Media Manager) dans le volet de Media Encryption. Ceci ouvre l'Assistant
d'importation du support (Media Import Wizard).
Pour autoriser le support amovible avec l'Assistant d'importation du support :
1. Dans la fenêtre de bienvenue, cliquez sur Suivant (Next) pour continuer.
142
Dans la fenêtre du système anti-virus, tous les systèmes anti-virus sur votre
ordinateur sont sélectionnés ou vous pouvez avoir le droit de sélectionner des
systèmes anti-virus vous-même. Les systèmes anti-virus s'assurent que le
support amovible n'a pas de virus, et qu'il contient seulement des types de
fichiers autorisés.
2. Si la stratégie vous permet de sélectionner des systèmes anti-virus,
sélectionnez les systèmes anti-virus que vous souhaitez exécuter.
Si la stratégie vous permet d'ignorer l'analyse, c'est à-dire autoriser le support
amovible avant de l'analyser en premier, vous pouvez sélectionner l'option Skip
Scan (Ignorer l'analyse). Cette option n'est pas conseillée.
Si une analyse de virus était réalisée, une fenêtre s'afficherait disant que le
support amovible a passé l'analyse ou pas. Si l'analyse a échoué, l'accès au
support amovible est bloqué.
4. Lorsque la fenêtre Terminer s'affiche, cliquez sur Terminer (Finish).
Utilisation du Gestionnaire de périphériques

Le Media Encryption de gestion de périphérique contrôle l'accès aux périphériques
connectés aux ports variés sur votre ordinateur. Une stratégie Media Encryption
spécifie à quels périphériques vous pouvez accéder et quel type d'accès est permis
(Lecture seule, Lecture/Ecriture et Exécuter).
Les options utilisateur du gestionnaire de périphériques sont situées dans la
section Gestionnaire de périphériques de la page Media Encryption.
Pour afficher les règles de stratégie pour des périphériques, cliquez sur Affichage
(View) .
Lorsque les règles du Gestionnaire de périphériques bloquent l'accès à un
périphérique ou un port, une alerte s'affiche.
Utilisation de la surveillance de la sécurité des

programmes
La surveillance de sécurité du programme peut vous empêcher de modifier les
types de fichiers de n'importe quelle façon sur votre ordinateur ou sur un lecteur
de réseau. Reportez-vous à la surveillance de sécurité de programme pour plus
d'informations sur la surveillance de sécurité de programme.
Lorsqu'une règle de la Surveillance de la sécurité des programmes bloque l'accès à
un fichier, un message s'affiche.
Section Maintenance
La section de page maintenance de Media Encryption vous permet pour mettre à
jour la stratégie de Media Encryption et pour tester la connectivité au serveur de
Media Encryption.
Pour mettre à jour la stratégie de Media Encryption, cliquez sur Update (Mise à jour).
Pour tester la connectivité réseau du serveur de Media Encryption, cliquez sur
Test. Cette fonction se révèle très utile pour diagnostiquer les problèmes de
connexion client/serveur.
144
Chapitre 8
WebCheck
WebCheck fournit une protection complète contre différentes menaces Internet
concernant votre ordinateur et votre réseau d'entreprise.
Si votre administrateur a configuré votre stratégie d'Endpoint Security pour
permettre WebCheck, cette fonctionnalité est incluse dans votre client Endpoint
Security.
Dans cette section
Comprendre WebCheck 145

Avrtissements de site douteux 147
Comprendre WebCheck
WebCheck ajoute une couche de protection contre les menaces du Web à la
fonctionnalité d'Anti-virus et de pare-feu Endpoint Security, ce qui protège contre
les menaces basées sur des ordinateurs.
Protection de WebCheck
Votre administrateur détermine quels paramètres de WebCheck sont déployés pour
protéger votre ordinateur contre des menaces basées sur le Web. La liste suivante
explique les fonctionnalités de WebCheck.
• Visitor Mode (Mode Visiteur) : Votre navigateur s'ouvre en mode Entreprise

automatiquement quand vous allez sur votre site Web ou des sites Web que
votre administrateur estime dignes de confiance. Les fonctionnalités de
WebCheck sont inactives car ces sites Web n'ont pas entraîné les mêmes
risques qu'Internet en général. Votre administrateur configure les sites qui
peuvent être ouverts en toute sécurité en mode entreprise..
145
• Virtualisation (Virtualization) : La navigation détecte des logiciels destructeurs ou
d'autres programmes indésirables qui sont téléchargés dans votre ordinateur
sans votre permission ou votre connaissance dans un système de fichiers
virtuel et qui les bloquent de façon à ce qu'ils n'atteignent jamais les disques
durs de votre ordinateur réel.
• Anti-keylogger: La WebCheck crypte les frappes, si bien que toute information
qu'une application d'enregistrement clavier puisse obtenir est inintelligible.
WebCheck bloque aussi les informations système que les programmes de
contenu d'écran utilisent.
• Anti-phishing (signature) : WebCheck surveille les sites espions et de phishing
découverts en dernier. Si vous allez sur l'un de ces sites, la navigation sécuisée
interrompt votre navigation avec un avertissement, si bien que vous pouvez
quitter immédiatement le site.
• Anti-phishing (heuristiques) : WebCheck utilise également des heuristiques
avancées (qui recherchent certaines caractéristiques connues des sites
frauduleux) pour détecter des sites de phishing créés mêmes quelques
secondes auparavant.
• Bloquer les sites Web de logiciels espions : WebCheck bloque les sites Web qui
s'affichent dans sa base de données de sites de distribution de logiciels
espions reconnus.
Mode Internet et mode entreprise

WebCheck s'effectue selon deux modes : Mode Internet et Mode entreprise.
WebCheck détecte quand vous passez d'un site Web interne à un site Internet
externe (et réciproquement) et ouvre un nouveau navigateur dans le mode
approprié.
Mode Internet
Votre navigateur s'ouvre en mode Internet automatiquement quand vous visitez des
sites Web hors de votre réseau entreprise. Toutes les fonctionnalités de protection
de WebCheck configurées sur votre ordinateur sont actives.
Quand vous naviguez en mode Internet, la navigaion sécurisée crée une zone
tmporaire, isolée dans lquelle les logiciels destructeurs sont détectés et supprimés
avant qu'ils n'atteignent votre ordinateur réel.
Lorsque vous choisissez de télécharger un fichier, celui-ci est autorisé à franchir le
bouclier de virtualisation et à s'enregistrer sur votre ordinateur. Pour cette raison,
146
d'autes fonctionnalités Endpoint Security sont conçues pour détecter des sites
frauduleux.
Mode entreprise
Votre navigateur s'ouvre en mode entreprise automatiquement quand vous allez sur
votre site Web d'entreprise. La plupart des fonctionnalités de WebCheck sont
inactives car votre site Web d'entreprise n'engendre pas le même risque que les
sites Web sur Internet.
Modes de commutation
Le mode courant est toujours affiché dans la barre de titre de votre navigateur.
Quand vous passez d'un site Web interne (mode entreprise) vers un site Web
externe (mode Internet) ou réciproquement, un message s'affiche pour vous dire
que vous changez de modes. Cliquez sur OK pour reconnaître le message.
Si vous souhaitez que WebCheck commute les modes sans notification,
sélectionnez "(Pas de demande. Ouvrir automatiquement les sites en mode de navigation
correcte (Don’t ask me. Open sites in the correct browsing mode automatically) " quand le
message de notification s'affiche.
Avrtissements de site douteux

Lorsque WebCheck détecte un problème de sécurité avec le site Web que vous
visitez, il vous avertit immédiatement du danger imminent si bien que vous pouvez
quitter avant que quelque chose n'arrive.
Par exemple, si un site est connu comme étant un site de phishing ou un site
diffusant des logiciels espions, la barre d'outils de WebCheck prend une couleur
rouge et un avertissement interrompt votre navigation. Pour les sites douteux mais
non confirmés comme dangereux, vous visualisez un message Attention sous la
barre d'outils.
Cliquez sur le lien En apprendre davantage (Learn more) dans le boîte de dialogue
d'avertisement pour obtenir des informations liées à la sécurité concernant le site :
par exemple, s'il est connu comme étant un distributeur connu de phishing ou de
logiciel espion, la date de création du site, et où le site est hébergé.
Bannière jaune Attention

Si vous accédez à un site Web ne disposant pas de certificats de sécurité
adéquats, un message Attention de couleur jaune apparaît sous la barre d'outils.
Chapter 8 WebCheck 147
Ce site n'est peut-être pas un site malveillant. Il se peut qu'il soit nouveau ou que
son auteur ait un budget limité, et qu'il n'ait donc pas obtenu un certificat de
sécurité fort (certificat SSL). Néanmoins, le manque de sécurité du site signifie
que les données peuvent être interceptées, par conséquent évitez d'entrer des
données personnelles.
MOYEN pour l'entrée de données ou le
Niveau de risque téléchargement de fichiers depuis ce site.
pour un site Web
Avec WebCheck activée, vous pouvez visualiser le site
Recommandation mais n'y entrez aucune information personnelle et ne
téléchargez pas de fichiers à partir de celui-ci.
Cliquez sur le lien En savoir davantage (Read more) dans
Pourquoi ce site est- la boîte de dialogue d'avertissement pour obtenir des
il douteux ? informations liées à la sécurité concernant le site.
Avertissement en rouge "risque de phishing" ("Might Be

Phishing")
Si vous accédez à un site Web où la détection heuristique de WebCheck trouve des
caractéristiques associées au phishing, votre navigation est interrompue par un
message en rouge "risque de site de phishing" (might be a pishing site).
Bien que le site ait des caractéristiques communes au phishing, il n'a pas été
signalé officiellement comme site de phishing. Ce peut être un nouveau site de
phishing, non encore découvert. IDans le cas contraire, il peut être non dangereux.
Envisagez les recommandations suivantes pour vous aider à décider s'il faut faire
confiance à ce site.
Table 0-25 Avertissement en rouge "risque de phishing" (Might Be Phishing)
148
MOYEN à HAUT pour l'entrée de données ou le
Niveau de risque pour téléchargement de fichiers depuis ce site.
un site Web
Ce site n'est peut-être pas un site de phishing, mais
Recommandations vous vous recommandons de cliquer sur Quitter (Go back)
si vous répondez par l'affirmative à l'une des questions
suivantes :
Avez-vous accédé à ce site en cliquant sur un lien dans
un courrier électronique ?
L'adresse commence-t-elle par http au lieu de https ?
((Les sites requérant des données personnelles doivent
être sécurisés par un cryptage et une authentification
supplémentaires, indiqués par https.)
Constatez-vous une faute de frappe dans l'adresse du
site, comme "yahooo" au lieu de "yahoo" ?
Cliquez sur le lien En savoir davantage (Learn more) dans
la boîte de dialogue d'avertissement pour obtenir des
informations liées à la sécurité concernant le site. La
boîte de dialogue d'info du site Web qui s'ouvre
indique-t-il que la date de création du site est très
récente ou que le site est hébergé dans un pays
exotique ?
Ceci signifie que la détection heuristique a détecté
Pourquoi ce site est-il certaines caractéristiques de phishing, mais que le site
douteux ? n'est pas signalé officiellement comme un site de
phishing.
Alertes Avertissement en rouge

Si vous naviguez vers un site connu pour être dangereux, WebCheck interrompt
votre navigation avec un avertissement, et la barre d'outils de WebCheck devient
rouge.
Table 0-26 Avertissement en rouge
Chapter 8 WebCheck 149

TRES ELEVE
Niveau de risque
pour un site Web
Si c'est un site de phishing, quittez ce site immédiatement
Recommandation pour protéger votre ordinateur et votre réseau.
S'il s'agit d'un site de diffusion de logiciels espions,
WebCheck vous protège tant que vous n'entrez aucune
donnée ni ne téléchargez rien depuis ce site.
Cliquez sur le bouton Quitter (Go Back) dans le message
pour quitter ce site en toute sécurité.
Cliquez sur le lien En savoir davantage (Learn more) dans la
Autres boîte de dialogue d'avertissement pour obtenir des
informations... informations liées à la sécurité concernant le site.
150
Chapitre 9
Protection des courriers
électroniques
Les vers, les virus, et les autres menaces utilisent souvent les e-mails pour se
propager d'ordinateur en ordinateur. MailSafe protège vos contacts en empêchant
vos e-mails de propager des logiciels destructeurs.
MailSafe protège uniquement les messages du protocole SMTP.
Dans cette section
Protection MailSafe en sortie 151

Activation de la protection MailSafe en sortie 152
Personnalisation de la protection MailSafe en sortie 152
Protection MailSafe en sortie

La protection MailSafe en sortie vous avertit si votre programme de messagerie
tente d'envoyer un nombre anormalement élevé de messages (plus de cinq en
moins de deux secondes), ou tente d'envoyer un message à un nombre
anormalement élevé de destinataires (plus de cinquante). Cela évite que votre
ordinateur envoie des pièces jointes infectées à d'autres personnes. De plus, la
protection MailSafe en sortie vérifie que le programme qui tente d'envoyer le
message e-mail est autorisé à le faire.
La protection MailSafe en sortie fonctionne avec les applications de messagerie
suivantes :
• Eudora
• Outlook
151
• Outlook Express
• Netscape Mail
• Pegasus Mail
• Juno
Activation de la protection MailSafe en sortie

Pour votre sécurité, la protection de la messagerie en sortie est activée par défaut.
Lorsque la protection en sortie est activée, les paramètres MailSafe en sortie
s'appliquent à tous les programmes autorisés à envoyer du courrier.
Pour activer la protection e-mail en sortie
1. Sélectionnez Protection des courriers électroniques|Général.

2. Dans la zone Protection e-mail en sortie, sélectionnez Activé.
Personnalisation de la protection MailSafe en

sortie
Vous pouvez choisir les périodes d'activation de MailSafe. Vous pouvez allonger la
période, augmenter le nombre de messages et de destinataires autorisés, ou
indiquer les adresses électroniques autorisées à envoyer des messages depuis
votre ordinateur.
Activation de MailSafe par programme

Lorsque la protection MailSafe en sortie est activée, elle est activée pour tous les
programmes autorisés à envoyer du courrier électronique.
Vous pouvez personnaliser la protection MailSafe en sortie en sélectionnant les
programmes pour lesquels vous voulez l'activer.
Pour plus d'informations sur la configuration des autorisations d'un programme,
voir Configuration d'autorisations spécifiques voir "Définition d'autorisations
spécifiques" page 99.
Pour activer la protection MailSafe en sortie pour un programme :
152
2. Dans la colonne Programmes, cliquez avec le bouton droit sur le nom d'un
programme, puis sélectionnez Options.
3. Ouvrez l'onglet Sécurité.
4. Dans la zone Protection des e-mails sortants, cochez la case Activer la protection
des courriers électroniques sortants pour ce programme.
5. Cliquez sur OK.
Configuration des options MailSafe

Pour autoriser les messages e-mail légitimes mais susceptibles d'activer MailSafe
et donc de ne pas être envoyés (nombre important de destinataires ou d'envois),
personnalisez les paramètres de protection MailSafe en sortie en fonction de vos
besoins.
Pour personnaliser la protection MailSafe en sortie :
1. Sélectionnez Protection des courriers électroniques|Général.

