Fonctionnalité Rollback d’Emsisoft

Vue d’ensemble

La fonctionnalité Rollback dans Emsisoft Enterprise Security constitue un outil puissant conçu pour protéger la sécurité et l’intégrité des données de vos systèmes. Elle fournit un mécanisme fiable permettant de restaurer des fichiers à un état antérieur, réduisant ainsi les dommages potentiels causés par des activités malveillantes telles que les ransomwares. En termes simples : si un malware modifie un fichier, vous pouvez restaurer ce fichier à une version précédente non affectée.

Activation de la fonctionnalité Rollback
L’activation de la fonctionnalité Rollback est simple via la console de gestion Emsisoft sur my.emsisoft.com. Il suffit d’activer EDR et Rollback dans la section « Politique de protection ». Une fois activée, cette fonctionnalité permet aux utilisateurs de restaurer facilement les fichiers à leur état précédent.

Sauvegarde
Le cœur de la fonctionnalité Rollback repose sur le dossier Emsisoft-Backup, qui sert de dépôt sécurisé pour stocker les copies de sauvegarde de vos fichiers. Chaque fois qu’un incident est détecté, la protection Emsisoft capture l’événement et crée une copie de sauvegarde du fichier affecté. Il est important de noter que seules les modifications provenant de processus non fiables sont sauvegardées pour permettre leur restauration.

Quota de disque Rollback
Le bon fonctionnement de Rollback dépend d’une gestion efficace du quota disque. Le quota Rollback définit l’espace disque maximal alloué aux copies de sauvegarde afin d’éviter qu’elles n’occupent inutilement le stockage du système. Vous pouvez allouer entre 5 % et 50 % de l’espace disque, avec une valeur par défaut de 30 %.

Durée de rétention
La durée de rétention est un paramètre utilisateur important qui détermine combien de temps les fichiers de sauvegarde restent stockés dans le dossier Emsisoft-Backup. Une fois la période définie dépassée, les fichiers de sauvegarde obsolètes sont automatiquement supprimés pour maintenir un dépôt clair et organisé. La durée peut être réglée entre 12 et 72 heures, avec une valeur par défaut de 48 heures.

Déclenchement d’incident et remédiation
Lorsqu’un incident survient et qu’un fichier de sauvegarde correspondant est disponible (non supprimé par le quota ou la durée de rétention), l’option Rollback devient accessible. En sélectionnant « Corriger la menace » dans la section incidents, un menu de rétention apparaît pour permettre à l’utilisateur de choisir les fichiers à restaurer, de manière similaire à la restauration depuis une sauvegarde. Le processus est ensuite lancé, et son état peut être consulté dans l’Historique de remédiation.

Exigences
La fonctionnalité Rollback dans Emsisoft Protection est un outil puissant pour protéger l’intégrité du système. Il est important de prendre en compte les exigences techniques qui influencent son fonctionnement :

Emplacement des fichiers de sauvegarde et association des lecteurs
Si un programme modifie des fichiers sur un lecteur spécifique, par exemple le lecteur « D: », alors que le programme se trouve sur le lecteur « C: », la sauvegarde sera stockée dans le dossier Emsisoft-Backup du lecteur d’origine du programme, ici le lecteur « C: ». Cela garantit que l’emplacement de la sauvegarde correspond au lecteur contenant le programme responsable du processus.

Espace disque minimum requis
Pour stocker les fichiers de sauvegarde, un minimum de 6 Go d’espace libre sur le lecteur concerné est nécessaire. Si l’espace disponible est inférieur au minimum requis, les sauvegardes ne seront pas créées, quelle que soit la configuration du quota disque.

Formats de lecteurs pris en charge et lecteurs externes
La fonctionnalité Rollback est optimisée pour la structure interne du système afin d’assurer fiabilité et performance. Elle fonctionne uniquement sur les lecteurs internes NTFS et n’est pas compatible avec les lecteurs externes tels que les clés USB ou disques durs externes.

Questions fréquentes (FAQ)

1. Comment ajuster les paramètres de quota disque ? Par défaut, Rollback utilise 30 % de l’espace disque et une durée de rétention de 48 heures, ce qui convient à la plupart des utilisateurs. Les ajustements ne sont recommandés que pour des utilisateurs avancés ayant des besoins spécifiques.
2. Rollback fonctionne-t-il pour des malwares spécifiques ? Rollback réagit à un large éventail d’attaques malveillantes provoquant des modifications système. Son activation dépend du comportement de la menace, et non du type de malware.
3. Y a-t-il une limite au nombre de sauvegardes Rollback stockées ? Non, le nombre de sauvegardes dépend des paramètres de quota disque et de l’espace disponible.
4. Rollback peut-il restaurer les paramètres système et configurations ? Oui, Rollback peut restaurer diverses modifications des paramètres et configurations du système causées par des malwares.
5. Peut-on déclencher manuellement un rollback pour un incident précis ? Oui, un rollback spécifique à un incident peut être initié via le processus « Corriger la menace » pour chaque incident. La création des sauvegardes est automatique et ne peut pas être effectuée manuellement pour des fichiers, dossiers ou processus spécifiques.
6. Peut-on restaurer les backups Rollback individuellement ? Rollback restaure toutes les modifications liées à un incident précis, sans possibilité de restaurer des fichiers individuellement.
7. Rollback affecte-t-il le démarrage du système ou les performances globales ? Non, l’impact sur le temps de démarrage ou les performances est négligeable.
8. Que se passe-t-il si le quota disque est saturé par trop de backups ? Les anciennes sauvegardes sont automatiquement supprimées pour libérer de l’espace.
9. Peut-on exclure certains fichiers ou dossiers de la sauvegarde Rollback ? Non, Rollback capture les modifications système globales, il n’y a donc pas d’exclusions.
10. Comment Rollback gère-t-il différents types de chiffrement et compression de fichiers ? Rollback se concentre sur la restauration des modifications, indépendamment des méthodes de chiffrement ou de compression utilisées.