Quel antivirus choisir en environnement professionnel ?

[pascalb41]

Bonjour,
A la rentrée je dois faire le choix d'un nouvel antivirus pour mon site (35 PC sous Windows XP + 4 serveurs Windows 2000/2003 : 1 contrôleur de domaine 2000, 1 serveur Exchange 2003, 1 serveur MS SQL Server 2000, 1 passerelle MS ISA Server 2004).

Je dois protéger à la fois mes PC & mes serveurs.

En 2004 lorsque je suis arrivé il y avait un Symantec Antivirus Corporate Edition qui rendait les PC très lents tellement il consommait des ressources. En 2006, le passage à la version 10 s'étant accompagné d'un blocage qu'il a fallu plusieurs jours pour lever, ça m'a énervé et j'ai viré Symantec pour Avast en version pro (à l'époque cet antivirus avait bonne presse et j'avais installé un peu partout la version gratuite chez des amis, famille...).
Aujourd'hui je suis assez déçu de ce produit :
- beaucoup de faux positifs
- à l'inverse, découverte de postes infectés alors que Avast n'avait rien signalé
- aucune évolution de la console d'administration qui est un exemple de ce qu'il ne faut pas faire à mon sens

Bref, je recherche un produit qui soit assez efficace avec une couverture fonctionnelle large (protection contre tous les maux virus, spywares, etc.) et qui ne soit pas trop gourmand en ressources sur les postes (on utilise des gros logiciels de CAO *très* exigeants en CPU et mémoire).
Je serais intéressé plutôt par des avis d'utilisateurs en milieu professionnel.

Merci .

Pascal.

[Malekal_morte]

Salut,

Je ne connais pas très bien les versions pro des solutions antivirales.
Kaspersky doit être une bonne solution.
Sophos est peut-être bien aussi.
Antivir aucune idée.

Tu sembles avoir eu des infections, juste un commentaire, choisir un bon antivirus c'est bien mais il y a aussi d'autres choses à mettre en place pour sécuriser un réseau notamment :

• Faire tourner au maximum les utilisateurs avec des droits restreints si les applications utilisées le permettent.
• Eviter l'utilisation de perifs de masse (clefs usb etc..), pareil si possible.
•  Mettre en place un proxy filtrant, style Squid (ex https://www.malekal.com/squid.php) ou une box. Voir aussi interdir téléchargement .exe etc.. pour ceux qui n'en ont pas besoin.
• Blackliser les IP chinoises et russes si possible.
• Proxy mail filtrant (si y a pas un AV qui shoot les mails sur Exchange).
• Maintenir les postes clients à jour.

C'est assez générique, tu vas peut-être trouver ça bateau et c'est peut-être déjà en place.
Mais au cas où quelqu'un tombe sur ce post.

[pascalb41]

Merci d'avoir répondu.

Forcer les utilisateurs à travailler en mode non-administrateur j'y songe de + en + mais le problème est que certains logiciels que nous utilisons ne fonctionnent pas ou mal. Mais je pense que je vais doter mes utilisateurs de 2 comptes dont l'un avec des droits restreints.
Restreindre les périphériques USB c'est carrément impossible, la plupart sont dotés de portables et se rendent sur site pour travailler chez les clients avec des échanges. Je préfère encore les clefs ou les disques USB que des connexions des PC sur des réseaux que je ne contrôle pas.
Blacklister les IP chinoises et russes c'est pas évident mais je peux tenter l'expérience. COmment peut-on reconnaître des IP de ces pays ? Mon firewall utilise la blacklist de l'université de Toulouse mais je doute qu'ils bloquent toutes ces IP.
Pour le reste c'est déjà fait.
Reste le choix du logiciel de protection. Connaissez-vous un forum ou toute autre source d'info 'pro' ?
Pascal.

[Yoh]

Salut,
Pour Kaspersky, c'est ici :http://www.kaspersky.com/fr/
J'ai vu qu'il y a une partie pro mais je ne sais pas ce que cela vaut...

[Malekal_morte]

C'était plus une réponse générale que j'ai donné, il est difficile de mettre tout en place.
Surtout si ton infection, c'est une par an que tu as eu... ça vaut pas le coup de se casser + la tête.
Si c'est une par mois, c'est plus problématique.
Faut voir aussi comment elles sont venues.. (clef usb, ou mail ou ...), si c'est la mm personne etc.

Pour les blacklists par pays, tu as ça : http://fixingtheweb.com/country/blocking.html

Pour la solution antivirus, encore une fois, je peux pas te répondre.
Le top serait d'avoir une version d'évaluation que tu puisses tester.

[Cyborg]

• Eviter l'utilisation de perifs de masse (clefs usb etc..), pareil si possible.

Quitte à conserver l'accès aux clés, n'est-il pas intéressant de supprimer la possibilité d'autoexec des CDs, DD extrene et clé USB? Car la plupart du temps, ces infections passent par des .exe exécutés par un autorun.inf. Non?
Si je ne me trompe pas, ça peut être fait sur tous les postes, et ça éviterait déjà une grosse partie des emmerdes liées aux supports USB, tout en laissant l'utilisation des clés possibles. Je me trompe?