La fenêtre Protection avancée du courrier électronique s'affiche.
Remarque : La protection des courriers électroniques en sortie doit être activée
pour que vous puissiez accéder à la boîte de dialogue Avancée.
3. Dans la zone Afficher les alertes de protection des courriers électroniques sortants
lorsque :, choisissez vos paramètres.
Table 0-27 Courrier électronique en sortie
Trop de courriers Le client Endpoint Security affiche une alerte de
électroniques sont protection MailSafe en sortie lorsque votre
envoyés ordinateur tente d'envoyer un nombre de messages
simultanément supérieur au nombre autorisé durant la période
spécifiée.
Un message a trop Le client Endpoint Security affiche une alerte de
de destinataires protection MailSafe en sortie lorsque votre
ordinateur tente d'envoyer un message e-mail à un
nombre de destinataires supérieur au nombre
défini.
Chapter 9 Protection des courriers électroniques 153

Si l'adresse de Endpoint Security affiche une alerte de protection
l'expéditeur n'est MailSafe en sortie lorsque votre ordinateur tente
pas dans cette liste d'envoyer un message e-mail dont l'expéditeur
(adresse qui figure dans le champ De :) n'apparaît
pas dans la liste. Si votre administrateur vous a
configuré un compte utilisateur temporaire, le
cryptage total de disque vous invite à utiliser votre
nom d'utilisateur habituel et à définir un nouveau
mot de passe.
154
Chapitre 10
Stratégies
La stratégie d'application permet au client d'Endpoint Security de protéger votre
réseau d'entreprise en mettant en application une stratégie créée par votre
administrateur de réseau. La stratégie d'entreprise est imposée lorsque le client
est utilisé dans un environnement Serveur Endpoint Security. Avec Endpoint
Security, votre administrateur peut envoyer des stratégies d'entreprise aux
utilisateurs des ordinateurs sur le réseau local d'entreprise. Ainsi, votre entreprise
est assurée que chaque utilisateur du réseau est protégé de la façon adéquate
contre les menaces liées à Internet.
Dans cette section
Types de Stratégie 155

Fonctionnement de l'arbitrage des stratégies 156
Affichage des Stratégies disponibles 156
Utilisation du volet Stratégies 156
Types de Stratégie
Stratégie de sécurité personnelle : paramètres que vous définissez pour le pare-feu, le
contrôle des programmes, la protection des messages e-mail et d'autres fonctions
du client Endpoint Security.
Stratégie de sécurité d'entreprise : paramètres définis pour les mêmes fonctions de
sécurité, mais créés par l'administrateur de la sécurité de votre entreprise et
attribués aux utilisateurs du réseau de l'entreprise.
stratégie déconnectée : créée par l'administrateur de la sécurité, cette stratégie
applique certains paramètres de sécurité d'entreprise, même lorsque votre
ordinateur n'est pas connecté au réseau de l'entreprise.
Un administrateur de la sécurité envoie les stratégies de l'entreprise aux clients
Endpoint Security sur le réseau de l'entreprise.
155
Si vous ne respectez pas la stratégie de l'entreprise, votre ordinateur peut imposer
des règles strictes limitant votre accès. Si c'est le cas, vous serez redirigé vers une
page Web fournissant des instructions pour mettre votre ordinateur en état de
conformité. Pour obtenir de l'aide, veuillez contacter votre administrateur système.
Fonctionnement de l'arbitrage des stratégies

Votre stratégie personnelle est active si le client joue le rôle d'arbitre ou si aucune
stratégie d'entreprise n'est appliquée. Une stratégie d'entreprise peut être active
ou inactive, en fonction de la situation.
Si votre stratégie personnelle et la stratégie d'entreprise sont actives en même
temps, Endpoint Security joue le rôle d'arbitre entre les deux stratégies : la
stratégie la plus restrictive est appliquée. Par exemple, si dans votre stratégie
personnelle le niveau de sécurité Moyen est attribué à la zone Internet et dans la
stratégie d'entreprise active le niveau est Elevé, le niveau appliqué est Elevé.
En raison de l'arbitrage des stratégies, il peut arriver qu'une stratégie d'entreprise
active bloque un trafic que votre stratégie personnelle autorise, et inversement. Si
vous pensez que Endpoint Security bloque un trafic de données fiable qui devrait
être autorisé, contactez l'administrateur système.
Affichage des Stratégies disponibles

Selon la manière dont votre administrateur a configuré vos paramètres de
stratégie, vous pouvez voir uniquement votre stratégie personnelle, votre stratégie
d'entreprise et les déconnectées, ou visualiser les mises à jour apportées à votre
stratégie d'entreprise.
Utilisation du volet Stratégies

Utilisez le volet Stratégies pour :
• Voir quelles stratégies d'entreprise sont installées, laquelle est active et la date
de la dernière mise à jour de la stratégie.
• Accéder à une version texte des paramètres de chaque stratégie d'entreprise ou
stratégie personnelle.
Table 0-28 Informations du volet Stratégie
Nom de la Nom de la stratégie.
Stratégie Stratégie personnelle> : paramètres que vous avez
définis pour le client via la Page principale Endpoint
Security.
Les autres noms de stratégie se rapportent aux
156
stratégies d'entreprise que l'administrateur a installées
sur votre ordinateur.
Activé Cette colonne indique si la stratégie répertoriée est
actuellement active.
La Stratégie personnelle est toujours active.
L'administrateur peut activer ou désactiver une
stratégie d'entreprise.
Si votre stratégie personnelle et la stratégie
d'entreprise sont actives simultanément, Endpoint
Security sert d'arbitre entre les deux stratégies actives.
Dernier contact Pour les stratégies de sécurité d'entreprise, cette
serveur colonne indique la date et l'heure de la première
connexion du client sur un serveur Endpoint Security,
pour imposer la stratégie d'entreprise de la liste.
Si la connexion au serveur ne fonctionne pas, ou si le
client n'impose pas une stratégie d'entreprise, cette
colonne indique Déconnectée.
Auteur L'administrateur qui a créé et attribué la stratégie de
sécurité. Dans le cas de la stratégie personnelle, la
colonne indique S.O.
Zone Détails de Détails de la stratégie actuellement sélectionnée dans
l'entrée la liste.
Chapter 10 Stratégies 157

Chapitre 11
Alertes et historiques
Vous pouvez être prévenu(e) chaque fois que le client effectue une action pour
vous protéger, ou être prévenu(e) uniquement lorsque l'alerte est probablement
provoquée par une activité malveillante. Vous pouvez consigner toutes les alertes,
uniquement les alertes de niveau élevé, ou seulement les alertes liées à certains
types de trafic que vous spécifiez.
Dans cette section
Fonctionnement des alertes et des historiques 159

Configuration des options de base des alertes et des historiques 161
Afficher ou masquer les alertes 162
Configuration des options d'historique des événements et des programmes 163
Fonctionnement des alertes et des historiques

Les fonctionnalités de consignation et d'alerte du client vous indiquent ce qui se
passe sur votre ordinateur, sans être trop intrusives. Elles vous permettent d'y
revenir à tout moment pour consulter les alertes passées.
A propos des alertes

Le client Endpoint Security génère deux types d'alertes : entreprise ou personnel,
ce qui correspond à des paramètres ou règles contenus dans la stratégie active.
Ces deux types de stratégie comportent trois catégories d'alertes : alertes
informatives, alertes de programme, et alertes de réseau.
Pour savoir comment réagir à chaque alerte, reportez-vous au Guide de réference
des alertes voir "Référence aux alertes" page 169.
159
Alertes informatives
Les alertes informatives vous préviennent lorsque le client a bloqué une
communication qui n'est pas conforme à vos paramètres de sécurité.
Les alertes informatives n'impliquent pas de réponse de votre part.
Cliquez sur OK pour fermer la fenêtre d’alerte.
Alertes de programme
Les alertes de programme vous demandent si vous souhaitez autoriser un
programme à accéder à Internet, à un réseau local ou à être utilisé en tant que
serveur. Les alertes de programme nécessitent une réponse Oui ou Non. Les
alertes de programme les plus courantes sont l'alerte Nouveau programme et
l'alerte Programme connu.
Cliquez sur Oui pour autoriser le programme.
Cliquez sur Non pour refuser l'autorisation.
Alertes Nouveau réseau

Les alertes Nouveau réseau se produisent lorsque vous vous connectez à un réseau
quel qu'il soit : réseau sans fil privé, réseau local professionnel ou réseau de votre
FAI.
Si vous êtes connecté à un réseau local ou à un réseau privé, les alertes Nouveau
réseau vous permettent de configurer instantanément le client pour pouvoir
partager des ressources sur le réseau.
A propos de la consignation des événements

Par défaut, le client crée une entrée d'historique chaque fois qu'un trafic est
bloqué, qu'une alerte soit affichée ou non. Les entrées d'historique enregistrent la
source et la destination, les ports, les protocoles et d'autres détails du trafic. Ces
informations sont enregistrées dans un fichier texte dénommé ZALOG.txt, stocké
dans le dossier des historiques Internet. Tous les 60 jours, le fichier d'historique
est archivé dans un fichier daté, afin que sa taille ne devienne pas trop grande.
Vous pouvez empêcher la consignation de catégories spécifiques d'événements.
Par exemple, vous pouvez créer des entrées d'historique uniquement pour les
alertes de pare-feu, ou supprimer les entrées correspondant à un type particulier
d'alertes de programme.
160
Configuration des options de base des alertes et
des historiques
Les options de base des alertes et des historiques vous permettent de spécifier le
type d'événement pour lequel le client affiche une alerte et pour quels événements
une entrée d'historique doit être créée.
Configuration du niveau d'alerte

La commande Alertes présentées située sur l'onglet Général du volet Alertes et
historiques vous permet de contrôler l'affichage des alertes par niveaux. Les
alertes de programme sont toujours affichées car elles vous demandent de
spécifier si l'accès doit être accordé au programme ou pas.
Pour définir le niveau d'alerte :
1. Sélectionnez Alertes et historiques | Général.

2. Dans la fenêtre Alertes présentées, sélectionnez le paramètre souhaité.
• Elevé : Affiche une alerte pour tous les événements de sécurité, qu'ils
soient de niveau élevé ou moyen.
• Moy : Affiche uniquement les alertes de niveau élevé, qui ont
probablement été provoquées par les activités d'un pirate informatique.
• Désactivé : Affiche uniquement les alertes de programme. Les alertes
informatives ne s'affichent pas.
Configuration des options d'historique des événements et des

programmes
Utilisez les zones Historique des événements et Historique des programmes pour
choisir les types d'alertes informatives et d'alertes de programme à consigner.
Pour activer ou désactiver l'historique des événements et l'historique des programmes,

procédez comme suit :

2. Dans la zone Historique des événements, sélectionnez le paramètre souhaité.
Chapter 11 Alertes et historiques 161

• Activé : Crée une entrée d'historique pour tous les événements.
• Désactivé : Aucun événement n'est consigné.
3. Dans la zone Historique des programmes, spécifiez le niveau de l'historique.
• Elevé : Crée une entrée d'historique pour toutes les alertes de
programme.
• Moy : Crée une entrée d'historique uniquement pour les alertes de
programme de niveau élevé.
• Désactivé : Aucun événement de programme n'est enregistré.
Afficher ou masquer les alertes

Vous pouvez choisir de recevoir une alerte pour tous les événements de programme
ou de sécurité, ou bien uniquement des événements susceptibles d'être le résultat
d'une activité malveillante.
Afficher ou masquer les alertes de Pare-feu

L'onglet des alertes vous permet de contrôler plus précisément l'affichage des
alertes. Vous pouvez choisir les types de trafic bloqué pour lesquels afficher des
alertes de Pare-feu et de programme.
Pour afficher ou masquer les alertes de pare-feu ou de programme :

La fenêtre Paramètres des alertes et des historiques s'affiche.
3. Sélectionnez l'onglet Alertes.
4. Dans la colonne Alerte, sélectionnez le type de trafic bloqué pour lequel le
client doit afficher une alerte.
162
Configuration des options d'historique des
événements et des programmes
Vous pouvez spécifier si le client doit conserver la trace des événements de
programme et de sécurité en activant ou en désactivant la consignation de chaque
type d'alerte.
Formatage de l'apparence des historiques

Vous pouvez définir le séparateur de champs utilisé dans vos fichiers d'historique.
Pour formater les entrées d'historique, procédez comme suit :
1. Ouvrez Alertes et historiques.

La fenêtre Paramètres avancés des alertes et des historiques s'affiche.
3. Ouvrez l'onglet Contrôle des historiques.
4. Dans la zone Présentation du fichier d'historique, sélectionnez le format à
utiliser pour les historiques. Tab, Virgule ou Point-virgule.
Personnalisation de la consignation des événements

Par défaut, le client crée une entrée d'historique lors d'un événement de pare-feu
de niveau élevé. Vous pouvez personnaliser la consignation des alertes de pare-feu
en supprimant ou en activant des entrées d'historique pour des événements de
sécurité spécifiques, comme les pièces jointes MailSafe en quarantaine, les
paquets non IP bloqués ou les violations de verrouillage.
Pour créer ou supprimer des entrées d'historique par type d'événement, procédez
comme suit :

La fenêtre Alertes et historiques avancés s'affiche.
3. Sélectionnez Alertes.

