Aller au contenu


Online Armor Free : pare-feu et HIPS


  • Sujet fermé Ce sujet est fermé
11 replies to this topic

#1 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 690 Messages :
  • Gender:Male

Posté 22 mars 2008 - 13:46

Online Armor Free : pare-feu et HIPS


Armor.jpg




Sommaire:
  1. Présentation.
  2. Tutoriel:
  3. Résistance à la désactivation.



etoile.gif
etoile.gif etoile.gif



Présentation:

Le logiciel Online Armor Free de l'éditeur Tall Emu fait partie de la grande famille des logiciels de sécurité: c'est avant tout un pare-feu de grande qualité (cf ses résultats deux fois de suite aux Leaktests réalisés sur le site Matousec.com, où il partage les premières places avec son rival du moment, Comodo Firewall, loin devant bien des spécialistes payants du genre).
Mais c'est aussi un logiciel HIPS lui aussi parmi les plus efficaces (cf les tests réalisés par "nicmtests").


Faisons simple, voilà une liste rapide de ses fonctionnalités:

  • Pare-feu avec analyse automatique des réseaux et éditeur de règles.
  • Bouclier HIPS.
  • Surveillance du système en temps réel.
  • Possibilité d'obliger des applications à se lancer avec des droits restreints.
  • Surveillance du démarrage, des add-ons d'Internet Explorer et du fichiers hosts.
  • Scanner à la demande basée sur une liste noire et une liste blanche réalisée par Tall Emu.
  • Edition simple des règles (pare-feu, activité du système et démarrage).
  • Fonction d'apprentissage peu commune et pratique qui complète un assistant lui aussi bienvenu pour les néophytes ou les pressés.
  • Protection par mot de passe possible de l'utilsation du logiciel.

Les mises à jour ne sont pas automatiques dans la version gratuite, et les nouvelles versions doivent être installées une fois seulement la version précédente désinstallée. En revanche, ces opérations sont très rapides.
D'autres fonctionnalités sont absentes par rapport aux versions payantes (Online Armor et Online Armor AV+, incluant l'antivirus Kaspersky), mais le principal est bel et bien présent.
Pour une comparaison des versions, consultez ce tableau.

Langue: Anglaise, mais le logiciel reste très simple à comprendre.

Compatibilité: Windows NT, 2000 et XP. Vista n'est pas encore supporté (c'est en préparation). Ajoutons également à ce jour une incompatibilité avec le logiciel F-Secure antivirus.

Téléchargement: sur le site officiel. icone_telechargement.gif

Support en ligne sur le site officiel: FAQ - forum (anglophone mais avec une partie francophone dont le très sympathique administrateur MaB69 m'a fort utilement renseigné), où alors ici-même.


Finalement, adjoint d'un antivirus et éventuellement d'un bac à sable, c'est une solution relativement simple, et très efficace (autant que l'on puisse l'être, nulle protection n'étant fiable à 100% dans le domaine de la sécurité).





Remerciements: le barbier fou, herve91 et MaB69

#2 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 690 Messages :
  • Gender:Male

Posté 23 mars 2008 - 15:15

Tutoriel






arrow.gif Malekal nous a gratifié d'un tutoriel d'installation et d'utlisation que vous trouverez sur cette page. J'en recommande chaudement la lecture avant toute autre sur le sujet.

Toutefois, le logiciel s'est un peu modifié ou enrichi depuis, si bien qu'il ne sera pas inutile de proposer un complément.

etoile.gif
etoile.gif etoile.gif


Installation - Première configuration à l'aide de l'assistant.



L'installation est classique, rien de particulier à signaler (pas de barre ou autre adware à décocher).

La fin de l'installation débouche directement sur un passage important, en tout cas si vous êtes néophyte: un assistant de configuration se lance, scanne votre PC afin d'en analyser les programmes installés, la présence ou non de processus à risques (répertoriés comme tels dans les listes noire ou blanche Tall Emu), l'intégrité de vos fichiers système, la liste de démarrage et les droits d'accès à internet de vos différents programmes, votre fichier hosts ainsi que les add-ons installés sur Internet Explorer (en particulier les activeX).

