- La copie de fichiers s'effectue alors...
- Une fois la copie effectuée, l'installation est terminée.
- Laissez l'option Start Online Armor
cochée afin de lancer le programme
- Cliquez sur le bouton Finish
pour fermer le programme d'installation.
Assistant
de configuration d'Online Armor
L'assistant de configuration du programme démarre. Ce dernier vous
aidera afin de configurer Online Armor lors du premier démarrage.
- Cliquez sur le bouton Next
pour passer à l'étape suivante
- L'assistant d'Online Armor scanne ensuite les programmes
présents sur votre disque afin d'établir les règles sur pare-feu pour
éviter d'obtenir trop de popups d'alertes dans les premières
utilisations.
- Les éléments passés avec succès apparaissent en vert Passed,
ceux qui doivent demander une vérification apparaissent avec la mention
Needs
Attention.
- Cliquez sur le bouton Next
pour passer à l'étape suivante
- De même, Online Armor vous donne la liste des programmes
inconnus qui se lancent automatiquement au démarrage de l'ordinateur.
- Vous pouvez appliquer les conseils donnés précédemment en
ne
donnant accès qu'aux programmes que vous connaissez. Vous pouvez vous
aider de la colonne Name
qui peut vous donner des infos sur le
programme.
- N'hésitez pas à faire une recherche Google sur le nom du
fichier afin d'obtenir des informations sur l'application (néfaste ou
légitime).
- Cliquez sur le bouton Next
pour passer à l'étape suivante
- L'assistant ouvre ensuite les options de configuration
d'Online Armor. A noter, que dans la version gratuite, beaucoup
d'options ne sont malheureusement pas disponibles.
- L'onglet Général
permet de configurer les mises à jour automatiques (non dispo dans la
version
gratuite).
- Possibilité de configurer l'envoi automatique et
anonyme des informations sur les programmes installés sur votre
ordinateur, ceci afin d'améliorer leurs futurs détections automatiques.
- Possibilité de générer ou non des alertes lors de
l'exécution de
programmes inconnues : Prompt when running unknown
programs
- Enfin de masquer le boot splash au démarrage d'Online
Armor
: Hide
Boot Spash Window
L'onglet Firewall permet de
configurer les options du pare-feu, notamment :
- Enable logging :
L'enregistrement des évènements dans le journal
- Rules logging : L'enregistrement
des règles dans le journal.
- Le niveau d'enregistrement des règles (Default Logging Level),
par défaut, seul les évènements bloqués sont enregistrés.
- Le contrôle des applications soit sur le Hash, (MD5,
SHA1),
soit Hash+Chemin de l'application afin de vérifier si elles ont été
modifiées (soit patch, soit infection par un virus).
- Show firewall activity in tray :
voir l'activité du pare-feu sur le systray
- Notify me when programes are
autotrusted : avoir une notification quand
un programme est classé comme sûr automatiquement.
- Cliquez sur le bouton Next
pour passer à l'étape suivante
- La configuration d'Online Armor est maintenant terminée.
- L'ordinateur a besoin de redémarrer, laissez l'option
Restart computer cochée puis cliquez sur le bouton Finish
Présentation
d'Online Armor
Icone
et menu Online Armor
Après le redémarrage, une icône avec un bouclier blanc et bleu est
ajoutée dans la zone systray (en bas à droite à côté de l'horloge).
En effectuant un clic droit
sur cette icône, le menu d'Online Armor apparaît.
Voici un petit tour des options disponibles sur ce menu.
Configuration :
ouvre la fenêtre de configuration d'Armor Online (voir plus bas).
Check
for product update : vérifie les éventuelles
mises à jour du produit. Online Armor télécharge et applique les mises
à jour.
Check
for dictionary update only : vérifie les
mises à jour du dictionnaire
Help
: ouvre l'aide d'Online Armor (en anglais)
Tall
Emu on the Web : ouvre le site WEB de
l'éditeur d'Online Armor
Set
Password : permet de protéger la
configuration d'Online Armor par un mot de passe.
