Fonctionnalité d’Emsisoft : Coup de projecteur sur les exclusions des analyses et de la surveillance

Mettre sur la liste blanche des fichiers et programmes via les exclusions des analyses et de la protection en temps réel n’est certes pas une nouvelle fonctionnalité des produits d’Emsisoft en tant que tel. Néanmoins, la dernière version de nos produits de protection augmente de manière exponentielle la flexibilité pour les utilisateurs intensifs. Découvrez ci-après une brève présentation des cas d’utilisation typiques des exclusions :

Si vous ouvrez l’Emsisoft Anti-Malware et accédez à « Paramètres » -> « Exclusions », vous verrez s’afficher une nouvelle boîte de dialogue divisée en deux sections principales :

Boîte de dialogue des exclusions d’Emsisoft

1. Exclure de l’analyse

Le nom de cette fonctionnalité se suffit à lui-même. Choisissez un fichier spécifique ou tout un dossier afin qu’ils soient exclus des détections anti-malware lors des analyses non planifiées et de celles effectuées par le Gardien de fichiers.

Scénario : Logiciel de commande à distance

Il existe certains outils de commande à distance qui peuvent être utilisés en toute sécurité, toutefois les auteurs malveillants ont tendance à les utiliser également. Si vous n’avez d’autres choix que de vous en servir, vous pouvez exclure leurs chemins de fichier de l’analyse via le scanneur d’Emsisoft.

Scénario : « Logiciel indésirable » (PUP) désiré

Les signatures de détection d’Emsisoft sont plutôt radicales dans leur approche des logiciels potentiellement indésirables. Parfois, des utilisateurs aimeraient quand même bien utiliser certains programmes comme des barres d’outils de navigateur. Pour en éviter la détection et suppression lors d’analyses futures du disque, ajoutez simplement le dossier d’installation du PUP à la liste des exclusions.

2. Exclure de la surveillance

Au lieu de contrôler quels fichiers de programmes sont exclus de l’analyse, vous pouvez définir ici que certaines actions ou certains comportements de programmes spécifiques ne doivent pas être surveillés.

Scénario : Deuxième programme antivirus

Chaque lecture ou écriture de fichier par un programme peut déclencher une analyse par le Gardien de fichiers. Analyser un fichier est également une opération de fichier qui peut entraîner une analyse par un deuxième programme antivirus installé. Toutefois, si cet autre antivirus ouvre un fichier pour lecture, cette action pourrait, elle aussi, entraîner une autre analyse par Emsisoft, et ainsi de suite. Il peut s’ensuivre un plantage du système car toutes les ressources sont utilisées pour analyser à l’infini un fichier spécifique. Pour briser le cercle vicieux, il convient de toujours exclure dans Emsisoft tout autre programme de protection en temps réel, et d’exclure Emsisoft de l’autre programme.

Scénario :  Incompatibilité logicielle

Afin de développer une protection de premier ordre, les modules de protection en temps réel d’Emsisoft doivent travailler en étroite collaboration avec le cœur du système d’exploitation de Windows. La technologie est appelée « crochets » et signifie, principalement, que notre logiciel se positionne entre le système d’exploitation et les programmes exécutés afin d’intercepter toute opération de sécurité pertinente, si nécessaire. D’autres logiciels utilisent également des crochets pour créer certaines fonctionnalités et, parfois, certaines incompatibilités surgissent résultant en des plantages ou en un mauvais fonctionnement. Si vous rencontrez de tels problèmes, vous pouvez placer l’autre programme dans la liste des exclusions de la surveillance, afin d’éviter que le programme ne soit impacté par le code d’Emsisoft.

Nouvelle fonctionnalité : Caractères génériques

Certains programmes utilisent des noms de fichiers aléatoires, comme temps d’installation pour fichiers temporaires. Il se peut que ne vous vouliez pas exclure tout le dossier temporaire de l’analyse et de la surveillance ; vous pouvez donc exclure des modèles de chemin comme :

c:\windows\temp\inst*.exe

Le symbole * remplace une séquence de caractères aléatoires.

Attention !

