epolicy Orchestrator McAfee System Protection Guide produit révision 1.0

Transcription

1 Guide produit révision 1.0 epolicy Orchestrator Solution de déploiement et de gestion de logiciels antivirus et de produits de sécurité pour la protection de toute l'entreprise version 3.5 McAfee System Protection Solutions de pointe pour la prévention des intrusions

2 COPYRIGHT Copyright 2004 Networks Associates Technology, Inc. Tous droits réservés. Aucune partie de cette publication ne peut être reproduite, transmise, transcrite, stockée dans un système d'archivage ou traduite dans toute autre langue sous quelque forme ou par quelque moyen que ce soit sans l'autorisation écrite de Networks Associates Technology, Inc., de ses fournisseurs ou de ses sociétés affiliées. Pour obtenir cette autorisation, écrivez au service juridique de McAfee à l'adresse suivante : 5000 Headquarters Drive, Plano, Texas Vous pouvez également appeler le DROITS DE MARQUES Active Firewall, Active Security, ActiveSecurity (et en katakana), ActiveShield, AntiVirus Anyware et design, Clean-Up, Design (E stylisé), Design (N stylisé), Entercept, Enterprise SecureCast, Enterprise SecureCast (et en katakana), epolicy Orchestrator, First Aid, ForceField, GMT, GroupShield, GroupShield (et en katakana), Guard Dog, HomeGuard, Hunter, IntruShield, Intrusion Prevention Through Innovation, M et design, McAfee, McAfee (et en katakana), McAfee et design, McAfee.com, McAfee VirusScan, NA Network Associates, Net Tools, Net Tools (et en katakana), NetCrypto, NetOctopus, NetScan, NetShield, Network Associates, Network Associates Colliseum, NetXray, NotesGuard, Nuts & Bolts, Oil Change, PC Medic, PCNotary, PrimeSupport, RingFence, Router PM, SecureCast, SecureSelect, SpamKiller, Stalker, ThreatScan, TIS, TMEG, Total Virus Defense, Trusted Mail, Uninstaller, Virex, Virus Forum, Viruscan, Virusscan, Virusscan (et en katakana), Webscan, Webshield, Webshield (et en katakana), Webstalker, WebWall, What s The State Of Your IDS?, Who s Watching Your Network, Your E-Business Defender, Your Network. Our Business. sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc. et/ou de ses sociétés affiliées aux Etats-Unis et/ou dans d'autres pays. La couleur rouge utilisée pour identifier des fonctionnalités liées à la sécurité est propre à McAfee. Toutes les autres marques commerciales déposées ou non déposées citées dans ce document sont la propriété exclusive de leurs détenteurs respectifs. INFORMATIONS DE BREVET Protégé par les brevets américains A,AAA,AAA; B,BBB,BBB; C,CCC,CCC; D,DDD,DDD; E,EEE,EEE; X,XXX,XXX; Y,YYY,YYY; Z,ZZZ,ZZZ. INFORMATIONS DE LICENCE Accord de licence À L'ATTENTION DE TOUS LES UTILISATEURS : VEUILLEZ LIRE ATTENTIVEMENT L'ACCORD LÉGAL APPROPRIÉ CORRESPONDANT À LA LICENCE QUE VOUS AVEZ ACHETÉE, QUI DÉFINIT LES CONDITIONS GÉNÉRALES D'UTILISATION DU LOGICIEL SOUS LICENCE. SI VOUS NE CONNAISSEZ PAS LE TYPE DE LICENCE QUE VOUS AVEZ ACQUIS, CONSULTEZ LES DOCUMENTS DE VENTE, D'ATTRIBUTION DE LICENCE OU LE BON DE COMMANDE QUI ACCOMPAGNENT LE LOGICIEL OU QUE VOUS AVEZ REÇUS SÉPARÉMENT LORS DE L'ACHAT (SOUS LA FORME D'UN LIVRET, D'UN FICHIER SUR LE CD-ROM DU PRODUIT OU D'UN FICHIER DISPONIBLE SUR LE SITE WEB À PARTIR DUQUEL VOUS AVEZ TÉLÉCHARGÉ LE PACKAGE LOGICIEL). SI VOUS N'ACCEPTEZ PAS TOUTES LES DISPOSITIONS DE CET ACCORD, NE PROCÉDEZ PAS À L'INSTALLATION DU LOGICIEL. LE CAS ÉCHÉANT, VOUS POUVEZ RETOURNER LE PRODUIT À MCAFEE OU À VOTRE REVENDEUR AFIN D'EN OBTENIR LE REMBOURSEMENT INTÉGRAL. Attributions Ce produit inclut ou peut inclure les éléments ci-dessous :! Composants logiciels développés dans le cadre du Projet OpenSSL et figurant dans le Toolkit OpenSSL ( Composants logiciels cryptographiques écrits par Eric A. Young et composants logiciels écrits par Tim J. Hudson.! Certains programmes logiciels qui sont concédés sous licence (ou sous-licence) à l'utilisateur conformément à la Licence Publique Générale du GNU ou d'autres licences de logiciels gratuits similaires qui permettent notamment à l'utilisateur de copier, de modifier et de redistribuer certains programmes, ou parties de programmes, et d'avoir accès au code source. La Licence Publique Générale exige, pour tous les logiciels couverts par elle et distribués au format binaire exécutable, que le code source soit également mis à disposition des utilisateurs. Le code source de tous les logiciels couverts par la Licence Publique Générale est disponible sur le CD-ROM. Si une licence de logiciel libre oblige McAfee à accorder des droits d'utilisation, de copie ou de modification d'un programme logiciel plus étendus que ceux stipulés dans le présent accord, lesdits droits prévalent sur les droits et restrictions cités dans ce document.! Composants logiciels écrits à l'origine par Henry Spencer, Copyright 1992, 1993, 1994, 1997 Henry Spencer.! Composants logiciels écrits à l'origine par Robert Nordier, Copyright Robert Nordier.! Composants logiciels écrits par Douglas W. Sauder.! Composants logiciels développés par l'apache Software Foundation ( Vous trouverez une copie de l'accord de licence pour ce logiciel à l'adresse International Components for Unicode («ICU») Copyright International Business Machines Corporation et autres.! Composants logiciels développés par CrystalClear Software, Inc., Copyright 2000 CrystalClear Software, Inc.! Technologie FEAD Optimizer, Copyright Netopsystems AG, Berlin, Allemagne.! Outside In Viewer Technology Stellent Chicago, Inc. et/ou Outside In HTML Export, 2001 Stellent Chicago, Inc.! Composants logiciels avec copyright de Thai Open Source Software Center Ltd. et Clark Cooper, 1998, 1999, 2000.! Composants logiciels avec copyright de Expat maintainers.! Composants logiciels avec copyright de The Regents of the University of California, 1989.! Composants logiciels avec copyright de Gunnar Ritter.! Composants logiciels avec copyright de Sun Microsystems, Inc ! Composants logiciels avec copyright de Gisle Aas ! Composants logiciels avec copyright de Michael A. Chase, ! Composants logiciels avec copyright de Neil Winton, ! Composants logiciels avec copyright de RSA Data Security, Inc., ! Composants logiciels avec copyright de Sean M. Burke, 1999, 2000.! Composants logiciels avec copyright de Martijn Koster, 1995.! Composants logiciels avec copyright de Brad Appleton, ! Composants logiciels avec copyright de Michael G. Schwern, 2001.! Composants logiciels avec copyright de Graham Barr, 1998.! Composants logiciels avec copyright de Larry Wall et Clark Cooper, ! Composants logiciels avec copyright de Frodo Looijaard, 1997.! Composants logiciels avec copyright de Python Software Foundation, Copyright 2001, 2002, Vous trouverez une copie de l'accord de licence pour ce logiciel à l'adresse Composants logiciels avec copyright de Beman Dawes, , 2002.! Composants logiciels écrits par Andrew Lumsdaine, Lie-Quan Lee, Jeremy G. Siek University of Notre Dame.! Composants logiciels avec copyright de Simone Bordet et Marco Cravero, 2002.! Composants logiciels avec copyright de Stephen Purcell, 2001.! Composants logiciels développés par l'indiana University Extreme! Lab ( Composants logiciels avec copyright d'international Business Machines Corporation et autres, ! Composants logiciels développés par l'université de Californie, Berkeley et ses collaborateurs.! Composants logiciels développés par Ralf S. Engelschall <rse@engelschall.com> à utiliser dans le projet mod_ssl ( Composants logiciels avec copyright de Kevlin Henney, ! Composants logiciels avec copyright de Peter Dimov et Multi Media Ltd., 2001, 2002.! Composants logiciels avec copyright de David Abrahams, 2001, Pour une documentation, voir Composants logiciels avec copyright de Steve Cleary, Beman Dawes, Howard Hinnant et John Maddock, 2000.! Composants logiciels avec copyright de Boost.org, ! Composants logiciels avec copyright de Nicolai M. Josuttis, 1999.! Composants logiciels avec copyright de Jeremy Siek, ! Composants logiciels avec copyright de Daryle Walker, 2001.! Composants logiciels avec copyright de Chuck Allison et Jeremy Siek, 2001, 2002.! Composants logiciels avec copyright de Samuel Krempp, Voir pour des mises à jour, de la documentation et un historique de versions.! Composants logiciels avec copyright de Doug Gregor (gregod@cs.rpi.edu), 2001, 2002.! Composants logiciels avec copyright de Cadenza New Zealand Ltd., 2000.! Composants logiciels avec copyright de Jens Maurer, 2000, 2001.! Composants logiciels avec copyright de Jaakko Järvi (jaakko.jarvi@cs.utu.fi), 1999, 2000.! Composants logiciels avec copyright de Ronald Garcia, 2002.! Composants logiciels avec copyright de David Abrahams, Jeremy Siek et Daryle Walker, ! Composants logiciels avec copyright de Stephen Cleary (shammah@voyager.net), 2000.! Composants logiciels avec copyright de Housemarque Oy < ! Composants logiciels avec copyright de Paul Moore, 1999.! Composants logiciels avec copyright du Dr John Maddock, ! Composants logiciels avec copyright de Greg Colvin et Beman Dawes, 1998, 1999.! Composants logiciels avec copyright de Peter Dimov, 2001, 2002.! Composants logiciels avec copyright de Jeremy Siek et John R. Bandela, 2001.! Composants logiciels avec copyright de Joerg Walter et Mathias Koch, Date de publication : août 2004 / logiciel epolicy Orchestrator version 3.5 DBN-005-FR

3 Sommaire Démarrage 1 Présentation d'epolicy Orchestrator 8 A propos d'epolicy Orchestrator Nouveautés de cette version Utilisation de ce guide Ressources Mise en route des serveurs epolicy Orchestrator 23 Connexion à des serveurs epolicy Orchestrator Installation du certificat de sécurité pour la notification et la détection des systèmes non fiables Gestion des comptes des administrateurs epolicy Orchestrator A propos des paramètres, des tâches et des événements relatifs au serveur Affichage des événements du serveur à partir de la console Consultation du numéro de version du serveur epolicy Orchestrator Assistant de mise en route Création d'un Répertoire des ordinateurs gérés 44 A propos de la création du Répertoire Eléments à prendre en compte lors de la planification de l'organisation du Répertoire Méthodes de création du Répertoire Ajout de solutions matérielles-logicielles WebShield Déploiement des agents, SuperAgents et capteurs 66 A propos du déploiement de l'agent epolicy Orchestrator Déploiement de l'agent avec epolicy Orchestrator Installation de l'agent au moyen de scripts de login Installation manuelle de l'agent Autres méthodes de déploiement de l'agent Mise à niveau d'une version antérieure de l'agent Déploiement de l'agent sur des serveurs Novell NetWare et des solutions matérielles-logicielles WebShield Désinstallation de l'agent Options de ligne de commande pour l'installation de l'agent Déploiement de SuperAgents pour la distribution des appels de réactivation de l'agent Déploiement de capteurs de détection des systèmes non fiables Déploiement de logiciels antivirus et de sécurité 104 A propos du déploiement de produits à l'aide d'epolicy Orchestrator Archivage de packages de déploiement de produit dans le référentiel maître Archivage de fichiers NAP pour la gestion de nouveaux produits Installation de produits sur les ordinateurs clients à l'aide de la tâche de déploiement

4 Sommaire Création d'une infrastructure de mise à jour 6 Tenue à jour des fichiers DAT et des moteurs 116 A propos des référentiels maître, source et de secours Définition d'un référentiel source pour la mise à jour des fichiers DAT et des moteurs Utilisation de tâches d'extraction pour mettre à jour le référentiel maître à partir d'un référentiel source Archivage manuel des mises à jour des fichiers DAT, EXTRA.DAT et de moteur Distribution des mises à jour de fichiers DAT et de moteur aux clients Evaluation des nouveaux fichiers DAT et des moteurs avant leur déploiement dans toute l'organisation Déplacement ou suppression des packages de fichiers DAT et de moteur Mise à jour de réseaux de grande taille à l'aide de référentiels distribués 153 A propos des référentiels distribués Création de référentiels distribués Réplication du contenu du référentiel maître sur les référentiels distribués Configuration de stratégies de l'agent pour utiliser le référentiel distribué approprié Utilisation de référentiels distribués locaux qui ne sont pas gérés par epolicy Orchestrator Gestion de la liste des référentiels SITELIST.XML Gestion des stratégies pour les agents et les produits 8 Gestion des agents déployés 173 A propos de l'intervalle de communication agent-serveur Envoi d'appels de réactivation de l'agent manuels Définition des stratégies à l'aide des pages de stratégie de l'agent Affichage des propriétés de l'agent et des produits à partir de la console Vérification des journaux des agents Utilisation de l'agent sur l'ordinateur client Gestion de stratégies de produit et exécution de tâches de client 191 A propos des stratégies et d'epolicy Orchestrator Utilisation de pages de stratégie pour gérer des paramètres de produit Suppression du référentiel de pages de stratégie relatives à des produits inutilisés Copie, exportation et importation de stratégies Réinitialisation des paramètres de stratégie par défaut Configuration de tâches de client : analyses à la demande et mises à jour Evaluation de la conformité 210 System Compliance Profiler Tâche de serveur Vérification de la conformité Notifications epolicy Orchestrator Approche proactive des événements 11 Détection des systèmes non fiables 215 A propos de la détection des systèmes non fiables Surveillance des systèmes détectés et des capteurs déployés Configuration des stratégies des capteurs de détection des systèmes non fiables

5 Sommaire Actions manuelles sur les systèmes non fiables détectés Configuration de réponses automatiques pour des événements spécifiques Configuration d'exécutables de ligne de commande tiers à utiliser dans les réponses automatiques Affichage de l'état des actions entreprises et de l'historique des événements Personnalisation du serveur et de l'interface de la fonctionnalité Détection des systèmes non fiables Configuration de la détection des systèmes non fiables pour la fonctionnalité Notifications epolicy Orchestrator Questions fréquemment posées (FAQ) Notifications epolicy Orchestrator 263 Mode de fonctionnement Définition des modalités de transmission des événements Définition des événements à transmettre Planification Configuration de la fonctionnalité Notifications epolicy Orchestrator Affichage de l'historique des notifications Questions fréquemment posées (FAQ) Valeur préventive de la maintenance périodique 13 Rapports Mise en route 285 A propos des rapports prédéfinis dans epolicy Orchestrator Génération d'un rapport dans epolicy Orchestrator Affichage des résultats du rapport dans la fenêtre de rapport Impression ou exportation de rapports dans des formats pour publication Exécution de requêtes pour afficher les détails Enregistrement de rapports et de requêtes filtrés en tant que modèles Maintenance du Répertoire 293 Utilisation de la recherche Active Directory Synchronisation des domaines Windows NT importés avec les sites du Répertoire Maintenance des filtres IP pour les sites et les groupes Planification d'une tâche du serveur quotidienne pour rechercher les agents inactifs dans le Répertoire Utilisation de la fonctionnalité de recherche du Répertoire pour localiser des ordinateurs dans le Répertoire Déplacement manuel de noeuds dans le Répertoire Prévention et réaction aux attaques de virus 312 Mesures quotidiennes ou hebdomadaires à prendre pour se préparer aux attaques virales Liste de contrôle Etes-vous prêt à contrer une attaque? Autres méthodes permettant de reconnaître une attaque Liste de contrôle Vous pensez subir une attaque Maintenance des bases de données epolicy Orchestrator 319 Maintenance quotidienne ou hebdomadaire de la base de données Sauvegarde régulière de la base de données epolicy Orchestrator Réparation d'événements et de noms d'ordinateurs dans la base de données Suppression périodique d'événements anciens de la base de données Modification des informations de compte d'utilisateur SQL Server Restauration des bases de données epolicy Orchestrator en cas de défaillance matérielle ou logicielle

6 Sommaire Annexes, glossaire et index Outil MERTool Journal d'audit Scénarios Internet Accès à distance par réseau VPN et service RAS Intranet d'entreprise Connexion via un fournisseur d'accès Internet et un pare-feu Configuration du pare-feu pour epolicy Orchestrator Taille des paquets des communications agent-serveur Lecture des données du système d'exploitation Numéros des actions entreprises ID des paramètres régionaux ID des produits Variables Glossaire 344 Index 355 6

7 SECTION 1 Démarrage Cette section constitue une présentation générale d'epolicy Orchestrator. Elle décrit en outre les tâches qui permettent de rendre fonctionnel son déploiement initial, après l'installation du serveur epolicy Orchestrator. Au nombre de ces tâches, citons la création du Répertoire et le déploiement sur les ordinateurs du réseau des agents epolicy Orchestrator et des produits de sécurité tels que VirusScan Enterprise. Certaines des opérations et fonctionnalités décrites ici, par exemple la création du Répertoire par importation de domaines Windows NT ou de conteneurs Active Directory, ne sont exécutées qu'une seule fois, à l'occasion du déploiement initial. D'autres tâches devront par contre être réalisées régulièrement, dans le cadre de la maintenance quotidienne et hebdomadaire du serveur. Chapitre 1, Présentation d'epolicy Orchestrator Chapitre 2, Mise en route des serveurs epolicy Orchestrator Chapitre 3, Création d'un Répertoire des ordinateurs gérés Chapitre 4, Déploiement des agents, SuperAgents et capteurs Chapitre 5, Déploiement de logiciels antivirus et de sécurité

8 1 Présentation d'epolicy Orchestrator Vue d'ensemble des composants et des nouvelles fonctionnalités de la version 3.5 epolicy Orchestrator est un outil évolutif pour la gestion et l'application centralisées des stratégies antivirus et de sécurité. Il propose également des fonctionnalités complètes de déploiement de produits et de génération de rapports graphiques. epolicy Orchestrator permet de gérer des stratégies pour des produits antivirus et de sécurité réseau, mais aussi de déployer des produits McAfee et leurs mises à jour par l'intermédiaire d'un point de contrôle unique. Contenu de ce guide Démarrage Chapitre 1, Présentation d'epolicy Orchestrator Chapitre 2, Mise en route des serveurs epolicy Orchestrator Chapitre 3, Création d'un Répertoire des ordinateurs gérés Chapitre 4, Déploiement des agents, SuperAgents et capteurs Création d'une infrastructure de mise à jour Gestion des stratégies pour les agents et les produits Approche proactive des événements Chapitre 5, Déploiement de logiciels antivirus et de sécurité Chapitre 6, Tenue à jour des fichiers DAT et des moteurs Chapitre 7, Mise à jour de réseaux de grande taille à l'aide de référentiels distribués Chapitre 8, Gestion des agents déployés Chapitre 9, Gestion de stratégies de produit et exécution de tâches de client Chapitre 11, Détection des systèmes non fiables Chapitre 12, Notifications epolicy Orchestrator 8

9 Présentation d'epolicy Orchestrator A propos d'epolicy Orchestrator 1 Valeur préventive de la maintenance périodique Chapitre 14, Maintenance du Répertoire Chapitre 15, Prévention et réaction aux attaques de virus Chapitre 16, Maintenance des bases de données epolicy Orchestrator Contenu de ce chapitre Ce chapitre aborde les sujets suivants : # A propos d'epolicy Orchestrator # Nouveautés de cette version A propos d'epolicy Orchestrator Le logiciel epolicy Orchestrator comprend les composants suivants : # Serveur epolicy Orchestrator Référentiel pour toutes les données collectées auprès des agents epolicy Orchestrator distribués. # Console epolicy Orchestrator Composant de visualisation offrant une présentation claire et facile à comprendre de toutes les activités virales et de l'état des éléments gérés, avec la possibilité de gérer et de déployer des agents et des produits. # Agent epolicy Orchestrator Lien intelligent entre le serveur epolicy Orchestrator et les produits antivirus et de sécurité, qui applique les stratégies et exécute les tâches sur les ordinateurs clients. Serveur epolicy Orchestrator Le serveur epolicy Orchestrator fonctionne comme un référentiel de toutes les données collectées auprès des agents distribués. Il comprend les fonctionnalités suivantes : # Une base de données robuste qui enregistre des données relatives au fonctionnement du produit sur les ordinateurs clients de votre réseau. # Un moteur générant des rapports pour surveiller les performances de la protection antivirus dans votre société. # Un référentiel de logiciels qui stocke les produits et leurs mises à jour (par exemple, les Service Packs) que vous déployez sur votre réseau. Le serveur epolicy Orchestrator peut répartir les utilisateurs en groupes discrets pour la gestion personnalisée des stratégies. Chaque serveur peut gérer jusqu'à ordinateurs. 9

10 Présentation d'epolicy Orchestrator A propos d'epolicy Orchestrator 1 Agent epolicy Orchestrator L'agent epolicy Orchestrator est installé sur les ordinateurs clients cibles et sur les serveurs pour collecter et rapporter des données, installer les produits, appliquer les stratégies, exécuter les tâches et renvoyer les événements au serveur epolicy Orchestrator. L'agent s'exécute en arrière-plan sur les ordinateurs clients. Il extrait au départ du serveur epolicy Orchestrator les modifications incrémentielles apportées aux stratégies et aux tâches, puis il applique les stratégies, installe les produits téléchargés sur l'ordinateur client et exécute les tâches planifiées. Lorsqu'une activité en rapport avec les produits se manifeste sur l'ordinateur client, l'agent notifie le serveur. Par exemple, si un virus est détecté sur l'ordinateur client, l'information est renvoyée à la console epolicy Orchestrator. Cette activité est invisible pour l'utilisateur de l'ordinateur client. La console epolicy Orchestrator permet une grande flexibilité pour le déploiement de l'agent. Elle est conçue pour distribuer l'agent sur les ordinateurs clients, mais vous pouvez également copier le package d'installation de l'agent sur une disquette, un partage réseau ou tout autre support permettant une installation manuelle sur vos ordinateurs clients. Console epolicy Orchestrator La console epolicy Orchestrator permet de gérer la protection antivirus et la sécurité de toute votre société et de consulter facilement les propriétés des ordinateurs clients. Avec une interface utilisateur fondée sur la console MMC (Microsoft Management Console), la console epolicy Orchestrator permet de définir et d'appliquer des stratégies antivirus et de sécurité à tous les agents des ordinateurs clients ou aux ordinateurs sélectionnés. Elle comporte également une fonctionnalité de planification des tâches qui permet de cibler des ordinateurs ou des groupes spécifiques avec différentes stratégies et tâches planifiées. Enfin, la console vous permet de consulter et de personnaliser des rapports qui autorisent la surveillance des déploiements, des attaques de virus et des niveaux de protection mis en place. 10

11 Présentation d'epolicy Orchestrator Nouveautés de cette version 1 Lorsque vous démarrez le logiciel epolicy Orchestrator, la console epolicy Orchestrator s'affiche. Cette dernière utilise des composants standard de la console MMC, dont vous trouverez une description ci-dessous. Pour plus d'informations sur l'utilisation de la console epolicy Orchestrator, consultez l'aide de MMC. Figure 1-1 Composants de la console Arborescence de la console Affichée dans le volet gauche de la console, elle contient les éléments de l'arborescence de la console Eléments de l'arborescence de la console Ils incluent les noeuds Répertoire, Référentiel et Reporting. Volet de détails Affiché dans le volet droit de la console, il présente les détails de l'élément de l'arborescence de la console qui est sélectionné. En fonction de ce dernier, le volet de détails peut être divisé en volets inférieur et supérieur. Volet de détails supérieur Il contient les onglets Stratégies, Propriétés et Tâches. Volet de détails inférieur Il contient les paramètres de configuration des produits répertoriés dans l'onglet Stratégies du volet de détails supérieur. Nouveautés de cette version Cette version du logiciel epolicy Orchestrator offre les nouvelles fonctionnalités suivantes : # Détection des systèmes non fiables # Intégration de McAfee System Compliance Profiler # Notifications epolicy Orchestrator # Intégration avec Active Directory # Audit des administrateurs epolicy Orchestrator 11

12 Présentation d'epolicy Orchestrator Nouveautés de cette version 1 # Prise en charge de noms d'ordinateur identiques # Prise en charge d'adresses MAC variables # Intégration de McAfee Entercept # Mise à jour sélective Détection des systèmes non fiables Version actuelle Avantages Emplacement Pour plus d'informations La détection des systèmes non fiables permet de détecter les ordinateurs non gérés qui rejoignent votre réseau : vous pouvez ainsi y déployer un agent et leur appliquer les stratégies en cours. Cette fonctionnalité réduit fortement les risques liés à l'introduction d'ordinateurs non gérés et non protégés, susceptibles d'infecter d'autres systèmes dans votre environnement réseau. Dans l'arborescence de la console, sous le serveur epolicy Orchestrator, cliquez sur Détection des systèmes non fiables. Les onglets de configuration de cette fonctionnalité s'affichent dans le volet de détails. # Déploiement de capteurs de détection des systèmes non fiables à la page 91 # Chapitre 11, Détection des systèmes non fiables Intégration de McAfee System Compliance Profiler Version actuelle Avantages Emplacement Pour plus d'informations McAfee System Compliance Profiler 1.1 est fourni avec epolicy Orchestrator 3.5. Cette application, qui peut être configurée et gérée de la même façon que d'autres produits, vous permet de déterminer la conformité des ordinateurs gérés en termes d'application de Service Packs et de patchs Microsoft. L'emploi de cette application permet de réduire le risque que des ordinateurs du réseau présentent des patchs ou des Service Packs obsolètes, et soient donc vulnérables aux virus ou aux attaques de pirates. Vous pouvez identifier ces ordinateurs pour éviter les failles de sécurité. Le package de déploiement de System Compliance Profiler et les fichiers NAP sont installés sur le serveur epolicy Orchestrator. Déployez System Compliance Profiler et gérez les stratégies s'y rapportant comme vous le feriez pour tout autre produit de sécurité. # Chapitre 10, Evaluation de la conformité # Guide de mise en route de McAfee System Compliance Profiler

13 Présentation d'epolicy Orchestrator Nouveautés de cette version 1 Notifications epolicy Orchestrator Version actuelle Avantages Emplacement Pour plus d'informations La fonctionnalité de notification epolicy Orchestrator vous permet de définir des règles qui filtrent les événements émanant des produits gérés et du serveur epolicy Orchestrator. Dès que des événements issus de produits et de composants spécifiés, et répondant à des catégories définies, sont reçus et traités, un message de notification est envoyé aux individus désignés dans votre organisation. Ces messages configurables peuvent être envoyés par , SMS, pager ou via une interruption SNMP. La fonctionnalité permet en outre d'exécuter des commandes externes spécifiques quand les conditions d'une règle sont réunies. Désormais, vous ainsi que d'autres administrateurs de la sécurité du réseau pouvez être avertis presque immédiatement dès que des événements liés à la sécurité ou à la protection antivirus se produisent sur votre réseau. Dans l'arborescence de la console, sous le serveur epolicy Orchestrator, cliquez sur Notifications. Les onglets de configuration de cette fonctionnalité s'affichent dans le volet de détails. Chapitre 12, Notifications epolicy Orchestrator Intégration avec Active Directory Version précédente Version actuelle Dans les versions précédentes, vous deviez importer manuellement les ordinateurs Active Directory de votre environnement réseau. L'intégration d'epolicy Orchestrator avec Active Directory repose sur deux outils. L'Assistant de mise en route Active Directory s'emploie pour importer l'arborescence Active Directory et les ordinateurs qu'elle contient dans le Répertoire epolicy Orchestrator. Il permet de se baser sur la structure Active Directory pour créer le Répertoire epolicy Orchestrator, ou des parties de celui-ci. Cet outil est uniquement recommandé lorsque vous créez votre Répertoire epolicy Orchestrator et si vous souhaitez que celui-ci soit identique, en tout ou en partie, à votre structure Active Directory. La tâche de recherche d'ordinateurs Active Directory vous permet d'interroger régulièrement les conteneurs Active Directory pour vérifier si de nouveaux ordinateurs ont rejoint le réseau. Lorsque des ordinateurs non gérés sont détectés dans Active Directory, ils sont placés dans le groupe Lost&Found du site spécifié. Vous pouvez ainsi facilement y déployer un agent et les placer dans le site ou le groupe requis du Répertoire epolicy Orchestrator. Avantages Cette fonctionnalité vous permet de compléter et de gérer plus facilement les parties de votre Répertoire epolicy Orchestrator contenant des ordinateurs issus d'active Directory. Elle facilite en outre la mise en conformité des nouveaux ordinateurs détectés sur le réseau. 13

14 Présentation d'epolicy Orchestrator Nouveautés de cette version 1 Emplacement Pour plus d'informations Dans l'arborescence de la console, cliquez avec le bouton droit sur Répertoire, puis sélectionnez Importer Active Directory ou Paramètres de recherche Active Directory en fonction des besoins. # Création de l'arborescence du Répertoire par une importation de données à partir d'active Directory à la page 58 # Utilisation de la recherche Active Directory à la page 294 Audit des administrateurs epolicy Orchestrator Version actuelle Le journal d'audit assure le suivi de nombreuses actions effectuées par les administrateurs et réviseurs epolicy Orchestrator, parmi lesquelles : # les connexions ; # les changements de rôle ; # les changements de mot de passe ; # la désinstallation d'un agent par suppression ; # la modification d'une stratégie ; # l'ajout ou la suppression d'un site, groupe, ordinateur ou compte d'utilisateur ; # le changement du nom d'un site, groupe ou ordinateur. Avantages Emplacement Le suivi des actions accomplies par les administrateurs et les réviseurs epolicy Orchestrator est très utile si vous devez rechercher des modifications intervenues dans votre environnement epolicy Orchestrator. Une fois la fonctionnalité installée sur l'ordinateur hébergeant le serveur de base de données epolicy Orchestrator, un journal est créé chaque jour avant minuit. Il est stocké dans l'emplacement suivant : c:\epoaudit\ Pour plus d'informations Journal d'audit à la page

15 Présentation d'epolicy Orchestrator Nouveautés de cette version 1 Prise en charge de noms d'ordinateur identiques Version actuelle Avantages Emplacement epolicy Orchestrator 3.5 vous permet de choisir le mode d'affichage des ordinateurs : par nom d'ordinateur, comme dans les versions précédentes, ou par adresse MAC. Si certains ou tous les ordinateurs de votre environnement ont le même nom d'ordinateur (dans un environnement Novell par exemple), l'affichage des ordinateurs par leur adresse MAC dans le Répertoire epolicy Orchestrator permet de mieux les identifier et les gérer. Dans l'arborescence de la console, sélectionnez le serveur epolicy Orchestrator, puis cliquez sur l'onglet Paramètres dans le volet de détails. Cet onglet comporte une option Afficher l'adresse MAC dans l'arborescence du répertoire. Prise en charge d'adresses MAC variables Version actuelle Avantages Emplacement Le logiciel epolicy Orchestrator 3.5 prend en charge les adresses MAC variables. Si votre environnement comprend des ordinateurs portables qui se connectent au réseau à l'aide de différentes méthodes, ceux-ci apparaissent comme un même ordinateur, quelle que soit la méthode de connexion choisie (par exemple, par carte réseau ou via une station d'accueil). Si les utilisateurs de votre environnement recourent à diverses méthodes pour connecter leurs ordinateurs au réseau, ces derniers seront plus faciles à gérer s'il est possible de toujours identifier chaque machine comme un ordinateur unique. Aucun contrôle de l'interface utilisateur ne correspond à cette fonctionnalité. Intégration de McAfee Entercept Version précédente Version actuelle Avantages Pour plus d'informations Cette fonctionnalité n'existait pas dans les versions antérieures. McAfee Entercept est une application fournie avec epolicy Orchestrator 3.5, qui peut être configurée et gérée de la même façon que d'autres produits. Elle permet d'identifier et de prévenir les intrusions auxquelles votre environnement est soumis. Il est possible de configurer des règles de notification epolicy Orchestrator pour recevoir et gérer les événements Entercept. De plus, le référentiel de rapports epolicy Orchestrator comprend plusieurs rapports Entercept prédéfinis qui consolident les données Entercept et permettent leur visualisation. L'intégration d'entercept dans epolicy Orchestrator permet de protéger votre environnement par un système proactif de prévention des intrusions, géré à partir de l'emplacement centralisé depuis lequel vous appliquez les stratégies définies et évaluez la conformité des systèmes, pour une meilleure rationalisation de votre temps de travail. Consultez la documentation de McAfee Entercept. 15

16 Présentation d'epolicy Orchestrator Utilisation de ce guide 1 Mise à jour sélective Version actuelle Avantages Emplacement epolicy Orchestrator 3.5 permet de paramétrer très précisément les mises à jour de façon à assurer une protection maximale tout en limitant le trafic réseau. Ainsi, vous pouvez configurer des tâches distinctes de mise à jour des clients, pour leur appliquer la combinaison souhaitée de signatures de virus, de moteur et de packages de mise à jour logicielle se trouvant dans les référentiels. En outre, vous déterminez les types d'archivage de package dans le référentiel maître qui déclenchent une mise à jour globale. En choisissant les packages de mise à jour précis qui seront remis via le réseau, vous pouvez exploiter la bande passante plus efficacement. Pour des mises à jour globales, sélectionnez le serveur epolicy Orchestrator dans l'arborescence de la console, puis cliquez sur l'onglet Paramètres. Si vous choisissez Activer la mise à jour globale, vous pouvez définir les fichiers de signatures, les moteurs et les produits à mettre à jour. Créez une tâche de mise à jour pour le site, le groupe ou l'ordinateur souhaité. Sous l'onglet Mettre à jour de la boîte de dialogue Paramètres de tâche, vous pouvez sélectionner les fichiers de signatures, les moteurs et les produits à actualiser. Pour plus d'informations # Utilisation de la mise à jour globale pour distribuer automatiquement et immédiatement les mises à jour à tous les clients à la page 136 # Création et planification d'une tâche quotidienne de mise à jour du moteur et des fichiers DAT au niveau des clients à la page 139 Utilisation de ce guide Ce guide fournit des informations sur la configuration et l'utilisation du produit. La configuration système requise et les instructions d'installation sont décrites dans le Guide d'installation. Utilisateurs concernés Ces informations sont destinées aux administrateurs réseau qui sont responsables du programme antivirus et de sécurité de leur compagnie. 16