Standard
Mode & Advanced mode : permet de
basculer du mode Standard au mode avancé (non disponible dans la
version free). En mode Advanced, vous pouvez affiner la configuration
du pare-feu et autres éléments de protection.
Sont listées ensuite les protections (
Mail Shield, Web Shield, Program
Guard, Firewall). Les protections actives
sont cochées. Dans la version Free le Mail et Web Shield ne sont pas
disponibles.
Show
Scan Program : affiche une barre de
progression du scan (qui peut aussi être masquée via un bouton hide)
Learning
Mode : active le mode apprentissage d'Online
Armor
Deactivate
HIPS features : Désactive la partie HIPS
d'Online Armor.
Close
and Shutdown Online Armor : Ferme et arrete
la protection Online Armor
Close
Gui Interface : Ferme la fenêtre Online Armor
Interface
d'Online Armor
Le menu de configuration d'Online Armor s'ouvre via un clic droit sur
l'icône en bas à droite à côté de l'horloge puis
Configuration
L'interface se présente avec une liste d'onglets à gauche.
Encore une fois, dans la version free certains onglets sont grisés et
non accessibles.
Menu
Général
Sont listées les protections actives (elles sont cochées), en décochant
une protection, vous pouvez la désactiver.
Menu
Programs
L'onglet
Programs
liste les programmes qui ont accès ou non en exécution sur Online
Armor. C'est la partie IDS du programme (se reporter à l'article
Améliorer la sécurité de votre PC avec
les IDS / HIPS).
Ceci permet de bloquer l'exécution de programmes non voulus ou après
l'exploitation d'une vulnérabilité sur
les sites WEB piégés
par exemple.
On retrouve alors les icônes de l'assistant de configuration, à savoir :
sont les applications autorisées à être
exécutées
sont les applications qui seront blocquées
par Online Armor
sont les applications qui vont générer une
alerte (voir plus bas) lors de leur exécution.
Les boutons en bas :
- Allow :
permet de laisser l'application s'exécuter
- Block :
Online Armor va bloquer l'exécution de l'application
- Ask :
une popup d'alerte pour vous demander si l'application a le droit ou
non de s'exécuter s'ouvrira lors de l'exécution du programme.
- Delete :
supprimer le programme de la liste.
Note : le
bouton en bas à gauche Hide Trusted masque les applications marquées
comme sûr et reconnues par Online Armor.
Un clic droit sur le
programme permet :
- Show file information :
obtenir des informations sur le fichier (en général, ce que l'on
obtient via un clic droit puis propriétés sur le fichier d'exécution).
- Run :
permet d'exécuter le fichier.
- Advanced options :
ouvre les options avancées (voir ci-dessous).
- Trust :
permet de classer le programme comme sûr.
- Delete :
supprime l programme de la liste.
- Add to list :
ajoute un programme à la liste.
Les options avancées
ouvrent la popup ci-dessous.
Il est alors possible de régler les permissions sur l'application en
cliquant sur les icônes devant chaque option, l'icône bascule alors en
Allow/Block ou Ask.
Voici les options de sécurité disponibles depuis les options avancées :
- start applications
; bloque l'exécution d'une autre application tiers.
- global hooks
: empêche l'application d'installer des hooks globaux
- physical memory access :
empêche l'accès en mémoire physique
- remote code :
empêche l'exécution de code distant
- remote data modification :
empêche la modification de données en mémoire des autres processus.
- suspend process/thread :
empêche la suspension d'exécution de processus ou thread
- system shutdown :
empêche l'extinction du système.
En outre dans la partie base de la fenêtre, il est possible de protéger
l'application :
- Restart if terminarted :
relance l'application automatiquement si celle-ci est terminée
- Protect from termination :
protège l'application contre la "termination" (par exemple lorsque vous
tentez d'arreter le processus depuis le gestionnaire de tâches).
