Protection contre le chiffrement

Le module Protection contre le chiffrement analyse l'activité dans les dossiers partagés. Si l'activité correspond à un modèle de comportement dangereux caractéristique du chiffrement externe, Kaspersky Endpoint Security exécute l'action choisie.

La protection contre les tentatives de chiffrement externe offerte par Kaspersky Endpoint Security porte uniquement sur les fichiers qui se trouvent sur des supports dotés d'un système de fichiers NTFS et qui ne sont pas chiffrés à l'aide du système EFS.

Paramètres du module Protection contre le chiffrement

Paramètre	Description
Exclusions par nom ou par adresse IP	Exclusions par nom ou par adresse IP. La liste des ordinateurs pour lesquels les tentatives de chiffrement des dossiers partagés ne sont pas traquées. Pour utiliser la liste des exclusions d'ordinateurs de la protection des dossiers partagés contre le chiffrement externe, vous devez activer l'audit d'ouverture de session dans la stratégie d'audit de sécurité Windows. Par défaut, l'audit d'ouverture de session est désactivé. Pour en savoir plus sur la stratégie d'audit de sécurité de Windows, consultez le site de Microsoft. Exclusions selon un masque. Exclusions de la zone de protection. L'exclusion d'un dossier de la zone de protection peut réduire le nombre de faux positifs si votre entreprise utilise le chiffrement des données lors de l'échange de fichiers à l'aide de dossiers partagés. Par exemple, la Détection comportementale peut générer des faux positifs lorsque l'utilisateur traite des fichiers portant l'extension ENC dans un dossier partagé. Une telle activité correspond à un modèle comportemental typique de chiffrement externe. Si vous avez chiffré des fichiers dans un dossier partagé pour protéger des données, ajoutez ce dossier aux exclusions. Utilisez des masques : Le caractère `` remplace n'importe quelle combinaison de caractères, y compris l'absence de caractères, sauf les caractères `\` et `/` (séparateurs des noms de fichier et de dossier dans les chemins d'accès aux fichiers et aux dossiers). Par exemple, le masque `C:\\.txt` inclura tous les chemins vers les fichiers avec l'extension TXT situés dans des dossiers sur le lecteur C:, mais pas dans des sous-dossiers. Deux caractères `` qui se suivent remplacent n'importe quelle combinaison de caractères, y compris des espaces, dans le nom du fichier ou de dossier, y compris les caractères `\` et `/` (séparateurs des noms de fichier et de dossier dans les chemins d'accès aux fichiers et aux dossiers). Par exemple, le masque `C:\Folder\*\.txt` inclura tous les chemins d'accès aux fichiers avec l'extension TXT situés dans le dossier joint nommé `Folder`, sauf pour le `Folder` lui-même. Le masque doit comprendre au moins un niveau d'imbrication. Le masque `C:\*\.txt` n'est pas un masque valide. Le caractère `?` remplace n'importe quel caractère unique, sauf les caractères `\` et `/` (séparateurs des noms de fichier et de dossier dans les chemins d'accès aux fichiers et aux dossiers). Par exemple, le masque `C:\Folder\???.txt` inclura les chemins d'accès à tous les fichiers résidant dans le dossier nommé `Folder` qui ont l'extension TXT et un nom composé de trois caractères.
Action en cas de détection d'une menace	Informer. Si cette option est sélectionnée, lors de la détection d'une tentative de modification des fichiers dans les dossiers partagés, Kaspersky Endpoint Security ajoute des informations sur cette tentative à la liste des menaces actives, ajoute une entrée aux rapports locaux de l'interface de l'application et envoie des informations à Kaspersky Security Center sur l'activité malveillante détectée. Bloquer la connexion pendant (min) N min. Si cette option est sélectionnée, lorsque Kaspersky Endpoint Security détecte une tentative de modification des fichiers dans les dossiers partagés, il bloque l'accès à la modification des fichiers pour la session qui a initié l'activité malveillante et crée des copies de sauvegarde des fichiers modifiés. Si le module Réparation des actions malicieuses a été activé et que l'option Bloquer la connexion pendant (min) X minutes a été sélectionné, les fichiers modifiés sont restaurés au départ des copies de sauvegarde.
Zone de protection	La zone de protection est une liste de chemins d'accès aux dossiers partagés, dans laquelle Kaspersky Endpoint Security surveille l'activité des fichiers. Kaspersky Endpoint Security prend en charge les variables d'environnement ainsi que les caractères `*` et `?` lors de la saisie d'un masque. Par défaut, l'application identifie automatiquement les dossiers partagés et surveille l'activité des fichiers dans tous les dossiers.