17 Présentation d'epolicy Orchestrator Utilisation de ce guide 1 Conventions Ce guide applique les conventions suivantes : Gras sérif Tous les termes issus de l'interface utilisateur, y compris les options, menus, boutons et noms des boîtes de dialogue. Exemple : Entrez le nom d'utilisateur et le mot de passe du compte demandé. Courier Chemin d'accès d'un dossier ou d'un programme ; adresse web (URL) ; texte que l'utilisateur doit taper à l'identique (par exemple une commande à l'invite du système). Exemples : L'emplacement par défaut du programme est : C:\Program Files\McAfee\EPO\3.5.0 Visitez le site web de McAfee à l'adresse suivante : Exécutez cette commande sur l'ordinateur client : C:\SETUP.EXE Italique Introduction d'un nouveau terme ; emphase ; titres des manuels et des rubriques (têtes de chapitre) dans la documentation des produits. Exemple : Reportez-vous au Guide produit de VirusScan Enterprise pour plus d'informations. <TERME> Les crochets en chevron signalent un terme générique. Exemple : Dans l'arborescence de la console, sous epolicy Orchestrator, cliquez avec le bouton droit sur le <SERVEUR>. Remarque : Informations complémentaires ; par exemple, une autre méthode pour exécuter la même commande. Note Tip Conseil : Suggestions relatives aux meilleures pratiques et recommandations de McAfee concernant la prévention des menaces, les performances et l'efficacité. Attention : Conseil important pour protéger un système informatique, une entreprise, des données ou une installation logicielle. Caution Warning Avertissement : Conseil important destiné aux utilisateurs amenés à utiliser un composant matériel afin de leur éviter tout risque de dommage corporel. Nouveau : Fonctionnalité ou option créée ou redéfinie pour la présente distribution du produit Warning 17

18 Présentation d'epolicy Orchestrator Ressources 1 Ressources Les produits de McAfee sont le résultat d'une expérience acquise au fil des ans et d'un engagement constant à satisfaire la clientèle. L'équipe PrimeSupport de McAfee réunit des techniciens de support hautement qualifiés, rompus aux interventions rapides, pour vous offrir des solutions sur mesure et une assistance technique de nature à assurer la réussite de vos projets critiques, avec un niveau de service répondant aux besoins de chaque organisation. McAfee Research, leader mondial en matière de systèmes d'information et de recherche en sécurité, reste à la pointe de l'innovation dans le développement et le perfectionnement de toutes nos technologies. Des sources d'informations complémentaires vous sont présentées dans les sections suivantes : # Obtention d'informations sur le produit # Liens internes du produit # Services liés aux produits # Informations de contact Obtention d'informations sur le produit Sauf indication contraire, la documentation du produit est disponible sous forme de fichiers.pdf Adobe Acrobat sur le CD du produit ou sur le site de téléchargement de McAfee. Guide d'installation Configuration système requise et instructions pour l'installation et l'exécution du serveur epolicy Orchestrator. Guide produit Présentation du produit et de ses fonctionnalités, instructions détaillées pour la configuration du logiciel, informations sur le déploiement, les tâches récurrentes et les procédures. Guide d'implémentation - Rapports et requêtes Référence détaillée concernant les fonctionnalités de création de rapports et les modèles de requête et de rapport. Aide Informations générales et détaillées accessibles depuis l'application : le menu et/ou le bouton Aide permettent d'afficher des rubriques d'aide sous forme de pages, un clic avec le bouton droit sur l'option affiche une aide contextuelle de type Qu'est-ce que c'est? Guide de configuration A utiliser avec epolicy Orchestrator. Procédures de déploiement et d'administration des produits supportés à l'aide du logiciel de gestion epolicy Orchestrator. Guide de référence rapide* Guide pratique décrivant les fonctionnalités de base du produit, les tâches de routines fréquemment exécutées et les tâches critiques occasionnelles. Notes de distribution^ Lisez-moi. Informations sur le produit, description des problèmes résolus, liste des problèmes connus et ajouts ou corrections de dernière minute apportés au produit ou à sa documentation. 18

19 Présentation d'epolicy Orchestrator Ressources 1 Contacts^ Informations de contact pour les services et ressources McAfee : support technique, Service Client, Security HQ (centre de recherche AVERT), programme bêta et formation. Ce fichier contient des numéros de téléphone et de fax, des adresses postales et des adresses web pour les bureaux de la société aux Etats-Unis et dans le monde entier. Licence Document de l'accord de licence McAfee comprenant tous les types de licence qu'il est possible d'acquérir pour le produit visé. Cet accord définit les conditions générales d'utilisation du logiciel sous licence. * Guide imprimé qui accompagne le CD du produit. Remarque : Les manuels de certaines langues seront seulement disponibles sous la forme d'un fichier.pdf. ^ Fichiers texte fournis avec l'application et figurant sur le CD du produit. Liens internes du produit Le menu Aide du logiciel contient des liens vers des sources d'informations utiles. # Aide en ligne # Bibliothèque d'informations sur les virus # Envoyer un échantillon # Support technique Aide en ligne Ce lien donne accès aux rubriques de l'aide en ligne du logiciel. Tip Si le système d'aide intégré du logiciel (accessible en cliquant sur le menu Aide) ne s'affiche pas correctement sur votre ordinateur, il se peut que votre version de Microsoft Internet Explorer ne prenne pas correctement en charge les contrôles ActiveX. Ces derniers sont requis pour l'affichage du fichier d'aide. Veillez à installer la dernière version d'internet Explorer. Bibliothèque d'informations sur les virus Cliquez sur le lien Bibliothèque d'informations sur les virus pour accéder à la Bibliothèque d'informations sur les virus du centre AVERT (Anti-virus & Vulnerability Emergency Response Team) de McAfee. Ce site web rassemble des données détaillées sur l'origine des virus, leurs modes de propagation et les procédures permettant de les éliminer. Outre les informations sur les véritables virus, cette bibliothèque contient des renseignements utiles sur les canulars, tels que les avertissements de virus que vous recevez par . Parmi les innombrables exemples de virus canulars de ce type, citons Virtual Card For You et SULFNBK. La prochaine fois que vous recevrez un avertissement bien intentionné signalant l'existence d'un virus, consultez la page de la bibliothèque consacrée aux canulars avant de transmettre le message à vos amis. Pour accéder à la Bibliothèque d'informations sur les virus, procédez comme suit : 1 Ouvrez l'interface du produit. 2 Dans le menu Aide, sélectionnez Bibliothèque d'informations sur les virus. 19

20 Présentation d'epolicy Orchestrator Ressources 1 Envoyer un échantillon Cliquez sur le lien Envoyer un échantillon pour accéder au site web WebImmune du centre de recherche AVERT de McAfee. Si vous suspectez la présence d'un virus dans un fichier ou si votre système présente des signes caractéristiques d'une infection virale, McAfee vous recommande d'envoyer un échantillon à son équipe de recherche pour analyse. Cet envoi vous donne non seulement droit à l'analyse de cet échantillon, mais à un correctif en temps réel si nécessaire. Pour envoyer un échantillon de virus à AVERT : 1 Ouvrez l'interface du produit. 2 Dans le menu Aide, sélectionnez Envoyer un échantillon. 3 Suivez les instructions indiquées sur le site web. Support technique Cliquez sur le lien Support technique pour accéder au site web PrimeSupport ServicePortal (KnowledgeCenter) de McAfee. Parcourez ce site pour consulter les questions fréquemment posées (FAQ) ou la documentation, et pour une recherche assistée de notre base de connaissances. Pour envoyer un échantillon de virus à AVERT : 1 Ouvrez l'interface du produit. 2 Dans le menu Aide, sélectionnez Support technique. 3 Suivez les instructions indiquées sur le site web. Que peut détecter le fichier DAT actuel? Cliquez sur le lien Que peut détecter le fichier DAT actuel? pour afficher une liste des éléments inclus dans le fichier DAT actuel. Ce lien est également disponible dans la boîte de dialogue A propos de. # Sous Virus, chevaux de Troie et programmes indésirables que cette version de DAT XXXX peut détecter sont indiqués tous les éléments détectés au moyen du fichier DAT actuel. Vous pouvez parcourir la totalité de la liste au moyen de la barre de défilement. # Sous Filtrer la liste, entrez une sous-chaîne pour rechercher un élément spécifique. Cette fonctionnalité permet de n'afficher que les noms contenant la chaîne indiquée. # Cliquez sur Annuler lorsque vous avez terminé. Services liés aux produits Les services suivants vous aident à tirer le meilleur parti de vos produits McAfee : # Programme Bêta # HotFix et Patchs # Prise en charge des produits jusqu'à leur fin de vie 20

21 Présentation d'epolicy Orchestrator Ressources 1 Programme Bêta Le programme Bêta de McAfee vous donne l'occasion d'évaluer nos produits avant leur mise sur le marché officielle. Vous pouvez ainsi découvrir et tester les nouvelles fonctionnalités de logiciels existants, ou essayer de nouveaux produits. Les utilisateurs participant à ce programme peuvent mettre à l'épreuve et implémenter plus tôt que les autres des fonctions mises à jour ou inédites, dans un environnement sûr. Ils peuvent en outre nous suggérer d'inclure de nouvelles fonctions ou traiter directement avec les techniciens McAfee. Pour en savoir plus, visitez le site à l'adresse : HotFix et Patchs Les correctifs (HotFix) et les patchs mettent à la disposition des utilisateurs des éléments mis à jour tels que fichiers, pilotes ou exécutables, avant une distribution principale d'un produit. Pour accéder aux derniers HotFix et patchs, visitez le site à l'adresse : Prise en charge des produits jusqu'à leur fin de vie Vos logiciels antivirus doivent être tenus à jour pour rester efficaces contre les virus et les autres codes et logiciels potentiellement nuisibles. Il est important de mettre régulièrement à jour les fichiers de signatures de virus (DAT). Pour que nos logiciels soient toujours performants malgré l'évolution des menaces, nous apportons régulièrement des modifications structurelles à la manière dont les fichiers DAT et le moteur d'analyse antivirus interagissent. Il est donc essentiel d'actualiser le moteur dès qu'une nouvelle version est publiée. Si vous utilisez un moteur devenu obsolète, un grand nombre des nouvelles menaces émergentes ne seront pas détectées. Lorsque nous publions un nouveau moteur, nous communiquons la date après laquelle le moteur existant ne sera plus pris en charge. Pour plus d'informations sur la politique de fin de vie de nos produits et la liste complète des moteurs et produits pris en charge, visitez le site à l'adresse suivante : 21

22 Présentation d'epolicy Orchestrator Ressources 1 Informations de contact Support technique Page d'accueil Recherche dans la Base de connaissances (KnowledgeBase) PrimeSupport ServicePortal * Programme Bêta de McAfee Security HQ Centre de recherche AVERT (Anti-virus & Vulnerability Emergency Response Team) Page d'accueil Bibliothèque d'informations sur les virus AVERT WebImmune * Envoyer un échantillon Service de notification de fichiers DAT d'avert Site de téléchargement Page d'accueil Mises à jour de fichiers DAT et de moteurs d'analyse Mises à niveau des produits * ftp://ftp.mcafeesecurity.com/pub/antivirus/datfiles/4.x Formation Formation sur site McAfee University Service Client Site web Numéro gratuit pour les Etats-Unis, le Canada et l'amérique latine : VIRUS NO ou Du lundi au vendredi, de 8h00 à 20h00 (heure du centre des Etats-Unis) McAfee met tout en oeuvre pour proposer des solutions qui tiennent compte des remarques et suggestions exprimées par ses clients. Si vous souhaitez formuler un commentaire d'ordre linguistique concernant les produits McAfee, vous pouvez nous envoyer un à l'adresse suivante : B2BLoc_FR@nai.com Pour plus d'informations sur les contacts McAfee (notamment les numéros gratuits des autres zones géographiques), reportez-vous au fichier Contact qui accompagne la distribution du produit. * Il vous sera demandé de vous identifier pour vous connecter. 22

23 2 Mise en route des serveurs epolicy Orchestrator Présentation du serveur, de la console et des comptes d'utilisateur Le serveur epolicy Orchestrator est le «cerveau» de votre service de sécurité géré. Il vous permet de contrôler tous les aspects de la gestion des stratégies, de la génération de rapports, du déploiement de produits et toute autre tâche que epolicy Orchestrator peut effectuer. Avant de commencer à utiliser epolicy Orchestrator pour créer votre Répertoire, déployer vos agents et produits de sécurité ou gérer les stratégies de sécurité et antivirus de votre réseau, il est important de vous familiariser avec le serveur et la console epolicy Orchestrator. Ce chapitre aborde les sujets suivants : # Connexion à des serveurs epolicy Orchestrator # Installation du certificat de sécurité pour la notification et la détection des systèmes non fiables # Gestion des comptes des administrateurs epolicy Orchestrator # A propos des paramètres, des tâches et des événements relatifs au serveur # Affichage des événements du serveur à partir de la console # Consultation du numéro de version du serveur epolicy Orchestrator # Assistant de mise en route Connexion à des serveurs epolicy Orchestrator Lorsque vous ouvrez une console epolicy Orchestrator, vous devez vous connecter au serveur epolicy Orchestrator pour le gérer via la console. L'ajout d'un serveur dans la console ne démarre pas le serveur, pas plus que sa suppression ne l'arrête Le serveur epolicy Orchestrator s'exécute en tant que service Windows NT sur l'ordinateur serveur. Vous n'avez pas besoin d'être connecté au serveur dans la console epolicy Orchestrator pour que le service du serveur s'exécute. De la même façon, le service du serveur ne s'arrête pas lorsque vous vous déconnectez ou que vous supprimez un serveur de la console. 23

24 Mise en route des serveurs epolicy Orchestrator Connexion à des serveurs epolicy Orchestrator 2 Procédure de connexion aux serveurs epolicy Orchestrator Vous pouvez utiliser la console epolicy Orchestrator pour vous connecter à n'importe quel serveur epolicy Orchestrator. Si vous travaillez à partir de l'ordinateur sur lequel le serveur epolicy Orchestrator est installé, vous pouvez vous connecter au serveur local. Si le serveur est situé sur un ordinateur autre que celui de la console, comme c'est le cas si vous installez une console distante, vous pouvez utiliser la console distante pour vous connecter à un serveur epolicy Orchestrator installé sur un autre ordinateur. Pour ajouter un serveur epolicy Orchestrator à l'arborescence de la console et s'y connecter : 1 Lancez epolicy Orchestrator en sélectionnant Démarrer Programmes Network Associates epolicy Orchestrator. 2 Dans l'arborescence de la console, sélectionnez epolicy Orchestrator. 3 Dans le volet de détails sous Liste générale des tâches, cliquez sur Se connecter au serveur. La boîte de dialogue Connexion au serveur s'affiche. Figure 2-1 Boîte de dialogue Connexion au serveur 4 Si vous travaillez sur le serveur epolicy Orchestrator, acceptez le nom de serveur par défaut qui est indiqué. Si vous travaillez à partir d'une console distante et que vous souhaitez vous connecter à un serveur exécuté sur un autre ordinateur, tapez le nom de cet ordinateur dans le champ Nom de serveur. 5 Indiquez le nom d'utilisateur et le mot de passe du compte que vous utilisez pour vous connecter. Il doit s'agir d'un compte epolicy Orchestrator valide qui existe déjà sur le serveur auquel vous vous connectez. 6 Tapez le numéro de port HTTP utilisé par le serveur epolicy Orchestrator pour la communication console-serveur. Si vous vous connectez à un serveur exécuté sur l'ordinateur local, le champ Port HTTP est automatiquement complété avec le numéro de port correct. Si vous travaillez à partir d'une console distante, vous devez entrer le numéro de port. 7 Cliquez sur OK pour ajouter le serveur et vous y connecter. Suppression de serveurs epolicy Orchestrator de la console Pour supprimer un serveur epolicy Orchestrator de l'arborescence de la console, cliquez avec le bouton droit sur le <SERVEUR> dans l'arborescence de la console, sous epolicy Orchestrator, puis sélectionnez Supprimer le serveur. 24

25 Mise en route des serveurs epolicy Orchestrator Connexion à des serveurs epolicy Orchestrator 2 Déconnexion des serveurs epolicy Orchestrator sans les supprimer Vous pouvez vous déconnecter d'un serveur epolicy Orchestrator sans le supprimer. Pour cela, cliquez avec le bouton droit sur le serveur dans l'arborescence de la console sous epolicy Orchestrator, puis sélectionnez Fermer la session. Ajout de serveurs epolicy Orchestrator supplémentaires à une session de console Vous pouvez vous connecter à plusieurs serveurs epolicy Orchestrator et gérer des stratégies dans chacun d'eux au cours de la même session de console. Pour ce faire, vous devez fournir le nom d'utilisateur et le mot de passe d'un compte d'utilisateur valide sur chaque serveur. Dans le cas d'une organisation de grande taille et particulièrement si celle-ci est divisée en plusieurs sites importants, envisagez d'installer un serveur epolicy Orchestrator distinct sur chaque site. Une telle mesure peut contribuer à réduire le trafic réseau. En effet, les opérations telles que la gestion des agents, l'envoi de mises à jour, la réplication vers des référentiels distribués sont alors effectuées au sein d'un réseau local : la communication ne s'effectue plus via un réseau étendu (WAN), un réseau privé virtuel (VPN) ou d'autres connexions réseau plus lentes que l'on retrouve généralement entre sites distants. Figure 2-2 Vous pouvez gérer plusieurs serveurs au cours de la même session de console. La présence de plusieurs serveurs epolicy Orchestrator vous permet de gérer chacun d'eux au cours de la même session de console. 25

26 Mise en route des serveurs epolicy Orchestrator Installation du certificat de sécurité pour la notification et la détection des systèmes non fiables 2 Installation du certificat de sécurité pour la notification et la détection des systèmes non fiables epolicy Orchestrator 3.5 utilise SSL (Secure Socket Layer) pour améliorer la sécurité des communications entre la console epolicy Orchestrator et le serveur web Tomcat utilisé avec les nouvelles fonctionnalités Notifications et Détection des systèmes non fiables. Lorsque vous vous connectez à la console et accédez à l'une de ces fonctionnalités, vous êtes invité à accepter un certificat de sécurité pour afficher l'interface dans la console. Pour éviter de devoir accepter ce certificat à chaque fois, installez le certificat la première fois que vous vous connectez à la console epolicy Orchestrator. Pour ce faire : 1 Connectez-vous au serveur epolicy Orchestrator. 2 Cliquez sur le noeud Notifications ou Détection des systèmes non fiables dans l'arborescence de la console. Figure 2-3 Alerte liée au certificat de sécurité SSL 3 Cliquez sur Afficher le certificat lorsque la boîte de dialogue Alerte de sécurité s'affiche. 4 Dans la boîte de dialogue Certificat, sélectionnez l'onglet Chemin d'accès de certification. 26

27 Mise en route des serveurs epolicy Orchestrator Installation du certificat de sécurité pour la notification et la détection des systèmes non fiables 2 5 Sélectionnez Serveur_ePOCA pour activer l'importation de certificat. Figure 2-4 Affichage du certificat à installer 6 Cliquez sur Afficher le certificat pour ouvrir la deuxième boîte de dialogue Certificat. 7 Cliquez sur Installer le certificat pour ouvrir l'assistant Importation de certificat. 8 Cliquez sur Suivant puis de nouveau sur Suivant et cliquez enfin sur Terminer pour accepter toutes les valeurs par défaut proposées par l'assistant et importer le certificat. 9 Cliquez sur Oui dans la boîte de dialogue Magasin de certificats principal. Figure 2-5 Demande de confirmation du magasin de certificats principal 10 Cliquez à deux reprises sur OK pour fermer les deux boîtes de dialogue Certificat. 11 Cliquez sur Oui dans la dernière boîte de dialogue Alerte de sécurité. A présent que vous avez installé le certificat de sécurité, chaque fois que vous lancez la console epolicy Orchestrator et que vous accédez à Notifications ou à Détection des systèmes non fiables, vous ne serez plus invité à accepter le certificat. 27

28 Mise en route des serveurs epolicy Orchestrator Gestion des comptes des administrateurs epolicy Orchestrator 2 Gestion des comptes des administrateurs epolicy Orchestrator Si vous avez l'intention d'affecter plusieurs personnes à l'administration d'epolicy Orchestrator ou à la gestion de stratégies pour différentes parties de votre réseau, vous pouvez créer des comptes d'utilisateur supplémentaires dans la console epolicy Orchestrator. Les autres administrateurs peuvent utiliser ces comptes pour se connecter à la console. Les divers types de comptes d'utilisateur que vous pouvez créer sont les suivants : # Administrateur global # Réviseur global # Administrateur de site # Réviseur de site Contenu de cette section # A propos des comptes utilisateur d'administrateur global # A propos des comptes limités à un site et des consoles distantes # A propos des réviseurs globaux et des réviseurs de site # Ajout, modification ou suppression de comptes d'utilisateur A propos des comptes utilisateur d'administrateur global Les comptes d'administrateur global disposent d'autorisations en écriture, en lecture et en suppression ainsi que de droits sur toutes les opérations. Lors de l'installation du serveur et de la console epolicy Orchestrator, un compte d'administrateur global avec le nom d'utilisateur admin est créé. Vous ne pouvez pas le supprimer. Vous pouvez par ailleurs créer d'autres comptes d'administrateur global à l'intention des utilisateurs nécessitant des droits d'administration globaux pour toutes les opérations effectuées à partir de la console epolicy Orchestrator. Un administrateur global peut utiliser la console epolicy Orchestrator pour déployer les agents et les produits de sécurité et modifier les stratégies d'agent ou de produit. Il peut également créer et exécuter des tâches de client pour la mise à jour des fichiers DAT ou l'exécution d'analyses à la demande sur n'importe quel noeud de site du Répertoire. En outre, les comptes utilisateur d'administrateur global sont les seuls à pouvoir effectuer une série de fonctions liées au serveur, dont voici la liste : 28

29 Mise en route des serveurs epolicy Orchestrator Gestion des comptes des administrateurs epolicy Orchestrator 2 Fonctions de gestion du Référentiel # Définir, modifier ou supprimer des référentiels source et de secours. # Créer, modifier ou supprimer des référentiels distribués globaux. # Exporter ou importer la liste des référentiels du serveur epolicy Orchestrator. # Planifier ou exécuter des tâches d'extraction pour mettre à jour le référentiel maître. # Planifier ou exécuter des tâches de réplication pour mettre à jour les référentiels distribués. # Archiver des packages dans le référentiel maître, déplacer des packages d'une branche à une autre ou supprimer des packages du référentiel maître. Gérer les paramètres et les tâches du serveur epolicy Orchestrator. # Modifier les paramètres du serveur et manipuler les événements relatifs à celui-ci. # Planifier les tâches de serveur de type Synchroniser les domaines. # Vérifier l'intégrité des paramètres de gestion IP ou modifier les masques de sous-réseau IP au niveau du site. # Exécuter des rapports à l'échelle de l'entreprise. # Ajouter et supprimer des comptes d'utilisateur. # Utiliser l'assistant de mise en route. # Afficher et modifier toutes les options des différents onglets de la boîte de dialogue Evénements en cas d'utilisation de l'authentification epolicy Orchestrator. # Importer des événements dans les bases de données epolicy Orchestrator et limiter le nombre d'événements qui y sont stockés. Fonctions de niveau global liées au Répertoire # Créer, renommer ou supprimer des sites. # Déplacer des ordinateurs du groupe global Lost&Found. A propos des comptes limités à un site et des consoles distantes Les administrateurs de site disposent d'autorisations en lecture, en écriture et en suppression ainsi que de droits sur toutes les opérations (à l'exception de celles réservées aux administrateurs globaux) pour un site particulier du Répertoire. Les sites sont des groupes de premier niveau dans le Répertoire, qui peuvent contenir des groupes ou des ordinateurs. Pour plus d'informations sur les sites du Répertoire et leur procédure de création, voir le chapitre 3, Création d'un Répertoire des ordinateurs gérés. Un administrateur de site peut utiliser la console epolicy Orchestrator pour déployer des agents et des produits de sécurité, modifier les stratégies d'agent ou de produit, ainsi que créer et exécuter des tâches de client pour tous les groupes ou ordinateurs de leur site dans le Répertoire. Les administrateurs et les réviseurs de site peuvent également exécuter des rapports, mais ceux-ci contiennent uniquement des données sur les ordinateurs appartenant à leur site. L'administrateur d'un site ne peut pas afficher ou manipuler des données d'autres sites du Répertoire. 29

30 Mise en route des serveurs epolicy Orchestrator Gestion des comptes des administrateurs epolicy Orchestrator 2 Circonstances justifiant la présence d'administrateurs de site Vous devrez probablement créer des comptes d'administrateur de site si vous possédez un réseau fortement décentralisé, sans compte d'administrateur global et avec plusieurs administrateurs locaux disposant d'un contrôle local sur leur section de réseau. Votre organisation peut, par exemple, posséder des sites situés dans différentes villes ou pays et gérés au niveau local par des administrateurs informatiques ou de réseau bénéficiant de droits d'installation et de gestion sur les ordinateurs de cette partie du réseau. Il est possible que le compte du serveur epolicy Orchestrator ne dispose pas des privilèges d'administration de domaine dans ces sites distants. Vous pouvez créer des comptes d'administrateur de site pour ces administrateurs locaux afin qu'ils puissent se connecter au serveur depuis leur emplacement distant via une console distante. L'utilisateur administrateur de site possèdera des droits en écriture, en lecture et en suppression sur tous les noeuds enfants de son site. Il sera en mesure d'afficher d'autres sites du Répertoire, mais pas de les modifier. Création de comptes utilisateur d'administrateur de site Suivez les instructions décrites dans cette section pour créer des comptes d'utilisateur epolicy Orchestrator. Sélectionnez Administrateur du site dans la liste déroulante Rôle, puis sélectionnez un site auquel lier ce compte d'utilisateur dans la liste déroulante Site. La liste déroulante affiche les sites actuellement répertoriés dans l'arborescence du Répertoire. Par conséquent, vous devez créer le site dans le Répertoire avant de créer des comptes utilisateur d'administrateur de site (ou de réviseur de site) à lui associer. Reportez-vous à la section Méthodes de création du Répertoire à la page 56 pour de plus amples informations sur la création de sites. A propos des réviseurs globaux et des réviseurs de site Les réviseurs globaux peuvent consulter mais pas modifier tous les paramètres de la console, dont les paramètres de propriétés, de stratégies et de tâches pour tous les noeuds du Répertoire. Les réviseurs de site peuvent uniquement afficher les paramètres d'un seul site du Répertoire. 30

31 Mise en route des serveurs epolicy Orchestrator Gestion des comptes des administrateurs epolicy Orchestrator 2 Ajout, modification ou suppression de comptes d'utilisateur Seul l'administrateur global a le droit d'ajouter, de modifier ou de supprimer des comptes d'utilisateur dans la console epolicy Orchestrator. Pour consulter les comptes d'utilisateur actuellement créés pour un serveur epolicy Orchestrator donné : 1 Sélectionnez le serveur epolicy Orchestrator dans l'arborescence de la console. 2 Dans le volet de détails, cliquez sur l'onglet Utilisateurs. Figure 2-6 Sélection de l'onglet Utilisateurs pour afficher tous les comptes d'utilisateur actuels Le tableau Utilisateurs du serveur affiche tous les comptes d'utilisateur créés pour le serveur sélectionné. Dans cette page, vous pouvez ajouter de nouveaux comptes, ainsi que modifier ou supprimer des comptes existants. Ajout de comptes d'utilisateur Pour ajouter un compte d'utilisateur au serveur epolicy Orchestrator : 1 Dans la page Utilisateurs du serveur de la console epolicy Orchestrator, sélectionnez Créer un utilisateur. 2 Dans la boîte de dialogue Ajouter un nouvel utilisateur, entrez un nom descriptif pour l'utilisateur dans le champ Nom. 3 Sélectionnez le type de compte d'utilisateur dans la liste déroulante Rôle. 4 Si vous avez sélectionné Administrateur du site ou Réviseur du site au cours de l'étape précédente, sélectionnez un site dans la liste déroulante Site qui répertorie les sites existants créés dans l'arborescence du Répertoire. 5 Tapez un mot de passe dans le champ Mot de passe (un caractère minimum) puis retapez-le dans le champ Confirmation. 6 Cliquez sur Enregistrer pour enregistrer les entrées actuelles et revenir à l'onglet Utilisateurs. 31

32 Mise en route des serveurs epolicy Orchestrator A propos des paramètres, des tâches et des événements relatifs au serveur 2 Suppression de comptes d'utilisateur Vous devez être un administrateur global pour supprimer des comptes d'utilisateur. Par ailleurs, vous ne pouvez pas supprimer le compte utilisateur d'administrateur global par défaut (admin), même si vous êtes connecté avec un compte d'administrateur global. Pour supprimer un compte d'utilisateur existant : 1 Dans la page Utilisateurs du serveur de la console epolicy Orchestrator, sélectionnez un ou plusieurs utilisateurs dans la liste des comptes créés. 2 Cliquez sur Supprimer les utilisateurs et cliquez sur OK dans la boîte de dialogue de confirmation. Modification des rôles ou des mots de passe des comptes d'utilisateur Vous pouvez modifier les privilèges ou les mots de passe de comptes d'utilisateur existants. Les administrateurs globaux peuvent changer les mots de passe de n'importe quel compte d'utilisateur ; les autres utilisateurs ne peuvent changer que le leur. 1 Dans la page Utilisateurs du serveur de la console epolicy Orchestrator, sélectionnez un compte d'utilisateur dans la liste des comptes d'utilisateur créés. 2 Cliquez sur Modifier l'utilisateur pour ouvrir le compte d'utilisateur dans la page Modifier l'utilisateur. 3 Modifiez les paramètres du rôle et du site comme il se doit. 4 Pour modifier le mot de passe, sélectionnez l'option Changer le mot de passe pour supprimer le mot de passe actuel, puis entrez un nouveau mot de passe et confirmez-le dans les champs Mot de passe et Confirmation. 5 Cliquez sur Enregistrer (en haut de la page) pour enregistrer vos modifications. A propos des paramètres, des tâches et des événements relatifs au serveur Vous pouvez modifier divers paramètres qui contrôlent le comportement du serveur epolicy Orchestrator. La plupart de ces paramètres peuvent être modifiés dynamiquement. Toutefois, vous devez réinstaller le logiciel pour changer le nom du serveur ou le numéro de port utilisé par celui-ci pour les communications HTTP. Cette section aborde les sujets suivants : # Modification des paramètres du serveur epolicy Orchestrator # Modification des paramètres du serveur # A propos des tâches de serveur 32

33 Mise en route des serveurs epolicy Orchestrator A propos des paramètres, des tâches et des événements relatifs au serveur 2 Modification des paramètres du serveur epolicy Orchestrator La page Paramètres du serveur affiche tous les éléments de configuration actuelle des fonctionnalités du serveur, et notamment les paramètres de la communication agent-serveur. Un administrateur global peut modifier les paramètres d'un serveur epolicy Orchestrator sélectionné. Soyez conscient de l'impact que peut avoir la modification d'un paramètre spécifique avant de l'effectuer. Paramètres de connexion client-serveur Vous avez la possibilité de configurer de nombreux paramètres définissant la communication du serveur epolicy Orchestrator avec les agents, les SuperAgents et les capteurs de systèmes non fiables. Paramètre du serveur Nb max. de connexions Limite de téléchargements simultanés de l'agent pour des mises à niveau automatiques Taille du journal des événements Port agent-serveur Port console-serveur Port de réactivation de l'agent Port de réactivation de SuperAgent Port de détection des systèmes non fiables Description Nombre maximal de connexions simultanées entre le serveur epolicy Orchestrator et les ordinateurs clients. La valeur par défaut est Vous pouvez en définir un nombre maximal de Si la charge des connexions sollicite le serveur de façon excessive, vous pouvez réduire cette valeur. Nombre maximal de mises à niveau automatiques simultanées d'agents. La valeur par défaut est 25, la valeur maximale Cette option ne concerne que les agents ou de versions antérieures. Taille maximale du fichier journal des événements. La valeur par défaut est Ko. Vous pouvez définir une taille maximale de Ko. Port HTTP utilisé par l'agent pour communiquer avec le serveur. Ce port est défini lors de l'exécution de l'assistant d'installation. La valeur par défaut est 82. Remarque : Si vous modifiez ce numéro de port, les appels de réactivation sont désactivés jusqu'à la prochaine communication agent-serveur. Port HTTP utilisé par la console pour communiquer avec le serveur epolicy Orchestrator. La valeur par défaut est 81. La modification de ce port est effective dans la minute qui suit. Remarque : Si vous modifiez le numéro de port utilisé pour la communication console-serveur, veillez à le modifier sur toutes les consoles et à utiliser le nouveau numéro de port lors de la connexion au serveur. Port HTTP utilisé par le serveur pour envoyer des appels de réactivation de l'agent. La valeur par défaut est Remarque : Si vous modifiez ce numéro de port, les appels de réactivation sont désactivés jusqu'à la prochaine communication agent-serveur. Port HTTP utilisé par le serveur pour envoyer des appels de réactivation du SuperAgent. La valeur par défaut est Port HTTP utilisé pour la communication serveur-console lors de la détection des systèmes non fiables. Le port par défaut est