4. Dans la colonne Historique, sélectionnez le type d'événement pour lequel le
client doit créer une entrée d'historique.
5. Cliquez sur Appliquer pour enregistrer vos modifications.
6. Pour fermer la fenêtre Paramètres des alertes et des historiques, cliquez sur
OK.
Personnalisation de la consignation des programmes

Par défaut, le client crée une entrée d'historique pour tous les types d'alerte de
programme. Vous pouvez personnaliser la consignation des alertes de programme
en supprimant les entrées d'historique des types d'alerte de programme
spécifiques, comme les alertes Nouveau programme, les alertes Programme connu
ou Programme serveur.
Pour créer ou supprimer des entrées d'historique par type d'événement, procédez
comme suit :

2. Dans la zone Historique des programmes, cliquez sur Personnaliser.
3. Dans la colonne Historiques des programmes, sélectionnez le type d'événement
pour lequel le client doit créer une entrée d'historique.
4. Cliquez sur Appliquer pour enregistrer vos modifications.
5. Pour fermer la fenêtre Paramètres des alertes et des historiques, cliquez sur
OK.
Affichage des entrées d'historique

Vous pouvez afficher les entrées d'historique dans un fichier texte à l'aide d'un
éditeur de texte ou dans l'onglet Consulter les logs. Même si le format diffère
légèrement, les informations générales sont identiques.
Pour afficher l'historique actuel dans l'onglet Consulter les logs, procédez comme suit :

2. Sélectionnez le nombre d'alertes à afficher (de 1 à 99) dans la liste des
alertes.
Vous pouvez trier la liste par champ en cliquant sur l'en-tête de la colonne.
164
3. Cliquez sur une entrée d'historique pour afficher les détails de l'entrée.
Champs de l'onglet Consulter les Logs

En haut du panneau Consulter les Logs, la liste déroulante Type d'alerte permet de
consulter les alertes de type Programme, Pare-feu, Anti-virus, Anti-espion et
SmartDefense.
Table 0-29 Informations de l'onglet Consulter les Logs
Titre de colonne Description

Niveau Chaque alerte est évaluée selon son importance
(critique, élevée ou moyenne). Les alertes de niveau
critique et élevé sont susceptibles d'avoir été
provoquées par des pirates informatiques. Les
alertes de niveau moyen sont en général provoquées
par du trafic réseau indésirable mais inoffensif.
Date/heure Date et heure à laquelle l'alerte s'est produite.
Type Type d'alerte : Pare-feu, Programme, Programme
malveillant, Verrouillage activé, Analyse, Mise à jour
ou Traiter.
Protocole Dans la liste déroulante Type d'alerte, choisissez Pare-
feu pour afficher la colonne Protocole.
Identifie le protocole utilisé par le trafic à l'origine
de l’alerte.
Programme Nom du programme qui a tenté d'envoyer ou de
recevoir des données (applicable uniquement aux
alertes Programme).
IP source Adresse IP de l'ordinateur qui a envoyé le trafic
bloqué par le client.
IP de destination Adresse de l'ordinateur vers lequel le trafic bloqué a
été envoyé.
Direction Direction du trafic bloqué : Entrant vers ou Sortant de
votre ordinateur.
Action entreprise Indique comment le trafic a été géré par le client.

Nombre Nombre de fois qu'une alerte de même type et ayant
la même source, destination et protocole s'est
produite au cours d'une seule session.
DNS source Nom de domaine de l'ordinateur qui a envoyé les
données à l'origine de l'alerte.

Titre de colonne Description
DNS de Nom de domaine du destinataire des données qui a
destination envoyé les données à l'origine de l'alerte.
Stratégie Nom de la stratégie contenant les paramètres de
sécurité ou la règle à l'origine de l'alerte. Le client
Endpoint Security reconnaît trois types de stratégie :
personnelle, entreprise et déconnectée.
Règle Dans la liste déroulante Type d'alerte, choisissez Pare-
feu pour afficher la colonne Règle.
Lors d'une alerte causée par des conditions définies
dans une règle classique de pare-feu, cette colonne
comporte le nom de la règle.
Affichage de l'historique texte

Par défaut, les alertes générées par Endpoint Security sont consignées dans
\WINDIR\Internet Logs\ZAlog.txt (où WINDIR est en général
c:\Windows).
Pour afficher l'historique en cours sous forme de fichier texte, procédez comme suit :

La fenêtre Paramètres avancés des alertes et des historiques s'affiche.
4. Dans la zone Emplacement des fichiers d'historique, cliquez sur Afficher
l'historique.
Table 0-30 Informations d'un historique texte
Champ Description Exemple

Type Type d'événement FWIN
enregistré.
Date Date de l'alerte sous la 2001/12/31
forme jj/mm/aaaa (31 décembre 2001)
166
Champ Description Exemple
Heure Heure locale de l'alerte. Ce 17:48:00 -8:00GMT
champ affiche également la (17:48, soit 8 heures de
différence entre l'heure moins que l'heure GMT.
locale et l'heure GMT. L'heure GMT de l'alerte
est 01:48.)
Source Adresse IP de l'ordinateur 192.168.1.1:7138
qui a envoyé le paquet (événements de pare-feu)
bloqué, et port utilisé ; OU Microsoft Outlook
programme de votre
ordinateur ayant demandé
les droits d'accès.
Destination Adresse IP et port de 192.168.1.101:0
l'ordinateur auquel était
adressé le paquet bloqué.
Transport Protocole (type de paquet) UDP
utilisé.
Archivage des entrées d'historique

Le contenu du fichier Zalog.txt est archivé régulièrement dans un fichier horodaté,
par exemple, ZALog2005.09.12.txt (pour le 12.09.05). Cela permet d'éviter que
le fichier ZAlog.txt devienne trop volumineux.
Pour consulter les fichiers d'historique archivés, utilisez l'Explorateur Windows
pour naviguer jusqu'au répertoire dans lequel sont stockés vos fichiers
d'historique.
Pour définir la fréquence d'archivage, procédez comme suit :

4. Cochez la case Fréquence d'archivage des historiques.
Si cette option n'est pas cochée, Endpoint Security continue à afficher les
événements dans l'onglet Consulter les Logs, mais ne les archive pas dans le
fichier ZAlog.txt.

5. Dans la zone Fréquence d'historique, spécifiez la fréquence de consignation
(entre 1 et 60 jours).
Utilisation d'Alert Advisor

Check Point AlertAdvisor est un utilitaire en ligne qui permet d'analyser les causes
possibles d'une alerte et vous aide à choisir la réponse appropriée à une alerte de
programme.
Pour utiliser AlertAdvisor, cliquez sur le bouton Plus d'infos dans la fenêtre d'alerte,
s'il est disponible.
Endpoint Security envoie des informations sur votre alerte à AlertAdvisor.
SmartDefense Advisor renvoie un article expliquant les causes de l'alerte et vous
donne, le cas échéant, des conseils sur la manière de procéder pour garantir votre
sécurité.
Pour envoyer une alerte à SmartDefense Advisor, procédez comme suit :

2. Cliquez avec le bouton droit sur l'enregistrement de l'alerte que vous souhaitez
envoyer et choisissez Plus d'infos.
168
Chapitre 12
Référence aux alertes
Différents types d'alerte peuvent s'afficher lorsque vous utilisez Endpoint Security.
Cette section vous permettra de savoir pourquoi les alertes s'affichent, ce qu'elles
signifient et ce que vous devez faire.
Dans cette section
Alertes informatives 169

Alertes de programme 174
Alertes informatives
Les alertes informatives vous préviennent lorsque le client a bloqué une
communication qui n'est pas conforme à vos paramètres de sécurité.
Les alertes informatives n'impliquent pas de réponse de votre part.
Cliquez sur OK pour fermer la fenêtre d’alerte.
Alerte Pare-feu/de protection

L'alerte de Pare-feu est le type d'alerte informative le plus courant. Les alertes de
Pare-feu vous indiquent que le pare-feu Endpoint Security a bloqué du trafic en
fonction de restrictions de ports et protocoles ou d'autres règles du pare-feu.
Signification des alertes Pare-feu

Les alertes Pare-feu avec bande rouge dans la partie supérieure indiquent des
alertes de niveau élevé. Les alertes de niveau élevé sont souvent provoquées par
une activité malveillante.
169
Les alertes Pare-feu avec bande orange dans la partie supérieure sont des alertes
de niveau moyen. Les alertes de niveau moyen sont souvent provoquées par un
trafic réseau inoffensif. Par exemple, lorsque votre fournisseur de services Internet
envoie une commande ping pour vérifier que vous êtes toujours connecté.
Cependant, elles peuvent également être provoquées par un pirate informatique
qui recherche des ports non protégés sur votre ordinateur.
Solution
Si vous utilisez un réseau privé ou professionnel et que le niveau de sécurité de la
zone sûre est Elevé, le trafic normal du réseau local, tel que les diffusions
NetBIOS, peut provoquer des alertes Pare-feu. Réduisez le niveau de sécurité de
la zone sûre et sélectionnez Moyen.
Par défaut, Endpoint Security affiche uniquement les alertes Pare-feu de niveau
élevé. Si des modifications ont été apportées à vos paramètres par défaut, de
nombreuses alertes de niveau moyen pourront s'afficher. Choisissez le niveau
MOYEN dans les paramètres d'affichage des alertes.
Si de nombreuses alertes de Pare-feu s'affichent et que vous travaillez sur un
réseau local professionnel ou privé, il se peut que les communications réseau
normales soient bloquées. Si c'est le cas, vous pouvez supprimer ces alertes en
plaçant votre réseau dans la zone sûre.
Réduction du nombre d'alertes Pare-feu

La multiplication des alertes peut indiquer qu'une ressource que vous considérez
comme sûre, mais pas encore classée comme telle, tente de vous contacter de
manière répétée. Si de nombreuses alertes pare-feu s'affichent, et que vous
pensez ne pas faire l'objet d'une attaque, effectuez les étapes de dépannage
suivantes :
• Déterminez si la source des alertes est fiable.

• Soumettez les alertes répétées à SmartDefense Advisor pour connaître l'adresse
IP de la source à l'origine des alertes.
• Si les alertes sont provoquées par une source que vous considérez comme
fiable, ajoutez-la à la zone sûre.
• Déterminez si votre FAI vous envoie des messages de détection.
• Effectuez les procédures conseillées pour gérer le signal de détection du
fournisseur de services Internet. Voir Autorisation des messages de détection
FAI page 190.
170
Alerte MailSafe
Les alertes MailSafe indiquent que Endpoint Security a mis en quarantaine un e-
mail sortant potentiellement dangereux.
Signification des alertes MailSafe

Une violation des paramètres de protection MailSafe en sortie (par exemple un
message à un nombre trop élevé de destinataires ou un nombre élevé de messages
électroniques envoyés en peu de temps) peut également déclencher une alerte
MailSafe.
Solution
• Examinez attentivement l'alerte. L'activité décrite correspond-t-elle à des
actions que vous avez effectuées récemment ? Par exemple, avez-vous
récemment tenté d'envoyer un publipostage à un grand nombre de
destinataires ou beaucoup de messages en un laps de temps très court ? Dans
ce cas, modifiez vos paramètres MailSafe en sortie en fonction de vos besoins.
Voir Protection MailSafe en sortie page 151
• Vérifiez que votre adresse électronique est répertoriée dans la liste des
expéditeurs approuvés. Si vous avez sélectionné l'option Si l'adresse de
l'expéditeur n'est pas dans la liste et que votre adresse ne se trouve pas dans la
liste ou est incorrecte, ajoutez-la à la liste.
Alertes Programme bloqué

Les alertes Programme bloqué indiquent que Endpoint Security a empêché une
application de votre ordinateur d'accéder à Internet ou aux ressources de la zone
sûre. Si vous cliquez sur OK, vous indiquez que vous avez pris connaissance de
l'alerte, mais que vous n'autorisez en aucun cas l'accès au programme.
Signification des alertes Programme bloqué

Les alertes Programme bloqué se produisent lorsqu'un programme tente d'accéder
à Internet ou à la zone sûre alors que vous lui avez refusé explicitement les droits
d'accès.
Chapter 12 Référence aux alertes 171

Solution
Si vous souhaitez que le programme bloqué puisse accéder à la zone Internet ou la
zone sûre, utilisez l'onglet Programmes pour lui attribuer les droits d'accès.
Réduction du nombre d'alertes Programme bloqué
Pour désactiver les alertes Programme bloqué, effectuez l'une des opérations
suivantes :
• Lorsqu'une alerte Programme bloqué s'affiche, sélectionnez Ne plus afficher cette

fenêtre et cliquez sur OK. Ainsi, toutes les alertes Programme bloqué seront
masquées. Remarque : les alertes Nouveau programme, Programme connu ou
Programme serveur ne sont pas concernées.
• Dans le volet Contrôle des programmes, cliquez sur Avancé pour accéder à
l'onglet Alertes et fonctions, puis désélectionnez l'option Afficher une alerte
lorsque l'accès à Internet est refusé.
Remarque : la désactivation des alertes Programme bloqué n'a pas
d'incidence sur votre niveau de sécurité.
Alertes Verrouillage Internet

Les alertes Verrouillage Internet indiquent que Endpoint Security a bloqué un
trafic entrant ou sortant car la fonction de verrouillage Internet est activée. En
cliquant sur OK, vous ne désactivez pas le verrouillage, vous indiquez seulement
que vous avez pris connaissance de l'alerte.
Signification des alertes Verrouillage Internet

Ces alertes se produisent uniquement lorsque le verrouillage Internet est activé.
Réduction du nombre d'alertes Verrouillage Internet

Si de nombreuses alertes Verrouillage Internet s'affichent, cela est probablement
dû au fait que les paramètres du verrouillage Internet automatique activent le
verrouillage Internet après une brève période d'inactivité.
Pour limiter le nombre de ces alertes, effectuez l'une des opérations suivantes :
• Désactivez le verrouillage Internet automatique.
172
• Augmentez l'intervalle d'inactivité nécessaire au déclenchement du
Verrouillage Internet automatique (voir Activation du verrouillage automatique
page 96.
Alertes de conformité
Les alertes de conformité se produisent lorsque le serveur Endpoint Security
fonctionnant avec le client Endpoint Security détermine que votre ordinateur n'est
pas conforme aux exigences de sécurité de l'entreprise. En fonction du type de
non-conformité, votre accès au réseau de l'entreprise peut être restreint ou même
interrompu.
Signification des alertes de conformité

Ces alertes s'affichent lorsque vous essayez de vous connecter au réseau de votre
entreprise et que vous n'êtes pas en conformité avec la stratégie d'entreprise
stockée sur le serveur Endpoint Security.
Solution
Les alertes de conformité, ainsi que les pages Web spéciales associées, vous
indiqueront comment assurer la conformité avec les paramètres de la stratégie de
sécurité.
• Si la non-conformité n'exige pas de correction immédiate, votre accès au

réseau de l'entreprise peut être restreint : Vous pouvez conserver l'accès à
certaines ressources du réseau, mais vous devez effectuer les corrections
nécessaires le plus rapidement possible pour rendre votre ordinateur conforme.
• Si la cause de non-conformité exige une correction immédiate, votre accès au
réseau de l'entreprise peut être coupé : dans ce cas, vous n'aurez accès qu'à la
page Web vous expliquant comment rendre votre ordinateur conforme aux
exigences de sécurité de l'entreprise.
Cliquez sur le lien dans l'alerte ou la page Web correspondante afin de procéder à
la correction. En règle générale, une correction est accompagnée d'une installation
d'une nouvelle version de Endpoint Security ou du logiciel anti-virus approuvé. Si
après une alerte de conformité vous ne savez pas comment rendre votre ordinateur
conforme aux exigences de sécurité de l'entreprise, veuillez vous adresser à votre
administrateur système.
Votre administrateur peut configurer Endpoint Security de façon à automatiser
l'installation de toute application requise pour que votre ordinateur soit conforme

aux directives de sécurité de votre entreprise. Dans certains cas, ceci peut
entraîner l'installation d'un programme sans notification préalable et nécessitant le
redémarrage de l'ordinateur. Si votre ordinateur redémarre automatiquement ou si
un programme tente de s'installer sur votre ordinateur, consultez votre
administrateur système.
Réduction du nombre d'alertes de conformité

