Bien Démarrer
Etape 1 : Installation d'Omniware Security sur votre serveur
L'installation d'Omniware Security est simple et rapide. Il vous suffit de télécharger le module d'installation, d'exécuter le fichier Setup-Omniware-Security.exe puis de suivre les étapes détaillées Ici.
Après l'installation d'Omniware Security, un nouvel icône est présent sur le Bureau :
Etape 2 : Utilisation d'Omniware Security
Vous pouvez à présent exécuter l'Interface d'Administration d'Omniware Security et débuter la configuration des foncitonnalités de sécurité afin de protéger votre serveur contre les menaces internes et externes.
Le tableau de bord présente les cinq derniers événements de sécurité. Les Administrateur peuvent avoir àccès à l'Audit système ou à la mise à jour du Produit vers la dernière version.
Prérequis
Exigence matérielle
Omniware Security nécessite l'utilisation d'une plateforme matérielle 32 ou 64 bits.
Systèmes d'Exploitation
Omniware Security est compatible avec les Systèmes d'Exploitation suivants :
- Microsoft Windows 7 SP1.
- Microsoft Windows 8.1.
- Microsoft Windows 10.
- Microsoft Windows Server 2008 R2 SP1.
- Microsoft Windows Server 2012 / 2012 R2.
- Microsoft Windows Server 2016.
- Microsoft Windows Server 2019.
Omniware Security nécessite que le composant logiciel Microsoft .Net Framework 3.5 ou supérieur soit installé sur le serveur.
Omniware Security prend en charge les utilisateurs et groupes locaux, ainsi que les annuaires Microsoft Active Directory et LDPA / OpenLDAP.
Installation
Téléchargez le module d'installation ci-dessous, puis suivez les étapes d'installation. Omniware Security peut également être installé depuis l'onglet 'Extensions' du module d'Administration Omniware. Dans ce cas, l'installation sera automatisée et transparente pour l'utilisateur.
Omniware Security
Ouvrez le répertoire "Téléchargements" puis exécutez le programme d'installation "Setup-Omniware-Security.exe". Notez que le programme d'installation doit être exécuté depuis un compte Windows ayant des droits Administrateur.
Une fois les termes du contrat de licence acceptés, cliquez sur le bouton "Suivant".
Par défaut, Omniware Security sera installé dans le répertoire "C:\Program Files (x86\Omniware-Security". Cliquez sur le bouton "Suivant" pour débuter l'installation.
L'installation est à présent terminée. Cliquez sur le bouton "Terminer" pour fermer le module d'installation.
Omniware Sécurity est livré avec une licence d'évaluation valable 15 jours.
Activer le Produit
Ouvrez l'interface d'Administration d'Omniware Security puis cliquez sur l'onglet 'Licence', puis sur le bouton "Activer votre licence".
Dans la fenêtre d'activation de licence, saisissez la clé d'activation fournie par nos services puis cliquez sur le bouton "Next".
Sélectionnez le produit ainsi que l'édition a activer, puis cliquez sur le bouton "Next".
Omniware Security est à présent activé. Cliquez sur le bouton "Finish".
La console d'Administration est mise à jour en fonction des informations associées à la licence.
Rafraichir votre licence
Le bouton "Rafraichir votre licence" permet de synchroniser la licence avec le Portail de Gestion des Licences Omniware.
Mettre à Jour le Produit
Omniware Security peut être mis à jour à tout moment, depuis l'onglet "Accueil".
La ligne "Version" affiche un icône vert lorsque le produit exploite la dernière version, et un icône rouge lorsqu'une nouvelle version est disponible.
Audit Système
Omniware Security propose un Audit du Système. Cet Audit Système est accessible depuis l'onglet "Accueil".
La ligne "Audit Système" présente un icône rouge lorsqu'une erreur est détectée.
L'Audit Système vérifie les points suivants :
- Le service "Omniware Security Service" est démarré et actif.
- Omniware Security peut accéder à Internet pour la vérification des mises à jour.
- Omniware Security est activé sur le serveur.
- Le Pare-Feu Windows est activé.
- Le système de logs est désactivé lorsque le produit est exploité sur un serveur de Production.
- La stratégie de Mot de Passe Windows est correctement configurée.
- Le compte Windows "Invité" est désactivé.
Vous pouvez cliquer sur une ligne de l'Audit pour consulter le détail.
Avertissement concernant la longueur du Mot de Passe Windows
Si le message "Avertissement - La longueur du mot de passe doit être supérieure à zéro", cela indique que le Système d'exploitation Windows peut disposer de comptes Windows pour lesquels le Mot de Passe peut être vide.
Cette faille de sécurité peut facilement être corrigée en modifiant la Stratégie de Sécurité Locale :
- Ouvrir l'Editeur de Stratégie Locale (GPEDIT.MSC).
- Naviguez vers Configuration Ordinateur - Paramètres Windows - Paramètres de Sécurité - Stratégie de Comptes - Stratégie de Mot de Passe.
- Double-cliquez sur la Stratégie "Longueur minimale du mot de passe" et définissez le nombre minimal de caractères lors de la création ou modification d'un mot de passe.
Après modification de la Stratégie de Sécurité Locale, l'Audit Système Omniware Security indique que l'ensemble des points ont été validés.
