Guide de l`utilisateur FortiClient End Point Security Version 3.0 MR7

Transcription

G U I D E D E L’ U T I L I S AT E U R
FortiClient End Point Security
Version 3.0 MR7
www.fortinet.com
Guide de l'utilisateur FortiClient End Point Security
Version 3.0 MR7
22 octobre 2008
04-30007-0271-20081022
© Copyright 2008 Fortinet, Inc. Tous droits réservés.. Aucune partie de ce
document, y compris les textes, exemples, figures et illustrations, ne peut
être reproduite, transmise ou traduite sous n’importe quelle forme et par
n'importe quel moyen, électronique, mécanique, manuel, optique ou
autre, à toute fin que ce soit, sans l'accord préalable écrit de Fortinet, Inc.
Marques déposées
Dynamic Threat Prevention System (DTPS), APSecure, FortiASIC,
FortiBIOS, FortiBridge, FortiClient, FortiGate, FortiGate Unified Threat
Management System, FortiGuard, FortiGuard Antispam, FortiGuard
Antivirus, FortiGuard Intrusion Prevention, FortiGuard Web Filtering,
FortiLog, FortiAnalyzer, FortiManager, Fortinet, FortiOS, FortiPartner,
FortiProtect, FortiReporter, FortiResponse, FortiShield, FortiVoIP et
FortiWiFi sont des marques de Fortinet, Inc. aux Etats-Unis et/ou dans
d'autres pays. Les noms des sociétés et produits mentionnés peuvent
être des marques de leurs propriétaires respectifs.
Table des matières
Table des matières
Présentation ....................................................................................... 7
À propos de FortiClient End Point Security.................................................... 7
À propos de ce document................................................................................. 7
Icônes d’état de FortiClient............................................................................... 8
Utilisation des menus de la barre d’état système de FortiClient .................. 9
Documentation................................................................................................. 10
CD de documentation et d'outils Fortinet .................................................... 10
Base de connaissances Fortinet ................................................................. 10
Commentaires sur la documentation technique de Fortinet........................ 10
Service clientèle et assistance technique ..................................................... 11
Installation ........................................................................................ 13
Configuration système requise ...................................................................... 13
Modèles FortiGate et versions FortiOS pris en charge ............................... 14
Langues prises en charge .............................................................................. 14
Installation de FortiClient................................................................................ 14
Remarque à propos de l'installation sur des serveurs ................................ 15
Remarque à propos de l’installation à partir d’un disque créé à l’aide
de la commande subst ................................................................................ 15
Journal d'installation....................................................................................... 16
Paramètres généraux....................................................................... 17
Saisie d’une clé de licence ............................................................................. 17
Mise en conformité avec la stratégie d’entreprise ....................................... 18
Verrouillage et déverrouillage du logiciel ..................................................... 18
Configuration des paramètres de serveur proxy.......................................... 19
VPN.................................................................................................... 21
Configuration des VPN.................................................................................... 21
Configuration automatique d’un VPN .......................................................... 22
Configuration manuelle d’un VPN ............................................................... 22
Guide de l'utilisateur FortiClient End Point Security Version 3.0 MR7
04-30007-0271-20081022
3
Table des matières
Utilisation du client VPN FortiClient .............................................................. 31
Tester la connexion.....................................................................................
Définition des options de connexion ...........................................................
Connexion au réseau distant ......................................................................
Connexion à un VPN avant l’ouverture d’une session Windows ................
Contrôle des connexions VPN ....................................................................
Exportation et importation des fichiers de stratégies VPN ..........................
Dépannage des connexions VPN ...............................................................
Gestion des certificats numériques .............................................................
Obtention d’un certificat local signé ............................................................
Obtention d’un certificat de carte à puce signé ...........................................
Obtention d’un certificat d’autorité de certification ......................................
Validation des certificats .............................................................................
31
32
33
33
34
35
36
36
37
40
41
42
Antivirus ........................................................................................... 43
Recherche de virus ......................................................................................... 43
Configuration des paramètres antivirus ....................................................... 46
Sélection des types de fichier à scanner ou à exclure ................................
Sélection de fichiers et dossier à exclure du scan ......................................
Spécification d’un serveur SMTP pour l’envoi des fichiers infectés ............
Intégration du scan antivirus FortiClient au shell Windows.........................
48
49
49
50
Configuration de la protection en temps réel ............................................... 50
Configuration du scan de courrier................................................................. 52
Gestion des fichiers en quarantaine.............................................................. 52
Contrôle des entrées de la liste de démarrage Windows ............................ 54
Restauration des entrées modifiées ou rejetées de la liste
de démarrage.............................................................................................. 55
Pare-feu............................................................................................. 57
Sélection d’un mode de pare-feu ................................................................... 57
Sélection d’un profil de pare-feu ................................................................. 58
Affichage des informations de trafic ............................................................. 58
Configuration des autorisations d’accès des applications......................... 59
Gestion des groupes d’adresses, de protocoles et d’heures ...................... 61
Configuration des zones de sécurité de réseau........................................... 61
Ajout d’adresses IP aux zones.................................................................... 62
Personnalisation des paramètres de sécurité .............................................. 62
Configuration de la détection des intrusions ............................................... 63
Configuration des règles de pare-feu avancées........................................... 64
Gestion des groupes................................................................................... 65
4
04-30007-0271-20081022
Table des matières
Filtrage Web...................................................................................... 67
Définition du mot de passe d’administration................................................ 67
Modification des paramètres de filtrage Web ............................................... 68
Configuration des paramètres généraux de filtrage Web............................ 68
Gestion des profils de filtrage Web ......................................................... 70
Configuration des paramètres de filtrage Web par utilisateur ............. 71
Anti-Spam ......................................................................................... 73
Installation du plug-in anti-spam ................................................................... 74
Activation de la fonction Anti-Spam .............................................................. 74
Ajout de listes de mots autorisés, bloqués ou proscrits............................. 74
Marquage manuel des messages électroniques .......................................... 75
Envoi des messages électroniques mal évalués à Fortinet ........................ 76
AntiLeak ............................................................................................ 77
Maintenance ..................................................................................... 79
Mise à jour de FortiClient................................................................................ 79
Sauvegarde et restauration des paramètres FortiClient.............................. 80
Journaux ........................................................................................... 81
Configuration des paramètres de journal ..................................................... 81
Gestion des fichiers journaux ........................................................................ 83
Index.................................................................................................. 85
04-30007-0271-20081022
5
Table des matières
6
04-30007-0271-20081022
Présentation
À propos de FortiClient End Point Security
Présentation
Ce chapitre présente le logiciel FortiClient End Point Security et les rubriques
suivantes :
•
•
À propos de ce document
•
Icônes d’état de FortiClient
•
Utilisation des menus de la barre d’état système de FortiClient
•
Documentation
•
Service clientèle et assistance technique
L’agent de sécurité unifié FortiClient End Point Security pour ordinateurs Windows
regroupe en un seul package logiciel un pare-feu personnel, un VPN IPSec, un
antivirus, un anti-spyware, un anti-spam et une fonction de filtrage de contenu.
L’application FortiClient vous permet de :
•
créer des connexions entre les VPN et les réseaux distants,
•
rechercher des virus sur l’ordinateur,
•
configurer une protection en temps réel contre les virus et les modifications
non autorisées du registre Windows,
•
limiter l’accès à votre système et vos applications en configurant des
stratégies de pare-feu,
•
limiter l’accès Internet en fonction des règles spécifiées,
•
filtrer les messages électroniques entrants sur Microsoft Outlook® et Microsoft
Outlook® Express pour collecter automatiquement le spam,
•
utiliser la fonction de gestion à distance fournie par le système FortiManager.
À propos de ce document
Ce document explique le mode d'installation et d'utilisation des fonctions de
FortiClient End Point Security.
Ce document contient les chapitres suivants :
•
Installation : explique comment installer l'application FortiClient sur votre
ordinateur.
•
Paramètres généraux : décrit comment entrer une clé de licence, verrouiller ou
déverrouiller les paramètres d'application et configurer des paramètres de
serveur proxy facultatifs.
•
VPN : décrit comment configurer un VPN IPSec grâce à l'application
FortiClient.
04-30007-0271-20081022
7
Présentation
•
Antivirus : décrit comment rechercher des virus dans les fichiers, configurer un
scan en temps réel des fichiers lors de leur ouverture, configurer un scan
antivirus du courrier entrant et sortant et comment empêcher des modifications
non autorisées de la liste de démarrage ou du registre Windows.
•
Pare-feu : décrit comment configurer le pare-feu FortiClient. Vous pouvez
utiliser des paramètres prédéfinis ou personnalisés.
•
Filtrage Web : décrit comment configurer l'application FortiClient pour contrôler
les types de contenu de page Web accessibles sur votre ordinateur à l'aide du
service Fortinet FortiGuard Web Filtering.
•
Anti-Spam : décrit comment configurer le filtrage anti-spam pour le client de
messagerie électronique Microsoft Outlook ou Outlook Express. L'application
FortiClient utilise le service Fortinet FortiGuard AntiSpam pour détecter les
messages électroniques contenant du spam. Vous pouvez également créer
vos propres listes noire et blanche d'adresses électroniques.
•
AntiLeak ´: décrit comment empêcher une fuite accidentelle d'informations
confidentielles via les messages électroniques Microsoft Outlook.
•
Maintenance : décrit comment exécuter des mises à jour manuelles ou
programmées des définitions de virus et du moteur antivirus et comment
sauvegarder et restaurer les paramètres de l'application FortiClient.
•
Journaux : décrit comment configurer la journalisation des événements de
sécurité et afficher les informations de journal.
La barre d’état dans la partie inférieure droite de la fenêtre de l’application
FortiClient affiche les icônes d’état de FortiClient.
Le service VPN est en cours d’exécution et une connexion est ouverte.
Le service VPN est désactivé.
Le service de scan antivirus est en cours d’exécution.
Le service de scan antivirus est désactivé.
Le service de mise à jour est en cours d’exécution.
Le service de mise à jour est désactivé.
Le service de protection en temps réel est en cours d’exécution.
Le service de protection en temps réel est désactivé.
La protection de pare-feu est activée.
La protection de pare-feu est désactivée.
8
04-30007-0271-20081022
Présentation
De nombreuses fonctions FortiClient fréquemment utilisées sont disponibles
depuis les menus de la barre d’état système. Cliquez avec le bouton droit de la
souris sur l’icône FortiClient pour accéder au menu.
Figure 1 : Menus de la barre d'état système de FortiClient
Ouvrir la console
FortiClient
Ouvre la console de gestion pour pouvoir configurer les
paramètres et utiliser les services.
FortiClient Aide
Ouvre l’aide en ligne.
A propos de
Affiche les informations de version et de copyright.
Make Compliant with
Corporate Policy
Active les fonctions antivirus, anti-spam, de pare-feu ou de
filtrage de contenu nécessaires pour se conformer à la
stratégie de sécurité. Cet élément s’affiche lorsque
l’ordinateur FortiClient est géré de manière centralisée,
qu’une stratégie de sécurité est définie, mais que les
paramètres FortiClient ne sont pas conformes à cette
stratégie.
Pour plus d’informations, consultez la section “Mise en
conformité avec la stratégie d’entreprise” à la page 18.
Compliant with
Corporate Policy
FortiClient est conforme à la stratégie de sécurité. Cet
élément s’affiche lorsque l’ordinateur FortiClient est géré de
manière centralisée, qu’une stratégie de sécurité est définie
et que les paramètres FortiClient sont conformes à cette
stratégie.
VPN
Si vous avez déjà ajouté des tunnels VPN, vous pouvez
activer ou désactiver les connexions VPN en sélectionnant
ou désélectionnant les noms de connexion. Consultez la
section “Connexion au réseau distant” à la page 33.
Désactiver Protection
Antivirus temps réel
Pour plus d’informations, consultez la section “Configuration
de la protection en temps réel” à la page 50.
Activer le contrôleur de la Pour plus d’informations, consultez la section “Contrôle des
entrées de la liste de démarrage Windows” à la page 54.
base de registres
Pare-feu
Vous pouvez sélectionner Deny All (Tout refuser), Normal
(Normal) ou Pass All (Tout accepter). Consultez la section
“Sélection d’un mode de pare-feu” à la page 57.
Désactiver filtrage Web
Pour plus d’informations, consultez la section “Filtrage Web”
à la page 67.
Désactiver AntiSpam
Pour plus d’informations, consultez la section “Anti-Spam” à
la page 73.
Mettre à jour maintenant
Mise à jour des définitions antivirus et des règles anti-spam.
04-30007-0271-20081022
9
Documentation
Présentation
Montrer les fenêtres de
Scan AV.
Affichage des fenêtres de scan antivirus ; masqué lors de
scans programmés. Cet élément de menu est disponible
uniquement lors d’un scan.
Arrêter FortiClient
Arrête tous les services FortiClient et ferme la console
FortiClient. Cette boîte de dialogue de confirmation n’affiche
le bouton Oui qu’au bout de quatre secondes.
Documentation
Outre ce Guide de l'utilisateur de FortiClient End Point Security, l'aide en ligne de
FortiClient fournit des informations et des procédures d'utilisation et de
configuration du logiciel FortiClient.
Si vous êtes chargé du déploiement de FortiClient End Point Security au sein
d'une entreprise, consultez le Guide de l'administrateur de FortiClient End Point
Security pour obtenir des informations sur l'installation personnalisée, la gestion
centralisée à l'aide d'un système FortiManager, le filtrage Web par utilisateur sur
l'ensemble du réseau, ainsi que la configuration de périphériques FortiGate pour
les utilisateurs de VPN FortiClient.
Vous trouverez des informations sur les pare-feux antivirus de FortiGate dans
l'aide en ligne de FortiGate et le Guide de l'administrateur de FortiGate.
CD de documentation et d'outils Fortinet
Toute la documentation sur Fortinet est disponible sur le CD de documentation et
d'outils Fortinet livré avec votre produit (vous ne recevez pas ce CD si vous avez
téléchargé l'application FortiClient). La dernière mise à jour des documents
contenus dans le CD date de la période d'expédition. Pour obtenir les versions
mises à jour de la documentation Fortinet, visitez le site Web de documentation
technique Fortinet à l'adresse suivante : http://docs.forticare.com.
Base de connaissances Fortinet
Des informations techniques supplémentaires sur Fortinet sont disponibles dans
la base de connaissances Fortinet. La base de connaissances contient des
articles de dépannage et de conseils, des FAQ, des remarques techniques,
un glossaire et bien plus encore. Visitez la base de connaissances Fortinet à
l'adresse suivante : http://kc.forticare.com.
Commentaires sur la documentation technique de Fortinet
Envoyez vos informations relatives à toute erreur ou omission contenue dans ce
document ou toute documentation technique de Fortinet à [email protected].
10
