Guide de l'utilisateur FortiClient End Point Security...

www.fortinet.com

FortiClient End Point SecurityVersion 3.0 MR7

G U I D E D E L ’ U T I L I S A T E U R

Guide de l'utilisateur FortiClient End Point Security Version 3.0 MR722 octobre 200804-30007-0271-20081022

© Copyright 2008 Fortinet, Inc. Tous droits réservés.. Aucune partie de ce document, y compris les textes, exemples, figures et illustrations, ne peut être reproduite, transmise ou traduite sous n’importe quelle forme et par n'importe quel moyen, électronique, mécanique, manuel, optique ou autre, à toute fin que ce soit, sans l'accord préalable écrit de Fortinet, Inc.

Marques déposéesDynamic Threat Prevention System (DTPS), APSecure, FortiASIC, FortiBIOS, FortiBridge, FortiClient, FortiGate, FortiGate Unified Threat Management System, FortiGuard, FortiGuard Antispam, FortiGuard Antivirus, FortiGuard Intrusion Prevention, FortiGuard Web Filtering, FortiLog, FortiAnalyzer, FortiManager, Fortinet, FortiOS, FortiPartner, FortiProtect, FortiReporter, FortiResponse, FortiShield, FortiVoIP et FortiWiFi sont des marques de Fortinet, Inc. aux Etats-Unis et/ou dans d'autres pays. Les noms des sociétés et produits mentionnés peuvent être des marques de leurs propriétaires respectifs.

Table des matières

Table des matièresPrésentation ....................................................................................... 7

À propos de FortiClient End Point Security.................................................... 7

À propos de ce document................................................................................. 7

Icônes d’état de FortiClient............................................................................... 8

Utilisation des menus de la barre d’état système de FortiClient .................. 9

Documentation................................................................................................. 10CD de documentation et d'outils Fortinet .................................................... 10Base de connaissances Fortinet ................................................................. 10Commentaires sur la documentation technique de Fortinet........................ 10

Service clientèle et assistance technique..................................................... 11

Installation ........................................................................................ 13Configuration système requise ...................................................................... 13

Modèles FortiGate et versions FortiOS pris en charge ............................... 14

Langues prises en charge .............................................................................. 14

Installation de FortiClient................................................................................ 14Remarque à propos de l'installation sur des serveurs ................................ 15Remarque à propos de l’installation à partir d’un disque créé à l’aide de la commande subst ................................................................................ 15

Journal d'installation....................................................................................... 16

Paramètres généraux....................................................................... 17Saisie d’une clé de licence ............................................................................. 17

Mise en conformité avec la stratégie d’entreprise ....................................... 18

Verrouillage et déverrouillage du logiciel ..................................................... 18

Configuration des paramètres de serveur proxy.......................................... 19

VPN.................................................................................................... 21Configuration des VPN.................................................................................... 21

Configuration automatique d’un VPN.......................................................... 22Configuration manuelle d’un VPN ............................................................... 22

Guide de l'utilisateur FortiClient End Point Security Version 3.0 MR7 04-30007-0271-20081022 3

4

Table des matières

Utilisation du client VPN FortiClient .............................................................. 31Tester la connexion..................................................................................... 31Définition des options de connexion ........................................................... 32Connexion au réseau distant ...................................................................... 33Connexion à un VPN avant l’ouverture d’une session Windows ................ 33Contrôle des connexions VPN .................................................................... 34Exportation et importation des fichiers de stratégies VPN.......................... 35Dépannage des connexions VPN ............................................................... 36Gestion des certificats numériques............................................................. 36Obtention d’un certificat local signé ............................................................ 37Obtention d’un certificat de carte à puce signé........................................... 40Obtention d’un certificat d’autorité de certification ...................................... 41Validation des certificats ............................................................................. 42

Antivirus ........................................................................................... 43Recherche de virus ......................................................................................... 43

Configuration des paramètres antivirus ....................................................... 46Sélection des types de fichier à scanner ou à exclure................................ 48Sélection de fichiers et dossier à exclure du scan ...................................... 49Spécification d’un serveur SMTP pour l’envoi des fichiers infectés............ 49Intégration du scan antivirus FortiClient au shell Windows......................... 50

Configuration de la protection en temps réel ............................................... 50

Configuration du scan de courrier................................................................. 52

Gestion des fichiers en quarantaine.............................................................. 52

Contrôle des entrées de la liste de démarrage Windows............................ 54Restauration des entrées modifiées ou rejetées de la liste de démarrage.............................................................................................. 55

Pare-feu............................................................................................. 57Sélection d’un mode de pare-feu ................................................................... 57

Sélection d’un profil de pare-feu ................................................................. 58

Affichage des informations de trafic ............................................................. 58

Configuration des autorisations d’accès des applications......................... 59Gestion des groupes d’adresses, de protocoles et d’heures ...................... 61

Configuration des zones de sécurité de réseau........................................... 61Ajout d’adresses IP aux zones.................................................................... 62

Personnalisation des paramètres de sécurité .............................................. 62

Configuration de la détection des intrusions ............................................... 63

Configuration des règles de pare-feu avancées........................................... 64Gestion des groupes................................................................................... 65

Guide de l'utilisateur FortiClient End Point Security Version 3.0 MR704-30007-0271-20081022

Table des matières

Filtrage Web...................................................................................... 67Définition du mot de passe d’administration................................................ 67

Modification des paramètres de filtrage Web ............................................... 68Configuration des paramètres généraux de filtrage Web............................ 68Gestion des profils de filtrage Web......................................................... 70Configuration des paramètres de filtrage Web par utilisateur ............. 71

Anti-Spam ......................................................................................... 73Installation du plug-in anti-spam ................................................................... 74

Activation de la fonction Anti-Spam.............................................................. 74

Ajout de listes de mots autorisés, bloqués ou proscrits............................. 74

Marquage manuel des messages électroniques .......................................... 75

Envoi des messages électroniques mal évalués à Fortinet ........................ 76

AntiLeak............................................................................................ 77

Maintenance ..................................................................................... 79Mise à jour de FortiClient................................................................................ 79

Sauvegarde et restauration des paramètres FortiClient.............................. 80

Journaux........................................................................................... 81Configuration des paramètres de journal ..................................................... 81

Gestion des fichiers journaux ........................................................................ 83

Index.................................................................................................. 85


6

Table des matières


Présentation À propos de FortiClient End Point Security

PrésentationCe chapitre présente le logiciel FortiClient End Point Security et les rubriques suivantes :

• À propos de FortiClient End Point Security• À propos de ce document• Icônes d’état de FortiClient• Utilisation des menus de la barre d’état système de FortiClient• Documentation• Service clientèle et assistance technique

À propos de FortiClient End Point SecurityL’agent de sécurité unifié FortiClient End Point Security pour ordinateurs Windows regroupe en un seul package logiciel un pare-feu personnel, un VPN IPSec, un antivirus, un anti-spyware, un anti-spam et une fonction de filtrage de contenu.

L’application FortiClient vous permet de :

• créer des connexions entre les VPN et les réseaux distants,• rechercher des virus sur l’ordinateur,• configurer une protection en temps réel contre les virus et les modifications

non autorisées du registre Windows,• limiter l’accès à votre système et vos applications en configurant des

stratégies de pare-feu, • limiter l’accès Internet en fonction des règles spécifiées, • filtrer les messages électroniques entrants sur Microsoft Outlook® et Microsoft

Outlook® Express pour collecter automatiquement le spam,• utiliser la fonction de gestion à distance fournie par le système FortiManager.

À propos de ce documentCe document explique le mode d'installation et d'utilisation des fonctions de FortiClient End Point Security.

Ce document contient les chapitres suivants :

• Installation : explique comment installer l'application FortiClient sur votre ordinateur.

• Paramètres généraux : décrit comment entrer une clé de licence, verrouiller ou déverrouiller les paramètres d'application et configurer des paramètres de serveur proxy facultatifs.

• VPN : décrit comment configurer un VPN IPSec grâce à l'application FortiClient.


8

Icônes d’état de FortiClient Présentation

• Antivirus : décrit comment rechercher des virus dans les fichiers, configurer un scan en temps réel des fichiers lors de leur ouverture, configurer un scan antivirus du courrier entrant et sortant et comment empêcher des modifications non autorisées de la liste de démarrage ou du registre Windows.

• Pare-feu : décrit comment configurer le pare-feu FortiClient. Vous pouvez utiliser des paramètres prédéfinis ou personnalisés.

• Filtrage Web : décrit comment configurer l'application FortiClient pour contrôler les types de contenu de page Web accessibles sur votre ordinateur à l'aide du service Fortinet FortiGuard Web Filtering.

• Anti-Spam : décrit comment configurer le filtrage anti-spam pour le client de messagerie électronique Microsoft Outlook ou Outlook Express. L'application FortiClient utilise le service Fortinet FortiGuard AntiSpam pour détecter les messages électroniques contenant du spam. Vous pouvez également créer vos propres listes noire et blanche d'adresses électroniques.

• AntiLeak ´: décrit comment empêcher une fuite accidentelle d'informations confidentielles via les messages électroniques Microsoft Outlook.

• Maintenance : décrit comment exécuter des mises à jour manuelles ou programmées des définitions de virus et du moteur antivirus et comment sauvegarder et restaurer les paramètres de l'application FortiClient.

• Journaux : décrit comment configurer la journalisation des événements de sécurité et afficher les informations de journal.

Icônes d’état de FortiClientLa barre d’état dans la partie inférieure droite de la fenêtre de l’application FortiClient affiche les icônes d’état de FortiClient.

Le service VPN est en cours d’exécution et une connexion est ouverte.

Le service VPN est désactivé.

Le service de scan antivirus est en cours d’exécution.

Le service de scan antivirus est désactivé.

Le service de mise à jour est en cours d’exécution.

Le service de mise à jour est désactivé.

Le service de protection en temps réel est en cours d’exécution.

Le service de protection en temps réel est désactivé.

La protection de pare-feu est activée.

La protection de pare-feu est désactivée.


Présentation Utilisation des menus de la barre d’état système de FortiClient

Utilisation des menus de la barre d’état système de FortiClientDe nombreuses fonctions FortiClient fréquemment utilisées sont disponibles depuis les menus de la barre d’état système. Cliquez avec le bouton droit de la souris sur l’icône FortiClient pour accéder au menu.

Figure 1 : Menus de la barre d'état système de FortiClient

Ouvrir la console FortiClient

Ouvre la console de gestion pour pouvoir configurer les paramètres et utiliser les services.

FortiClient Aide Ouvre l’aide en ligne.

A propos de Affiche les informations de version et de copyright.

Make Compliant with Corporate Policy

Active les fonctions antivirus, anti-spam, de pare-feu ou de filtrage de contenu nécessaires pour se conformer à la stratégie de sécurité. Cet élément s’affiche lorsque l’ordinateur FortiClient est géré de manière centralisée, qu’une stratégie de sécurité est définie, mais que les paramètres FortiClient ne sont pas conformes à cette stratégie. Pour plus d’informations, consultez la section “Mise en conformité avec la stratégie d’entreprise” à la page 18.

Compliant with Corporate Policy

FortiClient est conforme à la stratégie de sécurité. Cet élément s’affiche lorsque l’ordinateur FortiClient est géré de manière centralisée, qu’une stratégie de sécurité est définie et que les paramètres FortiClient sont conformes à cette stratégie.

VPN Si vous avez déjà ajouté des tunnels VPN, vous pouvez activer ou désactiver les connexions VPN en sélectionnant ou désélectionnant les noms de connexion. Consultez la section “Connexion au réseau distant” à la page 33.

Désactiver Protection Antivirus temps réel

Pour plus d’informations, consultez la section “Configuration de la protection en temps réel” à la page 50.

Activer le contrôleur de la base de registres

Pour plus d’informations, consultez la section “Contrôle des entrées de la liste de démarrage Windows” à la page 54.

Pare-feu Vous pouvez sélectionner Deny All (Tout refuser), Normal (Normal) ou Pass All (Tout accepter). Consultez la section “Sélection d’un mode de pare-feu” à la page 57.

Désactiver filtrage Web Pour plus d’informations, consultez la section “Filtrage Web” à la page 67.

Désactiver AntiSpam Pour plus d’informations, consultez la section “Anti-Spam” à la page 73.

Mettre à jour maintenant Mise à jour des définitions antivirus et des règles anti-spam.


10

Documentation Présentation

DocumentationOutre ce Guide de l'utilisateur de FortiClient End Point Security, l'aide en ligne de FortiClient fournit des informations et des procédures d'utilisation et de configuration du logiciel FortiClient.

Si vous êtes chargé du déploiement de FortiClient End Point Security au sein d'une entreprise, consultez le Guide de l'administrateur de FortiClient End Point Security pour obtenir des informations sur l'installation personnalisée, la gestion centralisée à l'aide d'un système FortiManager, le filtrage Web par utilisateur sur l'ensemble du réseau, ainsi que la configuration de périphériques FortiGate pour les utilisateurs de VPN FortiClient.

Vous trouverez des informations sur les pare-feux antivirus de FortiGate dans l'aide en ligne de FortiGate et le Guide de l'administrateur de FortiGate.

CD de documentation et d'outils FortinetToute la documentation sur Fortinet est disponible sur le CD de documentation et d'outils Fortinet livré avec votre produit (vous ne recevez pas ce CD si vous avez téléchargé l'application FortiClient). La dernière mise à jour des documents contenus dans le CD date de la période d'expédition. Pour obtenir les versions mises à jour de la documentation Fortinet, visitez le site Web de documentation technique Fortinet à l'adresse suivante : http://docs.forticare.com.

Base de connaissances FortinetDes informations techniques supplémentaires sur Fortinet sont disponibles dans la base de connaissances Fortinet. La base de connaissances contient des articles de dépannage et de conseils, des FAQ, des remarques techniques, un glossaire et bien plus encore. Visitez la base de connaissances Fortinet à l'adresse suivante : http://kc.forticare.com.

Commentaires sur la documentation technique de FortinetEnvoyez vos informations relatives à toute erreur ou omission contenue dans ce document ou toute documentation technique de Fortinet à [email protected].

Montrer les fenêtres de Scan AV.

Affichage des fenêtres de scan antivirus ; masqué lors de scans programmés. Cet élément de menu est disponible uniquement lors d’un scan.

Arrêter FortiClient Arrête tous les services FortiClient et ferme la console FortiClient. Cette boîte de dialogue de confirmation n’affiche le bouton Oui qu’au bout de quatre secondes.


http://docs.forticare.com

http://kc.forticare.com

Présentation Service clientèle et assistance technique

Service clientèle et assistance techniqueL’assistance technique Fortinet offre des services destinés à garantir une installation rapide, une configuration facile et une exploitation fiable des systèmes Fortinet au sein du réseau.

Visitez le site Web d’assistance technique Fortinet à l’adresse suivante : http://support.fortinet.com pour en savoir plus sur les services d’assistance technique fournis par Fortinet.


http://support.fortinet.com

12

Service clientèle et assistance technique Présentation


Installation Configuration système requise

InstallationDeux types de packages d'installation sont disponibles pour le logiciel FortiClient :

• un fichier exécutable Windows ;• un fichier .zip (archive compressée) contenant un package d'installation

Microsoft (MSI).

Le fichier exécutable Windows permet d'installer aisément le logiciel sur un seul ordinateur. Pour plus d'informations, consultez la section “Installation de FortiClient” à la page 14.

Le package d'installation MSI peut être personnalisé en vue d'un déploiement plus large sur plusieurs ordinateurs. Pour plus d'informations, consultez le Guide de l'administrateur de FortiClient.

Si vous installez l'application FortiClient sur une plate-forme 64 bits, vous devez utiliser un programme d'installation 64 bits. Les fichiers du programme d'installation 64 bits sont reconnaissables à la mention “_x64” figurant dans leur nom.

Configuration système requisePour installer FortiClient 3.0, vous devez disposer de la configuration minimale suivante :

• un ordinateur compatible PC équipé d'un processeur Pentium ou équivalent ;• un système d’exploitation compatible et une RAM minimale de :

• Microsoft Windows 2000 : 128 Mo• Microsoft Windows XP 32 bits et 64 bits : 256 Mo• Microsoft Windows Server 2003 32 bits et 64 bits : 384 Mo• Microsoft Windows Vista : 512 Mo

• une application de messagerie électronique compatible pour la fonction Anti-Spam :• Microsoft Outlook 2000 ou ultérieure• Microsoft Outlook Express 2000 ou ultérieure

• une application de messagerie électronique compatible pour la fonction AntiLeak (Anti-fuite) :• Microsoft Outlook 2000 ou ultérieure

• 100 Mo d’espace disque ;• un protocole de communication TCP/IP Microsoft natif ;• un dialer PPP Microsoft natif pour les connexions commutées ;• une connexion Ethernet.

Remarque : le logiciel FortiClient installe une carte réseau virtuelle.


http://docs.forticare.com/fclnt.html

14

Modèles FortiGate et versions FortiOS pris en charge Installation

Modèles FortiGate et versions FortiOS pris en chargeLa fonction VPN de FortiClient est compatible avec tous les modèles FortiGate qui s'exécutent sur FortiOS version 2.36, 2.5, 2.8 et 3.0.

Langues prises en chargeLa documentation et l'interface utilisateur de FortiClient End Point Security sont localisées dans les langues suivantes :

• anglais ;• français ;• chinois simplifié ;• japonais ;• coréen ;• slovaque.

Le logiciel d'installation de FortiClient détecte la langue du système d'exploitation et installe la version linguistique correspondante de l'application. Si une langue autre que celles mentionnées ci-dessus est détectée, la version anglaise du logiciel est installée.

Installation de FortiClientAvant de procéder à l'installation, veillez à désinstaller tout autre logiciel de client VPN, tel que SSH Sentinel. Il est possible que FortiClient ne fonctionne pas correctement avec les autres clients VPN éventuellement installés sur le même ordinateur.

Si une version antérieure du logiciel FortiClient est installée sur votre ordinateur, la version exécutable Windows du programme d'installation mettra automatiquement à niveau votre installation vers la nouvelle version, en conservant votre configuration actuelle. FortiClient 3.0 peut réutiliser les données de configuration des versions 2.0, 1.6 ou 1.2 de FortiClient, mais pas celles de la version 1.0.

Vous pouvez également mettre à niveau votre installation FortiClient à l'aide de la version .zip du programme d'installation, qui contient un package d'installation MSI.

