Kaspersky Administration Kit 6.0 MP1/MP2

	Useful links
	Comment exclure WinVNC de l'analyse de Kaspersky Anti-Virus 6.0 ? Comment installer Kaspersky Anti-Virus avec un fichier de configuration ?

Kaspersky possède depuis toujours une extension de ses bases antivirus permettant de détecter les malwares (spyware, adware, pornware, dialer, malware, RAT,…).

A la question "Est-ce que Kaspersky possède un Antispyware (désignation Marketing de nos concurents)" la réponse est "OUI" et ce niveau de détection est beaucoup plus étendue que ce terme l'indique.

Cette fonctionalité est appelée aujourd'hui Riskwares dans les produits Entreprises, Business Optimal et Corporate.
Les chercheurs ont inclus dans cette détection les outils d'accès à distance, dont le niveau de sécurité est jugé trop faible voir inexistant, ou bien non commerciaux.

Prenons l'exemple de VNC :

Dans son édition Free, ce produit possède des fonctionnalités dont le niveau de sécurité n'est pas assez important selon nos chercheurs et sa Licence d'utilisation n'est pas exploitable en Entreprise.

La version Entreprise (Commercial) assure, elle, un niveau de sécurité suffisant.
Lors de l'activation de l'option Riskware, VNC Free et ses composants sont détectés (exécutable, dll, clés de registre, etc...). Plus d'informations à ce sujet sont disponible sur notre site VirusList.

Kaspersky permet néanmoins de créer une liste de "Riskwares de confiance" permettant d'autoriser leur éxecution.
Il ne nous est pas permis de vous empêcher de les utiliser.

Ce document vous explique comment exclure des différents modules d’analyse les menaces liés à VNC en paramétrant le produit Kaspersky Anti-Virus for Windows Workstations via une stratégie.

Il peut également s'appliquer à d'autres type de menace, dans ce cas il vous suffit de remplacer les indications liés à VNC par celle de la menace que vous souhaitez voir exclure de l'analyse.

Attention : ce document n’est pas adapté à la configuration locale de Kaspersky Anti-Virus for Windows Workstations. Les opérations décrites ci-dessous peuvent également être effectuées à partir de la console locale, visible sur cette FAQ.

VNC est détecté dans son édition free selon différentes déclinaisons :

• not-a-virus:RemoteAdmin.Win32.WinVNC.4110
• not-a-virus:RemoteAdmin.Win32.WinVNC.a
• not-a-virus:RemoteAdmin.Win32.WinVNC.b
• not-a-virus:RemoteAdmin.Win32.WinVNC-based.a
• not-a-virus:RemoteAdmin.Win32.WinVNC-based.b
• not-a-virus:RemoteAdmin.Win32.WinVNC-bases.c
• ...

Afin d'éviter les alertes concernant cette menace il convient de trouver un masque générique qui s'applique à toute ces déclinaisons et qui sera le suivant : not-a-virus:RemoteAdmin.Win32.WinVNC.*

Le caractère * signifie n'importe quel séquence de caractères.

Afin de mettre en place l’exclusion, vous devez tout d'abord vous connectez au Serveur d'Administration à travers la console et accédez au propriétés de la stratégie du groupe qui contient les postes concernés par cette exclusion :

• Cliquez sur l'onglet Configuration
• Cliquez sur le bouton Zone de confiance...
• Dans la nouvelle fenêtre apparue, dans l'onglet Règles d'exclusion, cliquez sur le bouton Ajouter...
• Dans la nouvelle fenêtre apparue, dans la section Paramètres, décochez la case Objet et cochez la case Verdict afin d'exclure cette menace quel que soit son emplacement.

Note : Pour définir un emplacement pour cette exclusion, ne décochez pas la case Objet et dans la section Description en bas au niveau de la ligne Objet : précisez, cliquez sur précisez et indiquez un fichier un répertoire ou le masque d'exclusion.

• Dans la section Description en bas au niveau de la 1ère ligne Verdict : précisez cliquez sur le lien précisez et entrez le masque d'exclusion suivant : not-a-virus:RemoteAdmin.Win32.WinVNC.*
• Validez les modifications.
• Afin d'éviter une modification de ce paramètre coté utilisateur, nous vous invitons à vérouiller en appliquant le cadenas.

Consultez la vidéo pour voir la mise en place de cette exclusion :