04-30007-0271-20081022
Présentation
L’assistance technique Fortinet offre des services destinés à garantir une
installation rapide, une configuration facile et une exploitation fiable des systèmes
Fortinet au sein du réseau.
Visitez le site Web d’assistance technique Fortinet à l’adresse suivante :
http://support.fortinet.com pour en savoir plus sur les services d’assistance
technique fournis par Fortinet.
04-30007-0271-20081022
11
12
Présentation
04-30007-0271-20081022
Installation
Configuration système requise
Installation
Deux types de packages d'installation sont disponibles pour le logiciel FortiClient :
•
un fichier exécutable Windows ;
•
un fichier .zip (archive compressée) contenant un package d'installation
Microsoft (MSI).
Le fichier exécutable Windows permet d'installer aisément le logiciel sur un seul
ordinateur. Pour plus d'informations, consultez la section “Installation de
FortiClient” à la page 14.
Le package d'installation MSI peut être personnalisé en vue d'un déploiement
plus large sur plusieurs ordinateurs. Pour plus d'informations, consultez le Guide
de l'administrateur de FortiClient.
Si vous installez l'application FortiClient sur une plate-forme 64 bits, vous devez
utiliser un programme d'installation 64 bits. Les fichiers du programme
d'installation 64 bits sont reconnaissables à la mention “_x64” figurant dans
leur nom.
Configuration système requise
Pour installer FortiClient 3.0, vous devez disposer de la configuration minimale
suivante :
•
un ordinateur compatible PC équipé d'un processeur Pentium ou équivalent ;
•
un système d’exploitation compatible et une RAM minimale de :
•
•
•
•
•
Microsoft Windows 2000 : 128 Mo
Microsoft Windows XP 32 bits et 64 bits : 256 Mo
Microsoft Windows Server 2003 32 bits et 64 bits : 384 Mo
Microsoft Windows Vista : 512 Mo
une application de messagerie électronique compatible pour la fonction
Anti-Spam :
•
•
Microsoft Outlook 2000 ou ultérieure
Microsoft Outlook Express 2000 ou ultérieure
•
une application de messagerie électronique compatible pour la fonction
AntiLeak (Anti-fuite) :
•
100 Mo d’espace disque ;
•
un protocole de communication TCP/IP Microsoft natif ;
•
un dialer PPP Microsoft natif pour les connexions commutées ;
•
une connexion Ethernet.
•
Microsoft Outlook 2000 ou ultérieure
Remarque : le logiciel FortiClient installe une carte réseau virtuelle.
04-30007-0271-20081022
13
Modèles FortiGate et versions FortiOS pris en charge
Installation
Modèles FortiGate et versions FortiOS pris en charge
La fonction VPN de FortiClient est compatible avec tous les modèles FortiGate qui
s'exécutent sur FortiOS version 2.36, 2.5, 2.8 et 3.0.
Langues prises en charge
La documentation et l'interface utilisateur de FortiClient End Point Security sont
localisées dans les langues suivantes :
•
anglais ;
•
français ;
•
chinois simplifié ;
•
japonais ;
•
coréen ;
•
slovaque.
Le logiciel d'installation de FortiClient détecte la langue du système d'exploitation
et installe la version linguistique correspondante de l'application. Si une langue
autre que celles mentionnées ci-dessus est détectée, la version anglaise du
logiciel est installée.
Installation de FortiClient
Avant de procéder à l'installation, veillez à désinstaller tout autre logiciel de client
VPN, tel que SSH Sentinel. Il est possible que FortiClient ne fonctionne pas
correctement avec les autres clients VPN éventuellement installés sur le même
ordinateur.
Si une version antérieure du logiciel FortiClient est installée sur votre ordinateur,
la version exécutable Windows du programme d'installation mettra
automatiquement à niveau votre installation vers la nouvelle version, en
conservant votre configuration actuelle. FortiClient 3.0 peut réutiliser les données
de configuration des versions 2.0, 1.6 ou 1.2 de FortiClient, mais pas celles de la
version 1.0.
Remarque : Si les versions 1.0 et 1.2 de FortiClient sont installées, il est recommandé de
les désinstaller avant de procéder à l'installation de la version 3.0 afin d'éviter tout
dysfonctionnement.
Vous pouvez également mettre à niveau votre installation FortiClient à l'aide de
la version .zip du programme d'installation, qui contient un package
d'installation MSI.
Pour installer le logiciel FortiClient - Programme d'installation exécutable
Windows
1
Double-cliquez sur le fichier du programme d'installation de FortiClient.
2
Suivez les instructions qui s'affichent à l'écran, en sélectionnant Next (Suivant)
pour parcourir les options d'installation.
Lorsque l'installation est terminée, l'assistant de configuration démarre, à moins
que vous ne mettiez à niveau une installation existante.
14
04-30007-0271-20081022
Installation
Remarque à propos de l'installation sur des serveurs
Pour installer le logiciel FortiClient - Programme d'installation MSI
1
Extrayez les fichiers dans un dossier à partir de l'archive .zip du programme
d'installation de FortiClient.
2
Effectuez l'une des procédures suivantes :
3
•
Dans le cas d'une nouvelle installation, double-cliquez sur le fichier
FortiClient.msi.
•
Dans le cas d'une mise à niveau, exécutez la commande suivante à l'invite de
commandes (tapez-la intégralement sur une seule ligne, en respectant la
casse comme illustré) :
msiexec /i <chemin_dossier_installation>\FortiClient.msi
REINSTALL=ALL REINSTALLMODE=vomus
Suivez les instructions qui s'affichent à l'écran, en sélectionnant Next (Suivant)
pour parcourir les options d'installation.
Lorsque l'installation est terminée, l'assistant de configuration démarre, à moins
que vous ne mettiez à niveau une installation existante.
Pour configurer le logiciel FortiClient après son installation
1
Dans l'assistant de configuration de FortiClient, sélectionnez Basic Setup
(Configuration de base) si vous installez le logiciel sur un ordinateur indépendant,
ou Advanced Setup (Configuration avancée) si vous l'installez sur un ordinateur
connecté à un réseau.
2
Dans le cas d'une configuration de base, configurez les paramètres de mises à
jour. Pour plus d'informations, consultez la section “Maintenance” à la page 79.
3
Dans le cas d'une configuration avancée, procédez comme suit :
•
Ajoutez les adresses IP aux zones bloquées, sécurisées et publiques de
FortiClient. Pour plus d'informations, consultez la section “Configuration des
zones de sécurité de réseau” à la page 61.
•
Si votre ordinateur utilise un serveur proxy, entrez les informations
correspondantes. Consultez la section “Configuration des paramètres de
serveur proxy” à la page 19.
•
Configurez les paramètres de mise à jour. Consultez la section “Maintenance”
à la page 79.
Remarque à propos de l'installation sur des serveurs
Si vous installez FortiClient End Point Security sur un serveur, suivez les
recommandations de l’antivirus en ce qui concerne les autres produits installés
sur ce serveur. Vous devrez peut-être exclure de l’examen effectué par l’antivirus
certains fichiers et répertoires tels que SQL Server, Exchange Server et d'autres
logiciels avec backends de bases de données.
Remarque à propos de l’installation à partir d’un disque créé à l’aide de la
commande subst
Il est impossible d’effectuer l’installation à partir d’un package MSI si le fichier MSI
se trouve sur un disque créé à l’aide de la commande subst. Le cas échéant, vous
pouvez :
•
spécifier le chemin réel du fichier ;
•
placer le fichier MSI à un endroit où cela ne pose pas de problème ;
•
utiliser, si possible, le programme d'installation .exe.
FortiClient End Point Security Version 3.0 MR7 Guide de l'utilisateur
04-30007-0271-20081022
15
Journal d'installation
Installation
Journal d'installation
Pendant l'installation, FortiClient consigne automatiquement toutes les activités
liées à l'installation dans un fichier journal. En cas de problème pendant
l'installation, vous pouvez vous y référer afin de déterminer le moment et
l'emplacement où s'est produit l'incident.
Le fichier journal d'installation, à savoir fcinstalllog.txt, se trouve dans le répertoire
suivant :
•
sous Windows 2000 : dans le répertoire c:\winnt\
•
sous Windows XP : dans le répertoire c:\windows\
Lorsque vous effectuez l'installation à l'aide du fichier MSI, le fichier journal n’est
pas créé automatiquement. Pour créer le fichier journal dans ce cas, tapez la
commande suivante :
msiexec /i FortiClient.msi /L*v c:\logfile.txt
Vous pouvez également installer les stratégies de journalisation appropriées pour
le groupe Active Directory.
16
04-30007-0271-20081022
Paramètres généraux
Saisie d’une clé de licence
La page des paramètres généraux sert à diverses fins :
•
afficher la version et le numéro de série du logiciel FortiClient,
•
afficher l’état du service VPN,
•
activer ou désactiver la protection antivirus en temps réel,
•
activer ou désactiver le contrôle de la liste de démarrage du système
Windows,
•
afficher la version actuelle des fichiers de définition de virus et l’heure du
dernier scan,
•
configurer l’ouverture automatique de la console FortiClient au démarrage,
•
entrer une clé de licence produit,
•
vérifier la conformité des paramètres avec la stratégie de sécurité de
l’entreprise et la restaurer au besoin,
•
verrouiller ou déverrouiller l’application FortiClient.
Saisie d’une clé de licence
L’application FortiClient utilise des clés de licence différentes en fonction de la
version logicielle : évaluation ou complète.
La version d’évaluation fournit des fonctions de pare-feu et de VPN IPSec
complètes. Des mises à jour de définitions de virus sont disponibles pendant
90 jours. Les services anti-spam et de filtrage Web sont disponibles pendant
90 jours. Il n’est pas possible de prolonger la période d’évaluation en réinstallant
le logiciel.
Lorsque vous achetez une clé de licence et l’entrez dans le logiciel, des mises à
jour de définitions de virus sont disponibles jusqu’à l’expiration de la licence.
La page General > Status (Général > État) affiche le numéro de série et la date
d’expiration de la licence.
Pour bénéficier des services anti-spam et de filtrage Web au-delà de la période
d’évaluation, vous devez vous abonner au service FortiGuard. Pour plus
d’informations, consultez la page http://www.fortinet.com/products/fortiguard.html.
Contactez votre commercial Fortinet local ou consultez la page
https://shop.fortinet.com or encore http://www.fortinet.com/products/forticlient.html
pour acheter ou renouveler une clé de licence.
Pour entrer une clé de licence
1
Accédez à General > Status (Général > État).
2
Sélectionnez Enter License Key.
3
Entrez la clé de licence.
4
Sélectionnez OK.
04-30007-0271-20081022
17
Mise en conformité avec la stratégie d’entreprise
Mise en conformité avec la stratégie d’entreprise
Si l’ordinateur FortiClient est géré de manière centralisée, une stratégie de
sécurité peut être définie. Elle requiert l’activation des fonctions antivirus, antispam, de pare-feu et de filtrage Web. Si tel est le cas, la section de conformité
avec la stratégie d’entreprise s’affiche sur la page General.
Si les paramètres de l’ordinateur FortiClient ne sont pas conformes à la stratégie
de sécurité, il n’est pas possible d’exploiter un tunnel VPN.
La section Corporate Policy Compliance (Conformité avec la stratégie
d’entreprise) indique que FortiClient est conforme à la stratégie d’entreprise ou
affiche la case à cocher Make FortiClient compliant with corporate policy (Mettre
FortiClient en conformité avec la stratégie d’entreprise). Cochez la case pour
mettre les paramètres FortiClient en conformité avec la stratégie.
Verrouillage et déverrouillage du logiciel
Vous pouvez modifier les paramètres du logiciel FortiClient uniquement si votre
compte Windows dispose de privilèges administratifs. Vous pouvez empêcher
d’autres utilisateurs disposant de privilèges administratifs de modifier les
paramètres en verrouillant FortiClient avec un mot de passe. Si le logiciel
FortiClient est géré à distance à l’aide du système FortiManager, l’administrateur
FortiManager peut verrouiller vos paramètres de configuration. Si votre
application FortiClient est verrouillée, la page des paramètres généraux affiche un
bouton Unlock (Déverrouiller).
Pour verrouiller localement l’application FortiClient
1
Sous l’onglet General (Général), sélectionnez Lock Settings (Verrouiller les
paramètres).
2
Entrez le mot de passe dans le champ Password (Mot de passe) et entrez-le de
nouveau dans le champ de confirmation.
3
Sélectionnez OK.
Pour déverrouiller localement l’application FortiClient
1
Demandez le mot de passe à l’administrateur.
2
Sous l’onglet General (Général), sélectionnez Unlock (Déverrouiller).
3
Entrez le mot de passe dans le champ Password (Mot de passe).
4
Vous pouvez également sélectionner Remove Password (Supprimer le mot de
passe) pour déverrouiller l’application de manière permanente.
Cette option n’est pas disponible si FortiManager a verrouillé l’application
FortiClient.
5
Sélectionnez OK.
6
Une fois les paramètres modifiés, sélectionnez Relock (Verrouiller à nouveau).
Remarque : même si le logiciel FortiClient est verrouillé, vous pouvez exécuter des scans
antivirus, utiliser les tunnels VPN, modifier les certificats VPN et listes de révocation de
certificats.
18
04-30007-0271-20081022
Configuration des paramètres de serveur proxy
Si vous utilisez un serveur proxy pour votre réseau LAN, vous pouvez configurer
les paramètres de serveur proxy de sorte que le logiciel FortiClient passe par le
serveur proxy pour obtenir des mises à jour de signatures de virus, envoyer des
fichiers infectés par des virus et obtenir des certificats en ligne à l’aide du
protocole SCEP.
Le logiciel FortiClient prend en charge les protocoles de proxy HTTP, SOCKS v4
et SOCKS v5.
Pour configurer les paramètres de serveur proxy
1
Accédez à General > Connection (Général > Connexion).
2
Sélectionnez Enable proxy for Updates (Activer les mises à jour via le proxy),
Virus submission (Envoi de fichiers infectés) et Online SCEP (SCEP en ligne) si
nécessaire.
3
Pour le type de proxy, sélectionnez HTPP, SOCK V4 ou SOCK V5.
4
Entrez l’adresse IP et le numéro de port du serveur proxy.
Vous pouvez demander ces informations à votre administrateur réseau.
5
Entrez le nom d’utilisateur et le mot de passe.
6
Sélectionnez Apply (Appliquer).
04-30007-0271-20081022
19
20
04-30007-0271-20081022
VPN
Configuration des VPN
VPN
FortiClient End Point Security permet de créer un tunnel VPN entre votre
ordinateur et une unité FortiGate ou une autre passerelle VPN. Grâce à ce guide,
vous devez uniquement vous procurer quelques informations auprès de
l’administrateur VPN afin de configurer les paramètres VPN de FortiClient.
Configuration des VPN
Si la passerelle VPN est une unité FortiGate exécutant FortiOS 3.0, elle peut
télécharger les paramètres sur l’application FortiClient. Vous devez uniquement
connaître l’adresse IP ou le nom de domaine de la passerelle VPN. Consultez la
section “Configuration automatique d’un VPN” à la page 22.
Si la passerelle VPN est une unité FortiGate exécutant FortiOS 2.80 ou inférieur
ou s’il s’agit d’une passerelle tierce, vous devez configurer manuellement les
paramètres VPN de FortiClient. Vous devez connaître :
•
l’adresse IP ou le nom de domaine de la passerelle VPN ;
•
l’adresse IP et le masque réseau des réseaux auxquels vous souhaitez
accéder via la passerelle VPN ;
•
dans certains cas, une adresse IP virtuelle ;
•
les paramètres de stratégie IKE et IPsec, sauf si les paramètres par défaut
sont utilisés ;
•
le nom d’utilisateur et le mot de passe en cas d’utilisation de l’authentification
étendue.
Consultez la section “Configuration manuelle d’un VPN” à la page 22.
Si vous configurez un VPN pour qu’il utilise des certificats numériques locaux ou
un certificat de carte à puce/eToken pour l’authentification, consultez la section
“Gestion des certificats numériques” à la page 36 avant de commencer.
La configuration des connexions VPN de FortiClient ne requiert pas l’utilisation de
certificats numériques. Les certificats numériques constituent une fonction
avancée destinée à faciliter les tâches des administrateurs système. Ce guide
suppose que l’utilisateur sait comment configurer des certificats numériques en
vue de les implémenter.
04-30007-0271-20081022
21
Configuration automatique d’un VPN
VPN
Configuration automatique d’un VPN
Si la passerelle FortiGate distante est configurée comme serveur de déploiement
de stratégie VPN, vous pouvez configurer le logiciel FortiClient pour qu’il
télécharge les stratégies VPN depuis la passerelle FortiGate.
Le serveur de stratégies dispose d’un démon exécuté en tout temps pour
répondre aux requêtes entrantes de téléchargement de stratégie. Ce démon
communique avec l’ordinateur FortiClient pour authentifier utilisateur, ainsi que
pour rechercher et fournir des stratégies. Une fois la stratégie envoyée, le démon
ferme la connexion SSL et vous pouvez démarrer le tunnel VPN depuis
l’ordinateur FortiClient.
Remarque : pour les VPN à configuration automatique, seules les clés pré-partagées sont
prises en charge. Les certificats ne sont pas pris en charge.
Sur l’ordinateur FortiClient, vous devez uniquement créer un nom de VPN et
indiquer l’adresse IP de la passerelle FortiGate.
Pour ajouter un VPN à l’aide de la configuration automatique sur
l’ordinateur FortiClient
1
Accédez à VPN > Connections (VPN > Connexions).
2
Sélectionnez Advanced (Avancé) puis Add (Ajouter).
3
Dans la boîte de dialogue New Connection (Nouvelle connexion), entrez un nom
de connexion.
4
Pour le type de configuration, sélectionnez Automatic (Automatique).
5
Dans la section Policy Server (Serveur de stratégies), entrez l’adresse IP ou le
nom de domaine complet de la passerelle FortiGate.
6
Sélectionnez OK.
Configuration manuelle d’un VPN
La configuration VPN décrite dans cette section utilise les paramètres FortiClient
par défaut et des clés pré-partagées pour l’authentification des VPN.
Pour pouvoir configurer une connexion VPN, les paramètres FortiClient doivent
correspondre à ceux du serveur VPN, une unité FortiGate par exemple.
Pour utiliser des certificats numériques pour l’authentification VPN, consultez la
section “Gestion des certificats numériques” à la page 36.
Configuration des paramètres VPN de base pour FortiClient
Accédez à VPN > Connections (VPN > Connexions) pour ajouter, supprimer,
modifier ou renommer une connexion VPN.
Pour ajouter un ordinateur FortiClient à un VPN FortiGate, procédez comme suit :
22
•
Créez le tunnel VPN depuis l’ordinateur FortiClient jusqu’à la passerelle
FortiGate distante.
•