Vous retrouvez-là la liste de ce que protège au fond Online Armor Free, et c'est donc un moment qu'il faut prendre tout à la fois pour vérifier que votre système est sain et apprendre au logiciel comment se comporter vis à vis de votre système: permettre, interdire ou vérifier auprès de vous, en fonction du contexte. Si vous prenez le temps de tout configurer à cette étape, votre logiciel ne vous sollicitera plus souvent; sinon, vous pourrez y revenir plus tard en éditant vos règles, comme nous le verrons par la suite.

Quelques images avant de passer à la suite de cette première configuration (laissons Online Armor faire son scan en attendant), qui comme vous le verrez, est bien assistée :

o0.png

o1.png


Voilà, le verdict est rendu et peut prendre 2 formes:
  • "Passed": signifie que rien n'est à signaler et que les listes noire et blanche ont suffit à Online Armor pour savoir quoi faire.
  • "Needs attention": ne signifie pas qu'il y a un soucis, même si cela est possible: simplement les listes noire et blanche n'ont pas permis de déterminer de façon sûre quoi faire pour certaines de vos applications, et Online Armor préfère vous demander votre avis les concernant.


Une question, maintenant: levez la main ceux qui ne comprennent pas les symboles véhiculés par ces trois icônes i_4.png i_5.png i_3.png , faut-il que j'explique ? .... ouh là ! transpi.gif ... D'accord:
  • i_4.png signifie que l'autorisation est donnée de s'exécuter,
  • i_5.png signifie qu'une interdiction est donnée de s'exécuter,
  • i_3.png signifie que vous repoussez votre prise de décision à plus tard, à l'utilisation du logiciel ou de l'add-on (sous la forme d'une pop-up de demande)


On continue donc par les images des 3 fenêtres suivantes, et comme vous pourrez le voir, le principe est le même pour chacune de ces trois étapes, concernant dans l'ordre: les programmes de votre menu démarrer, les programmes se lançant au démarrage et enfin les add-ons d'IE: on autorise, on bloque ou parfois: on remet à plus tard.

Remarques:
  • Le menu contextuel permet d'avoir accès à plus des choix plus fins, mais comme c'est notre premier contact et que tout peut être fait maintenant ou plus tard, nous y reviendrons ... plus tard dd.gif ... sauf pour une option d'ores et déjà utile: "Show File information" qui vous donnera des détails parfois précieux pour prendre votre décision.
  • Online Armor s'est fait un avis pour certaines lignes, mais pas pour toutes, mais cet avis peut être changé quand vous sélectionnez la ligne concernée et que vous cliquez sur une des actions proposées, et que nous allons détailler à présent.


o2.png


Ci-dessus, la première des trois concerne l'autorisation pour les logiciels de se lancer.
  • A priori, vous savez quels logiciels sont installés sur votre machine, reconnaitre tout le monde, et leur accorder le droit de se lancer: laissez sur i_4.png ou faites-le apparaître en cliquant sur "Allow"
  • Pour une raison ou une autre, vous pouvez repousser la décision concernant un logiciel en laissant i_3.png ou faites-le apparaître en cliquant sur "Ask"
  • Si une interdiction est proposée par Online Armor, doutez-vous qu'il s'agit d'un composant à risque: si vous avez connaissance de sa présence, jugez-vous-même de votre décision, et si vous découvrez ce logiciel, faites un tour sur Google pour vérifier sa nature et apprêtez-vous à interdire son lancement (puis à désinstaller-supprimer ce composant). Vous pouvez aussi indiquer ce choix de vous-même bien entendu: i_5.png ou faites-le apparaître en cliquant sur "Block"

Validez en cliquant sur Next.


o3.png


Cette deuxième capture ci-dessus constitue votre liste de démarrage: vous devez là aussi choisir entre "Allow" 'ou "Allow all", "Block" ou "Delete". Vous pouvez faire apparaitre l'intégralité de cette liste en décochant l'option "Hide trusted, mais il vous faudra être d'autant plus prudent. Ne supprimez que les entrées dont vous êtes certains de vouloir vous débarrasser définitivement, aprés vous être éventuellement informé sur le processus. De toute façon, encore une fois, en cas de regrets, toutes ces configurations peuvent être reprises par la suite.
Remarque: nous verrons par la suite comment intégrer un processus à la zone de confiance, et au départ, vous y trouverez vos processus système et vos logiciels de sécurité reconnus par Online Armor. Mais comme vous le verrez, la mise en zone de confiance n'est pas vraiment souhaitable pour les autres logiciels, sauf si un conflit surgit avec Online Armor, ce qui a peu de chance de se produire.
Validez en cliquant sur Next.

o4.png


Cette dernière capture de cette série de trois concerne les add-ons d'Internet Explorer, que vous devez reconnaitre absolument pour leur laisser libre cours. En cas de doute, laissez sur "Ask" (éventuellement "Block" en attendant d'en savoir plus) et si vous reconnaissez un indésirable, ce sera "Delete".
Validez en cliquant sur Next.