Je n'ai jamais fait la manip, donc j'suis pas certain. Mais je crois quand même bien que ça marche.

Sinon, je suis à l'Université de Poitiers, derrière Mc Afee VirusScan. Et ça n'empêche pas les étudiants de nous ramener constamment des virus avec leurs clés USB, lorsqu'ils rendent leurs TPs. De même, j'ai cru comprendre qu'il y avait un virus qui a trainé pendant longtemps sur un des serveurs de la fac, entrainant des contaminations à répétition d'à peu près tout le monde. De même quand j'étais à l'univ de La Rochelle, mais je ne me souviens plus si c'était aussi Mc Afee ou Symantec.
Voilà tout ce que je peux dire...

[Malekal_morte]

• Eviter l'utilisation de perifs de masse (clefs usb etc..), pareil si possible.

Quitte à conserver l'accès aux clés, n'est-il pas intéressant de supprimer la possibilité d'autoexec des CDs, DD extrene et clé USB? Car la plupart du temps, ces infections passent par des .exe exécutés par un autorun.inf. Non?
Si je ne me trompe pas, ça peut être fait sur tous les postes, et ça éviterait déjà une grosse partie des emmerdes liées aux supports USB, tout en laissant l'utilisation des clés possibles. Je me trompe?

Ben on peux bloquer les clefs USB sur les postes fixes.
Mais il a dit qu'ils en avaient besoin sur les portables lors des interventions.

Le mieux c'est de créer un autorun.inf préventifs sur les clefs USB utilisées, si ce sont celles du taf.
Faut éviter aussi, dans la mesure du possible clefs USB portables vers postes fixes.

Mais faut voir quelles infections, ils ont eu et la fréquence.

[Cyborg]

Arf, pardon. Je croyais qu'on pouvait désactiver l'exécution des autorun dans la base de registre. S'il faut "vacciner" tous les supports USB, c'est pas vraiment envisageable.

Je retire donc ce que j'ai dit, désolé.

[pascalb41]

Vos conseils relèvent tous du bon sens et j'ai appliqué ceux qu'il m'était possible d'appliquer compte-tenu des contraintes liées aux usages (bien qu'on puisse faire évoluer les choses).
Mon besoin est maintenant de choisir un nouveau logiciel de protection globale avec les critères que j'ai indiqués dans mon premier message. Je ne veux plus d'Avast Pro et Symantec me laisse de mauvais souvenirs...
Pascal.

[Topxm]

Pour la solution antivirus, encore une fois, je peux pas te répondre.
Le top serait d'avoir une version d'évaluation que tu puisses tester.

Salut,
De mémoire, mais je peux me planter, certains solutions Entreprises, sont testables 30 jours, à vérifier !
http://www.avira.com/en/products/companie_products.html
http://www.avira.com/en/downloads/avira ... erver.html

La version Free Desktop est bonne donc ...

[pascalb41]

Je vais aller voir ce que fait la version pro d'Antivir.
J'utilise la version gratuite du même logiciel sur mon PC personnel.
Maintenant il faut qu'elle soit francisée...
Merci.
Pascal.

[JoK]

Salut.

En environnement professionnel, je pense qu'il faut se tourner vers une solution globale. Tu dis avoir des serveurs et pas mal de postes à protéger. Un bon choix à mon avis sera de prendre Sophos, qui propose une espèce de console centralisée, et utilisable à distance par un utilisateur autorisé pour l'accès.
Pourquoi je le préconise ? Tout simplement à cause de son support et assistance en cas de problème. Tu devrais pouvoir utiliser un simple client léger sur tes postes de production.

Pour tes comptes d'utilisateurs des différents postes, je pense que tu peux y aller aisément. Même si les logiciels ont du mal à fonctionner sous utilisateur standard, rien ne s'oppose à donner des droits plus élevés sur certains logiciels, ceci est uniquement une question de gestion et configuration des droits alloués.
Ensuite, et c'est souvent une chose négligée dans les réseaux, tu dois imposer une charte de bonne conduite pour les utilisateurs. Les sanctions doivent y figurer en bonne place. Il est évident que cette charte se doit d'être claire.