Si requis par l’administrateur, configurez le VPN de FortiClient pour qu’il utilise
une adresse IP virtuelle, attribuée manuellement ou à l’aide du protocole
DHCP via IPSec.
04-30007-0271-20081022
VPN
•
Vous pouvez également ajouter les adresses IP des réseaux supplémentaires
se trouvant derrière la passerelle distante.
•
Configurez la navigation Internet via IPSec pour accéder à Internet via le
tunnel VPN.
Figure 2 : Création d'une nouvelle connexion VPN
Pour créer une connexion VPN FortiClient
1
2
Sélectionnez Advanced (Avancé) puis Add (Ajouter).
3
Entrez les informations suivantes et sélectionnez OK.
Nom de la connexion
Entrez un nom descriptif pour la connexion.
Configuration
Sélectionnez Manual (Manuelle).
Passerelle distante
Entrez l’adresse IP ou le nom de domaine complet de
la passerelle distante.
Réseau distant
Entrez l’adresse IP et le masque réseau du réseau
situé derrière l’unité FortiGate.
Méthode d’authentification Sélectionnez Pre-shared Key (Clé pré-partagée).
Clé partagée
Entrez la clé pré-partagée.
Pour définir l’adresse IP virtuelle
If votre configuration requiert une adresse IP virtuelle, procédez comme suit :
1
2
Double-cliquez sur une connexion.
La boîte de dialogue Edit Connection (Modification de connexion) s’ouvre.
3
Sélectionnez Advanced (Avancé).
04-30007-0271-20081022
23
VPN
4
Dans la boîte de dialogue Advanced Settings (Paramètres avancés), sélectionnez
Acquire Virtual IP Address (Obtenir une adresse IP virtuelle) et sélectionnez
Config.
5
Dans la boîte de dialogue Virtual IP Acquisition (Acquisition d’adresse IP virtuelle),
sélectionnez DHCP over IPSec (DHCP via IPSec) ou définissez manuellement
une adresse IP, si nécessaire. Pour plus d’informations, consultez la section
“Configuration de l’acquisition d’adresses IP virtuelles” à la page 28.
6
Sélectionnez OK.
7
Sélectionnez OK.
Pour ajouter des réseaux distants supplémentaires à une connexion
1
2
Double-cliquez sur la connexion pouvant accéder au réseau à ajouter.
3
La boîte de dialogue Advanced Settings (Paramètres avancés) s’ouvre.
4
Dans la section Remote Network (Réseau distant), sélectionnez Add (Ajouter).
5
Dans la boîte de dialogue Network Editor (Modifications de réseaux), entrez
l’adresse IP et le masque de sous-réseau du réseau distant puis sélectionnez OK.
6
Renouvelez les étapes 4 et 5 pour chaque réseau supplémentaire que vous
souhaitez ajouter.
Vous pouvez spécifier jusqu’à 16 réseaux distants.
7
Sélectionnez OK.
8
Sélectionnez OK.
Pour utiliser la navigation Internet via IPSec
1
2
3
4
Add (Ajouter).
5
Entrez 0.0.0.0./0.0.0.0 et sélectionnez OK.
6
Sélectionnez OK.
7
Sélectionnez OK.
Remarque : pour que l’ordinateur FortiClient puisse utiliser la navigation Internet via
IPSec, la passerelle FortiGate distante doit également être configurée de manière à
autoriser ce trafic.
Pour transférer les paramètres de configuration VPN vers votre dispositif
mobile Windows
24
1
Connectez votre dispositif mobile à l’ordinateur à l’aide du câble USB.
2
Démarrez Microsoft ActiveSync et vérifiez que le programme détecte votre
dispositif.
04-30007-0271-20081022
VPN
3
4
Sélectionnez Advanced (Avancé) puis Sync to Mobile Device (Synchroniser avec
le dispositif mobile).
Les définitions de tunnel sont transférées sur votre dispositif mobile.
Configuration des stratégies IKE et IPSec
FortiClient dispose de deux stratégies IKE et IPSec préconfigurées :
•
Utilisez la stratégie héritée pour la connexion d’un VPN à une unité FortiGate
exécutant FortiOS v2.36 et pour toute passerelle Cisco prenant uniquement en
charge les paramètres hérités.
•
Utilisez la stratégie par défaut pour la connexion d’un VPN à une unité
FortiGate exécutant FortiOS v2.50 ou supérieur.
Pour modifier les paramètres de stratégie hérités ou par défaut
1
2
3
4
Sous Policy (Stratégie), sélectionnez Legacy (Héritée) ou Default (Par défaut).
Les paramètres de stratégie s’affichent dans les boîtes IKE et IPSec. Vous
pouvez utiliser les stratégies héritées ou les stratégies par défaut. Pour configurer
les paramètres détaillés, suivez les étapes ci-dessous.
5
Sous Policy (Stratégie), sélectionnez Config.
6
Dans la boîte de dialogue Connection Detailed Settings (Paramètres détaillés de
connexion), configurez les paramètres du tableau suivant. Sélectionnez OK pour
enregistrer les paramètres. Vous pouvez également sélectionner Legacy (Héritée)
ou Default (Par défaut) pour restaurer les paramètres hérités ou par défaut
d’origine.
04-30007-0271-20081022
25
VPN
Figure 3 : Modification des paramètres de configuration détaillés
Tableau 1 : Les paramètres IKE de FortiClient correspondent aux paramètres de
première étape de FortiGate
26
Propositions IKE
Ajoutez ou supprimez des algorithmes de chiffrement et
d’authentification.
La liste de propositions sert lors de la négociation IKE entre le
logiciel FortiClient et l’unité FortiGate distante. Le logiciel
FortiClient propose les combinaisons d’algorithme dans l’ordre en
commençant par le début de la liste.
La passerelle FortiGate distante doit utiliser les mêmes
propositions.
Mode
Sélectionnez Main (Principal) ou Aggressive (Agressif).
Le mode principal fournit une fonction de sécurité supplémentaire
appelée “protection de l’identité” qui masque les identités des
homologues VPN pour qu’elles ne soient pas détectées par des
logiciels d’écoute passive. Par rapport au mode agressif, le mode
principal requiert l’échange d’un plus grand nombre de messages.
Il est également difficile de l’utiliser efficacement lorsqu’un
homologue VPN se sert de son identité dans le cadre de
processus d’authentification. Lors de l’utilisation du mode agressif,
les homologues VPN échangent ouvertement les informations
d’identification.
04-30007-0271-20081022
VPN
Tableau 1 : Les paramètres IKE de FortiClient correspondent aux paramètres de
première étape de FortiGate (Continued)
Groupe DH
Sélectionnez un ou plusieurs groupes Diffie-Hellman parmi les
groupes DH 1, 2 et 5.
• Lorsque les homologues VPN disposent d’adresses IP
statiques et utilisent le mode agressif, sélectionnez un seul
groupe DH correspondant.
•
Lorsque les homologues VPN utilisent le mode agressif dans
une configuration de numérotation, sélectionnez jusqu’à trois
groupes DH pour le serveur de numérotation et un seul groupe
DH pour l’utilisateur de numérotation (client ou passerelle).
•
Lorsque les homologues VPN utilisent le mode principal, vous
pouvez sélectionner plusieurs groupes DH.
Durée de vie de
la clé
Entrez le nombre en secondes.
La validité de la clé correspond au temps restant en secondes
avant l’expiration de la clé de chiffrement IKE. Lorsque la clé
expire, une nouvelle clé est générée sans interrompre le service.
La validité de la clé de la proposition P1 peut être de 120 à
172 800 secondes.
Identifiant local
Si vous utilisez des ID homologue pour l’authentification, entrez
l’ID homologue que FortiClient utilisera pour s’authentifier sur la
passerelle FortiGate distante.
Si vous utilisez des certificats pour l’authentification, entrez l’ID
local qui correspond au nom unique du certificat local.
Le nombre d’homologues FortiClient pouvant utiliser le même ID
local n’est pas limité.
Tableau 2 : Les paramètres IPSec de FortiClient correspondent aux paramètres de
deuxième étape de FortiGate
Propositions IPSec Ajoutez ou supprimez des algorithmes de chiffrement et
d’authentification.
propositions.
Groupe DH
Sélectionnez un groupe Diffie-Hellman parmi les groupes DH 1, 2
et 5. Le groupe DH 1 est moins sécurisé. Le groupe DH 5 est le
plus sécurisé. Il est impossible de sélectionner plusieurs groupes
DH.
paramètres de groupe DH.
Durée de vie de la
clé
Sélectionnez Seconds (Secondes) ou KBytes (Koctets) pour la
validité de clé, ou les deux options.
Le paramètre de validité de clé entraîne l’expiration de la clé IPSec
après une période de temps spécifiée, après le traitement d’un
nombre spécifié de kilo-octets de données, ou après ces deux
options. Si vous sélectionnez les deux options, la clé arrivera à
expiration uniquement une fois que le temps sera écoulé et que le
nombre de kilo-octets de données aura été traité.
Lorsque la clé expire, une nouvelle clé est générée sans
interrompre le service. La validité de la clé de la proposition P2
peut être de 120 à 172 800 secondes ou de 5 120 à 2 147 483 648
kilo-octets.
04-30007-0271-20081022
27
VPN
Tableau 3 : Paramètres VPN avancés de FortiClient
Rejouer la
détection
L’option Replay detection (Détection de rejeu) permet au logiciel
FortiClient de vérifier si le numéro de séquence de chaque paquet
IPSec a été reçu. Si des paquets identiques dépassent un ordre de
séquence spécifié, le logiciel FortiClient les élimine.
Fonction PFS
Le protocole FPS (Perfect forward secrecy ou confidentialité de
protection parfaite) améliore la sécurité obligeant un nouvel
échange Diffie-Hellman à chaque fois qu’une clé arrive à
expiration.
Traduction
d’adresses/ports
sur le parcours
Activez cette option si vous souhaitez que le trafic VPN IPSec
passe par
une passerelle exécutant le protocole NAT. Si aucun dispositif NAT
n’est détecté, l’activation de l’option NAT traversal n’a aucun effet.
Si vous activez l’option NAT traversal, vous pouvez définir la
fréquence de conservation de connexion active.
Le protocole NAT traversal est activé par défaut.
Fréquence du
Keepalive
Si l’option NAT Traversal est sélectionnée, entrez la fréquence de
conservation de connexion active en secondes.
La séquence de conservation de connexion active spécifie la
fréquence à laquelle les paquets UDP vides sont envoyés via le
dispositif NAT afin de garantir que le mappage NAT ne soit pas
modifié avant l’expiration des clés IKE et IPSec.
La fréquence de conservation de connexion active peut être de 0 à
900 secondes.
Clé automatique
persistante
Activez cette option pour maintenir ouverte la connexion VPN
même si aucune donnée n’est transférée.
Détection de perte
d’un tiers
Activez cette option pour effacer les connexions VPN indisponibles
et en établir de nouvelles.
Configuration de l’acquisition d’adresses IP virtuelles
Le logiciel FortiClient prend en charge deux méthodes d’acquisition d’adresses IP
virtuelles : le DHCP (dynamic host configuration protocol ou configuration
dynamique des hôtes) via IPSec et la saisie manuelle.
Sélectionnez l’option DHCP over IPSec (DHCP via IPSec) pour autoriser le
serveur DHCP du réseau distant à attribuer une adresse IP à l’ordinateur
FortiClient de manière dynamique une fois la connexion VPN établie.
Sélectionnez l’option Manually Set (Définition manuelle) pour spécifier
manuellement une adresse IP virtuelle pour l’ordinateur FortiClient. Cette adresse
IP virtuelle doit correspondre à une adresse réelle du réseau distant. Vous pouvez
également spécifier les adresses IP des serveurs DNS et WINS du réseau distant.
Pour obtenir des informations sur la configuration de la passerelle FortiGate,
consultez les sections Guide de l’administrateur de FortiGate et Guide des VPN
IPSec de FortiGate.
Remarque : si l’ordinateur est connecté à une passerelle FortiGate v2.50, vous ne pouvez
pas définir l’adresse IP virtuelle dans le même sous-réseau de réseau distant car la
passerelle FortiGate v2.50 ne prend pas en charge le proxy ARP. Si l’ordinateur est
connecté à une passerelle FortiGate v2.80 ou supérieur, consultez votre administrateur
réseau pour obtenir une adresse IP virtuelle correcte.
28
04-30007-0271-20081022
VPN
Figure 4 : Configuration de l'acquisition d'adresses IP virtuelles
Configuration de l’acquisition d’adresses IP virtuelles
1
2
3
4
Sélectionnez Acquire virtual IP address (Obtenir une adresse IP virtuelle) et
sélectionnez le bouton Config correspondant.
5
Sélectionnez Dynamic Host Configuration Protocol (DHCP) over IPSec (DHCP
via IPSec) ou Manually Set (Définition manuelle).
L’option par défaut est DHCP.
6
Si vous sélectionnez Manually Set (Définition manuelle), entrez l’adresse IP et le
masque de sous-réseau. Vous pouvez également spécifier les adresses IP des
serveurs DNS et WINS.
7
Sélectionnez OK.
8
Sélectionnez OK.
9
Sélectionnez OK.
04-30007-0271-20081022
29
VPN
Configuration de l’authentification étendue
Si l’unité FortiGate distante est configurée comme un serveur d’authentification
étendue, un nom d’utilisateur et un mot de passe seront requis sur l’ordinateur
FortiClient lors d’une tentative de connexion VPN. Le nom d’utilisateur et le mot
de passe sont définis par le serveur d’authentification étendue. Ils peuvent être
sauvegardés dans le cadre d’une configuration VPN avancée ou saisis
manuellement à chaque tentative de connexion.
Pour obtenir des informations sur la configuration du serveur d’authentification
avancée, consultez les sections Guide de l’administrateur de FortiGate et Guide
des VPN IPSec de FortiGate.
Figure 5 : Configuration de l'authentification étendue
Pour configurer l’authentification avancée
1
2
3
4
Config for eXtended Authentication (Configuration pour authentification étendue).
5
Dans la boîte de dialogue Authentification étendue, suivez l’une des étapes
suivantes :
•
Si vous souhaitez entrer le nom d’utilisateur et le mot de passe pour chaque
connexion VPN, sélectionnez Inviter d’authentification. Vous pouvez choisir si
FortiClient autorise trois, deux ou seulement une tentative de connexion avec
le nom d’utilisateur et le mot de passe appropriés.
Lorsque FortiClient vous invite à vous connecter, vous pouvez sélectionner
l’option de sauvegarde du mot de passe pour éviter de devoir le saisir à la
prochaine invitation de connexion.
•
30
Si vous souhaitez que FortiClient envoie automatiquement les informations
d’authentification étendue, désactivez l’option Inviter d’authentification.
6
Sélectionnez OK.
7
Sélectionnez OK.
8
Sélectionnez OK.
04-30007-0271-20081022
VPN
Utilisation du client VPN FortiClient
Utilisation du client VPN FortiClient
Une fois les connexions VPN configurées, vous pouvez utiliser FortiClient pour
établir des connexions sécurisées.
Tester la connexion
Après avoir configuré un VPN, vous pouvez tester la connexion VPN depuis
l’ordinateur FortiClient. Cette option est facultative mais elle fournit plus
d’informations que la fonction Connect (Connecter) en cas d’échec de la
connexion.
Pour tester la connexion
1
2
Sélectionnez la connexion à tester.
3
Sélectionnez Advanced (Avancé) puis Test (Tester).
Une fenêtre de journal s’ouvre et commence à négocier la connexion VPN avec
l’unité FortiGate distante.
Si le test réussit, la dernière ligne du journal affiche “IKE daemon stopped”.
Remarque : pour un VPN avec configuration automatique, le logiciel FortiClient télécharge
d’abord la stratégie VPN. Pour tester la connexion VPN, le logiciel FortiClient tente de
négocier la connexion VPN, mais n’ouvre pas de connexion VPN.
Si la dernière ligne du journal affiche “Next_time = x sec” où x est un entier,
le test a échoué. Le logiciel FortiClient tente toujours de négocier la connexion.
Consultez la section “Dépannage des connexions VPN” à la page 36.
4
Sélectionnez Close (Fermer).
Figure 6 : Test de connexion réussi
04-30007-0271-20081022
31
Définition des options de connexion
VPN
Figure 7 : Échec d'un test de connexion
Définition des options de connexion
Les options suivantes s’appliquent aux connexions VPN. Vous pouvez les trouver
sur la page VPN > Connections (VPN > Connexions). Sélectionnez Apply
(Appliquer) après toute modification.
32
Start VPN before logging on to
Windows
Sélectionnez cette option si vous devez vous
connecter à un domaine Windows via un VPN au
démarrage du poste de travail Windows. Consultez la
section “Connexion à un VPN avant l’ouverture d’une
session Windows” à la page 33.
Keep IPSec service running
forever unless manually
stopped
Choisissez de rétablir indéfiniment les connexions
rejetées. Par défaut, le logiciel FortiClient tente de
rétablir quatre fois une connexion rejetée.
Beep when connection error
occurs
Choisissez si le logiciel FortiClient doit émettre une
alarme en cas d’échec d’une connexion VPN.
Par défaut, l’alarme s’arrête après 60 secondes même
si la connexion n’a pas été rétablie. Vous pouvez
modifier la durée ou sélectionner Continuously
(Continuellement) pour que l’alarme ne s’arrête qu’une
fois la connexion rétablie.
04-30007-0271-20081022
VPN
Connexion au réseau distant
Connexion au réseau distant
Après avoir configuré une connexion VPN, vous pouvez démarrer ou interrompre
la connexion au besoin.
Remarque : si l’ordinateur FortiClient est géré de manière centralisée et n’est pas
conforme à la stratégie de sécurité d’entreprise, le VPN ne fonctionne pas. Sélectionnez
Make Compliant with Corporate Policy (Mettre en conformité avec la stratégie d’entreprise)
dans le menu de la barre d’état système afin d’effectuer les modifications requises des
paramètres FortiClient. Pour plus d’informations, consultez la section “Mise en conformité
avec la stratégie d’entreprise” à la page 18.
Pour se connecter à une passerelle FortiGate distante
1
2
Sélectionnez la connexion à lancer.
3
Sélectionnez Connect (Connecter).
Le logiciel FortiClient ouvre une fenêtre de journal et commence à négocier une
connexion VPN avec le pare-feu FortiGate distant. Si la négociation réussit et la
connexion est établie, la dernière ligne du journal affiche “Negotiation
Succeeded!” (Négociation réussie).
4
Sélectionnez OK ou attendez que la fenêtre se ferme automatiquement.
Si la dernière ligne du journal affiche “Negotiation failed! Please check
log” (Échec de la négociation. Vérifiez le journal) et si la fenêtre de journal ne se
ferme pas automatiquement, la tentative de connexion a échoué. Testez la
connexion pour vérifier la configuration.
5
Pour interrompre la connexion, sélectionnez Disconnect (Déconnecter).
Connexion à un VPN avant l’ouverture d’une session Windows
Vous pouvez vous connecter à un VPN avant d’ouvrir une session Windows si
vous avez sélectionné l’option “Start VPN before logging on to Windows”
(Démarrer le VPN avant d’ouvrir une session Windows) (consultez la section
“Définition des options de connexion” à la page 32). L’icône d’un VPN FortiClient
s’affiche sur l’écran de connexion Windows.
Figure 8 : Icône VPN icon sur l'écran de connexion Windows
Aucune connexion Connexion VPN
active
VPN
Vous devez vous connecter au VPN avant d’ouvrir une session Windows
uniquement si le VPN est connecté à votre domaine Windows. Dans ce cas, vous
ne devez pas vous déconnecter du VPN avant de fermer la session de domaine
Windows.
04-30007-0271-20081022
33
Contrôle des connexions VPN
VPN
Pour se connecter à un VPN depuis l’écran de connexion Windows