Vous pouvez éviter les alertes en veillant à ce que votre ordinateur soit conforme à
la stratégie de sécurité définie par votre administrateur.
Alertes de programme
Les alertes de programme se produisent la plupart du temps lorsque vous utilisez
un programme. Par exemple, si vous venez d'installer Endpoint Security et ouvrez
immédiatement Microsoft Outlook pour envoyer un message électronique, une
alerte de programme vous demande si vous souhaitez autoriser Outlook à accéder
à Internet. Toutefois, des alertes de programme peuvent aussi apparaître lorsqu'un
cheval de Troie ou un ver présent sur votre ordinateur essaie de se répandre.
Alertes Nouveau programme

Les alertes Nouveau programme vous permettent de définir les droits d'accès d'un
programme qui demande pour la première fois l'accès à la zone Internet ou à la
zone sûre.
Si vous cliquez sur Oui, le programme obtient le droit d'accès.
Si vous cliquez sur Non, l'accès lui est refusé.
Signification des alertes Nouveau programme

Les alertes Nouveau programme se produisent lorsqu'un programme de votre
ordinateur tente d'établir une connexion avec un ordinateur de la zone Internet ou
de la zone sûre et que vous ne lui avez pas encore attribué de droits d'accès.
Lorsque vous commencez à utiliser Endpoint Security, une ou plusieurs alertes
Nouveau programme peuvent apparaître.
Solution
Cliquez sur Oui ou Non dans le message d'alerte après vous être posé les
questions suivantes :
174
• Avez-vous lancé un programme ou un processus nécessitant l'utilisation de
droits d'accès ? Si c'est le cas, vous pouvez probablement cliquer sur Oui en
toute sécurité. Si ce n'est pas le cas, continuez.
• Reconnaissez-vous le nom du programme dans la fenêtre de l'alerte ? Si oui,
vous semble-t-il justifié que ce programme nécessite une autorisation ? Si c'est
le cas, vous pouvez probablement cliquer sur Oui en toute sécurité. Dans le cas
contraire ou en cas de doute, continuez.
• Si vous avez des doutes sur la procédure à suivre, il est préférable de cliquer
sur Non. Vous pourrez toujours autoriser l'accès ultérieurement sous l'onglet
Programmes.
Réduction du nombre d'alertes Nouveau programme

Plusieurs alertes Nouveau programme peuvent s'afficher juste après l'installation
de Endpoint Security. Vous verrez le nombre d'alertes diminuer à mesure que vous
attribuerez des droits à chaque nouveau programme.
Pour éviter l'affichage d'alertes Programme connu, sélectionnez Conserver cette
réponse lors de la prochaine utilisation de ce programme.
Alertes Programme connu

Les alertes Programme connu se produisent lorsqu'un programme de votre
ordinateur tente d'établir une connexion avec un ordinateur de la zone Internet ou
de la zone sûre et que ce programme a déjà demandé des droits d'accès.
Signification des alertes Programme connu

Lorsque vous répondez Oui ou Non à une alerte Nouveau programme sans cocher la
case Conserver cette réponse lors de la prochaine utilisation de ce programme, une alerte
Programme connu s'affiche lorsque le même programme demande à nouveau des
droits d'accès.
Solution
Vous devez répondre aux alertes Programme connu que de la même façon qu'aux
alertes Nouveau programme.
Les alertes Nouveau programme vous permettent de définir les droits d'accès d'un
programme qui demande pour la première fois l'accès à la zone Internet ou à la
zone sûre.

Si vous cliquez sur Oui, le programme obtient le droit d'accès.
Si vous cliquez sur Non, l'accès lui est refusé.
Réduction du nombre d'alertes Programme connu

Pour éviter l'affichage d'alertes Programme connu, sélectionnez Conserver cette
réponse lors de la prochaine utilisation de ce programme avant de cliquer sur Oui ou
Non dans les alertes Nouveau programme ou Programme connu. La sélection de
cette option permet de définir les droits d'accès attribués au programme sur
Autoriser ou Bloquer sous l'onglet Programmes.
Alertes Programme modifié

Les alertes Programme modifié vous indiquent qu'un programme ayant sollicité
des droits d'accès ou des droits de serveur par le passé a depuis subi des
modifications.
Si vous cliquez sur Oui, le programme modifié obtient le droit d'accès. Si vous
cliquez sur Non, l'accès lui est refusé.
Signification des alertes Programme modifié

Certains programmes sont configurés pour accéder régulièrement à Internet afin
de rechercher les mises à jour disponibles. Les alertes Programme modifié se
produisent lorsqu'un programme qui vient d'être mis à jour tente d'accéder à
Internet. Elles se produisent également si un pirate informatique a réussi à
falsifier un programme.
Consultez la documentation de vos programmes ou les sites Web d'assistance de
leurs éditeurs pour déterminer s'ils disposent d'une fonctionnalité de mise à jour
automatique.
Solution
Pour déterminer comment répondre à une alerte Programme modifié, posez-vous les
questions suivantes :
• Avez-vous (vous ou votre administrateur système) récemment mis à jour le

programme qui sollicite un accès ?
• Vous semble-t-il justifié que ce programme nécessite une autorisation ?
176
Si vous répondez « oui » à ces deux questions, vous pouvez probablement
cliquer sur Oui sans risque.
Remarque : si vous n'êtes pas sûr, il vaut mieux répondre Non. Vous
pourrez autoriser l'accès ultérieurement dans l'onglet Programmes.
Réduction du nombre d'alertes Programme modifié

Les alertes Programme modifié s'affichent toujours, car elles contiennent une
question à laquelle vous devez répondre par Oui ou par Non. Si vous utilisez un
programme dont le total de contrôle change fréquemment, vous pouvez empêcher
la répétition d'alertes en configurant Endpoint Security de façon à vérifier
uniquement le nom du fichier du programme. Ajout d'un programme à la liste des
programmes voir "Ajout à la liste des programmes" page 100.
Alertes Composant de programme

L'alerte Composant de programme permet d'autoriser ou de refuser l'accès à
Internet à un programme qui utilise un ou plusieurs composants qui n'ont pas
encore été sécurisés par Endpoint Security. Cette alerte vous protège contre les
pirates qui tentent d'utiliser des composants modifiés ou falsifiés pour contourner
les restrictions de contrôle de votre programme.
Si vous cliquez sur Oui, vous autorisez le programme à accéder à Internet même
après ajout ou modification de composants.
Si vous cliquez sur Non, vous empêchez le programme d'accéder à Internet en
utilisant ces composants.
Signification des alertes Composant de programme

Les alertes Composant de programme s'affichent lorsqu'un programme accédant à
Internet ou au réseau local utilise un ou plusieurs composants qui n'ont pas
encore été sécurisés par Endpoint Security ou qui ont été modifiés depuis leur
sécurisation.
Endpoint Security sécurise automatiquement les composants utilisés par un
programme au moment où vous lui autorisez l'accès. De ce fait, aucune alerte
Composant ne s'affichera pour chaque composant chargé par votre navigateur.
Pour plus d'informations sur la sécurisation des composants d'un programme avec
Endpoint Security, voir la section Authentification d'un programme voir
"Authentification de programme" page 94.

Solution
La réponse appropriée à une alerte Composant de programme dépend de la
situation dans laquelle vous vous trouvez. Posez-vous les questions suivantes :
• Vous trouvez-vous dans l'une des situations suivantes ?

• Vous venez d'installer ou de réinstaller Endpoint Security.
• Vous avez récemment mis à jour l'application qui charge le composant (pour
connaître le nom de l'application, consultez les informations techniques du
message d'alerte).
• L'application qui charge le composant dispose d'une fonction de mise à jour
automatique.
• Un autre utilisateur (par exemple, l'administrateur système de votre poste de
travail) a peut-être mis à jour un programme sur votre ordinateur sans vous
avertir.
• Utilisez-vous l'application qui a chargé le composant ?
Si vous répondez "oui" à ces deux questions, Endpoint Security a probablement
détecté des composants nécessaires au fonctionnement de votre navigateur ou
d'autres programmes. Vous pouvez probablement répondre Oui en toute sécurité à
l'alerte Composant de programme.
Si vous cliquez sur Oui, vous autorisez le programme à accéder à Internet même
après ajout ou modification de composants. Si vous ne répondez pas Oui à ces
deux questions ou si vous avez un doute sur le composant, il est préférable de
cliquer sur Non.
Si vous cliquez sur Non, vous empêchez le programme d'accéder à Internet en
utilisant ces composants.
Remarque : en cas de doute ou si vous choisissez de cliquer sur Non,
renseignez-vous pour déterminer si le composant peut être utilisé en
toute sécurité.
Réduction du nombre d'alertes Composant de programme

L'affichage d'un grand nombre d'alertes de composant est normale si vous avez
choisi le niveau Elevé pour l'authentification des programmes juste après avoir
installé Endpoint Security. Dans ce cas, Endpoint Security ne peut pas sécuriser
automatiquement les nombreuses DLL et autres composants couramment utilisés
par les navigateurs et les autres programmes.
178
Pour réduire le nombre d'alertes, réduisez le niveau d'authentification et
sélectionnez Moyen durant les premiers jours qui suivent l'installation de Endpoint
Security.
Après quelques jours d'utilisation de Endpoint Security, le nombre d'alertes de
programme diminue.
Alertes Programme serveur

Les alertes Programme serveur permettent d'accorder les droits de serveur d'un
programme de votre ordinateur.
Signification des alertes Programme serveur

Les alertes Programme serveur se produisent lorsqu'un programme de votre
ordinateur demande des droits de serveur pour accéder à la zone Internet ou à la
zone sûre et que vous ne lui avez pas encore attribué de tels droits.
Peu de programmes sur votre ordinateur nécessitent des droits de serveur. Les
plus courants sont les suivants :
• Programme de conversation
• Programme d'appel en attente Internet
• Partage de fichiers musicaux (Napster, par exemple)
• Diffusion multimédia (RealPlayer, par exemple)
• Transmission vocale sur Internet
• Conférence sur le Web
Si vous utilisez les types de programmes mentionnés ci-dessus et qu'ils
nécessitent des droits de serveur pour fonctionner correctement, commencez par
leur attribuer ces droits avant de les utiliser. Voir Octroi de droits de serveur voir
"Octroi de droits de serveur aux programmes" page 101.
Remarque : si votre navigateur n'est pas autorisé à accéder à
Internet, vous serez redirigé vers l'aide en ligne. Pour accéder à
SmartDefense Advisor, autorisez votre navigateur à accéder à
Internet. Voir Octroi de droits d'accès Internet aux programmes
page 101.

Solution
Avant de répondre à l'alerte Programme serveur, vous devez tenir compte des
éléments suivants :
• Avez-vous lancé un programme ou un processus nécessitant l'utilisation de

droits d'accès ? Si c'est le cas, vous pouvez probablement cliquer sur Oui en
toute sécurité. Si ce n'est pas le cas, continuez.
• Reconnaissez-vous le nom du programme dans le message d'alerte, et si oui,
vous semble-t-il justifié que ce programme nécessite une autorisation ? Si c'est
le cas, vous pouvez probablement cliquer sur Oui en toute sécurité.
• Cliquez sur le bouton Plus d'infos dans le message d'alerte. Les informations sur
l'alerte (par exemple, le nom du programme et l'adresse qu'il a tenté
d'atteindre) sont alors envoyées à l'utilitaire SmartDefense Advisor qui affiche
une page Web regroupant les informations sur l'alerte et le programme. Utilisez
ces informations pour savoir si vous pouvez répondre Oui en toute sécurité. Voir
Utilisation d'AlertAdvisor voir "Utilisation d'Alert Advisor" page 168.
• Si vous n'êtes pas certain de la légitimité de ce programme et de la nécessité
des droits de serveur, il est plus sûr de répondre Non. Cependant, si ces droits
deviennent nécessaires par la suite, vous pouvez les attribuer ultérieurement
au programme dans l'onglet Programmes. Voir Octroi de droits de serveur aux
programmes page 101.
Réduction du nombre d'alertes Programme serveur

Si vous utilisez un programme appartenant aux types mentionnés précédemment,
s'il nécessite des droits de serveur pour fonctionner correctement, commencez par
lui attribuer des droits dans l'onglet Programmes de Endpoint Security avant de
l'utiliser.
Alertes Programme avancées

Les alertes Programme avancées sont similaires aux autres alertes Programme
(Nouveau Programme, Programme connu et Programme modifié) : elles vous
informent qu’un programme essaie d’accéder au réseau.
Cependant, elles diffèrent des autres alertes Programme en ce sens que le
programme essaie d’utiliser un autre programme pour se connecter à Internet, ou
tente de détourner les fonctionnalités d'un autre programme.
180
Signification des alertes Programme avancées
Les alertes Programme avancées peuvent s'afficher dans deux situations :
lorsqu'un programme de votre ordinateur essaie d'initier une connexion avec un
ordinateur de la zone Internet ou de la zone sûre en donnant à un autre
programme l'instruction de se connecter, ou lorsqu'un programme tente de
détourner les processus d'un autre programme en appelant la fonction
OpenProcess.
Certains programmes légitimes associés à votre système d'exploitation peuvent
nécessiter l'accès à un autre programme. Par exemple, si vous arrêtez Microsoft
Internet Explorer à l'aide du Gestionnaire des tâches de Windows, ce dernier doit
appeler la fonction OpenProcess et l'appliquer au programme Microsoft
Internet Explorer pour le fermer.
Solution
La manière de répondre à une alerte Programme avancée dépend de la cause de
l'alerte. Si elle a été provoquée par un appel à la fonction OpenProcess, vous
devez déterminer si la fonction a été appelée par un programme légitime ou par un
programme malveillant. Vérifiez que le programme mentionné dans l'alerte est
fiable pour effectuer cette fonction. Par exemple, si vous étiez en train d'essayer
d'arrêter un programme à l'aide du Gestionnaire des tâches de Windows au
moment où vous avez reçu l'alerte Programme avancée, il est plus sûr de répondre
Oui. De même, si l'alerte a été provoquée par un programme utilisant un autre
programme pour accéder à Internet et que ce programme demande régulièrement
cette autorisation, vous pouvez probablement répondre Oui sans risque. Si vous
n'êtes pas sûr de la cause de l'alerte ou du comportement du programme qui
effectue la demande, il est alors plus sûr de répondre Non. Après avoir refusé
l’autorisation avancée au programme, effectuez une recherche sur le nom de
fichier du programme sur Internet. S’il s’agit d’un programme malveillant, des
informations seront probablement disponibles, notamment la procédure
permettant de le supprimer de votre ordinateur.
Réduction du nombre d'alertes Programme avancées

L'affichage d'un grand nombre d'alertes Programme avancé est anormal. Si des
alertes répétées s'affichent, effectuez une recherche sur le(s) nom(s) du
programme, puis envisagez de le supprimer de votre ordinateur ou de lui accorder
les droits d'accès requis.