- Protect from suspend :
protège le processus contre la suspension d'exécution
- Protect from remote code control
: protège contre l'exécution de code à
distance
- Protect from remote data
modification : protège les données en mémoire
de modifications par une application tiers.
Popups
& alertes de programmes
Lorsqu'un nouveau programme qui n'est pas connu d'Online Armor est
exécuté, Online Armor va ouvrir une popup d'alerte afin de vous
demander si ce programme a bien le droit d'effectuer l'opération
souhaitée.
Voici un exemple de popups, ci-dessous gmer.exe wants to start another
process.
Le programme
gmer tente de démarrer un autre
program (gmer.sys). Online Armor vous demande alors si ce dernier a
bien le droit d'effectuer cette opération.
Vous avez le choix entre
Allow
(permettre) ou
bloquer
(Block).
L'option
Remember my decision
cochée en bas permet de créer une règle (qui sera visualisable dans
l'onglet Programs) afin qu'Online Armor ne vous repose plus la question
à la prochaine exécution de
gmer
De même, lors de
l'installation de la Google Toolbar, une alerte s'ouvre vous demandant
si Internet Explorer doit bien installer la BHO (barre d'outils) pour
Internet Explorer, cette dernière se trouve sur C:\Program
Files\Google\GoogleToolbarNotifier
Online Armor vous demande si vous êtes en
train d'installer un composant supplémentaire pour Internet Explorer :
Are you installing an Internet Explorer enchancement?
C'est bien le cas, nous pouvons donc
autoriser l'action via le bouton Allow.
Bien entendu, il faut faire
très attention et appliquer la règle
suivante : ne jamais
donner accès à une application dont on ne
connaît pas la provenance.
Startup
Items
Startup Items liste les programmes au démarrage de Windows (voir aussi
L'utilitaire
Windows MsConfig)
De même, il est possible d'autoriser ou bloquer l'exécution de
programmes au démarrage de Windows.
Les boutons suivants, en bas de la fenêtre :
- Allow :
permet l'exécution du programme sélectionné dans la liste au démarrage
de Windows
- Allow all :
permet l'exécution de tous les programmes listés
- Block :
permet de bloquer l'exécution du programme sélectionné dans la liste au
démarrage de WindowsDelete : supprime le programme de la liste
- Delete :
supprime le programme sélectionné de la liste.
Un clic droit sur le
programme puis Show file information
ouvre des information sur l'application.
Le bouton More
ouvre des informations sur le programme sur le site d'Online Armor.
IE
Addon-ons
Liste les BHO, toolbars et addons du navigateur WEB : Internet Explorer.
De même, il est possible de bloquer l'exécution de ces extensions.
Pour plus d'informations sur le fonctionnement des BHO, se reporter à
la page :
BHO, plugins & add-ons sur Internet
Explorer
HOSTS
Permet de gérer le fichier HOSTS de Windows.
Pour rappel, ce fichier permet de modifier les résolutions de noms, ce
qui peut être utiliser pour vous rediriger vers des sites non souhaités
ou empêcher les mises à jour de votre antivirus.
Pour plus d'informations, se reporter à la page :
Le
fichier HOSTS dans la résolution DNS sous Windows et GNU/Linux
Online Armor permet de supprimer une entrée via le bouton
Delete
ou interdire son interprétation par le système (
Deny).
Pare-feu
/ Firewall
Le pare-feu permet de filtrer le trafic réseau.
Le pare-feu permet d'augmenter de manière sensible la sécurité d'un
ordinateur car il peut bloquer le trafic réseau d'une application, ce
qui dans le cas, par exemple d'un trojan-downloader peut empêcher de
télécharger le reste de l'infection.
Pour plus d'informations, sur le fonctionnement des pare-feux sous
Windows, se reporter à l'article :
Le fonctionnement et l'importance d'un
pare-feu)
En
mode
Standard (pour rappel le mode Advanced n'est
pas disponible dans la version Free), on retrouve dans l'onglet
Program
access les programmes qui ont accès ou non au
réseau.
Les icônes :
- sont les applications autorisées à accéder
au réseau.