1
Sélectionnez l’icône VPN.
2
Sélectionnez la connexion VPN requise dans la liste de connexions.
3
Sélectionnez Connect (Connecter).
Le logiciel FortiClient ouvre une fenêtre de journal et commence à négocier une
connexion VPN avec le pare-feu FortiGate distant. Si la négociation réussit et la
connexion est établie, la dernière ligne du journal affiche “Negotiation
Succeeded!” (Négociation réussie).
4
Sélectionnez OK ou attendez que la fenêtre IKE Negotiation (Négociation IKE) se
ferme automatiquement.
5
Connectez-vous au domaine Windows.
6
Après vous être déconnecté du domaine Windows, sélectionnez l’icône VPN pour
vous déconnecter du VPN.
Contrôle des connexions VPN
Accédez à VPN > Monitor (VPN > Contrôle) pour afficher la connexion VPN
actuelle et les informations de trafic.
Figure 9 : Contrôle VPN
Pour la connexion actuelle, vous pouvez afficher les informations suivantes.
Nom
Nom de la connexion VPN actuelle.
Passerelle locale
Adresse IP de la passerelle locale (ordinateur FortiClient).
Distant
Adresse IP de la passerelle distante (unité FortiGate).
Délai d’attente (sec) Temps de connexion VPN restant.
34
04-30007-0271-20081022
VPN
Exportation et importation des fichiers de stratégies VPN
Pour le trafic VPN entrant, vous pouvez afficher les informations suivantes.
Paquets
Nombre de paquets reçus.
Bytes
Nombre d’octets reçus.
Chiffrement
Algorithme et clé de chiffrement.
Auth.
Algorithme et clé d’authentification.
Pour le trafic VPN sortant, vous pouvez afficher les informations suivantes.
Packets
Nombre de paquets envoyés.
Bytes
Nombre d’octets envoyés.
Chiffrement
Algorithme et clé de chiffrement.
Auth.
Algorithme et clé d’authentification.
Traffic summary
Le résumé du trafic affiche un graphique du trafic VPN entrant et sortant.
La colonne de gauche affiche le trafic entrant et la colonne de droite, le trafic
sortant. Le nombre total d’octets entrants et sortants transférés est également
affiché.
Remarque : lorsque le trafic est transféré via une connexion VPN ouverte, l’icône
de la barre d’état système de FortiClient représente un graphique de résumé de
trafic. La colonne rouge indique le trafic entrant. La colonne verte indique le trafic
sortant.
Exportation et importation des fichiers de stratégies VPN
Vous pouvez exporter un fichier de stratégies VPN vers votre ordinateur local ou
de réseau comme sauvegarde des paramètres de configuration VPN. Au besoin,
vous pouvez réimporter ce fichier sur votre ordinateur FortiClient local ou sur
d’autres ordinateurs FortiClient.
Pour exporter un fichier de stratégies VPN
1
2
Sélectionnez la connexion pour laquelle vous souhaitez exporter le fichier de
stratégies VPN.
3
Sélectionnez Advanced (Avancé) puis Export (Exporter).
4
Sélectionnez un dossier de fichiers et entrez un nom de fichier.
5
Sélectionnez Save (Enregistrer).
Pour importer un fichier de stratégies VPN
1
2
Sélectionnez Advanced (Avancé) puis Import (Importer).
3
Recherchez le fichier et sélectionnez Open (Ouvrir).
Remarque : si le fichier importé porte le même nom que celui d’une connexion
existante, il le remplace.
04-30007-0271-20081022
35
Dépannage des connexions VPN
VPN
Dépannage des connexions VPN
La plupart des pannes de connexion sont dues à une incompatibilité de
configuration ente l’unité FortiGate distante et le logiciel FortiClient.
Voici quelques conseils pour réparer une panne de connexion VPN :
•
Effectuez un test ping du pare-feu FortiGate distant depuis l’ordinateur
FortiClient pour vérifier qu’une connexion existe entre les deux.
•
Vérifiez la configuration du logiciel FortiClient.
Le Tableau 4 répertorie des erreurs de configuration courantes du logiciel
FortiClient.
•
Vérifiez la configuration du pare-feu FortiGate.
Le Tableau 5 répertorie des erreurs de configuration courantes du pare-feu
antivirus FortiGate.
Tableau 4 : Erreurs de configuration courantes du logiciel FortiClient
Erreur de configuration
Correction
Informations de réseau distant non
valides.
Vérifiez les adresses IP de la passerelle et du
réseau distants.
Clé pré-partagée non valide.
Entrez de nouveau la clé pré-partagée.
ID homologue de mode agressif non
valide.
Entrez l’ID homologue approprié.
Combinaison de propositions IKE ou
IPSec incompatible dans la liste de
propositions.
Vérifiez que le logiciel FortiClient et la
passerelle FortiGate distante utilisent les
mêmes propositions.
Groupe Diffie-Hellman IKE ou IPSec non Assurez-vous de sélectionner le groupe DH
valide ou incompatible.
approprié des deux côtés.
Aucun protocole PFS lorsque requis.
Activez le protocole PFS.
Tableau 5 : Erreurs de configuration courantes du pare-feu antivirus FortiGate
Erreur de configuration
Correction
Sens non valide de la stratégie de
chiffrement. Par exemple, “externe vers
interne”au lieu d’“interne vers externe”.
Remplacez le sens de la stratégie par “interne
vers externe”.
Adresses source et de destination de
stratégie de pare-feu non valides.
Entrez à nouveau les adresses source et de
destination.
Classement non valide de la stratégie de La stratégie de chiffrement doit être placée auchiffrement dans le tableau de stratégies dessus de stratégies autres.
de pare-feu.
Gestion des certificats numériques
Pour utiliser des certificats numériques locaux ou de carte à puce, les éléments
suivants sont nécessaires :
36
•
un certificat signé ;
•
les certificats d’autorité de certification pour toutes les autorités de certification
utilisées ;
•
toute liste de révocation de certificats applicable ou l’URL pour valider le
protocole OCSP.
04-30007-0271-20081022
VPN
Obtention d’un certificat local signé
Pour obtenir un certificat local signé par le serveur de l’autorité de certification et
l’importer dans FortiClient, suivez les étapes ci-dessous :
Le logiciel FortiClient peut utiliser une méthode d’inscription manuelle basée sur
fichiers ou le protocole SCEP pour obtenir des certificats. L’utilisation du protocole
SCEP est plus simple, mais ne peut avoir lieu que si l’autorité de certification
prend en charge le protocole SCEP.
Pour une inscription basée sur fichiers, il est nécessaire de copier et coller des
fichiers texte de l’ordinateur local vers l’autorité de certification et de l’autorité de
certification vers l’ordinateur local. Le protocole SCEP permet d’automatiser ce
processus, mais il est quand même nécessaire de copier et coller manuellement
les listes de révocation de certificats entre l’autorité de certification et l’ordinateur
local.
Remarque : les certificats numériques doivent être conformes au standard X.509.
Étapes générales pour obtenir un certificat local signé
1
Générez la requête de certificat local. Consultez la section “Pour générer une
requête de certificat local” à la page 38.
2
Exportez la requête de certificat local vers un fichier .csr. Consultez la section
“Pour exporter la requête de certificat local” à la page 39.
3
Envoyez la requête de certificat local signé à une autorité de certification.
Consultez la section “Pour envoyer la requête de certificat à une autorité de
certification” à la page 39.
4
Récupérez le certificat signé auprès d’une autorité de certification. Consultez la
section “Pour récupérer le certificat local signé auprès de l’autorité de
certification” à la page 40.
5
Importez le certificat local signé dans FortiClient. Vous pouvez également
sauvegarder le certificat en l’exportant. Consultez les sections “Pour importer le
certificat local signé” à la page 40 et “Pour exporter le certificat local signé” à la
page 40.
04-30007-0271-20081022
37
VPN
Figure 10 : Génération d'une requête de certificat local
Pour générer une requête de certificat local
1
Accédez à VPN > My Certificates (VPN > Mes certificats).
2
Sélectionnez Generate (Générer).
3
Entrez un nom de certificat.
4
Dans les informations d’objet, sélectionnez le type d’ID de l’objet.
Vous pouvez choisir entre un nom de domaine, une adresse électronique ou une
adresse IP.
5
Entrez les informations du type d’ID sélectionné.
Domain name
Si vous avez sélectionnez Domain name (Nom de domaine),
Email address
Si vous avez sélectionné Email address (Adresse
électronique), entrez l’adresse électronique de l’ordinateur
entrez le nom de domaine complet de l’ordinateur FortiClient en
cours de certification.
FortiClient en cours de certification.
IP address
6
7
38
Si vous avez sélectionné IP address (Adresse IP), entrez
l’adresse IP de l’ordinateur FortiClient en cours de certification.
Vous pouvez au choix sélectionner Advanced (Avancé) et entrer les informations
de paramètres avancés.
Email
Entrez une adresse électronique de contact pour l’utilisateur de
Department
Entrez un nom identifiant le département ou l’unité de l’entreprise
requérant le certificat pour l’ordinateur FortiClient (p. ex. Fabrication).
Company
Entrez le nom légal de l’entreprise requérant le certificat pour
City
Entrez le nom de la ville dans laquelle se trouve l’ordinateur
FortiClient.
State/Province
Entrez le nom de l’état ou de la région dans lesquels se trouve
Country
Entrez le nom du pays dans lequel se trouve l’ordinateur FortiClient.
Sélectionnez OK. Le logiciel FortiClient génère des clés de 1024 bits.
04-30007-0271-20081022
VPN
8
Sélectionnez File Based (Basé sur fichiers) ou Online SCEP (SCEP en ligne)
comme méthode d’inscription.
9
Si vous avez sélectionné l’inscription basée sur fichiers, cliquez sur OK.
La paire de clés privée/publique est générée et la requête de certificat, ainsi que
le type de requête apparaissent dans la liste My Certificates (Mes certificats).
Poursuivez avec la section “Pour exporter la requête de certificat local”.
10
Si vous avez sélectionné Online SCEP (SCEP en ligne) comme méthode
d’inscription, sélectionnez une autorité de certification émettrice dans la liste
fournie ou entrez l’URL du serveur de l’autorité de certification.
Si l’ordinateur FortiClient utilise un serveur proxy, vous devez configurer les
paramètres de serveur proxy pour pouvoir utiliser le protocole SCEP en ligne.
Consultez la section “Configuration des paramètres de serveur proxy” à la
page 19.
11
Dans le champ Challenge Phrase (Phrase secrète), entrez la phrase secrète si
l’autorité de certification la requiert.
12
Sélectionnez OK.
Le logiciel FortiClient :
•
envoie la requête de certificat local ;
•
récupère et importe le certificat local signé ;
•
récupère et importe le certificat d’autorité de certification.
Le certificat local signé, ainsi que le type de certificat apparaissent dans la liste de
certificats locaux. Le certificat d’autorité de certification apparaît dans la liste des
certificats d’autorité de certification. Les dates d’expiration des certificats sont
répertoriées dans la colonne Valid To (Validité) de chaque liste.
Poursuivez avec la section “Validation des certificats” à la page 42.
Pour exporter la requête de certificat local
1
2
Dans la liste de certificats, sélectionnez le certificat local à exporter.
3
Sélectionnez Export (Exporter).
4
Nommez le fichier et enregistrez-le dans un répertoire de l’ordinateur FortiClient.
Après avoir exporté la requête de certificat, vous pouvez l’envoyer à l’autorité de
certification pour qu’elle signe le certificat.
Pour envoyer la requête de certificat à une autorité de certification
1
Sur l’ordinateur FortiClient, ouvrez la requête de certificat local à l’aide d’un
éditeur de texte.
2
Connectez-vous au serveur Web de l’autorité de certification.
3
Suivez les instructions du serveur Web de l’autorité de certification pour :
•
effectuer une requête supplémentaire de certificat PKCS#10 encodée base64
au serveur Web de l’autorité de certification ;
•
coller la requête de certificat faite au serveur Web de l’autorité de certification ;
•
envoyer la requête de certificat au serveur Web de l’autorité de certification.
04-30007-0271-20081022
39
Obtention d’un certificat de carte à puce signé
VPN
Pour récupérer le certificat local signé auprès de l’autorité de certification
Après avoir été informé par l’autorité de certification que la requête de certificat a
été signée, connectez-vous au serveur Web de l’autorité de certification et
téléchargez le certificat local signé sur l’ordinateur FortiClient.
Pour importer le certificat local signé
1
2
Sélectionnez Import (Importer).
3
Entrez le chemin ou recherchez l’emplacement du certificat local signé sur
4
Sélectionnez OK.
Le certificat local signé, ainsi que le type de certificat apparaissent dans la liste de
certificats locaux. La date d’expiration du certificat s’affiche dans la colonne Valid
To (Validité).
Pour exporter le certificat local signé
1
2
Sélectionnez le certificat puis Export (Exporter).
3
Dans la boîte de dialogue Save As (Enregistrer sous), sélectionnez le dossier
dans lequel enregistrer le fichier.
4
Entrez un nom de fichier.
5
Sélectionnez PKCS7 ou PKCS12. Si vous sélectionnez PKCS12, vous devez
entrer un mot de passe d’au moins huit caractères.
6
Sélectionnez Save (Enregistrer).
Obtention d’un certificat de carte à puce signé
Si vous utilisez un certificat de jeton USB (carte à puce) pour l’authentification, le
certificat doit également être signé par le serveur de l’autorité de certification et
vous devez installer le certificat signé sur votre jeton.
La procédure suivante utilise Windows 2000 Advanced Server à titre d’exemple.
Remarque : les versions actuelles de FortiClient ont été testées avec les jetons USB de
gamme Aladdin eToken PRO et Aladdin eToken NG-OTP.
Étapes générales pour obtenir un certificat de carte à puce signé
1
Envoyer la requête de certificat au serveur de l’autorité de certification. Consultez
la section “Pour envoyer une requête de certificat” à la page 40.
2
Installez le certificat signé sur le jeton. Consultez la section “Pour installer un
certificat” à la page 41.
Pour envoyer une requête de certificat
40
1
Connectez-vous au serveur de l’autorité de certification,
p. ex. http://<CA_server>/certsrv.
2
Sélectionnez Request a certificate (Demander un certificat), puis cliquez sur Next
(Suivant).
04-30007-0271-20081022
VPN
Obtention d’un certificat d’autorité de certification
3
Sélectionnez Advanced request (Requête avancée), puis cliquez sur Next
(Suivant).
4
Sélectionnez Submit a certificate request to this CA using a form (Sélectionner
une requête de certificat à cette autorité de certification à l’aide d’un formulaire).
5
Dans le formulaire de requête :
•
entrez les informations d’identification ;
•
dans la section Intended Purpose (But), sélectionnez Client Authentication
Certificate (Certificat d’authentification client) ;
•
dans la section CSP, sélectionnez eToken Base Cryptographic Provider
(Fournisseur eToken cryptographiques) ;
•
conservez tous les autres paramètres par défaut.
6
Sélectionnez Submit (Envoyer).
7
Entrez le mot de passe eToken lorsque vous y êtes invité. Connectez le jeton USB
au port USB de l’ordinateur. La page Web de l’autorité de certification affiche que
votre requête de certificat a été reçue.
Pour installer un certificat
1
Connectez-vous au serveur de l’autorité de certification si le certificat a été signé.
2
Sélectionnez Checking on a pending certificate (Rechercher un certificat en cours
de traitement), puis cliquez sur Next (Suivant).
3
Sélectionnez la requête de certificat puis cliquez sur Next (Suivant).
4
Sélectionnez Install this certificate (Installer ce certificat) pour installer le certificat
sur le jeton USB.
Obtention d’un certificat d’autorité de certification
Pour que le logiciel FortiClient et la passerelle FortiGate s’authentifient entre eux,
ils doivent disposer d’un certificat provenant de la même autorité de certification.
Le logiciel FortiClient obtient le certificat d’autorité de certification afin de valider le
certificat numérique envoyé par l’homologue VPN distant. L’homologue VPN
distant obtient le certificat d’autorité de certification afin de valider le certificat
numérique envoyé par l’ordinateur FortiClient.
Remarque : les certificats d’autorité de certification doivent être conformes au
standard X.509.
Pour récupérer le certificat d’autorité de certification
1
2
Suivez les instructions du serveur Web de l’autorité de certification pour
télécharger le certificat.
Pour importer le certificat d’autorité de certification
1
Accédez à VPN > CA Certificates (VPN > Certificats d’autorité de certification).
2
3
Entrez le chemin ou recherchez l’emplacement du certificat d’autorité de
certification sur l’ordinateur FortiClient.
04-30007-0271-20081022
41
Validation des certificats
VPN
4
Sélectionnez OK.
Le certificat d’autorité de certification apparaît dans la liste des certificats
d’autorité de certification. La date d’expiration du certificat s’affiche dans la
colonne Valid To (Validité).
Validation des certificats
FortiClient peut valider des certificats à l’aide du protocole OCSP ou des listes de
révocation de certificats.
Une liste de révocation de certificats est une liste d’abonnés de certificats
d’autorité de certification contenant l’état de leur certificat numérique. La liste
contient les certificats révoqués et les motifs de la révocation. Elle indique aussi
les dates d’émission des certificats et les autorités de certification les ayant émis.
Le logiciel FortiClient utilise la liste de révocation de certificats pour garantir la
validité des certificats appartenant à l’autorité de certification ainsi que celle de
l’homologue VPN distant.
S’il est disponible, le protocole OCSP permet de valider plus fréquemment les
certificats sans conserver les listes de révocation de certificats dans l’application
FortiClient.
Pour activer le protocole OCSP
1
Accédez à VPN > CRL (VPN > Listes de révocation de certificats).
2
Sélectionnez Enable OCSP (Activer le protocole OCSP).
3
Dans la boîte de dialogue Responder Host (Hôte de réponse), entrez votre nom
d’hôte de réponse OCSP.
Vous pouvez obtenir ces informations auprès de votre administrateur réseau.
4
Dans le champ Port, entrez le numéro de port OCSP de l’autorité de certification.
Le port par défaut est 80.
5
Pour récupérer la liste de révocation de certificats
6
7
Suivez les instructions du serveur Web de l’autorité de certification pour
télécharger la liste de révocation de certificats.
Pour importer la liste de révocation de certificats
1
Accédez à VPN > CRL (VPN > Listes de révocation de certificats).
2
3
Entrez le chemin ou recherchez l’emplacement de la liste de révocation de
certificats sur l’ordinateur FortiClient.
4
Sélectionnez OK.
La liste de révocation de certificats s’affiche.
42
04-30007-0271-20081022