34 Mise en route des serveurs epolicy Orchestrator A propos des paramètres, des tâches et des événements relatifs au serveur 2 Paramètre du serveur Port sécurisé de détection des systèmes non fiables Afficher l'adresse MAC dans l'arborescence du répertoire Description Port HTTP sécurisé utilisé pour la communication serveur-console lors de la détection des systèmes non fiables. Le port par défaut est Permet d'afficher les adresses MAC dans le Répertoire au lieu des noms d'ordinateur NetBIOS. Paramètres du serveur liés à la mise à jour globale La mise à jour globale est une nouvelle fonctionnalité introduite dans epolicy Orchestrator 3.0. Elle a été améliorée dans epolicy Orchestrator 3.5 pour inclure la mise à jour sélective. Cette dernière permet de sélectionner précisément les types de mise à jour du référentiel maître qui déclenchent une mise à jour globale. Pour plus d'informations sur l'activation de la mise à jour globale, consultez la section Utilisation de la mise à jour globale pour distribuer automatiquement et immédiatement les mises à jour à tous les clients à la page 136. Vous pouvez configurer les paramètres de mise à jour globale suivants : Paramètre du serveur Activer la mise à jour globale Intervalle de sélection aléatoire pour la mise à jour globale Seuls les archivages des composants suivants déclenchent une mise à jour globale Description Active ou désactive la mise à jour globale. Si cette option est sélectionnée, la mise à jour globale est déclenchée par l'archivage de modifications aux composants sélectionnés. Celle-ci inclut la réplication du référentiel, un appel de réactivation du SuperAgent et la mise à jour des clients. Définit l'intervalle de sélection aléatoire utilisé pour la mise à jour globale, exprimé en minutes. Chaque mise à jour des clients a lieu à un moment choisi aléatoirement dans la fenêtre de sélection aléatoire. Ceci permet de répartir la charge du réseau en réduisant le nombre de clients qui se mettent à jour à un moment donné. Si, par exemple, vous mettez à jour clients selon l'intervalle de sélection aléatoire par défaut de 20 minutes, environ 50 clients se mettent à jour chaque minute, ce qui diminue à tout moment la charge imposée au réseau et au serveur epolicy Orchestrator. Sans cette sélection aléatoire, les clients se mettraient à jour en même temps. Dans le cas de grands réseaux (comptant des milliers de clients), les intervalles de sélection aléatoire permettent d'alléger la charge que la mise à jour globale représente pour le réseau et le serveur. Permet de sélectionner précisément les éléments déclenchant une mise à jour globale. Lorsque des packages des types spécifiés sont archivés dans le référentiel maître, une mise à jour globale est déclenchée. L'archivage d'autres types de packages ne déclenche pas cette mise à jour globale. Pour réduire le trafic réseau, la configuration la plus fréquente consiste à ne sélectionner que les signatures antivirus (DAT) et éventuellement les moteurs d'analyse comme éléments déclencheurs d'une mise à jour globale. 34

35 Mise en route des serveurs epolicy Orchestrator A propos des paramètres, des tâches et des événements relatifs au serveur 2 Modification des paramètres du serveur Pour modifier les paramètres du serveur epolicy Orchestrator : 1 Connectez-vous au serveur epolicy Orchestrator de votre choix. 2 Dans l'arborescence de la console sous epolicy Orchestrator, sélectionnez le <SERVEUR>, puis cliquez sur l'onglet Paramètres du volet de détails. Une liste des paramètres du serveur pouvant être définis par l'administrateur global apparaît. Figure 2-7 Onglet Paramètres 3 Apportez les modifications requises aux paramètres du serveur puis cliquez sur Appliquer les paramètres. Pour une description détaillée de ces paramètres, reportez-vous à la section A propos des paramètres, des tâches et des événements relatifs au serveur à la page 32. Remarque Vous ne pouvez pas modifier le port HTTP sur lequel le serveur écoute les communications provenant des agents déployés. Sinon, les agents déployés ne seraient plus en mesure de communiquer avec le serveur, et il n'est jamais simple de reconfigurer les agents afin qu'ils utilisent un nouveau port. S'il est nécessaire de modifier ce port, effectuez une sauvegarde de toutes les bases de données epolicy Orchestrator et désinstallez le serveur epolicy Orchestrator. Réinstallez le serveur et attribuez le nouveau numéro de port au moment de la réinstallation. A propos des tâches de serveur Cette section décrit les diverses tâches de serveur prédéfinies. Pour plus d'informations sur chacune d'elles, consultez la section de ce guide décrivant la tâche. Liste des tâches de serveur # Maintenance de l'agent inactif Déplace les ordinateurs hébergeant des agents inactifs vers un groupe spécifié ou les supprime du Répertoire. Cette tâche ne désinstalle pas l'agent. Elle peut également être effectuée manuellement. Pour obtenir des instructions à ce propos, voir la section Planification d'une tâche du serveur quotidienne pour rechercher les agents inactifs dans le Répertoire à la page

36 Mise en route des serveurs epolicy Orchestrator A propos des paramètres, des tâches et des événements relatifs au serveur 2 # Synchroniser les domaines Synchronise les domaines Windows NT sélectionnés que vous avez importés dans le Répertoire avec leurs homologues sur le réseau. Cette tâche peut également être effectuée manuellement. Pour des instructions, voir la section Synchronisation des domaines Windows NT importés avec les sites du Répertoire à la page 297. # Réplication du Référentiel Met à jour les référentiels distribués à partir du référentiel maître. Voir Réplication du contenu du référentiel maître sur les référentiels distribués à la page 163. # Extraction du référentiel Extrait les packages du référentiel source pour les placer ensuite dans le référentiel maître. Voir Utilisation de tâches d'extraction pour mettre à jour le référentiel maître à partir d'un référentiel source à la page 125. # Recherche Active Directory Importe les nouveaux ordinateurs figurant dans Active Directory vers le répertoire Lost&Found approprié dans le Répertoire epolicy Orchestrator. Voir Utilisation de la recherche Active Directory à la page 294. # Vérification de la conformité Exécute une ou plusieurs règles de conformité qui vérifient si vos ordinateurs gérés sont conformes aux versions spécifiées de fichiers DAT, de moteur, d'agent ou de VirusScan. Voir Tâche de serveur Vérification de la conformité à la page 211. Consultation de l'état des tâches de serveur Pour consulter l'état des tâches de serveur en cours : 1 Sélectionnez le serveur epolicy Orchestrator dans l'arborescence Répertoire de la console. 2 Dans le volet de détails, cliquez sur Journaux des tâches pour afficher les journaux des tâches de serveur. Figure 2-8 Affichage des journaux des tâches pour vérifier l'état des tâches de serveur Cliquez sur Actualiser pour actualiser le journal. La date et l'heure de la dernière mise à jour du journal des tâches apparaissent dans Actuel à partir de. 36

37 Mise en route des serveurs epolicy Orchestrator Affichage des événements du serveur à partir de la console 2 L'état de chaque tâche de serveur est affiché dans la colonne Etat : # Opération terminée avec succès La tâche a été effectuée sans problème. # Exécution La tâche a démarré. # Planifié Ce message apparaît lorsque vous créez ou modifiez des tâches de serveur. # Exécuté avec des erreurs La tâche a démarré mais elle n'a pas pu se terminer correctement. Pour supprimer le contenu d'un journal des tâches de serveur, cliquez sur Purger. Affichage des événements du serveur à partir de la console Dans la console epolicy Orchestrator, vous pouvez afficher, enregistrer et imprimer tous les événements d'information, d'avertissement et d'erreur pour chaque serveur epolicy Orchestrator. Il est utile de vérifier la fenêtre des événements du serveur afin de s'assurer de la réussite ou de l'échec des actions effectuées par le serveur, telles que la distribution d'agents, ou l'extraction de fichiers DAT mis à jour depuis un référentiel source. Par ailleurs, vous pouvez également gérer les événements qui doivent être enregistrés dans la base de données epolicy Orchestrator. Voir le chapitre 16, Maintenance des bases de données epolicy Orchestrator pour plus d'informations sur la gestion des événements dans la base de données. 37

38 Mise en route des serveurs epolicy Orchestrator Affichage des événements du serveur à partir de la console 2 Pour afficher, enregistrer ou imprimer les événements du serveur à partir de la console epolicy Orchestrator : 1 Connectez-vous au serveur epolicy Orchestrator de votre choix. 2 Dans l'arborescence de la console sous epolicy Orchestrator, sélectionnez le noeud du serveur, puis cliquez sur l'onglet Général du volet de détails. Figure 2-9 Onglet Général du serveur epolicy Orchestrator 3 Cliquez sur Evénements du serveur pour ouvrir la boîte de dialogue Observateur d'événements du serveur. Figure 2-10 Boîte de dialogue Observateur d'événements du serveur 4 Sélectionnez Afficher Actualiser pour garantir que la liste d'événements est à jour. 38

39 Mise en route des serveurs epolicy Orchestrator Affichage des événements du serveur à partir de la console 2 Affichage des détails d'un événement spécifique Pour afficher une description détaillée d'un événement du serveur, double-cliquez sur l'événement de votre choix. La boîte de dialogue Détail de l'événement du serveur s'affiche. Enregistrement des événements dans un fichier journal Pour enregistrer tous les événements du serveur dans un fichier journal du serveur (.LOG), sélectionnez Fichier Enregistrer sous. Pour enregistrer uniquement des événements du serveur sélectionnés dans un fichier journal du serveur, sélectionnez les événements requis, puis Fichier Enregistrer sous. Dans la boîte de dialogue Enregistrer sous, sélectionnez Eléments sélectionnés seulement. Impression des événements du serveur Pour imprimer tous les événements du serveur sur l'imprimante par défaut, cliquez sur Imprimer dans le menu Fichier. Pour imprimer uniquement certains événements, sélectionnez les événements requis puis choisissez Fichier Imprimer. 39

40 Mise en route des serveurs epolicy Orchestrator Consultation du numéro de version du serveur epolicy Orchestrator 2 Consultation du numéro de version du serveur epolicy Orchestrator Vous pouvez afficher le numéro de version, l'édition et les informations de licence du serveur ou de la console epolicy Orchestrator ainsi que le numéro de version des pages de stratégie (.NAP). Pour consulter le numéro de version, l'édition et les informations de licence, connectez-vous au serveur epolicy Orchestrator de votre choix. Ces informations apparaissent sous le titre (par exemple, Version de serveur , Enterprise Edition, Sous licence) dans le volet de détails. Figure 2-11 Numéro de version du logiciel Vous pouvez aussi cliquer avec le bouton droit sur epolicy Orchestrator dans l'arborescence de la console, puis choisir A propos d'epolicy Orchestrator. Le numéro de version apparaît dans la partie supérieure de la boîte de dialogue A propos d'epolicy Orchestrator. Figure 2-12 Boîte de dialogue A propos d'epolicy Orchestrator 40

41 Mise en route des serveurs epolicy Orchestrator Assistant de mise en route 2 Assistant de mise en route L'Assistant de mise en route permet de rendre epolicy Orchestrator rapidement opérationnel. Il est conçu pour les déploiements plus simples, dans un environnement de petite entreprise. Utilisez-le si votre réseau compte moins de ordinateurs clients et que vous envisagez de les gérer à partir d'un seul serveur epolicy Orchestrator. Avant d'exécuter l'assistant de mise en route, il peut être utile de parcourir brièvement les chapitres suivants de ce guide traitant du déploiement des agents, de la création de répertoires, de la gestion de stratégies et du déploiement de VirusScan Enterprise. Attention L'Assistant de mise en route permet de déployer VirusScan Enterprise sur des ordinateurs clients après avoir déployé l'agent sur ceux-ci. L'agent déploie VirusScan Enterprise 7.0 sur les ordinateurs Windows NT ou version ultérieure, et VirusScan sur des ordinateurs plus anciens fonctionnant sous Windows 95, Windows 98 ou Windows ME. Si vous avez choisi d'utiliser l'assistant de mise en route pour déployer VirusScan, commencez par archiver dans le référentiel maître du serveur epolicy Orchestrator les packages de déploiement pour VirusScan Enterprise et, si vous possédez des ordinateurs Windows 95 et Windows 98, les packages de VirusScan Vous devez réaliser cet archivage avant d'exécuter l'assistant. Pour des informations sur l'archivage des packages de déploiement, reportez-vous à la section Archivage de packages de déploiement de produit dans le référentiel maître à la page 105. L'Assistant vous permet de : # déployer l'agent epolicy Orchestrator sur tous les ordinateurs d'un domaine Windows NT de votre réseau ; # télécharger le package d'installation de l'agent (FRAMEPKG.EXE) pour un déploiement manuel sur les ordinateurs ; # activer le déploiement de VirusScan après l'installation de l'agent ; # appliquer des stratégies de petite entreprise. Stratégies de petite entreprise et tâches de client prédéfinies epolicy Orchestrator offre une grande souplesse dans la définition des stratégies d'agent et de produit et dans la configuration des types de tâches de client (comme les tâches de mises à jour et d'analyse). Pour simplifier ces processus et vous permettre d'être rapidement opérationnel, l'assistant de mise en route peut déployer vers vos agents un ensemble de stratégies et de tâches d'analyse prédéfinies, qui conviennent parfaitement à un environnement de petite entreprise. Vous pouvez modifier ces stratégies ou tâches ultérieurement si vous le souhaitez. Pour de plus amples informations sur la modification de stratégies et de tâches de client, reportez-vous à la section Gestion des stratégies pour les agents et les produits à la page

42 Mise en route des serveurs epolicy Orchestrator Assistant de mise en route 2 Les stratégies et tâches déployées par l'assistant de mise en route sont les suivantes : # L'intervalle de communication agent-serveur de l'agent (ASCI) est défini à 1 heure. Cela signifie que l'agent contacte le serveur toutes les heures pour lui envoyer des propriétés et des événements mis à jour et vérifier s'il existe de nouvelles stratégies ou tâches mises à jour. # Les agents transfèrent immédiatement les événements de priorité élevée au serveur, au lieu d'attendre le prochain intervalle de communication agent-serveur. Vos rapports contiennent ainsi les données essentielles les plus récentes. # Les ordinateurs clients contactent le site web McAfee toutes les quinze minutes pour voir si de nouveaux fichiers de signatures de virus (DAT) sont disponibles. # VirusScan exécute une analyse à la demande planifiée pour détecter les éventuelles infections tous les jours à 12 heures (heure locale). # L'agent applique les stratégies sur l'ordinateur client toutes les cinq minutes. # Des tâches de synchronisation de domaine sont exécutées régulièrement. Celles-ci réimportent les ordinateurs du domaine Windows NT sous le Répertoire dans l'arborescence de la console. Ainsi, vous êtes assuré que le Répertoire reflète fidèlement les ordinateurs actuellement connectés sur le réseau. Exécution de l'assistant de mise en route 1 Connectez-vous au serveur epolicy Orchestrator de votre choix à l'aide d'un compte d'administrateur global. 2 Dans l'arborescence de la console sous epolicy Orchestrator, sélectionnez le <SERVEUR>, puis cliquez sur l'onglet Général du volet de détails. 3 Sous Liste des tâches, cliquez sur Assistant de mise en route pour lancer l'assistant. 4 Cliquez sur Suivant pour ouvrir la boîte de dialogue Déploiement de l'agent Configurer le déploiement automatisé. 5 Pour déployer l'agent sur tous les ordinateurs de vos domaines Windows NT : a Sélectionnez Je souhaite déployer automatiquement l'agent sur les domaines Windows NT que je spécifie, puis cliquez sur Suivant. b Dans la page Sélection des domaines, sélectionnez des domaines vers lesquels déployer vos agents dans la liste des domaines disponibles identifiés par le serveur epolicy Orchestrator. c Cliquez sur Suivant. d Dans la page Fournir les comptes utilisateur de l'administrateur de domaine, sélectionnez chaque domaine et entrez les références d'un compte d'administrateur de domaine. epolicy Orchestrator ne peut déployer des agents que si le compte spécifié possède des droits d'administration dans le domaine cible. e Cliquez sur Suivant. 42

43 Mise en route des serveurs epolicy Orchestrator Assistant de mise en route 2 Si vous ne disposez pas de domaines (par exemple, si vous utilisez NetWare) ou que vous ne voulez pas modifier les paramètres actuels avec l'assistant, dans la boîte de dialogue Déploiement de l'agent Configurer le déploiement automatisé, procédez comme suit : a Sélectionnez Je souhaite passer cette étape puis Suivant. Dans la boîte de dialogue Déploiement de l'agent Déploiement manuel, vous pouvez télécharger le package d'installation de l'agent (FRAMEPKG.EXE) pour le déployer manuellement sur des ordinateurs Windows 95, Windows 98 ou Windows ME (dont l'option d'administration à distance n'est pas activée). Ce package est également utile pour le déploiement d'agents sur des ordinateurs qui n'appartiennent pas à un domaine Windows NT. b Cliquez sur Télécharger et sélectionnez l'emplacement vers lequel vous souhaitez enregistrer le package d'installation de l'agent. c Vous pouvez alors créer un avec des instructions d'installation, y joindre le package d'installation de l'agent puis envoyer l' au moment opportun. d Cliquez sur Suivant. Si vous ne souhaitez pas déployer manuellement le programme d'installation de l'agent, cliquez sur Suivant. 6 Dans la boîte de dialogue Stratégies et tâches de l'agent Activer la tâche de déploiement de VirusScan, indiquez si les agents doivent déployer VirusScan au moment de leur installation, puis cliquez sur Suivant. Pour rappel, vous devez d'abord archiver les packages de déploiement de VirusScan appropriés dans le référentiel maître. 7 Dans la boîte de dialogue Phase 2 : Stratégies et tâches de l'agent Activer les stratégies, spécifiez si vous souhaitez activer les stratégies de petite entreprise, puis cliquez sur Suivant. 8 Dans la boîte de dialogue Prêt à démarrer, examinez les tâches que l'assistant doit effectuer et cliquez sur Suivant. 9 Cliquez sur Terminer pour démarrer le déploiement de l'agent et des stratégies. 43

44 3 Création d'un Répertoire des ordinateurs gérés Création de sites et de groupes et ajout d'ordinateurs Le Répertoire contient la totalité des ordinateurs à gérer via epolicy Orchestrator et sert de lien avec les interfaces principales pour la gestion de ces ordinateurs. Il vous permet d'organiser les ordinateurs en regroupements logiques (par exemple, par service ou par emplacement géographique) ou de les trier par adresse IP à l'aide des éléments de l'arborescence de la console appelés sites et groupes. Vous pouvez définir des stratégies (paramètres de configuration du produit) et planifier des tâches (par exemple, mettre à jour des fichiers de signatures de virus) pour des ordinateurs, au niveau du Répertoire lui-même et à tous ses niveaux inférieurs. Figure 3-1 Le Répertoire contient les ordinateurs gérés par epolicy Orchestrator 44

45 Création d'un Répertoire des ordinateurs gérés A propos de la création du Répertoire 3 Avant de configurer le logiciel epolicy Orchestrator afin de déployer et/ou de gérer les logiciels antivirus et de sécurité dans votre environnement, vous devez effectuer une planification préliminaire. Ainsi, vous devez déterminer les regroupements qui seront optimaux pour la gestion des logiciels et l'attribution des droits d'administration. Conseil Plusieurs facteurs peuvent influer sur votre manière de créer et d'organiser le Répertoire, notamment l'organisation du déploiement et de la gestion des agents et des produits McAfee, de même que la stratégie que vous allez adopter pour tenir ces derniers à jour. Nous vous conseillons donc de prendre le temps de passer en revue les autres sections de ce guide avant d'entamer la création de votre Répertoire. Contenu de ce chapitre # A propos de la création du Répertoire # Eléments à prendre en compte lors de la planification de l'organisation du Répertoire # Méthodes de création du Répertoire # Création de l'arborescence du Répertoire par une importation de données à partir d'active Directory # Création de sites ou de groupes par l'importation de domaines Windows NT # Création manuelle de sites et de groupes # Importation d'ordinateurs et de groupes à partir d'un fichier texte # Ajout de solutions matérielles-logicielles WebShield A propos de la création du Répertoire Le Répertoire organise, pour un serveur epolicy Orchestrator, les ordinateurs gérés au sein d'unités, de manière à faciliter la surveillance, la définition des stratégies et la planification des tâches au niveau de ces ordinateurs. Avant de créer votre Répertoire, vous devez vous familiariser avec les concepts suivants : # Sites, groupes et héritage # A propos du tri et des filtres d'adresses IP # Déploiement de l'agent lors de l'ajout d'un site, d'un groupe ou d'un ordinateur au Répertoire Sites, groupes et héritage Pendant l'étape de planification, vous devez déterminer la meilleure manière de répartir les ordinateurs en sites et en groupes avant d'entamer la configuration d'epolicy Orchestrator. 45

46 Création d'un Répertoire des ordinateurs gérés A propos de la création du Répertoire 3 Organisation des ordinateurs en sites et en groupes L'arborescence du Répertoire contient tous les ordinateurs de votre réseau qui sont gérés par epolicy Orchestrator. Si vous le souhaitez, vous pouvez ajouter tous les ordinateurs à gérer via epolicy Orchestrator dans un seul site du Répertoire. Toutefois, cette liste sans hiérarchie et désorganisée rendra difficile le paramétrage de stratégies différenciées pour les différents ordinateurs, particulièrement pour les réseaux de très grande taille. En outre, la navigation visuelle au sein du Répertoire n'en sera que plus compliquée. L'arborescence du Répertoire vous permet de réunir les ordinateurs en regroupements appelés sites et groupes. En rassemblant ainsi des ordinateurs présentant des propriétés ou des exigences similaires, vous pouvez gérer des stratégies dans un emplacement unique, au niveau du site ou du groupe, au lieu de définir des stratégies individuellement pour chaque ordinateur. Cela facilite également la navigation visuelle au sein de votre Répertoire. Figure 3-2 Répertoire organisé en sites et en groupes Un site est un groupe de premier niveau, directement sous la racine du Répertoire dans l'arborescence de la console. Un groupe est un regroupement secondaire au sein d'un site. Les sites et les groupes se ressemblent beaucoup et ce, à plusieurs égards. Tous deux peuvent contenir des sous-niveaux de groupes ou des ordinateurs individuels. Tous deux peuvent être créés manuellement ou automatiquement, en important des listes d'ordinateurs directement à partir de votre Voisinage réseau NT ou d'active Directory. 46

47 Création d'un Répertoire des ordinateurs gérés A propos de la création du Répertoire 3 Toutefois, les sites présentent certaines particularités. Tout d'abord, vous pouvez utiliser les sites pour définir des rôles administratifs en créant dans epolicy Orchestrator des comptes utilisateur d'administrateur de site et de réviseur de site spécifiques à un site. Les administrateurs de site ne peuvent agir que dans ce site et n'ont pas accès aux autres parties du Répertoire. Les sites comprennent également des groupes Lost&Found. Il s'agit de conteneurs temporaires pour les ordinateurs qu'epolicy Orchestrator ne peut pas classer automatiquement dans d'autres sites ou groupes de votre Répertoire, par exemple si vous utilisez des filtres IP pour répartir automatiquement les ordinateurs dans des sites et des groupes en fonction des adresses IP réseau. Enfin, seuls les administrateurs globaux epolicy Orchestrator sont habilités à créer des sites. Les administrateurs de site peuvent créer des groupes au sein du site sur lequel ils disposent de droits d'administration. Vous pouvez faire glisser manuellement des groupes ou des ordinateurs individuels vers différents emplacements de l'arborescence du Répertoire. Néanmoins, il vous est impossible de «promouvoir» un groupe de cette manière pour lui affecter le statut de site. Héritage : définition unique de stratégies pour plusieurs ordinateurs L'héritage est une propriété essentielle de l'arborescence du Répertoire epolicy Orchestrator qui permet de faciliter l'administration des stratégies. La notion d'héritage implique que des noeuds de niveau inférieur dans la hiérarchie du Répertoire héritent de stratégies définies à un niveau supérieur. Les stratégies définies au niveau de la racine du Répertoire sont héritées par les sites ; les stratégies de site sont héritées par les groupes et ordinateurs individuels situés dans le site ; les stratégies de groupe sont héritées par les sous-groupes ou ordinateurs individuels présents dans le groupe. Par défaut, l'héritage est activé pour tous les sites, groupes ou ordinateurs individuels que vous ajoutez à votre Répertoire. Ceci vous permet de définir des stratégies et de planifier des tâches d'analyse de client dans un nombre réduit d'emplacements, par exemple aux niveaux supérieurs de votre Répertoire. Afin de paramétrer des stratégies personnalisées pour un site, un groupe ou un ordinateur individuel, vous pouvez bloquer l'héritage et définir ces stratégies comme vous le souhaitez. Ces stratégies modifiées s'appliqueront alors aux groupes ou ordinateurs situés plus bas dans la hiérarchie. 47

48 Création d'un Répertoire des ordinateurs gérés A propos de la création du Répertoire 3 Un noeud parent est un objet conteneur, comme un site ou un groupe, qui possède des sous-noeuds ou des branches. Un enfant est un noeud situé dans un objet conteneur, ou subordonné à une type de regroupement. Un noeud enfant peut être un ordinateur ou un autre groupe. Ainsi, un noeud enfant peut être à la fois l'enfant d'un premier noeud (par exemple, un groupe dans un site) et un parent (par exemple, un groupe), auquel sont subordonnés d'autres noeuds enfants. Au niveau le plus bas de l'arborescence, un noeud enfant n'a aucun autre noeud situé sous lui. Par exemple, les noeuds d'ordinateur de cette structure ne peuvent être que des noeuds enfants, puisque ces derniers ne peuvent pas présenter de sous-noeuds ou de branches à un niveau inférieur. Conseil Exploitez les avantages de l'héritage. S'il est possible de configurer des stratégies antivirus et de sécurité, ou encore de planifier des tâches d'analyse à la demande sur le client ou de mise à jour des fichiers DAT n'importe où dans l'arborescence, nous vous recommandons toutefois de paramétrer les stratégies au niveau du noeud le plus élevé possible dans la hiérarchie. Si la définition de vos stratégies ne s'applique qu'au niveau du site ou du groupe, vous aurez par la suite moins de modifications à contrôler lors du suivi. Si possible, évitez de configurer des stratégies au niveau d'un ordinateur individuel. Groupes Lost&Found Le serveur utilise les paramètres de gestion IP, les noms d'ordinateur, Active Directory et les noms de domaine, de site ou de groupe pour définir l'emplacement des ordinateurs. Les groupes Lost&Found stockent les ordinateurs pour lesquels aucun emplacement n'a pu être déterminé. Pour les gérer, l'administrateur doit déplacer les ordinateurs situés dans les groupes Lost&Found vers l'emplacement approprié du Répertoire. Si vous supprimez des ordinateurs du Répertoire, vous devez également désinstaller l'agent de ces ordinateurs. Sinon, ils restent affichés dans le groupe Lost&Found puisque l'agent continue à communiquer avec le serveur. Les groupes Lost&Found s'affichent sous le Répertoire et sous chaque site de l'arborescence de la console. A propos du tri et des filtres d'adresses IP Dans bon nombre de réseaux, les informations de sous-réseau et d'adresse IP reflètent des distinctions organisationnelles, tels que l'emplacement géographique ou la fonction au sein de l'entreprise. Ces regroupements organisationnels peuvent se révéler utiles pour rassembler des ordinateurs et configurer des stratégies via epolicy Orchestrator. C'est pour cette raison qu'epolicy Orchestrator permet de définir des filtres d'adresses IP sur les sites et groupes du Répertoire. En outre, il met à votre disposition des outils, tels que le tri d'adresses IP et la vérification de l'intégrité IP, qui permettent de placer automatiquement les ordinateurs dans le site ou le groupe approprié en fonction de l'adresse IP. Cet outil peut s'avérer très efficace pour compléter automatiquement votre Répertoire et vous assurer que les ordinateurs restent bien à l'emplacement qui convient. 48

49 Création d'un Répertoire des ordinateurs gérés A propos de la création du Répertoire 3 Cette fonctionnalité est particulièrement utile si vous n'utilisez pas epolicy Orchestrator pour déployer des agents sur les clients de votre réseau. Si vous recourez à un autre outil logiciel réseau, par exemple Microsoft SMS, ou si vous déployez un agent en faisant appel à des scripts de login NT, l'agent est alors installé sur le client avant que l'ordinateur ne soit ajouté au Répertoire. Après que l'agent est installé et appelle le serveur pour la première fois, epolicy Orchestrator l'ajoute au Répertoire. Si vous définissez des filtres IP à l'intention des sites et des groupes, l'ordinateur est ajouté à l'emplacement approprié. A défaut, il est ajouté au groupe Lost&Found et vous devrez alors le déplacer manuellement vers le groupe adéquat. Particulièrement dans les réseaux de grande taille, l'utilisation de filtres IP pour affecter aux ordinateurs un emplacement approprié peut représenter un gain de temps considérable, par rapport au déplacement manuel des ordinateurs dans les groupes. Vous pouvez également attribuer des valeurs d'intervalles IP ou de masques de sous-réseau IP aux sites et aux groupes lors de leur création. Il vous sera également possible de les modifier ou d'en ajouter ultérieurement, à n'importe quel moment. Remarque Le tri automatique des adresses IP ne s'applique pas aux ordinateurs que vous ajoutez au Répertoire via la nouvelle tâche de recherche Active Directory d'epolicy Orchestrator 3.5. Application de filtres IP à tous les niveaux du Répertoire Si vous utilisez le filtrage IP, vous devez configurer correctement ses propriétés à tous les niveaux du Répertoire. Pour définir un filtre IP pour un groupe, il vous faut également appliquer des filtres IP aux groupes ou sites parents. De plus, les intervalles IP spécifiés dans les groupes de niveau inférieur doivent être un sous-ensemble de l'intervalle IP du parent. En d'autres termes, l'intervalle IP du groupe enfant doit intégralement «faire partie» de l'intervalle du parent. Enfin, les filtres IP ne peuvent pas recouper différents groupes. Chaque masque de sous-réseau ou intervalle IP d'un groupe ou site donné doit couvrir un seul ensemble d'adresses IP, lesquelles ne peuvent être intégrées à d'autres paramètres de filtrage dans des sites ou des groupes différents. Une fois les groupes créés et les filtres IP configurés, exécutez une vérification d'intégrité IP afin de contrôler la validité de la hiérarchie des filtres IP. Cette vérification vous avertit en cas de conflits ou de recoupements entre les filtres IP des différents sites ou groupes. Pour plus d'informations, reportez-vous à la section Vérification de l'intégrité des filtres IP à la page 303. Utilisation du filtrage IP par epolicy Orchestrator Ces instructions s'appliquent uniquement la première fois que l'agent communique avec le serveur epolicy Orchestrator. Après le contact initial, l'agent effectue la mise à jour quel que soit l'emplacement auquel il a été affecté. Lorsqu'un agent contacte le serveur pour la première fois, le serveur recherche le site dont le masque ou l'intervalle IP correspond à l'adresse IP de l'agent. Un algorithme complexe, mettant en oeuvre les filtres IP que vous avez créés et les informations de domaine pour le domaine NT auquel appartient le nouvel ordinateur, est exécuté afin de placer automatiquement les ordinateurs dans le Répertoire. Conseil Prenez garde si certains sites ou groupes de votre Répertoire possèdent le même nom qu'un domaine NT. La règle de recherche des noms de domaine est prioritaire sur la règle de groupe IP. Si vous voulez que l'ordinateur soit inclus dans le groupe IP approprié, vous devez créer le groupe IP sous le groupe ou site du domaine ou ne pas créer le groupe de domaine sous le site. 49

50 Création d'un Répertoire des ordinateurs gérés A propos de la création du Répertoire 3 Pour placer les ordinateurs dans le Répertoire, le serveur epolicy Orchestrator utilise l'algorithme de recherche suivant : 1 Filtre IP de site Si un site doté d'un filtre IP correspondant est trouvé, l'ordinateur est placé dans ce site. epolicy Orchestrator essaie de placer l'ordinateur dans un site selon les critères suivants : a dans un groupe portant le même nom que le domaine NT auquel l'ordinateur appartient ; b dans un groupe doté d'un filtre IP correspondant ; c si aucun groupe correspondant à une adresse IP ou à un nom de domaine n'est trouvé, l'ordinateur est placé dans le groupe Lost&Found. 2 Nom de domaine de site Si aucun site doté d'un filtre IP correspondant n'est trouvé, le serveur recherche un site portant le même nom que le nom de domaine NT auquel appartient l'ordinateur. S'il en détecte un, le serveur recherche un groupe doté d'un filtre IP correspondant et y place l'ordinateur. S'il n'en trouve pas, l'ordinateur est placé dans le site Lost&Found. 3 Aucun filtre IP ou nom de domaine de site n'a été trouvé Si le serveur ne parvient à trouver aucun filtre IP ou nom de domaine correspondant dans les sites, il ajoute l'ordinateur au groupe Lost&Found global. Ajout de filtres IP lors de la création de sites et de groupes Lorsque vous créez un site ou un groupe, vous pouvez spécifier des filtres IP. Toutefois, vous avez également la possibilité de les créer ultérieurement à tout moment. Pour plus d'informations concernant la modification des filtres IP pour les sites et groupes existants, reportez-vous à la section Maintenance des filtres IP pour les sites et les groupes à la page 300. Lors de la création d'un nouveau site ou d'un nouveau groupe, spécifiez les informations relatives au filtre IP dans la boîte de dialogue Nouveau site ou Nouveau groupe. Voir Création de sites ou de groupes par l'importation de domaines Windows NT à la page 60 ou Création manuelle de sites et de groupes à la page 61. Pour la création de filtres IP, la procédure est fondamentalement identique, qu'il s'agisse de nouveaux sites ou de nouveaux groupes. L'exemple de cette procédure illustre la création d'un filtre IP pour un nouveau site. 50

51 Création d'un Répertoire des ordinateurs gérés A propos de la création du Répertoire 3 Pour attribuer un filtre IP à un nouveau site : 1 Dans la boîte de dialogue Ajouter des sites, sélectionnez le site à partir de Sites à ajouter, puis cliquez sur Modifier afin d'ouvrir la boîte de dialogue Nouveau site. 2 Dans la section Gestion IP, cliquez sur Ajouter. La boîte de dialogue Gestion IP s'affiche. Figure 3-3 Boîte de dialogue Gestion IP 3 Sélectionnez Masque de sous-réseau IP ou Intervalle IP et entrez les valeurs IP appropriées. 4 Cliquez sur OK pour enregistrer les informations IP. Dans la boîte de dialogue Nouveau site, l'intervalle IP s'affiche dans la liste Gestion IP. Figure 3-4 La liste Gestion IP répertorie les filtres configurés pour le nouveau site. 5 Vous pouvez ajouter des filtres IP supplémentaires en cliquant de nouveau sur Ajouter et en saisissant un autre intervalle ou un autre masque de sous-réseau IP. Chaque nouveau filtre IP créé et enregistré est intégré dans la liste Gestion IP. 6 Une fois que tous les filtres IP requis pour votre site ont été créés, cliquez sur OK dans la boîte de dialogue Nouveau site afin de les enregistrer. 51