- sont les applications qui n'ont pas le droit
accéder au réseau.
- sont les applications qui vont générer une
alerte (voir plus bas) lors de leurs exécutions.
Les icônes
Allow/Block
permettent de donner accès ou non à l'application sélectionnée dans la
liste.
Un clic droit sur une application ouvre un menu déroulant qui permet
via le bouton :
- Allow
d'autoriser l'accès au réseau pour l'application sélectionnée
- Block
de bloquer l'accès au réseau pour l'application sélectionnée
- Delete Selection
supprime l'application de la liste
- Delete All
supprime tous les applications de la liste
- Goto Rules
ouvrent les règles du pare-feu pour cette application dans l'onglet
Rules
- Export/Import
permet d'importer/exporter les règles
L'onglet Rules affichent
les règles du pare-feu pour chaque application.
Sont affichés, le nom du programme, les protocoles, les ports
de
connexions.
Il est possible de créer une supprimer une règle via les boutons en bas
New
Rule/Delete Rule.
Voici une exemple de règle
en mode Standard,
Vous pouvez alors interdire ou autoriser la connexion selon le
protocole, la direction et les ports.
Vous pouvez aussi enregistrer ou non les connexions/interdictions sur
le journal via le menu déroulant logging.
Lorsqu'une nouvelle
application inconnue d'Online Armor tente de se connecter sur le
réseau, vous obtenez une alerte similaire à celle ci dessous.
Online Armor vous informe alors que l'application tente d'accéder à
internet, il est alors possible :
- d'autoriser la connexion via le bouton Allow
- bloquer la connexion via le bouton Block
En outre, les options en bas à gauche de la popup :
- Create rule
permet de créer une règle sur le pare-feu afin d'éviter toute nouvelle
alerte lors de la prochaine exécution de l'application
- Current session
only permet de donner accès à internet à cette application seulement
pour la session en cours.
Bien entendu, il faut faire
très attention et appliquer la règle
suivante :
ne jamais
donner accès à internet sur le pare-feu à une application dont on ne
connaît pas la provenance sinon on obtiendra le résultat
ci-dessus, un fichier infectieux qui aura accès à internet sur le
pare-feu.
Enfin, Un clic droit sur l'icône d'Online Armor puis Firewall status permet d'ouvrir une fenêtre qui affiche le débit.
Vous avez en haut des graphiques avec le trafic entrant et sortant et le nombre de connexion établies.
En dessous, les applications en cours de connexion avec le PID, le débit entrant/sortant.
Tout en bas, les connexions établies avec les droits locales et distantes et leurs ports respectifs.
History
(Journal)
Permet de visualiser les évènements comme l'interdiction de connexion
pour une application sur le pare-feu, l'autorisation d'exécution d'une
nouvelle application etc..
Il est possible d'exporter le journal au format CSV à partir du bouton
Export
en bas de la fenêtre.
Démonstrations
d'Online Armor
Voici deux démonstrations pour vous donner une idée des applications.
Lors de l'installation du programme piégé MessengerSkinner qui installe
l'adware
Magic.Control/egdaccess/navipromo
Online
Armor détecte bien la création du nouveau processus avec la suite
de lettres aléatoires (dans notre capture dvmeuldarj.exe).
L'utilisateur a la possibilité de bloquer l'exécution de l'adware en
cliquant sur
Block.
Bien
entendu cela nécessite de bien lire les popups d'alerte qui s'ouvrent
et rester à l'affût puisque lors de l'installation d'un programme,
beaucoup de popups d'alerte peuvent apparaîtrent dûes aux
modifications du système.
L'autre test consiste à se rendre sur un site à risque, comme par
exemple un site
de cracks qui
exploite une vulnérabilité sur
le navigateur WEB non à jour pour infecter l'ordinateur
Online
Armor détecte bien la tentative d'exécution du fichier
msn_0801_upd152112.exe. L'utilisateur a la possibilité de bloquer
l'exécution du programme malicieux en cliquant sur
Block.