Antivirus
Recherche de virus
Antivirus
Grâce à la fonction antivirus de FortiClient, vous pouvez protéger votre ordinateur
en vérifiant régulièrement si vos fichiers ne contiennent pas de virus. Le logiciel
FortiClient fournit également une protection antivirus en temps réel et contrôle les
modifications du registre Windows. Cette section inclut les rubriques suivantes :
•
Recherche de virus
•
Configuration des paramètres antivirus
•
Configuration de la protection en temps réel
•
Configuration du scan de courrier
•
Contrôle des entrées de la liste de démarrage Windows
Recherche de virus
Vous pouvez exécuter un scan rapide pour détecter les virus et vers les plus
malveillants. Vous pouvez également configurer des scans programmés et
scanner des fichiers dans un dossier spécifié.
En fonction de l’option choisie sous l’onglet Antivirus Settings (Paramètres
antivirus), le logiciel FortiClient exécute l’une des actions suivantes lorsqu’il
détecte un virus :
•
affichage d’un message d’avertissement de virus ;
•
mise en quarantaine du fichier infecté par un virus ;
•
nettoyage du fichier infecté par un virus.
Pour obtenir plus d’informations sur la configuration des actions que le logiciel
FortiClient doit exécuter lorsqu’il détecte un virus, consultez la section
“Configuration des paramètres antivirus” à la page 46.
04-30007-0271-20081022
43
Recherche de virus
Antivirus
Figure 11 : Recherche de virus
Lors d’un scan antivirus, l’icône de la barre d’état système de
FortiClient est animée. Une barre défile constamment du bas vers
le haut de l’icône.
Pour exécuter un scan rapide
1
Accédez à Antivirus > Analyser.
2
Sélectionnez Analyse rapide.
La fenêtre de scan antivirus s’ouvre et affiche la progression du scan, ainsi que
les résultats. La liste des fichiers infectés affiche les noms des fichiers infectés.
3
Vous pouvez utiliser les boutons Pause/Resume (Pause/Reprendre) pour
interrompre le scan.
4
Dans la liste des fichiers infectés, vous pouvez cliquer avec le bouton droit de la
souris sur des entrées et choisir une des actions suivantes :
•
supprimer le fichier ;
•
mettre le fichier en quarantaine ;
•
envoyer les fichiers infectés à Fortinet ;
•
signaler les faux-positifs à Fortinet.
5
Pour afficher le fichier journal du scan, sélectionnez View Result (Afficher le
résultat).
6
Sélectionnez Close (Fermer) pour fermer la fenêtre de scan antivirus.
Pour scanner les fichiers dans un répertoire spécifié
1
Dans Analyse du système de fichiers, sélectionnez Parcourir pour rechercher le
répertoire à scanner.
2
Sélectionnez Analyser maintenant.
44
04-30007-0271-20081022
Antivirus
Recherche de virus
3
Dans la liste des fichiers infectés, vous pouvez cliquer avec le bouton droit de la
souris sur des entrées et choisir une des actions suivantes :
•
supprimer le fichier ;
•
mettre le fichier en quarantaine ;
•
envoyer les fichiers infectés à Fortinet ;
•
signaler les faux-positifs à Fortinet.
4
Pour afficher le fichier journal du scan, sélectionnez View Result (Afficher le
résultat).
5
Sélectionnez Close (Fermer) pour fermer la fenêtre de scan antivirus.
Pour exécuter un scan complet du système
1
Dans Analyse du système de fichiers, sélectionnez Analyse complète du
système).
2
Sélectionnez Network drives (Lecteurs réseau) et/ou Removable media (Support
amovible) si vous souhaitez les inclure dans le scan. Vous pouvez également
modifier la priorité relative du scan antivirus par rapport à d’autres processus.
3
Sélectionnez Start (Démarrer).
4
Vous pouvez également cliquer avec le bouton droit de la souris dans la liste des
fichiers infectés et choisir l’une des actions suivantes : Supprimer, Mettre en
quarantaine, Envoyer les fichiers infectés à Fortinet, Signaler les faux-positifs à
Fortinet.
Pour gérer des scans programmés
1
Pour ajouter un scan programmé, sélectionnez Add (Ajouter).
2
Dans la boîte de dialogue New Schedule (Nouveau scan programmé),
programmez un nouveau scan.
Vous pouvez programmer des scans quotidiens, hebdomadaires ou uniques.
Vous pouvez également spécifier le dossier à scanner.
3
Pour modifier un scan programmé, sélectionnez-le et cliquez sur Edit (Modifier).
4
Pour supprimer un scan programmé, sélectionnez-le et cliquez sur Delete
(Supprimer).
Lors de scans antivirus programmés, la fenêtre de scan antivirus ne s’affiche que
lorsqu’un virus est détecté. Pour afficher cette fenêtre, vous pouvez cliquer avec
le bouton droit de la souris sur l’icône de la barre d’état système de FortiClient et
sélectionnez Show AV scan window(s) (Afficher les fenêtres de scan antivirus).
04-30007-0271-20081022
45
Antivirus
Vous pouvez spécifier les types de fichiers à scanner et l’action à exécuter lors de
la détection d’un virus. Vous pouvez également spécifier un serveur SMTP à
utiliser lors de l’envoi d’un fichier en quarantaine à Fortinet en vue de son analyse.
Pour obtenir des informations sur la procédure d’envoi d’un fichier en quarantaine,
consultez la section “Gestion des fichiers en quarantaine” à la page 52.
Figure 12 : Configuration des paramètres antivirus
Pour configurer les paramètres antivirus
46
1
Accédez à Antivirus > Paramètres.
2
Sélectionnez les types de fichier à scanner.
3
Ajoutez ou supprimez des types de fichiers à scanner. Consultez la section
“Sélection des types de fichier à scanner ou à exclure” à la page 48.
4
Sélectionnez les fichiers, dossiers et types de fichiers à exclure du scan antivirus.
•
Pour exclure un fichier ou un dossier, cliquez sur le bouton Sélectionner
fichiers et dossiers puis sélectionnez Add (Ajouter) pour ajouter le fichier ou le
dossier à la liste d’exclusions.
•
Pour exclure un type de fichier, cliquez sur le bouton Sélectionner les types de
fichier puis ajoutez les types de fichier. Pour plus d’informations, consultez la
section “Sélection des types de fichier à scanner ou à exclure” à la page 48.
04-30007-0271-20081022
Antivirus
5
Sélectionnez l’action à exécuter lors de la détection d’un virus. L’option par défaut
est Réparer.
•
Alerte : affiche un message si un virus est détecté lors du contrôle en temps
réel du système de fichiers.
•
Quarantaine : déplace le fichier vers un répertoire de quarantaine.
•
Réparer : tente de supprimer le virus du fichier infecté. Si cette action n’est pas
possible, déplacez le fichier dans la zone de quarantaine. Pour enregistrer une
copie du virus, sélectionnez Enregistrer une copie dans la zone de
quarantaine avant de nettoyer.
6
Configurez les paramètres d’envoi de fichiers infectés. Consultez la section
“Spécification d’un serveur SMTP pour l’envoi des fichiers infectés” à la page 49.
7
Pour ajouter une commande de scan antivirus FortiClient dans le menu de
raccourcis de l’explorateur Windows, sélectionnez Intégrer au shell Windows.
Consultez la section “Intégration du scan antivirus FortiClient au shell Windows” à
la page 50.
8
Vous pouvez également sélectionner l’option Signaler à l’utilisateur que la
signature de virus est obsolète.
9
Vous pouvez aussi sélectionner l’option Scanner les supports amovibles lors de
leur insertion.
10
Vous pouvez sélectionnez Configurations avancées.
La boîte de dialogue Configurations avancées, vous permet :
•
de spécifier si vous souhaitez scanner les fichiers compressés et de définir la
limite de taille des fichiers. La limite de taille par défaut est 0, ce qui indique
aucune limite ;
•
de spécifier si vous souhaitez scanner les graywares, ainsi que les types de
grayware à rechercher ;
•
d’activer le scan heuristique. Le logiciel FortiClient utilise des techniques
heuristiques pour scanner les fichiers et détecter des virus et menaces
inconnus pour lesquels aucune signature n’a encore été définie. Un scan
heuristique observe les caractéristiques d’un fichier telles que sa taille ou son
architecture, ainsi que le comportement de son code afin de déterminer la
probabilité d’une infection.
04-30007-0271-20081022
47
Sélection des types de fichier à scanner ou à exclure
Antivirus
Sélection des types de fichier à scanner ou à exclure
Si vous ne souhaitez pas que le logiciel FortiClient recherche des virus dans tous
les fichiers, sélectionnez les types de fichier dans la liste de types de fichier par
défaut. Ajoutez des types de fichier à la liste de types de fichiers par défaut ou
supprimez-en. Vous pouvez créer une liste de types de fichier à exclure du scan
antivirus. Vous pouvez également restaurer la liste de types de fichier par défaut.
Remarque : la liste d’exclusions est prioritaire par rapport à la liste d’ajouts. Par exemple,
si vous sélectionnez une extension de fichier à scanner et l’ajoutez aussi à la liste
d’exclusions, les fichiers avec cette extension ne seront pas scannés.
Figure 13 : Ajout d'une nouvelle extension de fichier
Pour ajouter un nouveau type de fichier à la liste de types de fichier ou à la
liste d’exclusions
1
Accédez à Antivirus > Settings (Antivirus > Paramètres).
2
Dans File types to scan (Types de fichier à scanner), sélectionnez Program files
and documents (Fichiers programme et documents).
3
Dans File types to scan (Types de fichier à scanner) ou Exclusion list (Liste
d’exclusions), cliquez sur Select file types (Sélectionner les types de fichier).
4
Sélectionnez New (Nouveau).
5
Entrez l’extension de fichier à ajouter à la liste. Vous pouvez également ajouter
des types de fichier à double extension.
6
Sélectionnez OK.
Remarque : le scan de fichiers sans extension est activé par défaut.
48
04-30007-0271-20081022
Antivirus
Sélection de fichiers et dossier à exclure du scan
Sélection de fichiers et dossier à exclure du scan
Vous souhaitez sûrement que le logiciel FortiClient ne recherche pas de virus
dans certains dossiers ou fichiers spécifiques. Vous pouvez ajouter ces fichiers et
dossiers à la liste d’exclusions de fichiers et dossiers.
Pour ajouter des fichiers et dossiers à la liste d’exclusions
1
2
Cliquez sur Select files and folders (Sélectionner fichiers et dossiers).
La fenêtre d’options antivirus s’ouvre.
3
Sélectionnez Add (Ajouter).
4
Accédez au fichier ou dossier souhaité et sélectionnez-le.
5
Sélectionnez OK.
6
Ajoutez ou supprimez d’autres fichiers et dossiers, si nécessaire.
7
Sélectionnez OK.
Remarque : vous pouvez également exclure un fichier ou un dossier du scan antivirus
après sa mise en quarantaine. Dans la liste des fichiers en quarantaine, cliquez avec le
bouton droit de la souris sur le fichier et sélectionnez Exclude file/folder from AV scanning
(Exclure le fichier/dossier du scan antivirus). Pour plus d’informations, consultez la section
“Gestion des fichiers en quarantaine” à la page 52.
Pour supprimer des fichiers et dossiers de la liste d’exclusions
1
2
Cliquez sur Select files and folders (Sélectionner fichiers et dossiers).
La fenêtre d’options antivirus s’ouvre.
3
Sélectionnez le fichier ou dossier à supprimer de la liste.
4
Sélectionnez Delete (Supprimer).
5
Ajoutez ou supprimez d’autres fichiers et dossiers, si nécessaire.
6
Sélectionnez OK.
Spécification d’un serveur SMTP pour l’envoi des fichiers infectés
Au lieu d’utiliser le serveur de messagerie par défaut, vous pouvez spécifier un
serveur SMTP pour l’envoi des fichiers en quarantaine.
Pour spécifier un serveur SMTP
1
2
Dans Virus Submission (Envoi de fichiers infectés), sélectionnez Use this mail
account to submit virus (Utiliser ce compte de messagerie pour envoyer les
fichiers infectés).
3
Dans le champ SMTP server (Serveur SMTP), entrez le serveur SMTP utilisé
pour le courrier sortant.
4
Si le serveur SMTP requiert une authentification de connexion, sélectionnez Need
authentication (Authentification requise) et entrez l’identifiant de connexion et le
mot de passe.
5
04-30007-0271-20081022
49
Intégration du scan antivirus FortiClient au shell Windows
Antivirus
Intégration du scan antivirus FortiClient au shell Windows
L’intégration du scan antivirus FortiClient au shell Windows permet d’utiliser le
menu de raccourcis de l’antivirus FortiClient dans l’explorateur Windows afin de
scanner les dossiers et fichiers sélectionnés.
Pour intégrer le scan antivirus au shell Windows
1
2
Sélectionnez Integrate with Windows Shell (Intégrer au shell Windows).
3
Dans l’explorateur Windows, vous pouvez cliquer avec le bouton droit de la souris
sur des dossiers ou fichiers et sélectionner Scan with FortiClient Antivirus
(Scanner avec l’antivirus FortiClient).
Configurez les paramètres de protection en temps réel pour spécifier :
•
les types de fichier à scanner ;
•
les types de fichier à exclure du scan ;
•
l’action à exécuter lors de la détection d’un virus en temps réel.
Figure 14 : Configuration de la protection en temps réel
50
04-30007-0271-20081022
Antivirus
Pour configurer la protection en temps réel
1
Accédez à Antivirus > Protection en temps réel.
2
Dans Types de fichier à analyser, sélectionnez Tous les fichiers ou Fichiers
programme et documents en fonction de vos besoins.
Si vous sélectionnez Fichiers programme et documents, vous pouvez modifier la
liste des types de fichier à scanner. Consultez la section “Sélection des types de
fichier à scanner ou à exclure” à la page 48.
3
4
Vous pouvez également sélectionner les fichiers, dossiers et types de fichiers à
exclure du scan antivirus.
•
Pour exclure un type de fichier, consultez la section “Sélection des types de
fichier à scanner ou à exclure” à la page 48.
•
Pour exclure un fichier ou un dossier, consultez la section “Sélection de
fichiers et dossier à exclure du scan” à la page 49.
Dans What to do when a virus is found (Action à exécuter lors de la détection d’un
virus), sélectionnez Deny Access (Refuser l’accès), Quarantine (Mettre en
quarantaine) ou Clean (Nettoyer).
Interdire l’accès
Impossible d’ouvrir, exécuter ou modifier le fichier avant son
nettoyage.
Quarantaine
Le fichier est déplacé dans un répertoire de quarantaine.
Réparer
L’agent FortiClient tente de supprimer le virus du fichier infecté.
L’option Réparer est sélectionnée par défaut.
Vous pouvez aussi sélectionner Enregistrer une copie dans la zone
de quarantaine avant la désinfection.
Remarque : si FortiClient ne peut pas nettoyer un fichier infecté, il le met automatiquement
en quarantaine.
5
6
Cochez ou décochez les deux options suivantes :
•
Ne pas afficher de boîtes de message d’alerte lors du scan en temps réel ;
•
Ne pas afficher de boîtes de message d’alerte lors du contrôle du registre.
Vous pouvez sélectionnez Configurations avancées.
La boîte de dialogue Configurations avancées, vous permet :
7
•
d’activer le scan des fichiers compressés. Vous pouvez également spécifier la
taille de compression maximale de fichier que FortiClient peut scanner. Une
limite de taille de 0 indique qu’aucune limite n’est définie.
•
d’activer le scan anti-grayware et de spécifier les types de grayware à
rechercher.
•
d’activer le scan heuristique. Le logiciel FortiClient utilise des techniques
heuristiques pour scanner les fichiers et détecter des virus et menaces
probabilité d’une infection. Vous pouvez refuser l’accès aux fichiers que le
scan heuristique considère suspects ou uniquement afficher une alerte.
•
d’activer le scan des fichiers en cours d’écriture ou de lecture depuis le disque
et d’inclure au choix les fichiers des lecteurs réseau.
04-30007-0271-20081022
51
Antivirus
Pour activer la protection en temps réel
1
Accédez à General >Status (Général > État).
2
Dans la section Antivirus, sélectionnez Enable real-time protection (Activer la
protection en temps réel).
Remarque : lorsque vous désactivez la protection en temps réel, une confirmation est
requise. Cette boîte de dialogue de confirmation n’affiche le bouton Oui qu’au bout de
quatre secondes.
Le logiciel FortiClient peut rechercher des virus et vers dans les pièces jointes du
courrier entrant et sortant.
Le logiciel FortiClient peut aussi utiliser des techniques heuristiques pour scanner
les pièces jointes de courrier électronique et détecter des virus et menaces
probabilité d’une infection.
Pour rechercher des virus dans les messages électroniques
1
Accédez à Antivirus > Email (Antivirus > Courrier électronique).
2
Dans la section Virus scanning (Scan antivirus), sélectionnez SMTP pour le
courrier sortant, POP3 pour le courrier entrant et MS Outlook si Outlook est
connecté à un serveur Microsoft Exchange.
3
Pour empêcher la propagation des vers via le courrier électronique, sélectionnez
Enable email worm detection (Activer la détection des vers de courrier
électronique). Sélectionnez ensuite l’action à exécuter lors de la détection d’une
attaque malveillante : mettre fin immédiatement au processus d’attaque ou
demander à l’utilisateur si le processus doit être arrêté.
Cette option n’est disponible que si vous avez sélectionné le scan antivirus du
courrier SMTP.
4
Pour appliquer le scan heuristique, dans la section Heuristics scanning (Scan
heuristique), sélectionnez Enable email attachments heuristics scanning (Activer
le scan heuristique des pièces jointes de courrier électronique). Sélectionnez
ensuite l’action à exécuter lors de la détection d’une pièce jointe suspecte :
afficher un message d’alerte ou supprimer et mettre en quarantaine.
Gestion des fichiers en quarantaine
Les fichiers infectés sont mis en quarantaine si vous sélectionnez les options
Quarantine (Mettre en quarantaine) ou Clean (Nettoyer) dans Antivirus >
Settings (Antivirus > Paramètres) ou Antivirus > Realtime Protection
(Antivirus > Protection en temps réel). L’option Clean (Nettoyer) met uniquement
en quarantaine les fichiers impossibles à nettoyer, sauf si vous avez activez
l’option Save a copy in quarantine area before cleaning (Enregistrer une copie
dans la zone de quarantaine avant de nettoyer).
52
04-30007-0271-20081022
Antivirus
Gestion des fichiers en quarantaine
Accédez à Antivirus > Quarantine (Antivirus > Quarantaine) pour gérer les
fichiers en quarantaine.
Automatically delete
quarantined files
Delete files older than
Tous les fichiers restent dans le répertoire de quarantaine
jusqu’à ce que vous les supprimiez ou restauriez, sauf si
vous avez configuré la suppression automatique.
Activez cette option pour supprimer automatiquement les
fichiers en quarantaine. Entrez le nombre de jours de
conservation des fichiers. Sélectionnez Apply
(Appliquer).
Restore
Restaure le fichier sélectionné à son emplacement
d’origine.
Attention : le fichier restauré peut être infecté.
Refresh
Met à jour la liste de fichiers affichée.
Delete
Supprime le fichier sélectionné.
Submit >>>
Vous pouvez sélectionner des fichiers dans la liste des
fichiers en quarantaine et utiliser l’une des options