Vue d'ensemble de l'Interface
Pour accéder à l'Interface d'Administration Omniware Security, cliquez simplement sur l'icône déployé sur le Bureau.
L'Interface d'Administration présente un menu des fonctonnalités sur la partie gauche, alors que la partie droite présente le détail de chacune des fonctionnalités proposées par Omniware Security.
Le menu "Accueil" propose un accès immédiat aux cinq derniers Evénements de Sécurité.
Le menu "Accueil" permet également d'exécuter l'Audit Système et de mettre à jour Omniware Security lorsque qu'une nouvelle version est publiée.
Cliquez sur les zones de l'image ci-dessous pour accéder aux différentes fonctionnalités du Produit.
L'Observateur d'Evénements
Omniware Security n'est pas à proprement parlé une solution d'audit de sécurité. Cependant, notre Observateur d'Evénements permet de retracer les deux mille cinq cents derniers événements de sécurité, offrant une alternative plus pertinente à une solution d'audit complète.
Les événements de sécurité sont une grande source d'informations car ils permettent d'analyser les opérations effectuées par Omniware Security pour protéger votre serveur.
L'onglet 'Accueil' de la console d'administration présente les cinq derniers évènements de sécurité. Un clic sur ce tableau redirige vers l'onglet 'Observateur d'Evénements'.
Les informations affichées dans l'Observateurs d'Evénements sont rafraîchies de manière automatique.
Notez que l'exemple ci-dessus illustre des tentatives réelles d'attaques par force brute gérées par Omniware Security. La description explique souvent pourquoi l'action a été exécutée ou non.
Comme illustré, les actions de représailles sont souvent écrites en rouge et mises en évidence par une icône de bouclier rouge.
La liste des événements de sécurité présente quatre colonnes, qui décrivent la gravité, la date de la vérification ou de l'opération effectuée, l'icône de fonction associée et la description.
Remarque
La fenêtre de visualisation des événements de sécurité d'Omniware Security peut être déplacée et ne vous empêche pas d'utiliser les autres Fonctionnalités.
Les cinq tuiles en haut de la fenêtre affichent l'état de chacune des fonctionnnalités majeures d'Omniware Security.
Dans l'exemple ci-dessus, l'état de la Protection de l'Accès par Pays indique que 92 tentatives de connexion ont été bloquées.
L'exemple indique également que les fonctions de Restriction par Plages horaires, la Sécurisation des Bureaus en 1 clic ainsi que le Contrôle des Postes de Travail ne sont pas actives.
Les statuts sont affichés en fonction des événements de sécurité enregistrés.
Le titre de la fenêtre met en évidence la date et horaire des événements de sécurité les plus anciens.
De plus, une recherche globale approfondie est maintenant disponible afin de trouver rapidement des événements spécifiques.
Il est également possible de copier le message de l'événement et l'adresse IP, de débloquer une adresse IP, OU de la débloquer et de l'ajouter à la liste blanche des adresses IP en cliquant dessus avec le bouton droit de la souris :
Restriction d'Accès par Pays
Sur cette tuile, vous pouvez autoriser l'accès aux utilisateurs se connectant depuis tous les pays en laissant cette fonctionnalité par défaut :
Vous pouvez également décider de restreindre l'accès aux seules Adresses IP listées dans la liste blanche :
Vous pouvez autoriser uniquement l'accès à certains pays en sélectionnant le bouton "Autoriser uniquement les connexions provenant des pays suivants" puis en cliquant sur le bouton "Ajouter un pays" :
Lors de la sélection d'un pays, vous pouvez cocher la case permettant de débloquer toutes les adresses IP déjà bloquées pour le pays concerné.
Sélectionnez le pays que vous souhaitez ajouter à la liste. (dans cet exemple, l'accès est autorisé pour les utilisateurs se connectant depuis la Belgique, la France, le Luxembourg, l'Espagne et la Suisse).
Lorsque vous avez sélectionné les pays que vous souhaitez autoriser, cliquez sur le bouton "Appliquer maintenant" :
Lorsqu'une adresse IP est bloquée, elle apparaît dans la liste des adresses IP, et vous avez la possibilité de la débloquer.
Avertissement
veuillez vérifier, puis revérifier que vous avez inclus le pays d'où vous êtes actuellement connecté dans la liste des Pays autorisés. Dans le cas contraire, votre adresse IP sera bloquée très rapidement après validation des Paramètres, dès qu'une nouvelle tentative d'ouverture de session utilisateur sera effectuée.
Si vous êtes bloqué, nous vous recommandons d'essayer de vous connecter depuis n'importe quel pays que vous avez autorisé dans Omniware Security, par exemple en vous connectant depuis un autre serveur distant.
Vous pouvez également utiliser votre session Console (accès physique sur le serveur, ou depuis le Manager de votre environnement de Virtualisation) pour corriger le problème. Cette connexion n'utilise pas les Services Bureau à Distance ou un réseau distant et ne sera pas bloquée par Omniware Security.
Remarques
Par défaut, le service HTML5Service est un processus surveillé. Si vous souhaitez désactiver sa surveillance ou ajouter d'autres processus, rendez-vous dans l'onglet Paramètres - Avancés.
Si vous remarquez que la Restriction d'Accès par Pays ne bloque pas les connexions provenant d'un pays qui ne figure pas dans la liste des pays autorisés, c'est certainement pour l'une des raisons suivantes :
Afin de bloquer une adresse IP, la Restriction d'Accès par Pays ajoute une règle de blocage sur le Pare-feu de Windows. Il faut donc, en premier lieu, que le Pare-feu Windows soit actif.