Pour illustrer un peu ce que je veux dire :
UT2004 est un jeu. Pour pouvoir l'utiliser sous différents comptes d'utilisateur en standard je procède de la manière suivante.
Installation du répertoire en racine (mais ça peut aussi être en dossier programmes). Une fois que tout est en place et mis à jour, je procède à l'allocation des droits du programmes pour mes utilisateurs. Donc je fais un clic droit sur ce programme et dans les propriétés, je vais dans l'onglet Sécurité. Sous XP pro, c'est natif et visible à partir du moment où dans les options des dossiers Affichage, l'utilisation de partage de fichiers simple est décochée (elle est cochée par défaut), sous la version home, il faut installer cette fonctionnalité.
Une fois dans le volet de sécurité, j'enlève (suppression) le "compte" tous les utilisateurs. Et je rajoute le compte "user" (dont je vérifie le nom grâce au bouton associé) La vérification a pour but de bien afficher le compte d'utilisateur correct, vis à vis de la machine ce qui va se traduire par => username (machine\username). En dessous il y aura les permissions, et là je coche tout sauf la première d'entre elles, le contrôle total. Seul l'administrateur disposera de ce droit précis.
Lors de la validation, je demande à ce que soient changés les attributions de droits pour les dossiers et fichiers, mais aussi les sous dossiers et sous fichiers. Une réécriture des droits se fait, et le tour est joué. Ca permet de rester sous compte d'utilisateur standard et ainsi de protéger le système, tout en permettant une utilisation entière du jeu.
Mon utilisateur standard peut donc se connecter sur un serveur de jeu, prendre les fichiers de scènes serveur, et les utiliser pleinement.
Remarque concernant ce jeu, le parefeu windows bloque ce jeu en ligne, donc je suis dans l'obligation d'arrêter celui ci et ça passe. J'ai contourné le problème en installant un switch-routeur doté d'un parefeu également. Je n'ai pas essayé un firewall alternatif.

La seconde solution, c'est d'utiliser le clic droit sur le raccourci du bureau pour le programme, et utiliser l'option "Exécuter en tant que... compte administrateur". Ceci permet de ne donner ces droits que durant l'exécution de ce seul programme. Ces droits ne sont héritables (et donc uniquement) que par les exécutables lancés par ce programme. Si le programme est fermé, les droits sont perdus. Tant que le programme sera ouvert, les droits perdureront.
L'ennui dans ce type d'utilisation, c'est que l'utilisateur doit connaitre le mot de passe administrateur.

En espérant que ça fasse avancer ta prise de décision.

[pascalb41]

Bonjour,
Pour l'antivirus proposé je vais aller voir.
A ma connaissance tous les antivirus pro offrent une console d'administration plus ou moins performante.
Je trouve celle d'Avast pas très pratique et son principal défaut à mon goût c'est la difficulté pour obtenir un affichage rafraîchit automatiquement suite à une action. Par exemple si je lance une tâche de recherche des nouveaux PC sur mon domaine, je suis obligé de rafraîchir la liste à la main (F5).
En fait je recherche des retours d'expérience en entreprise car c'est la meilleure façon pour savoir ce qu'un AV vaut réellement en performance, sécurité, utilisation de ressources sur les postes, facilité d'administration...
La gestion des droits utilisateurs était jusqu'ici négligée par facilité mais je pense que je vais créer 2 comptes utilisateurs par poste, un avec des droits basiques, l'autre avec des droits d'admin et expliquer aux utilisateurs comment le gérer au mieux (travailler en utilisateur basique, ouvrir une session en admin pour installes les logiciels ou mises à jour dont ils ont besoin...).
Pascal.

[JoK]

travailler en utilisateur basique, ouvrir une session en admin pour installes les logiciels ou mises à jour dont ils ont besoin

En fait, l'utilisateur peut presque tout faire à partir d'un compte standard. Les seules choses qu'il ne ppeut pas faire, c'est installer des activeX sur Internet explorer (7) quoique je n'ai plus essayé depuis que je me sers de mozilla, et les mises à jours windows à partir de Internet explorer. Tout le reste est faisable, puisque lancer une console mmc (par exemple via son raccourci dans system32\xxx.msc) est possible, idem pour les exécutables bien évidemment.

C'est une question de formation de l'utilisateur. Parmi quelques uns de mes clients, il y en avait qui utilisaient Sophos, ça les satisfaisaient pleinement. Mais je vais être assez catégorique. Si tes utilisateurs sont en compte standard, l'antivirus en place ne revêt que peu (ou en tout cas nettement moins) d'importance, surtout si les systèmes sont à jour de leurs correctifs, ainsi que les logiciels en place. Cet antivirus prendra sa place normale, et donc un appoint au regard de la sécurité, ce ne sera plus un "rempart". Cette sécurité sera à la charge du système lui-même à travers les droits sur dossiers et fichiers.

Les cas d'infections rapportent que ce n'est ni celui de l'exécution, ni celui de la lecture qui posent problème, mais celui de modifications sur le système, or celui-ci est du ressort plein et entier d'admin ou droit supérieur à celui d'un utilisateur de base.

[pascalb41]

Tiens oui, les mises à jour de Windows sont réglées pour se télécharger automatiquement et demander à l'utilisateur de lancer l'installation. Et je vérifie de temps en temps que ces installations sont assez régulièrement lancées (lors de mes passages occasionnels sur les postes pour installer les mises à jour 'facultatives'...)
Mais si je dois en plus leur demander d'ouvrir une session comme administrateur avant de le faire j'ai peur que les installations s'espacent grandement dans le temps...
Pascal.