suivantes pour les envoyer à Fortinet.
Remarque : vous pouvez envoyer trois fichiers maximum
par jour.
Les fichiers sont envoyés via le serveur de messagerie
par défaut sauf si vous spécifiez un autre serveur SMTP
dans Antivirus > Settings (Antivirus > Paramètres).
Consultez la section “Spécification d’un serveur SMTP
pour l’envoi des fichiers infectés” à la page 49.
Submit virus
Envoie le fichier sélectionné à Fortinet en spécifiant qu’il
s’agit d’un fichier infecté.
Submit as false positive
Signale à Fortinet que le fichier sélectionné n’est pas
infecté par un virus.
Si la liste de quarantaine contient un fichier que vous souhaitez exclure des
prochains scans, cliquez avec le bouton droit de la souris sur l’entrée de liste et
sélectionnez Exclude file/folder from AV scanning (Exclure le fichier/dossier du
scan antivirus).
04-30007-0271-20081022
53
Antivirus
Certains virus peuvent modifier les entrées existantes du registre Windows ou
ajouter de nouvelles entrées pour provoquer l’exécution de code malveillant au
démarrage de Windows ou à l’ouverture d’une session Windows. Le logiciel
FortiClient peut contrôler la liste de démarrage Windows et détecter les
modifications non autorisées du registre. Le logiciel FortiClient suppose que les
modifications de registre suivantes ne sont pas autorisées si elles ne proviennent
pas d’un utilisateur autorisé :
•
ajout, suppression ou modification de l’installation d’une application ;
•
modification des paramètres de configuration d’une application.
Remarque : le système Microsoft Windows XP 64 bits ne prend pas en charge le contrôle
du registre Windows.
La liste de démarrage indique les entrées du registre Windows correspondant aux
applications démarrées sous votre profil Windows lorsque vous ouvrez une
session. Cette liste inclut les applications affichées dans la barre d’état système.
La liste comprend aussi toutes les applications démarrées de manière
transparente et n’étant pas affichées dans la barre d’état système.
Les entrées sont affichées dans trois listes :
•
la liste des entrées rejetées affiche de nouvelles entrées de démarrage non
autorisées ;
•
la liste des entrées modifiées affiche les entrées ayant été modifiées depuis le
dernier démarrage Windows ;
•
la liste de démarrage actuelle affiche toutes les entrées de registre actuelles.
La liste de démarrage est contrôlée au démarrage du logiciel FortiClient.
Figure 15 : Contrôle du registre
54
04-30007-0271-20081022
Antivirus
Restauration des entrées modifiées ou rejetées de la liste de démarrage
Pour afficher les entrées de la liste de démarrage Windows
1
Accédez à Antivirus > Contrôle du registre.
2
Dans Eléments à visualiser, sélectionnez Entrées refusées, Changer les entrées
ou Liste de démarrage actuelle.
3
Vous pouvez aussi sélectionner Rafraîchir pour actualiser les entrées de la liste
de démarrage et afficher les entrées de registre récemment ajoutées, modifiées
ou rejetées.
Vous pouvez restaurer les entrées modifiées ou rejetées.
!
Attention : si vous ne savez pas à quelle application correspond une entrée, ne restaurez
pas cette entrée de liste de démarrage.
Pour restaurer une entrée modifiée ou rejetée de la liste de démarrage
1
Accédez à Antivirus > Contrôle du registre.
2
Dans Eléments à visualiser, sélectionnez Changer les entrées ou Entrées
refusées.
3
Sélectionnez l’entrée à restaurer.
4
Sélectionnez Restaurer.
04-30007-0271-20081022
55
56
Antivirus
04-30007-0271-20081022
Pare-feu
Sélection d’un mode de pare-feu
Pare-feu
Le pare-feu FortiClient permet de protéger votre ordinateur à l’aide des fonctions
suivantes :
•
Application level network access control (Contrôle de l’accès au réseau
des applications).
Vous pouvez spécifier les applications pouvant accéder au réseau et celles
auxquelles peut accéder le réseau.
•
Network security zone (Zone de sécurité du réseau).
Le réseau est classé en deux zones : la zone publique et la zone sécurisé.
Vous pouvez configurer des paramètres de sécurité différents pour chaque
zone.
•
Intrusion detection (Détection des intrusions).
Le pare-feu FortiClient peut détecter et bloquer les attaques de réseau
courantes.
•
Advanced firewall rules (Règles de pare-feu avancées).
Vous pouvez créer des règles spécifiques pour contrôler le trafic en fonction
d’adresses source, d’adresses de destination, de protocoles ou d’intervalles
de temps.
Pour le trafic sortant, seules les règles de contrôle d’applications s’appliquent. Les
règles de pare-feu avancées ne sont pas valables.
Pour le trafic entrant, les règles de pare-feu avancées sont appliquées en premier,
suivies des règles de contrôle d’applications.
Le trafic lié aux processus système tels que NetBIOS n’est accepté qu’après avoir
été autorisé par les règles avancées et les paramètres de sécurité des zones.
Sélection d’un mode de pare-feu
Par défaut, le pare-feu FortiClient est exécuté en mode Normal pour protéger le
système. Accédez à Firewall > Status (Pare-feu > État) pour sélectionner un
autre mode de pare-feu (niveau de protection).
Le pare-feu FortiClient dispose des modes d’exécution suivants :
Deny all
Bloque tout le trafic entrant et sortant.
Normal
Vous pouvez choisir parmi trois profils de protection. Consultez la
section “Sélection d’un profil de pare-feu” à la page 58.
Pass all
Aucune protection de pare-feu.
04-30007-0271-20081022
57
Sélection d’un profil de pare-feu
Pare-feu
Sélection d’un profil de pare-feu
Si vous sélectionnez le mode de pare-feu Normal dans Firewall > Status (Parefeu > État), vous pouvez choisir parmi les trois profils de protection de pare-feu
suivants :
Basic home use
Autorise tout le trafic sortant et refuse tout le trafic entrant.
Sélectionnez ce profil si votre ordinateur est un ordinateur personnel
autonome non connecté à d’autres réseaux ou ordinateurs.
Basic business
Autorise tout le trafic sortant, autorise tout le trafic entrant depuis la
zone sécurisée et refuse tout le trafic entrant provenant de la zone
publique. Pour plus d’informations sur les zones, consultez la section
“Configuration des zones de sécurité de réseau” à la page 61.
Custom profile
Profil par défaut.
Le profil Custom (Personnalisé) vous permet de configurer les
autorisations d’applications, les autorisations de zones de réseau et
les règles de filtrage de pare-feu avancées.
Consultez les sections “Configuration des autorisations d’accès des
applications” à la page 59, “Configuration des zones de sécurité de
réseau” à la page 61 et “Configuration des règles de pare-feu
avancées” à la page 64.
Affichage des informations de trafic
Vous pouvez configurer le logiciel FortiClient pour qu’il affiche les informations de
trafic réseau suivantes :
Figure 16 : État du pare-feu
58
Trafic entrant
(paquets)
Nombre de paquets réseau entrants.
Trafic sortant
(paquets)
Nombre de paquets réseau sortants.
Paquets réseaux
bloqués
Paquets réseau boqués par le pare-feu.
Requêtes
d’applications
bloquées
Nombre de requêtes d’accès à vos applications locales, provenant
de l’extérieur et ayant été bloquées, et inversement.
Connexions
actuelles
Nombre de connexions actuelles entre le système et le réseau.
04-30007-0271-20081022
Pare-feu
Configuration des autorisations d’accès des applications
Pour afficher les informations de trafic
1
Accédez à Firewall >Status (Pare-feu > État).
2
Sélectionnez le type de trafic à afficher. Les informations s’affichent sur l’écran
graphique.
3
Sélectionnez View Connections (Afficher les connexions) pour afficher les
connexions actives actuelles, les ports d’écoute, PID et autres informations
détaillées.
4
5
Par défaut, à chaque fois que le pare-feu FortiClient bloque le trafic réseau, un
message s’affiche dans la zone des icônes de la barre d’état système de
FortiClient. Pour désactiver le message de trafic bloqué, sélectionnez l’option
Disable taskbar notification for blocked network traffic (Désactiver le message de
barre des tâches indiquant le blocage du trafic réseau).
Vous pouvez spécifier les applications pouvant accéder au réseau et celles
auxquelles peut accéder le réseau. Pour ce faire, vous devez attribuer les
autorisations d’accès des applications. Il existe trois niveaux d’autorisations
d’accès :
Allow
Autorise l’accès au réseau des applications.
Ask
Vous êtes invité à autoriser l’accès au réseau des applications.
Block
Bloque tout accès au réseau des applications.
Remarque : vous serez invité à autoriser l’accès au réseau des applications ne figurant
pas dans la liste de contrôles d’accès. Par défaut, FortiClient autorise les applications
légitimes du système Windows à accéder au réseau. Ces applications apparaissent dans
la liste de contrôles des applications. Vous pouvez modifier ou supprimer les niveaux
d’autorisation de ces applications.
Remarque : vous pouvez modifier ou supprimer les paramètres de l’application fortiproxy.
Outre le contrôle d’accès des applications, la sécurité des zones de réseau et la
détection des intrusions, le pare-feu FortiClient offre une autre couche de
sécurité : les règles de pare-feu avancées.
Les règles de pare-feu autorisent ou bloquent le trafic réseau en fonction des trois
types suivants de critères de filtrage spécifiés :
•
Source and destination addresses (Adresses source et de destination) :
votre propre ordinateur, l’une des deux zones (zone publique et zone
sécurisée), une adresse IP unique, une plage d’adresses IP, un sous-réseau
ou un groupe d’adresses. Pour obtenir des informations sur l’ajout d’un groupe
d’adresses, consultez la section “Gestion des groupes” à la page 65.
•
Network protocols (Protocoles réseau) : TCP, UDP ou TCP/UDP.
•
Day and Time (Jour et heure) : des fréquences peuvent s’appliquer à une
règle pour restreindre l’accès en fonction du jour et de l’heure.
04-30007-0271-20081022
59
Pare-feu
Les règles de pare-feu avancées ont priorité sur les paramètres de sécurité des
zones. Par exemple, si une règle bloque le trafic vers la zone sécurisée, le trafic
sera bloqué.
Pour ajouter une application à la liste de contrôle d’accès
1
Accédez à Firewall > Applications (Pare-feu > Applications).
2
3
Dans la boîte de dialogue Add New (Ajouter nouveau), entrez ou recherchez le
chemin de l’application.
4
Sélectionnez des niveaux d’autorisation pour la zone publique et la zone
sécurisée.
5
Sélectionnez OK.
Remarque : les niveaux d’autorisation de la zone publique peuvent uniquement être
inférieurs ou égaux à ceux de la zone sécurisée.
Pour créer une règle de pare-feu
1
2
Sélectionnez Edit > Advanced > Add (Modifier > Avancé > Ajouter).
3
Dans la boîte de dialogue Advanced Firewall Filtering Rule (Règle de filtrage de
pare-feu avancée), entrez les informations suivantes et sélectionnez OK.
Name
Entrez un nom pour la règle.
Description
Vous pouvez entrer une brève description.
State
Activez ou désactivez la règle.
Action
Autorisez ou bloquez le trafic.
Source
Appliquez la règle au trafic provenant de l’adresse source et à
destination de votre ordinateur. Sélectionnez Add (Ajouter) pour
ajouter l’adresse source. Pour obtenir des informations sur l’ajout
d’un groupe d’adresses, consultez la section “Gestion des groupes
d’adresses, de protocoles et d’heures” à la page 61.
Destination
Appliquez la règle au trafic provenant de votre ordinateur et arrivant à
l’adresse de destination. Sélectionnez Add (Ajouter) pour ajouter
l’adresse de destination. Pour obtenir des informations sur l’ajout
d’un groupe d’adresses, consultez la section “Gestion des groupes
d’adresses, de protocoles et d’heures” à la page 61.
Protocol
Sélectionnez Add (Ajouter) pour ajouter un protocole à la règle.
Lorsque vous spécifiez le protocole dans la boîte de dialogue Add
Protocol (Ajout de protocole), vous pouvez également spécifier les
ports source et de destination.
Time
Sélectionnez Add (Ajouter) pour ajouter un intervalle de jours/heures
pendant lesquels la règle doit être exécutée. Dans la boîte de
dialogue Add Time (Ajout de l’heure), spécifiez une description, un
intervalle d’heures et un ou plusieurs jours. L’intervalle d’heures est
spécifié selon le format de 24 heures.
Bind this rule to
Sélectionnez tous les adaptateurs ou un adaptateur Ethernet unique
sur votre ordinateur pour appliquer cette règle.
Remarque : vous pouvez utiliser toute combinaison de critères de filtrage.
60
04-30007-0271-20081022
Pare-feu
Gestion des groupes d’adresses, de protocoles et d’heures
Gestion des groupes d’adresses, de protocoles et d’heures
Pour faciliter la gestion, vous pouvez regrouper les adresses source, adresses de
destination, protocoles et programmations d’heures puis utiliser ces groupes lors
de la création de règles.
Pour créer un groupe
1
2
Sélectionnez Edit > Advanced > Groups (Modifier > Avancé > Groupes).
3
Sélectionnez Address Group (Groupe d’adresses), Protocol Group (Groupe de
protocoles) ou Time Group (Groupe d’heures).
4
5
Entrez un nom et une description.
6
7
Pour un groupe d’adresses, entrez le sous-réseau, la plage d’adresses IP ou
l’adresse IP. Pour un groupe de protocoles, spécifiez le protocole et le numéro de
port. Pour un groupe d’heures, spécifiez l’intervalle de jours et d’heures.
8
Sélectionnez OK.
Configuration des zones de sécurité de réseau
Le pare-feu FortiClient protège votre système en classant les systèmes réseau en
trois zones.
Figure 17 : Zones de sécurité du réseau
04-30007-0271-20081022
61
Ajout d’adresses IP aux zones
Pare-feu
Public Zone
Par défaut, le pare-feu FortiClient traite les adresses IP de la zone
publique avec le niveau de sécurité le plus élevé. Vous pouvez
également personnaliser les niveaux de sécurité. Consultez la
section “Personnalisation des paramètres de sécurité” à la page 62.
Trusted Zone
Par défaut, le pare-feu FortiClient traite les adresses IP de la zone
sécurisée avec le niveau de sécurité moyen. Pour obtenir des
informations sur les paramètres de niveau de sécurité, consultez la
section “Personnalisation des paramètres de sécurité” à la page 62.
Blocked Zone
Tout le trafic provenant et à destination des adresses IP de la zone
bloquée n’est pas autorisé.
Le pare-feu FortiClient classe les zones par priorité : zone bloquée, zone
sécurisée et zone publique. Cela signifie que :
•
si une adresse IP est répertoriée dans les trois zones, elle sera bloquée ;
•
si elle est répertoriée dans la zone sécurisée et la zone publique, elle sera
sécurisée ;
•
si elle n’est répertoriée dans aucune des trois zones, elle sera publique.
Ajout d’adresses IP aux zones
Vous pouvez ajouter un sous-réseau, une plage d’adresses IP ou une adresse IP
individuelle aux zones de réseau. Vous pouvez également modifier ou supprimer
les entrées d’adresses IP existantes.
Pour ajouter des adresses IP
1
Accédez à Firewall > Network (Pare-feu > Réseau).
2
3
Dans la boîte de dialogue IP Address (Adresse IP), sélectionnez une zone et
entrez les adresses IP.
4
Vous pouvez entrer une description.
5
Sélectionnez OK.
Personnalisation des paramètres de sécurité
Pour les zones publique et sécurisée, vous pouvez utiliser les paramètres par
défaut de niveau de sécurité élevé, moyen ou faible. Vous pouvez également
personnaliser ces paramètres par défaut.
High
Par défaut, les connexions entrantes sont autorisées uniquement si
des ports d’écoute sont disponibles pour ces connexions.
Medium
Par défaut, la plupart des connexions sont autorisées, sauf si vous
personnalisez les paramètres.
Le paramètre par défaut de niveau de sécurité moyen de la zone
publique est différent de celui de la zone sécurisée :
• pour la zone publique, les paquets ICMP et NetBIOS entrants
sont bloqués ;
•
Low
62
pour la zone sécurisée, ces paquets sont autorisés.
La règle des paquets est désactivée et le contrôle des applications
est activé.
04-30007-0271-20081022
Pare-feu
Configuration de la détection des intrusions
Remarque : le niveau de sécurité de la zone publique peut uniquement être supérieur ou
égal à celui de la zone sécurisée.
Pour personnaliser les paramètres de sécurité
1
Accédez à Firewall > Network (Pare-feu > Réseau).
2
Pour le niveau de sécurité de la zone publique ou le niveau de sécurité de la zone
sécurisée, déplacez le curseur sur High (Élevé) ou Medium (Moyen).
Remarque : le niveau de sécurité faible désactive les règles de paquets ; vous pouvez
donc personnaliser les paramètres du niveau faible.
3
Sélectionnez Settings (Paramètres).
4
Si vous sélectionnez le niveau élevé, modifiez les paramètres suivants et cliquez
sur OK.
Allow ICMP in
Autorise le trafic ICMP (Internet Control Message
Protocol) entrant. Par défaut, cette option n’est pas
sélectionnée.
Allow NetBIOS in
Autorise le trafic NetBIOS. Par défaut, cette option n’est
pas sélectionnée.
Allow NetBIOS out
Autorise le trafic NetBIOS sortant. Par défaut, cette
option n’est pas sélectionnée.
Sélectionnez l’une des options suivantes :
Allow other inbound traffic Cette option est sélectionnée par défaut.
coming from this zone
Block other inbound traffic Cette option n’est pas sélectionnée par défaut.
coming from this zone
5
Si vous sélectionnez le niveau moyen, modifiez les paramètres suivants et cliquez
sur OK.
Block ICMP in
Bloque le trafic ICMP (Internet Control Message
Protocol) entrant. Par défaut, cette option n’est pas
sélectionnée.
Block NetBIOS in
Bloque le trafic NetBIOS entrant. Par défaut, cette
Block NetBIOS out
Bloque le trafic NetBIOS sortant. Par défaut, cette
Configuration de la détection des intrusions
Le logiciel FortiClient peut détecter et bloquer des attaques de réseau courantes à
l’aide des signatures codées de manière irréversible. Comme les signatures sont
codées de manière irréversible dans le programme, vous devez installer la
dernière version de FortiClient pour obtenir les dernières signatures.
Accédez à Firewall > Intrusion Detection (Pare-feu > Détection des intrusions)
pour afficher les adresses IP d’origine des menaces détectées.
Vous pouvez déplacer les adresses IP dans la zone bloquée en sélectionnant le
bouton Move to blocked zone (Déplacer dans la zone bloquée) pour que le trafic
provenant de ces adresses IP soit bloqué.
04-30007-0271-20081022
63
Configuration des règles de pare-feu avancées
Pare-feu
Si vous considérez l’une des adresses IP comme étant sécurisée, vous pouvez la
déplacer dans la liste des adresses IP sécurisées en sélectionnant le bouton Trust
this IP (Déplacer dans la zone sécurisée) pour que le logiciel FortiClient n’analyse
plus le trafic provenant de cette adresse IP.
Vous pouvez aussi supprimer une adresse IP de la liste des adresses IP