52 Création d'un Répertoire des ordinateurs gérés A propos de la création du Répertoire 3 Déploiement de l'agent lors de l'ajout d'un site, d'un groupe ou d'un ordinateur au Répertoire Si vous le souhaitez, vous pouvez utiliser epolicy Orchestrator pour distribuer l'agent vers les nouveaux ordinateurs que vous importez dans le Répertoire via la fonctionnalité d'importation de domaine NT ou d'importation Active Directory. Avant de déployer les agents sur votre réseau, relisez les informations relatives au déploiement et à la gestion des agents contenues dans ce guide. Pour plus d'informations sur le déploiement des agents, voir le chapitre 4, Déploiement des agents, SuperAgents et capteurs. Conseil McAfee Security déconseille d'effectuer la distribution de l'agent lors d'une importation dans le Répertoire si le domaine ou le conteneur Active Directory importé est de taille importante. Si vous distribuez le package de déploiement de l'agent de 1,5 Mo vers plusieurs ordinateurs simultanément, il se peut que votre réseau sature en raison d'un trafic trop important. Ainsi, il est préférable d'importer en premier lieu le domaine ou le groupe Active Directory, puis d'effectuer ultérieurement la distribution de l'agent vers les groupes d'ordinateurs. Vous pouvez distribuer des agents à tous les ordinateurs d'un site figurant dans la boîte de dialogue Sites à ajouter. Pour plus d'informations sur l'aspect de ces boîtes de dialogue dans le contexte de l'ajout de sites au Répertoire, voir Création de sites ou de groupes par l'importation de domaines Windows NT à la page 60 ou Création manuelle de sites et de groupes à la page 61. Pour distribuer l'agent lors de l'importation d'ordinateurs dans le Répertoire : 1 Dans la boîte de dialogue Sites à ajouter, sélectionnez Envoyer le package de l'agent. 2 Pour masquer l'installation de l'agent à l'utilisateur de l'ordinateur, sélectionnez Supprimer l'interface d'installation de l'agent. 3 Validez le chemin d'installation par défaut ou saisissez-en un autre. Il s'agit de l'emplacement dans lequel l'agent est installé sur l'ordinateur client. (Cliquez sur pour insérer des variables dans le chemin d'installation.) Voir la section Variables à la page Si vous avez installé le serveur epolicy Orchestrator en utilisant des références de compte d'administrateur de domaine, vous pouvez choisir l'option Utiliser les références du serveur epo. Dans le cas contraire, spécifiez un nom d'utilisateur et un mot de passe pour un compte d'utilisateur disposant de droits d'administrateur permettant d'installer le logiciel sur le client dans ce domaine. Une fois les ordinateurs ajoutés et l'agent déployé, vérifiez la page d'événements du serveur epolicy Orchestrator pour vous assurer que l'installation de l'agent s'est bien déroulée. Si la page d'événements indique que l'installation de l'agent a échoué, cela signifie que la distribution n'a pas pu être effectuée. Si aucune information n'est donnée sur l'installation de l'agent, cela signifie qu'elle a réussi (la page d'événements ne donne aucune indication lorsque l'installation de l'agent a abouti). 52

53 Création d'un Répertoire des ordinateurs gérés Eléments à prendre en compte lors de la planification de l'organisation du Répertoire 3 Eléments à prendre en compte lors de la planification de l'organisation du Répertoire Une bonne organisation du Répertoire peut faciliter grandement la maintenance d'epolicy Orchestrator. La structure de votre Répertoire peut dépendre d'un grand nombre d'options d'administration. Ainsi, nous vous recommandons de bien les étudier avant d'entamer la création de votre Répertoire. La création du Répertoire ne devrait idéalement être effectuée qu'une seule fois, particulièrement dans le cas de réseaux de grande taille rassemblant des milliers ou des dizaines de milliers d'ordinateurs clients. epolicy Orchestrator offre une grande flexibilité en ce qui concerne la création du Répertoire, l'ajout d'ordinateurs à celui-ci et le déploiement d'agents sur les ordinateurs. Si la structure de votre domaine NT ou d'active Directory est organisée d'une manière qui convient bien à la gestion des stratégies antivirus et de sécurité, vous pouvez importer rapidement des domaines entiers ou des conteneurs Active Directory dans votre Répertoire sous forme de sites. Si vous le souhaitez, il vous est possible de créer manuellement la structure des sites et des groupes et d'y ajouter chaque ordinateur de la même manière. Vous pouvez utiliser une structure de Répertoire linéaire, dans laquelle chaque site regroupe des centaines voire des milliers d'ordinateur au sein d'une liste non hiérarchisée. A l'inverse, vous pouvez mettre en place une structure de groupes fortement hiérarchisée et détaillée, dans laquelle chaque groupe contient un bien plus petit nombre d'ordinateurs. Il n'existe pas de règle universelle pour l'organisation d'un Répertoire et, puisque chaque réseau est différent, la structure de votre Répertoire sera aussi unique que celle de votre réseau. Toutefois, cette section propose quelques suggestions à prendre en compte lorsque vous allez planifier la création et l'organisation de votre Répertoire. Vous n'utiliserez pas toutes les méthodes de création de Répertoire Etant donné le grand nombre d'options proposées pour la création et l'organisation du Répertoire, vous pourriez croire que vous devrez toutes les utiliser. Or, il n'en est rien. Par exemple, si vous utilisez Active Directory dans votre réseau, vous importerez certainement vos conteneurs Active Directory plutôt que vos domaines NT. De même, si vous n'utilisez pas Active Directory et que l'organisation des domaines NT n'est pas utile pour la gestion des stratégies epo, vous serez plutôt enclin à générer la structure de votre Répertoire indépendamment d'epo, dans un fichier texte, avant de l'importer dans votre Répertoire. Si votre réseau est relativement petit, vous choisirez peut-être de créer manuellement votre Répertoire et d'y importer chaque ordinateur individuellement une méthode que vous n'adopterez par contre jamais si le réseau (et donc le Répertoire) est très vaste. mais vous en exploiterez probablement plusieurs Même si vous n'allez pas recourir à toutes les méthodes de création de Répertoire disponibles, il est tout aussi probable que vous ne vous cantonnerez pas à une seule. Très souvent, l'utilisation combinée de plusieurs méthodes vous permet de trouver un juste équilibre entre, d'une part, la facilité et la rapidité de création qu'offre l'une des fonctionnalités d'importation, et d'autre part, la nécessité de mettre en oeuvre une structure supplémentaire, par l'intermédiaire des groupes, pour améliorer l'efficacité de la gestion des stratégies. 53

54 Création d'un Répertoire des ordinateurs gérés Eléments à prendre en compte lors de la planification de l'organisation du Répertoire 3 Par exemple, vous pouvez créer votre Répertoire en deux étapes. Dans un premier temps, vous pouvez créer 90 % de la structure générale du Répertoire en important des domaines NT ou des conteneurs Active Directory tout entiers dans des sites. Ensuite, vous pouvez créer manuellement des groupes au sein de chaque site, afin de regrouper les ordinateurs aux exigences similaires en termes de stratégies antivirus ou de sécurité. Par exemple, si l'un des domaines NT est très étendu ou s'il comprend plusieurs zones géographiques, vous pouvez créer des groupes sous le site et diriger les ordinateurs qu'ils contiennent vers des référentiels distribués distincts pour optimiser les mises à jour. Vous avez également la possibilité de créer des groupements fonctionnels plus petits, par exemple pour les différents types de systèmes d'exploitation ou de fonctions au sein de l'entreprise, dans la perspective où vous voudriez leur appliquer des stratégies différentes. Ce niveau de détail supplémentaire dans l'organisation peut, à terme, faciliter considérablement la gestion des stratégies pour les milliers d'ordinateurs que comptent les grands réseaux. Emplacement géographique des sites ou bureaux Si votre entreprise est de grande taille et possède plusieurs sièges dans différentes villes ou divers sites, il peut être utile d'utiliser le critère géographique comme mécanisme de regroupement primaire. Créez un site pour chaque emplacement géographique. Il peut s'agir soit de l'emplacement d'un bureau individuel, par exemple un site nommé «New York», soit d'une région géographique plus générale, comme «Europe», susceptible de contenir différents groupes correspondant aux emplacements de chaque bureau au sein du site (Londres, Paris, Prague). De même, il se peut que votre organisation ne soit pas implantée en divers endroits du globe, mais dans plusieurs grands bâtiments situés sur un même campus. Créez un site pour chaque bâtiment (ou étage du bâtiment, ou toute autre division logique). Le regroupement des ordinateurs selon un premier critère géographique présente plusieurs avantages en termes d'application des stratégies. Tout d'abord, vous pouvez appliquer les stratégies de mise à jour pour le site ou le groupe de sorte que tous les ordinateurs clients qu'ils regroupent soient mis à jour à partir d'un ou de plusieurs référentiels de logiciels distribués situés à proximité. En outre, si les sites sont implantés dans d'autres pays, vous pouvez déployer des versions en langues différentes de l'agent epolicy Orchestrator ou des logiciels clients tels que VirusScan Enterprise. Le regroupement de tous les ordinateurs en un seul site ou groupe signifie que vous ne pourrez configurer les stratégies de déploiement de produits et de mise à jour qu'une seule fois pour la totalité du site ou du groupe. Utilisation des filtres IP pour automatiser l'organisation du Répertoire Si cela est possible, envisagez d'utiliser des filtres IP pour automatiser la création et la maintenance du Répertoire. Définissez des masques de sous-réseau IP ou des intervalles d'adresses IP pour les sites, ainsi que pour tous les groupes situés dans chacun des sites du Répertoire. Les ordinateurs seront automatiquement affectés aux emplacements appropriés. Souvent, les emplacements géographiques de site utilisent des sous-réseaux ou des intervalles IP spécifiques : vous pouvez donc à la fois créer un site dédié à un emplacement géographique et lui attribuer un ou plusieurs filtres IP. De même, si votre réseau n'est pas dispersé géographiquement, vous pouvez vous servir des emplacements réseau, par exemple les adresses IP, comme mécanisme de regroupement primaire. 54

55 Création d'un Répertoire des ordinateurs gérés Eléments à prendre en compte lors de la planification de l'organisation du Répertoire 3 Utilisation de domaines NT ou d'active Directory pour la création rapide du Répertoire L'importation de domaines NT ou de conteneurs Active Directory complets dans des sites ou groupes du Répertoire constitue un moyen simple et rapide de créer automatiquement votre Répertoire epolicy Orchestrator. Par la suite, vous pouvez créer manuellement des groupes au sein du site importé et, de cette manière, organiser les ordinateurs de façon appropriée pour la gestion des stratégies. Si vos domaines réseau correspondent aux emplacements géographiques du réseau, vous pouvez importer chaque domaine en tant que site géographique. De même, si vos domaines s'étendent sur plusieurs sites géographiques, vous pourrez importer le domaine dans votre Répertoire en tant que site puis, au sein de ce dernier, créer des groupes géographiques associés à des filtres IP. Infrastructure réseau et limitations de bande passante La gestion de la défense antivirus et de la sécurité réseau doit constamment trouver un équilibre entre protection et performances. Ainsi, vous devez organiser votre Répertoire de manière à utiliser de façon optimale la bande passante limitée du réseau. Etudiez la manière dont le serveur epo va devoir se connecter à toutes les parties de votre réseau, particulièrement aux emplacements distants, lesquels sont souvent reliés par des connections de réseau étendu (WAN) ou de réseau privé virtuel (VPN), plus lentes que les liaisons de réseau local (LAN). Vous souhaiterez peut-être appliquer des stratégies de mise à jour et de communication agent-serveur différentes pour ces sites distants afin de réduire le trafic réseau sur les liaisons WAN ou VPN moins performantes. Administration des différentes parties du Répertoire Il se peut qu'au sein de votre organisation, l'administration du réseau soit fortement décentralisée et que plusieurs administrateurs se partagent la responsabilité des diverses parties du réseau. Pour des raisons de sécurité, il n'existe peut-être pas de compte global donnant accès à toutes les parties du réseau. Dans ce cas de figure, vous ne pouvez pas appliquer des stratégies et déployer des agents au moyen d'un unique compte epolicy Orchestrator global. Au contraire, vous devez alors diviser votre Répertoire en différents sites et créer des comptes d'administrateur de site pour permettre aux autres administrateurs de définir des stratégies pour les ordinateurs concernés. Regroupements fonctionnels, logiciels exécutés et emplacements d'exécution L'un des facteurs déterminants de l'organisation de votre Répertoire est la manière dont vous pouvez appliquer des stratégies pour le plus grand nombre d'ordinateurs possible, en un minimum d'emplacements logiques. Les limites géographiques peuvent influer sur vos stratégies relatives aux mises à jour et aux référentiels, puisque vous pouvez par exemple diriger tous les clients situés dans un même emplacement vers un référentiel distribué local. A un niveau inférieur, il se peut que vous souhaitiez créer des groupes d'ordinateurs pour des zones fonctionnelles spécifiques. Du point du vue de l'organisation commerciale, vous pourriez avoir besoin de mettre en oeuvre des stratégies différentes pour les divers groupes fonctionnels de votre entreprise, tels que les départements ventes, ressources humaines ou distribution. Ainsi, il se peut que divers groupes de l'entreprise utilisent différents types de logiciels, qui nécessitent des paramètres antivirus ou de sécurité spécifiques. Par exemple, vous pourriez envisager de rassembler vos serveurs de messagerie ou serveurs de base de données SQL dans un groupe et de définir des exclusions de répertoires et de fichiers spécifiques pour l'analyse à l'accès VirusScan Enterprise. 55

56 Création d'un Répertoire des ordinateurs gérés Méthodes de création du Répertoire 3 En outre, vous souhaitez peut-être réunir les ordinateurs dotés des mêmes systèmes d'exploitation dans plusieurs groupes afin de faciliter la gestion des stratégies axées sur les systèmes d'exploitation. Par exemple, il est possible que votre réseau comporte certains ordinateurs clients plus anciens qui exécutent Windows 9X, tandis que la plupart de vos ordinateurs utilisent Windows 2000, XP ou Vous pouvez alors réunir les clients Windows 9X au sein d'un ou de plusieurs groupes afin de déployer et gérer VirusScan 4.5.x sur ces ordinateurs. Vous pouvez également rassembler les serveurs de fichiers Novell NetWare dans un groupe afin de configurer les stratégies NetShield pour NetWare. Pas d'exagération : conservez une structure de Répertoire aussi linéaire que possible Si vous le souhaitez, vous pouvez créer un Répertoire très détaillé contenant un très grand nombre de groupes et de sous-groupes. Néanmoins, McAfee Security recommande de se limiter au nombre de structures nécessaires pour la définition des stratégies. Dans les réseaux de grande taille, il n'est pas rare de rassembler des centaines voire des milliers d'ordinateurs dans un seul et même conteneur, qu'il s'agisse d'un site ou d'un groupe. Il est en effet plus facile d'appliquer des stratégies à un nombre d'emplacements restreint plutôt que d'assurer la maintenance d'une structure de Répertoire élaborée. Même si vous créez des groupes dans le seul but de faciliter la recherche d'éléments au sein du Répertoire, essayez de bloquer l'héritage et de n'appliquer des stratégies personnalisées qu'aux niveaux les plus élevés. Très souvent, les déploiements epolicy Orchestrator n'utilisent en fait qu'un petit nombre de stratégies ou de paramètres logiciels personnalisés, voire conservent les valeurs de configuration définies par défaut. Méthodes de création du Répertoire La section suivante détaille les différentes méthodes qu'offre epolicy Orchestrator pour créer votre Répertoire. # Création du Répertoire en cas de déploiement de l'agent hors d'epolicy Orchestrator # Création de l'arborescence du Répertoire par une importation de données à partir d'active Directory # Création de sites ou de groupes par l'importation de domaines Windows NT # Création manuelle de sites et de groupes # Importation d'ordinateurs et de groupes à partir d'un fichier texte 56

57 Création d'un Répertoire des ordinateurs gérés Méthodes de création du Répertoire 3 Création du Répertoire en cas de déploiement de l'agent hors d'epolicy Orchestrator epolicy Orchestrator vous permet d'installer l'agent sur des ordinateurs clients en le distribuant à partir du serveur epolicy Orchestrator. Toutefois, un grand nombre d'utilisateurs ne peuvent pas ou ne souhaitent pas recourir à cette méthode. Ils déploient alors l'agent par d'autres moyens, puis utilisent epolicy Orchestrator pour déployer des produits antivirus tels que VirusScan Enterprise, ou simplement pour gérer les stratégies de sécurité, générer des rapports, etc. Une autre méthode de déploiement consiste à exploiter un script de login réseau, permettant d'installer l'agent à chaque fois qu'un client ouvre une session sur le réseau. Il est aussi possible d'employer des outils de gestion de réseau tiers tels que Tivoli ou Microsoft SMS. Enfin, vous pouvez exécuter manuellement l'utilitaire d'installation de l'agent sur l'ordinateur client afin de procéder vous-même à l'installation de l'agent. Pour plus d'informations sur ces méthodes de déploiement de l'agent epolicy Orchestrator, voir le chapitre 4, Déploiement des agents, SuperAgents et capteurs. Si l'une de ces méthodes est mise en oeuvre pour déployer l'agent, epolicy Orchestrator ajoute l'ordinateur au Répertoire dès la première fois que l'agent de cet ordinateur appelle le serveur. Si votre Répertoire ne comporte ni site ni groupe, epolicy Orchestrator ajoute tous les ordinateurs au Répertoire global Lost&Found, sous la racine du Répertoire. Lorsque le déploiement est important, des centaines ou des milliers d'ordinateurs seront recensés dans le groupe Lost&Found, ce qui peut rendre la gestion des stratégies difficile. Création de sites et de groupes «coquille» pour les domaines NT ou les intervalles IP Afin d'affiner la structure de votre Répertoire et de faciliter la gestion des stratégies, vous pouvez créer manuellement des sites et des groupes. Si possible, créez ces sites et groupes en vous fondant sur l'un des deux critères mentionnés ci-dessous. Lorsque l'agent appelle le serveur epolicy Orchestrator pour la première fois, le serveur tente automatiquement de placer l'ordinateur dans le site ou le groupe approprié. Pour plus d'informations sur la manière dont epolicy Orchestrator utilise les adresses IP et les informations de domaine pour placer les ordinateurs dans des sites ou des groupes, reportez-vous à la section A propos du tri et des filtres d'adresses IP à la page 48. Vous pouvez également exécuter des tâches régulières de vérification d'intégrité IP afin de déplacer les nouveaux ordinateurs vers les sites ou les groupes dont les filtres IP correspondent aux adresses IP. Voir les sections Planification d'une tâche de serveur régulière pour la synchronisation de domaines à la page 298 et Tri périodique des ordinateurs par adresse IP à la page 304 pour plus d'informations. Bien que vous puissiez créer ces sites et ces groupes à tout moment, il est néanmoins conseillé de les créer et de leur attribuer les filtres IP adéquats avant de déployer les agents sur les ordinateurs n'utilisant pas la méthode de déploiement propre à epolicy Orchestrator. De cette manière, epolicy Orchestrator peut placer immédiatement l'ordinateur dans le site ou le groupe approprié. 57

58 Création d'un Répertoire des ordinateurs gérés Méthodes de création du Répertoire 3 Création de l'arborescence du Répertoire par une importation de données à partir d'active Directory L'intégration d'active Directory avec epolicy Orchestrator 3.5 permet d'importer des ordinateurs à partir de l'annuaire Active Directory de votre réseau directement vers votre Répertoire epolicy Orchestrator. Vous pouvez mapper des conteneurs sources Active Directory pour importer des ordinateurs à la racine ou dans les sites de l'arborescence de votre Répertoire epolicy Orchestrator. Si une partie ou l'intégralité de votre réseau exploite Active Directory, vous pouvez créer et remplir partiellement ou complètement votre Répertoire à l'aide de l'assistant d'importation Active Directory. Une fois le Répertoire créé, vous pouvez exécuter régulièrement la tâche Recherche Active Directory pour assurer la synchronisation entre celui-ci et Active Directory. Recommandations spécifiques aux installations nouvelles et existantes Dans le cas de nouvelles installations, nous recommandons d'exécuter deux tâches pour tirer le meilleur parti de cette fonctionnalité. Il est recommandé d'exécuter tout d'abord l'assistant d'importation Active Directory pour compléter votre Répertoire epolicy Orchestrator. Ensuite, utilisez la fonction de recherche d'ordinateurs Active Directory. Vous faciliterez la maintenance du Répertoire epolicy Orchestrator en créant un intervalle d'interrogation planifié pour l'importation de tout nouvel ordinateur du réseau dans le site epolicy Orchestrator approprié. Pour plus d'informations concernant la maintenance à terme de l'intégration avec Active Directory, reportez-vous à la section Utilisation de la recherche Active Directory à la page 294. Si vous utilisiez une version précédente d'epolicy Orchestrator, et possédez donc déjà un Répertoire complété, vous pouvez tout de même tirer profit de la nouvelle fonctionnalité d'intégration avec Active Directory d'epolicy Orchestrator 3.5. Utilisez la tâche Recherche Active Directory pour mapper la structure d'un Répertoire existant aux conteneurs Active Directory. Cette fonction vous permettra de créer des points de mappage entre les conteneurs Active Directory et les sites du Répertoire epolicy Orchestrator, et d'importer tout nouvel ordinateur détecté dans Active Directory vers le site approprié du Répertoire epolicy Orchestrator. Utilisation de l'assistant d'importation Active Directory L'Assistant d'importation Active Directory vous offre la possibilité d'importer des ordinateurs à partir d'active Directory dans votre Répertoire epolicy Orchestrator. Quand vous sélectionnez un conteneur source dans Active Directory, tous les éléments qu'il contient seront inclus dans la recherche, excepté si vous choisissez d'exclure certains sous-conteneurs. McAfee Security recommande l'utilisation de cet Assistant si vous souhaitez créer entièrement votre Répertoire epolicy Orchestrator en important les informations Active Directory. Vous devez vous connecter à la console en tant qu'administrateur global afin de pouvoir importer les données Active Directory dans votre Répertoire epolicy Orchestrator. Pour importer des ordinateurs dans l'arborescence du Répertoire epolicy Orchestrator à partir d'active Directory : 1 Cliquez avec le bouton droit sur Répertoire dans l'arborescence epolicy Orchestrator, puis sélectionnez Toutes les tâches Importer Active Directory. 2 Cliquez sur Suivant dès que l'assistant d'importation Active Directory s'affiche. 58

59 Création d'un Répertoire des ordinateurs gérés Méthodes de création du Répertoire 3 3 Dans la boîte de dialogue Groupe de destination epolicy Orchestrator, cliquez sur Parcourir puis sélectionnez le site epolicy Orchestrator dans lequel vous souhaitez importer les nouveaux ordinateurs à partir d'active Directory. Cliquez sur Suivant. Remarque L'importation ne peut avoir pour destination que la racine ou les sites de l'arborescence du Répertoire epolicy Orchestrator. 4 Saisissez les références d'utilisateur Active Directory requises dans les champs correspondants, puis cliquez sur Suivant. 5 Dans la boîte de dialogue Conteneur source Active Directory, cliquez sur Parcourir et sélectionnez le conteneur source de votre choix dans la boîte de dialogue Explorateur Active Directory, puis cliquez sur OK. Figure 3-5 Assistant d'importation Active Directory 6 Pour exclure un sous-conteneur particulier du conteneur sélectionné, cliquez sur Ajouter sous Exclure les sous-conteneurs suivants, puis sélectionnez le sous-conteneur à exclure avant de cliquer sur OK. 7 Cliquez sur Suivant et contrôler dans le journal actif la présence des nouveaux ordinateurs importés. Vérifiez dans l'arborescence epolicy Orchestrator que ces ordinateurs ont bien été importés. 8 Cliquez sur Terminer. Après l'importation des ordinateurs à partir d'active Directory Une fois l'importation des ordinateurs terminée, déployez des agents vers ces derniers. Pour plus d'informations sur le déploiement d'agents, voir le chapitre 4, Déploiement des agents, SuperAgents et capteurs. Prévoyez également d'exécuter périodiquement les tâches de recherche Active Directory afin d'assurer la synchronisation des parties importées de votre Répertoire et de vos conteneurs Active Directory. Pour plus d'informations concernant la maintenance des conteneurs Active Directory importés, voir la section Utilisation de la recherche Active Directory à la page

60 Création d'un Répertoire des ordinateurs gérés Méthodes de création du Répertoire 3 Création de sites ou de groupes par l'importation de domaines Windows NT Vous pouvez créer automatiquement des sites ou de groupes et y insérer des ordinateurs à partir de votre réseau en important des domaines NT entiers. Il s'agit d'une méthode simple qui vous permet, en un seul clic, d'ajouter des ordinateurs de votre réseau dans l'arborescence du Répertoire. Si votre domaine est très vaste, vous souhaiterez peut-être créer des sous-groupes afin de simplifier la gestion des stratégies ou d'optimiser l'organisation des ordinateurs au sein de votre Répertoire. Pour ce faire, créez tout d'abord un site en important le domaine dans votre Répertoire ; puis, créez manuellement des groupes logiques sous ce site avant de les remplir avec les ordinateurs appropriés. Qu'il s'agisse de sites ou de groupes, la procédure de création des conteneurs du Répertoire par importation de domaines NT est fondamentalement identique. La section ci-dessous illustre la procédure à suivre pour un site. Pour créer des sites contenant tous les ordinateurs d'un domaine Windows NT et portant le même nom que celui-ci : 1 Dans l'arborescence de la console epolicy Orchestrator, cliquez avec le bouton droit sur Répertoire, puis sélectionnez Nouveau Site. (Si vous souhaitez créer un groupe sous un site existant, cliquez avec le bouton droit sur le site, puis sélectionnez Nouveau Groupe.) 2 Dans la boîte de dialogue Ajouter des sites, cliquez sur Parcourir pour afficher la boîte de dialogue Explorateur du Répertoire. 3 Sélectionnez le domaine voulu à partir de la liste des domaines détectés par epolicy Orchestrator sur le réseau, puis cliquez sur OK. Le nom de domaine est alors ajouté à la liste des Sites à ajouter. 4 Pour ajouter un ou plusieurs filtres IP, sélectionnez le site concerné dans la liste Sites à ajouter et cliquez sur Modifier. Pour plus de détails, reportez-vous à la section Ajout de filtres IP lors de la création de sites et de groupes à la page Vous pouvez déployer l'agent epolicy Orchestrator sur tous les ordinateurs du site qui s'affichent dans Sites à ajouter lors de la création du site. Pour plus de détails, reportez-vous à la section Déploiement de l'agent lors de l'ajout d'un site, d'un groupe ou d'un ordinateur au Répertoire à la page Cliquez sur OK. Importation d'ordinateurs à partir d'un domaine réseau dans un site ou un groupe existant Non seulement vous pouvez créer un site ou un groupe à partir d'un domaine NT et importer simultanément tous les ordinateurs que ce domaine contient, mais vous pouvez également importer tous les ordinateurs du domaine sélectionné dans un site ou un groupe existant. Habituellement, cette procédure sert à importer des ordinateurs de votre réseau dans des sites ou des groupes que vous avez créés manuellement. 60

61 Création d'un Répertoire des ordinateurs gérés Méthodes de création du Répertoire 3 Néanmoins, vous pouvez aussi importer des ordinateurs dans un site ou un groupe que vous avez créé en important un domaine réseau. Ceci peut se révéler utile si votre réseau se compose de plusieurs domaines restreints auxquels il faut affecter les mêmes tâches et stratégies epolicy Orchestrator. Pour pouvoir définir ces dernières en un seul emplacement, vous pouvez importer les ordinateurs concernés dans le même site ou groupe et gérer leurs stratégies au niveau de ce groupe. Conseil Si possible, importez chaque domaine NT dans un site ou un groupe séparé. Ceci vous permettra de conserver une trace de l'appartenance des ordinateurs aux domaines. De plus, le fait d'affecter les vrais noms de domaines NT aux sites ou aux groupes facilite le déplacement automatique des ordinateurs dans les sites ou groupes appropriés en utilisant les filtres IP ou de domaine (voir A propos du tri et des filtres d'adresses IP à la page 48). Si vous souhaitez appliquer les mêmes stratégies à plusieurs domaines, créez manuellement un site puis importez-y chaque domaine en tant que groupe. Pour importer tous les ordinateurs d'un domaine NT dans un site ou un groupe existant : 1 Dans l'arborescence du Répertoire epolicy Orchestrator, cliquez avec le bouton droit sur le site ou le groupe de votre choix, puis sélectionnez Nouveau Ordinateur. 2 Dans la boîte de dialogue Ajouter les ordinateurs, cliquez sur Parcourir pour afficher la boîte de dialogue Explorateur d'ordinateurs, puis sélectionnez les ordinateurs de votre choix. 3 Cliquez sur OK pour enregistrer les ordinateurs sélectionnés et revenir à la boîte de dialogue Ajouter les ordinateurs. 4 Vous pouvez déployer l'agent epolicy Orchestrator sur tous les ordinateurs des sites affichés dans Sites à ajouter lors de la création du site. Pour plus de détails, reportez-vous à la section Déploiement de l'agent lors de l'ajout d'un site, d'un groupe ou d'un ordinateur au Répertoire à la page Cliquez sur OK. Les ordinateurs choisis sont ajoutés au site ou au groupe sélectionné. Création manuelle de sites et de groupes Si vous ne souhaitez pas utiliser l'importation de conteneurs Active Directory ou de domaines NT pour créer vos sites ou vos groupes, vous pouvez également les créer manuellement. Par la suite, il vous sera possible d'y ajouter des ordinateurs, soit en saisissant les noms NetBIOS de chaque ordinateur séparément, soit en important les ordinateurs sélectionnés directement à partir du Voisinage réseau. En outre, vous souhaiterez peut-être créer manuellement des groupes pour effectuer des regroupements logiques d'ordinateurs après avoir importé l'intégralité d'un domaine NT ou d'un conteneur Active Directory dans le Répertoire epolicy Orchestrator. Par exemple, vous pouvez décider de créer un groupe «Serveurs» ou «Exchange» pour définir des stratégies dédiées à des applications serveur spécifiques. 61

62 Création d'un Répertoire des ordinateurs gérés Méthodes de création du Répertoire 3 Qu'il s'agisse d'un site ou d'un groupe, la procédure de création manuelle reste la même. Les instructions de cette section illustrent la création d'un site. Pour créer des sites manuellement : 1 Dans l'arborescence de la console epolicy Orchestrator, cliquez avec le bouton droit sur Répertoire, puis sélectionnez Nouveau Site. La boîte de dialogue Ajouter des sites s'affiche. (Pour créer un groupe, cliquez avec le bouton droit sur un site ou groupe existant sous lequel vous souhaitez ajouter un nouveau groupe, puis sélectionnez Nouveau Groupe.) 2 Cliquez sur Ajouter pour ouvrir la boîte de dialogue Nouveau site et définir le site à ajouter au Répertoire. Figure 3-6 Boîte de dialogue Nouveau site 3 Entrez un nom pour le nouveau site. 4 Pour ajouter un ou plusieurs filtres IP, sélectionnez le site concerné dans la liste Sites à ajouter et cliquez sur Modifier. Pour plus d'informations, voir la section Ajout de filtres IP lors de la création de sites et de groupes à la page Vous pouvez déployer l'agent epolicy Orchestrator sur tous les ordinateurs des sites affichés dans Sites à ajouter lors de la création du site. Pour plus d'informations, voir la section Déploiement de l'agent lors de l'ajout d'un site, d'un groupe ou d'un ordinateur au Répertoire à la page Cliquez sur OK. Par la suite, il vous sera possible d'ajouter des ordinateurs à ces sites et à ces groupes, soit en saisissant les noms NetBIOS de chaque ordinateur séparément, soit en important les ordinateurs sélectionnés directement à partir du Voisinage réseau. Ajout manuel d'ordinateurs spécifiques à un site ou un groupe existant Non seulement vous pouvez créer un site ou un groupe à partir d'un domaine NT et importer simultanément tous les ordinateurs que ce domaine contient, mais vous pouvez également importer tous les ordinateurs du domaine sélectionné dans un site ou un groupe existant. Habituellement, cette procédure sert à importer des ordinateurs à partir du Voisinage réseau dans des sites ou des groupes que vous avez créés manuellement. Néanmoins, vous pouvez aussi importer des ordinateurs dans un site ou un groupe que vous avez créé en important un domaine réseau. 62

63 Création d'un Répertoire des ordinateurs gérés Méthodes de création du Répertoire 3 Vous pouvez également ajouter manuellement des ordinateurs sous un site ou un groupe existant dans le Répertoire. Pour ajouter manuellement un ordinateur à un site ou à un groupe : 1 Dans l'arborescence du Répertoire epolicy Orchestrator, cliquez avec le bouton droit sur le site ou le groupe de votre choix, puis sélectionnez Nouveau Ordinateur. 2 Cliquez sur Ajouter dans la boîte de dialogue Ajouter les ordinateurs. 3 Dans la boîte de dialogue Nouveaux ordinateurs, saisissez le nom NetBIOS de l'ordinateur dans la zone de texte Nom. Sinon, vous pouvez cliquez sur Parcourir pour rechercher l'ordinateur dans votre réseau et le sélectionner. 4 Cliquez sur OK pour enregistrer l'ordinateur à ajouter et revenir à la boîte de dialogue Ajouter les ordinateurs. 5 Vous pouvez déployer l'agent epolicy Orchestrator vers les ordinateurs lorsque vous les ajoutez au Répertoire. Pour ce faire, activez la case à cocher Envoyer le package de l'agent. Pour plus d'informations, voir la section Déploiement de l'agent lors de l'ajout d'un site, d'un groupe ou d'un ordinateur au Répertoire à la page Cliquez sur OK. Importation d'ordinateurs et de groupes à partir d'un fichier texte Vous pouvez définir les groupes et ordinateurs qui appartiennent à un site particulier en entrant leurs noms respectifs dans un fichier texte avant d'importer ces données dans epolicy Orchestrator. Vous préfèrerez peut-être travailler dans un fichier texte plutôt que dans la console epolicy Orchestrator. De même, il se peut que vous disposiez d'utilitaires réseau, tel que NETDOM.EXE fourni dans le Kit de ressources Windows, qui vous permettent de générer des fichiers texte complets contenant la liste exhaustive des ordinateurs de votre réseau. Vous pouvez alors modifier ce fichier texte pour créer manuellement des groupes d'ordinateurs et importer l'intégralité de la structure dans l'arborescence du Répertoire epolicy Orchestrator. Pour importer des ordinateurs dans un site ou un groupe existant du Répertoire : 1 Création d'un fichier texte de groupes et d'ordinateurs à importer 2 Importation de groupes et d'ordinateurs dans le Répertoire à partir d'un fichier texte 63

64 Création d'un Répertoire des ordinateurs gérés Méthodes de création du Répertoire 3 Création d'un fichier texte de groupes et d'ordinateurs à importer Créez un fichier texte contenant les noms NetBIOS des ordinateurs de votre réseau que vous souhaitez importer dans un site. Vous pouvez importer une liste d'ordinateurs sans hiérarchie, ou rassembler les ordinateurs dans des groupes. epolicy Orchestrator génère les objets groupe dans l'arborescence du Répertoire puis leur associe les ordinateurs spécifiés. Vous pouvez créer le fichier texte manuellement. Toutefois, surtout si votre réseau est étendu, il est probable que vous préférerez utiliser d'autres outils d'administration réseau pour générer un fichier texte contenant la liste des ordinateurs de votre réseau. Figure 3-7 Importation de groupes et d'ordinateurs à partir d'un fichier texte dans un site ou un groupe Indépendamment de la manière dont vous générez le fichier texte, vous devez toujours adopter un format qui respecte la syntaxe requise avant de l'importer dans votre Répertoire epolicy Orchestrator. Chaque ordinateur doit figurer sur une ligne séparée. Si vous souhaitez répartir les ordinateurs dans des groupes, saisissez le nom du groupe, puis indiquez en dessous les ordinateurs qui doivent en faire partie, sur des lignes séparées. GroupeA\ Ordinateur1 Ordinateur2 Ordinateur3 Ordinateur4 Vérifiez un par un les noms des groupes et des ordinateurs ainsi que la syntaxe du fichier texte avant de l'utiliser pour importer des ordinateurs. Cette opération terminée, enregistrez le fichier texte dans un dossier temporaire de votre serveur epolicy Orchestrator. 64