Alertes Action manuelle requise
Une alerte Action manuelle requise vous informe que des actions supplémentaires
doivent être effectuées afin de configurer correctement Endpoint Security pour la
prise en charge de votre connexion VPN.
Signification des alertes Action manuelle requise

Une alerte Action manuelle requise vous informe que des actions supplémentaires
doivent être effectuées pour configurer correctement Endpoint Security pour la
prise en charge de votre connexion VPN.
Solution
Les alertes Action manuelle requise n'impliquent pas de réponse de votre part.
Pour configurer manuellement une connexion VPN, voir la section Configuration
manuelle d'une connexion VPN voir "Configuration de la connexion VPN" page 90
et suivez les instructions.
Réduction du nombre d'alertes Action manuelle requise

Il est inhabituel de voir un grand nombre d'alertes Action manuelle requise. Si de
nombreuses alertes s'affichent, suivez les instructions requises pour configurer
correctement Endpoint Security pour prendre en charge votre connexion VPN ou
supprimez le logiciel VPN de votre ordinateur.
Alertes Nouveau réseau

Une alerte Nouveau réseau apparaît lorsque Endpoint Security détecte que vous
êtes connecté à un nouveau réseau. Vous pouvez utiliser le message d'alerte pour
activer le partage d'imprimantes et de fichiers avec ce réseau. Les alertes Nouveau
réseau s'affichent lorsque vous vous connectez à un réseau quel qu'il soit (réseau
privé, réseau local professionnel ou réseau de votre FAI).
La première fois que vous utilisez Endpoint Security, en général une alerte
Nouveau réseau s'affiche. Cette alerte est un outil pratique conçu pour vous aider
à configurer Endpoint Security.
Signification des alertes Nouveau réseau

Les alertes Nouveau réseau s'affichent lorsque vous vous connectez à un réseau
quel qu'il soit (réseau privé, réseau local professionnel ou réseau de votre FAI).
182
Lors de la détection d'un nouveau réseau, les versions 3.5 et ultérieures de
Endpoint Security affichent par défaut l'assistant de configuration réseau à la
place de l'alerte Nouveau réseau.
Solution
La manière de répondre à une alerte Nouveau réseau dépend de votre
configuration réseau particulière.
Si vous êtes connecté à un réseau local privé ou professionnel et que vous voulez
partager des ressources avec d'autres ordinateurs du réseau, placez le réseau dans
la zone sûre.
Pour ajouter le nouveau réseau à la zone sûre, procédez comme suit :
1. Dans le message d'alerte Nouveau réseau, saisissez un nom pour le réseau (par
exemple, « RES privé ») dans le champ Nom.
2. Sélectionnez Zone sûre dans la liste déroulante Zone.
3. Cliquez sur OK.
Attention : lorsque Endpoint Security détecte un réseau sans fil, il se peut que
votre carte réseau sans fil capte un réseau autre que le vôtre. Assurez-vous que
l'adresse IP affichée dans l'alerte Nouveau réseau correspond à celle de votre
réseau avant de l'ajouter à la zone sûre.
Important : si vous n'identifiez pas avec certitude le réseau
détecté par Endpoint Security, notez l'adresse IP qui
s'affiche dans la fenêtre d'alerte. Consultez ensuite la
documentation relative à votre réseau privé, ou contactez
votre administrateur système ou votre fournisseur de services
Internet pour identifier le réseau.
Réduction du nombre d'alertes Nouveau réseau

Il est tout à fait inhabituel de recevoir de nombreuses alertes Nouveau réseau.

Chapitre 13
Dépannage
Dans cette section
Dépannage du VPN 185

Dépannage du réseau 187
Dépannage des connexions Internet 188
Dépannage du VPN
Si vous rencontrez des difficultés dans l'utilisation de votre logiciel VPN avec le
client, reportez-vous au tableau des conseils de dépannage de cette section.
Table 0-31 Dépannage des problèmes de VPN
Si… Reportez-vous à…
Vous ne pouvez pas vous Configuration du client pour le trafic
connecter à votre réseau privé VPN page 186
virtuel (VPN)
Vous avez créé des règles Configuration automatique du VPN et
avancées de pare-feu règles avancées page 186
Vous utilisez un client VPN pris Délai de détection automatique du
en charge et le client Endpoint VPN page 186
Security ne le détecte pas
automatiquement la première
fois que vous vous connectez
185
Configuration du client pour le trafic VPN
Si vous ne parvenez pas à vous connecter à votre VPN, vous devrez peut-être
configurer le client pour qu'il accepte le trafic qui en provient.
Pour configurer le client afin d'autoriser le trafic VPN, procédez comme suit :
1. Ajoutez les ressources réseau liées au VPN à la zone sûre.

2. Accordez les droits d’accès au client VPN et à tous les autres programmes liés
au VPN installés sur votre ordinateur.
Voir Configuration des autorisations spécifiques voir "Définition d'autorisations
spécifiques" page 99.
3. Autoriser les protocoles VPN.
Voir Ajout de ressources VPN à la zone sûre page 90.
Configuration automatique du VPN et règles avancées

Si vous avez créé des règles avancées de pare-feu qui bloquent le trafic VPN, le
client Endpoint Security ne pourra pas détecter automatiquement votre VPN lors
d'une connexion. Pour configurer votre connexion VPN, vous devrez vous assurer
que votre client VPN et les composants liés au VPN se trouvent dans la zone sûre
et qu'ils disposent des droits d'accès à Internet. Voir Configuration de la connexion
VPN voir "Configuration de la connexion VPN pour le Pare-feu" page 89.
Délai de détection automatique du VPN

Le client Endpoint Security interroge régulièrement votre ordinateur afin de
déterminer si les protocoles VPN pris en charge sont activés. En cas de détection,
le client Endpoint Security vous propose de configurer votre connexion
automatiquement. Si vous avez récemment installé un client VPN et tenté de vous
connecter, le client peut ne pas avoir détecté votre configuration VPN. Si vous
préférez que le client configure votre connexion automatiquement, vous pouvez
attendre dix minutes, puis réessayer. Si vous préférez vous connecter
immédiatement, vous pouvez configurer votre connexion manuellement. Voir
Configuration de la connexion VPN voir "Configuration de la connexion VPN pour le
Pare-feu" page 89.
186
Dépannage du réseau
Si vous rencontrez des difficultés pour vous connecter à votre réseau ou pour
utiliser des services réseau, reportez-vous au tableau des conseils de dépannage
de cette section.
Table 0-32 Dépannage des problèmes de réseau
Vous ne pouvez pas voir les Afficher votre ordinateur sur votre réseau
autres ordinateurs de votre local page 187
Voisinage réseau, ou ils ne
peuvent pas vous voir.
Vous ne pouvez pas partager Partage local de fichiers et d'imprimantes
de fichiers ou d'imprimantes page 188
sur votre réseau local
professionnel ou privé.
Votre ordinateur se trouve en Solutions en cas de démarrage lent page
réseau local (LAN) et son 188
démarrage est très lent depuis
que vous avez installé
Endpoint Security
Afficher votre ordinateur sur votre réseau local

Si vous ne pouvez pas voir les autres ordinateurs de votre réseau local ou si ces
ordinateurs ne peuvent pas voir le vôtre, cela peut être dû au client qui bloque le
trafic NetBIOS nécessaire à la visibilité du réseau Windows.
Pour rendre votre ordinateur visible sur le réseau local, procédez comme suit :

ressources). Voir Ajout à la zone sûre page 84.
2. Définissez le niveau de sécurité de la zone sûre sur Moyen et celui de la zone
Internet sur Elevé. Ainsi, les ordinateurs sûrs peuvent accéder à vos fichiers
partagés tout en bloquant l'accès aux autres ordinateurs. Voir Configuration des
options de sécurité avancées page 79.
Remarque : le client va automatiquement détecter votre réseau et
afficher l'alerte Nouveau réseau. Vous pouvez utiliser cette alerte pour
Chapter 13 Dépannage 187

ajouter votre sous-réseau de réseau à la zone sûre.
Partage local de fichiers et d'imprimantes

Le client Endpoint Security vous permet de partager facilement et rapidement
votre ordinateur afin de permettre aux ordinateurs sûrs auxquels vous êtes
connecté en réseau d'accéder à vos ressources partagées, tout en empêchant les
intrus d'y accéder et d'endommager votre système.
Pour configurer le client pour un partage sécurisé, procédez comme suit :

ressources). Voir Ajout à la zone sûre page 84.
2. Définissez le niveau de sécurité de la zone sûre sur Moyen. Les ordinateurs
sûrs pourront accéder à vos fichiers partagés. Voir Choix des niveaux de
sécurité voir "Sélection des niveaux de sécurité" page 78.
ordinateur sera invisible pour les ordinateurs non sûrs. Voir Configuration du
niveau de sécurité des zones page 78.
Solutions en cas de démarrage lent

Si le client est configuré pour se charger au démarrage, certains utilisateurs
connectés au réseau local peuvent trouver le démarrage lent.
Dans la plupart des cas, cela est dû au fait que votre ordinateur a besoin d'accéder
au contrôleur de domaine de votre réseau pour achever son processus de
démarrage et de connexion et que le client bloque l'accès car le contrôleur n’a pas
été ajouté à la zone sûre.
Pour résoudre ce problème, ajoutez le nom d'hôte ou l'adresse IP du contrôleur de
domaine de votre réseau à la zone sûre.
Dépannage des connexions Internet

Si vous avez des problèmes pour vous connecter à Internet, reportez-vous au
tableau des conseils de dépannage de cette section.
Table 0-33 Dépannage des problèmes de connexion Internet
188
Vous ne parvenez pas vous Echec de la connexion à Internet après
connecter à Internet l'installation page 189
Vous pouvez vous connecter à Autorisation des messages de détection
Internet, mais vous êtes FAI page 190
déconnecté peu de temps
après
Votre ordinateur est un client Connexion via un client ICS page 191
ICS (partage de connexion
Internet) et vous ne parvenez
pas vous connecter à Internet.
Votre ordinateur utilise un Connexion via un serveur proxy
serveur proxy pour se
connecter à Internet et vous
ne parvenez pas vous
connecter à Internet.
Echec de la connexion à Internet après l'installation

Si vous ne parvenez pas à vous connecter à Internet après avoir installé le client
Endpoint Security, la première étape du dépannage consiste à déterminer si
Endpoint Security en est la cause. Si vous ne parvenez pas à effectuer les
opérations décrites ci-dessous (par exemple, si vous ne pouvez pas désélectionner
l'option Charger Endpoint Security au démarrage), contactez le support technique
de Check Point.
Pour déterminer si Check Point est la cause des problèmes de connexion :
2. Dans la zone Général, désélectionnez l'option Charger Check Point Endpoint
Security au démarrage.
Une boîte de dialogue d'avertissement intitulée Service TrueVector de Check
Point s'affiche.
3. Cliquez sur Oui.
4. Redémarrez votre ordinateur et essayez une nouvelle fois de vous connecter à
Internet.

Si vous parvenez à Les paramètres de votre client Endpoint Security
vous connecter peuvent être à l'origine de vos problèmes de
connexion. Assurez-vous que votre navigateur
dispose des droits d'accès.
Si vous ne parvenez Les paramètres de votre client Endpoint Security
pas à vous ne sont pas la cause de vos problèmes de
connecter connexion.
Autorisation des messages de détection FAI

Les fournisseurs de services Internet envoient régulièrement des messages de
détection à leurs clients connectés par modem afin de s'assurer qu'ils sont
toujours présents. Si le FAI ne parvient pas à déterminer la présence du client, il
peut le déconnecter pour que l'adresse IP de cet utilisateur soit attribuée à
quelqu'un d'autre.
Par défaut, Endpoint Security bloque les protocoles les plus utilisés pour ces
messages de détection, ce qui peut entraîner la déconnexion d'Internet. Pour
éviter cela, vous pouvez identifier le serveur qui envoie ces messages et l'ajouter à
la zone sûre ou configurer la zone Internet pour autoriser les messages ping.
Identification de la source des messages de détection

Cette solution est la meilleure car elle fonctionne que votre fournisseur de services
Internet utilise NetBIOS ou le protocole ICMP (Internet Control Messaging) voir
"ICMP" page 198 pour vérifier votre connexion, et elle permet de maintenir un
haut niveau de sécurité dans la zone Internet.
Pour identifier le serveur utilisé par votre FAI afin de vérifier votre connexion, procédez
comme suit :
1. Si le FAI vous déconnecte, cliquez sur Alertes et historiques | Consulter les Logs.
2. Dans la liste des alertes, repérez celle qui correspond à l'heure à laquelle vous
avez été déconnecté.
3. Dans la zone Détails de l'entrée, notez le DNS source détecté.
Si cela ne vous permet pas d'identifier le serveur, contactez votre FAI pour
déterminer quels serveurs doivent avoir les droits d'accès.
4. Après avoir identifié le serveur, ajoutez-le à la zone sûre.
190
Configuration du client Endpoint Security pour autoriser les
commandes ping
Si votre FAI utilise les messages d'écho ICMP (ou ping) pour vérifier votre
connexion, configurez le client de façon à autoriser les commandes ping dans la
zone Internet.
Pour configurer le client afin qu'il autorise les commandes ping, procédez comme suit :

2. Sous Zone Internet, cliquez sur Personnaliser.
3. Cochez l'option Autoriser ping entrant (écho ICMP).
4. Cliquez sur OK.
5. Définissez le niveau de sécurité de la zone Internet sur Moyen.
Voir Choix des niveaux de sécurité voir "Sélection des niveaux de sécurité" page
78.
Connexion via un client ICS

Si vous utilisez l'option de partage de connexion Internet (ICS) de Windows ou un
programme de partage de connexion d'un autre fournisseur, et que vous ne
parvenez pas à vous connecter à Internet, vérifiez que le client Endpoint Security
est correctement configuré pour les machines client et passerelle. Voir Activation
du partage de connexion Internet (ICS) page 77
Ne configurez pas le client pour ICS si vous utilisez un matériel tel qu'un serveur
ou un routeur plutôt qu'un PC hôte.
Connexion via un serveur proxy

Si vous vous connectez à Internet via un serveur proxy et que vous ne parvenez pas
à vous connecter à Internet, assurez-vous que l'adresse IP de votre serveur proxy
se trouve dans la zone sûre. Voir Ajout à la zone sûre page 84.