Paramètre

Description

Exclusions par nom ou par adresse IP

Exclusions par nom ou par adresse IP. La liste des ordinateurs pour lesquels les tentatives de chiffrement des dossiers partagés ne sont pas traquées.

Pour utiliser la liste des exclusions d'ordinateurs de la protection des dossiers partagés contre le chiffrement externe, vous devez activer l'audit d'ouverture de session dans la stratégie d'audit de sécurité Windows. Par défaut, l'audit d'ouverture de session est désactivé. Pour en savoir plus sur la stratégie d'audit de sécurité de Windows, consultez le site de Microsoft.

Exclusions selon un masque. Exclusions de la zone de protection. L'exclusion d'un dossier de la zone de protection peut réduire le nombre de faux positifs si votre entreprise utilise le chiffrement des données lors de l'échange de fichiers à l'aide de dossiers partagés. Par exemple, la Détection comportementale peut générer des faux positifs lorsque l'utilisateur traite des fichiers portant l'extension ENC dans un dossier partagé. Une telle activité correspond à un modèle comportemental typique de chiffrement externe. Si vous avez chiffré des fichiers dans un dossier partagé pour protéger des données, ajoutez ce dossier aux exclusions.

Utilisez des masques :

Le caractère * remplace n'importe quelle combinaison de caractères, y compris l'absence de caractères, sauf les caractères \ et / (séparateurs des noms de fichier et de dossier dans les chemins d'accès aux fichiers et aux dossiers). Par exemple, le masque C:\*\*.txt inclura tous les chemins vers les fichiers avec l'extension TXT situés dans des dossiers sur le lecteur C:, mais pas dans des sous-dossiers.
Deux caractères * qui se suivent remplacent n'importe quelle combinaison de caractères, y compris des espaces, dans le nom du fichier ou de dossier, y compris les caractères \ et / (séparateurs des noms de fichier et de dossier dans les chemins d'accès aux fichiers et aux dossiers). Par exemple, le masque C:\Folder\**\*.txt inclura tous les chemins d'accès aux fichiers avec l'extension TXT situés dans le dossier joint nommé Folder, sauf pour le Folder lui-même. Le masque doit comprendre au moins un niveau d'imbrication. Le masque C:\**\*.txt n'est pas un masque valide.
Le caractère ? remplace n'importe quel caractère unique, sauf les caractères \ et / (séparateurs des noms de fichier et de dossier dans les chemins d'accès aux fichiers et aux dossiers). Par exemple, le masque C:\Folder\???.txt inclura les chemins d'accès à tous les fichiers résidant dans le dossier nommé Folder qui ont l'extension TXT et un nom composé de trois caractères.

Action en cas de détection d'une menace

Informer. Si cette option est sélectionnée, lors de la détection d'une tentative de modification des fichiers dans les dossiers partagés, Kaspersky Endpoint Security ajoute des informations sur cette tentative à la liste des menaces actives, ajoute une entrée aux rapports locaux de l'interface de l'application et envoie des informations à Kaspersky Security Center sur l'activité malveillante détectée.
Bloquer la connexion pendant (min) N min. Si cette option est sélectionnée, lorsque Kaspersky Endpoint Security détecte une tentative de modification des fichiers dans les dossiers partagés, il bloque l'accès à la modification des fichiers pour la session qui a initié l'activité malveillante et crée des copies de sauvegarde des fichiers modifiés.

Si le module Réparation des actions malicieuses a été activé et que l'option Bloquer la connexion pendant (min) X minutes a été sélectionné, les fichiers modifiés sont restaurés au départ des copies de sauvegarde.

Zone de protection

La zone de protection est une liste de chemins d'accès aux dossiers partagés, dans laquelle Kaspersky Endpoint Security surveille l'activité des fichiers. Kaspersky Endpoint Security prend en charge les variables d'environnement ainsi que les caractères * et ? lors de la saisie d'un masque. Par défaut, l'application identifie automatiquement les dossiers partagés et surveille l'activité des fichiers dans tous les dossiers.

Haut de page