|
|
|
|
|
Il est utile de faire la distinction entre un antivirus qui s'exécute sur le serveur de transfert local et une solution antivirus utilisée pour l'analyse dédiée du contenu. Lorsque vous envisagez des solutions antivirus pour MOVEit Transfer, l'antivirus local fait référence à la protection de la machine MOVEit Transfer, tandis que l'analyse du contenu content scanning examine les fichiers téléchargés pour protéger les ressources dans le magasin de fichiers géré (et finalement pour protéger les utilisateurs de l'organisation qui pourraient accéder à ces ressources). Cette distinction est importante car une partie décrit l'analyse des fichiers d'OS et d'applications déjà déployés et opérationnels sur la machine du serveur MOVEit Transfer. L'autre décrit la capacité unique d'analyser des fichiers (provenant généralement d'un autre réseau) avant qu'ils ne fassent partie du magasin de fichiers géré.
Protège la machine serveur locale exécutant le logiciel MOVEit Transfer. Il scanne le système hôte du serveur local MOVEit Transfer. Il ne doit pas interférer avec les opérations MOVEit Transfer.
Numérise les fichiers au fur et à mesure que les clients (mobiles, Web, etc.) les téléchargent vers le magasin de fichiers géré MOVEit Transfer. Cette solution utilise un moteur A/V sur une connexion ICAP.
L'analyse du contenu au moment du téléchargement est souvent jumelée avec (ou complétée par) la prévention des pertes de données au moment du téléchargement. Pour plus d'informations, voir la rubrique Analyse de contenu.
Utilisez ces directives si vous exécutez une application antivirus locale pour protéger la machine serveur MOVEit Transfer.
Pour plus d'informations sur la façon d'éviter le scénario où le scanner A/V ou de logiciels malveillants local interfère ou bloque les opérations du serveur MOVEit Transfer, consultez l'article de la communauté sur MOVEit Transfer et les meilleures pratiques A/V MOVEit Automation dans notre base de connaissances.
Le serveur MOVEit Transfer est souvent positionné sur un segment de réseau exposé à Internet. L'utilisation d'un produit anti-virus maintenu et mis à jour sur le serveur (tel que Windows Defender) présente des avantages. Toutefois, lors de la configuration d'un produit antivirus sur un serveur exécutant MOVEit Transfer, veillez à ajouter des exceptions pas d'analyse pour le serveur MOVEit Transfer, les sous-processus et le magasin de fichiers.
Le système MOVEit Transfer utilise un canal réseau sécurisé pour communiquer avec les clients. Il utilise également un cryptage « à l'arrêt » pour son magasin de fichiers géré. Pour certaines solutions A/V locales ou de bureau, les opérations du serveur MOVEit Transfer peuvent être mal classées comme une menace possible (ce qui entraîne le blocage temporaire ou la mise en quarantaine des processus, fichiers ou autres ressources MOVEit Transfer).
Réseau d'entreprise extérieur MOVEit Transfer faisant face à l'Internet sur une « DMZ » (segment entre les pare-feu externes et internes)
Si vous activez un scanner A/V local sur la machine serveur MOVEit Transfer (par exemple, Windows Defender), prévoyez des exceptions d'analyse antivirus pour les ressources et composants centraux suivants :
Afin d'éviter d'éventuelles correspondances de virus faussement positives et d'empêcher un programme antivirus de mettre en quarantaine ou même de supprimer les fichiers du magasin de fichiers MOVEit Transfer, la solution antivirus doit être configurée pour ignorer l'emplacement du magasin de fichiers MOVEit Transfer. Les fichiers cryptés sont stockés dans le sous-répertoire Files (Fichiers) du répertoire MOVEit Transfer non-web (Hors Web) (par exemple, D:\MOVEitTransfer). Par conséquent, pour une installation standard, vous devez configurer votre antivirus de manière qu'il ignore l'emplacement D:\MOVEitDMZ\Files.
Remarque : Pour plus d'informations sur l'emplacement des ressources et des fichiers, consultez la rubrique intitulée Systèmes internes - Référence technique.
Configurez le programme antivirus pour qu'il ignore les fichiers de la base de données MOVEit Transfer car ils peuvent contenir des données binaires, qui pourraient être interprétées à tort comme une menace (plusieurs champs de la base de données sont stockés de manière cryptée). Si votre base de données est basée sur MySQL, les fichiers de données sont généralement stockés dans le sous-répertoire Data (Données) du répertoire d'installation MySQL (par exemple, D:\MySQL). Par conséquent, pour une installation standard, il est recommandé de configurer l'antivirus de sorte qu'il ignore D:\MySQL\Data. Si votre base de données est basée sur Microsoft SQL Server, les fichiers sont généralement stockés dans un répertoire comme : C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Data.
Les principaux processus MOVEit Transfer que vous devez exempter du scan (ou de la liste bloquée) sont :
Dans ce scénario, un moteur antivirus activé par ICAP veille à ce que les fichiers dont la signature virale est positive ne soient pas autorisés à entrer ou à sortir du réseau interne. Par exemple, les fichiers sont analysés pendant le téléchargement et ne sont pas ajoutés au système de fichiers de MOVEit Transfer tant que l'analyseur de contenu ne renvoie pas une indication selon laquelle le fichier ne présente aucun motif correspondant aux définitions de virus actuelles (ou au modèle de menace).
Remarque : Pour plus d'informations, voir la rubrique Analyse de contenu.
MOVEit Transfer crypte les fichiers avant de les écrire sur le disque. Par conséquent, les données de fichiers non cryptées ne sont jamais disponibles sur disque. Elles ne sont pas accessibles aux antivirus qui vérifient le disque. Pour une sécurité maximale, la plupart des fichiers ne sont pas stockés en mémoire dans leur intégralité, mais sont lus et écrits par petits morceaux. Cela les rend également inaccessibles aux antivirus qui vérifient la mémoire.
Outre le fait qu'un antivirus ne peut pas, en principe, identifier un virus dans un fichier crypté par MOVEit Transfer, la nature de ce cryptage peut également générer des faux positifs. Il est en effet possible que le processus de cryptage d'un fichier génère au sein de ce dernier une séquence d'octets que les antivirus pourront interpréter comme la signature d'un virus. Par conséquent, il est recommandé de configurer vos antivirus de sorte qu'ils ignorent complètement les fichiers cryptés par MOVEit Transfer.
La plupart des serveurs MOVEit Transfer sont placés sur un segment de réseau isolé. Ces serveurs ont tendance à être indépendants du reste du réseau de l'entreprise et ne sont généralement pas ajoutés en tant que membres d'un domaine ou d'une arborescence Active Directory. Pour les mêmes raisons, il est souvent plus difficile d'accéder aux instances d'antivirus installées sur des serveurs MOVEit Transfer et de les maintenir via une console centralisée. Par conséquent, les programmes antivirus locaux sont généralement installés en mode indépendant ou autonome sur les serveurs MOVEit Transfer. Pour cette raison, ils nécessitent une configuration indépendante, une mise à jour des virus et une vérification des événements.