sécurisées en sélectionnant le bouton Don’t trust this IP (Supprimer de la zone
sécurisée).
Configuration des règles de pare-feu avancées
Outre le contrôle d’accès des applications, la sécurité des zones de réseau et la
détection des intrusions, le pare-feu FortiClient offre une autre couche de
sécurité : les règles de pare-feu avancées.
Les règles de pare-feu autorisent ou bloquent le trafic réseau en fonction des trois
types suivants de critères de filtrage spécifiés :
•
Source and destination addresses (Adresses source et de destination) :
votre propre ordinateur, l’une des deux zones (zone publique et zone
sécurisée), une adresse IP unique, une plage d’adresses IP, un sous-réseau
ou un groupe d’adresses. Pour obtenir des informations sur l’ajout d’un groupe
d’adresses, consultez la section “Gestion des groupes” à la page 65.
•
Network protocols (Protocoles réseau) : ICMP, TCP, UDP ou TCP/UDP.
•
Day and Time (Jour et heure) : des fréquences peuvent s’appliquer à une
règle pour restreindre l’accès en fonction du jour et de l’heure.
Les règles de pare-feu avancées ont priorité sur les paramètres de sécurité des
zones. Par exemple, si une règle bloque le trafic vers la zone sécurisée, le trafic
sera bloqué.
Pour créer une règle de pare-feu
64
1
Accédez à Firewall > Advanced (Pare-feu > Avancé).
2
3
Dans la boîte de dialogue Advanced Firewall Filtering Rule (Règle de filtrage de
pare-feu avancée), entrez les informations suivantes et sélectionnez OK.
Name
Entrez un nom pour la règle.
Description
Vous pouvez entrer une brève description.
State
Activez ou désactivez la règle.
Action
Autorisez ou bloquer le trafic.
Source
Appliquez la règle au trafic provenant de l’adresse source et à
destination de votre ordinateur. Sélectionnez Add (Ajouter) pour
ajouter l’adresse source. Pour obtenir des informations sur l’ajout
d’un groupe d’adresses, consultez la section “Gestion des groupes” à
la page 65.
Destination
Appliquez la règle au trafic provenant de votre ordinateur et arrivant à
l’adresse de destination. Sélectionnez Add (Ajouter) pour ajouter
l’adresse de destination. Pour obtenir des informations sur l’ajout
d’un groupe d’adresses, consultez la section “Gestion des groupes” à
la page 65.
04-30007-0271-20081022
Pare-feu
Gestion des groupes
Protocol
Sélectionnez Add (Ajouter) pour ajouter un protocole à la règle.
Lorsque vous spécifiez le protocole dans la boîte de dialogue Add
Protocol (Ajout de protocole), vous pouvez également spécifier les
ports source et de destination.
Time
Sélectionnez Add (Ajouter) pour ajouter un intervalle de jours/heures
pendant lesquels la règle doit être exécutée. Dans la boîte de
dialogue Add Time (Ajout de l’heure), spécifiez une description, un
intervalle de temps et un ou plusieurs jours. Le format pour
l’intervalle de temps est de 24 heures.
Bind this rule to
Sélectionnez tous les adaptateurs ou un adaptateur Ethernet unique
sur votre ordinateur pour appliquer cette règle.
Remarque : vous pouvez utiliser toute combinaison de critères de filtrage.
Gestion des groupes
Pour faciliter la gestion, vous pouvez regrouper les adresses source, adresses de
destination, protocoles et programmations d’heures puis utiliser ces groupes lors
de la création de règles.
Pour créer un groupe
1
Accédez à Firewall > Advanced (Pare-feu > Avancé).
2
Sélectionnez Groups (Groupes).
3
Sélectionnez Address Group (Groupe d’adresses), Protocol Group (Groupe de
protocoles) ou Time Group (Groupe d’heures).
4
5
Entrez un nom et une description.
6
7
Pour un groupe d’adresses, entrez le sous-réseau, la plage d’adresses IP ou
l’adresse IP.
Pour un groupe de protocoles, spécifiez le protocole et le numéro de port.
Pour un groupe d’heures, spécifiez l’intervalle de jours et d’heures.
8
Sélectionnez OK.
Remarque : il est possible de modifier des groupes existants, mais pas de les renommer.
04-30007-0271-20081022
65
Gestion des groupes
66
Pare-feu
04-30007-0271-20081022
Filtrage Web
Définition du mot de passe d’administration
Filtrage Web
FortiClient End Point Security utilise le service de filtrage Web Fortinet FortiGuard
pour vous aider à contrôler l’accès aux URL Web.
Le service de filtrage Web FortiGuard trie des centaines de millions de pages
Web et les classe par content catégories de contenu. Chaque site Web appartient
à une ou plusieurs catégories. Les sites Web non évalués constituent également
une catégorie.
Le service de filtrage Web FortiGuard peut également attribuer une ou plusieurs
catégories aux sites Web fournissant du contenu en cache tels que le site de
recherches Google ou les sites Web autorisant les recherches d’images et de
fichiers audio ou vidéo.
Votre ordinateur FortiClient accède au service de filtrage Web FortiGuard le plus
proche pour déterminer les catégories et la classification d’une page Web requise.
L’application FortiClient bloque la page Web si elle est comprise dans une
catégorie ou classification que vous avez bloquée.
Les profils de filtrage Web spécifient les catégories et classifications de sites Web
autorisées ou bloquées. Il existe trois profils de filtrage Web prédéfinis : Default
(Par défaut), Child (Contenu pour enfants) et Adult (Contenu pour adultes). Vous
pouvez modifier les catégories bloquées de chaque profil et créer des profils si
nécessaire.
Spécifiez le profil correspondant à chaque utilisateur de l’ordinateur. Par exemple,
utilisez le profil d’accès Web prédéfini de contenu pour enfants pour empêcher
vos enfants d’accéder à des sites Web inappropriés. Vous pouvez également
spécifier un profil général s’appliquant aux utilisateurs inconnus.
Le service de filtrage Web de FortiClient filtre à la fois le trafic Web HTTP et
HTTPS. Le processus de filtrage ne compromet aucunement la sécurité de la
connexion HTTPS.
Remarque : si le service FortiGuard n’est pas accessible ou si l’abonnement a expiré, les
URL ne sont pas bloquées même si l’option Block all unrated URLs (Bloquer toutes les
URL non évaluées) est activée.
Le service de filtrage Web de FortiClient vous permet aussi de spécifier les URL à
toujours bloquer ou à autoriser en contournant le filtre Web.
Définition du mot de passe d’administration
Vous devez définir un mot de passe pour empêcher les utilisateurs de modifier les
paramètres de filtrage Web et d’arrêter ou de désinstaller le programme.
Pour définir le mot de passe
1
Accédez à WebFilter (Filtrage Web).
2
Sélectionnez Change Password (Modifier le mot de passe).
3
Entrez un mot de passe et sélectionnez OK.
04-30007-0271-20081022
67
Modification des paramètres de filtrage Web
Filtrage Web
Modification des paramètres de filtrage Web
Les profils de filtrage Web déterminent les catégories de sites Web bloquées.
Vous pouvez modifier les profils de filtrage Web prédéfinis ou définir des profils
supplémentaires si nécessaire.
Vous pouvez attribuer un profil de filtrage Web à chaque utilisateur et attribuer un
profil général s’appliquant à tout utilisateur non spécifié dans les paramètres
définis par utilisateur.
Configuration des paramètres généraux de filtrage Web
FortiClient inclut trois profils prédéfinis pour autoriser ou bloquer différents
combinaisons de catégories Web.
Default
Profil de filtrage Web par défaut, identique à l’origine au profil de contenu pour
enfants.
Child
Bloque les catégories non appropriées aux enfants.
Adult
Bloque uniquement les sites Web violant les paramètres de sécurité.
Il est impossible de supprimer les profils prédéfinis. Vous pouvez, par contre, les
modifier. Vous pouvez également spécifier des URL à toujours bloquer ou devant
contourner le filtrage par catégories.
Le profil général s’applique à tout utilisateur dont le profil ne présente pas de
paramètres par utilisateur.
Figure 18 :Paramètres généraux de filtrage Web
68
04-30007-0271-20081022
Filtrage Web
Configuration des paramètres généraux de filtrage Web
Pour configurer des paramètres généraux de filtrage Web
1
Accédez à Filtrage Web.
2
Sélectionnez Modify Settings (Modifier les paramètres).
3
Entrez le mot de passe si vous en avez défini un.
4
Dans la boîte de dialogue des paramètres de filtrage Web, sélectionnez Enable
webfilter (Activer le filtrage Web).
5
Vous pouvez également modifier le profil général. Vous devez ensuite choisir
d’appliquer les modifications de manière permanente, jusqu’à la fermeture de
session de l’utilisateur actuel ou pendant les 20, 60 ou 120 prochaines minutes.
Le profil général s’applique aux utilisateurs non répertoriés dans les paramètres
par utilisateur.
6
Vous pouvez aussi sélectionner Edit List (Modifier liste) pour spécifier les URL à
toujours bloquer ou devant contourner le filtrage Web. Consultez la section “Pour
spécifier des URL à bloquer ou à contourner”.
7
Vous pouvez également sélectionner Block all unrated URLs (Bloquer toutes les
URL non évaluées), sinon toutes les URL non évaluées seront autorisées.
8
Sélectionnez OK.
Pour spécifier des URL à bloquer ou à contourner
1
Sélectionnez Edit List (Modifier liste).
2
3
Dans la boîte de dialogue Set URL permission (Définition de l’autorisation d’URL),
entrez l’URL.
Dans le champ URL, vous pouvez entrer :
•
des caractères de remplacement (* et ?) à l’intérieur des URL ;
•
des URL complètes ;
•
des adresses IP ;
•
des URL partielles ;
•
des types de fichier tels que *.jpg pour bloquer tous les fichiers jpeg et *.swf
pour bloquer toutes les animations flash.
4
Sélectionnez Block (Bloquer) ou Bypass (Contourner).
5
Sélectionnez OK.
6
Répétez les étapes 2 à 5 pour chaque URL à ajouter.
Vous pouvez également modifier des entrées existantes ou supprimer des
entrées indésirables.
7
8
Sélectionnez OK.
04-30007-0271-20081022
69
Gestion des profils de filtrage Web
Filtrage Web
Gestion des profils de filtrage Web
L’onglet Profile Management (Gestion des profils) des paramètres de filtrage Web
permet de :
•
modifier des profils existants ;
•
créer des profils ;
•
supprimer des profils indésirables (sauf les profils par défaut, de contenu pour
enfants et de contenu pour adultes).
Figure 19 :Profils de filtrage Web
Pour modifier les profils
70
1
Accédez à Filtrage Web.
2
3
4
Sous l’onglet Global Settings (Paramètres généraux), vérifiez que l’option Enable
webfilter (Activer le filtrage Web) est sélectionnée.
5
Sélectionnez l’onglet Profile Management (Gestion des profils).
6
Effectuez l’une des procédures suivantes :
•
Sélectionnez un profil dans la liste et modifier ses paramètres dans la section
Settings of selected profile (Paramètres du profil sélectionné). Un “X” rouge
indique une catégorie ou classification bloquée.
•
Sélectionnez un profil dans la liste et cliquez sur Restore Defaults (Restaurer
les paramètres par défaut) pour annuler toutes les modifications.
•
Sélectionnez un profil indésirable dans la liste et cliquez sur Delete Profile
(Supprimer le profil) pour le supprimer.
04-30007-0271-20081022
Filtrage Web
Configuration des paramètres de filtrage Web par utilisateur
•
7
Sélectionnez Create Profile (Créer un profil) pour créer un profil. Vous pouvez
copier un profil existant ou créer un profil vierge autorisant toutes les
catégories. Modifiez les paramètres si nécessaire. Sélectionnez
Rename Profile (Renommer le profil) pour renommer le profil si nécessaire.
Vous pouvez aussi sélectionner Edit List (Modifier liste) pour spécifier les URL à
toujours bloquer ou devant contourner le filtrage Web.
Pour spécifier des URL à bloquer ou à contourner
1
Accédez à WebFilter > WebFilter (Filtrage Web > Filtrage Web).
2
3
4
Sous l’onglet Profile Management (Gestion des profils), sélectionnez le profil pour
lequel vous souhaitez spécifier des URL.
5
Sélectionnez Edit List (Modifier liste).
6
7
Dans la boîte de dialogue Set URL permission (Définition de l’autorisation d’URL),
entrez l’URL.
Dans le champ URL, vous pouvez entrer :
•
des caractères de remplacement (* et ?) à l’intérieur des URL ;
•
des URL complètes ;
•
des adresses IP ;
•
des URL partielles ;
•
des types de fichier tels que *.jpg pour bloquer tous les fichiers jpeg et *.swf
pour bloquer toutes les animations flash.
8
Sélectionnez Block (Bloquer) ou Bypass (Contourner).
9
Sélectionnez OK.
10
Répétez les étapes 6 à 9 pour chaque URL à ajouter.
Vous pouvez également modifier des entrées existantes ou supprimer des
entrées indésirables.
11
12
Sélectionnez OK.
Si vous disposez de privilèges administrateur, vous pouvez spécifier les profils de
filtrage Web à appliquer à chaque utilisateur. Le profil général spécifié dans les
paramètres généraux s’applique à tout utilisateur non spécifié dans les
paramètres par utilisateur.
Pour spécifier les paramètres de filtrage Web par utilisateur
1
Accédez à WebFilter (Filtrage Web).
2
3
4
Dans la boîte de dialogue des paramètres de filtrage Web, sélectionnez Enable
webfilter (Activer le filtrage Web).
04-30007-0271-20081022
71
5
Sélectionnez l’onglet Per User Settings (Paramètres par utilisateur).
6
7
72
Filtrage Web
•
Pour ajouter un paramètre utilisateur, sélectionnez Add (Ajouter), entrez ou
sélectionnez un nom d’utilisateur, sélectionnez le profil à appliquer et cliquez
sur OK.
•
Pour modifier un paramètre utilisateur, sélectionnez le nom d’utilisateur,
sélectionnez Edit (Modifier), sélectionnez un autre profil et cliquez sur OK.
•
Pour supprimer un paramètre utilisateur, sélectionnez le nom d’utilisateur puis
cliquez sur Delete (Supprimer).
Sélectionnez OK.
04-30007-0271-20081022
Anti-Spam
Anti-Spam
La fonction Anti-Spam est un plug-in pour Microsoft Outlook et Microsoft Outlook
Express (version 2000 ou supérieur). Elle est prise en charge par le service
Fortinet FortiGuard AntiSpam. Une fois cette fonction activé et installée dans
Outlook/Outlook Express, elle filtre votre courrier entrant et crée un dossier de
spam dans Outlook/Outlook Express pour collecter le spam automatiquement.
Remarque : sous Microsoft Windows Vista, la fonction Anti-Spam fonctionne dans Outlook
mais pas dans Windows Mail.
Vous pouvez procéder comme suit :
•
Installation du plug-in anti-spam
•
Activation de la fonction Anti-Spam
•
Ajout de listes de mots autorisés, bloqués ou proscrits
•
Marquage manuel des messages électroniques
•
Envoi des messages électroniques mal évalués à Fortinet
Figure 20 : Anti-Spam
Figure 21 : Plug-in anti-spam dans Outlook
04-30007-0271-20081022
73
Anti-Spam
Installez le plug-in anti-spam dans Microsoft Outlook ou Microsoft Outlook
Express (version 2000 ou supérieur).
Pour installer le plug-in anti-spam dans Outlook
1
Sur votre ordinateur n’est pas équipé du logiciel Microsoft Outlook ou Microsoft
Outlook Express, installez-le.
2
Installez le logiciel FortiClient.
3
Redémarrez votre ordinateur.
Un dossier de spam apparaît dans la liste des dossiers Outlook. Les spams reçus
seront automatiquement placés dans le dossier de spam.
Les icônes du site Web Fortinet, Mark As Spam (Marquer comme spam) et Mark
Not Spam (Marquer comme non-spam) apparaissent dans la barre d’outils
d’Outlook.
Activation de la fonction Anti-Spam
Vous devez activer la fonction Anti-Spam de FortiClient pour que le plug-in
d’Outlook fonctionne.
Pour activer la fonction Anti-Spam
1
Accédez à AntiSpam > Settings (Anti-Spam > Paramètres).
2
Sélectionnez Enable AntiSpam (Activer Anti-Spam).
3
Remarque : dans Outlook Express, la fonction Anti-Spam ne fonctionne pas avec un
serveur de messagerie IMAP.
Ajout de listes de mots autorisés, bloqués ou proscrits
Vous pouvez autoriser (liste autorisée) ou bloquer (liste bloquée) des adresses
électroniques et interdire les messages électroniques contenant les mots que
vous spécifiez. Ainsi, le courrier entrant sera d’abord filtré en fonction de ces
listes.
74
•
Si l’adresse électronique se trouve dans la liste autorisée et si le message ne
contient aucun des mots proscrits, il sera envoyé dans la boîte de réception
sans être filtré.
•
Si l’adresse électronique se trouve dans la liste bloquée ou si le message
contient des mots proscrits, il sera envoyé dans le dossier de spam.
•
Si l’adresse électronique ne se trouve ni dans la liste autorisée ni dans la liste
bloquée et si le message ne contient aucun mot proscrit, il sera filtré par le
service Fortinet FortiGuard AntiSpam.
04-30007-0271-20081022
Anti-Spam
Remarque : lors de l’ajout de mots proscrits et d’adresses électroniques à la liste
autorisée/bloquée, vous pouvez utilisez des méta-caractères d’expressions régulières.
Pour ajouter des listes autorisées/bloquées
1
2
Dans le panneau des listes autorisée/bloquée, sélectionnez Add (Ajouter).
3
Entrez l’adresse électronique à bloquer ou autoriser.
4
Sélectionnez Block (Bloquer) pour ajouter l’adresse à la liste bloquée et Allow
(Autoriser) pour l’ajouter à la liste autorisée.
5
Sélectionnez OK.
6
Pour modifier un élément de la liste, sélectionnez-le et cliquez sur Edit (Modifier).
7
Pour supprimer un élément de la liste, sélectionnez-le et cliquez sur Delete
(Supprimer).
Pour ajouter des mots proscrits
1
2
Dans le panneau de la liste de mots proscrits, sélectionnez Add (Ajouter).
3
Entrez le mot que vous souhaitez proscrire.
4
Sélectionnez OK.
5
Pour modifier un élément de la liste, sélectionnez-le et cliquez sur Edit (Modifier).
6
Pour supprimer un élément de la liste, sélectionnez-le et cliquez sur Delete
(Supprimer).
Vous pouvez marquer manuellement un message électronique comme étant du
spam ou un courrier inoffensif.
Si vous n’avez pas activé la fonction Submit mis-rated Email automatically
(Envoyer automatiquement les messages électroniques mal évalués, vous serez
invité à envoyer un message électronique sélectionné à Fortinet lorsque vous le
marquerez comme étant du spam ou du courrier inoffensif. Sinon, le message
électronique sélectionné sera automatiquement envoyé à Fortinet pour être traité
dans la base de données FortiGuard. Pour plus d’informations, consultez la
section “Envoi des messages électroniques mal évalués à Fortinet” à la page 76.
Pour marquer manuellement un message électronique comme étant
du spam
1
Ouvrez Microsoft Outlook ou Microsoft Outlook Express.
2
Si vous trouvez un message de spam dans votre dossier de boîte de réception,
sélectionnez-le.
3
Sélectionnez l’icône Mark As Spam (Marquer comme spam) dans la barre d’outils.
04-30007-0271-20081022
75
Anti-Spam
Le message électronique est envoyé dans le dossier de spam. Il est également
transféré à Fortinet. Lors de la prochaine mise à jour du logiciel FortiClient, le
plug-in d’Outlook mettra à jour sa base de données de spam de sorte que les
messages électroniques reçus du même expéditeur ou de la même adresse
soient envoyés dans le dossier de spam.