Vous devez également vérifier si certains paramètres du Pare-feu Windows ne sont pas gérés par un autre programme, comme un antivirus. Dans ce cas, vous devrez désactiver ce programme et redémarrer le service "Pare-feu Windows".
Vous pouvez également contacter l'éditeur de votre programme tiers et lui demander de trouver un moyen pour que son programme respecte les règles ajoutées au Pare-feu Windows.
Si vous connaissez le contact technique d'un éditeur de logiciel, nous sommes prêt à développer ces "connecteurs".
VPN : Dans le cas où le client distant utilise un VPN, La Protection d'Accès par Pays obtiendra une adresse IP choisie par le fournisseur VPN.
Comme vous le savez, les fournisseurs de VPN utilisent des relais dans le monde entier pour permettre à leurs utilisateurs de naviguer anonymement. Certains fournisseurs de VPN permettent aux utilisateurs de définir le pays du relais.
Ainsi, les utilisateurs des fournisseurs VPN peuvent être relayés par un pays non autorisé. Par exemple, si un fournisseur VPN choisit une IP des Etas-Unis, ce pays doit être autorisé dans la Restriction d'Accès par Pays.
De plus, si le VPN utilise une adresse IP interne à l'entreprise, alors la protection devient inopérante.
Pare-feu / Proxy : Le but d'un Pare-feu matériel est de filtrer les connexions entrantes et sortantes pour les grandes entreprises. Comme il ne s'agit que d'un filtre, il ne devrait pas modifier l'adresse IP d'origine et ne devrait donc pas avoir d'impact sur la Restricton d'Accès par Pays.
En revanche, un Proxy modifie l'adresse IP d'origine pour utiliser une adresse de réseau privé, ce qui sera toujours autorisé par la Restriction d'Accès par Pays. L'objectif principal de cette fonctionnalité est de pouvoir bloquer l'accès à un serveur accessible depuis Internet.
Si toutes les connexions proviennent du réseau de l'entreprise, alors la Restriction d'Accès par Pays devient inopérante.
Ce produit comprend des données GeoLite créées par MaxMind, disponibles sur le site https://www.maxmind.com. Si vous constatez qu'une adresse IP n'est pas enregistrée dans son pays réel, veuillez contacter MaxMind.
Protection BruteForce
La Protection des Attaques par Force Brute vous permet de protéger votre serveur public contre les pirates, les scanners de réseau et les robots qui tentent de deviner les identifiants et mots de passe des utilisateurs. En utilisant des dictionnaires de noms d'utilisateur et de mots de passe courants, ils effectuent des centaines voir des milliers de tentatives de connexions par minute.
Grace à cette protection, les tentatives de connexion infructueuses au niveau du système Windows sont bloquées, et les adresses IP incriminées sont ajoutées dans la liste noire.
- Vous pouvez définir le nombre maximum de tentatives de connexion échouées à partir d'une seule adresse IP dans la zone 'Détection des adresses IP' (par défaut, la valeur est 10), ainsi que l'intervalle de réinitialisation du compteur (par défaut, la valeur est 2 heures).
- Au-dessous, vous pouvez voir l'Etat du Défender, où vous pouvez vérifier si l'audit des connexions depuis le portail Web HTML5 ainsi que l'audit de connexion Windows sont activés. Même chose concernant le Pare-feu Windows et le Service Omniware Security.
Dans le cas présent, toutes les protections sont activées.
- Gérer les adresses IP bloquées : Vous pouvez configurer la Restriction en fonction de vos besoins, par exemple en ajoutant l'adresse IP de votre propre poste de travail dans la liste blanche des IP, afin de ne pas être bloqué. Vous pouvez ajouter autant d'adresses IP que vous le souhaitez dans la liste blanche. Ces adresses ne seront jamais bloquées par la Protection BruteForce.
Vous pouvez Ignorer les adresses IP locales et privées en modifiant le paramètre par défaut dans l'onglet Paramètres - Avancés - BruteForce.
Remarque
Si vous remarquez que le La Protection BruteForce bloquait 50 adresses IP par jour et que désormais, il y a beaucoup moins de blocages, c'est tout à fait normal. En effet, avant l'installation d'Omniware Security, le serveur disposait d'un port RDP publiquement accessible , et de nombreux robots effectuaient des tentatives de connexions basées sur des dictionnaires.
Lorsque vous activez la Protection BruteForce, ces robots sont progressivement bloqués, de sorte que :
- La plupart des robots actifs étant déjà bloqués, il y a de moins en moins de blocages.
- De plus, le serveur n'apparaît plus dans la liste des serveurs connus par ces robots.
Gestion des Adresses IP
La gestion des adresses IP est facile grâce à une liste unique permettant de gérer à la fois les adresses IP bloquées et celles figurant sur une liste blanche :
Par défaut, les adresses locales IPV4, IPV6 du serveur sont associées à la liste blanche.