Pour installer le logiciel FortiClient - Programme d'installation exécutable Windows

1 Double-cliquez sur le fichier du programme d'installation de FortiClient.

2 Suivez les instructions qui s'affichent à l'écran, en sélectionnant Next (Suivant) pour parcourir les options d'installation.

Lorsque l'installation est terminée, l'assistant de configuration démarre, à moins que vous ne mettiez à niveau une installation existante.

Remarque : Si les versions 1.0 et 1.2 de FortiClient sont installées, il est recommandé de les désinstaller avant de procéder à l'installation de la version 3.0 afin d'éviter tout dysfonctionnement.


Installation Remarque à propos de l'installation sur des serveurs

Pour installer le logiciel FortiClient - Programme d'installation MSI1 Extrayez les fichiers dans un dossier à partir de l'archive .zip du programme

d'installation de FortiClient.

2 Effectuez l'une des procédures suivantes :• Dans le cas d'une nouvelle installation, double-cliquez sur le fichier

FortiClient.msi.• Dans le cas d'une mise à niveau, exécutez la commande suivante à l'invite de

commandes (tapez-la intégralement sur une seule ligne, en respectant la casse comme illustré) : msiexec /i <chemin_dossier_installation>\FortiClient.msiREINSTALL=ALL REINSTALLMODE=vomus

3 Suivez les instructions qui s'affichent à l'écran, en sélectionnant Next (Suivant) pour parcourir les options d'installation.

Lorsque l'installation est terminée, l'assistant de configuration démarre, à moins que vous ne mettiez à niveau une installation existante.

Pour configurer le logiciel FortiClient après son installation1 Dans l'assistant de configuration de FortiClient, sélectionnez Basic Setup

(Configuration de base) si vous installez le logiciel sur un ordinateur indépendant, ou Advanced Setup (Configuration avancée) si vous l'installez sur un ordinateur connecté à un réseau.

2 Dans le cas d'une configuration de base, configurez les paramètres de mises à jour. Pour plus d'informations, consultez la section “Maintenance” à la page 79.

3 Dans le cas d'une configuration avancée, procédez comme suit :• Ajoutez les adresses IP aux zones bloquées, sécurisées et publiques de

FortiClient. Pour plus d'informations, consultez la section “Configuration des zones de sécurité de réseau” à la page 61.

• Si votre ordinateur utilise un serveur proxy, entrez les informations correspondantes. Consultez la section “Configuration des paramètres de serveur proxy” à la page 19.

• Configurez les paramètres de mise à jour. Consultez la section “Maintenance” à la page 79.

Remarque à propos de l'installation sur des serveursSi vous installez FortiClient End Point Security sur un serveur, suivez les recommandations de l’antivirus en ce qui concerne les autres produits installés sur ce serveur. Vous devrez peut-être exclure de l’examen effectué par l’antivirus certains fichiers et répertoires tels que SQL Server, Exchange Server et d'autres logiciels avec backends de bases de données.

Remarque à propos de l’installation à partir d’un disque créé à l’aide de la commande subst

Il est impossible d’effectuer l’installation à partir d’un package MSI si le fichier MSI se trouve sur un disque créé à l’aide de la commande subst. Le cas échéant, vous pouvez :

• spécifier le chemin réel du fichier ;• placer le fichier MSI à un endroit où cela ne pose pas de problème ;• utiliser, si possible, le programme d'installation .exe.

FortiClient End Point Security Version 3.0 MR7 Guide de l'utilisateur04-30007-0271-20081022 15

16

Journal d'installation Installation

Journal d'installationPendant l'installation, FortiClient consigne automatiquement toutes les activités liées à l'installation dans un fichier journal. En cas de problème pendant l'installation, vous pouvez vous y référer afin de déterminer le moment et l'emplacement où s'est produit l'incident.

Le fichier journal d'installation, à savoir fcinstalllog.txt, se trouve dans le répertoire suivant :

• sous Windows 2000 : dans le répertoire c:\winnt\• sous Windows XP : dans le répertoire c:\windows\

Lorsque vous effectuez l'installation à l'aide du fichier MSI, le fichier journal n’est pas créé automatiquement. Pour créer le fichier journal dans ce cas, tapez la commande suivante :

msiexec /i FortiClient.msi /L*v c:\logfile.txt

Vous pouvez également installer les stratégies de journalisation appropriées pour le groupe Active Directory.


Paramètres généraux Saisie d’une clé de licence

Paramètres générauxLa page des paramètres généraux sert à diverses fins :

• afficher la version et le numéro de série du logiciel FortiClient,• afficher l’état du service VPN, • activer ou désactiver la protection antivirus en temps réel,• activer ou désactiver le contrôle de la liste de démarrage du système

Windows,• afficher la version actuelle des fichiers de définition de virus et l’heure du

dernier scan,• configurer l’ouverture automatique de la console FortiClient au démarrage,• entrer une clé de licence produit,• vérifier la conformité des paramètres avec la stratégie de sécurité de

l’entreprise et la restaurer au besoin,• verrouiller ou déverrouiller l’application FortiClient.

Saisie d’une clé de licenceL’application FortiClient utilise des clés de licence différentes en fonction de la version logicielle : évaluation ou complète.

La version d’évaluation fournit des fonctions de pare-feu et de VPN IPSec complètes. Des mises à jour de définitions de virus sont disponibles pendant 90 jours. Les services anti-spam et de filtrage Web sont disponibles pendant 90 jours. Il n’est pas possible de prolonger la période d’évaluation en réinstallant le logiciel.

Lorsque vous achetez une clé de licence et l’entrez dans le logiciel, des mises à jour de définitions de virus sont disponibles jusqu’à l’expiration de la licence. La page General > Status (Général > État) affiche le numéro de série et la date d’expiration de la licence.

Pour bénéficier des services anti-spam et de filtrage Web au-delà de la période d’évaluation, vous devez vous abonner au service FortiGuard. Pour plus d’informations, consultez la page http://www.fortinet.com/products/fortiguard.html.

Contactez votre commercial Fortinet local ou consultez la page https://shop.fortinet.com or encore http://www.fortinet.com/products/forticlient.html pour acheter ou renouveler une clé de licence.

Pour entrer une clé de licence1 Accédez à General > Status (Général > État).

2 Sélectionnez Enter License Key.

3 Entrez la clé de licence.

4 Sélectionnez OK.


http://www.fortinet.com/products/fortiguard.html

https://shop.fortinet.com

http://www.fortinet.com/products/forticlient.html

18

Mise en conformité avec la stratégie d’entreprise Paramètres généraux

Mise en conformité avec la stratégie d’entrepriseSi l’ordinateur FortiClient est géré de manière centralisée, une stratégie de sécurité peut être définie. Elle requiert l’activation des fonctions antivirus, anti-spam, de pare-feu et de filtrage Web. Si tel est le cas, la section de conformité avec la stratégie d’entreprise s’affiche sur la page General.

Si les paramètres de l’ordinateur FortiClient ne sont pas conformes à la stratégie de sécurité, il n’est pas possible d’exploiter un tunnel VPN.

La section Corporate Policy Compliance (Conformité avec la stratégie d’entreprise) indique que FortiClient est conforme à la stratégie d’entreprise ou affiche la case à cocher Make FortiClient compliant with corporate policy (Mettre FortiClient en conformité avec la stratégie d’entreprise). Cochez la case pour mettre les paramètres FortiClient en conformité avec la stratégie.

Verrouillage et déverrouillage du logicielVous pouvez modifier les paramètres du logiciel FortiClient uniquement si votre compte Windows dispose de privilèges administratifs. Vous pouvez empêcher d’autres utilisateurs disposant de privilèges administratifs de modifier les paramètres en verrouillant FortiClient avec un mot de passe. Si le logiciel FortiClient est géré à distance à l’aide du système FortiManager, l’administrateur FortiManager peut verrouiller vos paramètres de configuration. Si votre application FortiClient est verrouillée, la page des paramètres généraux affiche un bouton Unlock (Déverrouiller).

Pour verrouiller localement l’application FortiClient1 Sous l’onglet General (Général), sélectionnez Lock Settings (Verrouiller les

paramètres).

2 Entrez le mot de passe dans le champ Password (Mot de passe) et entrez-le de nouveau dans le champ de confirmation.

3 Sélectionnez OK.

Pour déverrouiller localement l’application FortiClient1 Demandez le mot de passe à l’administrateur.

2 Sous l’onglet General (Général), sélectionnez Unlock (Déverrouiller).

3 Entrez le mot de passe dans le champ Password (Mot de passe).

4 Vous pouvez également sélectionner Remove Password (Supprimer le mot de passe) pour déverrouiller l’application de manière permanente.

Cette option n’est pas disponible si FortiManager a verrouillé l’application FortiClient.

5 Sélectionnez OK.

6 Une fois les paramètres modifiés, sélectionnez Relock (Verrouiller à nouveau).

Remarque : même si le logiciel FortiClient est verrouillé, vous pouvez exécuter des scans antivirus, utiliser les tunnels VPN, modifier les certificats VPN et listes de révocation de certificats.


Paramètres généraux Configuration des paramètres de serveur proxy

Configuration des paramètres de serveur proxySi vous utilisez un serveur proxy pour votre réseau LAN, vous pouvez configurer les paramètres de serveur proxy de sorte que le logiciel FortiClient passe par le serveur proxy pour obtenir des mises à jour de signatures de virus, envoyer des fichiers infectés par des virus et obtenir des certificats en ligne à l’aide du protocole SCEP.

Le logiciel FortiClient prend en charge les protocoles de proxy HTTP, SOCKS v4 et SOCKS v5.

Pour configurer les paramètres de serveur proxy1 Accédez à General > Connection (Général > Connexion).

2 Sélectionnez Enable proxy for Updates (Activer les mises à jour via le proxy), Virus submission (Envoi de fichiers infectés) et Online SCEP (SCEP en ligne) si nécessaire.

3 Pour le type de proxy, sélectionnez HTPP, SOCK V4 ou SOCK V5.

4 Entrez l’adresse IP et le numéro de port du serveur proxy.

Vous pouvez demander ces informations à votre administrateur réseau.

5 Entrez le nom d’utilisateur et le mot de passe.

6 Sélectionnez Apply (Appliquer).


20

Configuration des paramètres de serveur proxy Paramètres généraux


VPN Configuration des VPN

VPNFortiClient End Point Security permet de créer un tunnel VPN entre votre ordinateur et une unité FortiGate ou une autre passerelle VPN. Grâce à ce guide, vous devez uniquement vous procurer quelques informations auprès de l’administrateur VPN afin de configurer les paramètres VPN de FortiClient.

Configuration des VPNSi la passerelle VPN est une unité FortiGate exécutant FortiOS 3.0, elle peut télécharger les paramètres sur l’application FortiClient. Vous devez uniquement connaître l’adresse IP ou le nom de domaine de la passerelle VPN. Consultez la section “Configuration automatique d’un VPN” à la page 22.

Si la passerelle VPN est une unité FortiGate exécutant FortiOS 2.80 ou inférieur ou s’il s’agit d’une passerelle tierce, vous devez configurer manuellement les paramètres VPN de FortiClient. Vous devez connaître :

• l’adresse IP ou le nom de domaine de la passerelle VPN ;• l’adresse IP et le masque réseau des réseaux auxquels vous souhaitez

accéder via la passerelle VPN ;• dans certains cas, une adresse IP virtuelle ;• les paramètres de stratégie IKE et IPsec, sauf si les paramètres par défaut

sont utilisés ;• le nom d’utilisateur et le mot de passe en cas d’utilisation de l’authentification

étendue.

Consultez la section “Configuration manuelle d’un VPN” à la page 22.

Si vous configurez un VPN pour qu’il utilise des certificats numériques locaux ou un certificat de carte à puce/eToken pour l’authentification, consultez la section “Gestion des certificats numériques” à la page 36 avant de commencer.

La configuration des connexions VPN de FortiClient ne requiert pas l’utilisation de certificats numériques. Les certificats numériques constituent une fonction avancée destinée à faciliter les tâches des administrateurs système. Ce guide suppose que l’utilisateur sait comment configurer des certificats numériques en vue de les implémenter.


22

Configuration automatique d’un VPN VPN

Configuration automatique d’un VPNSi la passerelle FortiGate distante est configurée comme serveur de déploiement de stratégie VPN, vous pouvez configurer le logiciel FortiClient pour qu’il télécharge les stratégies VPN depuis la passerelle FortiGate.

Le serveur de stratégies dispose d’un démon exécuté en tout temps pour répondre aux requêtes entrantes de téléchargement de stratégie. Ce démon communique avec l’ordinateur FortiClient pour authentifier utilisateur, ainsi que pour rechercher et fournir des stratégies. Une fois la stratégie envoyée, le démon ferme la connexion SSL et vous pouvez démarrer le tunnel VPN depuis l’ordinateur FortiClient.

Sur l’ordinateur FortiClient, vous devez uniquement créer un nom de VPN et indiquer l’adresse IP de la passerelle FortiGate.

Pour ajouter un VPN à l’aide de la configuration automatique sur l’ordinateur FortiClient

1 Accédez à VPN > Connections (VPN > Connexions).

2 Sélectionnez Advanced (Avancé) puis Add (Ajouter).

3 Dans la boîte de dialogue New Connection (Nouvelle connexion), entrez un nom de connexion.

4 Pour le type de configuration, sélectionnez Automatic (Automatique).

5 Dans la section Policy Server (Serveur de stratégies), entrez l’adresse IP ou le nom de domaine complet de la passerelle FortiGate.

6 Sélectionnez OK.

Configuration manuelle d’un VPNLa configuration VPN décrite dans cette section utilise les paramètres FortiClient par défaut et des clés pré-partagées pour l’authentification des VPN.

Pour pouvoir configurer une connexion VPN, les paramètres FortiClient doivent correspondre à ceux du serveur VPN, une unité FortiGate par exemple.

Pour utiliser des certificats numériques pour l’authentification VPN, consultez la section “Gestion des certificats numériques” à la page 36.

Configuration des paramètres VPN de base pour FortiClientAccédez à VPN > Connections (VPN > Connexions) pour ajouter, supprimer, modifier ou renommer une connexion VPN.

Pour ajouter un ordinateur FortiClient à un VPN FortiGate, procédez comme suit :

• Créez le tunnel VPN depuis l’ordinateur FortiClient jusqu’à la passerelle FortiGate distante.

• Si requis par l’administrateur, configurez le VPN de FortiClient pour qu’il utilise une adresse IP virtuelle, attribuée manuellement ou à l’aide du protocole DHCP via IPSec.

Remarque : pour les VPN à configuration automatique, seules les clés pré-partagées sont prises en charge. Les certificats ne sont pas pris en charge.


VPN Configuration manuelle d’un VPN

• Vous pouvez également ajouter les adresses IP des réseaux supplémentaires se trouvant derrière la passerelle distante.

• Configurez la navigation Internet via IPSec pour accéder à Internet via le tunnel VPN.

Figure 2 : Création d'une nouvelle connexion VPN

Pour créer une connexion VPN FortiClient1 Accédez à VPN > Connections (VPN > Connexions).

2 Sélectionnez Advanced (Avancé) puis Add (Ajouter).

3 Entrez les informations suivantes et sélectionnez OK.

Pour définir l’adresse IP virtuelleIf votre configuration requiert une adresse IP virtuelle, procédez comme suit :


2 Double-cliquez sur une connexion.

La boîte de dialogue Edit Connection (Modification de connexion) s’ouvre.

3 Sélectionnez Advanced (Avancé).

Nom de la connexion Entrez un nom descriptif pour la connexion.

Configuration Sélectionnez Manual (Manuelle).

Passerelle distante Entrez l’adresse IP ou le nom de domaine complet de la passerelle distante.

Réseau distant Entrez l’adresse IP et le masque réseau du réseau situé derrière l’unité FortiGate.

Méthode d’authentification Sélectionnez Pre-shared Key (Clé pré-partagée).

Clé partagée Entrez la clé pré-partagée.


24

Configuration manuelle d’un VPN VPN

4 Dans la boîte de dialogue Advanced Settings (Paramètres avancés), sélectionnez Acquire Virtual IP Address (Obtenir une adresse IP virtuelle) et sélectionnez Config.

5 Dans la boîte de dialogue Virtual IP Acquisition (Acquisition d’adresse IP virtuelle), sélectionnez DHCP over IPSec (DHCP via IPSec) ou définissez manuellement une adresse IP, si nécessaire. Pour plus d’informations, consultez la section “Configuration de l’acquisition d’adresses IP virtuelles” à la page 28.

6 Sélectionnez OK.

7 Sélectionnez OK.

Pour ajouter des réseaux distants supplémentaires à une connexion1 Accédez à VPN > Connections (VPN > Connexions).

2 Double-cliquez sur la connexion pouvant accéder au réseau à ajouter.



La boîte de dialogue Advanced Settings (Paramètres avancés) s’ouvre.

4 Dans la section Remote Network (Réseau distant), sélectionnez Add (Ajouter).

5 Dans la boîte de dialogue Network Editor (Modifications de réseaux), entrez l’adresse IP et le masque de sous-réseau du réseau distant puis sélectionnez OK.

6 Renouvelez les étapes 4 et 5 pour chaque réseau supplémentaire que vous souhaitez ajouter.

Vous pouvez spécifier jusqu’à 16 réseaux distants.

7 Sélectionnez OK.

8 Sélectionnez OK.

Pour utiliser la navigation Internet via IPSec1 Accédez à VPN > Connections (VPN > Connexions).




4 Dans la boîte de dialogue Advanced Settings (Paramètres avancés), sélectionnez Add (Ajouter).

5 Entrez 0.0.0.0./0.0.0.0 et sélectionnez OK.

6 Sélectionnez OK.

7 Sélectionnez OK.

Pour transférer les paramètres de configuration VPN vers votre dispositif mobile Windows

1 Connectez votre dispositif mobile à l’ordinateur à l’aide du câble USB.

2 Démarrez Microsoft ActiveSync et vérifiez que le programme détecte votre dispositif.

Remarque : pour que l’ordinateur FortiClient puisse utiliser la navigation Internet via IPSec, la passerelle FortiGate distante doit également être configurée de manière à autoriser ce trafic.




4 Sélectionnez Advanced (Avancé) puis Sync to Mobile Device (Synchroniser avec le dispositif mobile).

Les définitions de tunnel sont transférées sur votre dispositif mobile.