Glossaire
Symbols & Numeric Agir en tant que serveur
1394 Un programme agit en tant que
serveur lorsqu'il "écoute" les
Une norme de bus externe très
demandes de connexion émises
rapide prenant en charge des taux
par d'autres ordinateurs.
de transferts de données allant
Différents types d'applications
jusqu'à 400 Mbits/s (1394a) et
courantes, tels que les
800 Mbits/s (1394b). Le nom des
programmes de discussion, les
produits prenant en charge la
clients de courrier électronique et
norme 1394 varient en fonction
les programmes d'appel en attente
de l'entreprise. Chez Apple, qui a
Internet, peuvent avoir besoin
développé cette technologie, on
d'agir en tant que serveurs pour
trouve le produit sous la marque
fonctionner correctement.
déposée FireWire.
Cependant, certains programmes
A pirates agissent en tant que
serveur afin d'écouter les
Adresse IP
instructions de leurs créateurs. Le
Numéro qui identifie votre client empêche les programmes
ordinateur sur Internet, de la de votre ordinateur d'agir en tant
même façon qu'un numéro de que serveurs à moins que vous ne
téléphone identifie votre téléphone les y autorisiez.
sur un réseau téléphonique.
L'adresse IP est une adresse AlertAdvisor
numérique, généralement Le programme Check Point
représentée par quatre nombres AlertAdvisor est un utilitaire en
compris entre 0 et 255, et séparés ligne qui permet d'analyser
par des points. Par exemple, instantanément les causes
172.16.100.100. possibles d'une alerte et vous aide
Votre adresse IP peut être toujours à choisir la réponse appropriée
la même. Cependant, votre (Oui ou Non) à une alerte de
fournisseur d'accès à Internet programme. Pour utiliser
(FAI) peut utiliser le protocole AlertAdvisor, cliquez sur le bouton
DHCP (Dynamic Host Autres infos dans la fenêtre
Configuration Protocol) pour d'alerte. Le client envoie des
attribuer une adresse différente à informations sur votre alerte à
votre ordinateur chaque fois que AlertAdvisor. AlertAdvisor renvoie
vous vous connectez à Internet. un article expliquant les causes de
l'alerte et vous donne, le cas
échéant, des conseils sur la point d'accès pour pénétrer dans
manière de procéder pour garantir l'ordinateur non protégé.
votre sécurité.
Applet Java
Alerte de niveau moyen Une applet Java est un petit
Alerte probablement provoquée programme Internet écrit en Java,
par une activité réseau inoffensive habituellement imbriqué dans une
plutôt que par une attaque de page HTML, qui peut être exécuté
pirates informatiques. depuis un navigateur Web.
Alertes de niveau élevé B
Alerte probablement provoquée Bannière publicitaire
par l'activité d'un pirate. Ces
Publicité qui s'affiche dans une
alertes de niveau élevé de pare-feu
bannière horizontale sur une page
comprennent une bande rouge
Web.
dans la partie supérieure du
message d'alerte. Dans l'onglet Blocage des publicités
Consulter les Logs, la colonne Fonctionnalité du client
Niveau vous indique si une alerte permettant de bloquer des
était de niveau élevé. bannières, des fenêtres popup et
Alertes informatives autres types de publicités.
Les alertes informatives s'affichent Bogue Web
lorsque le client bloque une Fichier image, souvent de taille
communication qui n'est pas 1 x 1 pixel, destiné à surveiller les
conforme à vos paramètres de visites sur la page (ou le courrier
sécurité. Les alertes informatives électronique HTML) qui le
n'impliquent pas de réponse de contient. Ces pixels invisibles
votre part. permettent de savoir les publicités
Analyse de port et les pages Web que vous avez
affichées.
Technique utilisée par les pirates
informatiques afin d'identifier les C
ordinateurs non protégés sur
Internet. A l'aide d'outils Champ En-tête de renvoi HTTP
automatisés, les pirates analysent Champ facultatif du message ; il
systématiquement les ports de ouvre une page Web contenant
tous les ordinateurs d'un des informations sur le “document
ensemble d'adresses IP pour de référence”. Correctement
rechercher des ports non protégés utilisé, ce champ permet aux
ou "ouverts". Une fois un port administrateurs Web de gérer
ouvert localisé, le pirate leurs sites. Utilisé de manière
informatique peut l'utiliser comme malveillante, il peut divulguer
votre adresse IP, le nom de votre
poste de travail, votre nom de authentification selon deux
connexion et même (sur un site de facteurs, comme les autres
commerce en ligne mal mis en périphériques SecurID :
place) votre numéro de carte de l'utilisateur a un numéro
crédit. En sélectionnant d'identificationi personnel (PIN),
Supprimer les informations qui l'authentifie comme le
confidentielles d'en-tête dans propriétaire du périphérique, une
l'onglet Cookies, vous évitez que fois que l'utilisateur a entré
ce champ d'en-tête ne transfère correctement son numéro
des informations vous concernant. d'identification personnel qui lui
permet de se connecter sur le
Cheval de Troie réseau. La clé FOB SecurID
Programme nuisible qui se fait SID700 est un exemple typique
passer pour un programme utile d'un périphérique de ce genre.
ou inoffensif, tel qu'un
économiseur d'écran. Certains Code mobile
chevaux de Troie s'installent et Contenu exécutable qui peut être
agissent comme des serveurs sur intégré à des pages Web ou à des
votre ordinateur et attendent les courriers électroniques en HTML.
connexions externes. Lorsqu'un Le code mobile rend les sites Web
pirate informatique parvient à interactifs, mais un code mobile
contacter le programme, il peut malveillant peut être utilisé pour
prendre le contrôle de votre modifier ou voler des données, et
ordinateur. C'est pourquoi il est à d'autres fins frauduleuses.
important d'attribuer des droits
d'accès uniquement aux Communauté d'accès à distance
programmes que vous considérez La communauté d'accès à
comme étant fiables. En outre, distance est un type de
d'autres chevaux de Troie tentent communauté VPN créée
de contacter automatiquement spécifiquement pour les
une adresse distante. utilisateurs qui travaillent
habituellement à distance hors du
Clé FOB réseau local de l'entreprise.
Un petit périphérique matériel
avec une authentification intégrée Composant
qui contrôle l'accès aux services Petit programme ou jeu de
de réseau et les informations est fonctions utilisé par des
connu en tant que clé FOB. Alors programmes plus importants pour
qu'un mot de passe peut être volé effectuer des tâches spécifiques.
sans la connaissance du Certains composants peuvent être
propriétaire, une clé manquante utilisés simultanément par
est immédiatement apparente. plusieurs programmes. Les
Les clés FOB fournissent la même systèmes d'exploitation Windows
proposent plusieurs DLL de
composant utilisables par un les utiliser à des fins
grand nombre d'applications malveillantes.
Windows.
Contrôles ActiveX
Connexion par modem Les contrôles ActiveX (développés
Connexion à Internet utilisant un par Microsoft) constituent un
modem et une ligne de téléphone ensemble d'éléments tels que des
analogique. Le modem établit la cases à cocher ou des boutons qui
connexion à Internet en offrent des options à l'utilisateur
composant un numéro de ou exécutent des macros ou des
téléphone sur le site du scripts pour automatiser des
fournisseur d'accès à Internet. Il tâches.
s'agit de la distinction principale
par rapport aux autres méthodes Cookie
de connexion, telles que les lignes Petit fichier de données utilisé par
d'abonné numériques (DSL), qui un site Web pour personnaliser le
n'utilisent pas de modem contenu du site que vous
analogique et ne composent pas consultez, vous reconnaître d'une
de numéro de téléphone. visite à l'autre et/ou surveiller
votre activité sur Internet. Même
Contrôle des cookies si la plupart des cookies sont sans
Fonctionnalité de protection de la danger, certains peuvent être
confidentialité de vos données, utilisés pour divulguer des
qui permet d'empêcher les cookies informations vous concernant sans
d'être stockés sur votre ordinateur. votre consentement.
Contrôle des programmes Avancé Cookie de session
Le Contrôle des programmes Cookie stocké dans la mémoire
Avancé est une fonctionnalité de cache de votre navigateur et qui
sécurité qui renforce votre sécurité disparaît dès que vous refermez la
en empêchant des programmes fenêtre du navigateur. Il s'agit de
inconnus d'utiliser des la forme de cookie la plus
programmes sûrs pour accéder à sécurisée du fait de sa très courte
Internet. durée de vie.
Contrôle du code mobile Cookie persistant
Fonctionnalité du client Cookie placé sur votre disque dur
permettant de bloquer les par le site Web que vous
contrôles et scripts actifs des sites consultez. Ces cookies peuvent
Web que vous visitez. Etant donné être lus par le site Web lors de
que le code mobile est courant sur votre prochaine visite du site.
Internet et qu'il comprend de Malgré leur utilité, ils rendent
nombreuses petites utilisations, votre système vulnérable en
les pirates informatiques peuvent stockant des informations sur
vous, votre ordinateur ou DLL
l'utilisation que vous faites Bibliothèque de liens dynamiques
d'Internet dans un fichier texte.
Bibliothèque de fonctions
Cookie tiers accessible dynamiquement (le cas
Cookie persistant placé sur votre échéant) par une application
ordinateur, non pas par le site Windows.
Web que vous consultez, mais par
DNS
un annonceur ou un tiers. Ces
cookies sont généralement utilisés Serveur de noms de domaine
pour informer ce tiers de vos Service de requête de données
activités sur Internet. généralement utilisé sur Internet
pour la conversion de noms
D d'hôtes ou de noms de domaines
DHCP (tels que www.votresite.com) en
DHCP (Dynamic Host adresses Internet (de type
Configuration Protocol) 123.456.789.0).
Protocole utilisé pour la prise en Droit d'accès
charge de l'adressage IP Les droits d'accès autorisent un
dynamique. Au lieu de vous programme installé sur votre
donner une adresse IP statique, ordinateur à établir une connexion
votre FAI peut choisir de vous avec un autre ordinateur. Ils se
attribuer une adresse IP différente distinguent des droits de serveur,
chaque fois que vous vous qui autorisent un programme à
connectez. Ainsi, le fournisseur "écouter" les demandes
peut desservir un grand nombre de d'autorisation de connexion
clients avec un nombre émises par d'autres ordinateurs.
d'adresses IP relativement Vous pouvez attribuer à un
restreint. programme les droits d'accès à la
Diffusion/multidiffusion DHCP zone sûre, à la zone Internet ou
aux deux.
Type de message utilisé par un
ordinateur client sur un réseau Droits de serveur
utilisant l'adressage IP Les droits de serveur permettent à
dynamique. Lorsque l'ordinateur un programme installé sur votre
se connecte et qu'il a besoin d'une ordinateur “d'écouter” les
adresse IP, un message est envoyé requêtes de connexion provenant
à tous les serveurs DHCP qui se d'autres ordinateurs, ce qui
trouvent sur le réseau. Lorsqu'un permet à ces derniers de
serveur DHCP reçoit ce message, communiquer avec le vôtre. Ils se
il attribue une adresse IP à distinguent des droits d'accès, qui
l'ordinateur. permettent à un programme
d'ouvrir une session de conformité définies par
communication avec un autre l'administrateur de passerelle.
ordinateur. Différents types
d'applications courantes, telles F
que les programmes de FAI
conversation, les clients de Fournisseur d'accès à Internet
courrier électronique et les
programmes d'appel en attente Société qui commercialise des
Internet, peuvent avoir besoin des accès à Internet. Les FAI
droits de serveur pour fonctionner proposent de nombreux types de
correctement. Vous devez attribuer connexions Internet aux
des droits de serveur uniquement entreprises et aux particuliers :
aux programmes que vous connexion via une ligne de
considérez fiables et pour lesquels téléphone classique avec un
ces droits sont indispensables à modem (réseau commuté), une
leur fonctionnement. Evitez autant ligne haut débit DSL ou un
que possible d'accorder des droits modem câble.
de serveur à un programme pour
la zone Internet. Si vous devez
G
accepter des connexions entrantes Gestionnaire de confidentialité
de la part d'un nombre limité Fenêtre qui vous prévient lorsque
d'ordinateurs seulement, ajoutez le client bloque des cookies ou un
ces derniers à la zone sûre, puis code mobile et qui vous permet de
attribuez au programme des droits débloquer ces éléments pour une
de serveur pour la zone sûre page particulière.
uniquement.
I
E ICMP
Endpoint Security à la demande Internet Control Messaging
En plus de fournir une vérification Protocol
de conformité effective d'extrémité
(pour les mises à jour requises, les Extension du protocole Internet
signatures d'anti-virus, etc.) lors (IP) prenant en charge le contrôle
de la connexion, le scanner des erreurs et les messages
Endpoint Security à la demande d'information. Le message "ping"
analyse aussi les ordinateurs est un message ICMP couramment
d'extrémité pour rechercher des utilisé pour tester une connexion
logiciels dangereux avant Internet.
d'autoriser l'accès au réseau ICS
interne. L'accès est octroyé ou
Partage de connexion Internet
refusé à l'utilisateur final en se
basant sur des options de ICS est un service proposé par le
système d'exploitation Windows et
qui permet aux ordinateurs en sécurité sociale ou de carte
réseau de partager une connexion bancaire, etc.).
unique à Internet.
IPSec
IKE Un protocole de sécurité pour
Echange de clés Internet, l'authentification et le cryptage
méthode utilisée dans le protocole sur Internet.
IPSec pour :
J
• authentifier les utilisateurs JavaScript
• négocier une méthode de Langage de script très utilisé qui
cryptage permet de créer certains des
• échanger une clé secrète contenus interactifs les plus
utilisée pour le cryptage de courants sur les sites Web. Parmi
données les fonctions JavaScript les plus
courantes, on peut citer : les liens
index.dat Précédent et Historique, les
Les fichiers index.dat conservent images réactives ou bien
des copies de tout ce qui est l'ouverture et la fermeture des
passé dans les dossiers fenêtres du navigateur. Les
temporaires Internet, les cookies paramètres par défaut autorisent
et l'historique même APRES la JavaScript car il est très utilisé et
suppression de ces fichiers. n'est généralement pas dangereux.
Informations confidentielles d'en-tête L
Section d'une page Web qui Liste des programmes
contient des informations sur le
Liste des programmes auxquels
site et peut collecter des
vous pouvez donner des droits
informations sur les visiteurs du
d'accès à Internet et des droits de
site. Les informations
serveur. Cette liste figure dans
confidentielles d'en-tête
l'onglet Programmes du volet
permettent aux sites que vous
Contrôle des programmes. Vous
visitez de savoir de quel site vous
pouvez ajouter des programmes
venez, en cliquant sur un lien
dans cette liste ou en supprimer.
depuis un autre site. Si un site
met en œuvre les informations M
confidentielles d'en-tête sans
Magasin personnel
précaution, les en-têtes
confidentielles peuvent transférer Un conteneur de certificat sur
des informations que vous avez votre ordinateur (à l'opposé d'un
saisies dans un formulaire Web certificat sur un jeton). Il n'est
(par exemple un numéro de donc disponible que lorsque vous
avez accès au système sécurisées via le pare-feu et les
d'exploitation. serveurs de proxy configurés pour
bloquer des paquets IPSec.
Messages de détection
Messages envoyés par un FAI pour Moteur de sécurité TrueVector
vérifier qu'une connexion par C'est le principal composant de
modem est toujours utilisée. S'il sécurité client.. Le moteur de
s'avère qu'un client n'est plus sécurité TrueVector surveille le
présent, le FAI peut le trafic Internet et applique les
déconnecter et attribuer l'adresse règles de sécurité.
IP à un autre client.
N
Mode Apprentissage des composants
NetBIOS
La période juste après
Network Basic Input/Output
l'installation pendant laquelle le
System
niveau de contrôle des
programmes est défini sur Moyen. Programme permettant aux
Ce mode permet au client de applications de plusieurs
reconnaître rapidement les ordinateurs de communiquer dans
signatures MD5 de nombreux un réseau local. Par défaut, le
composants fréquemment utilisés, client autorise le trafic NetBIOS
sans interrompre votre travail par dans la zone sûre, mais le bloque
des alertes multiples. dans la zone Internet. Ainsi, le
partage de fichiers est possible sur
Mode furtif des réseaux locaux et vous êtes
Lorsque le client place votre protégé contre les failles de
ordinateur en mode furtif, le trafic NetBIOS sur Internet.
indésirable ne reçoit aucune
réponse, pas même une Nettoyeur de cache
confirmation de l'existence de Fonctionnalité de protection de la
votre ordinateur. Votre ordinateur confidentialité de vos données.
est donc invisible sur Internet tant Elle permet de supprimer les
qu'aucun programme autorisé de fichiers et cookies inutiles de votre
votre ordinateur n'établit de ordinateur, soit à la demande, soit
contact avec un autre ordinateur. à intervalles réguliers.
Mode Visiteur Niveaux de sécurité