Une barre de recherche vous permet d'effectuer des recherches sur la base de toutes les informations fournies. Par exemple, si nous recherchons des adresses bloquées, en saisissant le mot "blocked" dans la barre de recherche, toutes les IP bloquées seront visibles :
En outre, les Administrateurs sont en mesure d'effectuer des actions sur plusieurs adresses IP sélectionnées. Parmi les nouvelles fonctionnalités introduites dans la gestion des adresses IP, vous trouverez la possibilité de fournir des descriptions significatives à toute adresse IP :
Gestion des Permissions
Depuis la version 4.3, Omniware Security offre une fonctionnalité permettant à l'administrateur de gérer et/ou d'inspecter les privilèges accordés aux utilisateurs et groupes Windows.
Dans le tableau de bord des Permissions, la liste des utilisateurs et des groupes ainsi que la liste des fichiers, dossiers, registres et imprimantes disponibles sont affichées côte à côte.
Tout est visible d'un seul coup d'œil, ce qui rend plus simple l'inspection (Omniware Security Essentials) et la gestion/modification (Omniware Security Ultimate) des privilèges associés à un utilisateur/groupe.
Gestion
Dans l'onglet "Gestion", pour chaque utilisateur ou groupe sélectionné dans l'arborescence de gauche, vous pouvez :
- Refuser - En cliquant sur le bouton "Refusé", l'utilisateur sélectionné se voit refuser le privilège sur l'objet du système de fichiers sélectionné. Si un fichier est sélectionné, l'utilisateur sélectionné se voit refuser le privilège de lire le fichier sélectionné (FileSystemRights.Read). Si un répertoire est sélectionné, l'utilisateur sélectionné se voit refuser le privilège de lire et d'énumérer le contenu du répertoire (FileSystemRights.Read et FileSystemRights.ListDirectory).
- Lecture / Exécution - En cliquant sur le bouton "Lecture", l'utilisateur sélectionné se voit accorder le privilège sur l'objet du système de fichiers sélectionné. Si un fichier est sélectionné, l'utilisateur sélectionné se voit accorder le privilège de lire le fichier sélectionné et de l'exécuter si le fichier est un programme (FileSystemRights.ReadAndExecute). Si un répertoire est sélectionné, l'utilisateur sélectionné se voit accorder le privilège de lire et de lister ou d'exécuter le contenu du répertoire (FileSystemRights.ReadAndExecute et FileSystemRights.ListDirectory et FileSystemRights.Traverse).
- Modifier - En cliquant sur le bouton "Modification", l'utilisateur sélectionné se voit accorder un privilège sur l'objet du système de fichiers sélectionné. Si un fichier est sélectionné, l'utilisateur sélectionné se voit accorder le privilège de modifier le fichier sélectionné (FileSystemRights.Modify). Si un répertoire est sélectionné, l'utilisateur sélectionné se voit accorder le privilège de modifier et de lister le contenu du répertoire, ainsi que de créer de nouveaux fichiers ou répertoires (FileSystemRights.Modify et FileSystemRights.CreateDirectories et FileSystemRights.CreateFiles et FileSystemRights.ListDirectory et FileSystemRights.Traverse).
- Contrôler - En cliquant sur le bouton "Propriétaire", l'utilisateur sélectionné se verra accorder un contrôle total sur l'objet du système de fichiers sélectionné (FileSystemRights.FullControl).
Les mêmes options d'autorisation sont possibles pour chaque entrée de la Base de Registre de Windows, en sélectionnant le bouton correspondant sous l'arborescence de droite :
Ainsi que pour chacune des imprimantes :
Remarques
Veuillez noter que toutes les permissions refusées ou accordées à un répertoire sont appliquées de manière récursive aux objets du système de fichiers contenus par ce répertoire. Le schéma ci-dessous détaille les appels de l'API lorsque des droits sont appliqués à un objet du système de fichiers :
Informations complémentaires :
Inspection
Dans l'onglet "Inspection", pour chaque dossier, sous-dossier ou fichier sélectionné dans l'arborescence de gauche, vous pouvez voir les autorisations correspondantes attribuées aux utilisateurs ou aux groupes dans l'arborescence de droite.
Vous pouvez actualiser l'état des dossiers pour qu'ils soient mis à jour en temps réel.
Un audit peut être activé en sélectionnant le dossier, le sous-dossier ou le fichier souhaité et en cliquant sur le bouton "Activer l'audit" :
Le bouton "Consulter l'audit" vous permet de visualiser l'audit correspondant dans l'Observateur d'Evénements.
Les mêmes options d'inspection sont possibles pour chaque entrée de la Base de Registre de Windows, en sélectionnant le bouton correspondant sous l'arborescence de droite :
Ainsi que pour chacune des imprimantes :
Restriction par Plages Horaires
Vous pouvez configurer la Restrictions par Plages horaires par utilisateur ou par groupe d'utilisateurs.
Choisissez la restriction de votre choix :
- Toujours autoriser l'accès pour cet utilisateur/groupe
- Toujours bloquer l'accès pour cet utilisateur/groupe
- Ou Autoriser l'accès uniquement pendant des plages horaires spécifiques.
Vous pouvez configurer la restriction jour par jour et sélectionner la plage horaire de votre choix :
Il est possible de sélectionner un fuseau horaire spécifique en fonction de l'emplacement physique de votre utilisateur.
Une déconnexion automatique à la fin du temps de travail imparti est effectuée. Il est également possible de programmer un message d'avertissement avant la déconnexion de l'utilisateur dans l'onglet Paramètres - Avancés - Heures de travail.