Configuration des stratégies IKE et IPSecFortiClient dispose de deux stratégies IKE et IPSec préconfigurées :

• Utilisez la stratégie héritée pour la connexion d’un VPN à une unité FortiGate exécutant FortiOS v2.36 et pour toute passerelle Cisco prenant uniquement en charge les paramètres hérités.

• Utilisez la stratégie par défaut pour la connexion d’un VPN à une unité FortiGate exécutant FortiOS v2.50 ou supérieur.

Pour modifier les paramètres de stratégie hérités ou par défaut1 Accédez à VPN > Connections (VPN > Connexions).





4 Sous Policy (Stratégie), sélectionnez Legacy (Héritée) ou Default (Par défaut).

Les paramètres de stratégie s’affichent dans les boîtes IKE et IPSec. Vous pouvez utiliser les stratégies héritées ou les stratégies par défaut. Pour configurer les paramètres détaillés, suivez les étapes ci-dessous.

5 Sous Policy (Stratégie), sélectionnez Config.

6 Dans la boîte de dialogue Connection Detailed Settings (Paramètres détaillés de connexion), configurez les paramètres du tableau suivant. Sélectionnez OK pour enregistrer les paramètres. Vous pouvez également sélectionner Legacy (Héritée) ou Default (Par défaut) pour restaurer les paramètres hérités ou par défaut d’origine.


26


Figure 3 : Modification des paramètres de configuration détaillés

Tableau 1 : Les paramètres IKE de FortiClient correspondent aux paramètres de première étape de FortiGate

Propositions IKE Ajoutez ou supprimez des algorithmes de chiffrement et d’authentification.La liste de propositions sert lors de la négociation IKE entre le logiciel FortiClient et l’unité FortiGate distante. Le logiciel FortiClient propose les combinaisons d’algorithme dans l’ordre en commençant par le début de la liste.La passerelle FortiGate distante doit utiliser les mêmes propositions.

Mode Sélectionnez Main (Principal) ou Aggressive (Agressif).Le mode principal fournit une fonction de sécurité supplémentaire appelée “protection de l’identité” qui masque les identités des homologues VPN pour qu’elles ne soient pas détectées par des logiciels d’écoute passive. Par rapport au mode agressif, le mode principal requiert l’échange d’un plus grand nombre de messages. Il est également difficile de l’utiliser efficacement lorsqu’un homologue VPN se sert de son identité dans le cadre de processus d’authentification. Lors de l’utilisation du mode agressif, les homologues VPN échangent ouvertement les informations d’identification.



Groupe DH Sélectionnez un ou plusieurs groupes Diffie-Hellman parmi les groupes DH 1, 2 et 5.• Lorsque les homologues VPN disposent d’adresses IP

statiques et utilisent le mode agressif, sélectionnez un seul groupe DH correspondant.

• Lorsque les homologues VPN utilisent le mode agressif dans une configuration de numérotation, sélectionnez jusqu’à trois groupes DH pour le serveur de numérotation et un seul groupe DH pour l’utilisateur de numérotation (client ou passerelle).

• Lorsque les homologues VPN utilisent le mode principal, vous pouvez sélectionner plusieurs groupes DH.

Durée de vie de la clé

Entrez le nombre en secondes.La validité de la clé correspond au temps restant en secondes avant l’expiration de la clé de chiffrement IKE. Lorsque la clé expire, une nouvelle clé est générée sans interrompre le service. La validité de la clé de la proposition P1 peut être de 120 à 172 800 secondes.

Identifiant local Si vous utilisez des ID homologue pour l’authentification, entrez l’ID homologue que FortiClient utilisera pour s’authentifier sur la passerelle FortiGate distante. Si vous utilisez des certificats pour l’authentification, entrez l’ID local qui correspond au nom unique du certificat local. Le nombre d’homologues FortiClient pouvant utiliser le même ID local n’est pas limité.

Tableau 2 : Les paramètres IPSec de FortiClient correspondent aux paramètres de deuxième étape de FortiGate

Propositions IPSec Ajoutez ou supprimez des algorithmes de chiffrement et d’authentification.La passerelle FortiGate distante doit utiliser les mêmes propositions.

Groupe DH Sélectionnez un groupe Diffie-Hellman parmi les groupes DH 1, 2 et 5. Le groupe DH 1 est moins sécurisé. Le groupe DH 5 est le plus sécurisé. Il est impossible de sélectionner plusieurs groupes DH. La passerelle FortiGate distante doit utiliser les mêmes paramètres de groupe DH.

Durée de vie de la clé

Sélectionnez Seconds (Secondes) ou KBytes (Koctets) pour la validité de clé, ou les deux options.Le paramètre de validité de clé entraîne l’expiration de la clé IPSec après une période de temps spécifiée, après le traitement d’un nombre spécifié de kilo-octets de données, ou après ces deux options. Si vous sélectionnez les deux options, la clé arrivera à expiration uniquement une fois que le temps sera écoulé et que le nombre de kilo-octets de données aura été traité.Lorsque la clé expire, une nouvelle clé est générée sans interrompre le service. La validité de la clé de la proposition P2 peut être de 120 à 172 800 secondes ou de 5 120 à 2 147 483 648 kilo-octets.

Tableau 1 : Les paramètres IKE de FortiClient correspondent aux paramètres de première étape de FortiGate (Continued)


28


Configuration de l’acquisition d’adresses IP virtuellesLe logiciel FortiClient prend en charge deux méthodes d’acquisition d’adresses IP virtuelles : le DHCP (dynamic host configuration protocol ou configuration dynamique des hôtes) via IPSec et la saisie manuelle.

Sélectionnez l’option DHCP over IPSec (DHCP via IPSec) pour autoriser le serveur DHCP du réseau distant à attribuer une adresse IP à l’ordinateur FortiClient de manière dynamique une fois la connexion VPN établie.

Sélectionnez l’option Manually Set (Définition manuelle) pour spécifier manuellement une adresse IP virtuelle pour l’ordinateur FortiClient. Cette adresse IP virtuelle doit correspondre à une adresse réelle du réseau distant. Vous pouvez également spécifier les adresses IP des serveurs DNS et WINS du réseau distant.

Pour obtenir des informations sur la configuration de la passerelle FortiGate, consultez les sections Guide de l’administrateur de FortiGate et Guide des VPN IPSec de FortiGate.

Tableau 3 : Paramètres VPN avancés de FortiClient

Rejouer la détection

L’option Replay detection (Détection de rejeu) permet au logiciel FortiClient de vérifier si le numéro de séquence de chaque paquet IPSec a été reçu. Si des paquets identiques dépassent un ordre de séquence spécifié, le logiciel FortiClient les élimine.

Fonction PFS Le protocole FPS (Perfect forward secrecy ou confidentialité de protection parfaite) améliore la sécurité obligeant un nouvel échange Diffie-Hellman à chaque fois qu’une clé arrive à expiration.

Traduction d’adresses/ports sur le parcours

Activez cette option si vous souhaitez que le trafic VPN IPSec passe par une passerelle exécutant le protocole NAT. Si aucun dispositif NAT n’est détecté, l’activation de l’option NAT traversal n’a aucun effet.Si vous activez l’option NAT traversal, vous pouvez définir la fréquence de conservation de connexion active. Le protocole NAT traversal est activé par défaut.

Fréquence du Keepalive

Si l’option NAT Traversal est sélectionnée, entrez la fréquence de conservation de connexion active en secondes.La séquence de conservation de connexion active spécifie la fréquence à laquelle les paquets UDP vides sont envoyés via le dispositif NAT afin de garantir que le mappage NAT ne soit pas modifié avant l’expiration des clés IKE et IPSec. La fréquence de conservation de connexion active peut être de 0 à 900 secondes.

Clé automatique persistante

Activez cette option pour maintenir ouverte la connexion VPN même si aucune donnée n’est transférée.

Détection de perte d’un tiers

Activez cette option pour effacer les connexions VPN indisponibles et en établir de nouvelles.

Remarque : si l’ordinateur est connecté à une passerelle FortiGate v2.50, vous ne pouvez pas définir l’adresse IP virtuelle dans le même sous-réseau de réseau distant car la passerelle FortiGate v2.50 ne prend pas en charge le proxy ARP. Si l’ordinateur est connecté à une passerelle FortiGate v2.80 ou supérieur, consultez votre administrateur réseau pour obtenir une adresse IP virtuelle correcte.



Figure 4 : Configuration de l'acquisition d'adresses IP virtuelles

Configuration de l’acquisition d’adresses IP virtuelles1 Accédez à VPN > Connections (VPN > Connexions).





4 Sélectionnez Acquire virtual IP address (Obtenir une adresse IP virtuelle) et sélectionnez le bouton Config correspondant.

5 Sélectionnez Dynamic Host Configuration Protocol (DHCP) over IPSec (DHCP via IPSec) ou Manually Set (Définition manuelle).

L’option par défaut est DHCP.

6 Si vous sélectionnez Manually Set (Définition manuelle), entrez l’adresse IP et le masque de sous-réseau. Vous pouvez également spécifier les adresses IP des serveurs DNS et WINS.

7 Sélectionnez OK.

8 Sélectionnez OK.

9 Sélectionnez OK.


30


Configuration de l’authentification étendueSi l’unité FortiGate distante est configurée comme un serveur d’authentification étendue, un nom d’utilisateur et un mot de passe seront requis sur l’ordinateur FortiClient lors d’une tentative de connexion VPN. Le nom d’utilisateur et le mot de passe sont définis par le serveur d’authentification étendue. Ils peuvent être sauvegardés dans le cadre d’une configuration VPN avancée ou saisis manuellement à chaque tentative de connexion.

Pour obtenir des informations sur la configuration du serveur d’authentification avancée, consultez les sections Guide de l’administrateur de FortiGate et Guide des VPN IPSec de FortiGate.

Figure 5 : Configuration de l'authentification étendue

Pour configurer l’authentification avancée1 Accédez à VPN > Connections (VPN > Connexions).




4 Dans la boîte de dialogue Advanced Settings (Paramètres avancés), sélectionnez Config for eXtended Authentication (Configuration pour authentification étendue).

5 Dans la boîte de dialogue Authentification étendue, suivez l’une des étapes suivantes :• Si vous souhaitez entrer le nom d’utilisateur et le mot de passe pour chaque

connexion VPN, sélectionnez Inviter d’authentification. Vous pouvez choisir si FortiClient autorise trois, deux ou seulement une tentative de connexion avec le nom d’utilisateur et le mot de passe appropriés.Lorsque FortiClient vous invite à vous connecter, vous pouvez sélectionner l’option de sauvegarde du mot de passe pour éviter de devoir le saisir à la prochaine invitation de connexion.

• Si vous souhaitez que FortiClient envoie automatiquement les informations d’authentification étendue, désactivez l’option Inviter d’authentification.

6 Sélectionnez OK.

7 Sélectionnez OK.

8 Sélectionnez OK.


VPN Utilisation du client VPN FortiClient

Utilisation du client VPN FortiClientUne fois les connexions VPN configurées, vous pouvez utiliser FortiClient pour établir des connexions sécurisées.

Tester la connexionAprès avoir configuré un VPN, vous pouvez tester la connexion VPN depuis l’ordinateur FortiClient. Cette option est facultative mais elle fournit plus d’informations que la fonction Connect (Connecter) en cas d’échec de la connexion.

Pour tester la connexion1 Accédez à VPN > Connections (VPN > Connexions).

2 Sélectionnez la connexion à tester.

3 Sélectionnez Advanced (Avancé) puis Test (Tester).

Une fenêtre de journal s’ouvre et commence à négocier la connexion VPN avec l’unité FortiGate distante.

Si le test réussit, la dernière ligne du journal affiche “IKE daemon stopped”.

Si la dernière ligne du journal affiche “Next_time = x sec” où x est un entier, le test a échoué. Le logiciel FortiClient tente toujours de négocier la connexion. Consultez la section “Dépannage des connexions VPN” à la page 36.

4 Sélectionnez Close (Fermer).

Figure 6 : Test de connexion réussi

Remarque : pour un VPN avec configuration automatique, le logiciel FortiClient télécharge d’abord la stratégie VPN. Pour tester la connexion VPN, le logiciel FortiClient tente de négocier la connexion VPN, mais n’ouvre pas de connexion VPN.


32

Définition des options de connexion VPN

Figure 7 : Échec d'un test de connexion

Définition des options de connexionLes options suivantes s’appliquent aux connexions VPN. Vous pouvez les trouver sur la page VPN > Connections (VPN > Connexions). Sélectionnez Apply (Appliquer) après toute modification.

Start VPN before logging on to Windows

Sélectionnez cette option si vous devez vous connecter à un domaine Windows via un VPN au démarrage du poste de travail Windows. Consultez la section “Connexion à un VPN avant l’ouverture d’une session Windows” à la page 33.

Keep IPSec service running forever unless manually stopped

Choisissez de rétablir indéfiniment les connexions rejetées. Par défaut, le logiciel FortiClient tente de rétablir quatre fois une connexion rejetée.

Beep when connection error occurs

Choisissez si le logiciel FortiClient doit émettre une alarme en cas d’échec d’une connexion VPN.Par défaut, l’alarme s’arrête après 60 secondes même si la connexion n’a pas été rétablie. Vous pouvez modifier la durée ou sélectionner Continuously (Continuellement) pour que l’alarme ne s’arrête qu’une fois la connexion rétablie.


VPN Connexion au réseau distant

Connexion au réseau distantAprès avoir configuré une connexion VPN, vous pouvez démarrer ou interrompre la connexion au besoin.

Pour se connecter à une passerelle FortiGate distante1 Accédez à VPN > Connections (VPN > Connexions).

2 Sélectionnez la connexion à lancer.

3 Sélectionnez Connect (Connecter).

Le logiciel FortiClient ouvre une fenêtre de journal et commence à négocier une connexion VPN avec le pare-feu FortiGate distant. Si la négociation réussit et la connexion est établie, la dernière ligne du journal affiche “Negotiation Succeeded!” (Négociation réussie).

4 Sélectionnez OK ou attendez que la fenêtre se ferme automatiquement.

Si la dernière ligne du journal affiche “Negotiation failed! Please check log” (Échec de la négociation. Vérifiez le journal) et si la fenêtre de journal ne se ferme pas automatiquement, la tentative de connexion a échoué. Testez la connexion pour vérifier la configuration.

5 Pour interrompre la connexion, sélectionnez Disconnect (Déconnecter).

Connexion à un VPN avant l’ouverture d’une session WindowsVous pouvez vous connecter à un VPN avant d’ouvrir une session Windows si vous avez sélectionné l’option “Start VPN before logging on to Windows” (Démarrer le VPN avant d’ouvrir une session Windows) (consultez la section “Définition des options de connexion” à la page 32). L’icône d’un VPN FortiClient s’affiche sur l’écran de connexion Windows.

Figure 8 : Icône VPN icon sur l'écran de connexion Windows

Vous devez vous connecter au VPN avant d’ouvrir une session Windows uniquement si le VPN est connecté à votre domaine Windows. Dans ce cas, vous ne devez pas vous déconnecter du VPN avant de fermer la session de domaine Windows.

Remarque : si l’ordinateur FortiClient est géré de manière centralisée et n’est pas conforme à la stratégie de sécurité d’entreprise, le VPN ne fonctionne pas. Sélectionnez Make Compliant with Corporate Policy (Mettre en conformité avec la stratégie d’entreprise) dans le menu de la barre d’état système afin d’effectuer les modifications requises des paramètres FortiClient. Pour plus d’informations, consultez la section “Mise en conformité avec la stratégie d’entreprise” à la page 18.

Aucune connexionVPN

Connexion VPNactive


34

Contrôle des connexions VPN VPN

Pour se connecter à un VPN depuis l’écran de connexion Windows1 Sélectionnez l’icône VPN.

2 Sélectionnez la connexion VPN requise dans la liste de connexions.

3 Sélectionnez Connect (Connecter).

Le logiciel FortiClient ouvre une fenêtre de journal et commence à négocier une connexion VPN avec le pare-feu FortiGate distant. Si la négociation réussit et la connexion est établie, la dernière ligne du journal affiche “Negotiation Succeeded!” (Négociation réussie).

4 Sélectionnez OK ou attendez que la fenêtre IKE Negotiation (Négociation IKE) se ferme automatiquement.

5 Connectez-vous au domaine Windows.

6 Après vous être déconnecté du domaine Windows, sélectionnez l’icône VPN pour vous déconnecter du VPN.

Contrôle des connexions VPNAccédez à VPN > Monitor (VPN > Contrôle) pour afficher la connexion VPN actuelle et les informations de trafic.

Figure 9 : Contrôle VPN

Pour la connexion actuelle, vous pouvez afficher les informations suivantes.

Nom Nom de la connexion VPN actuelle.

Passerelle locale Adresse IP de la passerelle locale (ordinateur FortiClient).

Distant Adresse IP de la passerelle distante (unité FortiGate).

Délai d’attente (sec) Temps de connexion VPN restant.


VPN Exportation et importation des fichiers de stratégies VPN

Pour le trafic VPN entrant, vous pouvez afficher les informations suivantes.

Pour le trafic VPN sortant, vous pouvez afficher les informations suivantes.

Traffic summaryLe résumé du trafic affiche un graphique du trafic VPN entrant et sortant. La colonne de gauche affiche le trafic entrant et la colonne de droite, le trafic sortant. Le nombre total d’octets entrants et sortants transférés est également affiché.

Exportation et importation des fichiers de stratégies VPNVous pouvez exporter un fichier de stratégies VPN vers votre ordinateur local ou de réseau comme sauvegarde des paramètres de configuration VPN. Au besoin, vous pouvez réimporter ce fichier sur votre ordinateur FortiClient local ou sur d’autres ordinateurs FortiClient.

Pour exporter un fichier de stratégies VPN1 Accédez à VPN > Connections (VPN > Connexions).

2 Sélectionnez la connexion pour laquelle vous souhaitez exporter le fichier de stratégies VPN.

3 Sélectionnez Advanced (Avancé) puis Export (Exporter).

4 Sélectionnez un dossier de fichiers et entrez un nom de fichier.

5 Sélectionnez Save (Enregistrer).

Pour importer un fichier de stratégies VPN1 Accédez à VPN > Connections (VPN > Connexions).

2 Sélectionnez Advanced (Avancé) puis Import (Importer).

3 Recherchez le fichier et sélectionnez Open (Ouvrir).

Paquets Nombre de paquets reçus.