On finit cette première partie par les images des fenêtres d'options proposées pour concrétiser cette première configuration:

o5_1.png


Une remarque concernant la capture précédente: laisser "Send anonymous information about ..." cochée permet de participer à l'élaboration des listes noire et blanche de Tall Emu: cela permet l'amélioration du logiciel et puisque vous avez opté pour la solution gratuite, d'apporter votre contribution à votre manière.

o5_2.png


Une autre remarque ici: la surveillance des applications est censée avertir quand une application à changée: mise à jour (donc légitime) ou infection (non-légitime) peuvent en être responsables. Elle peut se faire par Hash (signature particulière d'un fichier dont la vérification permet de vérifier son intégrité) ou par Hash et chemin de cette application, précaution plus sûre mais qui peut générer plus de demandes de confirmation (essentiellement quand les utilisateurs font tourner 2 versions différentes d'un même logiciel en parallèle).

o5_3.png


o6.png


Il suffit à présent de cliquer sur "Finish" pour que votre PC redémarre et que sa protection par Online Armor commence.

Et c'est la fin de cette partie. sourire.png

#3 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 690 Messages :
  • Gender:Male

Posté 24 mars 2008 - 09:05

La barre des tâches: la "porte d'entrée" de l'utilisateur:


La barre des tâches: deux icônes i_0.png qui servent de "portes d'entrée" à l'utilisateur.
  1. icône traffic

    o8_statut.png


    Tous ce qui entre ou sort de votre PC est tracé ici.
    En cas d'activité internet suspecte, vous pourrez facilement la mettre en évidence. En revanche, cette fenêtre n'est pas une fenêtre d'action ou de configuration.

  2. icône bouclier
    • Configuration (fenêtre principale)
    • Aide (en ligne ou non)
    • Protection de l'utilisation du logiciel par mot de passe
    • Activer-désactiver la surveillance des programmes
    • Activer-désactiver le pare-feu
    • Fenêtre du traffic - accès au journal
    • démarrer-arrêter le scan des fichiers système et montrer-cacher sa fenêtre de progression
    • Mode apprentissage
    • Bloquer-débloquer l'accès aux réseaux
    • Activer-désactiver la protection HIPS
    • Quitter Online Armor, ou simplement fermer son interface (option utile en cas de partage peu scrupuleux de la machine par exemple) .


    o_entr_e.png

Nous allons détailler dans la suite du dossier le rôle et fonctionnement des actions proposées par la ce sommaire de la barre des tâches. Comme vous allez le voir, va nous emmener à des endroits que nous connaissons déjà: ce sera l'occasion d'approfondir l'examen des fonctionnalités...

#4 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 690 Messages :
  • Gender:Male

Posté 24 mars 2008 - 12:06

La fonction pare-feu (1ère partie)


Pour configurer le pare-feu, il faut aller dans le menu de la barre des tâches, choisir configuration et enfin choisir la fenêtre "Firewall", comme le montre la capture d'écran ci-dessous: vous remarquerez alors le choix de 4 onglets:
  • Program access: définir les droits d'accès à internet des applications.
  • Rules: créer, supprimer ou éditer des règles d'accès.
  • Interfaces: réseaux et cartes réseaux associées détectés sur votre machine.
  • Computers: ordinateurs composants les réseaux détectés sur votre machine.


o_firewall0.png


Remarque: seuls les deux premiers onglets nous concerneront dans cette première partie: ils interviendront dans la seconde partie de l'examen du pare-feu: le cas des réseaux.


Onglet "Program access":

C'est l'onglet reproduit sur la capture précédente.
Vous retrouvez nos fameuses icones pour chacune des lignes de l'onglet: celles-ci correspondent au logiciels ayant demandé à accéder à internet et pour lesquels donc des règles ont été crées et que l'on retrouve à l'onglet rules autoriser, interdire ou demander l'autorisation.