Priorités des règles pour les Utilisateurs/Groupes
Lorsqu'un utilisateur ouvre une nouvelle session sur le serveur :
- Si cet utilisateur a des Restrictions par Plages horaires directement définies pour lui-même, alors ces règles sont appliquées.
- Si cet utilisateur n'a pas de Restrictions par Plages horaires directement définies, alors Omniware Security chargera toutes les Restrictions par Plages horaires existantes pour les groupes associés à l'utilisateur, et appliquera les règles les plus permissives.
Par exemple, si un premier groupe a une règle pour bloquer la connexion le lundi, un deuxième groupe a une règle pour autoriser la connexion le lundi de 9h00 à 17h00 et un troisième groupe a une règle pour autoriser la connexion le lundi de 8h00 à 15h00, alors l'utilisateur pourra ouvrir une connexion le lundi de 8h00 à 17h00.
Avertissement
Cette fonctionnalité utilise l'heure du serveur. Utiliser l'heure et/ou le fuseau horaire du poste de travail de l'utilisateur serait inutile, car il suffirait à l'utilisateur de changer son fuseau horaire pour ouvrir une session en dehors des plages horaires autorisées.
Sécurisation en 1 clic
Vous pouvez configurer le niveau de sécurité pour chaque utilisateur ou groupe d'utilisateurs. Il existe trois niveaux de sécurité :
- Le Mode Windows, où l'utilisateur a accès à une session Windows par défaut.
- Le Mode Bureau Sécurisé, où l'utilisateur n'a pas accès au Panneau de Configuration, aux Programmes, aux Disques, au Navigateur, pas de clic-droit... Pas d'accès aux ressources du serveur. Il a juste accès aux documents, aux imprimantes, et peut déconnecter sa session.
- Le Mode Kiosque est le mode le plus sécurité, où l'utilisateur dispose d'actions très limitées au sein de sa session.
Personnalisation du niveau de sécurité
Pour le Mode Bureau Sécurité et le Mode Kiosque, vous avez la possibilité de personnaliser le niveau de sécurisation :
Sécurité du Bureau :
Contrôle des Disques :
Contrôle des Applications :
Priorités des règles pour les Utilisateurs/Groupes
Lorsqu'un utilisateur ouvre une nouvelle session sur le serveur :
- Si cet utilisateur a un niveau de sécurité directement défini pour lui-même, alors ce niveau de sécurité est appliqué.
- Si cet utilisateur n'a pas de niveau de sécurité directement défini pour lui-même, Omniware Security chargera tous les paramètres de niveau de sécurité existants pour tous les groupes auxquels cet utilisateur est associé, et conservera les règles les plus permissives.
Par exemple, si un premier groupe a une règle pour supprimer l'icône de la Corbeille du Bureau, mais que cette règle est désactivée pour un second groupe, alors l'utilisateur aura l'icône de la Corbeille sur son Bureau.
Les mêmes règles de priorité s'appliquent à chaque personnalisation (Sécurité du Bureau, Contrôle des Disques et Contrôle des Applications) ainsi qu'au niveau de sécurité principal (le Mode Windows étant considéré comme plus permissif que le Mode Bureau Sécurisé, qui est considéré comme plus permissif que le Mode Kiosque).
Restriction par Postes de Travail
La Restriction par Postes de Travail vous permet de contrôler les dispositifs depuis lesquels les utilisateurs se connectent, qui seront vérifiés lors de toute tentative de connexion. Une connexion à partir d'un nom de dispositif non valide sera bloquée.
Dans cet exemple, l'utilisateur 'Utilisateur101' n'est autorisé a se connecter que depuis les ordinateurs nommés 'PC-COMPTA' et 'ALEXANDRE-HP'.
Remplissage automatique du Nom du Poste de Travail
Vous pouvez remarquer que le champ Nom du Poste de Travail est déjà rempli pour certains utilisateurs. Afin d'assister l'Administrateur, Omniware Security enregistrera automatiquement le nom du dernier dispositif utilisé pour chacun des utilisateurs tant que la fonctionnalité n'a pas été activée. Après plusieurs jours ouvrables, le Nom du Poste de Travail de la plupart des utilisateurs sera connu, ce qui permettra à l'Administrateur d'activer la fonctionnalité sans avoir à vérifier le Nom du Poste de Travail avec chaque utilisateur.
Avertissement
Cette fonctionnalité n'est pas compatible avec le mode de connexion HTML5. En effet, le navigateur de l'ordinateur client n'est pas en capacité de pouvoir communiquer le Nom du Poste de Travail.
Protection Anti-Ransomware
La protection Anti-Ransomware vous permet de DÉTECTER, de BLOQUER et de PRÉVENIR efficacement les attaques par cryptage. Omniware Security réagit dès qu'il détecte un Ransomware sur votre serveur. Il dispose d'une analyse statique et comportementale :
- L'analyse statique permet au logiciel de réagir immédiatement lorsqu'un nom d'extension est modifié,
- L'analyse comportementale examine la manière dont un programme interagit avec les fichiers et détecte les souches de Ransomwares.
Vous pouvez Activer la protection cliquant sur "Activer la protection contre les Ransomwares" depuis l'onglet Ransomware :
Période d'Apprentissage
Après avoir activé la fonction de Protection Anti-Ransomware, la période d'apprentissage est automatiquement activée. Durant la période d'apprentissage, tous les programmes détectés seront considérés comme des faux positifs et pourront reprendre leur exécution. Les programmes détectés comme faux positifs seront automatiquement ajoutés à la liste des programmes autorisés.