Bytes Nombre d’octets reçus.

Chiffrement Algorithme et clé de chiffrement.

Auth. Algorithme et clé d’authentification.

Packets Nombre de paquets envoyés.

Bytes Nombre d’octets envoyés.

Chiffrement Algorithme et clé de chiffrement.

Auth. Algorithme et clé d’authentification.

Remarque : lorsque le trafic est transféré via une connexion VPN ouverte, l’icône de la barre d’état système de FortiClient représente un graphique de résumé de trafic. La colonne rouge indique le trafic entrant. La colonne verte indique le trafic sortant.

Remarque : si le fichier importé porte le même nom que celui d’une connexion existante, il le remplace.


36

Dépannage des connexions VPN VPN

Dépannage des connexions VPNLa plupart des pannes de connexion sont dues à une incompatibilité de configuration ente l’unité FortiGate distante et le logiciel FortiClient.

Voici quelques conseils pour réparer une panne de connexion VPN :

• Effectuez un test ping du pare-feu FortiGate distant depuis l’ordinateur FortiClient pour vérifier qu’une connexion existe entre les deux.

• Vérifiez la configuration du logiciel FortiClient.Le Tableau 4 répertorie des erreurs de configuration courantes du logiciel FortiClient.

• Vérifiez la configuration du pare-feu FortiGate. Le Tableau 5 répertorie des erreurs de configuration courantes du pare-feu antivirus FortiGate.

Gestion des certificats numériquesPour utiliser des certificats numériques locaux ou de carte à puce, les éléments suivants sont nécessaires :

• un certificat signé ;• les certificats d’autorité de certification pour toutes les autorités de certification

utilisées ;• toute liste de révocation de certificats applicable ou l’URL pour valider le

protocole OCSP.

Tableau 4 : Erreurs de configuration courantes du logiciel FortiClient

Erreur de configuration CorrectionInformations de réseau distant non valides.

Vérifiez les adresses IP de la passerelle et du réseau distants.

Clé pré-partagée non valide. Entrez de nouveau la clé pré-partagée.

ID homologue de mode agressif non valide.

Entrez l’ID homologue approprié.

Combinaison de propositions IKE ou IPSec incompatible dans la liste de propositions.

Vérifiez que le logiciel FortiClient et la passerelle FortiGate distante utilisent les mêmes propositions.

Groupe Diffie-Hellman IKE ou IPSec non valide ou incompatible.

Assurez-vous de sélectionner le groupe DH approprié des deux côtés.

Aucun protocole PFS lorsque requis. Activez le protocole PFS.

Tableau 5 : Erreurs de configuration courantes du pare-feu antivirus FortiGate

Erreur de configuration CorrectionSens non valide de la stratégie de chiffrement. Par exemple, “externe vers interne”au lieu d’“interne vers externe”.

Remplacez le sens de la stratégie par “interne vers externe”.

Adresses source et de destination de stratégie de pare-feu non valides.

Entrez à nouveau les adresses source et de destination.

Classement non valide de la stratégie de chiffrement dans le tableau de stratégies de pare-feu.

La stratégie de chiffrement doit être placée au-dessus de stratégies autres.


VPN Obtention d’un certificat local signé

Obtention d’un certificat local signéPour obtenir un certificat local signé par le serveur de l’autorité de certification et l’importer dans FortiClient, suivez les étapes ci-dessous :

Le logiciel FortiClient peut utiliser une méthode d’inscription manuelle basée sur fichiers ou le protocole SCEP pour obtenir des certificats. L’utilisation du protocole SCEP est plus simple, mais ne peut avoir lieu que si l’autorité de certification prend en charge le protocole SCEP.

Pour une inscription basée sur fichiers, il est nécessaire de copier et coller des fichiers texte de l’ordinateur local vers l’autorité de certification et de l’autorité de certification vers l’ordinateur local. Le protocole SCEP permet d’automatiser ce processus, mais il est quand même nécessaire de copier et coller manuellement les listes de révocation de certificats entre l’autorité de certification et l’ordinateur local.

Étapes générales pour obtenir un certificat local signé1 Générez la requête de certificat local. Consultez la section “Pour générer une

requête de certificat local” à la page 38.

2 Exportez la requête de certificat local vers un fichier .csr. Consultez la section “Pour exporter la requête de certificat local” à la page 39.

3 Envoyez la requête de certificat local signé à une autorité de certification. Consultez la section “Pour envoyer la requête de certificat à une autorité de certification” à la page 39.

4 Récupérez le certificat signé auprès d’une autorité de certification. Consultez la section “Pour récupérer le certificat local signé auprès de l’autorité de certification” à la page 40.

5 Importez le certificat local signé dans FortiClient. Vous pouvez également sauvegarder le certificat en l’exportant. Consultez les sections “Pour importer le certificat local signé” à la page 40 et “Pour exporter le certificat local signé” à la page 40.

Remarque : les certificats numériques doivent être conformes au standard X.509.


38

Obtention d’un certificat local signé VPN

Figure 10 : Génération d'une requête de certificat local

Pour générer une requête de certificat local1 Accédez à VPN > My Certificates (VPN > Mes certificats).

2 Sélectionnez Generate (Générer).

3 Entrez un nom de certificat.

4 Dans les informations d’objet, sélectionnez le type d’ID de l’objet.

Vous pouvez choisir entre un nom de domaine, une adresse électronique ou une adresse IP.

5 Entrez les informations du type d’ID sélectionné.

6 Vous pouvez au choix sélectionner Advanced (Avancé) et entrer les informations de paramètres avancés.

7 Sélectionnez OK. Le logiciel FortiClient génère des clés de 1024 bits.

Domain name Si vous avez sélectionnez Domain name (Nom de domaine), entrez le nom de domaine complet de l’ordinateur FortiClient en cours de certification.

Email address Si vous avez sélectionné Email address (Adresse électronique), entrez l’adresse électronique de l’ordinateur FortiClient en cours de certification.

IP address Si vous avez sélectionné IP address (Adresse IP), entrez l’adresse IP de l’ordinateur FortiClient en cours de certification.

Email Entrez une adresse électronique de contact pour l’utilisateur de l’ordinateur FortiClient.

Department Entrez un nom identifiant le département ou l’unité de l’entreprise requérant le certificat pour l’ordinateur FortiClient (p. ex. Fabrication).

Company Entrez le nom légal de l’entreprise requérant le certificat pour l’ordinateur FortiClient.

City Entrez le nom de la ville dans laquelle se trouve l’ordinateur FortiClient.

State/Province Entrez le nom de l’état ou de la région dans lesquels se trouve l’ordinateur FortiClient.

Country Entrez le nom du pays dans lequel se trouve l’ordinateur FortiClient.


VPN Obtention d’un certificat local signé

8 Sélectionnez File Based (Basé sur fichiers) ou Online SCEP (SCEP en ligne) comme méthode d’inscription.

9 Si vous avez sélectionné l’inscription basée sur fichiers, cliquez sur OK.

La paire de clés privée/publique est générée et la requête de certificat, ainsi que le type de requête apparaissent dans la liste My Certificates (Mes certificats). Poursuivez avec la section “Pour exporter la requête de certificat local”.

10 Si vous avez sélectionné Online SCEP (SCEP en ligne) comme méthode d’inscription, sélectionnez une autorité de certification émettrice dans la liste fournie ou entrez l’URL du serveur de l’autorité de certification.

Si l’ordinateur FortiClient utilise un serveur proxy, vous devez configurer les paramètres de serveur proxy pour pouvoir utiliser le protocole SCEP en ligne. Consultez la section “Configuration des paramètres de serveur proxy” à la page 19.

11 Dans le champ Challenge Phrase (Phrase secrète), entrez la phrase secrète si l’autorité de certification la requiert.

12 Sélectionnez OK.

Le logiciel FortiClient :• envoie la requête de certificat local ;• récupère et importe le certificat local signé ;• récupère et importe le certificat d’autorité de certification.

Le certificat local signé, ainsi que le type de certificat apparaissent dans la liste de certificats locaux. Le certificat d’autorité de certification apparaît dans la liste des certificats d’autorité de certification. Les dates d’expiration des certificats sont répertoriées dans la colonne Valid To (Validité) de chaque liste.

Poursuivez avec la section “Validation des certificats” à la page 42.

Pour exporter la requête de certificat local1 Accédez à VPN > My Certificates (VPN > Mes certificats).

2 Dans la liste de certificats, sélectionnez le certificat local à exporter.

3 Sélectionnez Export (Exporter).

4 Nommez le fichier et enregistrez-le dans un répertoire de l’ordinateur FortiClient.

Après avoir exporté la requête de certificat, vous pouvez l’envoyer à l’autorité de certification pour qu’elle signe le certificat.

Pour envoyer la requête de certificat à une autorité de certification1 Sur l’ordinateur FortiClient, ouvrez la requête de certificat local à l’aide d’un

éditeur de texte.

2 Connectez-vous au serveur Web de l’autorité de certification.

3 Suivez les instructions du serveur Web de l’autorité de certification pour :• effectuer une requête supplémentaire de certificat PKCS#10 encodée base64

au serveur Web de l’autorité de certification ;• coller la requête de certificat faite au serveur Web de l’autorité de certification ;• envoyer la requête de certificat au serveur Web de l’autorité de certification.


40

Obtention d’un certificat de carte à puce signé VPN

Pour récupérer le certificat local signé auprès de l’autorité de certificationAprès avoir été informé par l’autorité de certification que la requête de certificat a été signée, connectez-vous au serveur Web de l’autorité de certification et téléchargez le certificat local signé sur l’ordinateur FortiClient.

Pour importer le certificat local signé1 Accédez à VPN > My Certificates (VPN > Mes certificats).

2 Sélectionnez Import (Importer).

3 Entrez le chemin ou recherchez l’emplacement du certificat local signé sur l’ordinateur FortiClient.

4 Sélectionnez OK.

Le certificat local signé, ainsi que le type de certificat apparaissent dans la liste de certificats locaux. La date d’expiration du certificat s’affiche dans la colonne Valid To (Validité).

Pour exporter le certificat local signé1 Accédez à VPN > My Certificates (VPN > Mes certificats).

2 Sélectionnez le certificat puis Export (Exporter).

3 Dans la boîte de dialogue Save As (Enregistrer sous), sélectionnez le dossier dans lequel enregistrer le fichier.

4 Entrez un nom de fichier.

5 Sélectionnez PKCS7 ou PKCS12. Si vous sélectionnez PKCS12, vous devez entrer un mot de passe d’au moins huit caractères.

6 Sélectionnez Save (Enregistrer).

Obtention d’un certificat de carte à puce signéSi vous utilisez un certificat de jeton USB (carte à puce) pour l’authentification, le certificat doit également être signé par le serveur de l’autorité de certification et vous devez installer le certificat signé sur votre jeton.

La procédure suivante utilise Windows 2000 Advanced Server à titre d’exemple.

Étapes générales pour obtenir un certificat de carte à puce signé1 Envoyer la requête de certificat au serveur de l’autorité de certification. Consultez

la section “Pour envoyer une requête de certificat” à la page 40.

2 Installez le certificat signé sur le jeton. Consultez la section “Pour installer un certificat” à la page 41.

Pour envoyer une requête de certificat1 Connectez-vous au serveur de l’autorité de certification,

p. ex. http://<CA_server>/certsrv.

2 Sélectionnez Request a certificate (Demander un certificat), puis cliquez sur Next (Suivant).

Remarque : les versions actuelles de FortiClient ont été testées avec les jetons USB de gamme Aladdin eToken PRO et Aladdin eToken NG-OTP.


VPN Obtention d’un certificat d’autorité de certification

3 Sélectionnez Advanced request (Requête avancée), puis cliquez sur Next (Suivant).

4 Sélectionnez Submit a certificate request to this CA using a form (Sélectionner une requête de certificat à cette autorité de certification à l’aide d’un formulaire).

5 Dans le formulaire de requête :• entrez les informations d’identification ;• dans la section Intended Purpose (But), sélectionnez Client Authentication

Certificate (Certificat d’authentification client) ;• dans la section CSP, sélectionnez eToken Base Cryptographic Provider

(Fournisseur eToken cryptographiques) ;• conservez tous les autres paramètres par défaut.

6 Sélectionnez Submit (Envoyer).

7 Entrez le mot de passe eToken lorsque vous y êtes invité. Connectez le jeton USB au port USB de l’ordinateur. La page Web de l’autorité de certification affiche que votre requête de certificat a été reçue.

Pour installer un certificat1 Connectez-vous au serveur de l’autorité de certification si le certificat a été signé.

2 Sélectionnez Checking on a pending certificate (Rechercher un certificat en cours de traitement), puis cliquez sur Next (Suivant).

3 Sélectionnez la requête de certificat puis cliquez sur Next (Suivant).

4 Sélectionnez Install this certificate (Installer ce certificat) pour installer le certificat sur le jeton USB.

Obtention d’un certificat d’autorité de certificationPour que le logiciel FortiClient et la passerelle FortiGate s’authentifient entre eux, ils doivent disposer d’un certificat provenant de la même autorité de certification.

Le logiciel FortiClient obtient le certificat d’autorité de certification afin de valider le certificat numérique envoyé par l’homologue VPN distant. L’homologue VPN distant obtient le certificat d’autorité de certification afin de valider le certificat numérique envoyé par l’ordinateur FortiClient.

Pour récupérer le certificat d’autorité de certification1 Connectez-vous au serveur Web de l’autorité de certification.

2 Suivez les instructions du serveur Web de l’autorité de certification pour télécharger le certificat.

Pour importer le certificat d’autorité de certification1 Accédez à VPN > CA Certificates (VPN > Certificats d’autorité de certification).


3 Entrez le chemin ou recherchez l’emplacement du certificat d’autorité de certification sur l’ordinateur FortiClient.

Remarque : les certificats d’autorité de certification doivent être conformes au standard X.509.


42

Validation des certificats VPN

4 Sélectionnez OK.

Le certificat d’autorité de certification apparaît dans la liste des certificats d’autorité de certification. La date d’expiration du certificat s’affiche dans la colonne Valid To (Validité).

Validation des certificatsFortiClient peut valider des certificats à l’aide du protocole OCSP ou des listes de révocation de certificats.

Une liste de révocation de certificats est une liste d’abonnés de certificats d’autorité de certification contenant l’état de leur certificat numérique. La liste contient les certificats révoqués et les motifs de la révocation. Elle indique aussi les dates d’émission des certificats et les autorités de certification les ayant émis.

Le logiciel FortiClient utilise la liste de révocation de certificats pour garantir la validité des certificats appartenant à l’autorité de certification ainsi que celle de l’homologue VPN distant.

S’il est disponible, le protocole OCSP permet de valider plus fréquemment les certificats sans conserver les listes de révocation de certificats dans l’application FortiClient.

Pour activer le protocole OCSP1 Accédez à VPN > CRL (VPN > Listes de révocation de certificats).

2 Sélectionnez Enable OCSP (Activer le protocole OCSP).

3 Dans la boîte de dialogue Responder Host (Hôte de réponse), entrez votre nom d’hôte de réponse OCSP.

Vous pouvez obtenir ces informations auprès de votre administrateur réseau.

4 Dans le champ Port, entrez le numéro de port OCSP de l’autorité de certification. Le port par défaut est 80.


Pour récupérer la liste de révocation de certificats6 Connectez-vous au serveur Web de l’autorité de certification.

7 Suivez les instructions du serveur Web de l’autorité de certification pour télécharger la liste de révocation de certificats.

Pour importer la liste de révocation de certificats1 Accédez à VPN > CRL (VPN > Listes de révocation de certificats).


3 Entrez le chemin ou recherchez l’emplacement de la liste de révocation de certificats sur l’ordinateur FortiClient.

4 Sélectionnez OK.

La liste de révocation de certificats s’affiche.


Antivirus Recherche de virus

AntivirusGrâce à la fonction antivirus de FortiClient, vous pouvez protéger votre ordinateur en vérifiant régulièrement si vos fichiers ne contiennent pas de virus. Le logiciel FortiClient fournit également une protection antivirus en temps réel et contrôle les modifications du registre Windows. Cette section inclut les rubriques suivantes :

• Recherche de virus• Configuration des paramètres antivirus• Configuration de la protection en temps réel• Configuration du scan de courrier• Contrôle des entrées de la liste de démarrage Windows

Recherche de virusVous pouvez exécuter un scan rapide pour détecter les virus et vers les plus malveillants. Vous pouvez également configurer des scans programmés et scanner des fichiers dans un dossier spécifié.

En fonction de l’option choisie sous l’onglet Antivirus Settings (Paramètres antivirus), le logiciel FortiClient exécute l’une des actions suivantes lorsqu’il détecte un virus :

• affichage d’un message d’avertissement de virus ;• mise en quarantaine du fichier infecté par un virus ;• nettoyage du fichier infecté par un virus.

Pour obtenir plus d’informations sur la configuration des actions que le logiciel FortiClient doit exécuter lorsqu’il détecte un virus, consultez la section “Configuration des paramètres antivirus” à la page 46.


44

Recherche de virus Antivirus

Figure 11 : Recherche de virus

Pour exécuter un scan rapide1 Accédez à Antivirus > Analyser.2 Sélectionnez Analyse rapide.

La fenêtre de scan antivirus s’ouvre et affiche la progression du scan, ainsi que les résultats. La liste des fichiers infectés affiche les noms des fichiers infectés.

3 Vous pouvez utiliser les boutons Pause/Resume (Pause/Reprendre) pour interrompre le scan.

4 Dans la liste des fichiers infectés, vous pouvez cliquer avec le bouton droit de la souris sur des entrées et choisir une des actions suivantes :• supprimer le fichier ;• mettre le fichier en quarantaine ;• envoyer les fichiers infectés à Fortinet ;• signaler les faux-positifs à Fortinet.

5 Pour afficher le fichier journal du scan, sélectionnez View Result (Afficher le résultat).

6 Sélectionnez Close (Fermer) pour fermer la fenêtre de scan antivirus.

Pour scanner les fichiers dans un répertoire spécifié1 Dans Analyse du système de fichiers, sélectionnez Parcourir pour rechercher le

répertoire à scanner.

2 Sélectionnez Analyser maintenant.


Lors d’un scan antivirus, l’icône de la barre d’état système de FortiClient est animée. Une barre défile constamment du bas vers le haut de l’icône.