Une solution d'accès à distance Les paramètres (Elevé, Moyen et
VPN de Check Point qui autorise Bas) qui spécifient le type de
les tunnels pour les passerelles de trafic autorisé à rentrer sur votre
communication de tous les clients ordinateur et à en sortir.
sur une connexion TCP normale
sur le port 443. Le mode Visiteur
s'assure des communications
O pour déterminer si un ordinateur
donné est connecté à Internet. Un
Objet intégré petit utilitaire envoie un simple
Objet de type fichier tel que message de “requête d'écho” à
fichier de son ou d'image intégré à l'adresse IP de destination, puis
une page Web. attend une réponse. Si l'ordinateur
correspondant à l'adresse reçoit le
Objet intégré de type MIME message, il renvoie "l'écho".
Objet de type image, fichier son Certains fournisseurs Internet
ou vidéo intégré à un courrier envoient régulièrement des
électronique. MIME signifie en requêtes “ping” à leurs clients
anglais Multipurpose Internet Mail afin de vérifier qu'ils sont toujours
Extensions. connectés.
P Popunder publicitaire
Paquet Publicité apparaissant dans une
Unité élémentaire du trafic nouvelle fenêtre de navigateur qui
réseau. Sur des réseaux de s'ouvre sous la fenêtre que vous
commutation par paquets tels que consultez. Ainsi, vous ne voyez la
Internet, les messages sortants publicité que lorsque vous
sont divisés en petites unités, puis refermez la fenêtre principale de
envoyés vers leur destination navigation.
respective avant d'être Popup publicitaire
réassemblés par le destinataire.
Publicité apparaissant dans une
Chaque paquet comprend
nouvelle fenêtre de navigateur qui
l'adresse IP de l'expéditeur et du
s'ouvre devant la fenêtre que vous
destinataire ainsi que le numéro
consultez.
de port.
Port
Passerelle
Chaîne associée à l'utilisation de
Dans un environnement réseau,
TCP ou UDP. Certains ports sont
combinaison d'éléments matériels
associés à des protocoles réseau
et logiciel reliant deux types de
standard. Par exemple, HTTP
réseau. Par exemple, si vous
(Hypertext Transfer Protocol) est
utilisez un réseau local (LAN)
généralement associé au port 80.
d'entreprise ou privé, une
Les numéros de ports sont
passerelle permet aux ordinateurs
compris entre 0 et 65 535.
du réseau de communiquer avec
Internet. Protocole
Ping Format normalisé pour l'envoi et la
réception de données. Les
Type de message ICMP (ou plus
protocoles sont utilisés selon leurs
exactement, “écho ICMP”), utilisé
fonctions. Par exemple, SMTP
(Simple Mail Transfer Protocol) question (le courrier de
est utilisé pour l'envoi de courriers vérification) et une autre partie
électroniques tandis que FTP (File fournit une réponse (la réponse).
Transfer Protocol) sert à l'envoi de Pour que l'authentification prenne
fichiers volumineux de différents place, une réponse valide doit être
types. Chaque protocole est fournie à la question. Les
associé à un port spécifique. Par systèmes de sécurité qui reposent
exemple, les messages FTP sont sur des cartes à puce sont basés
associés au port 21. sur un courrier de vérification et
une réponse. Un utilisateur reçoit
Publicité animée un code (le courrier de
Publicité qui intègre des images vérification) qu'il ou qu'elle entre
en mouvement. dans la carte à puce. La carte à
puce affiche alors un nouveau
Publicité skyscraper
code (la réponse) que l'utilisateur
Publicité qui s'affiche dans une présente à la connexion.
colonne verticale le long d'une
page Web. Réseau public
Un réseau public correspond
Q généralement à un réseau
Quarantaine beaucoup plus grand, par exemple
Le service MailSafe place en celui d'un fournisseur d'accès à
quarantaine les pièces jointes Internet (FAI). Par défaut, les
entrantes dont les extensions de réseaux publics sont placés dans
fichier (par exemple, .EXE ou la zone Internet.
.BAT) indiquent la présence
éventuelle de code auto-
S
exécutable. En changeant Script
l'extension de fichier, la mise en Série de commandes qui
quarantaine empêche toute s'exécutent de façon automatique,
ouverture de la pièce jointe sans sans que l'utilisateur
inspection. Ainsi, vous êtes n'intervienne. Les scripts se
protégé contre les vers, les virus et présentent généralement sous la
les autres logiciels destructeurs forme d'une bannière, de menus
diffusés sous forme de pièces qui changent lorsque vous passez
jointes par les pirates la souris au-dessus et de popups
informatiques. publicitaires.
R SecurID :
Réponse de vérification Le mécanisme d'authentification
Réponse de vérification est un de SecurID RSA consiste en
protocole d'authentification dans matériel (jeton FOB, USB) ou
lequel une partie présente une logiciel (softID) qui génère un
code d'authentification à des d'un fichier. Si un fichier a été
intervalles fixes (habituellement modifié (par exemple, si un
une minute) en utilisant une programme a été modifié par un
horloge intégrée et une clé pirate), sa signature MD5 change
aléatoire codée. également.
La forme la plus typique de jeton SoftID
de SecurIF est le périphérique SoftID fonctionne de la même
mobile. Le périphérique est façon qu'un périphérique de code,
habituellement une clé FOB ou mais consiste seulement en un
une carte slim. Le jeton peut avoir logiciel qui se trouve sur le
une carte d'identification bureau.
personnelle, sur laquelle un
utilisateur entre un numéro La vue Avancée affiche le code de
d'identification personnel (PIN) jeton et le code avec des boutons
pour générer un code. Lorsque le COPIE, autorisant l'utilisateur à
jeton n'a pas de carte couper et coller entre softID et le
d'identification personnelle, un client.
code de jeton est affiché. Un code
Stratégie d'entreprise
de jeton est le numéro changeant
affiché sur la clé FOB. Ensemble de paramètres de
sécurité (pare-feu, contrôle des
Serveur de messagerie programmes, protection des
Ordinateur distant sur lequel le courriers électroniques, etc.)
programme de messagerie de votre conçus par un administrateur
ordinateur récupère les courriers réseau et envoyés au client par
électroniques qui vous sont chargement depuis un serveur
adressés. Endpoint Security. L'utilisateur
extrémité endpoint ne peut
Serveur Endpoint Security modifier la stratégie d'entreprise.
Un système Endpoint Security par
Check Point qui permet à Stratégie d'entreprise personnelle
l'administrateur système de gérer La stratégie personnelle comprend
la sécurité des ordinateurs à partir tous les paramètres de sécurité
d'un emplacement unique. Les que vous pouvez contrôler via
administrateur créent des l'interface cliente. Par exemple, si
stratégies, puis les déploient vers vous utilisez l'onglet Zones afin
les applications clientes Endpoint d'ajouter un serveur à la zone
Security exécutées sur leurs sûre, cette configuration devient
ordinateurs utilisateur. une partie de votre stratégie
personnelle.
signature MD5
"Empreinte digitale" numérique
utilisée pour vérifier l'intégrité
T Connectra fournit un service
d'accès à distance pour des
TCP clients à distance.
Protocole de contrôle de
transmission Z
Un des principaux protocoles des Zone bloquée
réseaux TCP/IP, qui s'assure que La zone bloquée contient les
les données sont bien arrivées à ordinateurs auxquels vous ne
destination et que les paquets souhaitez pas vous connecter. Le
arrivent dans l'ordre dans lequel client empêche toute
ils ont été envoyés. communication entre votre
ordinateur et ceux de cette zone.
U
Zone Internet
UDP
La zone Internet comprend tous
Protocole datagramme utilisateur les ordinateurs du monde, à
Protocole sans connexion l'exception de ceux que vous avez
s'exécutant sur les réseaux IP et ajoutés à la zone sûre ou à la zone
utilisé principalement pour bloquée.
diffuser des messages sur un Le client applique une sécurité
réseau. rigoureuse à la zone Internet et
V vous protège contre les pirates
informatiques. Dans le même
VPN temps, les paramètres de sécurité
Réseau privé virtuel de niveau moyen de la zone sûre
Un réseau privé virtuel est un vous permettent de communiquer
réseau qui assure un accès facilement avec les ordinateurs ou
sécurisé privé à un réseau local les réseaux que vous connaissez et
(tel que le réseau de votre que vous considérez comme étant
organisation) par l'intermédiaire fiables (par exemple, vos PC en
d'une infrastructure publique réseau privé ou votre réseau
(telle qu'Internet), en envoyant par professionnel).
tunnel les transmissions et les Zone sûre
données via des protocoles de
La zone sûre contient les
cryptage et autres mesures de
ordinateurs fiables avec lesquels
sécurité.
vous souhaitez partager des
VPN d'accès à distance ressources.
Se référer aux utilisateurs à Par exemple, si vous disposez à
distance accédant au réseau avec votre domicile de trois ordinateurs
un logiciel client, par exemple reliés par un réseau Ethernet, vous
Endpoint Connect. La passerelle pouvez ajouter chaque ordinateur
ou l'ensemble du sous-réseau de
l'adaptateur réseau à la zone sûre.
Les paramètres de sécurité par
défaut de la zone sûre (de niveau
Moyen) vous permettent de
partager, en toute sécurité, des
fichiers, des imprimantes et
d'autres ressources sur le réseau
privé. Les pirates informatiques
sont confinés dans la zone
Internet où les paramètres de
sécurité élevés vous protègent.
Index
Affichage de l'état de protection anti-virus
1 et anti-espion - 56
1394 - 193 Affichage de l'historique texte - 166
A Affichage des éléments placés en

quarantaine - 60
A propos de la consignation des
événements - 160 Affichage des entrées d'historique - 164
A propos des alertes - 159 Affichage des historiques - 61
Accès à un support crypté - 138 Affichage des informations de l'état et du

cryptage - 122
Accès au support crypté à partir
d'ordinateurs sans Media Encryption - Affichage des propriétés du profil - 34
139 Affichage des propriétés du site - 37
Activation de la connexion - 43 Affichage des Stratégies disponibles - 156
Activation de la protection MailSafe en Affichage du trafic des zones - 83
sortie - 152
Afficher ou masquer les alertes - 162
Activation de MailSafe par programme -
152 Afficher ou masquer les alertes de Pare-
feu - 162
Activation des fonctions Anti-virus et Anti-
espion - 56 Afficher votre ordinateur sur votre réseau
local - 187
Activation du mode bureau - 47
Agir en tant que serveur - 193
Activation du mode concentrateur - 47
Ajout à la liste des programmes - 100,
Activation du partage de connexion 177
Internet (ICS) - 77, 191
Ajout à la zone bloquée - 86
Activation du partage de fichiers et
d'imprimantes - 76 Ajout à la zone sûre - 76, 77, 84, 105,
108, 109, 186, 187, 188, 190, 191
Activation du traitement automatique des
logiciels espions - 68 Ajout de ports personnalisés - 89
Activation du traitement automatique des Ajout de ressources VPN à la zone sûre -

virus - 67 90, 186
Activation du verrouillage automatique - AlertAdvisor - 193

96, 173 Alerte de niveau moyen - 194
Adresse IP - 193 Alerte MailSafe - 171
Alerte Pare-feu/de protection - 169
Alertes Action manuelle requise - 182 Avertissement en rouge - 148
Alertes Avertissement en rouge - 149 Avrtissements de site douteux - 147
Alertes Composant de programme - 177
B
Alertes de conformité - 19, 173
Bannière jaune Attention - 147
Alertes de niveau élevé - 194
Bannière publicitaire - 194
Alertes de programme - 160, 174
Blocage des messages contextuels - 50
Alertes et historiques - 159
Blocage des publicités - 194
Alertes informatives - 160, 169, 194
Blocage et déblocage de ports - 75, 86
Alertes Nouveau programme - 18, 174
Bogue Web - 194
Alertes Nouveau réseau - 160, 182
Alertes Nouveau réseau et VPN - 19 C
Alertes Programme avancées - 180 Caractères pris en charge dans
l'environnement de pré-amorçage - 130
Alertes Programme bloqué - 171
Caractéristiques - 131
Alertes Programme connu - 175
Champ En-tête de renvoi HTTP - 194
Alertes Programme modifié - 176
Champs de l'onglet Consulter les Logs -
Alertes Programme serveur - 179 165
Alertes Verrouillage Internet - 172 Cheval de Troie - 195
Analyse - 57 Clé FOB - 195
Analyse de port - 194 Clonage de profils - 32
Analyse en accès - 66 Code mobile - 195
Anti-virus et Anti-espion - 13, 55, 56 Communauté d'accès à distance - 195
Applet Java - 194 Composant - 195
Archivage des entrées d'historique - 167 Comprendre le Contrôle des programmes -
Authentication au Full Disk Encryption - 93
111 Comprendre les Détails de la connexion -
Authentication pour la première fois - 112 VPN hérité - 40
Authentification - 23 Comprendre les zones - 74
Authentification de programme - 94, 177 Comprendre WebCheck - 145
Autorisation des messages de détection Configuration automatique du VPN et

FAI - 170, 189, 190 règles avancées - 185, 186
Autorisation des protocoles VPN - 91 Configuration de la connexion VPN - 90,