Les boutons vous permettent de changer la règle associée à une ligne (donc à un logiciel): "Allow" ou "Block" suivant les cas. Nous verrons directement comment éditer ses règles en examinant l'onglet "Rules".
Les boutons vous permettent aussi de supprimer une règle existante ("Delete") ou d'en créer une nouvelle ("Add").

Enfin, vous avez accès à d'autres actions via le menu contextuel (clic droit dans la fenêtre):

o_firewall_1.png


On retrouve "Allow" et "Block", "add", "delete" et "delete all" (pour redémarrer la configuration à zéro).
On y trouve ensuite "Import"-"Export", qui permettent d'importer ou d'exporter un jeu de règles. On y trouve également "Find", qui est anecdotique aussi (à moins d'avoir une liste longue comme le bras) et "Goto Rules", pas très utile puisque menant simplement à l'onglet d'à côté ^^. Et puisque nous en parlions, passons donc à l'onglet d'à côté.


Onglet "Rules":

Vous retrouvez sur la capture ci-dessous les processus pour lesquels une règle a été édité. Certaines sont nécessaires au système, et ont été éditées par Online Armor lui-même par l'assistant de configuration juste après l'installation.

o_firewall2.png


La création, la suppression ou l'édition d'une règle peut se faire directement avec les boutons maintenant habituels pour nous (voir ci-dessus), ou alors avec le menu contextuel ci-dessous:

o_firewall3.png


Aucune surprise, donc, et reste à savaoir comment éditer une règle nous-même. Voilà donc la capture de la fenètre de création - édition des règles:

o_firewall5.png


La méthode est donc tout à fait classique et les utilisateurs habitués à l'utilisation d'un pare-feu ne seront pas dépaysés. On définit donc:
  1. Si la règle est une permission ou une interdiction.
  2. Le ou les protocoles de communication concernés: TCP, UDP ou les deux.
  3. Le sens de communication concerné par la règle: IN, OUT ou les deux.
  4. Le programme auquel la règle se rapporte.
  5. Les ports de communication concernés.
  6. Les informations à conserver dans les journaux.
  7. Enfin, un champ libre pour annotation (facultatif).


L'édition d'une règle à la main peut sembler, parfois à juste titre, une opération technique et rebuter un utilisateur novice à l'utilisation de cette fonction, voire d'un pare-feu en général. C'est pourquoi les pares-feu proposent une autre méthode d'édition, plus assistée: l'utilisation des pops-up. Nous allons nous intéresser à présent à cette facette plus conviviale des pares-feu.
Sachez tout de même dès à présent que Online Armor Fee propose une troisième méthode, encore plus assistée (ce sera même difficile de faire plus assisté), le mode apprentissage, qui sera présenté un peu plus loin dans le dossier.


Les pop-ups:


Supposons à présent qu'un logiciel tente d'accéder à inetrnet: si une règle le concernant existe, il s'y conformera. Si aucune règle n'est éditée, il sera bloqué par le pare-feu, qui vous proposeras alors de prendre une décision en vous affichant des pops-up semblables à celles ci-dessous.

o_pop_2.png


o_pop_3.png


Bien entendu, la réponse que vous apportez est importante et il ne s'agit pas de tout autoriser à l'aveuglette.

Commencez par regarder le nom de l'application concernée, éventuellement son icône et n'autorisez que ceux que vous connaissez clairement et à qui vous souhaitez laisser l'autorisation de sortir (de se connecter à internet). Vous pouvez ou non cocher "Create e rule" ou "Remember my decision", qui a pour effet l'édition d'une règle correspondant à votre décision, et de ne plus nécessiter de nouvelle pop-up pour cette demande précise. Vous pouvez également vous prononcer (autoriser ou interdire) pour la session uniquement.

Dans la pratique, si une demande est attendue, par exemple parce que vous lancez votre navigateur, ou parce que vous commencez une mise à jour d'un logiciel, alors il n'y a pas trop de soucis; contrôlez tout de même ce qui est demandé mais normalement, c'est en rapport ni plus ni moins avec ce que vous demandez.
Si par contre la pop-up apparait d'elle-même à un moment inattendu, cela peut-être légitime, mais pas forcément et il faut redoubler de vigilance.