Cette fonctionnalité permet de configurer la protection Anti-Ransomware sur un serveur de production sans perturber son activité. Nous recommandons de commencer par une période d'apprentissage de 5 jours ouvrés pour identifier toutes les applications professionnelles légitimes.
Si vous arrêtez la période d'apprentissage, la protection Anti-Ransomware sera désactivée. Cliquez sur le bouton "La protection rançongiciels est désactivée" pour réactiver la période d'apprentissage.
Action de Protection contre les Ransomwares
Il analyse rapidement votre ou vos disques et affiche les fichiers ou programmes responsables, en plus de fournir une liste des éléments infectés.
Omniware Security stoppe automatiquement l'attaque par cryptage des fichiers et met en quarantaine le(s) programme(s) ainsi que le(s) fichier(s) corrompus(s).
Seul l'Administrateur peut Ajouter les programmes dans la liste blanche. Il a la possibilité de sélectionner un Programme ou un Répertoire :
Rapport sur la protection contre les Ransomwares
Omniware Security anticipe les événements catastrophiques en supprimant les Ransomwares à un stade précoce.
L'Administrateur a accès aux informations concernant la source de l'attaque et les processus en cours, et apprend donc à anticiper ces menaces.
Remarque
La Protection Anti-Ransomware observe la manière dont les programmes interagissent avec les fichiers système et personnels. Pour garantir un niveau de protection élevé, la Prtection Anti-Ransomware crée des fichiers appâts dans les dossiers clés où les cryptovirus débutent généralement leur attaque. Par conséquent, quelques fichiers cachés peuvent apparaître dans les dossiers du Bureau et des documents des utilisateurs, ainsi qu'à d'autres endroits.
Lorsqu'il détecte un comportement malveillant, le module arrête immédiatement le cryptovirus (ou le demande si l'utilisateur connecté est un administrateur).
Ajouter une configuration SMTP - Alertes par courriel
Vous pouvez configurer vos paramètres SMTP afin qu'Omniware Security envoie des alertes par courriel pour mettre en évidence les événements de sécurité importants.
Pour cela, cliquer sur le bontoon 'Les alertes par mail ne sont pas configurées. Cliquez ici pour configurer les alertes' :
Saisissez le nom d'hôte et le port de votre serveur SMTP, et cochez la case 'Utiliser SSL' si votre serveur SMTP le permet. Modifiez le port de 25 à 465 si vous souhaitez utiliser le protocole SSL.
Saisissez le nom d'utilisateur et le mot de passe, ainsi que les adresses de l'expéditeur et du destinataire.
Les paramètres de messagerie peuvent être validés en envoyant un mail test lors de l'enregistrement des paramètres SMTP.
Instantanés
Les instantanés réalisés par la Protection Anti-Ransomware sont visibles sous l'onglet 'Sauvegardes'. Ces instantanés correspondent à une sauvegarde préventive lorsque le module détecte une suspicion de corruption de fichier.
La liste peut être rafraîchie en cliquant sur le bouton correspondant. Chaque élément sauvegardé peut être restauré ou supprimé.
Quarantaine
Les programmes mis en quarantaine sont visibles sous l'onglet 'Quarantaine'. Ces programmes correspondent à une menace détectée par la Protection Anti-Ransomware.
Chaque élément mis en Quarantaine peut être restauré ou supprimé.
Liste des Extensions de fichiers ignorées
Les extensions de fichiers ignorées ne sont pas exploitées pour détecter d'éventuelles actions malveillantes, et les fichiers correspondants ne sont pas enregistrés lorsqu'ils sont modifiés. L'idée est d'exclure toute opération sur des fichiers volumineux ou non pertinents (comme les fichiers journaux).
sys, dll, tmp, ~tmp, temp, cache, lnk, 1-9, LOG1, LOG2, customDestinations-ms, log, wab~, vmc, vhd, vhdx, vdi, vo1, vo2, vsv, vud, iso, dmg, sparseimage, cab, msi, mui, dl_, wim, ost, o, qtch, ithmb, vmdk, vmem, vmsd, vmsn, vmss, vmx, vmxf, menudata, appicon, appinfo, pva, pvs, pvi, pvm, fdd, hds, drk, mem, nvram, hdd, pk3, pf, trn, automaticDestinations-ms.
Avertissement
L'extension de fichier utilisée pour l'enregistrement des instantanés est snapshot. Le pilote interdit toute action de modification ou de suppression de ces fichiers autrement que par le service Omniware Security. L'arrêt du Service supprime les fichiers sauvegardés. Pour supprimer ces fichiers manuellement, vous devez décharger temporairement le driver.
Configuration de la sauvegarde des fichiers
Par défaut, le répertoire de sauvegarde des fichiers instantanés est situé dans le répertoire d'installation de d'Omniware Security et est appelé "snapshots". Cependant, il est possible de définir un autre emplacement pour ce répertoire.
Cela peut permettre à l'Administrateur de définir un répertoire situé sur un disque plus rapide (SSD) ou sur un disque de plus grande capacité en fonction de ses besoins.