Antivirus Recherche de virus

3 Dans la liste des fichiers infectés, vous pouvez cliquer avec le bouton droit de la souris sur des entrées et choisir une des actions suivantes :• supprimer le fichier ;• mettre le fichier en quarantaine ;• envoyer les fichiers infectés à Fortinet ;• signaler les faux-positifs à Fortinet.

4 Pour afficher le fichier journal du scan, sélectionnez View Result (Afficher le résultat).

5 Sélectionnez Close (Fermer) pour fermer la fenêtre de scan antivirus.

Pour exécuter un scan complet du système1 Dans Analyse du système de fichiers, sélectionnez Analyse complète du

système).

2 Sélectionnez Network drives (Lecteurs réseau) et/ou Removable media (Support amovible) si vous souhaitez les inclure dans le scan. Vous pouvez également modifier la priorité relative du scan antivirus par rapport à d’autres processus.

3 Sélectionnez Start (Démarrer).


4 Vous pouvez également cliquer avec le bouton droit de la souris dans la liste des fichiers infectés et choisir l’une des actions suivantes : Supprimer, Mettre en quarantaine, Envoyer les fichiers infectés à Fortinet, Signaler les faux-positifs à Fortinet.

Pour gérer des scans programmés1 Pour ajouter un scan programmé, sélectionnez Add (Ajouter).

2 Dans la boîte de dialogue New Schedule (Nouveau scan programmé), programmez un nouveau scan.

Vous pouvez programmer des scans quotidiens, hebdomadaires ou uniques. Vous pouvez également spécifier le dossier à scanner.

3 Pour modifier un scan programmé, sélectionnez-le et cliquez sur Edit (Modifier).

4 Pour supprimer un scan programmé, sélectionnez-le et cliquez sur Delete (Supprimer).

Lors de scans antivirus programmés, la fenêtre de scan antivirus ne s’affiche que lorsqu’un virus est détecté. Pour afficher cette fenêtre, vous pouvez cliquer avec le bouton droit de la souris sur l’icône de la barre d’état système de FortiClient et sélectionnez Show AV scan window(s) (Afficher les fenêtres de scan antivirus).


46

Configuration des paramètres antivirus Antivirus

Configuration des paramètres antivirusVous pouvez spécifier les types de fichiers à scanner et l’action à exécuter lors de la détection d’un virus. Vous pouvez également spécifier un serveur SMTP à utiliser lors de l’envoi d’un fichier en quarantaine à Fortinet en vue de son analyse. Pour obtenir des informations sur la procédure d’envoi d’un fichier en quarantaine, consultez la section “Gestion des fichiers en quarantaine” à la page 52.

Figure 12 : Configuration des paramètres antivirus

Pour configurer les paramètres antivirus1 Accédez à Antivirus > Paramètres.

2 Sélectionnez les types de fichier à scanner.

3 Ajoutez ou supprimez des types de fichiers à scanner. Consultez la section “Sélection des types de fichier à scanner ou à exclure” à la page 48.

4 Sélectionnez les fichiers, dossiers et types de fichiers à exclure du scan antivirus. • Pour exclure un fichier ou un dossier, cliquez sur le bouton Sélectionner

fichiers et dossiers puis sélectionnez Add (Ajouter) pour ajouter le fichier ou le dossier à la liste d’exclusions.

• Pour exclure un type de fichier, cliquez sur le bouton Sélectionner les types de fichier puis ajoutez les types de fichier. Pour plus d’informations, consultez la section “Sélection des types de fichier à scanner ou à exclure” à la page 48.


Antivirus Configuration des paramètres antivirus

5 Sélectionnez l’action à exécuter lors de la détection d’un virus. L’option par défaut est Réparer.• Alerte : affiche un message si un virus est détecté lors du contrôle en temps

réel du système de fichiers. • Quarantaine : déplace le fichier vers un répertoire de quarantaine.• Réparer : tente de supprimer le virus du fichier infecté. Si cette action n’est pas

possible, déplacez le fichier dans la zone de quarantaine. Pour enregistrer une copie du virus, sélectionnez Enregistrer une copie dans la zone de quarantaine avant de nettoyer.

6 Configurez les paramètres d’envoi de fichiers infectés. Consultez la section “Spécification d’un serveur SMTP pour l’envoi des fichiers infectés” à la page 49.

7 Pour ajouter une commande de scan antivirus FortiClient dans le menu de raccourcis de l’explorateur Windows, sélectionnez Intégrer au shell Windows. Consultez la section “Intégration du scan antivirus FortiClient au shell Windows” à la page 50.

8 Vous pouvez également sélectionner l’option Signaler à l’utilisateur que la signature de virus est obsolète.

9 Vous pouvez aussi sélectionner l’option Scanner les supports amovibles lors de leur insertion.

10 Vous pouvez sélectionnez Configurations avancées.

La boîte de dialogue Configurations avancées, vous permet :• de spécifier si vous souhaitez scanner les fichiers compressés et de définir la

limite de taille des fichiers. La limite de taille par défaut est 0, ce qui indique aucune limite ;

• de spécifier si vous souhaitez scanner les graywares, ainsi que les types de grayware à rechercher ;

• d’activer le scan heuristique. Le logiciel FortiClient utilise des techniques heuristiques pour scanner les fichiers et détecter des virus et menaces inconnus pour lesquels aucune signature n’a encore été définie. Un scan heuristique observe les caractéristiques d’un fichier telles que sa taille ou son architecture, ainsi que le comportement de son code afin de déterminer la probabilité d’une infection.


48

Sélection des types de fichier à scanner ou à exclure Antivirus

Sélection des types de fichier à scanner ou à exclureSi vous ne souhaitez pas que le logiciel FortiClient recherche des virus dans tous les fichiers, sélectionnez les types de fichier dans la liste de types de fichier par défaut. Ajoutez des types de fichier à la liste de types de fichiers par défaut ou supprimez-en. Vous pouvez créer une liste de types de fichier à exclure du scan antivirus. Vous pouvez également restaurer la liste de types de fichier par défaut.

Figure 13 : Ajout d'une nouvelle extension de fichier

Pour ajouter un nouveau type de fichier à la liste de types de fichier ou à la liste d’exclusions

1 Accédez à Antivirus > Settings (Antivirus > Paramètres).

2 Dans File types to scan (Types de fichier à scanner), sélectionnez Program files and documents (Fichiers programme et documents).

3 Dans File types to scan (Types de fichier à scanner) ou Exclusion list (Liste d’exclusions), cliquez sur Select file types (Sélectionner les types de fichier).

4 Sélectionnez New (Nouveau).

5 Entrez l’extension de fichier à ajouter à la liste. Vous pouvez également ajouter des types de fichier à double extension.

6 Sélectionnez OK.

Remarque : la liste d’exclusions est prioritaire par rapport à la liste d’ajouts. Par exemple, si vous sélectionnez une extension de fichier à scanner et l’ajoutez aussi à la liste d’exclusions, les fichiers avec cette extension ne seront pas scannés.

Remarque : le scan de fichiers sans extension est activé par défaut.


Antivirus Sélection de fichiers et dossier à exclure du scan

Sélection de fichiers et dossier à exclure du scanVous souhaitez sûrement que le logiciel FortiClient ne recherche pas de virus dans certains dossiers ou fichiers spécifiques. Vous pouvez ajouter ces fichiers et dossiers à la liste d’exclusions de fichiers et dossiers.

Pour ajouter des fichiers et dossiers à la liste d’exclusions1 Accédez à Antivirus > Settings (Antivirus > Paramètres).

2 Cliquez sur Select files and folders (Sélectionner fichiers et dossiers).

La fenêtre d’options antivirus s’ouvre.

3 Sélectionnez Add (Ajouter).

4 Accédez au fichier ou dossier souhaité et sélectionnez-le.

5 Sélectionnez OK.

6 Ajoutez ou supprimez d’autres fichiers et dossiers, si nécessaire.

7 Sélectionnez OK.

Pour supprimer des fichiers et dossiers de la liste d’exclusions1 Accédez à Antivirus > Settings (Antivirus > Paramètres).

2 Cliquez sur Select files and folders (Sélectionner fichiers et dossiers).

La fenêtre d’options antivirus s’ouvre.

3 Sélectionnez le fichier ou dossier à supprimer de la liste.

4 Sélectionnez Delete (Supprimer).

5 Ajoutez ou supprimez d’autres fichiers et dossiers, si nécessaire.

6 Sélectionnez OK.

Spécification d’un serveur SMTP pour l’envoi des fichiers infectésAu lieu d’utiliser le serveur de messagerie par défaut, vous pouvez spécifier un serveur SMTP pour l’envoi des fichiers en quarantaine.

Pour spécifier un serveur SMTP1 Accédez à Antivirus > Settings (Antivirus > Paramètres).

2 Dans Virus Submission (Envoi de fichiers infectés), sélectionnez Use this mail account to submit virus (Utiliser ce compte de messagerie pour envoyer les fichiers infectés).

3 Dans le champ SMTP server (Serveur SMTP), entrez le serveur SMTP utilisé pour le courrier sortant.

4 Si le serveur SMTP requiert une authentification de connexion, sélectionnez Need authentication (Authentification requise) et entrez l’identifiant de connexion et le mot de passe.


Remarque : vous pouvez également exclure un fichier ou un dossier du scan antivirus après sa mise en quarantaine. Dans la liste des fichiers en quarantaine, cliquez avec le bouton droit de la souris sur le fichier et sélectionnez Exclude file/folder from AV scanning (Exclure le fichier/dossier du scan antivirus). Pour plus d’informations, consultez la section “Gestion des fichiers en quarantaine” à la page 52.


50

Intégration du scan antivirus FortiClient au shell Windows Antivirus

Intégration du scan antivirus FortiClient au shell WindowsL’intégration du scan antivirus FortiClient au shell Windows permet d’utiliser le menu de raccourcis de l’antivirus FortiClient dans l’explorateur Windows afin de scanner les dossiers et fichiers sélectionnés.

Pour intégrer le scan antivirus au shell Windows1 Accédez à Antivirus > Settings (Antivirus > Paramètres).

2 Sélectionnez Integrate with Windows Shell (Intégrer au shell Windows).


Dans l’explorateur Windows, vous pouvez cliquer avec le bouton droit de la souris sur des dossiers ou fichiers et sélectionner Scan with FortiClient Antivirus (Scanner avec l’antivirus FortiClient).

Configuration de la protection en temps réelConfigurez les paramètres de protection en temps réel pour spécifier :

• les types de fichier à scanner ;• les types de fichier à exclure du scan ;• l’action à exécuter lors de la détection d’un virus en temps réel.

Figure 14 : Configuration de la protection en temps réel


Antivirus Configuration de la protection en temps réel

Pour configurer la protection en temps réel1 Accédez à Antivirus > Protection en temps réel.

2 Dans Types de fichier à analyser, sélectionnez Tous les fichiers ou Fichiers programme et documents en fonction de vos besoins.

Si vous sélectionnez Fichiers programme et documents, vous pouvez modifier la liste des types de fichier à scanner. Consultez la section “Sélection des types de fichier à scanner ou à exclure” à la page 48.

3 Vous pouvez également sélectionner les fichiers, dossiers et types de fichiers à exclure du scan antivirus. • Pour exclure un type de fichier, consultez la section “Sélection des types de

fichier à scanner ou à exclure” à la page 48.• Pour exclure un fichier ou un dossier, consultez la section “Sélection de

fichiers et dossier à exclure du scan” à la page 49.

4 Dans What to do when a virus is found (Action à exécuter lors de la détection d’un virus), sélectionnez Deny Access (Refuser l’accès), Quarantine (Mettre en quarantaine) ou Clean (Nettoyer).

5 Cochez ou décochez les deux options suivantes :• Ne pas afficher de boîtes de message d’alerte lors du scan en temps réel ;• Ne pas afficher de boîtes de message d’alerte lors du contrôle du registre.

6 Vous pouvez sélectionnez Configurations avancées.

La boîte de dialogue Configurations avancées, vous permet :• d’activer le scan des fichiers compressés. Vous pouvez également spécifier la

taille de compression maximale de fichier que FortiClient peut scanner. Une limite de taille de 0 indique qu’aucune limite n’est définie.

• d’activer le scan anti-grayware et de spécifier les types de grayware à rechercher.

• d’activer le scan heuristique. Le logiciel FortiClient utilise des techniques heuristiques pour scanner les fichiers et détecter des virus et menaces inconnus pour lesquels aucune signature n’a encore été définie. Un scan heuristique observe les caractéristiques d’un fichier telles que sa taille ou son architecture, ainsi que le comportement de son code afin de déterminer la probabilité d’une infection. Vous pouvez refuser l’accès aux fichiers que le scan heuristique considère suspects ou uniquement afficher une alerte.

• d’activer le scan des fichiers en cours d’écriture ou de lecture depuis le disque et d’inclure au choix les fichiers des lecteurs réseau.


Interdire l’accès Impossible d’ouvrir, exécuter ou modifier le fichier avant son nettoyage.

Quarantaine Le fichier est déplacé dans un répertoire de quarantaine.

Réparer L’agent FortiClient tente de supprimer le virus du fichier infecté. L’option Réparer est sélectionnée par défaut.Vous pouvez aussi sélectionner Enregistrer une copie dans la zone de quarantaine avant la désinfection.

Remarque : si FortiClient ne peut pas nettoyer un fichier infecté, il le met automatiquement en quarantaine.


52

Configuration du scan de courrier Antivirus

Pour activer la protection en temps réel1 Accédez à General >Status (Général > État).

2 Dans la section Antivirus, sélectionnez Enable real-time protection (Activer la protection en temps réel).

Configuration du scan de courrierLe logiciel FortiClient peut rechercher des virus et vers dans les pièces jointes du courrier entrant et sortant.

Le logiciel FortiClient peut aussi utiliser des techniques heuristiques pour scanner les pièces jointes de courrier électronique et détecter des virus et menaces inconnus pour lesquels aucune signature n’a encore été définie. Un scan heuristique observe les caractéristiques d’un fichier telles que sa taille ou son architecture, ainsi que le comportement de son code afin de déterminer la probabilité d’une infection.

Pour rechercher des virus dans les messages électroniques1 Accédez à Antivirus > Email (Antivirus > Courrier électronique).

2 Dans la section Virus scanning (Scan antivirus), sélectionnez SMTP pour le courrier sortant, POP3 pour le courrier entrant et MS Outlook si Outlook est connecté à un serveur Microsoft Exchange.

3 Pour empêcher la propagation des vers via le courrier électronique, sélectionnez Enable email worm detection (Activer la détection des vers de courrier électronique). Sélectionnez ensuite l’action à exécuter lors de la détection d’une attaque malveillante : mettre fin immédiatement au processus d’attaque ou demander à l’utilisateur si le processus doit être arrêté.

Cette option n’est disponible que si vous avez sélectionné le scan antivirus du courrier SMTP.

4 Pour appliquer le scan heuristique, dans la section Heuristics scanning (Scan heuristique), sélectionnez Enable email attachments heuristics scanning (Activer le scan heuristique des pièces jointes de courrier électronique). Sélectionnez ensuite l’action à exécuter lors de la détection d’une pièce jointe suspecte : afficher un message d’alerte ou supprimer et mettre en quarantaine.

Gestion des fichiers en quarantaineLes fichiers infectés sont mis en quarantaine si vous sélectionnez les options Quarantine (Mettre en quarantaine) ou Clean (Nettoyer) dans Antivirus > Settings (Antivirus > Paramètres) ou Antivirus > Realtime Protection (Antivirus > Protection en temps réel). L’option Clean (Nettoyer) met uniquement en quarantaine les fichiers impossibles à nettoyer, sauf si vous avez activez l’option Save a copy in quarantine area before cleaning (Enregistrer une copie dans la zone de quarantaine avant de nettoyer).

Remarque : lorsque vous désactivez la protection en temps réel, une confirmation est requise. Cette boîte de dialogue de confirmation n’affiche le bouton Oui qu’au bout de quatre secondes.


Antivirus Gestion des fichiers en quarantaine

Accédez à Antivirus > Quarantine (Antivirus > Quarantaine) pour gérer les fichiers en quarantaine.

Si la liste de quarantaine contient un fichier que vous souhaitez exclure des prochains scans, cliquez avec le bouton droit de la souris sur l’entrée de liste et sélectionnez Exclude file/folder from AV scanning (Exclure le fichier/dossier du scan antivirus).

Automatically delete quarantined files

Tous les fichiers restent dans le répertoire de quarantaine jusqu’à ce que vous les supprimiez ou restauriez, sauf si vous avez configuré la suppression automatique.

Delete files older than Activez cette option pour supprimer automatiquement les fichiers en quarantaine. Entrez le nombre de jours de conservation des fichiers. Sélectionnez Apply (Appliquer).

Restore Restaure le fichier sélectionné à son emplacement d’origine. Attention : le fichier restauré peut être infecté.

Refresh Met à jour la liste de fichiers affichée.

Delete Supprime le fichier sélectionné.

Submit >>> Vous pouvez sélectionner des fichiers dans la liste des fichiers en quarantaine et utiliser l’une des options suivantes pour les envoyer à Fortinet.Remarque : vous pouvez envoyer trois fichiers maximum par jour.Les fichiers sont envoyés via le serveur de messagerie par défaut sauf si vous spécifiez un autre serveur SMTP dans Antivirus > Settings (Antivirus > Paramètres). Consultez la section “Spécification d’un serveur SMTP pour l’envoi des fichiers infectés” à la page 49.

Submit virus Envoie le fichier sélectionné à Fortinet en spécifiant qu’il s’agit d’un fichier infecté.

Submit as false positive Signale à Fortinet que le fichier sélectionné n’est pas infecté par un virus.


54

Contrôle des entrées de la liste de démarrage Windows Antivirus

Contrôle des entrées de la liste de démarrage WindowsCertains virus peuvent modifier les entrées existantes du registre Windows ou ajouter de nouvelles entrées pour provoquer l’exécution de code malveillant au démarrage de Windows ou à l’ouverture d’une session Windows. Le logiciel FortiClient peut contrôler la liste de démarrage Windows et détecter les modifications non autorisées du registre. Le logiciel FortiClient suppose que les modifications de registre suivantes ne sont pas autorisées si elles ne proviennent pas d’un utilisateur autorisé :

• ajout, suppression ou modification de l’installation d’une application ;• modification des paramètres de configuration d’une application.