Le bouton "More" en bas à gauche permet d'avoir un complément d'information, mais il reste inactif chez moi (valable seulement pour les versions payantes ?)

Au pire: interdisez le temps de vous renseigner. Si une interdiction malheureuse est définie, il n'y a qu'à supprimer la règle correspondante.

Dans mon exemple, c'est le logiciel anti-virus qui demande à se mettre à jour, donc je laisse faire et je demande la mémorisation de la règle.

etoile.gif
etoile.gif etoile.gif


Vous l'avez compris, le pare-feu Online Armor Free offre les fonctions habituelles des pares-feu grand public, tout en s'adressant aussi aux utilisateurs confirmés, et ce ... performances en plus par rapport à presque tous les concurrents.

Continuons à présent par la fonction HIPS.

#5 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 690 Messages :
  • Gender:Male

Posté 24 mars 2008 - 12:18

La fonction HIPS:



Remarque préalable: pour ceux qui souhaitent des éclaircissements sur ce qu'est un HIPS, je renvois aux excellentes explications de Txon: ici et .

En résumé, c'est un module de surveillance en temps réel de ce qui se passe sur votre PC: sont contrôlés tous les processus tentant de s'exécuter, faisant appel à des ressources système, voulant modifier votre registre, ...
C'est dit depuis la présentation du logiciel en tout début de dossier: Online Armor est non seulement un excellent pare-feu, mais sa fonction, initialement secondaire, d'HIPS est de bonne qualité, ce qui est une qualité rare.

hips3.png


C'est à la fenêtre "Programs" que nous allons retrouver les règles auxquelles les processus (services et programmes) vont obéir, les autorisant ou non à s'exécuter. Vous vous y attendez: nous retrouvons nos trois icônes : autoriser - interdire - demander:
Ces règles peuvent âtre crées, supprimées, modifiées avec les boutons, ou via le menu contextuel:

hips4.png


Ce menu contextuel permet donc d'ouvrir une fenêtre plus grande (zoom out), d'avoir des précisions sur le logiciel de la ligne sélectionnée (Chemin du logiciel, éditeur, date d'installation principalement), mais c'est loin d'être tout:
  • Run permet de lancer le logiciel
  • Run Safer permet de le lancer avec des droits restreints: c'est une fonctionnalité importante sur laquelle nous reviendrons plus loin dans le dossier.
  • Trust permet de le placer dans la zone de confiance, Untrust permet de l'en sortir. Un processus de confiance fait à peu près ce qu'il veut sans rien vous demander, donc ne placez rien dans cette zone à moins d'être sûr et du processus, et de vous-même. Soyez tout aussi prudent si au contraire vous retirez un processus de cette zone que Online Armor Free aurait mis lui-même: il y a de fortes chance que ce processus soit nécessaire au bon fonctionnement de votre PC.
  • Enfin, Advanced options permet d'accéder aux réglages les plus fins de l'hips, comme le montre la capture ci-dessous.


hips6.png


Passons un peu de temps sur ce menu, séparé en 4 parties:
  • Run safer, que nous avons déjà rencontré et dont nous reparlerons.
  • Permissions :
    Les permissions permettent d'affiner les droits donnés aux applications: c'est à la fois une configuration importante, mais délicate et réservée aux utilisateurs avertis. Heureusement, Online Armor Free, par le biais des alertes, vous permet de configurer tout ça finement et sans vous en rendre compte: les autorisations ne sont en effet demandées qu'en cas de besoin, sous forme de pops-up et vous pouvez donc cocher "Remember my decision" pour en faire une règle. Seul le choix d'interdire peut s'avérer problématique si vous en décidez vous-même, puisque dans ce cas les pops-up ne s'afficheront plus en cas de besoin. Tachez donc de vous souvenir de vos interdiction à ce niveau si vous les définissez vous-mêmes. Personnellement, je touche assez peu à cette configuration.
  • Protection:
    Les protections sont destinées à protéger vos processus (services ou applications) d'agressions.
    La première option permet de redémarrer une application anormalement stoppée.
    Les deuxième et troisièmes options permettent de protéger des tentatives de désactivation ou de d'arrêt anormaux: utile par exemple pour les logiciels de sécurité.
    Les deux dernières options préviennent des tentatives de modifications opérées sur le processus: attention, ne cochez pas ces options par exemple pour les logiciels suceptibles de recevoir des mises à jour par exemple.
  • Performance: non accessible à la version gratuite, permet d'attribuer une limite d'utilisation CPU à unprocessus (service ou application).