Le chemin du répertoire de sauvegarde ne doit pas être un chemin UNC, sous la forme '\\chemin réseau\répertoire de sauvegarde\'
Remarque
Il est fortement conseillé d'ajouter vos programmes d'exploitation dans la liste blanche : solution de sauvegarde, scripts, tàches planifiées, ...
Utilisateurs & Programmes
Vue avancée
Avec la Vue avancée, gérez les utilisateurs et les groupes de tous les domaines accessibles depuis votre serveur.
Vous pouvez basculer de la vue par défaut à la vue avancée en utilisant le bouton 'Changer de vue'.
La vue avancée est utilisée pour afficher et gérer tous les utilisateurs et groupes actuellement configurés. Elle vous permet également d'ajouter de nouveaux utilisateurs et groupes à la liste pour les configurer, en utilisant le sélecteur de recherche AD de Windows.
Vous pouvez le faire en cliquant sur le bouton 'Ajouter un utilisateur/groupe'.
La vue avancée est disponible pour les fonctions Permissions, Heures de travail, Sécurisation en 1 clic et Postes de Travail.
Liste blanche d'utilisateurs
L'onglet Utilisateurs donne à l'Administrateur la possibilité d'ajouter/supprimer des utilisateurs de la Liste blanche. Les utilisateurs dans la Liste blanche sont ignorés par Omniware Security et les paramètres de sécurité ne seront pas appliqués.
L'utilisateur qui a installé Omniware Security est directement intégré dans la Liste blanche.
Liste blance de Programmes
Dans l'onglet Programmes, l'Administrateur peut ajouter des programmes à la liste des programmes autorisés. Ces derniers ne seront pas vérifiés par Omniware Security et la Protection Anti-Ransomware.
Par défaut, tous les programmes Microsoft sont intégrés dans la liste des programmes autorisés.
Cliquez sur le bouton 'Ajouter une Application' pour ajouter un programme, ou 'Ajouter un Répertoire' pour ajouter un conteneur de programmes. Vous pouvez également les supprimer en sélectionnant une ou plusieurs applications et en cliquant sur le bouton 'Supprimer'.
Sauvegarde & Restauration
Dans l'onglet 'Avancé', vous pouvez configurer des paramètres de sécurité avancés..
Vous pouvez sauvegarder ou restaurer les données ainsi que les paramètres de sécurité en cliquant sur le bouton 'Sauvegarder/Restaurer' :
L'utilisation de la commande est décrite ci-dessous :
- Sauvegarder : Par défaut, la sauvegarde sera créée dans le répertoire des archives situé dans le dossier d'installation d'Omniware Security.
Cependant, la sauvegarde peut être enregistrée dans un dossier spécifié. Les chemins relatifs et absolus sont autorisés.
Il est possible d'effectuer une sauvegarde par ligne de commande : Omniware-Security.exe /backup [chemin vers le répertoire de sauvegarde - Optionnel]
- Restaurer : Par défaut, la restauration s'appuiera sur le répertoire de sauvegarde pour présenter la liste des sauvegardes, par date.
Il est possible d'effectuer une sauvegarde par ligne de commande : Omniware-Security.exe /restore [chemin du répertoire de sauvegarde]
Le répertoire de sauvegarde spécifié doit contenir un dossier de données et un dossier de paramètres, tels que créés par la commande Omniware-Security.exe /backup.
Remarque
Pour la migration des paramètres Omniware Security vers une nouvelle instance, veuillez-suivre les étapes suivantes :
- Sur l'ordinateur A, veuillez cliquer sur le bouton 'Sauvegarder' pour créer une nouvelle sauvegarde.
Les paramètres et les données seront sauvegardés dans le répertoire d'archives, situé dans le répertoire de configuration d'Omniware Security (généralement C:³Program Files (x86)\Omniware-Security³archives).
- Copiez le dossier de sauvegarde nouvellement créé (par exemple, nommé backup-2021-02-13_14-37-31), depuis le répertoire d'archives de l'ordinateur A au répertoire d'archives de l'ordinateur B.
- Sur l'ordinateur B, dans la fenêtre Sauvegarder/Restaurer, sélectionner le nom de la sauvegarde a restaurer, puis cliquez sur le bouton 'Restaurer'.
- Veuillez attendre au maximum 2 minutes pour que les paramètres soient rechargés.
Base de Données
Une base de données stocke les événements, les adresses IP, les rapports d'attaques de Ransomware et les listes blanches de programmes. Cette base de données est stockée dans le répertoire .\data et il s'agit d'une Base de Données LiteDB :
Produit
L'onglet Produit vous permet d'ajouter un code PIN à l'outil d'administration, afin d'en limiter l'accès.
Cliquez sur 'Enregistrer'. Le code PIN sera requis la prochaine fois que vous lancerez l'outil d'administration.
Vous pouvez également contribuer à améliorer le produit, en envoyant des données anonymes (activé par défaut).
Les données suivantes seront recueillies en cas d'attaque par un Ransomware :
- Chemins d'accès aux fichiers suspects qui ont mené à l'attaque du Ransomware.
- Version du Système d'Exploitation
- Version du produit Omniware Security
Il est également possible de modifier le Surnom de l'ordinateur :
La politique de conservation des données définit la période de temps après laquelle les événements d'Omniware Security sont supprimés de la base de données.
Une sauvegarde est effectuée avant chaque nettoyage de la base de données. Cette politique est définie en minutes.