La liste de démarrage indique les entrées du registre Windows correspondant aux applications démarrées sous votre profil Windows lorsque vous ouvrez une session. Cette liste inclut les applications affichées dans la barre d’état système. La liste comprend aussi toutes les applications démarrées de manière transparente et n’étant pas affichées dans la barre d’état système.

Les entrées sont affichées dans trois listes :

• la liste des entrées rejetées affiche de nouvelles entrées de démarrage non autorisées ;

• la liste des entrées modifiées affiche les entrées ayant été modifiées depuis le dernier démarrage Windows ;

• la liste de démarrage actuelle affiche toutes les entrées de registre actuelles.

La liste de démarrage est contrôlée au démarrage du logiciel FortiClient.

Figure 15 : Contrôle du registre

Remarque : le système Microsoft Windows XP 64 bits ne prend pas en charge le contrôle du registre Windows.


Antivirus Restauration des entrées modifiées ou rejetées de la liste de démarrage

Pour afficher les entrées de la liste de démarrage Windows1 Accédez à Antivirus > Contrôle du registre.

2 Dans Eléments à visualiser, sélectionnez Entrées refusées, Changer les entrées ou Liste de démarrage actuelle.

3 Vous pouvez aussi sélectionner Rafraîchir pour actualiser les entrées de la liste de démarrage et afficher les entrées de registre récemment ajoutées, modifiées ou rejetées.

Restauration des entrées modifiées ou rejetées de la liste de démarrageVous pouvez restaurer les entrées modifiées ou rejetées.

Pour restaurer une entrée modifiée ou rejetée de la liste de démarrage1 Accédez à Antivirus > Contrôle du registre.

2 Dans Eléments à visualiser, sélectionnez Changer les entrées ou Entrées refusées.

3 Sélectionnez l’entrée à restaurer.

4 Sélectionnez Restaurer.

! Attention : si vous ne savez pas à quelle application correspond une entrée, ne restaurez pas cette entrée de liste de démarrage.


56

Restauration des entrées modifiées ou rejetées de la liste de démarrage Antivirus


Pare-feu Sélection d’un mode de pare-feu

Pare-feuLe pare-feu FortiClient permet de protéger votre ordinateur à l’aide des fonctions suivantes :

• Application level network access control (Contrôle de l’accès au réseau des applications). Vous pouvez spécifier les applications pouvant accéder au réseau et celles auxquelles peut accéder le réseau.

• Network security zone (Zone de sécurité du réseau).Le réseau est classé en deux zones : la zone publique et la zone sécurisé. Vous pouvez configurer des paramètres de sécurité différents pour chaque zone.

• Intrusion detection (Détection des intrusions).Le pare-feu FortiClient peut détecter et bloquer les attaques de réseau courantes.

• Advanced firewall rules (Règles de pare-feu avancées). Vous pouvez créer des règles spécifiques pour contrôler le trafic en fonction d’adresses source, d’adresses de destination, de protocoles ou d’intervalles de temps.

Pour le trafic sortant, seules les règles de contrôle d’applications s’appliquent. Les règles de pare-feu avancées ne sont pas valables.

Pour le trafic entrant, les règles de pare-feu avancées sont appliquées en premier, suivies des règles de contrôle d’applications.

Le trafic lié aux processus système tels que NetBIOS n’est accepté qu’après avoir été autorisé par les règles avancées et les paramètres de sécurité des zones.

Sélection d’un mode de pare-feuPar défaut, le pare-feu FortiClient est exécuté en mode Normal pour protéger le système. Accédez à Firewall > Status (Pare-feu > État) pour sélectionner un autre mode de pare-feu (niveau de protection).

Le pare-feu FortiClient dispose des modes d’exécution suivants :

Deny all Bloque tout le trafic entrant et sortant.

Normal Vous pouvez choisir parmi trois profils de protection. Consultez la section “Sélection d’un profil de pare-feu” à la page 58.

Pass all Aucune protection de pare-feu.


58

Sélection d’un profil de pare-feu Pare-feu

Sélection d’un profil de pare-feuSi vous sélectionnez le mode de pare-feu Normal dans Firewall > Status (Pare-feu > État), vous pouvez choisir parmi les trois profils de protection de pare-feu suivants :

Affichage des informations de traficVous pouvez configurer le logiciel FortiClient pour qu’il affiche les informations de trafic réseau suivantes :

Figure 16 : État du pare-feu

Basic home use Autorise tout le trafic sortant et refuse tout le trafic entrant. Sélectionnez ce profil si votre ordinateur est un ordinateur personnel autonome non connecté à d’autres réseaux ou ordinateurs.

Basic business Autorise tout le trafic sortant, autorise tout le trafic entrant depuis la zone sécurisée et refuse tout le trafic entrant provenant de la zone publique. Pour plus d’informations sur les zones, consultez la section “Configuration des zones de sécurité de réseau” à la page 61.

Custom profile Profil par défaut. Le profil Custom (Personnalisé) vous permet de configurer les autorisations d’applications, les autorisations de zones de réseau et les règles de filtrage de pare-feu avancées. Consultez les sections “Configuration des autorisations d’accès des applications” à la page 59, “Configuration des zones de sécurité de réseau” à la page 61 et “Configuration des règles de pare-feu avancées” à la page 64.

Trafic entrant (paquets)

Nombre de paquets réseau entrants.

Trafic sortant (paquets)

Nombre de paquets réseau sortants.

Paquets réseaux bloqués

Paquets réseau boqués par le pare-feu.

Requêtes d’applications bloquées

Nombre de requêtes d’accès à vos applications locales, provenant de l’extérieur et ayant été bloquées, et inversement.

Connexions actuelles

Nombre de connexions actuelles entre le système et le réseau.


Pare-feu Configuration des autorisations d’accès des applications

Pour afficher les informations de trafic1 Accédez à Firewall >Status (Pare-feu > État).

2 Sélectionnez le type de trafic à afficher. Les informations s’affichent sur l’écran graphique.

3 Sélectionnez View Connections (Afficher les connexions) pour afficher les connexions actives actuelles, les ports d’écoute, PID et autres informations détaillées.


5 Par défaut, à chaque fois que le pare-feu FortiClient bloque le trafic réseau, un message s’affiche dans la zone des icônes de la barre d’état système de FortiClient. Pour désactiver le message de trafic bloqué, sélectionnez l’option Disable taskbar notification for blocked network traffic (Désactiver le message de barre des tâches indiquant le blocage du trafic réseau).

Configuration des autorisations d’accès des applicationsVous pouvez spécifier les applications pouvant accéder au réseau et celles auxquelles peut accéder le réseau. Pour ce faire, vous devez attribuer les autorisations d’accès des applications. Il existe trois niveaux d’autorisations d’accès :

Outre le contrôle d’accès des applications, la sécurité des zones de réseau et la détection des intrusions, le pare-feu FortiClient offre une autre couche de sécurité : les règles de pare-feu avancées.

Les règles de pare-feu autorisent ou bloquent le trafic réseau en fonction des trois types suivants de critères de filtrage spécifiés :

• Source and destination addresses (Adresses source et de destination) : votre propre ordinateur, l’une des deux zones (zone publique et zone sécurisée), une adresse IP unique, une plage d’adresses IP, un sous-réseau ou un groupe d’adresses. Pour obtenir des informations sur l’ajout d’un groupe d’adresses, consultez la section “Gestion des groupes” à la page 65.

• Network protocols (Protocoles réseau) : TCP, UDP ou TCP/UDP. • Day and Time (Jour et heure) : des fréquences peuvent s’appliquer à une

règle pour restreindre l’accès en fonction du jour et de l’heure.

Allow Autorise l’accès au réseau des applications.

Ask Vous êtes invité à autoriser l’accès au réseau des applications.

Block Bloque tout accès au réseau des applications.

Remarque : vous serez invité à autoriser l’accès au réseau des applications ne figurant pas dans la liste de contrôles d’accès. Par défaut, FortiClient autorise les applications légitimes du système Windows à accéder au réseau. Ces applications apparaissent dans la liste de contrôles des applications. Vous pouvez modifier ou supprimer les niveaux d’autorisation de ces applications.

Remarque : vous pouvez modifier ou supprimer les paramètres de l’application fortiproxy.


60

Configuration des autorisations d’accès des applications Pare-feu

Les règles de pare-feu avancées ont priorité sur les paramètres de sécurité des zones. Par exemple, si une règle bloque le trafic vers la zone sécurisée, le trafic sera bloqué.

Pour ajouter une application à la liste de contrôle d’accès1 Accédez à Firewall > Applications (Pare-feu > Applications).


3 Dans la boîte de dialogue Add New (Ajouter nouveau), entrez ou recherchez le chemin de l’application.

4 Sélectionnez des niveaux d’autorisation pour la zone publique et la zone sécurisée.

5 Sélectionnez OK.

Pour créer une règle de pare-feu1 Accédez à Firewall > Applications (Pare-feu > Applications).

2 Sélectionnez Edit > Advanced > Add (Modifier > Avancé > Ajouter).

3 Dans la boîte de dialogue Advanced Firewall Filtering Rule (Règle de filtrage de pare-feu avancée), entrez les informations suivantes et sélectionnez OK.

Remarque : les niveaux d’autorisation de la zone publique peuvent uniquement être inférieurs ou égaux à ceux de la zone sécurisée.

Name Entrez un nom pour la règle.

Description Vous pouvez entrer une brève description.

State Activez ou désactivez la règle.

Action Autorisez ou bloquez le trafic.

Source Appliquez la règle au trafic provenant de l’adresse source et à destination de votre ordinateur. Sélectionnez Add (Ajouter) pour ajouter l’adresse source. Pour obtenir des informations sur l’ajout d’un groupe d’adresses, consultez la section “Gestion des groupes d’adresses, de protocoles et d’heures” à la page 61.

Destination Appliquez la règle au trafic provenant de votre ordinateur et arrivant à l’adresse de destination. Sélectionnez Add (Ajouter) pour ajouter l’adresse de destination. Pour obtenir des informations sur l’ajout d’un groupe d’adresses, consultez la section “Gestion des groupes d’adresses, de protocoles et d’heures” à la page 61.

Protocol Sélectionnez Add (Ajouter) pour ajouter un protocole à la règle. Lorsque vous spécifiez le protocole dans la boîte de dialogue Add Protocol (Ajout de protocole), vous pouvez également spécifier les ports source et de destination.

Time Sélectionnez Add (Ajouter) pour ajouter un intervalle de jours/heures pendant lesquels la règle doit être exécutée. Dans la boîte de dialogue Add Time (Ajout de l’heure), spécifiez une description, un intervalle d’heures et un ou plusieurs jours. L’intervalle d’heures est spécifié selon le format de 24 heures.

Bind this rule to Sélectionnez tous les adaptateurs ou un adaptateur Ethernet unique sur votre ordinateur pour appliquer cette règle.

Remarque : vous pouvez utiliser toute combinaison de critères de filtrage.


Pare-feu Gestion des groupes d’adresses, de protocoles et d’heures

Gestion des groupes d’adresses, de protocoles et d’heuresPour faciliter la gestion, vous pouvez regrouper les adresses source, adresses de destination, protocoles et programmations d’heures puis utiliser ces groupes lors de la création de règles.

Pour créer un groupe1 Accédez à Firewall > Applications (Pare-feu > Applications).

2 Sélectionnez Edit > Advanced > Groups (Modifier > Avancé > Groupes).

3 Sélectionnez Address Group (Groupe d’adresses), Protocol Group (Groupe de protocoles) ou Time Group (Groupe d’heures).


5 Entrez un nom et une description.


7 Pour un groupe d’adresses, entrez le sous-réseau, la plage d’adresses IP ou l’adresse IP. Pour un groupe de protocoles, spécifiez le protocole et le numéro de port. Pour un groupe d’heures, spécifiez l’intervalle de jours et d’heures.

8 Sélectionnez OK.

Configuration des zones de sécurité de réseauLe pare-feu FortiClient protège votre système en classant les systèmes réseau en trois zones.

Figure 17 : Zones de sécurité du réseau


62

Ajout d’adresses IP aux zones Pare-feu

Le pare-feu FortiClient classe les zones par priorité : zone bloquée, zone sécurisée et zone publique. Cela signifie que :

• si une adresse IP est répertoriée dans les trois zones, elle sera bloquée ; • si elle est répertoriée dans la zone sécurisée et la zone publique, elle sera

sécurisée ; • si elle n’est répertoriée dans aucune des trois zones, elle sera publique.

Ajout d’adresses IP aux zonesVous pouvez ajouter un sous-réseau, une plage d’adresses IP ou une adresse IP individuelle aux zones de réseau. Vous pouvez également modifier ou supprimer les entrées d’adresses IP existantes.

Pour ajouter des adresses IP1 Accédez à Firewall > Network (Pare-feu > Réseau).


3 Dans la boîte de dialogue IP Address (Adresse IP), sélectionnez une zone et entrez les adresses IP.

4 Vous pouvez entrer une description.

5 Sélectionnez OK.

Personnalisation des paramètres de sécuritéPour les zones publique et sécurisée, vous pouvez utiliser les paramètres par défaut de niveau de sécurité élevé, moyen ou faible. Vous pouvez également personnaliser ces paramètres par défaut.

Public Zone Par défaut, le pare-feu FortiClient traite les adresses IP de la zone publique avec le niveau de sécurité le plus élevé. Vous pouvez également personnaliser les niveaux de sécurité. Consultez la section “Personnalisation des paramètres de sécurité” à la page 62.

Trusted Zone Par défaut, le pare-feu FortiClient traite les adresses IP de la zone sécurisée avec le niveau de sécurité moyen. Pour obtenir des informations sur les paramètres de niveau de sécurité, consultez la section “Personnalisation des paramètres de sécurité” à la page 62.

Blocked Zone Tout le trafic provenant et à destination des adresses IP de la zone bloquée n’est pas autorisé.

High Par défaut, les connexions entrantes sont autorisées uniquement si des ports d’écoute sont disponibles pour ces connexions.

Medium Par défaut, la plupart des connexions sont autorisées, sauf si vous personnalisez les paramètres. Le paramètre par défaut de niveau de sécurité moyen de la zone publique est différent de celui de la zone sécurisée :• pour la zone publique, les paquets ICMP et NetBIOS entrants

sont bloqués ;

• pour la zone sécurisée, ces paquets sont autorisés.

Low La règle des paquets est désactivée et le contrôle des applications est activé.


Pare-feu Configuration de la détection des intrusions

Pour personnaliser les paramètres de sécurité1 Accédez à Firewall > Network (Pare-feu > Réseau).

2 Pour le niveau de sécurité de la zone publique ou le niveau de sécurité de la zone sécurisée, déplacez le curseur sur High (Élevé) ou Medium (Moyen).

3 Sélectionnez Settings (Paramètres).

4 Si vous sélectionnez le niveau élevé, modifiez les paramètres suivants et cliquez sur OK.

5 Si vous sélectionnez le niveau moyen, modifiez les paramètres suivants et cliquez sur OK.

Configuration de la détection des intrusionsLe logiciel FortiClient peut détecter et bloquer des attaques de réseau courantes à l’aide des signatures codées de manière irréversible. Comme les signatures sont codées de manière irréversible dans le programme, vous devez installer la dernière version de FortiClient pour obtenir les dernières signatures.

Accédez à Firewall > Intrusion Detection (Pare-feu > Détection des intrusions) pour afficher les adresses IP d’origine des menaces détectées.

Vous pouvez déplacer les adresses IP dans la zone bloquée en sélectionnant le bouton Move to blocked zone (Déplacer dans la zone bloquée) pour que le trafic provenant de ces adresses IP soit bloqué.

Remarque : le niveau de sécurité de la zone publique peut uniquement être supérieur ou égal à celui de la zone sécurisée.

Remarque : le niveau de sécurité faible désactive les règles de paquets ; vous pouvez donc personnaliser les paramètres du niveau faible.

Allow ICMP in Autorise le trafic ICMP (Internet Control Message Protocol) entrant. Par défaut, cette option n’est pas sélectionnée.

Allow NetBIOS in Autorise le trafic NetBIOS. Par défaut, cette option n’est pas sélectionnée.

Allow NetBIOS out Autorise le trafic NetBIOS sortant. Par défaut, cette option n’est pas sélectionnée.

Sélectionnez l’une des options suivantes :

Allow other inbound traffic coming from this zone

Cette option est sélectionnée par défaut.

Block other inbound traffic coming from this zone

Cette option n’est pas sélectionnée par défaut.

Block ICMP in Bloque le trafic ICMP (Internet Control Message Protocol) entrant. Par défaut, cette option n’est pas sélectionnée.

Block NetBIOS in Bloque le trafic NetBIOS entrant. Par défaut, cette option n’est pas sélectionnée.

Block NetBIOS out Bloque le trafic NetBIOS sortant. Par défaut, cette option n’est pas sélectionnée.


64

Configuration des règles de pare-feu avancées Pare-feu

Si vous considérez l’une des adresses IP comme étant sécurisée, vous pouvez la déplacer dans la liste des adresses IP sécurisées en sélectionnant le bouton Trust this IP (Déplacer dans la zone sécurisée) pour que le logiciel FortiClient n’analyse plus le trafic provenant de cette adresse IP.

Vous pouvez aussi supprimer une adresse IP de la liste des adresses IP sécurisées en sélectionnant le bouton Don’t trust this IP (Supprimer de la zone sécurisée).

Configuration des règles de pare-feu avancéesOutre le contrôle d’accès des applications, la sécurité des zones de réseau et la détection des intrusions, le pare-feu FortiClient offre une autre couche de sécurité : les règles de pare-feu avancées.

Les règles de pare-feu autorisent ou bloquent le trafic réseau en fonction des trois types suivants de critères de filtrage spécifiés :

• Source and destination addresses (Adresses source et de destination) : votre propre ordinateur, l’une des deux zones (zone publique et zone sécurisée), une adresse IP unique, une plage d’adresses IP, un sous-réseau ou un groupe d’adresses. Pour obtenir des informations sur l’ajout d’un groupe d’adresses, consultez la section “Gestion des groupes” à la page 65.

• Network protocols (Protocoles réseau) : ICMP, TCP, UDP ou TCP/UDP. • Day and Time (Jour et heure) : des fréquences peuvent s’appliquer à une

règle pour restreindre l’accès en fonction du jour et de l’heure.

Les règles de pare-feu avancées ont priorité sur les paramètres de sécurité des zones. Par exemple, si une règle bloque le trafic vers la zone sécurisée, le trafic sera bloqué.