Dans la pratique, Online Armor Free se débrouille très bien pour construire des règles nécessaires et suffisantes: n'hésitez donc pas à vous en remttre à ses pops-up pour le paramétrage automatique de ces permissions. Par contre, la protection des processus devra être volontaire car rarement (jamais ?) utilisée par défaut, mais parcimonieuse et en connaissance de cause sous peine de voir des applications ou des mises à jour poser problème.


Il ne vous reste plus qu'à être vigilant aux moment des alertes pops-up, afin de prendre les bonnes décisions.
En cas de ratage, de doute, n'hésitez pas à supprimer les règles défaillantes et à les faire reconstruire par Online Armor Free comme indiqué plus haut.


Continuons ce petit tour du HIPS, quelques exemples de pops-up d'alerte : il est temps ! clindoeil.gif
  • Dans l'exemple ci-dessous, j'ai volontairement mis Ccleaner dans la zone de confiance, mais j'ai configuré son exécution sur "Ask", qui prend alors la priorité: au lancement de Ccleaner, une pop-up verte est alors proposée car le processus est dans le zone de confiance. Je peux à cette occasion créer une règle en cochant "remember my decision" (ce que je fais pour Ccleaner) et aller vérifier dans les options avancées que seules les autorisations nécessaires ont été accordées, mais pas plus (voir à la fin de ce chapitre).

    hips7.png

  • Dans l'exemple ci-dessous, c'est le module de mise à jour de l'antivirus qui demande à s'exécuter (il était en position "Ask"). Bien entendu, dans ce cas là encore, je permets l'exécution et je demande à ce que la décision soit mémorisée.

    o_pop_1.png

  • Dans l'exemple ci-dessous, on est à peu prés dans le même cas de figure, à ceci près que contrairement à la mise à jour de l'antivirus (qui a un module intégré), la mise à jour de Paint.net se sert de votre navigateur par défaut: l'action est considérée comme plus risquée donc la fenêtre est rouge. Bien entendu, je connais Paint.net et je viens justement de lancer une vérification des mises à jour: il n'y a donc aucun piège et j'autorise en faisant mémoriser la décision.

    hips1.png

  • Dans l'exemple ci-dessous, c'est la suite logique de mon accord donné précédemment, un service windows (svchosts.exe) se chargeant de lancer mon firefox à la demande de Paint.net.

    hips2.png



Pour finir, je vous propose un exemple de création de règles fines automatiquement par Online Armor Free: voyons comment notre HIPS s'y prend. Le logiciel utilisé dans cet exemple est le client ftp Filezilla.

Par défaut, il est sur "Ask" et ses permissions sont les suivantes:

o_oubli0.png


Juste pour l'exemple, je lui interdits au passage d'éteindre le PC et je le lance: une pop-up s'ouvre pour prendre ma décision, qui sera: laisser s'exécuter. A ce moment, aucune permission particulière supplémentaire n'a été nécessaire:

o_oubli1.png


Je lui demande de se connecter à un serveur ftp: une pop-up fait son apparition, j'autorise l'action et demande de la mémoriser.

o_oubli2.png


A présent, je demande à éditer un document: Filezilla veut lancer notepad++ et pour cela, des pop-ups me sont proposées: j'autorise et je vais voir les permissions:


hips6.png


Les permissions nécessaires et suffisantes ont encore été données.

#6 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 690 Messages :
  • Gender:Male

Posté 24 mars 2008 - 12:29

La fonction de restriction des droits accordés à vos programmes


Nous l'avons rencontré quand nous avons parcouru les fonctions de l'HIPS d'Oneline Armor et cette fonction très intéressante mérite bien un court chapitre.

hips5.png


Il s'agit de cocher "Run Safer" pour une application donnée, ce qui a pour effet de lancer cette application avec des droits restreints: même en session administrateur, l'utilisateur de ce logiciel sera limité comme un utilisateur simple: cela limite grandement les risques d'infection lié au surf sur internet, car seront interdits les modifications du système,les désactivations ou modifications de logiciels de sécurité, arrèts ou lancement de services, etc.

Il est donc fortement conseillé d'utiliser cette fonction pour les applications susceptibles d'amener une infection, principalement vos navigateurs, clients mails et clients ftp ... bref, tout ce qui se connecte à internet pour travailler.