65 Création d'un Répertoire des ordinateurs gérés Ajout de solutions matérielles-logicielles WebShield 3 Importation de groupes et d'ordinateurs dans le Répertoire à partir d'un fichier texte Une fois que vous avez créé le fichier texte recensant les ordinateurs à importer, vous pouvez importer ce fichier dans le Répertoire. Pour importer des ordinateurs ou des groupes d'ordinateurs dans le Répertoire à partir d'un fichier texte : 1 Dans l'arborescence de la console, cliquez avec le bouton droit sur le site ou le groupe dans lequel vous souhaitez importer les ordinateurs et/ou groupes à partir du fichier texte, puis sélectionnez Toutes les tâches Importer l'ordinateur. 2 Dans la boîte de dialogue Importation d'ordinateurs depuis un fichier texte, cliquez sur Continuer. 3 Dans la boîte de dialogue Importer du fichier, parcourez l'arborescence pour rechercher le fichier texte que vous avez créé et qui contient vos groupes et ordinateurs. 4 Quand vous avez trouvé le fichier, sélectionnez-le et cliquez sur OK. epolicy Orchestrator importe les ordinateurs dans le site ou le groupe de votre choix dans le Répertoire. Si, dans le fichier texte, les ordinateurs sont répartis en groupes et sous-groupes, il crée les groupes appropriés et y importe les ordinateurs correspondants. Ajout de solutions matérielles-logicielles WebShield Il se peut que votre réseau soit équipé de solutions matérielles-logicielles pour passerelle McAfee WebShield et que vous souhaitiez les gérer via epolicy Orchestrator. Une fois la solution matérielle-logicielle WebShield installée sur votre réseau, vous pouvez l'ajouter à l'arborescence du Répertoire. Vous pouvez ajouter la solution à n'importe quel site ou groupe existant. Pour ajouter une solution matérielle-logicielle WebShield existante à un site ou à un groupe : 1 Dans l'arborescence de la console sous Répertoire, cliquez avec le bouton droit sur le site ou le groupe de votre choix, puis sélectionnez Nouveau Webshield Appliance. 2 Dans la boîte de dialogue Nouvelle configuration de Webshield Appliance, saisissez un nom. Vous devez utiliser un nom différent de celui du site ou du groupe, et différent du nom d'hôte de la solution matérielle-logicielle. 3 Dans URL, entrez la même URL que celle utilisée pour accéder à l'interface utilisateur de WebShield depuis un navigateur web, telle que 4 Cliquez sur OK. 65

66 4 Déploiement des agents, SuperAgents et capteurs Mise sous gestion des ordinateurs de votre réseau Un agent est un composant distribué d'epolicy Orchestrator qui est installé sur chaque ordinateur client de votre réseau. Il collecte et envoie des informations entre le serveur epolicy Orchestrator, les référentiels, les produits et les ordinateurs clients gérés. Le mode de configuration de l'agent et de ses paramètres de stratégie détermine la façon dont celui-ci fonctionne et simplifie les communications et les mises à jour dans votre environnement. Ce chapitre traite du déploiement de l'agent sur chaque ordinateur de votre réseau que vous souhaitez gérer à l'aide d'epolicy Orchestrator. Toutefois, avant que vous entamiez le déploiement à proprement parler, il est recommandé que vous preniez connaissance des informations présentées dans le chapitre 8, Gestion des agents déployés. En effet, certaines stratégies de l'agent ainsi que d'autres facteurs peuvent influencer la façon dont vous déployez des agents. Les méthodes de déploiement de l'agent diffèrent selon que vous procédez à une mise à niveau depuis une version antérieure de l'agent ou que vous effectuez un déploiement de celui-ci pour la première fois. Contenu de ce chapitre Ce chapitre aborde les sujets suivants : # A propos du déploiement de l'agent epolicy Orchestrator # Déploiement de l'agent avec epolicy Orchestrator # Installation de l'agent au moyen de scripts de login # Installation manuelle de l'agent # Autres méthodes de déploiement de l'agent # Mise à niveau d'une version antérieure de l'agent # Déploiement de l'agent sur des serveurs Novell NetWare et des solutions matérielles-logicielles WebShield # Désinstallation de l'agent # Options de ligne de commande pour l'installation de l'agent # Déploiement de SuperAgents pour la distribution des appels de réactivation de l'agent # Déploiement de capteurs de détection des systèmes non fiables 66

67 Déploiement des agents, SuperAgents et capteurs A propos du déploiement de l'agent epolicy Orchestrator 4 A propos du déploiement de l'agent epolicy Orchestrator Avant de déployer les agents, prenez en compte les informations ci-dessous. Installation des mises à jour Microsoft sur tous les ordinateurs clients Windows 9X Si votre réseau comporte des ordinateurs clients exécutant Windows 95, 98 ou ME, vous devez vous assurer qu'ils peuvent être gérés par epolicy Orchestrator. Par défaut, Windows 9X ne permet pas une administration à partir d'epolicy Orchestrator. Pour activer la fonctionnalité pertinente sur les clients Windows 9X, téléchargez les mises à jour VCREDIST.EXE et DCOM 1.3 à partir du site web de Microsoft, puis installez-les sur chaque client selon la procédure indiquée. Pour plus d'informations, cliquez sur les liens ci-dessous : support.microsoft.com/directory/article.asp?id=kb;en-us;q259403& De plus, si vous avez l'intention d'utiliser epolicy Orchestrator pour déployer l'agent sur des ordinateurs clients exécutant Windows 9X, vous devez également activer la fonctionnalité Partage de fichiers et d'imprimantes sur ces derniers. Voir la section A propos de la distribution de l'agent à partir de la console epolicy Orchestrator à la page 70. Répertoire d'installation de l'agent Le répertoire d'installation par défaut de l'agent varie selon que l'agent se situe sur des ordinateurs clients ou sur le serveur epolicy Orchestrator : # Si l'agent a été installé dans le cadre d'une autre installation de produit ou qu'il a été distribué vers des ordinateurs clients à partir de la console epolicy Orchestrator, il est installé par défaut dans le dossier <SYSTEM_DRIVE>\PROGRAM FILES\NETWORK ASSOCIATES\COMMON FRAMEWORK. Pour plus d'informations sur l'utilisation d'agents installés avec d'autres produits, reportez-vous à la section Activation de l'agent sur des produits McAfee non gérés à la page 79. # Si vous mettez à niveau l'agent à partir de la version 2.5.1, le nouvel agent est également installé par défaut dans le dossier <SYSTEM_DRIVE>\PROGRAM FILES\NETWORK ASSOCIATES\COMMON FRAMEWORK dès que l'agent existant a été désinstallé. # L'agent qui est installé sur le serveur epolicy Orchestrator pendant l'installation se trouve dans le dossier COMMON FRAMEWORK du répertoire d'installation du logiciel. Remarque Une fois l'agent installé, vous ne pouvez plus changer son répertoire d'installation sans désinstaller l'agent au préalable. 67

68 Déploiement des agents, SuperAgents et capteurs A propos du déploiement de l'agent epolicy Orchestrator 4 Packages de langue de l'agent Les packages d'installation de l'agent, qu'il s'agisse des packages par défaut ou personnalisés, sont installés en anglais. Pour utiliser d'autres versions linguistiques de l'agent sur des ordinateurs clients, vous devez d'abord archiver les packages de langue de l'agent souhaités dans le référentiel maître, puis les répliquer dans les référentiels distribués selon la même procédure que celle utilisée pour les autres packages de mise à jour de produit. Pour plus d'informations sur l'archivage de packages de déploiement dans le référentiel maître, y compris les packages de langue de l'agent, reportez-vous à la section Archivage de packages de déploiement de produit dans le référentiel maître à la page 105. Chaque package de langue de l'agent inclut uniquement les fichiers nécessaires pour afficher l'interface utilisateur dans la langue correspondante. Ces packages doivent être archivés avant de pouvoir être répliqués dans des référentiels distribués. Après la communication agent-serveur initiale, l'agent exécute les opérations suivantes : 1 L'agent extrait les packages de langue des référentiels en fonction des paramètres régionaux définis sur les ordinateurs clients pendant la tâche de client Mise à jour ou lors d'une mise à jour globale. 2 Si les paramètres régionaux en cours correspondent à un package de langue disponible, l'agent extrait le nouveau package et l'applique. Ainsi, l'agent extrait uniquement des packages de langue pour les paramètres régionaux utilisés sur chaque ordinateur client. Le logiciel de l'agent continue à s'afficher dans la langue en cours jusqu'à ce que le nouveau package de langue soit appliqué. Plusieurs packages de langue peuvent être stockés simultanément sur des ordinateurs clients, afin de permettre aux utilisateurs de basculer entre diverses langues disponibles en modifiant les paramètres régionaux. Si l'utilisateur sélectionne des paramètres régionaux pour lesquels aucun package de langue n'est disponible localement, le logiciel de l'agent s'affiche en anglais. Des packages de langue de l'agent sont disponibles pour les langues suivantes : # Allemand (standard) # Italien # Anglais # Japonais # Chinois (simplifié) # Néerlandais # Chinois (traditionnel) # Polonais # Coréen # Portugais (Brésil) # Espagnol (traditionnel) # Suédois # Français (standard) 68

69 Déploiement des agents, SuperAgents et capteurs A propos du déploiement de l'agent epolicy Orchestrator 4 Création d'un package de déploiement personnalisé en cas de déploiement sans epolicy Orchestrator Si vous utilisez une autre méthode de déploiement (par exemple, des scripts de login ou un logiciel de déploiement tiers), il est possible que vous deviez incorporer des références administrateur dans un package d'installation de l'agent personnalisé. Comme les utilisateurs ne disposent pas nécessairement de droits d'administrateur local, vous pouvez incorporer l'ensemble de références approprié directement dans le package d'installation de l'agent FRAMEPKG.EXE, en créant un package d'installation personnalisé. Le compte d'utilisateur incorporé est alors utilisé pour installer l'agent. Vous pouvez également créer un package de déploiement personnalisé avec des références d'utilisateur incorporées si vous déployez l'agent via epolicy Orchestrator. Toutefois, cette méthode vous permet aussi de préciser des références appropriées dans la boîte de dialogue Installation de l'agent lorsque vous envoyez l'agent. Voir la section Déploiement de l'agent avec epolicy Orchestrator à la page 70. Pour créer un package d'installation de l'agent personnalisé : 1 Connectez-vous au serveur epolicy Orchestrator choisi. 2 Sélectionnez le serveur requis dans l'arborescence de la console, cliquez sur l'onglet Général dans le volet de détails, puis sur Assistant de création du package d'installation de l'agent. 3 Cliquez sur Suivant. La boîte de dialogue Références d'utilisateur s'affiche. Figure 4-1 Assistant de création du package d'installation de l'agent Références d'utilisateur 4 Entrez le nom d'utilisateur (<DOMAINE>\<UTILISATEUR>) et le mot de passe que vous voulez incorporer dans le package, puis cliquez sur Suivant. 5 Dans la boîte de dialogue Répertoire d'installation, cliquez sur Parcourir et sélectionnez l'emplacement dans lequel vous souhaitez enregistrer le package d'installation de l'agent personnalisé. 6 Cliquez sur Suivant. S'affiche alors la boîte de dialogue Créer le package qui indique la progression de l'opération. 7 Cliquez sur Suivant, puis sur Terminer. 69

70 Déploiement des agents, SuperAgents et capteurs Déploiement de l'agent avec epolicy Orchestrator 4 Vous pouvez, au besoin, distribuer le fichier du package de déploiement personnalisé pour vous assurer qu'il est installé sur les clients de votre réseau. Si vous avez l'intention de déployer le package personnalisé avec epolicy Orchestrator, archivez-le dans votre référentiel maître. Déploiement de l'agent avec epolicy Orchestrator Vous pouvez utiliser epolicy Orchestrator pour distribuer des agents sur vos ordinateurs clients. Cette méthode utilise la technologie Push de Windows NT. Ajout d'ordinateurs au Répertoire avant le déploiement des agents Si vous avez choisi d'utiliser epolicy Orchestrator pour déployer des agents, vous devez d'abord ajouter les ordinateurs que vous avez l'intention de gérer à l'arborescence du Répertoire. Pour plus d'informations sur la création de votre Répertoire, voir le chapitre 3, Création d'un Répertoire des ordinateurs gérés. Contenu de cette section Cette section aborde les sujets suivants : # A propos de la distribution de l'agent à partir de la console epolicy Orchestrator # Distribution de l'agent sur des ordinateurs à partir du Répertoire # Déploiement de l'agent lors de la création du Répertoire A propos de la distribution de l'agent à partir de la console epolicy Orchestrator Avant d'utiliser epolicy Orchestrator pour distribuer des agents, plusieurs éléments doivent être pris en considération. Cette section examine ces divers éléments dans le détail. Disposez-vous de références d'administrateur de domaine pour distribuer l'agent? Si vous avez spécifié un nom d'utilisateur doté de droits d'administrateur de domaine lors de l'installation du serveur epolicy Orchestrator, vous pouvez utiliser le compte de serveur epolicy Orchestrator. Si tel n'est pas le cas, vous devrez spécifier un compte d'utilisateur bénéficiant de droits d'administrateur de domaine dans le domaine cible pour qu'epolicy Orchestrator soit en mesure de distribuer l'agent. 70

71 Déploiement des agents, SuperAgents et capteurs Déploiement de l'agent avec epolicy Orchestrator 4 Envoi d'une commande ping à partir du serveur pour tester la communication réseau Le serveur epolicy Orchestrator doit être en mesure de communiquer avec les ordinateurs clients sur le réseau pour pouvoir leur distribuer l'agent. Avant d'entamer un déploiement par distribution de l'agent à grande échelle, tentez d'envoyer une commande ping vers quelques ordinateurs répartis en différents points de votre réseau pour vous assurer que le serveur est en mesure de communiquer avec les ordinateurs situés sur ces segments du réseau. A partir du serveur epolicy Orchestrator, ouvrez une fenêtre de commande en sélectionnant Démarrer Exécuter, puis tapez cmd au niveau de l'invite. Tapez ensuite les commandes ping en respectant la syntaxe ci-dessous. Envoyez une commande ping à la fois vers le nom d'ordinateur et vers l'adresse IP, comme suit : ping NomOrdinateur ping Si les ordinateurs ciblés répondent à la commande ping, cela signifie qu'epolicy Orchestrator est en mesure de communiquer avec ces derniers. Remarque Après l'installation de l'agent, il n'est pas nécessaire que les ordinateurs clients puissent répondre à une commande ping émise par le serveur epolicy Orchestrator pour que l'agent communique avec le serveur. Ce test n'est utile que pour déterminer si vous pouvez distribuer des agents à partir du serveur pour les installer sur des clients. Confirmation de l'accessibilité à partir du serveur des dossiers partagés NT Admin$ des clients Au départ de l'ordinateur sur lequel vous voulez installer votre serveur epolicy Orchestrator, testez l'accès au dossier partagé Admin$ par défaut sur chaque ordinateur client. Le service du serveur epolicy Orchestrator exigera un accès à ce dossier partagé pour installer des agents et d'autres logiciels, tels que VirusScan Enterprise 7.1. Ce test confirmera en outre vos références administrateur, dans la mesure où tout accès aux partages Admin$ distants est impossible sans droits d'administrateur. Pour accéder aux partages Admin$ des clients à partir du serveur epolicy Orchestrator, procédez comme suit : 1 Sélectionnez Démarrer Exécuter. 2 A l'invite, tapez le chemin d'accès vers le partage Admin$ du client, en spécifiant soit le nom d'ordinateur soit l'adresse IP, comme suit : \\NomOrdinateur\Admin$ \\ \Admin$ Si les ordinateurs sont correctement connectés au réseau, si vous disposez de droits suffisants et si le dossier partagé Admin$ est présent, une fenêtre Explorateur Windows doit s'afficher. 71

72 Déploiement des agents, SuperAgents et capteurs Déploiement de l'agent avec epolicy Orchestrator 4 Activation du partage de fichiers et d'imprimantes sur des ordinateurs clients Windows 9X Si vous avez l'intention de déployer l'agent sur des clients Windows 9X, vous devez au préalable activer la fonctionnalité Partage de fichiers et d'imprimantes sur ces clients. Notez que cette opération n'est nécessaire que si vous envisagez de distribuer des agents sur ces clients, et qu'elle n'est pas obligatoire pour qu'epolicy Orchestrator puisse gérer ces ordinateurs après l'installation de l'agent. Si vous installez l'agent manuellement ou selon une autre méthode (au moyen d'un script de login, par exemple), l'activation du Partage de fichiers et d'imprimantes n'est pas obligatoire. Par ailleurs, une fois l'agent distribué sur ces clients Windows 9X, vous pouvez à nouveau désactiver la fonctionnalité Partage de fichiers et d'imprimantes et poursuivre la gestion des stratégies de l'agent sur ces clients via epolicy Orchestrator. Activation de l'accès au réseau sur des ordinateurs Windows XP Edition Familiale Si vous souhaitez déployer l'agent à partir de la console epolicy Orchestrator ou installer un package d'installation de l'agent personnalisé sur des ordinateurs exécutant Windows XP Edition Familiale, vous devez activer l'accès au réseau. Pour activer l'accès au réseau sur des ordinateurs Windows XP Edition Familiale : 1 Cliquez sur le bouton Démarrer, puis sélectionnez Panneau de configuration. 2 Cliquez sur Performances et maintenance. 3 Cliquez sur Outils d'administration. 4 Sélectionnez Stratégie de sécurité locale. La fenêtre d'application Paramètres de sécurité locaux s'affiche. 5 Dans l'arborescence de la console, sous Paramètres de sécurité Stratégies locales, sélectionnez Options de sécurité. Les stratégies disponibles s'affichent dans le volet de détails. 6 Sélectionnez Accès réseau : modèle de partage et de sécurité pour les comptes locaux pour ouvrir la boîte de dialogue Accès réseau. 7 Sélectionnez Classique - les utilisateurs locaux s'authentifient eux-mêmes, puis cliquez sur OK. Les utilisateurs locaux pourront s'authentifier et accéder aux ressources de l'ordinateur à partir du réseau. 72

73 Déploiement des agents, SuperAgents et capteurs Déploiement de l'agent avec epolicy Orchestrator 4 Distribution de l'agent sur des ordinateurs à partir du Répertoire Pour déployer à partir de la console epolicy Orchestrator le package d'installation de l'agent (FRAMEPKG.EXE) sur des ordinateurs sélectionnés dans le Répertoire : 1 Connectez-vous au serveur epolicy Orchestrator choisi. 2 Dans l'arborescence de la console, sous le Répertoire, cliquez avec le bouton droit sur le site, groupe ou ordinateur choisi, puis sélectionnez Envoyer le programme d'installation de l'agent. La boîte de dialogue Installation de l'agent s'affiche. Figure 4-2 Configuration des options d'installation de l'agent en vue de la distribution du programme d'installation 3 Précisez si vous souhaitez installer l'agent uniquement sur les ordinateurs ne disposant pas d'un agent. 4 Sous Niveau, indiquez les ordinateurs sur lesquels déployer l'agent. 5 Indiquez si vous voulez Supprimer l'interface d'installation de l'agent sur les ordinateurs clients. 6 Activez la case à cocher Forcer l'installation par dessus la version existante si vous devez installer une version de l'agent plus ancienne que celle qui est déjà installée. Warning Nouvelle fonctionnalité dans epolicy Orchestrator 3.5 L'option Forcer l'installation par dessus la version existante vous permet d'installer une version ancienne de l'agent epolicy Orchestrator à l'aide de la fonction Installation de l'agent. Cette procédure peut s'avérer nécessaire si des problèmes surviennent avec un nouvel agent et que vous souhaitez réinstaller la version précédente de l'agent. Vous pouvez ainsi forcer l'installation du package archivé dans le référentiel epolicy Orchestrator, même si une version plus récente de l'agent est déjà installée sur l'ordinateur client. 73

74 Déploiement des agents, SuperAgents et capteurs Installation de l'agent au moyen de scripts de login 4 7 Acceptez le chemin d'installation par défaut (<SYSTEM_DRIVE>\EPOAGENT) ou entrez un chemin d'accès différent pour installer l'agent sur des ordinateurs sélectionnés. Vous pouvez également cliquer sur la flèche en regard de la zone de texte pour insérer des variables dans le chemin d'installation. Pour connaître la liste des variables, reportez-vous à la section Variables à la page Indiquez si vous souhaitez utiliser les références epolicy Orchestrator pour déployer l'agent. Si vos références de serveur epolicy Orchestrator ne disposent pas de droits sur l'ensemble des ordinateurs sur lesquels vous déployez l'agent, vous devez entrer des références d'utilisateur dotées de ces droits. Remarque Si vous avez sélectionné Utiliser le compte de système local dans la boîte de dialogue Compte de service du serveur lors de l'installation du serveur epolicy Orchestrator, vous ne pouvez pas utiliser les références du serveur epolicy Orchestrator pour déployer l'agent. Pour incorporer des références d'utilisateur dans le package d'installation de l'agent, désactivez Utiliser les références du serveur epo, puis entrez le compte d'utilisateur et le mot de passe. 9 Cliquez sur OK pour envoyer le package aux ordinateurs sélectionnés. Déploiement de l'agent lors de la création du Répertoire Si vous n'avez pas encore créé le Répertoire, vous pouvez envoyer le package d'installation de l'agent aux ordinateurs lorsque vous ajoutez des sites, groupes et ordinateurs au Répertoire. Pour des instructions détaillées, reportez-vous à la section Déploiement de l'agent lors de l'ajout d'un site, d'un groupe ou d'un ordinateur au Répertoire à la page 52. Toutefois, McAfee ne recommande pas cette procédure si vous créez votre Répertoire en important de grands domaines NT ou conteneurs Active Directory. Cette opération peut en effet générer un trafic réseau trop intense. Installation de l'agent au moyen de scripts de login Le recours aux scripts de login réseau constitue une méthode très fiable et courante permettant de s'assurer que chaque ordinateur se connectant au réseau exécute un agent epolicy Orchestrator. Vous pouvez élaborer un script de login pour appeler un fichier batch chargé de contrôler que l'agent est effectivement installé sur les ordinateurs clients tentant de se connecter au réseau. Si aucun agent n'est présent, le fichier batch peut alors installer l'agent avant d'autoriser la connexion de l'ordinateur en question. Dans les dix minutes suivant son installation, l'agent se mettra en communication avec le serveur epolicy Orchestrator afin d'obtenir les stratégies mises à jour, après quoi l'ordinateur sera ajouté à l'arborescence du Répertoire. 74

75 Déploiement des agents, SuperAgents et capteurs Installation de l'agent au moyen de scripts de login 4 Vous pouvez également recourir à des scripts de login réseau pour vérifier la version de l'agent et, si celle-ci est antérieure à 3.0 ou 2.X, installer le nouvel agent 3.5. Conseil Si vous déployez l'agent au moyen de scripts de login, il est recommandé que vous créiez d'abord manuellement quelques sites et groupes dans votre Répertoire, qui utilisent soit des noms de domaine du réseau, soit des filtres IP. Lorsque les agents se mettent en communication avec le serveur pour la première fois, ils peuvent alors peupler automatiquement ces sites et groupes. A défaut, ils seront tous ajoutés au groupe Lost&Found et vous devrez les déplacer manuellement par la suite. Particulièrement si vous déployez des agents sur un réseau de très grande taille, la création d'une structure de Répertoire utilisant une méthode de tri automatique avant le déploiement des agents via un script de login peut vous faire gagner énormément de temps par la suite. Voir la section Création manuelle de sites et de groupes à la page 61. La façon dont vous écrivez le script de login pour installer l'agent peut varier sensiblement, selon les opérations que doit exécuter le script. Pour plus d'informations sur la création de scripts de login, reportez-vous à la documentation de votre système d'exploitation. Cette section illustre un exemple de script de base. Pour configurer le déploiement de l'agent au moyen de scripts de login réseau : 1 Copie du package d'installation de l'agent vers un dossier centralisé sur lequel l'ensemble des utilisateurs disposent d'autorisations 2 Création d'un fichier batch contrôlant la présence d'un agent sur les nouveaux ordinateurs 3 Enregistrement du fichier batch dans votre contrôleur de domaine principal (PDC) 4 Mise à jour de vos scripts de login réseau pour appeler le fichier batch Copie du package d'installation de l'agent vers un dossier centralisé sur lequel l'ensemble des utilisateurs disposent d'autorisations Copiez le package d'installation de l'agent FRAMEPKG.EXE stocké sur votre serveur epolicy Orchestrator, dans un dossier partagé d'un serveur du réseau sur lequel tous les ordinateurs disposent d'autorisations. Les ordinateurs se connectant au réseau seront dirigés vers ce dossier pour exécuter le package d'installation de l'agent et installer l'agent. Le fichier FRAMEPKG.EXE est créé lorsque vous installez le serveur epolicy Orchestrator. Il s'agit d'un package d'installation personnalisé pour les agents qui dépendront de votre serveur. Celui-ci contient toutes les informations de port réseau, nom de serveur, adresse IP etc. nécessaires pour communiquer avec le serveur. Par défaut, le package d'installation de l'agent se trouve dans le dossier suivant de votre serveur epolicy Orchestrator : C:\PROGRAM FILES\NETWORK ASSOCIATES\EPO\3.5.0\DB\SOFTWARE\CURRENT\ epoagent3000\install\0409\framepkg.exe Création d'un package d'installation de l'agent personnalisé, si nécessaire Lors de l'installation de l'agent via un script de login, il est possible que vous deviez créer un package d'installation de l'agent personnalisé assorti de références d'administrateur incorporées. Ces références seront requises pour que le script soit en mesure d'installer l'agent sur le client. Pour plus d'informations, voir la section Création d'un package de déploiement personnalisé en cas de déploiement sans epolicy Orchestrator à la page

76 Déploiement des agents, SuperAgents et capteurs Installation manuelle de l'agent 4 Création d'un fichier batch contrôlant la présence d'un agent sur les nouveaux ordinateurs Créez un fichier batch (par ex. EPO.BAT) contenant les lignes que vous souhaitez exécuter sur les ordinateurs clients lorsqu'ils se connectent. Le contenu de ce fichier batch différera en fonction des opérations requises ; toutefois, il devrait permettre de contrôler la présence de l'agent dans le dossier d'installation escompté et d'installer l'agent si tel n'est pas le cas. Vous trouverez ci-dessous un exemple de fichier batch qui contrôle que l'agent est installé et qui, dans le cas contraire, exécute FRAMEPKG.EXE pour installer l'agent. Ce code examine d'abord l'emplacement d'installation par défaut de l'ancien agent 2.5.1, puis effectue sa mise à niveau vers l'agent 3.5. Ensuite, il vérifie la présence de l'agent 3.5 dans un dossier d'installation différent et, s'il ne le trouve pas, il installe le nouvel agent. IF EXIST C:\Windows\System32\ePOAgent\NAIMAS32.EXE \\<ORDINATEUR>\<DOSSIER>\UPDATE$\FRAMEPKG.EXE /FORCEINSTALL /INSTALL=AGENT IF EXIST C:\ePOAgent\FRAMEWORKSERVICE.EXE GOTO END_BATCH \\MonServeur\Agent\UPDATE$\FRAMEPKG.EXE /FORCEINSTALL /INSTALL=AGENT :END_BATCH Il est possible que les dossiers d'installation de votre déploiement soient différents de ceux utilisés dans cet exemple, suivant l'emplacement d'installation de l'agent par défaut que vous avez configuré dans epolicy Orchestrator. Enregistrement du fichier batch dans votre contrôleur de domaine principal (PDC) Enregistrez le fichier batch epo.bat dans le dossier NETLOGON$ du serveur de votre contrôleur de domaine principal (PDC, Primary Domain Controller). Ce fichier batch sera exécuté à partir du contrôleur PDC chaque fois qu'un ordinateur se connectera au réseau. Mise à jour de vos scripts de login réseau pour appeler le fichier batch Ajoutez une ligne à votre script de login pour appeler le fichier batch sur le serveur de votre contrôleur PDC. La syntaxe de cette ligne peut se présenter comme suit : CALL \\PDC\NETLOGON$\EPO.BAT Chaque ordinateur se connectant au réseau exécutera ce script et installera l'agent au moment de la connexion. Installation manuelle de l'agent Une méthode d'installation de l'agent très simple consiste à exécuter le programme d'installation à partir de l'ordinateur client. Il est possible que certaines organisations souhaitent installer manuellement les logiciels sur les clients et n'utiliser epolicy Orchestrator que pour gérer des stratégies. Il se peut également que le réseau compte de nombreux clients Windows 95 ou Windows 98 et que vous ne souhaitiez pas activer le partage de fichiers et d'imprimantes sur ces derniers. Dans ce cas, vous pouvez alors installer l'agent à partir du client. 76

77 Déploiement des agents, SuperAgents et capteurs Installation manuelle de l'agent 4 Vous pouvez installer l'agent au niveau des ordinateurs clients ou distribuer le programme d'installation FRAMEPKG.EXE aux utilisateurs de votre organisation et inviter ces derniers à exécuter individuellement ce programme. Une fois installé, l'agent rappelle le serveur et epolicy Orchestrator ajoute le nouvel ordinateur à l'arborescence du Répertoire. A propos du package d'installation de l'agent FRAMEPKG.EXE Le fichier FRAMEPKG.EXE est créé lorsque vous installez le serveur epolicy Orchestrator. Il s'agit d'un package d'installation personnalisé pour les agents qui dépendront de votre serveur. Celui-ci contient le nom du serveur, l'adresse IP, le numéro de port ASCI et diverses autres informations permettant à l'agent de communiquer avec le serveur. Par défaut, le package d'installation de l'agent se trouve dans le dossier suivant de votre serveur epolicy Orchestrator : C:\PROGRAM FILES\NETWORK ASSOCIATES\EPO\3.5.0\DB\SOFTWARE\CURRENT\ epoagent3000\install\0409\framepkg.exe Ce package est identique à celui qu'utiliserait le serveur epolicy Orchestrator pour installer l'agent si vous vouliez le distribuer par l'intermédiaire de la console. Toutefois, vous pouvez exécuter le package d'installation à partir de l'ordinateur client, à l'instar de tout autre logiciel client que vous souhaiteriez installer. Le package d'installation de l'agent par défaut ne contient aucune référence d'utilisateur incorporée. Lorsqu'il est exécuté sur le client, il utilise le compte de l'utilisateur actuellement connecté. Distribution du programme d'installation FRAMEPKG.EXE Pour que les utilisateurs du réseau installent l'agent sur leurs ordinateurs clients, distribuez-leur le package d'installation de l'agent. Vous pouvez joindre ce fichier à un message électronique, le copier sur un CD-RW ou sur une disquette, ou encore l'enregistrer dans un dossier réseau partagé accessible à l'ensemble des utilisateurs du réseau. Installation manuelle de l'agent à partir d'un ordinateur client Sur l'ordinateur client, exécutez FRAMEPKG.EXE en double-cliquant sur ce fichier. Patientez quelques instants pendant l'installation de l'agent. Figure 4-3 Patientez pendant l'installation de l'agent 77

78 Déploiement des agents, SuperAgents et capteurs Autres méthodes de déploiement de l'agent 4 Au cours des dix minutes suivant l'installation, suivant un intervalle aléatoire, l'agent communiquera avec le serveur epolicy Orchestrator pour la première fois. Vous pouvez cependant contourner cet intervalle de rappel de dix minutes et forcer le nouvel agent à rappeler le serveur immédiatement. Cette opération est possible à partir de tout ordinateur sur lequel un agent vient d'être installé, et pas uniquement sur les ordinateurs sur lesquels vous avez installé manuellement l'agent. Pour forcer manuellement le rappel initial de l'agent : 1 Sur l'ordinateur client où vous venez d'installer l'agent, ouvrez une fenêtre de commande DOS en sélectionnant Démarrer Exécuter, puis tapez command et appuyez sur Entrée. 2 Dans la fenêtre de commande, naviguez jusqu'au dossier d'installation de l'agent contenant le fichier CMDAGENT.EXE. 3 Tapez la commande suivante : CMDAGENT /p 4 Appuyez sur Entrée. L'agent rappellera immédiatement le serveur epolicy Orchestrator. 5 Dans la console epolicy Orchestrator de votre serveur, actualisez l'affichage du Répertoire en appuyant sur F5. Le nouvel ordinateur client sur lequel vous venez d'installer l'agent doit désormais figurer dans votre Répertoire. Après l'installation de l'agent et sa communication avec le serveur Lorsque l'agent rappelle le serveur pour la première fois, l'ordinateur est ajouté à l'arborescence du Répertoire en tant qu'ordinateur géré. Si vous avez configuré le filtrage d'adresses IP pour les sites et groupes de votre Répertoire, l'ordinateur sera ajouté au site ou groupe approprié pour cette adresse IP. A défaut, l'ordinateur est ajouté au dossier Lost&Found. Une fois l'ordinateur ajouté au Répertoire, vous pouvez gérer ses stratégies via la console epolicy Orchestrator. Autres méthodes de déploiement de l'agent Cette section contient des informations sur plusieurs méthodes alternatives permettant de déployer l'agent epolicy Orchestrator. Distribution de l'agent à l'aide d'outils de déploiement tiers Peut-être utilisez-vous déjà d'autres outils de déploiement réseau pour déployer des logiciels dans votre organisation. La plupart de ces outils, notamment Microsoft Systems Management Server (SMS), IBM Tivoli ou Novell ZENworks, peuvent également être employés pour déployer l'agent epolicy Orchestrator. Configurez l'outil de déploiement de votre choix pour distribuer le package d'installation de l'agent FRAMEPKG.EXE situé sur votre serveur epolicy Orchestrator. 78