Pour créer une règle de pare-feu1 Accédez à Firewall > Advanced (Pare-feu > Avancé).


3 Dans la boîte de dialogue Advanced Firewall Filtering Rule (Règle de filtrage de pare-feu avancée), entrez les informations suivantes et sélectionnez OK.

Name Entrez un nom pour la règle.

Description Vous pouvez entrer une brève description.

State Activez ou désactivez la règle.

Action Autorisez ou bloquer le trafic.

Source Appliquez la règle au trafic provenant de l’adresse source et à destination de votre ordinateur. Sélectionnez Add (Ajouter) pour ajouter l’adresse source. Pour obtenir des informations sur l’ajout d’un groupe d’adresses, consultez la section “Gestion des groupes” à la page 65.

Destination Appliquez la règle au trafic provenant de votre ordinateur et arrivant à l’adresse de destination. Sélectionnez Add (Ajouter) pour ajouter l’adresse de destination. Pour obtenir des informations sur l’ajout d’un groupe d’adresses, consultez la section “Gestion des groupes” à la page 65.


Pare-feu Gestion des groupes

Gestion des groupesPour faciliter la gestion, vous pouvez regrouper les adresses source, adresses de destination, protocoles et programmations d’heures puis utiliser ces groupes lors de la création de règles.

Pour créer un groupe1 Accédez à Firewall > Advanced (Pare-feu > Avancé).

2 Sélectionnez Groups (Groupes).

3 Sélectionnez Address Group (Groupe d’adresses), Protocol Group (Groupe de protocoles) ou Time Group (Groupe d’heures).


5 Entrez un nom et une description.


7 Pour un groupe d’adresses, entrez le sous-réseau, la plage d’adresses IP ou l’adresse IP. Pour un groupe de protocoles, spécifiez le protocole et le numéro de port. Pour un groupe d’heures, spécifiez l’intervalle de jours et d’heures.

8 Sélectionnez OK.

Protocol Sélectionnez Add (Ajouter) pour ajouter un protocole à la règle. Lorsque vous spécifiez le protocole dans la boîte de dialogue Add Protocol (Ajout de protocole), vous pouvez également spécifier les ports source et de destination.

Time Sélectionnez Add (Ajouter) pour ajouter un intervalle de jours/heures pendant lesquels la règle doit être exécutée. Dans la boîte de dialogue Add Time (Ajout de l’heure), spécifiez une description, un intervalle de temps et un ou plusieurs jours. Le format pour l’intervalle de temps est de 24 heures.

Bind this rule to Sélectionnez tous les adaptateurs ou un adaptateur Ethernet unique sur votre ordinateur pour appliquer cette règle.

Remarque : vous pouvez utiliser toute combinaison de critères de filtrage.

Remarque : il est possible de modifier des groupes existants, mais pas de les renommer.


66

Gestion des groupes Pare-feu


Filtrage Web Définition du mot de passe d’administration

Filtrage WebFortiClient End Point Security utilise le service de filtrage Web Fortinet FortiGuard pour vous aider à contrôler l’accès aux URL Web.

Le service de filtrage Web FortiGuard trie des centaines de millions de pages Web et les classe par content catégories de contenu. Chaque site Web appartient à une ou plusieurs catégories. Les sites Web non évalués constituent également une catégorie.

Le service de filtrage Web FortiGuard peut également attribuer une ou plusieurs catégories aux sites Web fournissant du contenu en cache tels que le site de recherches Google ou les sites Web autorisant les recherches d’images et de fichiers audio ou vidéo.

Votre ordinateur FortiClient accède au service de filtrage Web FortiGuard le plus proche pour déterminer les catégories et la classification d’une page Web requise. L’application FortiClient bloque la page Web si elle est comprise dans une catégorie ou classification que vous avez bloquée.

Les profils de filtrage Web spécifient les catégories et classifications de sites Web autorisées ou bloquées. Il existe trois profils de filtrage Web prédéfinis : Default (Par défaut), Child (Contenu pour enfants) et Adult (Contenu pour adultes). Vous pouvez modifier les catégories bloquées de chaque profil et créer des profils si nécessaire.

Spécifiez le profil correspondant à chaque utilisateur de l’ordinateur. Par exemple, utilisez le profil d’accès Web prédéfini de contenu pour enfants pour empêcher vos enfants d’accéder à des sites Web inappropriés. Vous pouvez également spécifier un profil général s’appliquant aux utilisateurs inconnus.

Le service de filtrage Web de FortiClient filtre à la fois le trafic Web HTTP et HTTPS. Le processus de filtrage ne compromet aucunement la sécurité de la connexion HTTPS.

Le service de filtrage Web de FortiClient vous permet aussi de spécifier les URL à toujours bloquer ou à autoriser en contournant le filtre Web.

Définition du mot de passe d’administrationVous devez définir un mot de passe pour empêcher les utilisateurs de modifier les paramètres de filtrage Web et d’arrêter ou de désinstaller le programme.

Pour définir le mot de passe1 Accédez à WebFilter (Filtrage Web).

2 Sélectionnez Change Password (Modifier le mot de passe).

3 Entrez un mot de passe et sélectionnez OK.

Remarque : si le service FortiGuard n’est pas accessible ou si l’abonnement a expiré, les URL ne sont pas bloquées même si l’option Block all unrated URLs (Bloquer toutes les URL non évaluées) est activée.


68

Modification des paramètres de filtrage Web Filtrage Web

Modification des paramètres de filtrage WebLes profils de filtrage Web déterminent les catégories de sites Web bloquées. Vous pouvez modifier les profils de filtrage Web prédéfinis ou définir des profils supplémentaires si nécessaire.

Vous pouvez attribuer un profil de filtrage Web à chaque utilisateur et attribuer un profil général s’appliquant à tout utilisateur non spécifié dans les paramètres définis par utilisateur.

Configuration des paramètres généraux de filtrage WebFortiClient inclut trois profils prédéfinis pour autoriser ou bloquer différents combinaisons de catégories Web.

Il est impossible de supprimer les profils prédéfinis. Vous pouvez, par contre, les modifier. Vous pouvez également spécifier des URL à toujours bloquer ou devant contourner le filtrage par catégories.

Le profil général s’applique à tout utilisateur dont le profil ne présente pas de paramètres par utilisateur.

Figure 18 :Paramètres généraux de filtrage Web

Default Profil de filtrage Web par défaut, identique à l’origine au profil de contenu pour enfants.

Child Bloque les catégories non appropriées aux enfants.

Adult Bloque uniquement les sites Web violant les paramètres de sécurité.


Filtrage Web Configuration des paramètres généraux de filtrage Web

Pour configurer des paramètres généraux de filtrage Web1 Accédez à Filtrage Web.

2 Sélectionnez Modify Settings (Modifier les paramètres).

3 Entrez le mot de passe si vous en avez défini un.

4 Dans la boîte de dialogue des paramètres de filtrage Web, sélectionnez Enable webfilter (Activer le filtrage Web).

5 Vous pouvez également modifier le profil général. Vous devez ensuite choisir d’appliquer les modifications de manière permanente, jusqu’à la fermeture de session de l’utilisateur actuel ou pendant les 20, 60 ou 120 prochaines minutes.

Le profil général s’applique aux utilisateurs non répertoriés dans les paramètres par utilisateur.

6 Vous pouvez aussi sélectionner Edit List (Modifier liste) pour spécifier les URL à toujours bloquer ou devant contourner le filtrage Web. Consultez la section “Pour spécifier des URL à bloquer ou à contourner”.

7 Vous pouvez également sélectionner Block all unrated URLs (Bloquer toutes les URL non évaluées), sinon toutes les URL non évaluées seront autorisées.

8 Sélectionnez OK.

Pour spécifier des URL à bloquer ou à contourner1 Sélectionnez Edit List (Modifier liste).


3 Dans la boîte de dialogue Set URL permission (Définition de l’autorisation d’URL), entrez l’URL.

Dans le champ URL, vous pouvez entrer :• des caractères de remplacement (* et ?) à l’intérieur des URL ;• des URL complètes ;• des adresses IP ;• des URL partielles ;• des types de fichier tels que *.jpg pour bloquer tous les fichiers jpeg et *.swf

pour bloquer toutes les animations flash.

4 Sélectionnez Block (Bloquer) ou Bypass (Contourner).

5 Sélectionnez OK.

6 Répétez les étapes 2 à 5 pour chaque URL à ajouter.

Vous pouvez également modifier des entrées existantes ou supprimer des entrées indésirables.


8 Sélectionnez OK.


70

Gestion des profils de filtrage Web Filtrage Web

Gestion des profils de filtrage WebL’onglet Profile Management (Gestion des profils) des paramètres de filtrage Web permet de :

• modifier des profils existants ;• créer des profils ;• supprimer des profils indésirables (sauf les profils par défaut, de contenu pour

enfants et de contenu pour adultes).

Figure 19 :Profils de filtrage Web

Pour modifier les profils1 Accédez à Filtrage Web.



4 Sous l’onglet Global Settings (Paramètres généraux), vérifiez que l’option Enable webfilter (Activer le filtrage Web) est sélectionnée.

5 Sélectionnez l’onglet Profile Management (Gestion des profils).

6 Effectuez l’une des procédures suivantes :• Sélectionnez un profil dans la liste et modifier ses paramètres dans la section

Settings of selected profile (Paramètres du profil sélectionné). Un “X” rouge indique une catégorie ou classification bloquée.

• Sélectionnez un profil dans la liste et cliquez sur Restore Defaults (Restaurer les paramètres par défaut) pour annuler toutes les modifications.

• Sélectionnez un profil indésirable dans la liste et cliquez sur Delete Profile (Supprimer le profil) pour le supprimer.


Filtrage Web Configuration des paramètres de filtrage Web par utilisateur

• Sélectionnez Create Profile (Créer un profil) pour créer un profil. Vous pouvez copier un profil existant ou créer un profil vierge autorisant toutes les catégories. Modifiez les paramètres si nécessaire. Sélectionnez Rename Profile (Renommer le profil) pour renommer le profil si nécessaire.

7 Vous pouvez aussi sélectionner Edit List (Modifier liste) pour spécifier les URL à toujours bloquer ou devant contourner le filtrage Web.

Pour spécifier des URL à bloquer ou à contourner1 Accédez à WebFilter > WebFilter (Filtrage Web > Filtrage Web).



4 Sous l’onglet Profile Management (Gestion des profils), sélectionnez le profil pour lequel vous souhaitez spécifier des URL.

5 Sélectionnez Edit List (Modifier liste).


7 Dans la boîte de dialogue Set URL permission (Définition de l’autorisation d’URL), entrez l’URL.

Dans le champ URL, vous pouvez entrer :• des caractères de remplacement (* et ?) à l’intérieur des URL ;• des URL complètes ;• des adresses IP ;• des URL partielles ;• des types de fichier tels que *.jpg pour bloquer tous les fichiers jpeg et *.swf

pour bloquer toutes les animations flash.

8 Sélectionnez Block (Bloquer) ou Bypass (Contourner).

9 Sélectionnez OK.

10 Répétez les étapes 6 à 9 pour chaque URL à ajouter.

Vous pouvez également modifier des entrées existantes ou supprimer des entrées indésirables.


12 Sélectionnez OK.

Configuration des paramètres de filtrage Web par utilisateurSi vous disposez de privilèges administrateur, vous pouvez spécifier les profils de filtrage Web à appliquer à chaque utilisateur. Le profil général spécifié dans les paramètres généraux s’applique à tout utilisateur non spécifié dans les paramètres par utilisateur.

Pour spécifier les paramètres de filtrage Web par utilisateur1 Accédez à WebFilter (Filtrage Web).



4 Dans la boîte de dialogue des paramètres de filtrage Web, sélectionnez Enable webfilter (Activer le filtrage Web).


72

Configuration des paramètres de filtrage Web par utilisateur Filtrage Web

5 Sélectionnez l’onglet Per User Settings (Paramètres par utilisateur).

6 Effectuez l’une des procédures suivantes :• Pour ajouter un paramètre utilisateur, sélectionnez Add (Ajouter), entrez ou

sélectionnez un nom d’utilisateur, sélectionnez le profil à appliquer et cliquez sur OK.

• Pour modifier un paramètre utilisateur, sélectionnez le nom d’utilisateur, sélectionnez Edit (Modifier), sélectionnez un autre profil et cliquez sur OK.

• Pour supprimer un paramètre utilisateur, sélectionnez le nom d’utilisateur puis cliquez sur Delete (Supprimer).

7 Sélectionnez OK.


Anti-Spam

Anti-SpamLa fonction Anti-Spam est un plug-in pour Microsoft Outlook et Microsoft Outlook Express (version 2000 ou supérieur). Elle est prise en charge par le service Fortinet FortiGuard AntiSpam. Une fois cette fonction activé et installée dans Outlook/Outlook Express, elle filtre votre courrier entrant et crée un dossier de spam dans Outlook/Outlook Express pour collecter le spam automatiquement.

Vous pouvez procéder comme suit :

• Installation du plug-in anti-spam• Activation de la fonction Anti-Spam• Ajout de listes de mots autorisés, bloqués ou proscrits• Marquage manuel des messages électroniques• Envoi des messages électroniques mal évalués à Fortinet

Figure 20 : Anti-Spam

Figure 21 : Plug-in anti-spam dans Outlook

Remarque : sous Microsoft Windows Vista, la fonction Anti-Spam fonctionne dans Outlook mais pas dans Windows Mail.


74

Installation du plug-in anti-spam Anti-Spam

Installation du plug-in anti-spamInstallez le plug-in anti-spam dans Microsoft Outlook ou Microsoft Outlook Express (version 2000 ou supérieur).

Pour installer le plug-in anti-spam dans Outlook1 Sur votre ordinateur n’est pas équipé du logiciel Microsoft Outlook ou Microsoft

Outlook Express, installez-le.

2 Installez le logiciel FortiClient.

3 Redémarrez votre ordinateur.

Un dossier de spam apparaît dans la liste des dossiers Outlook. Les spams reçus seront automatiquement placés dans le dossier de spam.

Les icônes du site Web Fortinet, Mark As Spam (Marquer comme spam) et Mark Not Spam (Marquer comme non-spam) apparaissent dans la barre d’outils d’Outlook.

Activation de la fonction Anti-SpamVous devez activer la fonction Anti-Spam de FortiClient pour que le plug-in d’Outlook fonctionne.

Pour activer la fonction Anti-Spam1 Accédez à AntiSpam > Settings (Anti-Spam > Paramètres).

2 Sélectionnez Enable AntiSpam (Activer Anti-Spam).


Ajout de listes de mots autorisés, bloqués ou proscritsVous pouvez autoriser (liste autorisée) ou bloquer (liste bloquée) des adresses électroniques et interdire les messages électroniques contenant les mots que vous spécifiez. Ainsi, le courrier entrant sera d’abord filtré en fonction de ces listes.

• Si l’adresse électronique se trouve dans la liste autorisée et si le message ne contient aucun des mots proscrits, il sera envoyé dans la boîte de réception sans être filtré.

• Si l’adresse électronique se trouve dans la liste bloquée ou si le message contient des mots proscrits, il sera envoyé dans le dossier de spam.

• Si l’adresse électronique ne se trouve ni dans la liste autorisée ni dans la liste bloquée et si le message ne contient aucun mot proscrit, il sera filtré par le service Fortinet FortiGuard AntiSpam.

Remarque : dans Outlook Express, la fonction Anti-Spam ne fonctionne pas avec un serveur de messagerie IMAP.


Anti-Spam Marquage manuel des messages électroniques

Pour ajouter des listes autorisées/bloquées1 Accédez à AntiSpam > Settings (Anti-Spam > Paramètres).

2 Dans le panneau des listes autorisée/bloquée, sélectionnez Add (Ajouter).

3 Entrez l’adresse électronique à bloquer ou autoriser.

4 Sélectionnez Block (Bloquer) pour ajouter l’adresse à la liste bloquée et Allow (Autoriser) pour l’ajouter à la liste autorisée.

5 Sélectionnez OK.

6 Pour modifier un élément de la liste, sélectionnez-le et cliquez sur Edit (Modifier).

7 Pour supprimer un élément de la liste, sélectionnez-le et cliquez sur Delete (Supprimer).

Pour ajouter des mots proscrits1 Accédez à AntiSpam > Settings (Anti-Spam > Paramètres).

2 Dans le panneau de la liste de mots proscrits, sélectionnez Add (Ajouter).

3 Entrez le mot que vous souhaitez proscrire.

4 Sélectionnez OK.

5 Pour modifier un élément de la liste, sélectionnez-le et cliquez sur Edit (Modifier).

6 Pour supprimer un élément de la liste, sélectionnez-le et cliquez sur Delete (Supprimer).

Marquage manuel des messages électroniquesVous pouvez marquer manuellement un message électronique comme étant du spam ou un courrier inoffensif.

Si vous n’avez pas activé la fonction Submit mis-rated Email automatically (Envoyer automatiquement les messages électroniques mal évalués, vous serez invité à envoyer un message électronique sélectionné à Fortinet lorsque vous le marquerez comme étant du spam ou du courrier inoffensif. Sinon, le message électronique sélectionné sera automatiquement envoyé à Fortinet pour être traité dans la base de données FortiGuard. Pour plus d’informations, consultez la section “Envoi des messages électroniques mal évalués à Fortinet” à la page 76.

Pour marquer manuellement un message électronique comme étant du spam

1 Ouvrez Microsoft Outlook ou Microsoft Outlook Express.

2 Si vous trouvez un message de spam dans votre dossier de boîte de réception, sélectionnez-le.

3 Sélectionnez l’icône Mark As Spam (Marquer comme spam) dans la barre d’outils.

Remarque : lors de l’ajout de mots proscrits et d’adresses électroniques à la liste autorisée/bloquée, vous pouvez utilisez des méta-caractères d’expressions régulières.


76

Envoi des messages électroniques mal évalués à Fortinet Anti-Spam

Le message électronique est envoyé dans le dossier de spam. Il est également transféré à Fortinet. Lors de la prochaine mise à jour du logiciel FortiClient, le plug-in d’Outlook mettra à jour sa base de données de spam de sorte que les messages électroniques reçus du même expéditeur ou de la même adresse soient envoyés dans le dossier de spam.