Remarque: bien entendu, si vous avez l'habitude d'utiliser une session utilisateur simple en temps normal, cette fonction sera redondante.

Vous pouvez également avoir des informations supplémentaires en suivant ce lien ou celui-ci.

#7 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 690 Messages :
  • Gender:Male

Posté 24 mars 2008 - 12:41

La fonction "filesystem scan"



Quand on t'offre un cheval, ne lui regarde pas les dents (proverbe espagnol).



CITATION
toutes les versions d'Online Armor incluent une base de données de programmes qui catalogue les programmes en 2 catégories : de confiance ou dangereux (le reste étant inconnu). Cette base de données est constituée conjointement par les utilisateurs (option "send anonymous information about programs") et l'analyse qui en est faite par l'équipe de Tall Emu.


Cette base de données entretenue par Tall Emu permet, associée au scanner proposé dans toutes les versions de Online Armor, d'avoir un anti-malware d'appoint, mais ne se substitue pas intégralement à un antivirus, de l'aveu même de Tall Emu - d'autant que le scan est à la demande, et non en protection en temps réelle.

Remarque: c'est pourquoi Tall Emu propose une version AV+, payante, proposant le scanner Kaspersky. C'est pourquoi aussi il est utile de participer à l'élaboration des listes en laissant cochée l'option "Send anonymous information ..." comme sur la capture ci-dessous:

o_rem.png


Pour lancer un scan avec "Filesystem scan", vous devez passer par le menu contextuel de la barre des tâches :

o_scan.png


Le cas échéant, vous pourrez dans un premier temps choisir les partitions à scanner (par défaut: toutes). Le scan ne consomme pas beaucoup de ressources, le verdict devant nécessairement ressembler à ça transpi.gif :

o9_scanresults.png




Dans la pratique, je n'ai pas été très impressionné par ses performances, et j'émets des doutes sur son utilité actuellement:

J'ai disposé sur mon bureau toutes sortes de versions de fichiers Eicar ou dérivés:
  • Quand mon antivirus était désactivé, le "filesystem scan" passait à côté des fichiers eicar sans les voir.
  • Quand mon antivirus était activé, le "filesystem" réveillait l'antivirus (que j'avais momentanément désactivé le temps de télécharger les fichiers eicar): au moment où le "filesystem scan" les scannait, il n'affichait rien mais provoquait des alertes de mon antivirus. C'est mieux que rien, mais j'attendais mieux.


Pour autant, cette fonctionnalité pourra à l'avenir être améliorée si les listes de Tall Emu s'etoffent. Et si elle a actuellement du mal à faire du bien, elle ne fait pas de mal.

#8 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 690 Messages :
  • Gender:Male

Posté 24 mars 2008 - 13:21

Le mode apprentissage


A ma connaissance, cette fonctionnalité est inédite pour la configuration du pare-feu et de l'HIPS, et permet de s'affranchir du système de pops-up dans une très large mesure pour laisser place à un système encore plus assisté.

Le principe est simple: vous passez du mode normal au mode apprentissage quand vous installez et utilisez un logiciel sûr pour la première fois, ou que vous le mettez à jour. Dès que l'opération est terminée, vous repassez en mode standard. Normalement, les règles du pare-feu et de l'HIPS se seront créées automatiquement et silencieusement (sans pop-up) d'après les autorisations demandées pendant le mode apprentissage. Attention: toutes ces demandes d'autorisations seront acceptées en mode apprentissage et vous devez repasser en mode standard pour que la surveillance reprenne.

Attention donc: le mode apprentissage doit faire l'objet d'une utilisation ciblée et non d'une utilisation permanente, qui aurait la fâcheuse conséquence de rendre Online Armor Free complètement inutile.

Passer en mode apprentissage est très simple: c'est encore par le menu contextuel de la barre des tâches, en choisissant "Learning mode":

o_learning.png


L'icône de la barre des tâches i_2.png est alors remplacée par celle-ci: o_apprent.png . Cela doit vous faire penser à retourner en mode standard au plus vite.

#9 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 690 Messages :
  • Gender:Male

Posté 30 mars 2008 - 10:49

La fonction pare-feu (2ième Partie): le cas des réseaux.