79 Déploiement des agents, SuperAgents et capteurs Autres méthodes de déploiement de l'agent 4 Utilisation du package d'installation de l'agent par défaut ou incorporation de références dans un package personnalisé Le fichier FRAMEPKG.EXE est créé lorsque vous installez le serveur epolicy Orchestrator. Il s'agit d'un package d'installation personnalisé pour les agents qui dépendront de votre serveur. Celui-ci contient le nom du serveur, l'adresse IP, le numéro de port ASCI et diverses autres informations permettant à l'agent de communiquer avec le serveur. Par défaut, le package d'installation de l'agent se trouve dans le dossier suivant de votre serveur epolicy Orchestrator : C:\PROGRAM FILES\NETWORK ASSOCIATES\EPO\3.5.0\DB\SOFTWARE\CURRENT\ epoagent3000\install\0409\framepkg.exe Le cas échéant, vous pouvez incorporer des références d'administrateur dans un package d'installation de l'agent personnalisé. Pour des instructions détaillées, reportez-vous à la section Création d'un package de déploiement personnalisé en cas de déploiement sans epolicy Orchestrator à la page 69. Inclusion de l'agent dans une image d'installation de serveur ou de poste de travail standard Si votre organisation utilise des images d'installation standard pour les nouveaux postes de travail et serveurs, vous pouvez inclure l'agent epolicy Orchestrator dans vos images. Vous pouvez installer l'agent epolicy Orchestrator sur des ordinateurs utilisés pour créer des images communes dans votre environnement. La première fois qu'un utilisateur se connecte à un ordinateur constitué à l'aide d'une image commune incluant l'agent, un ID unique, appelé identificateur unique global ou GUID, est affecté à cet ordinateur. Note Avant de créer une image à cet effet, supprimez la valeur de Registre du GUID dans la clé de Registre de l'agent. L'identificateur est regénéré au cours du premier ASCI avec le serveur epolicy Orchestrator. Activation de l'agent sur des produits McAfee non gérés Il se peut que, avant de décider d'acheter epolicy Orchestrator, vous utilisiez déjà des produits de sécurité McAfee sur votre réseau. Certains des produits McAfee plus récents qui utilisent le module CMA (Common Management Agent) AutoUpdate 7.X, notamment VirusScan Enterprise, sont installés avec l'agent epolicy Orchestrator, dont l'état est cependant désactivé. Si vous décidez un jour de gérer ces produits à l'aide d'epolicy Orchestrator, il ne sera pas nécessaire que vous installiez l'agent sur les ordinateurs concernés. En effet, vous pouvez simplement «activer» l'agent CMA qui figure déjà sur l'ordinateur client. L'activation de l'agent selon cette méthode, plutôt qu'un redéploiement du package d'installation de l'agent de 1,5 Mo sur chaque ordinateur client, permet d'économiser la bande passante du réseau. Cela est d'autant plus vrai si vous disposez de nombreux ordinateurs de ce type et si vous envisagez de tous les gérer avec epolicy Orchestrator. Notez cependant que vous ne pouvez pas changer le dossier d'installation de l'agent sans désinstaller et réinstaller celui-ci. En effet, il se peut que les agents que vous activez soient enregistrés dans un dossier différent des agents que vous déployez dans votre réseau selon une autre méthode. Vous devez copier le fichier de la liste des référentiels SITELIST.XML sur l'ordinateur client à partir du serveur epolicy Orchestrator. La liste des référentiels contient des informations d'adresses réseau destinées au serveur epolicy Orchestrator, dont l'agent du client a besoin pour pouvoir appeler le serveur la première fois après l'installation. 79

80 Déploiement des agents, SuperAgents et capteurs Mise à niveau d'une version antérieure de l'agent 4 Pour activer l'agent sur des produits déjà dotés d'un un agent désactivé : 1 Exportez la liste des référentiels (SITELIST.XML) à partir du serveur epolicy Orchestrator et copiez cette liste dans un dossier temporaire sur l'ordinateur client, par ex. C:\TEMP. Pour des instructions détaillées, reportez-vous à la section Gestion de la liste des référentiels SITELIST.XML à la page Pour activer l'agent, exécutez la commande suivante sur l'ordinateur client : FRMINST.EXE /INSTALL=AGENT /SITEINFO=C:\TEMP\SITELIST.XML Référencez le fichier SITELIST.XML dans le dossier temporaire utilisé à l'étape 1. Par défaut, le fichier FRMINST.EXE est situé dans le dossier suivant de l'ordinateur client : C:\PROGRAM FILES\NETWORK ASSOCIATES\COMMON FRAMEWORK /SITEINFO représente l'emplacement de la liste des référentiels (SITELIST.XML) que vous avez exportée. Remarque Il est vraisemblable que les produits pour lesquels vous activez la gestion selon cette méthode utilisent une version plus ancienne de l'agent CMA. Lorsque vous activez ces agents plus anciens au moyen de la procédure décrite dans cette section, ces derniers ne sont pas automatiquement mis à niveau vers la version la plus récente de l'agent qui se trouve sur le serveur epolicy Orchestrator. Pour cela, vous devez également activer et exécuter la tâche Deployment par défaut afin d'installer le nouvel agent sur l'ordinateur client. Pour des instructions détaillées, reportez-vous à la section Mise à niveau de l'agent 3.x avec epolicy Orchestrator à la page 82. Mise à niveau d'une version antérieure de l'agent Si vous utilisiez déjà une version antérieure d'epolicy Orchestrator et si des versions plus anciennes de l'agent ont été déployées dans votre réseau, vous pouvez mettre à niveau ces agents après avoir installé votre serveur epolicy Orchestrator 3.5. La procédure de mise à niveau de l'agent varie en fonction de la version de l'agent déjà installée sur vos ordinateurs clients. Note Les versions antérieures de l'agent ne sont pas pleinement opérationnelles dans epolicy Orchestrator 3.5. Pour tirer parti de la totalité des fonctionnalités, vous devez mettre l'agent à niveau vers la version 3.5. Mise à niveau de l'agent 3.x au moyen de scripts de login ou installation manuelle Si vous n'utilisez pas epolicy Orchestrator pour déployer des agents ou des produits sur des ordinateurs clients, vous pouvez employer votre méthode privilégiée de déploiement de l'agent pour mettre à niveau des agents 3.x vers la version 3.5. La mise à niveau des agents sans recourir à epolicy Orchestrator (par ex. mise à niveau manuelle ou usage de scripts de login réseau) est identique à un premier déploiement des agents. Pour ce faire, distribuez le fichier d'installation FramePkg.EXE de l'agent 3.5, puis exécutez-le sur le client selon la méthode de votre choix (installation manuelle ou exécution d'un script de login réseau). Pour plus d'informations, reportez-vous à la section Installation de l'agent au moyen de scripts de login à la page 74 ou Installation manuelle de l'agent à la page

81 Déploiement des agents, SuperAgents et capteurs Mise à niveau d'une version antérieure de l'agent 4 Mise à niveau de l'agent au moyen d'epolicy Orchestrator Si vous faites appel à epolicy Orchestrator pour déployer des agents dans votre réseau, la procédure diffère légèrement en fonction de la version de l'agent à mettre à niveau. Pour plus d'informations, reportez-vous aux sections suivantes : # Mise à niveau de l'agent avec epolicy Orchestrator # Mise à niveau de l'agent 3.x avec epolicy Orchestrator Conseil Si vous effectuez une mise à niveau d'un déploiement epolicy Orchestrator à partir d'une version antérieure et que votre réseau est étendu, évitez de mettre à niveau un trop grand nombre d'agents en même temps. Envisagez plutôt une procédure graduelle, pour mettre à niveau un site ou un groupe de votre Répertoire à la fois. De fait, la mise à niveau d'un plus petit nombre de clients réduit le trafic réseau en limitant le nombre d'envois simultanés des packages de déploiement de l'agent de 1,5 Mo sur le réseau. Elle simplifie en outre le suivi de la progression des mises à jour et la résolution des problèmes spécifiques. Si vous mettez à niveau l'agent 2.5.1, définissez les changements de stratégie pour un site ou un groupe à la fois, attendez que la mise à niveau soit terminée, puis définissez la stratégie pour un autre site ou groupe. Répétez l'opération jusqu'à ce que tous les agents soient mis à niveau. Si vous mettez à niveau des agents 3.0 au moyen d'une tâche de client de mise à jour, il est conseillé de planifier l'exécution de la tâche de déploiement à des heures différentes pour les divers sites ou groupes du Répertoire. Mise à niveau de l'agent avec epolicy Orchestrator Pour mettre à niveau l'agent à l'aide des stratégies de l'agent : 1 Sélectionnez dans le Répertoire un site, un groupe ou un ordinateur donné pour lequel vous souhaitez mettre à niveau le ou les agents vers la version Dans l'onglet Stratégies du volet de détails supérieur, sélectionnez Agent epolicy Orchestrator Configuration pour ouvrir les pages de stratégie de l'agent. 3 Dans l'onglet Général, désactivez la case à cocher Hériter pour activer les options de configuration. 4 Sélectionnez Activer la mise à niveau de l'agent de l'agent 2.x à l'agent Cliquez sur Appliquer tout pour enregistrer les modifications apportées. La prochaine fois que les agents de ce site ou groupe appelleront le serveur, celui-ci extraira le package de déploiement de l'agent 3.5 et effectuera la mise à niveau vers la nouvelle version de l'agent. Pour mettre à niveau l'agent au moyen de scripts de login, vous devez mettre à jour vos scripts de login réseau afin de lancer le déploiement du nouvel agent 3.5. Pour plus d'informations sur la procédure à suivre, reportez-vous à la section Installation de l'agent au moyen de scripts de login à la page

82 Déploiement des agents, SuperAgents et capteurs Mise à niveau d'une version antérieure de l'agent 4 Mise à niveau de l'agent 3.x avec epolicy Orchestrator Les versions 3.0 ou ultérieures de l'agent epolicy Orchestrator utilisent l'architecture de mise à jour CMA (Common Management Agent). Pour disposer d'un contrôle accru sur le moment et la manière dont ces agents sont mis à niveau vers la version 3.5, vous devez exécuter la tâche Deployment par défaut dans la console epolicy Orchestrator. Cette tâche est identique à celle qui peut être utilisée pour déployer des produits tels que VirusScan Enterprise ou Desktop Firewall sur des clients exécutant déjà des agents epolicy Orchestrator. Pour plus d'informations sur l'emploi de la tâche Deployment pour déployer des produits de sécurité, voir le chapitre 5, Déploiement de logiciels antivirus et de sécurité. Récupération du package FRAMEPKG.EXE de l'agent pour déployer à l'avenir de nouveaux agents Vous pouvez utiliser ces procédures pour effectuer à une mise à niveau vers les nouvelles versions de l'agent qui seront distribuées à l'avenir. McAfee distribue régulièrement des versions actualisées de l'agent, soit pour améliorer l'agent lui-même, soit (et c'est le plus fréquent) pour étendre la compatibilité aux nouveaux produits. Vous pouvez déployer et gérer ces nouvelles versions de l'agent avec votre serveur epolicy Orchestrator 3.5. Avant de déployer ces nouvelles versions de l'agent, postérieures à la version 3.5, commencez par télécharger le package de déploiement de l'agent à partir du site web de McAfee, puis archivez-le dans le référentiel maître. Attention Ne confondez pas la mise à niveau de l'agent réalisée au moyen de la tâche Deployment d'epolicy Orchestrator avec la mise à jour d'un agent existant par la tâche Agent epolicy Orchestrator - Mettre à jour. La mise à niveau de l'agent par la tâche Deployment permet d'installer une nouvelle version majeure de l'agent par-dessus une version antérieure par exemple le remplacement de l'agent 3.0 par l'agent 3.5. En revanche, la tâche de mise à jour sert à actualiser une version existante de l'agent avec d'autres mises à jour, notamment des fichiers DAT, des moteurs, des patchs, des Service Packs ou des Language Packs par exemple une mise à jour de l'agent vers la version Mise à niveau de l'agent 3.x au moyen de la tâche Deployment Pour mettre à niveau la version 3.x ou ultérieure de l'agent vers la version 3.5, configurez et exécutez la tâche Deployment par défaut à partir de la console epolicy Orchestrator : 1 Assurez-vous que le package de déploiement de l'agent le plus récent est archivé dans le référentiel de logiciels maître. Pour plus d'informations sur l'archivage des packages de déploiement dans le référentiel maître, reportez-vous à la section Archivage de packages de déploiement de produit dans le référentiel maître à la page 105. Signalons par ailleurs que, si cette section traite de l'archivage des packages de déploiement de produit, la procédure est identique pour l'archivage des packages de déploiement de l'agent. 2 Dans l'arborescence du Répertoire de la console epolicy Orchestrator, sélectionnez le site ou le groupe pour lequel vous souhaitez mettre à niveau l'agent. 3 Dans le volet de détails supérieur droit, cliquez sur l'onglet Tâches. 4 Dans la liste affichée, double-cliquez sur la tâche Deployment. 5 Dans l'onglet Tâche, désactivez la case à cocher Hériter et sélectionnez Activer (la tâche planifiée s'exécute à une heure indiquée). 6 Cliquez sur Paramètres. 82

83 Déploiement des agents, SuperAgents et capteurs Déploiement de l'agent sur des serveurs Novell NetWare et des solutions matérielles-logicielles WebShield 4 7 Dans la boîte de dialogue Paramètres de tâche, désactivez Hériter. Figure 4-4 Sélection du paramètre de la tâche «Installer» pour effectuer la mise à niveau de l'agent 8 Cliquez sur OK pour enregistrer les modifications apportées aux paramètres. 9 Pour planifier l'exécution de la tâche à une heure donnée, cliquez sur l'onglet Planifier et planifiez la tâche selon vos souhaits. 10 Lorsque vous avez terminé, cliquez sur OK pour fermer la boîte de dialogue Planificateur epolicy Orchestrator. L'état Activé de la tâche de déploiement indique Vrai. Les agents présents sur les ordinateurs clients obtiendront les informations de cette tâche lors de leur prochain appel au serveur. Ils exécuteront ensuite la tâche en question à l'heure prévue. Déploiement de l'agent sur des serveurs Novell NetWare et des solutions matérielles-logicielles WebShield L'installation d'agents sur vos serveurs Novell NetWare et solutions matérielleslogicielles WebShield revêt une très grande importance dans la mesure où ces deux types de systèmes sont particulièrement exposés aux virus et menaces de sécurité transitant par le réseau. De fait, les solutions matérielles-logicielles WebShield étant implantées au niveau de la passerelle réseau vers Internet, il est probable qu'elles seront en première ligne de la plupart des attaques. Le déploiement d'agents actifs sur ces systèmes et leur tenue à jour sont donc des opérations cruciales. 83

84 Déploiement des agents, SuperAgents et capteurs Désinstallation de l'agent 4 Il n'est pas possible d'utiliser epolicy Orchestrator pour distribuer l'agent sur des serveurs Novel NetWare ou des solutions matérielles-logicielles WebShield. Vous devez donc employer une autre méthode de déploiement, comme des scripts de login ou des installations manuelles. Etant donné que les détails relatifs au déploiement de l'agent sur ces différents types de systèmes sont susceptibles de varier, reportez-vous à la documentation de votre produit pour plus d'informations. Cependant, la procédure de base est la suivante : 1 Téléchargez les packages d'installation de l'agent pour NetWare et/ou pour les solutions matérielles-logicielles WebShield. Par défaut, ces packages ne sont pas installés sur le serveur epolicy Orchestrator. 2 Copiez les packages d'installation de l'agent sur les systèmes appropriés, puis installez-les. 3 Ajoutez les systèmes au Répertoire de la console epolicy Orchestrator. Désinstallation de l'agent Plusieurs méthodes sont possibles pour désinstaller l'agent epolicy Orchestrator déployé sur un ordinateur client. Remarque Il est impossible de supprimer l'agent au moyen de la tâche Deployment utilisée pour supprimer d'autres produits, tels que VirusScan Enterprise, des ordinateurs clients. Exécution du programme FRMINST.EXE à partir de la ligne de commande Désinstallez l'agent à partir de la ligne de commande, en exécutant le programme intégré d'installation de l'agent (FRMINST.EXE) avec l'option de ligne de commande /REMOVE. La syntaxe se présente comme suit : FRMINST.EXE /REMOVE=AGENT Pour plus d'informations sur les options de ligne de commande FRMINST.EXE, reportez-vous à la section Options de ligne de commande pour l'installation de l'agent à la page 85. Désinstallation de l'agent par suppression d'ordinateurs du Répertoire Pour désinstaller l'agent déployé sur un ou plusieurs ordinateurs à l'aide de la console epolicy Orchestrator, supprimez l'ordinateur en question du Répertoire et supprimez l'agent lors de cette opération. Vous pouvez supprimer soit des ordinateurs spécifiques, soit un site ou groupe complet. Attention Gardez à l'esprit que, lorsque vous effacez un groupe ou un site, l'opération supprime également l'ensemble des ordinateurs et groupes enfants. Si vous sélectionnez l'option de désinstallation de l'agent lors de la suppression du Répertoire, epolicy Orchestrator désinstalle les agents de tous les ordinateurs enfants. Par conséquent, assurez-vous que l'agent doit être effectivement désinstallé de l'ensemble des ordinateurs enfants avant de supprimer des sites ou des groupes du Répertoire. 84

85 Déploiement des agents, SuperAgents et capteurs Options de ligne de commande pour l'installation de l'agent 4 Pour supprimer l'agent des ordinateurs contenus dans le Répertoire : 1 Dans l'arborescence du Répertoire epolicy Orchestrator, cliquez avec le bouton droit sur le site, le groupe ou l'ordinateur à effacer du Répertoire, puis sélectionnez Supprimer. 2 Sélectionnez Désinstaller l'agent de tous les ordinateurs connectés. 3 Cliquez sur Oui. Désinstallation de l'agent lors de la suppression d'ordinateurs après une recherche dans le Répertoire Vous pouvez aussi supprimer l'agent déployé sur des ordinateurs spécifiques lorsque, après avoir localisé ces derniers à l'aide d'une des requêtes de recherche de Répertoire, vous les supprimez du Répertoire. Ces requêtes de recherche sont disponibles dans la console epolicy Orchestrator, par exemple la recherche Agents epolicy Orchestrator inactifs. Pour plus d'informations sur l'exécution de recherches de Répertoire, reportez-vous à la section Utilisation de la fonctionnalité de recherche du Répertoire pour localiser des ordinateurs dans le Répertoire à la page 309. Pour supprimer un agent d'un ordinateur client retourné par une recherche de Répertoire : 1 Cliquez avec le bouton droit sur le nom de l'ordinateur concerné dans la liste des Résultats de la recherche affichée dans le bas de la boîte de dialogue Recherche de répertoire, puis sélectionnez Supprimer. 2 Dans la boîte de dialogue de confirmation, sélectionnez Désinstaller l'agent de tous les ordinateurs connectés. 3 Cliquez sur Oui. Options de ligne de commande pour l'installation de l'agent Selon que l'agent est ou non déjà installé, vous pouvez utiliser ces options de ligne de commande lors de l'exécution du package d'installation de l'agent (FRAMEPKG.EXE) ou du programme intégré d'installation de l'agent (FRMINST.EXE). Vous pouvez également employer ces lignes de commande conjointement avec la tâche Deployment de l'agent pour mettre à niveau une ancienne version de l'agent vers une version plus récente. Pour effectuer cette opération à partir de la page Paramètres de tâche de la tâche Deployment, cliquez sur le bouton pour saisir des options de ligne de commande. Voir la section Mise à niveau d'une version antérieure de l'agent à la page

86 Déploiement des agents, SuperAgents et capteurs Options de ligne de commande pour l'installation de l'agent 4 Ces options ne respectent pas la casse, à la différence de leurs valeurs. Tableau 4-1 Options de ligne de commande pour FRAMEPKG.EXE Commande /DATADIR /DOMAIN /USERNAME /PASSWORD /INSTALL=AGENT /INSTALL=UPDATER /INSTDIR /REMOVE=AGENT /SILENT ou /S Description Spécifie le dossier de l'ordinateur client qui doit être utilisé pour les fichiers de données de l'agent. L'emplacement par défaut est : <Documents and Settings>\All Users\Application Data\Network Associates\Common Framework Si le système d'exploitation n'utilise pas un dossier Documents and Settings, l'emplacement par défaut est un sous-dossier de données dans le dossier d'installation de l'agent. Exemple FRAMEPKG /INSTALL=AGENT /DATADIR=<CHEMIN DONNEES AGENT> Spécifie un domaine NT, un nom d'utilisateur et un mot de passe à utiliser pour installer l'agent. Le compte doit au minimum disposer de droits de création et de démarrage de services sur l'ordinateur. Si aucun compte n'est spécifié, les références de l'utilisateur actuellement connecté sont utilisées. Si vous souhaitez utiliser un compte local sur l'ordinateur, utilisez le nom de l'ordinateur en tant que domaine. Exemple FRAMEPKG /INSTALL=AGENT /DOMAIN=Domaine1 /USERNAME=pmartin /PASSWORD=motdepasse INSTALL=AGENT installe (si nécessaire) puis active l'agent. Exemple FRAMEPKG /INSTALL=AGENT INSTALL=UPDATER active le module CMA (Common Management Agent) si celui-ci a déjà été installé, SANS aucun effet sur l'activation de l'agent. Cette ligne de commande permet de mettre l'agent à niveau. Exemple FRAMEPKG/INSTALL=UPDATER Spécifie le dossier d'installation de CMA sur l'ordinateur client. Vous pouvez utiliser des variables système de Windows, par ex. <SYSTEM_DRIVE>. Si aucun dossier n'est spécifié, le dossier d'installation par défaut est : <LECTEUR>:\program files\network associates\common framework Exemple FRAMEPKG /INSTALL=AGENT /INSTDIR=C:\ePOAgent Désactive l'agent et supprime le module CMA s'il est inutilisé. Exemple FRMINST /REMOVE=AGENT Installe l'agent en mode silencieux, c'est-à-dire masque l'interface d'installation à l'utilisateur final. Exemple FRAMEPKG /INSTALL=AGENT /SILENT 86

87 Déploiement des agents, SuperAgents et capteurs Déploiement de SuperAgents pour la distribution des appels de réactivation de l'agent 4 Tableau 4-1 Options de ligne de commande pour FRAMEPKG.EXE Commande /SITEINFO /USELANGUAGE Description Spécifie le chemin d'accès à une liste des référentiels SITELIST.XML spécifique. Voir la section Gestion de la liste des référentiels SITELIST.XML à la page 170. Exemple FRAMEPKG /INSTALL=AGENT /SITEINFO=C:\MALISTEDESITES.XML Spécifie la version linguistique de l'agent à installer. Si vous sélectionnez des paramètres régionaux autres que l'une des 12 langues identifiées par un ID de paramètres régionaux, le logiciel s'affiche en anglais. Si vous installez plusieurs versions linguistiques de CMA, l'option sélectionnée dans Paramètres régionaux détermine la langue dans laquelle CMA s'affiche. Exemple FRAMEPKG /INSTALL=AGENT /USELANGUAGE 0404 Pour obtenir plus d'informations et la liste des ID de paramètres régionaux, reportez-vous à la section ID des paramètres régionaux à la page 341. Déploiement de SuperAgents pour la distribution des appels de réactivation de l'agent Si vous avez l'intention de recourir régulièrement à des appels de réactivation de l'agent dans votre réseau, envisagez de déployer des SuperAgents pour distribuer l'appel de réactivation de l'agent et réduire le trafic réseau. En fonction de votre environnement réseau, vous trouverez peut-être les appels de réactivation du SuperAgent plus efficaces pour solliciter les agents de réactivation. Si vous souhaitez faire usage de la fonctionnalité Mise à jour globale pour mettre à jour dynamiquement les fichiers DAT, et éventuellement les moteurs d'analyse antivirus, vous devez déployer des SuperAgents. 87

88 Déploiement des agents, SuperAgents et capteurs Déploiement de SuperAgents pour la distribution des appels de réactivation de l'agent 4 A propos des appels de réactivation de diffusion du SuperAgent Un SuperAgent est un agent capable d'envoyer des appels de réactivation de diffusion à d'autres agents epolicy Orchestrator situés sur le même segment de diffusion réseau. Plutôt que de charger le serveur epolicy Orchestrator d'envoyer des appels de réactivation à chaque agent, le serveur peut émettre ces derniers vers quelques SuperAgents uniquement. Cela contribue à réduire le trafic réseau puisque le serveur epolicy Orchestrator envoie un nombre réduit de réactivations de l'agent. Cette solution peut se révéler particulièrement avantageuse dans les grands réseaux où epolicy Orchestrator est susceptible de gérer des agents dans des sites distants, via des connexions WAN (réseau étendu) ou VPN (réseau privé virtuel) moins rapides. Envoyez des appels de réactivation à quelques SuperAgents et laissez à ces derniers le soin de réactiver les autres agents du réseau LAN. Figure 4-5 Le serveur réactive des SuperAgents qui réactivent à leur tour des agents ordinaires. Serveur 1 Segment de diffusion SuperAgent 2 Agent Agent Agent 4 Agent 3 1 Le serveur envoie un appel de réactivation à tous les SuperAgents. 2 Les SuperAgents envoient un appel de réactivation de diffusion à tous les agents du même segment de diffusion. 3 Tous les agents (ordinaires et SuperAgents) échangent des données avec le serveur. 4 Tout agent qui ne dispose pas d'un SuperAgent actif sur son sous-réseau ne recevra pas de demande de communication avec le serveur. 88

89 Déploiement des agents, SuperAgents et capteurs Déploiement de SuperAgents pour la distribution des appels de réactivation de l'agent 4 Lorsque vous envoyez un appel de réactivation du SuperAgent vers un noeud sélectionné de votre Répertoire (probablement un site ou un groupe), le serveur envoie un appel de réactivation à l'ensemble des SuperAgents déployés dans ces groupes. Chaque SuperAgent envoie alors un appel de réactivation de l'agent vers tous les agents se trouvant dans le même segment de diffusion que le SuperAgent. Les agents appellent enfin le serveur epolicy Orchestrator afin d'obtenir les mises à jour. Conseil Vous devez savoir comment sont organisés les segments de diffusion physiques et les sous-réseaux logiques de votre réseau pour être en mesure déployer le nombre approprié de SuperAgents aux emplacements requis. Tout agent ne disposant pas d'un SuperAgent dans le segment de diffusion local ne recevra pas d'appel de réactivation de diffusion. En règle générale, un segment de diffusion est identique à un sous-réseau puisque la plupart des routeurs de réseau bloquent par défaut le trafic ICMP entre les sous-réseaux. Il est cependant possible que vous ayez configuré vos routeurs pour autoriser un trafic ICMP entre certains sous-réseaux. Dans ce cas, il vous suffit de déployer un SuperAgent pour l'ensemble de ces sous-réseaux connectés ICMP. Inversement, il est possible que vous disposiez d'un sous-réseau scindé en plusieurs segments de diffusion. Si tel est le cas, vous devez installer un SuperAgent dans chaque segment de diffusion de ce sous-réseau. Appel de réactivation du SuperAgent utilisant une commande ping ICMP Similaire à l'appel de réactivation de l'agent ordinaire, l'appel de réactivation du SuperAgent est une commande ping ICMP envoyée à partir du serveur epolicy Orchestrator. Un grand nombre de routeurs réseau bloquent par défaut le trafic ICMP entre des sous-réseaux. Si votre réseau est configuré de la sorte, le recours aux appels de réactivation du SuperAgent ne permettra pas de réactiver le moindre ordinateur implanté à l'extérieur du sous-réseau local où est installé le serveur epolicy Orchestrator. Dans ce cas, n'utilisez pas les appels de réactivation de l'agent ou du SuperAgent. Optez plutôt pour l'asci de l'agent ordinaire qui utilise le protocole SPIPE pour toutes les communications agent-serveur. Appel de réactivation de diffusion du SuperAgent obligatoire si la fonctionnalité Mise à jour globale est utilisée Si vous avez activé la fonctionnalité Mise à jour globale, vous devez déployer des SuperAgents. Celle-ci utilise en effet l'appel de réactivation de diffusion du SuperAgent pour que les agents envoient un appel afin d'obtenir les changements de mise à jour. Voir la section Utilisation de la mise à jour globale pour distribuer automatiquement et immédiatement les mises à jour à tous les clients à la page 136. Distinction entre référentiels SuperAgents et SuperAgents Les SuperAgents peuvent également être configurés pour fonctionner comme un référentiel distribué pour les mises à jour. Il s'agit d'une fonctionnalité SuperAgent distincte, qui n'est pas liée à l'appel de réactivation de diffusion du SuperAgent. Voir la section Création de référentiels distribués SuperAgents à la page

90 Déploiement des agents, SuperAgents et capteurs Déploiement de SuperAgents pour la distribution des appels de réactivation de l'agent 4 Procédure de «déploiement» d'un SuperAgent sur un ordinateur du Répertoire La seule manière de déployer un SuperAgent consiste à utiliser la page de stratégie de l'agent epolicy Orchestrator de la console pour activer la fonctionnalité SuperAgent dans un agent déjà installé. La méthode de déploiement d'un package d'installation de SuperAgent est totalement différente de la technique utilisée pour déployer un agent ordinaire. Cela s'explique en partie par le fait que vous ne déployez pas des SuperAgents sur chaque ordinateur, ni même sur un grand nombre d'ordinateurs du réseau, puisqu'il suffit d'en déployer un sur chaque segment de diffusion du réseau, ce qui correspond généralement à un sous-réseau. Pour convertir un agent ordinaire en SuperAgent : 1 Dans l'arborescence du Répertoire epolicy Orchestrator, sélectionnez un ordinateur que vous souhaitez convertir en SuperAgent. Vous pouvez uniquement activer la fonctionnalité SuperAgent au niveau de l'ordinateur, et non au niveau du site ou du groupe. 2 Dans le volet de détails supérieur, cliquez sur l'onglet Stratégies et sélectionnez Agent epolicy Orchestrator Configuration. 3 Dans le volet de détails inférieur, désactivez Hériter dans l'onglet Général. 4 Sélectionnez Activer la fonctionnalité SuperAgent et cliquez ensuite sur Appliquer tout pour enregistrer les modifications apportées. La fonctionnalité SuperAgent est activée lors du prochain appel de l'agent au serveur epolicy Orchestrator pour obtenir le changement de stratégie. Si vous avez configuré la stratégie de l'agent de manière à afficher l'icône de l'agent dans la barre d'état système de l'ordinateur client, l'icône SuperAgent sera légèrement différente de l'icône de l'agent ordinaire. Figure 4-6 Légère différence entre l'icône du SuperAgent affichée dans la barre d'état système et celle de l'agent ordinaire L'ordinateur est désormais prêt à recevoir un appel de réactivation du SuperAgent à partir du serveur epolicy Orchestrator, puis à réactiver d'autres agents déployés dans la même portion du réseau. Pour plus d'informations sur l'utilisation des appels de réactivation du SuperAgent, reportez-vous à la section Envoi d'appels de réactivation de l'agent manuels à la page

91 Déploiement des agents, SuperAgents et capteurs Déploiement de capteurs de détection des systèmes non fiables 4 Déploiement de capteurs de détection des systèmes non fiables Le composant Détection des systèmes non fiables est une nouvelle fonctionnalité introduite dans epolicy Orchestrator 3.5, qui vous permet d'utiliser la console epolicy Orchestrator pour détecter sur votre réseau des ordinateurs sur lesquels aucun agent n'est installé. Pour ce faire, epolicy Orchestrator fait appel à une petite application Win32, appelée capteur, qui est distribuée sur l'ensemble du réseau. Ce capteur est «à l'écoute» de tout trafic de diffusion sur la couche 2 du réseau et envoie un rapport au serveur epolicy Orchestrator. Tout ordinateur détecté par le capteur sur le réseau qui ne dispose pas d'un agent epolicy Orchestrator est classé comme étant un système non fiable. Présentation du mode de fonctionnement de la détection des systèmes non fiables Cette section traite uniquement de la procédure de déploiement des capteurs de détection des systèmes non fiables et n'examine pas dans le détail la fonctionnalité Détection des systèmes non fiables à proprement parler. Vous pouvez suivre les étapes décrites dans cette section pour déployer des capteurs sur votre réseau en utilisant la plupart des paramètres par défaut. Toutefois, il est possible que certaines options de configuration des capteurs influencent le mode et l'emplacement de déploiement de vos capteurs. Il est vivement recommandé que vous vous familiarisiez avec le mode de fonctionnement de la détection des systèmes non fiables avant que vous commenciez à déployer des capteurs. Pour plus d'informations, voir le chapitre 11, Détection des systèmes non fiables. Contenu de cette section Le reste de cette section aborde les sujets spécifiques ci-dessous, articulés autour du déploiement des capteurs : # A propos du déploiement des capteurs de détection des systèmes non fiables dans votre réseau # Déploiement de capteurs à partir de la liste des sous-réseaux de la fonction Détection des systèmes non fiables # Installation manuelle du capteur # Désinstallation du capteur A propos du déploiement des capteurs de détection des systèmes non fiables dans votre réseau En raison de la conception du capteur, vous devez installer un capteur par segment de diffusion du réseau. Notez que, selon la configuration de votre réseau, ce segment peut ne pas correspondre au segment de diffusion physique. Par défaut, le capteur est configuré pour rendre compte uniquement des détections survenant au sein de son sous-réseau logique local. Si vous utilisez cette configuration par défaut (option recommandée par McAfee Security), vous devez alors déployer au moins un capteur sur chaque sous-réseau logique de votre réseau. 91

92 Déploiement des agents, SuperAgents et capteurs Déploiement de capteurs de détection des systèmes non fiables 4 Où faut-il installer les capteurs de détection des systèmes non fiables? L'ordinateur sur lequel le capteur est installé doit être un ordinateur susceptible de demeurer sous tension et connecté au réseau en permanence, si possible un serveur. Si vous ne disposez pas d'un serveur dans un sous-réseau donné, déployez plusieurs capteurs sur différents postes de travail de manière à accroître les chances que l'un de ces postes soit toujours sous tension et connecté au réseau. Pour garantir que la couverture offerte par la détection des systèmes non fiables est totale, vous devez installer au moins un capteur dans chaque segment de diffusion de votre réseau. En général, un segment de diffusion réseau est identique à un sous-réseau. Vous pouvez installer plusieurs capteurs dans un sous-réseau, le serveur de détection des systèmes non fiables filtrant les messages de détection en double. Notez cependant que la présence de plusieurs capteurs actifs dans chaque sous-réseau entraînera dans les faits l'envoi de messages en double par chaque capteur vers le serveur. Bien que la présence de cinq à dix capteurs dans un sous-réseau n'entraîne aucun problème particulier, McAfee Security recommande de ne pas déployer dans un sous-réseau plus de capteurs qu'il n'est nécessaire pour garantir la couverture de ce sous-réseau. En effet, plus vous comptez de capteurs, plus la détection des systèmes non fiables génère du trafic réseau. A propos des capteurs principaux et inactifs Lors d'un déploiement de plusieurs capteurs sur un même sous-réseau, vous pouvez configurer le nombre de capteurs actifs qui doivent transmettre un rapport au serveur à un moment donné (par défaut, ils sont au nombre de 3). Ces capteurs sont appelés capteurs principaux. Tout capteur supplémentaire déployé est une copie de sauvegarde à l'état dormant, qui demeure tel jusqu'à ce qu'il soit activé par le serveur de détection des systèmes non fiables. Ces capteurs sont donc appelés capteurs inactifs. A intervalles réguliers, le serveur de détection des systèmes non fiables modifie les capteurs principaux, de manière à ne pas dépendre pendant trop longtemps d'un capteur donné. Par ailleurs, si le capteur principal est désactivé ou s'il cesse de répondre, le serveur epolicy Orchestrator fera automatiquement d'un autre capteur de ce sous-réseau le capteur principal. La liste des sous-réseaux présentée sur l'onglet Sous-réseaux de l'interface Détection des systèmes non fiables vous permet de contrôler rapidement les sous-réseaux sur lesquels vous avez déjà déployé des agents epolicy Orchestrator. Vous pouvez déployer des capteurs sur des ordinateurs à partir de cet emplacement. Examen des stratégies de capteur avant le déploiement Préalablement au déploiement des capteurs, vous devez configurer les paramètres capteur-serveur en fonction des besoins de votre réseau. Ceux-ci seront vraisemblablement identiques pour tous les capteurs qui communiquent avec votre serveur de détection des systèmes non fiables. Dès lors, vous pouvez configurer des stratégies de capteur au niveau le plus haut du Répertoire afin qu'elles soient héritées par les niveaux inférieurs. Pour plus de détails sur la définition des stratégies de capteur, reportez-vous à la section Configuration des stratégies des capteurs de détection des systèmes non fiables à la page