Pour marquer manuellement un message électronique comme étant
inoffensif
1
Ouvrez Microsoft Outlook ou Microsoft Outlook Express.
2
Si vous trouvez un message électronique inoffensif dans le dosser de spam,
sélectionnez-le.
3
Sélectionnez l’icône Mark Not Spam (Marquer comme non-spam) dans la barre
d’outils.
Le message électronique est envoyé dans le dossier de boîte de réception. Il est
également transféré à Fortinet. Lors de la prochaine mise à jour du logiciel
FortiClient, le plug-in d’Outlook mettra à jour sa base de données de spam de
sorte que les messages électroniques reçus du même expéditeur ou de la même
adresse ne soient pas envoyés dans le dossier de spam.
Vous pouvez configurer le programme FortiClient pour qu’il envoie
automatiquement au service Fortinet FortiGuard AntiSpam les messages
électroniques mal évalués, c’est-à-dire les messages inoffensifs classés comme
étant du spam ou les messages de spam classés comme étant inoffensifs. Cela
permet d’améliorer la précision du filtrage de messages électroniques. Dans ce
cas, vous ne serez pas invité à envoyer manuellement les messages
électroniques mal évalués.
Vous pouvez également configurer le programme FortiClient pour qu’il arrête
d’inviter les utilisateurs à envoyer manuellement les messages électroniques mal
évalués. Dans ce cas, aucun message électronique mal évalué ne sera envoyé à
Fortinet.
Pour plus d’informations, consultez la section “Marquage manuel des messages
électroniques” à la page 75.
Pour configurer l’envoi des messages électroniques mal évalués à Fortinet
1
2
Sélectionnez Submit mis-rated Email automatically (Envoyer automatiquement
les messages électroniques mal évalués).
3
Pour arrêter d’inviter les utilisateurs à envoyer manuellement les messages
électroniques mal évalués
76
1
2
Sélectionnez Don’t prompt users to submit mis-rated email (Ne pas inviter les
utilisateurs à envoyer les messages électroniques mal évalués).
3
04-30007-0271-20081022
AntiLeak
AntiLeak
La fonction AntiLeak empêche la fuite accidentelle d’informations sensibles via les
messages électroniques. Lorsque vous envoyez un message électronique à l’aide
de Microsoft Outlook (2000 ou supérieur), FortiClient recherche dans les pièces
jointes les mots ou motifs figurant dans la liste de mots sensibles. Si l’un des mots
ou motifs est détecté, FortiClient consigne le message et peut également bloquer
son envoi.
AntiLeak peut examiner les types de fichier suivants :
•
texte (.txt)
•
Microsoft Word (.doc)
•
Microsoft Excel (.xls)
•
Microsoft PowerPoint (.ppt)
•
Adobe Portable Document Format (.pdf)
Sélectionnez l’onglet AntiLeak pour configurer les paramètres de la fonction
AntiLeak.
Figure 22 : Paramètres de la fonction AntiLeak
Général
Activer l’Antifuite
Active la fonction AntiLeak. Vous pouvez définir la liste de mots
sensibles même si la fonction n’est pas active.
Journaliser cet
événement
Consigne les messages électroniques sortants provoquant la fuite
d’informations sensibles.
Bloquer toute
fuite
Bloque l’envoi des messages électroniques provoquant la fuite
d’informations sensibles. Les messages bloqués sont consignés.
04-30007-0271-20081022
77
AntiLeak
Liste de mots
sensibles
78
Les utilisateurs disposant de privilèges administrateur peuvent
définir une liste de mots sensibles ou la liste peut faire partie des
paramètres de configuration verrouillés.
Ajouter
Permet d’entrer un mot une expression.
Edition
Permet de modifier l’entrée sélectionnée.
Effacer
Permet de supprimer l’entrée sélectionnée.
04-30007-0271-20081022
Maintenance
Mise à jour de FortiClient
Maintenance
La fonction Update (Mettre à jour) permet de mettre à jour les définitions de virus
et le moteur antivirus. Grâce à la fonction Backup/Restore (Sauvegarder/
Restaurer), vous pouvez enregistrer tous les paramètres FortiClient dans un
fichier. Si requis, vous pourrez ultérieurement charger ce fichier pour restaurer
tous les paramètres.
Mise à jour de FortiClient
Vous pouvez afficher les informations de version actuelle des définitions de virus
et du moteur antivirus et configurer des mises à jour dans la page Update
(Mise à jour).
Chaque copie du logiciel FortiClient dispose d’un identifiant unique appelé UID.
L’UID est affiché dans le coin supérieur droit de la page Update (Mise à jour).
À chaque fois que FortiClient envoie une requête de mise à jour, il envoie
également l’identifiant unique. Si vous rencontrez un problème de mise à jour
quelconque, l’assistance technique Fortinet peut se servir de ce numéro pour
détecter le problème.
Si l’ordinateur FortiClient utilise un serveur proxy, vous pouvez configurer les
paramètres de serveur proxy de sorte que le logiciel FortiClient reçoive des mises
à jour via le serveur proxy. Consultez la section “Configuration des paramètres de
serveur proxy” à la page 19.
Vous pouvez exécuter les mises à jour manuellement ou programmer des mises à
jour quotidiennes automatiques.
Pour lancer des mises à jour immédiates
1
Accédez à Maintenance > Update (Maintenance > Mise à jour).
2
Sélectionnez Update Now (Mettre à jour).
Dans Update Status (État de la mise à jour), vous pouvez afficher le processus
de mise à jour et les résultats. L’état “No update available” (Aucune mise à jour
disponible) signifie que les définitions de virus et le moteur antivirus sont déjà
à jour.
Pour programmer des mises à jour
1
Dans la section Update Schedule (Programmation de mises à jour), sélectionnez
Enable scheduled update daily (Activer les mises à jour quotidiennes).
2
3
•
Sélectionnez Daily (Quotidienne) et entrez l’heure.
•
Sélectionnez Every (Toutes les) et choisissez la fréquence (1 à 24 heures).
04-30007-0271-20081022
79
Sauvegarde et restauration des paramètres FortiClient
Maintenance
Remarque : le serveur de mises à jour par défaut est forticlient.fortinet.com. Pour utiliser
un autre serveur, sélectionnez l’option Use this server to update (Utiliser ce serveur de
mises à jour) dans la partie supérieure de la page de mises à jour et entrez l’URL du
serveur de mises à jour. Il n’est pas nécessaire de spécifier http:// ou https:// dans l’URL.
Pour mettre à jour manuellement le logiciel et les signatures de virus
1
Téléchargez le fichier de package de mises à jour FortiClient (fichier .pkg) sur
2
Accédez à Maintenance > Update (Maintenance > Mise à jour) et sélectionnez
Manual Update (Mise à jour manuelle).
3
Dans la boîte de dialogue Open (Ouvrir), recherchez le fichier de package de
mises à jour et sélectionnez Open (Ouvrir).
Sauvegarde et restauration des paramètres FortiClient
Si vous disposez de privilèges administrateur, vous pouvez enregistrer tous les
paramètres FortiClient dans un fichier afin de pouvoir facilement les restaurer
ultérieurement. Par exemple, si vous devez réinstaller le logiciel après avoir
remplacé un disque dur, il vous suffit de charger le fichier de sauvegarde pour
restaurer les paramètres FortiClient qui étaient configurés au moment de la
sauvegarde. Vous pouvez également utiliser un fichier de sauvegarde unique
pour configurer plusieurs installations de FortiClient avec les mêmes paramètres.
Remarque : les fonctions Backup/Restore (Sauvegarder/Restaurer) ne sont pas
disponibles si l’application FortiClient est gérée de manière centralisée par une unité
FortiManager.
Pour sauvegarder les paramètres FortiClient
1
Accédez à Maintenance > Backup/Restore (Maintenance > Sauvegarder/
Restaurer).
2
Sélectionnez Backup (Sauvegarder).
3
Entrez un nom de fichier et un emplacement dans la boîte de dialogue Save As
(Enregistrer sous).
4
Entrez un mot de passe dans la boîte de dialogue Input Password (Entrer le mot
de passe). Entrez le mot de passe à nouveau dans le champ de confirmation pour
vérifier que vous n’avez pas fait de faute de frappe. Retenez ce mot passe ; il sera
requis lors de la restauration du fichier de sauvegarde.
Pour restaurer les paramètres FortiClient
1
Accédez à Maintenance > Backup/Restore (Maintenance > Sauvegarder/
Restaurer).
2
Sélectionnez Restore (Restaurer).
3
Dans la boîte de dialogue Open (Ouvrir), choisissez le fichier à restaurer.
4
Entrez le mot de passe associé au fichier.
FortiClient confirme que la configuration a été restaurée.
5
80
Sélectionnez OK.
04-30007-0271-20081022
Journaux
Configuration des paramètres de journal
Journaux
La fonction de journalisation de FortiClient permet de configurer la journalisation
de différents types d’événements pour quelques services FortiClient ou
l’ensemble des services FortiClient.
Vous pouvez spécifier le niveau de journal, le type de journal, la taille de journal,
ainsi que la validité des entrées de journal.
Figure 23 : Configuration des paramètres de journal
Pour configurer les paramètres de journal
1
Accédez à Journaux > Paramètres.
2
Entrez la taille de journal maximum.
L’option par défaut est 5 120 Ko. Lorsque la taille maximum de fichier journal est
atteinte, les entrées de journal sont remplacées en commençant par les plus
anciennes.
3
Entrez la validité maximum.
L’option par défaut est 0 jours. Une validité maximum de 0 jours signifie que les
entrées de journal sont conservées jusqu’à ce que la taille de journal maximum
soit atteinte. Ces entrées de journal sont supprimées une fois que la validité
maximum spécifiée est atteinte.
Remarque : si la taille de fichier maximum spécifiée ou si la validité maximum spécifiée est
atteinte, selon la première éventualité, les entrées de journal les plus anciennes sont
supprimées.
04-30007-0271-20081022
81
4
Journaux
Sélectionnez le niveau de journal.
Vous pouvez choisir Error (Erreur), Warning (Avertissement) ou Information
(Informations). L’option par défaut est Warning (Avertissement).
5
Sélectionnez les éléments à journaliser.
Vous pouvez sélectionner Tous les événements ou Cocher pour sélectionner.
Si vous sélectionnez Cocher pour sélectionner, vous devez spécifier les types
d’événements à journaliser.
6
Sélectionnez Appliquer.
Pour configurer la journalisation à distance
82
1
Accédez à Journaux > Paramètres.
2
Dans la section Journalisation à distance, sélectionnez Serveur et entrez
l’adresse IP du serveur ou le nom de domaine complet dans le champ voisin.
3
Sélectionnez FortiAnalyzer si vous utilisez une unité FortiAnalyzer pour
enregistrer les journaux, sinon sélectionnez Syslog.
4
Dans la liste Equipements, sélectionnez le nom utilisé pour identifier cet
ordinateur FortiClient dans les journaux. L’option par défaut est local7.
5
Si vous enregistrez les journaux au format Syslog, sélectionnez dans la liste de
niveaux de journal Syslog le niveau de gravité minimum des journaux à
enregistrer.
6
Sélectionnez Appliquer.
04-30007-0271-20081022
Journaux
Gestion des fichiers journaux
Le programme d’affichage de journaux peut afficher des journaux de tous les
événements ou uniquement des événements associés à un service spécifique.
Vous pouvez afficher, enregistrer, supprimer ou actualiser les entrées de journal.
Figure 24 : Affichage des journaux
Pour gérer les messages de journal
1
Accédez à Journaux > Affichage des journaux.
2
Dans la liste déroulante, sélectionnez le type d’entrée de journal à afficher.
3
Utilisez les boutons de navigation des journaux pour passer d’une entrée à l’autre
ou vous déplacer vers le haut ou le bas du fichier journal. Les entrées de journal
les plus récentes apparaissent en haut de liste.
Vous pouvez sélectionner une entrée de journal spécifique dans la fenêtre des
journaux afin d’afficher les informations correspondantes complètes.
4
Pour enregistrer les messages de journal, sélectionnez Exporter.
5
Pour supprimer tous les messages de journal, sélectionnez Effacer tout.
6
Pour afficher les messages de journal les plus récents, sélectionnez Rafraîchir.
04-30007-0271-20081022
83
84
Journaux
04-30007-0271-20081022
Index
Index
A
adresse électronique
requête de certificat local 38
adresse IP
AntiLeak 77
Anti-Spam
activation 74
antivirus 43
assistance technique 11
authentification 35
authentification avancée
configuration 30
B
Beep when connection error occurs, option 32
C
catégories
filtrage Web 67
certificat
carte à puce 40
eToken 40
importation d'un certificat d'autorité de certification
41
certificat d'autorité de certification
importation 41
obtention d'un certificat d'autorité de certification 41
récupérer 41
certificat de carte à puce 40
certificat eToken 40
certificat local
adresse électronique 38
adresse IP 38
demande 39
département 38
e-mail 38
entreprise 38
état/région 38
importation d'un certificat local signé 40
nom de domaine 38
pays 38
récupération d'un certificat local signé 40
ville 38
certificat local signé
demande 39
importation 40
classification
filtrage Web 67
clé
saisie d'une clé de licence 17
04-30007-0271-20081022
clé de licence
saisie 17
commentaires sur la documentation technique de
Fortinet 10
configuration
erreur 36
conservation automatique de connexion active 28
contrôle des connexions VPN 34
D
demander un certificat local signé 39
dépannage
VPN 36
département
détection d'indisponibilité DPD 28
détection des intrusions 63
déverrouillage de FortiClient 18
données de configuration 14
E
e-mail
entrée de la liste de démarrage
restauration des entrées modifiées ou rejetées de
la liste de démarrage 55
entrées de la liste de démarrage
affichage 55
entreprise
erreur
configuration 36
état/région
exclure
sélection des types de fichier à exclure 48
exportation
extension de fichier
ajout à la liste de types de fichier ou à la liste
d'exclusions 48
F
fenêtre de scan antivirus
affichage 45
fichier journal
affichage 83
configuration des paramètres 81
fichiers en quarantaine
gestion 52
85
Index
filtrage Web 67
catégories 67
classification 67
paramètres 68
paramètres généraux 68
paramètres par utilisateur 71
profils 70
URL à bloquer ou à contourner 71
fréquence de conservation de connexion active 28
G
gérer
fichiers en quarantaine 52
fichiers journaux 83
scans programmés 45
gestion des certificats numériques
gestion des certificats 36
groupe DH
paramètre de stratégie 27
message électronique
marquage manuel 75
message électronique mal évalué
envoi 76
mettre à jour
logiciel FortiClient 79, 80
mise à niveau 14
mode
paramètre de stratégie 26
modèles FortiGate
prises en charge par FortiClient 14
N
NAT traversal 28
nom de domaine
O
I
obtention d'un certificat local signé 37
OCSP, activation 42
octets
trafic VPN entrant 35
trafic VPN sortant 35
options
de connexion VPN 32
icône
état 8
icônes d'état 8
importer
certificat d'autorité de certification 41
certificat local signé 40
liste de révocation de certificats 42
installation 13
installer
configuration 14
données 14
journal 16
mettre à niveau 14
P
J
journalisation 16
journaux 81
gestion des fichiers journaux 83
K
Keep IPSec service running forever unless manually
stopped, option 32
L
langues prises en charge 14
lecteurs amovibles
scan complet du système 45
scanner lors de l'insertion 47
liste d'exclusions
ajout d'une nouvelle extension de fichier 48
liste de révocation de certificats
importation 42
obtention d'une liste de révocation de certificat 42
récupérer 42
logiciel FortiClient
mise à jour manuelle 79, 80
86
M
page de code 14
paquets
paramètres
généraux 17
paramètres antivirus
configuration 46
paramètres de stratégie
modification des paramètres hérités 25
modification des paramètres par défaut 25
paramètres de stratégie hérités
modifier 25
paramètres de stratégie par défaut
modification 25
paramètres généraux 17
passerelle FortiGate
se connecter à 33
passerelle locale 34
pays
PFS
paramètre VPN avancé 28
plug-in anti-spam
installation 74
présentation 7
profils
filtrage Web 70
programmation de mises à jour
paramètre 79
04-30007-0271-20081022
Index
proposition
IKE 26
IPSec 27
propositions IKE 26
propositions IPSec 27
protection
configuration en temps réel 51
protection contre la fuite d'informations 77
protection en temps réel
configuration 50, 51
R
récupérer
certificat d'autorité de certification 41
certificat local signé 40
liste de révocation de certificats 42
réseau FortiGate
se connecter au 33
réseau FortiGate distant
se connecter au 33
restaurer
entrée modifiée de la liste de démarrage 55
entrée rejetée de la liste de démarrage 55
fichier en quarantaine 52
résumé du trafic
affichage 35
S
saisie d'une clé de licence 17
scan
antivirus 43
lecteurs amovibles 45, 47
scan antivirus de fichiers dans un répertoire
spécifié 44
sélection des types de fichier à scanner 48
scan de courrier 52
scan rapide
exécution 44
se connecter
à une passerelle FortiGate distante 33
au réseau FortiGate distant 33
service clientèle 11
service clientèle Fortinet 11
Start VPN before logging onto Windows, option 32
stratégie
sécurité d'entreprise, mise en conformité avec 18
stratégie d'entreprise
mise en conformité avec 18
stratégie de sécurité
mise en conformité avec 18
04-30007-0271-20081022
stratégies
configuration IKE, IPSec 25
stratégies IKE et IPSec
configuration 25
stratégies IPSec
configuration 25
T
types de fichier
ajout d'une nouvelle extension de fichier 48
sélection des types de fichier à scanner ou à
exclure 48
U
URL
bloquer ou contourner 68
V
validité clé
verrouillage de FortiClient 18
versions FortiOS
prises en charge par FortiClient 14
ville
VPN
acquisition d'adresses IP virtuelles 28, 29
alarme audible d'échec ce connexion 32
autorisation étendue 30
certificat de carte à puce 40
certificats 36
configuration automatique de la connexion 22
configuration des stratégies IKE et IPSec 25
configuration manuelle de la connexion 22
connexion au réseau distant 33
connexion avant l'ouverture d'une session
Windows 33
contrôle des connexions 34
démarrage avant la connexion au réseau 32
dépannage 36
importer, exporter fichiers de stratégies 35
modification des paramètres hérités et
par défaut 25
options de connexion 32
paramètres de base 23
présentation 21
rétablir les connexions rejetées 32
tester la connexion 31
utilisation du client VPN FortiClient 31
87
Index
88
04-30007-0271-20081022
www.fortinet.com
www.fortinet.com

Guide de l`utilisateur FortiClient End Point Security Version 3.0 MR7

Transcription

Documents pareils

Procédure pour consulter le compte annuel de la taxe scolaire en

Modifiez la forme d`une image

Projet1:Mise en page 1

Antivirus gratuit de Microsoft

Sécurité Sécurité

Mise à jour Firmware MF5990dn MF5990bdn - Support

Mode d`emploi pour la configuration des chaînes pour TV Sony

Configuration du proxy de la bibliothèque Firefox 2.x (Windows)

Guide Utilisateur pour la Sécurité hôte FortiClient pour Windows

Configurer le courriel de Poly avec Androïde Sélectionnez l`icône