Pour marquer manuellement un message électronique comme étant inoffensif

1 Ouvrez Microsoft Outlook ou Microsoft Outlook Express.

2 Si vous trouvez un message électronique inoffensif dans le dosser de spam, sélectionnez-le.

3 Sélectionnez l’icône Mark Not Spam (Marquer comme non-spam) dans la barre d’outils.

Le message électronique est envoyé dans le dossier de boîte de réception. Il est également transféré à Fortinet. Lors de la prochaine mise à jour du logiciel FortiClient, le plug-in d’Outlook mettra à jour sa base de données de spam de sorte que les messages électroniques reçus du même expéditeur ou de la même adresse ne soient pas envoyés dans le dossier de spam.

Envoi des messages électroniques mal évalués à FortinetVous pouvez configurer le programme FortiClient pour qu’il envoie automatiquement au service Fortinet FortiGuard AntiSpam les messages électroniques mal évalués, c’est-à-dire les messages inoffensifs classés comme étant du spam ou les messages de spam classés comme étant inoffensifs. Cela permet d’améliorer la précision du filtrage de messages électroniques. Dans ce cas, vous ne serez pas invité à envoyer manuellement les messages électroniques mal évalués.

Vous pouvez également configurer le programme FortiClient pour qu’il arrête d’inviter les utilisateurs à envoyer manuellement les messages électroniques mal évalués. Dans ce cas, aucun message électronique mal évalué ne sera envoyé à Fortinet.

Pour plus d’informations, consultez la section “Marquage manuel des messages électroniques” à la page 75.

Pour configurer l’envoi des messages électroniques mal évalués à Fortinet1 Accédez à AntiSpam > Settings (Anti-Spam > Paramètres).

2 Sélectionnez Submit mis-rated Email automatically (Envoyer automatiquement les messages électroniques mal évalués).


Pour arrêter d’inviter les utilisateurs à envoyer manuellement les messages électroniques mal évalués

1 Accédez à AntiSpam > Settings (Anti-Spam > Paramètres).

2 Sélectionnez Don’t prompt users to submit mis-rated email (Ne pas inviter les utilisateurs à envoyer les messages électroniques mal évalués).



AntiLeak

AntiLeakLa fonction AntiLeak empêche la fuite accidentelle d’informations sensibles via les messages électroniques. Lorsque vous envoyez un message électronique à l’aide de Microsoft Outlook (2000 ou supérieur), FortiClient recherche dans les pièces jointes les mots ou motifs figurant dans la liste de mots sensibles. Si l’un des mots ou motifs est détecté, FortiClient consigne le message et peut également bloquer son envoi.

AntiLeak peut examiner les types de fichier suivants :

• texte (.txt)• Microsoft Word (.doc)• Microsoft Excel (.xls)• Microsoft PowerPoint (.ppt)• Adobe Portable Document Format (.pdf)

Sélectionnez l’onglet AntiLeak pour configurer les paramètres de la fonction AntiLeak.

Figure 22 : Paramètres de la fonction AntiLeak

GénéralActiver l’Anti-fuite

Active la fonction AntiLeak. Vous pouvez définir la liste de mots sensibles même si la fonction n’est pas active.

Journaliser cet événement

Consigne les messages électroniques sortants provoquant la fuite d’informations sensibles.

Bloquer toute fuite

Bloque l’envoi des messages électroniques provoquant la fuite d’informations sensibles. Les messages bloqués sont consignés.


78

AntiLeak

Liste de mots sensibles

Les utilisateurs disposant de privilèges administrateur peuvent définir une liste de mots sensibles ou la liste peut faire partie des paramètres de configuration verrouillés.

Ajouter Permet d’entrer un mot une expression.

Edition Permet de modifier l’entrée sélectionnée.

Effacer Permet de supprimer l’entrée sélectionnée.


Maintenance Mise à jour de FortiClient

MaintenanceLa fonction Update (Mettre à jour) permet de mettre à jour les définitions de virus et le moteur antivirus. Grâce à la fonction Backup/Restore (Sauvegarder/Restaurer), vous pouvez enregistrer tous les paramètres FortiClient dans un fichier. Si requis, vous pourrez ultérieurement charger ce fichier pour restaurer tous les paramètres.

Mise à jour de FortiClientVous pouvez afficher les informations de version actuelle des définitions de virus et du moteur antivirus et configurer des mises à jour dans la page Update (Mise à jour).

Chaque copie du logiciel FortiClient dispose d’un identifiant unique appelé UID. L’UID est affiché dans le coin supérieur droit de la page Update (Mise à jour). À chaque fois que FortiClient envoie une requête de mise à jour, il envoie également l’identifiant unique. Si vous rencontrez un problème de mise à jour quelconque, l’assistance technique Fortinet peut se servir de ce numéro pour détecter le problème.

Si l’ordinateur FortiClient utilise un serveur proxy, vous pouvez configurer les paramètres de serveur proxy de sorte que le logiciel FortiClient reçoive des mises à jour via le serveur proxy. Consultez la section “Configuration des paramètres de serveur proxy” à la page 19.

Vous pouvez exécuter les mises à jour manuellement ou programmer des mises à jour quotidiennes automatiques.

Pour lancer des mises à jour immédiates1 Accédez à Maintenance > Update (Maintenance > Mise à jour).

2 Sélectionnez Update Now (Mettre à jour).

Dans Update Status (État de la mise à jour), vous pouvez afficher le processus de mise à jour et les résultats. L’état “No update available” (Aucune mise à jour disponible) signifie que les définitions de virus et le moteur antivirus sont déjà à jour.

Pour programmer des mises à jour1 Dans la section Update Schedule (Programmation de mises à jour), sélectionnez

Enable scheduled update daily (Activer les mises à jour quotidiennes).

2 Effectuez l’une des procédures suivantes :• Sélectionnez Daily (Quotidienne) et entrez l’heure. • Sélectionnez Every (Toutes les) et choisissez la fréquence (1 à 24 heures).



80

Sauvegarde et restauration des paramètres FortiClient Maintenance

Pour mettre à jour manuellement le logiciel et les signatures de virus1 Téléchargez le fichier de package de mises à jour FortiClient (fichier .pkg) sur

l’ordinateur FortiClient.

2 Accédez à Maintenance > Update (Maintenance > Mise à jour) et sélectionnez Manual Update (Mise à jour manuelle).

3 Dans la boîte de dialogue Open (Ouvrir), recherchez le fichier de package de mises à jour et sélectionnez Open (Ouvrir).

Sauvegarde et restauration des paramètres FortiClientSi vous disposez de privilèges administrateur, vous pouvez enregistrer tous les paramètres FortiClient dans un fichier afin de pouvoir facilement les restaurer ultérieurement. Par exemple, si vous devez réinstaller le logiciel après avoir remplacé un disque dur, il vous suffit de charger le fichier de sauvegarde pour restaurer les paramètres FortiClient qui étaient configurés au moment de la sauvegarde. Vous pouvez également utiliser un fichier de sauvegarde unique pour configurer plusieurs installations de FortiClient avec les mêmes paramètres.

Pour sauvegarder les paramètres FortiClient1 Accédez à Maintenance > Backup/Restore (Maintenance > Sauvegarder/

Restaurer).

2 Sélectionnez Backup (Sauvegarder).

3 Entrez un nom de fichier et un emplacement dans la boîte de dialogue Save As (Enregistrer sous).

4 Entrez un mot de passe dans la boîte de dialogue Input Password (Entrer le mot de passe). Entrez le mot de passe à nouveau dans le champ de confirmation pour vérifier que vous n’avez pas fait de faute de frappe. Retenez ce mot passe ; il sera requis lors de la restauration du fichier de sauvegarde.

Pour restaurer les paramètres FortiClient1 Accédez à Maintenance > Backup/Restore (Maintenance > Sauvegarder/

Restaurer).

2 Sélectionnez Restore (Restaurer).

3 Dans la boîte de dialogue Open (Ouvrir), choisissez le fichier à restaurer.

4 Entrez le mot de passe associé au fichier.

FortiClient confirme que la configuration a été restaurée.

5 Sélectionnez OK.

Remarque : le serveur de mises à jour par défaut est forticlient.fortinet.com. Pour utiliser un autre serveur, sélectionnez l’option Use this server to update (Utiliser ce serveur de mises à jour) dans la partie supérieure de la page de mises à jour et entrez l’URL du serveur de mises à jour. Il n’est pas nécessaire de spécifier http:// ou https:// dans l’URL.

Remarque : les fonctions Backup/Restore (Sauvegarder/Restaurer) ne sont pas disponibles si l’application FortiClient est gérée de manière centralisée par une unité FortiManager.


Journaux Configuration des paramètres de journal

JournauxLa fonction de journalisation de FortiClient permet de configurer la journalisation de différents types d’événements pour quelques services FortiClient ou l’ensemble des services FortiClient.

Configuration des paramètres de journalVous pouvez spécifier le niveau de journal, le type de journal, la taille de journal, ainsi que la validité des entrées de journal.

Figure 23 : Configuration des paramètres de journal

Pour configurer les paramètres de journal1 Accédez à Journaux > Paramètres.

2 Entrez la taille de journal maximum.

L’option par défaut est 5 120 Ko. Lorsque la taille maximum de fichier journal est atteinte, les entrées de journal sont remplacées en commençant par les plus anciennes.

3 Entrez la validité maximum.

L’option par défaut est 0 jours. Une validité maximum de 0 jours signifie que les entrées de journal sont conservées jusqu’à ce que la taille de journal maximum soit atteinte. Ces entrées de journal sont supprimées une fois que la validité maximum spécifiée est atteinte.Remarque : si la taille de fichier maximum spécifiée ou si la validité maximum spécifiée est atteinte, selon la première éventualité, les entrées de journal les plus anciennes sont supprimées.


82

Configuration des paramètres de journal Journaux

4 Sélectionnez le niveau de journal.

Vous pouvez choisir Error (Erreur), Warning (Avertissement) ou Information (Informations). L’option par défaut est Warning (Avertissement).

5 Sélectionnez les éléments à journaliser.

Vous pouvez sélectionner Tous les événements ou Cocher pour sélectionner. Si vous sélectionnez Cocher pour sélectionner, vous devez spécifier les types d’événements à journaliser.

6 Sélectionnez Appliquer.

Pour configurer la journalisation à distance1 Accédez à Journaux > Paramètres.

2 Dans la section Journalisation à distance, sélectionnez Serveur et entrez l’adresse IP du serveur ou le nom de domaine complet dans le champ voisin.

3 Sélectionnez FortiAnalyzer si vous utilisez une unité FortiAnalyzer pour enregistrer les journaux, sinon sélectionnez Syslog.

4 Dans la liste Equipements, sélectionnez le nom utilisé pour identifier cet ordinateur FortiClient dans les journaux. L’option par défaut est local7.

5 Si vous enregistrez les journaux au format Syslog, sélectionnez dans la liste de niveaux de journal Syslog le niveau de gravité minimum des journaux à enregistrer.

6 Sélectionnez Appliquer.


Journaux Gestion des fichiers journaux

Gestion des fichiers journauxLe programme d’affichage de journaux peut afficher des journaux de tous les événements ou uniquement des événements associés à un service spécifique. Vous pouvez afficher, enregistrer, supprimer ou actualiser les entrées de journal.

Figure 24 : Affichage des journaux

Pour gérer les messages de journal1 Accédez à Journaux > Affichage des journaux.

2 Dans la liste déroulante, sélectionnez le type d’entrée de journal à afficher.

3 Utilisez les boutons de navigation des journaux pour passer d’une entrée à l’autre ou vous déplacer vers le haut ou le bas du fichier journal. Les entrées de journal les plus récentes apparaissent en haut de liste.

Vous pouvez sélectionner une entrée de journal spécifique dans la fenêtre des journaux afin d’afficher les informations correspondantes complètes.

4 Pour enregistrer les messages de journal, sélectionnez Exporter.

5 Pour supprimer tous les messages de journal, sélectionnez Effacer tout.

6 Pour afficher les messages de journal les plus récents, sélectionnez Rafraîchir.


84

Gestion des fichiers journaux Journaux


Index

Guide de04-30007

IndexAadresse électronique

requête de certificat local 38adresse IP

requête de certificat local 38AntiLeak 77Anti-Spam

activation 74antivirus 43assistance technique 11authentification 35authentification avancée

configuration 30

BBeep when connection error occurs, option 32

Ccatégories

filtrage Web 67certificat

carte à puce 40eToken 40importation d'un certificat d'autorité de certification

41certificat d'autorité de certification

importation 41obtention d'un certificat d'autorité de certification 41récupérer 41

certificat de carte à puce 40certificat eToken 40certificat local

adresse électronique 38adresse IP 38demande 39département 38e-mail 38entreprise 38état/région 38importation d'un certificat local signé 40nom de domaine 38pays 38récupération d'un certificat local signé 40ville 38

certificat local signédemande 39importation 40

classificationfiltrage Web 67

clésaisie d'une clé de licence 17

clé de licencesaisie 17

commentaires sur la documentation technique deFortinet 10configuration

erreur 36conservation automatique de connexion active 28contrôle des connexions VPN 34

Ddemander un certificat local signé 39dépannage

VPN 36département

requête de certificat local 38détection d'indisponibilité DPD 28détection des intrusions 63déverrouillage de FortiClient 18données de configuration 14

Ee-mail

requête de certificat local 38entrée de la liste de démarrage

restauration des entrées modifiées ou rejetées dela liste de démarrage 55

entrées de la liste de démarrageaffichage 55

entrepriserequête de certificat local 38

erreurconfiguration 36

état/régionrequête de certificat local 38

excluresélection des types de fichier à exclure 48

exportationrequête de certificat local 39

extension de fichierajout à la liste de types de fichier ou à la liste

d'exclusions 48

Ffenêtre de scan antivirus

affichage 45fichier journal

affichage 83configuration des paramètres 81

fichiers en quarantainegestion 52

l'utilisateur FortiClient End Point Security Version 3.0 MR7 -0271-20081022 85

86

Index

filtrage Web 67catégories 67classification 67paramètres 68paramètres généraux 68paramètres par utilisateur 71profils 70URL à bloquer ou à contourner 71

fréquence de conservation de connexion active 28

Ggérer

fichiers en quarantaine 52fichiers journaux 83scans programmés 45

gestion des certificats numériquesgestion des certificats 36

groupe DHparamètre de stratégie 27

Iicône

état 8icônes d'état 8importer

certificat d'autorité de certification 41certificat local signé 40liste de révocation de certificats 42

installation 13installer

configuration 14données 14journal 16mettre à niveau 14

Jjournalisation 16journaux 81

gestion des fichiers journaux 83

KKeep IPSec service running forever unless manuallystopped, option 32

Llangues prises en charge 14lecteurs amovibles

scan complet du système 45scanner lors de l'insertion 47

liste d'exclusionsajout d'une nouvelle extension de fichier 48

liste de révocation de certificatsimportation 42obtention d'une liste de révocation de certificat 42récupérer 42

logiciel FortiClientmise à jour manuelle 79, 80

Mmessage électronique

marquage manuel 75message électronique mal évalué

envoi 76mettre à jour

logiciel FortiClient 79, 80mise à niveau 14mode

paramètre de stratégie 26modèles FortiGate

prises en charge par FortiClient 14

NNAT traversal 28nom de domaine

requête de certificat local 38

Oobtention d'un certificat local signé 37OCSP, activation 42octets

trafic VPN entrant 35trafic VPN sortant 35

optionsde connexion VPN 32

Ppage de code 14paquets

trafic VPN sortant 35paramètres

généraux 17paramètres antivirus

configuration 46paramètres de stratégie

modification des paramètres hérités 25modification des paramètres par défaut 25

paramètres de stratégie héritésmodifier 25

paramètres de stratégie par défautmodification 25

paramètres généraux 17passerelle FortiGate

se connecter à 33passerelle locale 34pays

requête de certificat local 38PFS

paramètre VPN avancé 28plug-in anti-spam

installation 74présentation 7profils

filtrage Web 70programmation de mises à jour

paramètre 79


Index

Guide de04-30007

propositionIKE 26IPSec 27

propositions IKE 26propositions IPSec 27protection

configuration en temps réel 51protection contre la fuite d'informations 77protection en temps réel

configuration 50, 51

Rrécupérer

certificat d'autorité de certification 41certificat local signé 40liste de révocation de certificats 42

réseau FortiGatese connecter au 33

réseau FortiGate distantse connecter au 33

restaurerentrée modifiée de la liste de démarrage 55entrée rejetée de la liste de démarrage 55fichier en quarantaine 52

résumé du traficaffichage 35

Ssaisie d'une clé de licence 17scan

antivirus 43lecteurs amovibles 45, 47scan antivirus de fichiers dans un répertoire

spécifié 44sélection des types de fichier à scanner 48

scan de courrier 52scan rapide

exécution 44se connecter

à une passerelle FortiGate distante 33au réseau FortiGate distant 33

service clientèle 11service clientèle Fortinet 11Start VPN before logging onto Windows, option 32stratégie

sécurité d'entreprise, mise en conformité avec 18stratégie d'entreprise

mise en conformité avec 18stratégie de sécurité

mise en conformité avec 18

stratégiesconfiguration IKE, IPSec 25

stratégies IKE et IPSecconfiguration 25

stratégies IPSecconfiguration 25

Ttypes de fichier

ajout d'une nouvelle extension de fichier 48sélection des types de fichier à scanner ou à

exclure 48

UURL

bloquer ou contourner 68

Vvalidité clé

trafic VPN sortant 27verrouillage de FortiClient 18versions FortiOS

prises en charge par FortiClient 14ville

requête de certificat local 38VPN

acquisition d'adresses IP virtuelles 28, 29alarme audible d'échec ce connexion 32autorisation étendue 30certificat de carte à puce 40certificats 36configuration automatique de la connexion 22configuration des stratégies IKE et IPSec 25configuration manuelle de la connexion 22connexion au réseau distant 33connexion avant l'ouverture d'une session

Windows 33contrôle des connexions 34démarrage avant la connexion au réseau 32dépannage 36importer, exporter fichiers de stratégies 35modification des paramètres hérités et

par défaut 25options de connexion 32paramètres de base 23présentation 21rétablir les connexions rejetées 32tester la connexion 31utilisation du client VPN FortiClient 31

l'utilisateur FortiClient End Point Security Version 3.0 MR7 -0271-20081022 87

88

Index


www.fortinet.com

Guide de l'utilisateur FortiClient End Point Security...

Documents

Transcript of Guide de l'utilisateur FortiClient End Point Security...