93 Déploiement des agents, SuperAgents et capteurs Déploiement de capteurs de détection des systèmes non fiables 4 Configuration requise pour l'installation des capteurs de détection des systèmes non fiables Le capteur de détection des systèmes non fiables est une petite application Win32 qui s'exécute de façon transparente sur un quelconque serveur ou ordinateur. Il peut être installé et exécuté sur tout ordinateur doté d'un système d'exploitation Windows NT, tel que Windows NT, Windows 2000, Windows XP et Windows Par contre, le capteur n'est pas compatible avec les versions antérieures de Windows, notamment Windows 95, 98 et ME. De même, il n'est pas pris en charge par les systèmes d'exploitation non-windows du type Novell NetWare ou Linux. Les autres recommandations en matière d'installation sont les suivantes : # Système de fichiers : NTFS recommandé. # Mémoire : 128 Mo de RAM. # Processeur : 166 MHz ou supérieur. # Interface Ethernet prenant en charge les protocoles 802.3, Ethernet II ou Que se passe-t-il lorsque l'ordinateur sur lequel est installé le capteur change de sous-réseau? Il peut parfois arriver que vous deviez déplacer l'ordinateur sur lequel un capteur est installé, d'un sous-réseau vers un autre. Ainsi, cela peut se produire lorsque l'ordinateur sur lequel le capteur est déployé est un portable susceptible de se connecter à différents sous-réseaux du réseau à des moments différents. Le capteur est conçu pour identifier rapidement tout changement d'emplacement de son sous-réseau, et pour communiquer ce changement au serveur de détection des systèmes non fiables. Si l'ordinateur exécutant le capteur change de sous-réseau, cela sera immédiatement reflété dans la liste des sous-réseaux de l'interface web du serveur de détection des systèmes non fiables. Pour plus d'informations, reportez-vous à la section Surveillance des capteurs déployés sur les sous-réseaux à la page 228. Si vous déployez un capteur sur un ordinateur susceptible de changer de sous-réseau (un portable, par exemple), assurez-vous de déployer un autre capteur couvrant le sous-réseau initial. A titre d'exemple, supposons que votre sous-réseau A est couvert par le capteur 1. Si le capteur 1 est déplacé vers le sous-réseau B pour une raison quelconque, cela signifie que le sous-réseau A sera dépourvu de capteur et, par conséquent, que les systèmes non fiables qui s'y trouvent demeureront non détectés. Déploiement de capteurs à partir de la liste des sous-réseaux de la fonction Détection des systèmes non fiables L'installation de capteurs individuels sur l'ensemble du réseau peut être une tâche difficile et longue à réaliser, particulièrement si votre organisation est relativement étendue. Cela est d'autant plus vrai si vous déployez le module Détection des systèmes non fiables pour la première fois et si vous devez installer simultanément de nombreux capteurs sur l'ensemble des sous-réseaux. Il est donc recommandé d'utiliser le serveur de détection des systèmes non fiables pour déployer de manière centralisée les capteurs sur votre réseau à partir de la console epolicy Orchestrator. 93

94 Déploiement des agents, SuperAgents et capteurs Déploiement de capteurs de détection des systèmes non fiables 4 Déployez ces capteurs à partir de la liste des sous-réseaux affichée dans l'onglet Sous-réseaux de l'interface Détection des systèmes non fiables. Lorsque vous déployez des capteurs depuis le module Détection des systèmes non fiables, deux options s'offrent à vous. Vous pouvez soit sélectionner manuellement des ordinateurs spécifiques pour héberger les capteurs, soit laisser au serveur de détection des systèmes non fiables le soin de sélectionner automatiquement les ordinateurs au départ des ordinateurs disponibles sur le sous-réseau. Remarque La détection des systèmes non fiables utilise l'architecture de déploiement de produits epolicy Orchestrator pour déployer le capteur de détection des systèmes non fiables. Par conséquent, le déploiement de capteurs à partir du serveur de détection des systèmes non fiables est uniquement possible vers des ordinateurs sur lesquels un agent epolicy Orchestrator actif a été installé. Pour déployer des capteurs de détection des systèmes non fiables sur votre réseau à partir de la liste des sous-réseaux : 1 Dans la console epolicy Orchestrator, sélectionnez Détection des systèmes non fiables à partir de l'arborescence de la console. 2 Dans le volet de détails du module Détection des systèmes non fiables, cliquez sur l'onglet Sous-réseaux pour afficher la liste des sous-réseaux. 3 Sélectionnez les sous-réseaux sur lesquels vous souhaitez déployer les capteurs en cliquant une fois dans la case à cocher correspondante dans le tableau Liste des sous-réseaux. Si vous déployez des capteurs sur tous vos sous-réseaux simultanément, ce qui peut être le cas lorsque vous déployez des capteurs pour la première fois, vous pouvez sélectionner tous les sous-réseaux répertoriés dans la liste en cliquant sur Activer tout. L'hypothèse la plus probable étant que vous allez déployer des capteurs sur des sous-réseaux qui en sont dépourvus, ces sous-réseaux auront l'état Non couvert. 4 Sélectionnez Déployer les capteurs. 94

95 Déploiement des agents, SuperAgents et capteurs Déploiement de capteurs de détection des systèmes non fiables 4 5 Sur la page Définition des préférences, assurez-vous que l'option Sélectionner les ordinateurs en fonction des critères ci-dessous est sélectionnée. Figure 4-7 Spécifiez si vous souhaitez sélectionner manuellement les hôtes de capteur ou confier cette tâche au module Détection des systèmes non fiables Le cas échéant, modifiez les critères de sélection automatique des capteurs. Le module Détection des systèmes non fiables utilise ces critères lors de la sélection des ordinateurs sur le sous-réseau où les capteurs doivent être déployés. Par exemple, vous pouvez choisir de déployer 3 capteurs et préciser les critères Système d'exploitation du serveur et La plus grande quantité de mémoire. Le module Détection des systèmes non fiables sélectionne les trois ordinateurs dotés des systèmes d'exploitation serveur disposant de la plus grande quantité de mémoire et déploie un capteur sur chacun de ces systèmes. Utilisez les flèches vers la gauche et vers la droite pour déplacer un critère de la zone Critères disponibles vers Critères sélectionnés. Pour établir une priorité parmi les critères sélectionnés, cliquez une fois sur le critère répertorié dans la liste Critères sélectionnés, puis cliquez sur Haut ou Bas pour hiérarchiser les critères en conséquence. Plus un critère spécifique figure haut dans la liste des critères sélectionnés, plus sa priorité est grande. Vous pouvez spécifier n'importe quel critère, voire tous les critères répertoriés dans le tableau 4-2 lors de la configuration du déploiement automatique des capteurs : 95

96 Déploiement des agents, SuperAgents et capteurs Déploiement de capteurs de détection des systèmes non fiables 4 Tableau 4-2 Critères de déploiement automatique des capteurs Critères Communication de l'agent epo la plus récente Système d'exploitation du serveur Nom d'hôte La plus grande quantité de mémoire Le processeur le plus rapide Description Lorsqu'un ordinateur remplit ce critère, il présente une plus grande probabilité d'être connecté en permanence au réseau et d'être actuellement actif. Par comparaison avec les postes de travail, il est plus probable que les serveurs demeurent sous tension et connectés au réseau en permanence. La détection par le capteur est uniquement possible si l'ordinateur sur lequel il est installé est sous tension et connecté au réseau. Si vous utilisez des conventions d'appellation lors de la création des noms DNS des ordinateurs, vous pouvez laisser au module Détection des systèmes non fiables le soin de sélectionner les hôtes de capteur au moyen d'une chaîne de texte utilisée dans le nom DNS. Par exemple, si vous ajoutez un préfixe «SRV» à l'ensemble de vos ordinateurs serveurs, vous pouvez indiquer au module Détection des systèmes non fiables d'effectuer le déploiement sur un ordinateur dont le nom DNS comprend la mention «SRV». Si vous ajoutez Nom d'hôte à la liste Critères sélectionnés, tapez la chaîne de texte qui apparaît dans les noms DNS de vos serveurs dans la zone de texte Nom d'hôte. Plus vous disposez de mémoire, plus le système est performant bien que le capteur de détection des systèmes non fiables ne soit pas une application gourmande en mémoire. Plus le processeur est rapide, plus le système est performant. 6 Cliquez sur Suivant pour enregistrer vos critères de déploiement automatique des capteurs. 96

97 Déploiement des agents, SuperAgents et capteurs Déploiement de capteurs de détection des systèmes non fiables 4 7 Sur la page Vérification et approbation, passez en revue et confirmez les ordinateurs sélectionnés et le dossier d'installation vers lesquels les capteurs doivent être déployés. Figure 4-8 Vérification des hôtes de capteurs sélectionnés automatiquement et démarrage du déploiement des capteurs Les ordinateurs sélectionnés automatiquement par le module Détection des systèmes non fiables pour un déploiement automatique des capteurs sont répertoriés dans le champ Ordinateurs sélectionnés de chaque sous-réseau. A ce stade, vous pouvez modifier manuellement les ordinateurs sélectionnés. Pour changer les ordinateurs sur lesquels les capteurs seront déployés, cliquez sur la ligne correspondante du tableau pour ouvrir la page Vérification des ordinateurs sélectionnés pour ce sous-réseau, puis apportez les modifications qui s'imposent. Cliquez sur Fermer pour enregistrer les changements apportés dans la page Vérification des ordinateurs sélectionnés et revenir à la page Vérification et approbation. 97

98 Déploiement des agents, SuperAgents et capteurs Déploiement de capteurs de détection des systèmes non fiables 4 8 Cliquez sur Déployer maintenant pour lancer le déploiement des capteurs. Après avoir cliqué sur Déployer maintenant pour entamer le déploiement, vous accédez automatiquement à la page Progression des actions de l'onglet Evénements. Le déploiement des capteurs que vous venez de lancer apparaît dans le tableau et le champ Heure de fin n'est pas encore complété, de manière à indiquer que le déploiement est en cours. Figure 4-9 Progression des actions après le lancement d'un déploiement de capteurs epolicy Orchestrator déploie les capteurs la prochaine fois que l'agent installé sur cet ordinateur contactera le serveur epolicy Orchestrator. Pour forcer un déploiement immédiat des capteurs, lancez manuellement un appel immédiat de réactivation de l'agent. Pour lancer un appel immédiat de réactivation de l'agent : 1 Cliquez avec le bouton droit sur le serveur epolicy Orchestrator répertorié dans l'arborescence du Répertoire et sélectionnez Appel de réactivation de l'agent. 2 Dans la boîte de dialogue Appel de réactivation de l'agent, définissez l'option Sélection aléatoire de l'agent à 0 minutes et cliquez sur OK. Patientez quelques instants pendant que l'appel de réactivation de l'agent est initié. Une fois l'installation du capteur terminée, le champ Heure de fin du tableau Progression des actions est actualisé pour afficher la date et l'heure auxquelles l'installation du capteur a été réalisée. Vous pouvez également cliquer sur l'onglet Ordinateurs pour observer le tableau Liste des ordinateurs à mesure que ce dernier est complété par les ordinateurs que les nouveaux capteurs ont détectés sur leurs sous-réseaux. Le capteur doit commencer à détecter les ordinateurs immédiatement après l'installation. Cliquez sur Actualiser à intervalles réguliers pour actualiser la liste des ordinateurs. Plusieurs minutes peuvent être nécessaires pour que le capteur détecte tous les ordinateurs actifs sur le réseau. 98

99 Déploiement des agents, SuperAgents et capteurs Déploiement de capteurs de détection des systèmes non fiables 4 Installation manuelle du capteur Si vous ne souhaitez pas déployer les capteurs de systèmes non fiables à partir de la console epolicy Orchestrator, vous pouvez procéder à une installation manuelle. Pour ce faire, vous devez vous trouver sur l'ordinateur où le capteur doit être installé et disposer de droits d'administrateur sur cet ordinateur. Vous pouvez installer le capteur soit via un Assistant d'installation SETUP.EXE, soit via la ligne de commande. Emplacement du programme d'installation du capteur Le fichier SETUP.EXE et les autres fichiers d'installation du capteur de systèmes non fiables sont situés dans le sous-dossier suivant, sous le dossier d'installation epolicy Orchestrator : <Dossier d'installation>/3.5.0/db/software/current/rogue System Detection_1000/Install/0409 Installation manuelle du capteur à l'aide du fichier SETUP.EXE Copiez l'intégralité du contenu de ce dossier sur un CD ou dans un dossier réseau partagé auquel vous pouvez accéder pendant l'installation du capteur sur les ordinateurs de votre réseau. Pour installer manuellement le capteur de détection des systèmes non fiables : 1 Double-cliquez sur le fichier SETUP.EXE du capteur de détection des systèmes non fiables. 2 Cliquez sur Next (Suivant) dans la boîte de dialogue Welcome to the McAfee Rogue System Detection Sensor Installation Wizard (Bienvenue dans l'assistant d'installation du capteur de détection des systèmes non fiables McAfee). 3 Dans l'écran Destination Folder (Dossier de destination), spécifiez un dossier d'installation et cliquez sur Next (Suivant). Le dossier proposé par défaut est C:\Program Files\Network Associates\Rogue System Detection Sensor. 4 Dans l'écran Rogue System Detection Server Information (Informations sur le serveur de détection des systèmes non fiables), tapez le nom DNS ou l'adresse IP de l'ordinateur hébergeant le serveur de détection des systèmes non fiables dans la zone de texte Server Host Name or IP address (Nom d'hôte ou adresse IP du serveur). 5 Dans la zone de texte Server Port Number (Numéro du port du serveur), tapez le numéro du port utilisé par le serveur de détection des systèmes non fiables pour les communications HTTPS sécurisées. Par défaut, il s'agit du port Remarque Veillez à spécifier le numéro de port correct, tout particulièrement si vous avez configuré le serveur de détection des systèmes non fiables pour qu'il utilise un port autre que le port Par ailleurs, précisez le port utilisé pour les communications sécurisées HTTPS et non pour les communications HTTP classiques. 6 Cliquez sur Next (Suivant) pour accéder à l'écran Ready to Install (Prêt à installer). 7 Cliquez sur Next (Suivant) pour lancer l'installation. 99

100 Déploiement des agents, SuperAgents et capteurs Déploiement de capteurs de détection des systèmes non fiables 4 8 Après l'installation du capteur, cliquez sur Finish (Terminer) pour fermer l'assistant d'installation. 9 Répétez les étapes d'installation du capteur pour les ordinateurs de chaque sous-réseau. Le capteur s'installe automatiquement et s'enregistre comme un service NT sur le client ; il n'est donc pas nécessaire de démarrer le capteur manuellement après l'installation. Le capteur commence la détection après que l'agent installé sur cet ordinateur appelle le serveur epolicy Orchestrator. Toutefois, si vous le souhaitez, vous pouvez lancer le capteur manuellement de sorte qu'il s'affiche dans une fenêtre de commande sur l'ordinateur client. Cela peut se révéler utile dans le cadre d'un dépannage. Pour ce faire après l'installation du capteur, exécutez SENSOR.EXE à partir de la ligne de commande avec l'option d'exécution --console pour ouvrir le capteur dans une boîte de dialogue de commande DOS. Installation via la ligne de commande du capteur de détection des systèmes non fiables Vous pouvez installer le capteur de détection des systèmes non fiables à partir de la ligne de commande. Pour cela, exécutez le programme d'installation SETUP.EXE à partir d'une ligne de commande. Les commutateurs de ligne de commande pris en charge par le capteur de systèmes non fiables sont les suivants : Tableau 4-3 Commutateurs de ligne de commande pour l'installation de capteurs Commu tateur Valeur exemple Description -s N/A Force l'exécution de l'installation en mode silencieux. -x N/A Désinstalle le capteur. -h MonServeur Le nom d'hôte ou l'adresse IP du serveur epolicy Orchestrator. -n 8444 Le numéro du port utilisé par le serveur de détection des systèmes non fiables. -d C:\Program Files\Network Associates Le dossier d'installation où sera installé le capteur de systèmes non fiables. Désinstallation du capteur Il peut arriver que vous deviez supprimer le capteur installé sur certains ordinateurs. Dans ce cas, assurez-vous que vous ne supprimez pas l'unique capteur d'un segment de diffusion réseau donné ; à défaut, epolicy Orchestrator ne sera plus en mesure de détecter des ordinateurs sur ce segment. Si vous supprimez l'unique capteur d'un segment de réseau donné, veillez à en déployer un autre sur un système différent. 100

101 Déploiement des agents, SuperAgents et capteurs Déploiement de capteurs de détection des systèmes non fiables 4 Suppression du capteur à partir de la console au moyen de la tâche de déploiement des capteurs Lorsque vous utilisez la liste des sous-réseaux pour déployer des capteurs de systèmes non fiables sur des ordinateurs à partir du serveur epolicy Orchestrator, epolicy Orchestrator crée une tâche Rogue System Sensor Install (Installation du capteur de systèmes non fiables) pour cet ordinateur. Vous pouvez utiliser cette tâche pour supprimer le capteur, de la même façon que vous utilisez la tâche Deployment par défaut pour supprimer d'un ordinateur client des produits antivirus ou de sécurité du type VirusScan Enterprise. Vous pouvez utiliser la tâche de client Déploiement d'epolicy Orchestrator dans la console pour supprimer un capteur d'un ordinateur spécifique, si le capteur a été déployé via epolicy Orchestrator. Pour utiliser la tâche de déploiement de la console epolicy Orchestrator pour supprimer un capteur : 1 Dans l'arborescence Répertoire d'epolicy Orchestrator, sélectionnez l'ordinateur dont vous voulez supprimer le capteur. 2 Dans le volet de détails supérieur de la console, cliquez sur l'onglet Tâches et double-cliquez sur la tâche Rogue System Sensor Install (Installation du capteur de systèmes non fiables). Figure 4-10 La tâche de déploiement du capteur de systèmes non fiables est distincte de la tâche Deployment par défaut. 3 Dans la boîte de dialogue Planificateur epolicy Orchestrator, désactivez l'option Hériter et assurez-vous que Activer est sélectionné sous Paramètres de planification. 101

102 Déploiement des agents, SuperAgents et capteurs Déploiement de capteurs de détection des systèmes non fiables 4 4 Cliquez sur Paramètres. Figure 4-11 Paramètres de tâche pour la tâche de déploiement de capteur de systèmes non fiables 5 Désactivez Hériter pour activer les options des paramètres de tâche. 6 Désactivez Imposer l'installation du capteur et activez Désinstallation forcée du capteur. 7 Cliquez sur OK pour enregistrer les modifications apportées aux paramètres. 8 Cliquez sur OK pour fermer la boîte de dialogue Planificateur epolicy Orchestrator. L'agent epolicy Orchestrator procédera à la désinstallation du capteur au prochain ASCI. Désinstallation manuelle du capteur via Ajout/Suppression de programmes Il est possible de désinstaller le capteur de détection des systèmes non fiables du client à l'aide de l'utilitaire Ajout/Suppression de programmes de Windows. Pour désinstaller un capteur au moyen de l'utilitaire Ajout/Suppression de programmes de Windows : 1 Ouvrez le Panneau de configuration de Windows, puis cliquez sur Ajout/Suppression de programmes. 2 Dans la boîte de dialogue Propriétés de Ajout/Suppression de programmes, sélectionnez McAfee Rogue System Detection Sensor et cliquez sur Ajouter/Supprimer. 3 Cliquez sur Oui pour lancer la désinstallation. 102

103 Déploiement des agents, SuperAgents et capteurs Déploiement de capteurs de détection des systèmes non fiables 4 Désinstallation manuelle du capteur à partir de la ligne de commande Vous pouvez désinstaller le capteur de détection des systèmes non fiables via la ligne de commande Windows. Lors d'une désinstallation opérée en exécutant SETUP.EXE à partir de la ligne de commande, veillez à spécifier le commutateur -x pour désinstaller le capteur. L'usage conjoint des commutateurs -x -s sur la ligne de commande permet de désinstaller le capteur en mode silencieux. 103

104 5 Déploiement de logiciels antivirus et de sécurité Installation de produits sur les ordinateurs à l'aide d'epolicy Orchestrator epolicy Orchestrator permet non seulement de gérer des produits antivirus et de sécurité installés sur des clients, mais également d'effectuer un déploiement centralisé de ces produits (c'est-à-dire une installation) à partir du serveur epolicy Orchestrator. Vous pouvez en effet utiliser ce dernier pour envoyer le package de déploiement d'un produit vers des ordinateurs clients sur le réseau. Le package de déploiement installe ensuite le logiciel sur le client. Lorsque les produits (VirusScan Enterprise ou Desktop Firewall par exemple) sont installés sur l'ordinateur client, epolicy Orchestrator vous permet d'assurer leur gestion. Vous pouvez ainsi, entre autres, planifier des mises à jour de fichiers DAT ou des tâches d'analyse. Pour ce faire, il vous suffit de définir vos propres stratégies avant le déploiement ou d'utiliser les stratégies proposées par défaut, que vous modifiez après le déploiement. Contenu de ce chapitre # A propos du déploiement de produits à l'aide d'epolicy Orchestrator # Archivage de packages de déploiement de produit dans le référentiel maître # Archivage de fichiers NAP pour la gestion de nouveaux produits # Installation de produits sur les ordinateurs clients à l'aide de la tâche de déploiement Informations absentes de ce chapitre Cette section expose les grandes lignes de l'utilisation d'epolicy Orchestrator pour le déploiement et la gestion de produits antivirus et de sécurité. Elle passe en revue les procédures de base servant à déployer des packages de produit et à exploiter l'interface d'epolicy Orchestrator pour configurer des stratégies de produit. Elle aborde enfin la création de tâches qui seront exécutées sur les ordinateurs clients. Par contre, nous ne présentons ici aucune information détaillée sur les diverses options de stratégie ou de tâche spécifiques à chaque produit. Pour plus de renseignements sur la configuration des stratégies et des tâches de client destinées à un produit spécifique géré via epolicy Orchestrator, consultez le Guide de configuration du produit concerné. Bien que les stratégies interviennent également dans la gestion des agents epolicy Orchestrator déployés sur le réseau, ce sujet n'est pas abordé ici, mais bien dans la section consacrée aux agents. Pour plus d'informations sur le déploiement des agents, consultez le chapitre 4, Déploiement des agents, SuperAgents et capteurs. 104

105 Déploiement de logiciels antivirus et de sécurité A propos du déploiement de produits à l'aide d'epolicy Orchestrator 5 A propos du déploiement de produits à l'aide d'epolicy Orchestrator Vous pouvez utiliser epolicy Orchestrator pour déployer des produits antivirus et de sécurité tels que VirusScan Enterprise, Desktop Firewall ou GroupShield sur les ordinateurs clients de votre réseau. Pour cela, vous devez au préalable archiver un type de fichier spécial, appelé fichier catalogue de package, pour chaque produit que vous souhaitez déployer à l'aide d'epolicy Orchestrator. Celui-ci contient les fichiers d'installation du produit client, compressés dans un format sécurisé, qu'epolicy Orchestrator diffuse vers les ordinateurs clients en vue de l'installation. Ainsi, le déploiement des produits sur les ordinateurs clients à l'aide d'epolicy Orchestrator s'effectue en deux étapes : 1 Archivage de packages de déploiement de produit dans le référentiel maître 2 Installation de produits sur les ordinateurs clients à l'aide de la tâche de déploiement Vous ne devez suivre ces étapes que si vous avez l'intention d'utiliser epolicy Orchestrator pour déployer de manière centralisée les produits sur les ordinateurs clients gérés. Si vous comptez recourir à une autre méthode de déploiement et ne souhaitez utiliser epolicy Orchestrator que pour gérer les stratégies de produits déjà installés, vous pouvez passer directement à la section suivante. Autres méthodes de déploiement de produits sur les clients Il se peut que, dans certaines circonstances, vous ne souhaitiez ou ne pouviez pas utiliser epolicy Orchestrator pour déployer des produits ou des agents sur les ordinateurs clients à gérer. Ainsi, il est possible, par exemple, qu'un autre département que le vôtre au sein de votre organisation se charge de l'installation des logiciels clients. De ce cas, vous prévoyez d'utiliser epolicy Orchestrator dans le seul but de gérer les stratégies pour les produits installés. De même, si vous maîtrisez bien d'autres outils réseau, tels que Microsoft SMS ou Tivoli, vous préférerez peut-être les utiliser pour installer les produits sur les ordinateurs clients. Vous pouvez également choisir d'installer les produits manuellement ou à l'aide de scripts de login réseau. Vous pouvez adopter n'importe laquelle de ces méthodes pour déployer les produits sur les ordinateurs clients, et utiliser ensuite epolicy Orchestrator pour gérer ces produits après leur installation. La suite de cette section détaille uniquement la procédure de déploiement de logiciels sur les clients à l'aide d'epolicy Orchestrator. Archivage de packages de déploiement de produit dans le référentiel maître Vous devez archiver au préalable dans le référentiel maître les fichiers de package de déploiement de produit PKGCATALOG.Z, pour pouvoir ensuite les déployer à l'aide d'epolicy Orchestrator. Vous pouvez effectuer cet archivage manuellement. 105

106 Déploiement de logiciels antivirus et de sécurité Archivage de packages de déploiement de produit dans le référentiel maître 5 Packages de déploiement de produit inclus dans l'installation initiale du serveur epolicy Orchestrator Lorsque vous installez le serveur et la console epolicy Orchestrator, seuls les deux packages de déploiement suivants sont fournis en vue d'une installation à l'aide d'epolicy Orchestrator : # Agent epolicy Orchestrator # System Compliance Profiler Si vous souhaitez déployer (c'est-à-dire installer) un autre logiciel via epolicy Orchestrator, vous devez d'abord archiver le package de déploiement correspondant. Emplacement du fichier PKGCATALOG.Z Les packages de déploiement de produit se présentent sous la forme de fichiers catalogue de package (PKGCATALOG.Z). Chaque produit distribué par McAfee Security et pouvant être déployé à l'aide d'epolicy Orchestrator comprend un fichier PKGCATALOG.Z. Généralement, ce dernier se situe dans le même dossier que les autres fichiers d'installation du produit, soit sur le CD du produit, soit dans le fichier.zip d'installation, disponible sur le site de téléchargement de McAfee. Figure 5-1 Présence du fichier PKGCATALOG.Z dans le fichier.zip téléchargé depuis le site web de McAfee Utilisation de McAfee Installation Designer pour créer un package de déploiement personnalisé de VirusScan Enterprise Comme tous les packages de déploiement de produit créés par McAfee Security et fournis avec les distributions correspondantes, le package de VirusScan Enterprise s'installe sur les ordinateurs clients selon une configuration par défaut. Vous pouvez, le cas échéant, altérer radicalement ces paramètres conformément à vos besoins. Une méthode consiste à les modifier dans les pages de stratégie d'epolicy Orchestrator, après avoir installé VirusScan Enterprise sur les ordinateurs clients du réseau. 106

107 Déploiement de logiciels antivirus et de sécurité Archivage de packages de déploiement de produit dans le référentiel maître 5 Toutefois, il peut se révéler plus efficace de créer un package de déploiement personnalisé de VirusScan Enterprise, incluant tous les paramètres adaptés à vos besoins. Pour ce faire, vous devez utiliser McAfee Installation Designer. Cet utilitaire proposé gratuitement par McAfee Security vous permet de créer des packages de déploiement personnalisés pour VirusScan Enterprise. Conseil La création d'un package de déploiement personnalisé de VirusScan Enterprise peut s'avérer utile lors d'un déploiement de grande envergure, qui requiert en outre de nombreuses modifications des paramètres du produit. Si vous intégrez toutes ces modifications dans le package, vous pouvez limiter le trafic réseau car il devient alors inutile d'envoyer les changements de stratégies du serveur epolicy Orchestrator vers l'agent par le réseau. Veillez à modifier aussi les stratégies. Si vous décidez d'utiliser un package de déploiement personnalisé, n'oubliez pas de modifier les stratégies VirusScan Enterprise dans les pages correspondantes de la console epolicy Orchestrator avant le déploiement. Sinon,, l'agent situé sur l'ordinateur client remplacera tous les paramètres personnalisés par la configuration par défaut. McAfee Installation Designer crée un fichier PKGCATALOG.Z file contenant tous les paramètres personnalisés pour VirusScan Enterprise. Il vous suffit d'archiver ce package dans le référentiel maître pour que le déploiement du produit s'effectue à l'aide d'epolicy Orchestrator. L'utilitaire gratuit McAfee Installation Designer est disponible sur le CD du produit VirusScan Enterprise ou sur le site web de McAfee. Signature de packages et sécurité Tous les packages créés et distribués par Network Associates sont signés à l'aide d'une paire de clés utilisant le système de vérification de signature DSA (Digital Signature Algorithm) et sont cryptés à l'aide d'un cryptage 3DES 168 bits. Une clé est utilisée pour crypter ou décrypter les données sensibles. Vous êtes averti lorsque vous archivez des packages non signés par Network Associates. Si vous êtes sûr du contenu et de la validité du package, poursuivez l'archivage. Ces packages sont sécurisés de la manière décrite ci-dessus mais sont signés par epolicy Orchestrator lors de l'archivage. L'utilisation de signatures numériques garantit que les packages proviennent de Network Associates ou ont été archivés par vous-même et qu'ils n'ont pas été falsifiés ou corrompus. L'agent approuve uniquement les fichiers catalogue de package signés par epolicy Orchestrator ou Network Associates. Ainsi, votre réseau est à l'abri de mises à jour provenant de sources non fiables ou sans signature. Classement et dépendances des packages Si la mise à jour d'un produit dépend d'une autre mise à jour, vous devez archiver les packages correspondants dans le référentiel maître selon l'ordre qui convient. Par exemple, si le patch 2 nécessite le patch 1, vous devez archiver le patch 1 avant le patch 2. Une fois les packages archivés, leur ordre ne peut plus être modifié. Vous devez les retirer, puis les archiver à nouveau dans l'ordre correct. Si vous archivez un package qui remplace un package existant, le package existant est retiré automatiquement. 107

108 Déploiement de logiciels antivirus et de sécurité Archivage de packages de déploiement de produit dans le référentiel maître 5 Archivage des packages de produit PKGCATALOG.Z dans le référentiel maître Seul un administrateur global est autorisé à archiver des packages de déploiement de produit. Remarque Vous ne pouvez pas archiver des packages dans le référentiel maître si des tâches d'extraction ou de réplication sont en cours. Voir Utilisation de tâches d'extraction pour mettre à jour le référentiel maître à partir d'un référentiel source à la page 125 et Réplication du contenu du référentiel maître sur les référentiels distribués à la page 163 pour plus d'informations. Pour archiver un package de déploiement de produit : 1 Localisez le fichier catalogue de package PKGCATALOG.Z à archiver. Voir à ce propos la section Emplacement du fichier PKGCATALOG.Z à la page Copiez la totalité du contenu du dossier comprenant le catalogue de package, et non le seul fichier PKGCATALOG.Z, et enregistrez-le dans un dossier temporaire sur le serveur epolicy Orchestrator. Attention Vous devez copier tous les fichiers contenus dans le dossier PKGCATALOG.Z. Si vous copiez le fichier PKGCATALOG.Z uniquement, l'archivage échouera. 3 Dans l'arborescence de la console epolicy Orchestrator, sélectionnez Référentiel. 4 Dans le volet de détails situé sur la droite, sous Tâches AutoUpdate, cliquez sur Archiver un package pour lancer l'assistant d'archivage de packages. Figure 5-2 Début de l'archivage d'un package de déploiement de produit dans le référentiel maître 5 Cliquez sur Suivant pour ouvrir la boîte de dialogue Type de package. 6 Cliquez sur l'option Produits ou mises à jour pour le type de package, puis cliquez sur Suivant. 108

109 Déploiement de logiciels antivirus et de sécurité Archivage de packages de déploiement de produit dans le référentiel maître 5 7 Tapez le chemin d'accès complet ou cliquez sur Parcourir pour localiser le fichier catalogue de package PKGCATALOG.Z que vous avez enregistré dans un dossier temporaire à l'étape 1. 8 Cliquez sur Suivant pour consulter les informations de synthèse sur l'archivage du package. 9 Cliquez sur Terminer pour commencer l'archivage du package. Patientez quelques minutes pendant le déroulement de l'opération. 10 Cliquez sur Fermer une fois le package archivé. Vérification des packages de produit présents dans le référentiel maître Après l'archivage, vous pouvez vérifier que le package et la version corrects du produit ont été ajoutés au référentiel maître. Pour ce faire : 1 Dans l'arborescence Répertoire de la console epolicy Orchestrator, accédez à Référentiel Référentiels de logiciels Maître. Figure 5-3 Vérification de l'ajout d'un package de déploiement au référentiel 2 Dans le volet de détails de droite, parcourez la liste et identifiez-y le nom et la version du produit correspondant au package que vous avez ajouté. Réplication de packages archivés dans le référentiel maître sur les référentiels distribués Si votre réseau compte des référentiels distribués, veillez à répliquer le référentiel maître de sorte que les packages de déploiement qu'il contient soient copiés vers l'ensemble des référentiels distribués. Lorsque vous exécutez la tâche de déploiement epolicy Orchestrator pour déployer un produit sur des ordinateurs clients, les clients qui reçoivent les mises à jour depuis un référentiel distribué obtiennent également le package de produit au départ de ce référentiel plutôt que du référentiel maître. Pour plus d'informations sur les référentiels distribués et la réplication vers ce type de référentiel, voir le chapitre 7, Mise à jour de réseaux de grande taille à l'aide de référentiels distribués. 109