Bien que cette fonctionnalité soit très performance et assure une plus grande flexibilité, elle peut s’avérer également dangereuse quand utilisée de manière inadéquate. Si vous créez accidentellement une exclusion pour c:\*, la fonction de protection de votre ordinateur s’en trouvera entièrement désactivée, car tous les éléments du lecteur C: seront exclus. Assurez-vous que le symbole ou caractère générique n’est pas utilisé en fin de séquence du chemin, mais plutôt au centre.

Si le nombre de caractères aléatoires semble devoir être toujours le même, optez plutôt pour le signe ? qui ne remplace qu’un caractère. Par exemple, si le nom du fichier utilise toujours 3 lettres ou chiffres aléatoires :

c:\windows\temp\inst???.exe

Nouveauté : Variables d’environnement

Les variables d’environnement sont une fonctionnalité standard de Windows généralement utilisée par les administrateurs systèmes dans les scripts de lignes de commande. Elles fonctionnent comme des espaces réservés pour les chemins communs qui peuvent être différents selon les installations personnalisées des systèmes. Au lieu de chercher manuellement le chemin actuel sur chaque ordinateur, Windows peut le faire pour vous.

Notez que les variables d’environnement ne sont pas simplement des espaces réservés pour une séquence de chemin statique. Puisque les modules de protection fonctionnent au niveau du système, les variables d’environnement correspondent généralement à plusieurs chemins sur un système. %USERPROFILE% exclut tous les dossiers de profil utilisateurs qui se trouvent généralement dans C:\Utilisateurs\, et pas uniquement le profil de l’utilisateur actuellement connecté.

Scénario : Exclure un programme installé spécifique

Imaginez que vous êtes un administrateur réseau et que vous gérez 10 ordinateurs dans votre société. Certains exécutent encore une ancienne version de Windows 7, 32 bits, d’autres exécutent Windows 8 et les plus récents exécutent Windows 10, en version 64 bits. Vous souhaitez exclure un logiciel personnalisé indispensable au fonctionnement de votre entreprise qui déclenche occasionnellement des alertes suite à une analyse de comportement. Le programme est installé à différents endroits sur tous ces ordinateurs. Sur certains, il se trouve sur C:\program files\ProgramXY\, sur d’autres C:\Program files (x86)\ProgramXY\ et sur d’autres encore, tous les programmes sont installés sur un lecteur différent D:\Program files\ProgramXY\. Pour exclure tous ces chemins en une fois sans connaître leur emplacement exact, créez simplement une exclusion comme celle-ci :

%PROGRAMS%\ProgramXY\MainFile.exe

Scénario : Exclure un fichier sur le bureau de tous les utilisateurs

Dans les environnements d’entreprise, il existe généralement plusieurs comptes d’utilisateur par ordinateur. Chaque utilisateur a ses propres fichiers de bureau, stockés dans différents dossiers d’utilisateurs, par exemple : C:\Utilisateurs\MonNomd’Utilisateur\Bureau\. Si vous souhaitez exclure de l’analyse tous les bureaux de tous les utilisateurs, vous pouvez créer une seule exclusion comme la suivante :

%DESKTOP%

Tous les dossiers d’utilisateurs correspondant seront exclus d’un coup, comme :

C:\Utilisateurs\MonPremierUtilisateur\Bureau\
C:\Utilisateurs\MonDeuxièmeUtilisateur\Bureau\
C:\Utilisateurs\MonTroisièmeUtilisateur\Bureau\

Emsisoft prend actuellement en charge 44 variables d’environnement

Cliquez sur le lien « variables d’environnement » dans la partie supérieure de la boîte de dialogue des Exclusions pour que s’affiche un testeur pour toutes les variables disponibles, et comment elles sont résolues sur votre système spécifique.

Exclusions d’Emsisoft : Testeur de variables d’environnement

Variables disponibles (début 2017) :

Conclusion : Utilisez les exclusions pour éviter certaines détections et empêcher l’apparition de certaines incompatibilités

La majorité des particuliers n’auront probablement jamais à créer des exclusions sophistiquées, mais une plus grande flexibilité de la fonction dans la dernière version est très utile pour les administrateurs système en charge d’un grand nombre d’ordinateurs. L’Emsisoft Enterprise Console prend en charge tous les types d’exclusion qui permettent aux experts de les configurer centralement sur l’ensemble du réseau en un seul clic.

Fran Rajewski

What to read next