Remarque: Dans ce qui suit, je considère que vous avez configuré correctement votre pare-feu en ce qui concerne la connexion internet et que votre réseau interne est opérationnel.

Nous revenons à présent à la fenêtre firewall pour en explorer les deux derniers onglets: "Interface" et "Computers". Ceux-ci vont nous être utiles pour comprendre le fonctionnement et la configuration du pare-feu en présence de différents réseaux. Typiquement, et puisque nous nous intéressons plutôt à une utilisation domestique (seule permise avec la version gratuite), il s'agit d'un réseau Workgroup.

o_res0.png


o_res1.png



Online Armor Free procède à une détection automatique:
  • des cartes réseaux, et si elles sont actives ou non (les versions payantes permettent de désactiver une carte (de façon "logicielle", celle-ci restant installée)
  • des réseaux existants sur chacune des cartes : vous pouvez placer chacun des réseaux dans la zone que vous souhaitez: de confiance ou non (en cochant ou décochant l'option "Trusted")
  • des machines présentes sur chaque réseaux (seules les versions payantes permettent d'établir une relation de confiance ou non par machine: toutes les machines du réseau recoivent donc un traitement identique, ce qui dans le cas domestique est rarement problématique).


Configuration par défaut: Carte: active - Zone: de confiance ("Trusted" est coché) :
  • Votre PC accède à internet.
  • Votre PC accède aux machines du réseau.
  • Les autres machines accèdent à votre PC (dans le cadre du réseau défini sur votre PC, bien entendu).


Ce que vous pouvez faire: Carte: active - Zone: pas de confiance ("Trusted" est décoché) :
  • Votre PC accède à internet.
  • Votre PC accède aux machines du réseau.
  • En revanche, les autres machines n'accèdent pas à votre PC.


Ce que vous ne pouvez pas faire (avec la version gratuite):
  • Désactiver une carte en décochant l'option "Active": c' est un peu dommage, mais anecdotique.
  • Définir un comportement différencié vis à vis des différentes machines de chaque réseau: le clic droit sur une machine est inactif. Mais ces options correspondent le plus souvent à des problématiques professionnelles et il est compréhensible de devoir passer à une version payante pour accèder à cette fonctionnalité.


#10 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 690 Messages :
  • Gender:Male

Posté 30 mars 2008 - 15:39

Quelques tests de désactivation



Online Armor Free installe 2 processus et un driver (OADriver.sys).

Les 2 processus sont:
oasvr.exe, consommant moins de 10 Mo de RAM en général.
oaui.exe, qui est ll'interface graphique et qui consomme moins de 10 Mo de RAM également.

J'ai essayé de désactiver ces deux processus afin de tester la résistance à la désactivation de Online Armor: c'est une qualité complémentaire en terme de sécurité à ses résultats en tant que pare-feu et d'HIPS.
  • J'ai bien entendu testé en premier le gestionnaire des tâches : Online Armor passe le test sans sourciller.
  • J'ai testé également avec Seem: même résultat, car même l'oprion "Force Kill" de Seem est restée sans effet.
  • J'ai testé avec Icesword: oaui.exe killé mais pas oasvr.exe , c'est à dire que l'interface graphique a disparu mais la protection continuait.
  • Le PC s'en est toutefis retrouvé instable (gestionnaire des tâches qui ne répond pas et online armor qui ne se relance pas, arrêt du système impossible => reboot à l'arrache).


En conclusion, ce n'est pas un point faible de ce logiciel. biggrin.gif

#11 herve91

herve91

    Touriste Phobosien

  • Eminence Verte
  • PipPipPipPip
  • 106 Messages :

Posté 01 avril 2008 - 21:22

Bonsoir

Super ce nouveau tuto, j ai encore appris des choses comme faire un scan du pc

Félicitations

Hervé

#12 MaB69

MaB69

    Terrien

  • Zimien
  • Pip
  • 3 Messages :
  • Gender:Male

Posté 02 avril 2008 - 22:40

Bonsoir à tous,

Merci noisette pour ce beau travail qui va permettre d'aider à mieux comprendre comment utiliser Online Armor ainsi que de son fonctionnement
La version française ne saurait tarder mais ne sera disponible qu'après que le site et l'aide en ligne soient traduits dans la langue de Molière

Bonne soirée à tous

Cordialement,

MaB



0 utilisateur(s) en train de lire ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)