182
Autorisation des supports amovibles - 142
Configuration de la connexion VPN pour le Connexion à des serveurs de messagerie
Pare-feu - 89, 186 réseau - 77
Configuration de l'accès des programmes - Connexion automatique - 43
96
Connexion et déconnexion - 39
Configuration des nouvelles connexions
Connexion intégrée à Windows - 122
réseau - 76
Connexion locale automatique - 22, 45
Configuration des options de base des
alertes et des historiques - 161 Connexion par modem - 196
Configuration des options de connexion - Connexion sécurisée au domaine - 23, 44
43
Connexion via un client ICS - 189, 191
Configuration des options de sécurité
Connexion via un serveur proxy - 191
avancées - 79, 107, 187
Connexion via une zone d'accès sans fil -
Configuration des options de sécurité de la
46
Passerelle - 79
Contrôle d'accès des programmes - 93
Configuration des options de sécurité du
réseau - 82 Contrôle des cookies - 196
Configuration des options de sécurité Contrôle des programmes - 14, 93
générales - 81
Contrôle des programmes Avancé - 102,
Configuration des options d'historique des 196
événements et des programmes - 161,
Contrôle du code mobile - 196
163
Contrôles ActiveX - 196
Configuration des options ICS - 80
Cookie - 196
Configuration des options MailSafe - 153
Cookie de session - 196
Configuration des préférences de contact -
17 Cookie persistant - 196
Configuration des préférences générales - Cookie tiers - 197
16
Création de profils - 31
Configuration des profils et des sites - 30
Création d'un certificat Check Point
Configuration du client Endpoint Security PKCS#12 - 27
pour autoriser les commandes ping -
Création d'un jeton CAPI de certificat
191
Check Point - 27
Configuration du client pour le trafic VPN
Création d'un raccourci de bureau pour un
- 185, 186
profil - 34
Configuration du mot de passe de niveau
Cryptage de support - 135, 138
utilisateur - 15
Cryptage des CD et DVD - 138
Configuration du niveau d'alerte - 161
D Droits de serveur - 75, 197
Déblocage de la Passerelle VPN - 91
E
Définition d'autorisations spécifiques - 99,
Echec de la connexion à Internet après
108, 152, 186
l'installation - 189
Définition de sites - 35
Effacement des CD et des DVD - 141
Définition des droits d'accès de
Endpoint Security à la demande - 198
programme - 97
Endpoint Security Anti-virus et Anti-espion
Définition des options d'authentification -
- 55
103
Envoi d'informations sur des virus et de
Définition des options du Contrôle des
logiciels espions à Check Point - 59
programmes - 94
Est connecté tout le temps - 45
Définition des préférences - 15
Exportation et importation de profils - 32
Définition du niveau de contrôle des
programmes - 94 Extraction de fichiers vers un disque dur
local - 140
Délai de détection automatique du VPN -
185, 186 Extraction de fichiers vers un
emplacement temporaire sécurisé - 141
Démarrage et arrêt des services client VPN
- 23
F
Dépannage - 185
FAI - 198
Dépannage des connexions Internet - 188
Fonctionnalités facultatives de Full Disk
Dépannage du réseau - 187 Encryption - 118
Dépannage du VPN - 185 Fonctionnement de la protection Pare-feu
Désactivation de la protection MailSafe en - 73
sortie - 103 Fonctionnement de l'arbitrage des
Désactivation de l'option SSO - 120 stratégies - 156
Désactivation de sites - 38 Fonctionnement des alertes et des

historiques - 159
Description des détails de la connexion -
VPN Endpoint Connect - 42 Formatage de l'apparence des historiques
- 163
Description des paramètres de connexion -
VPN Endpoint Connect - 42 Full Disk Encryption - 14, 111
DHCP - 197 G
Diffusion/multidiffusion DHCP - 197 Garantie de la non-falsification de votre
DLL - 94, 197 ordinateur - 112
DNS - 197 Gestion des certificats - 25, 35
Droit d'accès - 75, 197 Gestion des certificats Check Point - 26

Gestion des certificats Entrust - 25 J
Gestion des composants de programme - JavaScript - 199
104
Gestion des éléments placés en L
quarantaine - 61 Langues de remplacement - 127
Gestion des profils de connexion - 31 Langues prises en charge - 126
Gestion des sites VPN - 35 Les zones permettent de contrôler les
Gestion du trafic des zones - 83 programmes - 75
Gestionnaire de confidentialité - 198 Les zones permettent d'organiser la

sécurité avec un Pare-feu - 74
Gestionnaire de périphériques - 132, 133
Liste des exceptions de l'anti-virus - 69
Gestionnaire de stratégie - 132
Liste des programmes - 199
Gestionnaire de supports amovibles - 132
Liste d'exceptions de l'Anti-espion - 70
I
M
ICMP - 190, 198
Magasin personnel - 199
Icônes de la barre d'état - 13
Media Encryption - 14, 131
ICS - 80, 198
Messages de détection - 200
Identification de la source des messages
de détection - 190 Mise à jour de sites - 37
IKE - 199 Mise à jour des définitions de virus et de

logiciel espion - 64
index.dat - 199
Mode Apprentissage des composants -
Informations confidentielles d'en-tête - 200
199
Mode entreprise - 147
Informations d'activation de licence Full
Disk Encryption - 124 Mode furtif - 200
Informations d'état de Full Disk Mode Internet - 146

Encryption - 123 Mode Internet et mode entreprise - 146
Informations sur le cryptage - 124 Mode Visiteur - 200
Intégration au services réseau - 76 Modes de commutation - 147
Interfaces VPN compactes et étendues - Modification de la langue de l'interface -
22, 31 126
Introduction à Endpoint Security - 11 Modification de vos informations
IPSec - 199 d'authentification - 125
Modification des méthodes
d'authentification - 24, 37
Modification des profils - 33 P
Modification des sources de trafic des Paquet - 201
zones - 84
Paramètre de sécurité de niveau moyen -
Modification du mot de passe du 75
périphérique crypté - 141
Paramètres d'autorisation de port par
Modifications de mot de passe et de défaut - 87, 106
sécurité de périphérique optimisée et de
SSO - 121 Paramètres de sécurité de niveau élevé -
74
Moteur de sécurité TrueVector - 200
Paramètres proxy (mode visiteur) - 48
Mots de passe mis en cache - 134
Pare-feu - 13, 73
N Partage local de fichiers et d'imprimantes
- 187, 188
NetBIOS - 78, 200
Passerelle - 79, 201
Nettoyeur de cache - 200
Personnalisation de la consignation des
Niveaux de sécurité - 78, 200
événements - 163
O Personnalisation de la consignation des
programmes - 164
Objet intégré - 201
Personnalisation de la protection MailSafe
Objet intégré de type MIME - 201 en sortie - 152
Octroi de droits d'accès Internet aux Personnalisation des paramètres de
programmes - 101, 105, 179 contrôle des programmes - 98
Octroi de droits de serveur aux Ping - 201
programmes - 101, 106, 107, 179,
180 Planification des analyses - 63
Octroi de droits d'envoi de courrier Popunder publicitaire - 201
électronique aux programmes - 102 Popup publicitaire - 201
Octroi de l'autorisation d'accès au logiciel Port - 201
VPN - 92
Première connexion après l'activation de
Octroi de l'autorisation d'utiliser des SSO ou la sécurité du périphérique
programmes pour d'autres utilisateurs - optimisée. - 120
103
Présentation de la Page principale
Options avancées - 63 Endpoint Security - 11, 12
Options d'analyse de virus - 69 Présentation de l'onglet Infos sur le
Options de configuration avancées - 50 produit - 17
Options de ligne de commande - 51 Principes de base du VPN - 21
Protection de WebCheck - 145
Protection des courriers électroniques - Réduction du nombre d'alertes Programme
14, 151 serveur - 180
Protection MailSafe en sortie - 151, 171 Réduction du nombre d'alertes
Verrouillage Internet - 172
Protocole - 201
Référence aux alertes - 159, 169
Protocoles VPN pris en charge - 89
Renouvellement des certificats Check
Publicité animée - 202
Point - 29
Publicité skyscraper - 202
Réparation de fichiers d'archive - 68
Q Réponse aux alertes - 18
Quarantaine - 202 Réponse de vérification - 202
Que faire en cas d'oubli du mot de passe ? Réseau public - 202
- 117
S
Que faire si je ne peux pas accéder à mon
jeton ou à ma carte à puce ? - 117 Sauvegarde du certificat à un autre
endroit - 29
R Script - 202
Réduction du nombre d'alertes Action Se connecter avec SSO ou la sécurité de
manuelle requise - 182 périphérique optimisée activée. - 121
Réduction du nombre d'alertes Composant Section Maintenance - 144
de programme - 178
SecurID : - 202
Réduction du nombre d'alertes de
conformité - 174 Sécurité du périphérique optimisée et à
connexion unique - 120
Réduction du nombre d'alertes Nouveau
programme - 175 Sélection des niveaux de sécurité - 78,
188, 191
Réduction du nombre d'alertes Nouveau
réseau - 183 Serveur de messagerie - 203
Réduction du nombre d'alertes Pare-feu - Serveur Endpoint Security - 203
170 signature MD5 - 203
Réduction du nombre d'alertes Programme Signification des alertes Action manuelle
avancées - 181 requise - 182
Réduction du nombre d'alertes Programme Signification des alertes Composant de
bloqué - 172 programme - 177
Réduction du nombre d'alertes Programme Signification des alertes de conformité -
connu - 176 173
Réduction du nombre d'alertes Programme Signification des alertes MailSafe - 171
modifié - 177
Signification des alertes Nouveau
programme - 174
Signification des alertes Nouveau réseau - Synchronisation des mots de passe - 118
182
Signification des alertes Pare-feu - 169 T
Signification des alertes Programme TCP - 204
avancées - 181 Traitement manuel des fichiers - 58
Signification des alertes Programme Tunnel de parcours NAT - 37, 50
bloqué - 171
Types de Stratégie - 155
Signification des alertes Programme
connu - 175 Types de VPN d'Endpoint Security - 22
Signification des alertes Programme U

modifié - 176
UDP - 204
Signification des alertes Programme
serveur - 179 Utilisation d'Alert Advisor - 168, 180
Signification des alertes Verrouillage Utilisation de flux média - 107

Internet - 172 Utilisation de FTP - 107
Signification des résultats de l'analyse - Utilisation de la liste des programmes - 99
58
Utilisation de la surveillance de la sécurité
SoftID - 203 des programmes - 143
Solution - 170, 171, 172, 173, 174, Utilisation de l'onglet Général du volet
175, 176, 178, 180, 181, 182, 183 Présentation - 15, 56
Solutions en cas de démarrage lent - 187, Utilisation de programmes avec le client -
188 104
Spécification des cibles de l'analyse - 65 Utilisation de programmes de conférence
Spécification des méthodes de détection Web - 109
des logiciels espions - 67 Utilisation de VNC - 108
Statut de connexion - 40 Utilisation de Voix sur IP - 109
Stockage de PKCS#12 dans le magasin Utilisation des jeux - 107
CAPI - 28
Utilisation des navigateurs - 105
Stratégie d'entreprise - 203
Utilisation des programmes de
Stratégie d'entreprise personnelle - 203 conversation - 105
Stratégies - 14, 63, 155 Utilisation du client EPM - 135
Support de connexions par modem - 49 Utilisation du Contrôle à distance - 108
Suppression de profils - 34 Utilisation du courrier électronique - 106
Suppression de sites - 22, 38 Utilisation du Gestionnaire de
Surveillance de la sécurité des périphériques - 143
programmes - 133
Utilisation du gestionnaire de supports
amovibles - 142
Utilisation du logiciel anti-virus - 105
Utilisation du mot de passe Windows pour
le Full Disk Encryption - 119
Utilisation du partage de fichiers - 107
Utilisation du volet de Full Disk
Encryption. - 122
Utilisation du volet Stratégies - 156
Utilisation d'un jeton dynamique - 114
Utilisation d'un mot de passe fixe - 112
Utilisation d'un répondeur Internet - 106
Utilisation d'une carte à puce ou d'un
jeton USB - 115
V
Volet Présentation - 14
Volets - 13
VPN - 13, 21, 204
VPN d'accès à distance - 204
W
WebCheck - 14, 145
Z
Zone bloquée - 74, 204
Zone Internet - 74, 204
Zone sûre - 74, 204

CP R72 Endpoint Security Client UserGuide FR

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

CP R72 Endpoint Security Client UserGuide FR

Transféré par

Droits d'auteur :

Formats disponibles

Endpoint Security Client

Dans cette section

Présentation de la Page principale Endpoint Security 11

Présentation de la Page principale Endpoint

Figure 0-1 Page principale Endpoint Security

Le menu gauche permet d'accéder aux volets disponibles.

Icônes de la barre d'état

Analyse de sécurité, cryptage ou modification des paramètres du client en

Contrôle des programmes

Protection des courriers électroniques

Pour ouvrir le volet Présentation, procédez comme suit :

• Vérifier rapidement si votre ordinateur est sécurisé.

Définition des préférences

Pour définir ou modifier le mot de passe du client Endpoint Security :

Chapter 1 Introduction à Endpoint Security 15

Pour définir les préférences générales d'affichage, procédez comme suit :

Pour configurer un serveur proxy :

1. Sélectionnez Activer le serveur Proxy.

Pour définir les préférences générales de contact :

Présentation de l'onglet Infos sur le produit

• client Endpoint Security (inclut aussi les date et heure d'installation)

Chapter 1 Introduction à Endpoint Security 17

Alertes Nouveau programme

Peu de programmes ou de processus nécessitent des droits de serveur pour

Alertes Nouveau réseau et VPN

• Il affiche une alerte de conformité (uniquement si l'affichage des alertes de

• Si la non-conformité n'exige pas de correction immédiate, votre accès au

Chapter 1 Introduction à Endpoint Security 19

Dans cette section

Principes de base du VPN 21

Principes de base du VPN

Types de VPN d'Endpoint Security

Interfaces VPN compactes et étendues

1. Si vous passez de l'affichage étendu à l'affichage compact, vous devez

Démarrage et arrêt des services client VPN

Pour démarrer Endpoint Connect :

1. Démarrez > Programmes > Check Point Extrémité VPN

Pour arrêter Endpoint Connect :

1. Cliquez avec le bouton droit sur l'icône de la barre d'état.

• Un certificat enregistré (sur disquette ou un jeton matériel) et un mot de passe

Modification des méthodes d'authentification

Pour changer de méthode d'authentification, procédez comme suit :

1. Ouvrez VPN | Général.

Gestion des certificats

Gestion des certificats Entrust

Pour effectuer l'authentification avec un certificat Entrust :

Tout d'abord, activez Entrust Entelligence :

Gestion des certificats Check Point

• Le format du certificat à utiliser

Pour créer un fichier PKCS#12 :

1. Sélectionnez VPN | Général et cliquez sur Paramètres VPN.

Pour créer un jeton matériel ou logiciel :

1. Sélectionnez VPN | Général et cliquez sur Paramètres VPN.

Pour saisir le fichier PKCS#12 dans le magasin CAPI :

1. Double-cliquez sur le fichier avec l'extension p12.

1. Sélectionnez VPN | Général et cliquez sur Paramètres VPN.

1. Sélectionnez VPN | Général et cliquez sur Options VPN.

Configuration des profils et des sites

Gestion des profils de connexion

Pour créer un nouveau profil de connexion :

1. Effectuez l'une des opérations suivantes :

Exportation et importation de profils

Pour exporter un profil :