La politique de rétention des données par défaut est de 259 200 minutes, c'est-à-dire 6 mois.
Accès par Pays
L'onglet >Accès Par Pays vous permet d'ajouter ou de supprimer les processus qui sont surveillés par la fonction de protection Homeland.
Par défaut, le service HTML5Service d'Omniware est surveillé.
Le paramètre des ports surveillés vous permet d'ajouter des ports surveillés par la fonction de Protection par Pays. Par défaut, les ports RDP, Telnet et VNC sont déjà surveillés.
Le paramètre du mode hérité est requis pour Windows 2008 et Windows XP. De plus, ce mode devrait être sélectionné uniquement si la Protection par Pays rencontre des problèmes lors de l'écoute des événements du réseau.
BruteForce
L'onglet Bruteforce vous permet d'ignorer les adresses IP locales et privées si vous le souhaitez, en modifiant la valeur par défaut de "Non" à "Oui".
Pare-Feu
L'onglet Pare-feu vous permet d'activer le pare-feu Windows ou de le désactiver en faveur du Pare-feu intégré à Omniware Security.
Depuis la version 4.4, un Pare-feu intégré est inclus dans Omniware Security. En règle générale, si le Pare-feu Windows est activé sur votre serveur, vous devez l'utiliser pour appliquer les règles de Protection d'Omniware Security. Si vous avez installé un autre pare-feu, vous devez alors activer le pare-feu intégré à Omniware Security.
Le paramètre Débloquer après vous permet de débloquer automatiquement les adresses IP après un certain temps (en minutes). La valeur par défaut est 0, ce qui désactive cette fonction.
Heures de Travail
L'onglet Heures de travail vous permet de programmer et de modifier un message d'avertissement avant que l'utilisateur ne soit déconnecté.
Vous pouvez configurer la programmation du message d'avertissement en nombre de minutes avant la déconnexion automatique de l'utilisateur. Par défaut, il est fixé à 5 minutes.
Modifiez le texte du message d'avertissement à votre convenance, avec des espaces réservés nommés %MINUTESBEFORELOGOFF%, %DAY%, %STARTINGHOURS% et %ENDINGHOURS%, qui seront respectivement remplacés par le nombre actuel de minutes avant la fermeture de la session, le jour actuel, les heures de travail de début et de fin du jour actuel.
Définissez le fuseau horaire par défaut du serveur en sélectionnant le fuseau correspondant dans la liste déroulante.
Postes de Travail
L'onglet Postes de Travail vous permet d'activer les connexions depuis le Portail Web Omniware pour les utilisateurs associés à la Protection par Postes de Travail.
Omniware Security ne peut pas résoudre le nom du client si la connexion est initiée à partir du Portail Web. Par conséquent, le module bloquera par défaut toute connexion depuis ce mode de connexion. Définissez le paramètre Autoriser les connexions depuis le portail web sur 'Oui' pour autoriser les connexions à partir du Portail Web.
Veuillez noter que cette action diminuera la sécurité de votre serveur.
Protecttion Rançongiciels
L'onglet Protecttion Rançongiciels vous permet de configurer les propriétés de sauvegarde et de définir les extensions de fichier ignorées pour la fonction de protection Anti-Ransomware.
Chemin de la sauvegarde : Définissez le répertoire dans lequel la Protection Anti-Ransomware stocke les instantanés de fichiers.
La valeur par défaut est : C:\Program Files (x86)\Omniware-Security\snapshots
Extensions de fichiers ignorées : Par défaut, La Protection Anti-Ransomware ignore certaines extensions bien connues, comme les fichiers temporaires. Voir la liste.
Vous pouvez définir des extension supplémentaires dans le champ de valeur (séparés par des points-virgules) :
Taille maximale des sauvegardes : La taille maximale des sauvegardes de fichiers définit l'espace maximal autorisé pour conserver les instantanés.
La taille est exprimée en pourcentage de l'espace total disponible sur le disque où résident les sauvegards.
Rétention des fichiers sauvegardés : Ce paramètre définit, en secondes, la politique de rétention d'un instantané de fichier. Une fois la période de rétention terminée, l'instantané de fichier est supprimé.
Par défaut, la valeur est de 300 secondes (c'est-à-dire 5 minutes).
Rétention des modifications du Registre : Ce paramètre définit, en secondes, la politique de rétention d'un instantané de Registre. Une fois la période de rétention terminée, l'instantané de Registre est supprimé.
Par défaut, la valeur est de 300 secondes (c'est-à-dire 5 minutes).
Logs
L'onglet Logs vous permet d'activer ou de désactiver les logs des services et des fonctionnalités. Les logs permettent de tracer puis trouver plus facilement l'origine des erreurs rencontrées lors de l'exploitation d'Omniware Security.
Activez ou désactivez les journaux du Service Omniware Security et de l'Application Omniware Security, qui sont respectivement le service de configuration globale qui fonctionne en arrière-plan et le journal de l'interface de l'application.
Vous pouvez également activer les journaux correspondant aux fonctions respectives d'Omniware Security : Journaux du service de protection Bruteforce, service de Protection par Pays, service Anti-Ransomware et service de Restriction des Heures de Travail.
Ils sont désactivés par défaut.
Les logs correspondent à différents composants, notre équipe Support vous indiquera quelle valeur mettre en fonction du problème rencontré.