110 Déploiement de logiciels antivirus et de sécurité Archivage de fichiers NAP pour la gestion de nouveaux produits 5 Archivage de fichiers NAP pour la gestion de nouveaux produits L'installation du serveur epolicy Orchestrator intègre une série de pages de stratégie relatives aux principaux produits pris en charge et disponibles au moment de la distribution de votre version d'epolicy Orchestrator. Il est probable que vous souhaitiez par la suite gérer de nouveaux logiciels ou des versions plus récentes de produits existants à l'aide d'epolicy Orchestrator. Pour cela, vous devez au préalable ajouter au référentiel de logiciels le fichier NAP correspondant à tout nouveau produit ou version. Imaginons que McAfee Security distribue une nouvelle version de VirusScan Enterprise ou de Desktop Firewall. Pour pouvoir déployer cette version sur le réseau et la gérer à l'aide d'epolicy Orchestrator, vous devez suivre la procédure décrite dans cette section. Emplacement du fichier *.NAP correspondant à un nouveau produit à ajouter au référentiel McAfee Security distribue des fichiers NAP pour l'ensemble des produits antivirus et de sécurité pris en charge par epolicy Orchestrator. Le fichier NAP d'un produit donné se situe, à l'instar des autres fichiers d'installation, sur le CD du produit ou dans le fichier ZIP téléchargé depuis le site web de McAfee. Le fichier NAP présente toujours une extension.nap, précédée du code du nom de produit et de son numéro de version. Par exemple : VSE750.NAP pour VirusScan Enterprise 7.5 ou DFW800.NAP pour Desktop Firewall 8.0. Les pages de stratégie ne sont pas ajoutées au référentiel maître ; elles sont stockées sur le serveur epolicy Orchestrator. Par conséquent, les fichiers NAP ne sont pas répliqués sur les référentiels distribués ni mis à jour sur les ordinateurs clients. Pour archiver un fichier NAP sur le serveur epolicy Orchestrator : 1 Localisez le fichier NAP pertinent, sur le CD du produit ou dans le fichier ZIP téléchargé depuis le site web de McAfee, puis enregistrez-le dans un dossier temporaire accessible à partir du serveur epolicy Orchestrator. 2 Dans l'arborescence du volet gauche de la console epolicy Orchestrator, sélectionnez Référentiel. 3 Sélectionnez Archiver NAP dans le volet de droite. Figure 5-4 Archivage du fichier NAP de VirusScan Enterprise

111 Déploiement de logiciels antivirus et de sécurité Installation de produits sur les ordinateurs clients à l'aide de la tâche de déploiement 5 4 Dans l'assistant de configuration du Référentiel de logiciels, sélectionnez Ajouter de nouveaux logiciels à gérer et cliquez sur Suivant. 5 Dans la boîte de dialogue Sélectionner un ensemble de logiciels, recherchez le fichier NAP qui vous avez enregistré dans un dossier temporaire sur le disque dur (étape 1), sélectionnez-le puis cliquez sur OK. Patientez quelques instants pendant qu'epolicy Orchestrator charge le fichier NAP du produit. Son chargement terminé, le fichier apparaît dans la liste des stratégies. Installation de produits sur les ordinateurs clients à l'aide de la tâche de déploiement Lorsque le package de produit est archivé, vous pouvez utiliser la tâche de déploiement sur les ordinateurs clients, pour que le serveur epolicy Orchestrator installe le produit sur les postes renseignés sous l'arborescence Répertoire. Il s'agit d'une tâche de client particulière, créée automatiquement lors de l'installation d'epolicy Orchestrator, et qui vous permet d'installer n'importe quel produit pouvant être déployé à l'aide d'epolicy Orchestrator. Pour plus d'informations sur d'autres tâches de client ou sur ces tâches en général, reportez-vous à la section Configuration de tâches de client : analyses à la demande et mises à jour à la page 203. Vous pouvez utiliser la tâche de déploiement pour installer les produits dont le fichier de package de déploiement est déjà archivé. Voir Archivage de packages de déploiement de produit dans le référentiel maître à la page 105. Proportion du Répertoire à déployer en une fois Vous pouvez exécuter la tâche de déploiement sur n'importe quel site, groupe ou ordinateur compris sous l'arborescence Répertoire. Bien qu'il soit possible d'exécuter la tâche de déploiement simultanément pour l'ensemble du Répertoire, McAfee Security vous déconseille de procéder de la sorte. Cette recommandation s'adresse tout particulièrement aux entreprises de grande taille qui envisagent de déployer des produits pour postes de travail tels que VirusScan Enterprise ou Desktop Firewall. Dans un tel cas de figure, le déploiement concerne des dizaines de milliers d'ordinateurs clients. Non seulement vous risquez de submerger le serveur epolicy Orchestrator ou le réseau, mais le nombre d'ordinateurs impliqués pourrait compliquer outre mesure les éventuels dépannages nécessaires. Il est préférable de prévoir un déploiement graduel sur les postes de travail, en n'installant les produits que sur quelques groupes d'ordinateurs à la fois. Si vous disposez de liaisons rapides sur le réseau, vous pouvez envisager un déploiement simultané sur plusieurs centaines d'ordinateurs clients. Avec des connexions plus lentes ou peu fiables, optez pour des groupes de plus petite taille. Pour chaque groupe, surveillez le déploiement, vérifiez à l'aide de rapports que les installations ont réussi et résolvez tout problème qui pourrait survenir au niveau de chaque ordinateur. Pour plus d'informations sur les rapports, voir le chapitre 13, Rapports Mise en route. 111

112 Déploiement de logiciels antivirus et de sécurité Installation de produits sur les ordinateurs clients à l'aide de la tâche de déploiement 5 Déploiement de produits serveur sur certains ordinateurs Si vous choisissez de déployer des produits serveur de McAfee tels que GroupShield pour les serveurs de messagerie ou WebShield pour les serveurs de passerelles, il est probable que seuls certains ordinateurs particuliers du Répertoire seront concernés par le déploiement, plutôt que des groupes ou des sites. En règle générale, un site comporte un nombre limité de serveurs de ce type, voire un seul. Déploiement de produits à l'aide de la tâche de déploiement de produit Pour déployer des produits à l'aide de la tâche appropriée : 1 Dans l'arborescence du volet gauche de la console epolicy Orchestrator, sélectionnez sous Répertoire le site, le groupe ou l'ordinateur sur lequel vous souhaitez déployer le produit. 2 Dans le volet de détails de droite, sélectionnez l'onglet Tâche puis, dans la liste des tâches, double-cliquez sur la tâche Deployment. Figure 5-5 Sélection de la tâche Deployment pour le noeud sélectionné sous le Répertoire 3 A l'ouverture du Planificateur epolicy Orchestrator, cliquez sur l'onglet Tâche. Sous Paramètres de planification, désactivez l'option Hériter. Figure 5-6 Activation de la tâche Deployment 112

113 Déploiement de logiciels antivirus et de sécurité Installation de produits sur les ordinateurs clients à l'aide de la tâche de déploiement 5 4 Sous Paramètres de planification, sélectionnez Activer (la tâche planifiée s'exécute à une heure indiquée). Pour que la tâche s'exécute, vous devez impérativement activer cette case à cocher. 5 Cliquez sur le bouton Paramètres. 6 Sur la page Planificateur epolicy Orchestrator, désactivez l'option Hériter pour activer les options de déploiement de produits. La liste Options de déploiement du produit indique les produits disponibles que vous pouvez déployer à l'aide d'epolicy Orchestrator. Il s'agit des produits pour lesquels vous avez déjà archivé le fichier PKGCATALOG.Z dans le référentiel maître. Si le produit que vous souhaitez déployer n'apparaît pas dans la liste, vous devez archiver au préalable le fichier de package PKGCATALOG.Z correspondant. Voir Archivage de packages de déploiement de produit dans le référentiel maître à la page Définissez Installer comme action à entreprendre pour le produit à déployer. Figure 5-7 Définition de la valeur Installer sous Action pour les produits à installer lorsque la tâche de déploiement est exécutée 8 Pour spécifier des options d'installation à partir de la ligne de commande, cliquez sur et tapez les options dans la zone de texte Ligne de commande. Pour plus d'informations sur les options de ligne de commande, consultez la documentation relative à votre produit. 9 Cliquez sur OK pour enregistrer les options de déploiement et revenir à la boîte de dialogue Planificateur epolicy Orchestrator. 10 Quand la boîte de dialogue Planificateur epolicy Orchestrator apparaît, sélectionnez l'onglet Planifier. 11 Désactivez l'option Hériter pour activer les options de planification. 12 Pour exécuter une seule fois la tâche, sélectionnez Exécuter maintenant dans la liste déroulante Planifier la tâche. Vous pouvez également planifier une exécution ultérieure de la tâche. 113

114 Déploiement de logiciels antivirus et de sécurité Installation de produits sur les ordinateurs clients à l'aide de la tâche de déploiement 5 13 Cliquez sur OK pour enregistrer les modifications. Dans la liste des tâches située sous l'onglet Tâches dans le volet de détails, la valeur Vrai est définie pour l'état Activé de la tâche de déploiement. Figure 5-8 Tâche de déploiement de VirusScan configurée et activée Le déploiement, une fois configuré, s'exécute la prochaine fois que les agents interrogent le serveur epolicy Orchestrator afin d'obtenir de nouvelles instructions. En outre, si vous souhaitez déployer immédiatement le produit, vous pouvez exécuter un appel de réactivation de l'agent. Pour plus d'informations sur les appels de réactivation d'agent, reportez-vous à la section Envoi d'appels de réactivation de l'agent manuels à la page

115 SECTION 2 Création d'une infrastructure de mise à jour Une protection antivirus n'est efficace que si ses dernières mises à jour le sont. Vous pouvez utiliser des référentiels sources, maîtres et distribués pour vous assurer qu'à travers tout le réseau, vos ordinateurs clients peuvent utiliser pour leurs mises à jour les dernières versions des fichiers DAT, des moteurs, des patchs logiciels et des mises à niveau. Tout particulièrement si votre réseau est très étendu ou présente une architecture complexe, la création d'une infrastructure de référentiels de mise à jour à la fois efficace et fiable est une procédure longue, qui nécessite en outre une planification soigneuse. Cependant, une fois cette infrastructure mise en place, les mises à jour peuvent pratiquement s'exécuter en pilote automatique. De plus, et surtout, une infrastructure de mise à jour performante est essentielle pour affronter efficacement les attaques virales. Chapitre 6, Tenue à jour des fichiers DAT et des moteurs Chapitre 7, Mise à jour de réseaux de grande taille à l'aide de référentiels distribués

116 6 Tenue à jour des fichiers DAT et des moteurs Configuration des référentiels de logiciels et des tâches pour un déploiement régulier des mises à jour Le déploiement d'agents et de produits antivirus sur tous les ordinateurs de votre réseau ne constitue qu'une première étape d'une politique efficace de protection contre les virus et le code malveillant. Votre logiciel antivirus n'est véritablement performant que s'il dispose du moteur d'analyse et des fichiers de signatures de virus (DAT) les plus récents. Si ces derniers sont obsolètes, même le meilleur logiciel antivirus ne sera pas en mesure de détecter les nouveaux virus. Il est donc essentiel de mettre au point une stratégie de mise à jour à toute épreuve, pour que les clients de votre réseau disposent toujours des dernières versions des fichiers DAT et du moteur antivirus. L'architecture d'epolicy Orchestrator, structurée autour de référentiels de logiciels, vous simplifie la tâche en vous permettant d'automatiser de nombreux aspects de la distribution des mises à jour de fichiers DAT et de moteurs sur les ordinateurs clients de votre réseau. Vous pouvez configurer et exécuter de nombreuses tâches de mise à jour par lesquelles vous contrôlez la manière et la fréquence dont les mises à jour des clients sont appliquées. Vous pouvez également planifier l'exécution de ces tâches à des moments précis ou à des intervalles réguliers pour automatiser complètement la mise à jour hebdomadaire normale des fichiers DAT. Conseil La conception d'une architecture de mise à jour efficace vous permettra de gagner un temps précieux par la suite... Il vous faudra sans doute un certain temps pour identifier clairement la manière optimale d'utiliser epolicy Orchestrator pour mettre à jour les fichiers DAT et les moteurs d'analyse sur les clients de votre réseau. McAfee Security vous recommande dès lors de concentrer vos efforts sur la phase initiale de planification de votre stratégie de mise à jour. La mise en place d'une architecture efficace vous permettra d'exploiter au mieux vos logiciels antivirus, et vous serez mieux armé pour vous défendre en cas d'épidémie virale. Contenu de ce chapitre Ce chapitre traite principalement de la configuration de vos référentiels maître et source dans la perspective de la tenue à jour des fichiers DAT et des moteurs. Il étudie en outre les tâches de client utilisées pour distribuer les mises à jour requises aux ordinateurs clients. Le chapitre suivant aborde la création de référentiels distribués. Ceux-ci permettent d'optimiser l'efficacité de la mise à jour sur le réseau, particulièrement dans le cas d'une organisation de grande taille ou très étendue géographiquement. Toutefois, que vous décidiez d'utiliser ou non des référentiels distribués, la première étape consiste à configurer vos référentiels maître et source. Vous pourrez ensuite créer et configurer les référentiels distribués si vos besoins l'exigent. Pour plus d'informations sur les référentiels distribués, voir le chapitre 7, Mise à jour de réseaux de grande taille à l'aide de référentiels distribués. 116

117 Tenue à jour des fichiers DAT et des moteurs A propos des référentiels maître, source et de secours 6 Ce chapitre aborde les sujets suivants : # A propos des référentiels maître, source et de secours # Définition d'un référentiel source pour la mise à jour des fichiers DAT et des moteurs # Utilisation de tâches d'extraction pour mettre à jour le référentiel maître à partir d'un référentiel source # Archivage manuel des mises à jour des fichiers DAT, EXTRA.DAT et de moteur # Distribution des mises à jour de fichiers DAT et de moteur aux clients # Evaluation des nouveaux fichiers DAT et des moteurs avant leur déploiement dans toute l'organisation A propos des référentiels maître, source et de secours Cette section traite de la relation entre les référentiels de logiciels maître, source et de secours. Il est probable que vous utiliserez les trois pour créer une stratégie de mise à jour efficace, offrant suffisamment de redondance pour garantir à vos clients les mises à jour de fichiers DAT lorsqu'ils en ont besoin. Figure 6-1 Relation entre les référentiels maître, source et de secours 117

118 Tenue à jour des fichiers DAT et des moteurs A propos des référentiels maître, source et de secours 6 Référentiel maître Le référentiel de logiciels maître est l'emplacement centralisé où vous assurez la maintenance des dernières versions des logiciels de sécurité réseau et antivirus déployés et gérés avec epolicy Orchestrator. Les ordinateurs clients sont configurés pour extraire régulièrement les mises à jour, telles que des nouveaux fichiers DAT, patchs et Service Packs pour les logiciels antivirus, à partir du référentiel maître. Il ne peut exister qu'un seul référentiel maître par serveur epolicy Orchestrator. Référentiel source Vous devez mettre régulièrement à jour votre référentiel maître avec les derniers fichiers DAT complets et de moteur à partir d'un référentiel source. McAfee Security distribue chaque semaine des fichiers DAT mis à jour pour combattre les nouveaux virus et vous devez veiller à ce que le référentiel maître dispose toujours des dernières versions de ces composants avant d'utiliser epolicy Orchestrator pour les distribuer sur les clients. Le référentiel source epolicy Orchestrator par défaut est le site de téléchargement FTP de McAfee, mais il est possible de le modifier, voire d'en configurer plusieurs si nécessaire. Les référentiels sources ne sont pas obligatoires. Vous pouvez télécharger les mises à jour des fichiers DAT et des moteurs et les archiver manuellement dans votre référentiel maître. Toutefois, le recours à un référentiel source, notamment les référentiels sources NAIHttp ou NAIFtp par défaut, permet d'automatiser ce processus. Référentiel de secours Il peut arriver que les ordinateurs clients ne puissent pas accéder aux référentiels maîtres ou distribués pour obtenir les mises à jour, à cause de pannes réseau ou de serveurs, attaques virales, etc. Le référentiel de secours est l'emplacement à partir duquel les ordinateurs clients peuvent, dans des situations d'urgence, obtenir des mises à jour de fichiers DAT ou de moteur lorsqu'ils ne peuvent pas se les procurer ailleurs. De cette façon, même si votre référentiel maître est inaccessible, les ordinateurs clients peuvent rester à jour. Le référentiel de secours par défaut est le site de téléchargement FTP de McAfee Security (NAIFtp). Vous ne pouvez spécifier qu'un seul référentiel de secours. 118

119 Tenue à jour des fichiers DAT et des moteurs A propos des référentiels maître, source et de secours 6 Tenue à jour des moteurs et des fichiers DAT dans le référentiel maître Le référentiel maître contient plusieurs types de données que vous ajoutez de différentes façons. Figure 6-2 Extraction des mises à jour de moteur et de fichiers DAT à partir du référentiel source ou archivage manuel dans le référentiel maître # Fichiers de mise à jour des fichiers DAT et des moteurs de votre logiciel antivirus : ceux-ci peuvent être extraits d'un référentiel source, comme le site web McAfee Security, ou archivés manuellement dans le référentiel maître. # Packages de produit et de mise à jour de produit, à distribuer aux ordinateurs clients via epolicy Orchestrator : ils peuvent inclure des packages d'installation de produit, comme pour VirusScan Enterprise. Ils peuvent également comprendre des patchs, des Service Packs et d'autres mises à jour de ces produits. # Pages NAP (Network Associates Policy), utilisées pour gérer les produits clients tels que VirusScan Enterprise ou Desktop Firewall. Pour plus d'informations sur l'archivage et la gestion des packages de produit, reportez-vous à la section Archivage manuel des mises à jour des fichiers DAT, EXTRA.DAT et de moteur à la page 131. A propos des branches de référentiel Vous pouvez gérer trois versions, ou branches, des fichiers DAT ou de moteur dans vos référentiels maîtres ou distribués. Les branches du référentiel sont respectivement nommées Actuels, Précédents ou Evaluation. Par défaut, epolicy Orchestrator utilise uniquement la branche Actuels. Vous pouvez spécifier des branches au moment où vous ajoutez des packages à votre référentiel maître. Vous pouvez également en définir lorsque vous exécutez ou planifiez des tâches de mise à jour et de déploiement afin de distribuer ces différentes versions à des segments distincts de votre réseau. 119

120 Tenue à jour des fichiers DAT et des moteurs Définition d'un référentiel source pour la mise à jour des fichiers DAT et des moteurs 6 Branche Actuels Il s'agit de la branche de référentiel principale pour tous les packages. Les packages de déploiement de produit, par exemple celui destiné à l'installation de VirusScan Enterprise sur les clients, ne peuvent être ajoutés qu'à la branche Actuels. Branche Evaluation Il se peut que vous souhaitiez tester les nouvelles mises à jour de fichiers DAT et de moteurs sur un petit nombre de clients ou dans un ou deux segments du réseau avant de les déployer dans toute l'organisation. Spécifiez la branche Evaluation lors de l'archivage des nouveaux fichiers DAT et moteurs dans le référentiel maître, puis déployez-les sur un petit nombre d'ordinateurs de test. Après avoir surveillé le fonctionnement de ces ordinateurs pendant plusieurs heures, vous pouvez ajouter les nouveaux fichiers DAT à votre branche Actuels et les déployer dans toute l'organisation. Pour plus de détails sur l'utilisation de la branche Evaluation, reportez-vous à la section Evaluation des nouveaux fichiers DAT et des moteurs avant leur déploiement dans toute l'organisation à la page 145. Branche Précédents Lorsque vous utilisez cette branche, epolicy Orchestrator enregistre les fichiers DAT et de moteur de la semaine précédente dans un dossier Précédents, avant d'ajouter les nouveaux fichiers à la branche Actuels. De cette façon, en cas de problème avec les nouveaux fichiers DAT et de moteur, vous disposez d'une copie des versions précédentes que vous pouvez redéployer sur vos clients le cas échéant. epolicy Orchestrator enregistre uniquement la version qui précède directement la nouvelle version de chaque type de fichier, et non toutes les versions précédentes. Vous pouvez activer la fonctionnalité de la branche Précédents en sélectionnant Déplacer les packages existants vers la branche 'Précédents' lorsque vous ajoutez les nouveaux fichiers DAT et de moteur à votre référentiel maître. L'option est disponible lorsque vous extrayez des mises à jour d'un référentiel source ou lorsque vous archivez manuellement les packages dans le référentiel maître. Pour plus d'informations, voir la section Archivage manuel des mises à jour des fichiers DAT, EXTRA.DAT et de moteur à la page 131. Définition d'un référentiel source pour la mise à jour des fichiers DAT et des moteurs Le référentiel source est l'emplacement à partir duquel vous mettez à jour votre référentiel maître avec les nouveaux fichiers DAT et de moteur. McAfee Security publie régulièrement (au moins une fois par semaine) des fichiers DAT mis à jour sur ses sites web HTTP et FTP. Les fichiers DAT standard sont généralement publiés le mercredi soir (GMT) de chaque semaine, voire plusieurs fois par semaine lors de la découverte de nombreux nouveaux virus. Il est essentiel de mettre à jour le référentiel maître avec ces nouveaux fichiers DAT dès qu'ils sont distribués par McAfee. 120

121 Tenue à jour des fichiers DAT et des moteurs Définition d'un référentiel source pour la mise à jour des fichiers DAT et des moteurs 6 La méthode la plus efficace pour être assuré d'obtenir les fichiers le plus rapidement possible consiste à configurer epolicy Orchestrator de sorte qu'il extraie directement les nouveaux fichiers DAT du site web McAfee. Pour ce faire, faites du site web McAfee le référentiel source. Par défaut, le référentiel source epolicy Orchestrator est le site web de téléchargement HTTP de Network Associates (NAIHttp), à l'adresse suivante : Le site web McAfee contient uniquement des fichiers DAT et de moteur. Il ne contient pas de fichiers EXTRA.DAT, de packages de déploiement de produit, de Service Packs ou d'autres types de mises à jour. Définition ou modification des référentiels sources et de secours par défaut Vous devez être administrateur global pour définir, modifier ou supprimer des référentiels sources ou de secours. Vous pouvez modifier ou supprimer des référentiels sources existants ou le référentiel de secours. Pour afficher ou modifier les configurations de vos référentiels sources et de secours : 1 Dans l'arborescence du volet gauche de la console epolicy Orchestrator, sélectionnez Référentiel. 2 Dans le volet de détails de droits, sélectionnez Référentiel source pour accéder à la boîte de dialogue Référentiels source et de secours. La page Référentiels source et de secours répertorie les référentiels sources et de secours que vous avez configurés. Par défaut, le référentiel de secours est le site FTP McAfee et le référentiel source le site HTTP McAfee. McAfee Security recommande de conserver les référentiels source et de secours définis par défaut à moins d'avoir une bonne raison de les modifier. Figure 6-3 Modification des référentiels sources et de secours existants définis par défaut 121

122 Tenue à jour des fichiers DAT et des moteurs Définition d'un référentiel source pour la mise à jour des fichiers DAT et des moteurs 6 Modification des référentiels sources ou de secours existants Modifiez l'adresse URL, le numéro de port et les références d'authentification du téléchargement associés aux référentiels sources ou au référentiel de secours existants. S'il est nécessaire d'éditer les paramètres de configuration des référentiels sources ou de secours, vous pouvez le faire dans la page Référentiels source et de secours. Pour ce faire : 1 Dans la liste de la page Référentiels source et de secours, sélectionnez le référentiel à modifier. 2 Cliquez sur Modifier pour ouvrir la boîte de dialogue Modifier le référentiel. 3 Modifiez les informations de configuration comme il convient. 4 Dans l'onglet Options, cliquez sur Vérifier pour vous assurer que le serveur epolicy Orchestrator est en mesure de localiser le référentiel source. 5 Après quoi, cliquez sur OK pour enregistrer vos modifications. Inversion d'un référentiel source et d'un référentiel de secours Selon votre configuration de réseau, il se peut que la mise à jour via HTTP ou FTP fonctionne mieux. Par conséquent, vous déciderez peut-être d'inverser les référentiels, de sorte que le référentiel source HTTP par défaut utilise le site FTP et que le référentiel de secours FTP par défaut utilise HTTP. Au lieu de recréer et de reconfigurer les référentiels, vous pouvez les inverser d'un seul clic. Vous devez être un administrateur global pour définir des référentiels sources ou de secours. Pour convertir le référentiel source existant en référentiel de secours, sélectionnez-le dans la liste de la boîte de dialogue Référentiels source et de secours puis choisissez l'option Créer un référentiel de secours. Pour faire du référentiel de secours existant un référentiel source, sélectionnez-le dans la liste, puis cliquez Créer un référentiel source. Suppression de référentiels sources ou du référentiel de secours Vous pouvez supprimer les référentiels sources ou de secours, par exemple, si vous souhaitez créer un nouveau référentiel ou si vous prévoyez d'archiver manuellement les mises à jour des fichiers DAT et de moteur. Si vous supprimez un référentiel source ou de secours, veillez à en créer un nouveau pour le remplacer. La configuration correcte des référentiels sources et de secours est essentielle si vous voulez être certain que votre référentiel maître, et donc vos clients, possèdent les fichiers DAT et de moteur les plus récents. Vous devez être un administrateur global pour supprimer des référentiels sources ou de secours. Pour supprimer un référentiel source ou de secours de la liste : Dans la boîte de dialogue Référentiels source et de secours : 1 Cliquez sur un référentiel répertorié dans le tableau pour le sélectionner. 2 Cliquez sur Supprimer. 122

123 Tenue à jour des fichiers DAT et des moteurs Définition d'un référentiel source pour la mise à jour des fichiers DAT et des moteurs 6 Ajout de référentiels sources Vous devez être un administrateur global pour définir des référentiels sources. Pour ajouter un référentiel source : 1 A l'aide d'un compte utilisateur d'administrateur global, connectez-vous au serveur epolicy Orchestrator de votre choix. 2 Dans l'arborescence de la console, sous epolicy Orchestrator <SERVEUR>, sélectionnez Référentiel. 3 Dans le volet des détails, sous Tâches AutoUpdate, cliquez sur Ajouter un référentiel source. L'Assistant Ajouter le référentiel s'affiche. 4 Cliquez sur Suivant pour ouvrir la boîte de dialogue de configuration du référentiel. Figure 6-4 Assistant Ajouter le référentiel boîte de dialogue de configuration de référentiel 5 Dans Nom, tapez un nom descriptif pour ce référentiel. Les noms de référentiel doivent être uniques. 6 Dans Type, sélectionnez Référentiel source. 7 Indiquez le type de serveur ou de chemin (FTP, HTTP ou UNC) où se trouve le référentiel, puis cliquez sur Suivant. 123

124 Tenue à jour des fichiers DAT et des moteurs Définition d'un référentiel source pour la mise à jour des fichiers DAT et des moteurs 6 8 Dans la boîte de configuration du protocole, indiquez l'adresse et le port du référentiel, puis cliquez sur Suivant. Figure 6-5 Assistant Ajouter le référentiel boîte de dialogue de configuration du protocole FTP # Si vous avez sélectionné FTP à l'étape 7, tapez l'adresse Internet dans URL et le numéro de port FTP dans Port. # Si vous avez sélectionné HTTP à l'étape 7, tapez l'adresse Internet dans URL et le numéro de port HTTP dans Port. # Si vous avez sélectionné UNC à l'étape 7, tapez le répertoire réseau où se trouve le référentiel dans Chemin. Utilisez le format suivant : \\<ORDINATEUR>\<DOSSIER>. Il est possible d'utiliser des variables pour définir cet emplacement. Pour connaître la liste des variables, reportez-vous à la section Variables à la page Indiquez les références de téléchargement utilisées par les ordinateurs clients pour se connecter à ce référentiel, puis cliquez sur Suivant. Utilisez des références avec des autorisations en lecture seule pour le serveur HTTP, le serveur FTP ou le partage UNC qui héberge le référentiel. a Si vous avez sélectionné FTP à l'étape 7, sélectionnez Utiliser une connexion anonyme ou tapez les informations du compte d'utilisateur dans Nom d'utilisateur, Mot de passe et Confirmer le mot de passe. Si vous avez sélectionné HTTP à l'étape 7 et si le serveur HTTP nécessite une authentification, sélectionnez Utiliser l'authentification puis tapez les informations du compte d'utilisateur dans Nom d'utilisateur, Mot de passe et Confirmer le mot de passe. Si vous avez sélectionné UNC à l'étape 7, sélectionnez Utiliser le compte connecté ou tapez les informations du compte d'utilisateur dans Domaine, Nom d'utilisateur, Mot de passe et Confirmer le mot de passe. b Pour authentifier le compte d'utilisateur indiqué, cliquez sur Vérifier. 124

125 Tenue à jour des fichiers DAT et des moteurs Utilisation de tâches d'extraction pour mettre à jour le référentiel maître à partir d'un référentiel source 6 10 Cliquez sur Terminer pour ajouter le référentiel à la liste des référentiels. 11 Cliquez sur Fermer une fois le référentiel ajouté. Utilisation de tâches d'extraction pour mettre à jour le référentiel maître à partir d'un référentiel source Vous pouvez utiliser les référentiels sources pour faciliter la mise à jour des fichiers DAT et de moteur. Les fichiers de moteur et plus particulièrement les fichiers DAT doivent être actualisés fréquemment, bien plus que n'importe quel autre type de mise à jour, qu'il s'agisse de patchs de produits, de Service Packs ou d'une nouvelle version de produit. McAfee Security met à jour les fichiers DAT chaque semaine et ceux-ci doivent être déployés sur les clients de votre réseau le plus rapidement possible pour protéger vos ordinateurs contre les derniers virus. Plusieurs tâches sont nécessaires : 1 Configuration des paramètres de serveur proxy 2 Planification d'une tâche de serveur périodique pour l'extraction à partir du référentiel source 3 Exécution d'une tâche Extraire maintenant pour une mise à jour immédiate du référentiel maître Configuration des paramètres de serveur proxy Si vous utilisez le site web FTP ou HTTP de McAfee Security comme référentiel source, le serveur epolicy Orchestrator doit être en mesure d'accéder à Internet pour extraire les mises à jour de fichiers DAT et de moteur dans le référentiel maître. Si votre organisation a recours à des serveurs proxy pour la connexion à Internet, assurez-vous qu'epolicy Orchestrator utilise les serveurs proxy. Le référentiel maître utilise ces paramètres pour extraire des packages depuis les référentiels sources via un serveur proxy. Vous pouvez utiliser les paramètres de serveur proxy d'internet Explorer ou indiquer des paramètres personnalisés dans la console epolicy Orchestrator. McAfee Security recommande d'utiliser les paramètres de serveur proxy d'internet Explorer. Vous devez également configurer vos ordinateurs clients afin qu'ils utilisent les serveurs proxy pour accéder au site du référentiel de secours. Utilisation des paramètres de serveur proxy d'internet Explorer epolicy Orchestrator est configuré pour utiliser les paramètres de serveur proxy du navigateur Internet Explorer installé sur le serveur epolicy Orchestrator. Vous devez donc vérifier que ceux-ci sont correctement définis et qu'epolicy Orchestrator est configuré pour les utiliser. 125

126 Tenue à jour des fichiers DAT et des moteurs Utilisation de tâches d'extraction pour mettre à jour le référentiel maître à partir d'un référentiel source 6 A cette fin, effectuez les deux tâches suivantes : 1 Configuration des paramètres de serveur proxy d'internet Explorer 2 Configuration d'epolicy Orchestrator pour l'utilisation des paramètres de proxy d'internet Explorer Configuration des paramètres de serveur proxy d'internet Explorer Pour contrôler que la configuration des paramètres de serveur proxy d'internet Explorer est correcte, ouvrez une instance du navigateur sur le serveur epolicy Orchestrator et accédez à un site web public, par exemple la page d'accueil de votre organisation ou Si vous pouvez y accéder, les paramètres de serveur proxy sont corrects. Sinon, configurez les paramètres de connexion et de proxy d'internet Explorer : 1 Ouvrez une fenêtre du navigateur Internet Explorer. 2 Sélectionnez Outils Options Internet. 3 Cliquez sur l'onglet Connexions puis sélectionnez Paramètres réseau au bas de la boîte de dialogue. 4 Dans la boîte de dialogue Paramètres du réseau local, sélectionnez Utiliser un serveur proxy pour votre réseau local. 5 Cliquez sur Avancé pour ouvrir la boîte de dialogue Paramètres du proxy. 6 Indiquez les informations de serveur proxy dans les champs appropriés, et notamment HTTP et FTP si vous prévoyez d'utiliser les sites par défaut des référentiels sources et de secours. 7 Sélectionnez Utiliser le même serveur proxy pour tous les protocoles afin que FTP et HTTP utilisent tous deux correctement le serveur proxy. 8 Cliquez sur OK pour fermer la boîte de dialogue Paramètres du proxy. 9 Sélectionnez l'option Ne pas utiliser de serveur proxy pour les adresses locales. Vous serez ainsi en mesure d'afficher correctement certaines sections HTML de l'interface de la console epolicy Orchestrator. 10 Cliquez sur OK pour fermer la boîte de dialogue Paramètres du réseau local. 11 Cliquez sur OK pour fermer la boîte de dialogue Options Internet. Configuration d'epolicy Orchestrator pour l'utilisation des paramètres de proxy d'internet Explorer epolicy Orchestrator est configuré par défaut pour utiliser les paramètres de serveur proxy d'internet Explorer. Pour vous en assurer, procédez comme suit : 1 Dans l'arborescence du volet gauche de la console epolicy Orchestrator, sélectionnez Référentiel. 2 Dans le volet de détails de droite, sélectionnez Configurer les paramètres du serveur proxy. 3 Dans la boîte de dialogue Modifier le serveur proxy, assurez-vous que l'option Utiliser les paramètres de proxy d'internet Explorer est sélectionnée. 4 Cliquez sur OK. 126

127 Tenue à jour des fichiers DAT et des moteurs Utilisation de tâches d'extraction pour mettre à jour le référentiel maître à partir d'un référentiel source 6 Configuration manuelle des paramètres de proxy dans epolicy Orchestrator Vous pouvez configurer des serveurs proxy à partir de la console epolicy Orchestrator. Cette opération est parfois nécessaire s'il n'est pas possible qu'epolicy Orchestrator utilise les paramètres de proxy définis pour Internet Explorer ou si vous n'utilisez pas de serveur proxy. Pour configurer manuellement les paramètres de proxy d'epolicy Orchestrator : 1 Dans l'arborescence du volet gauche de la console epolicy Orchestrator, sélectionnez Référentiel. 2 Dans le volet de détails de droite, sélectionnez Configurer les paramètres du serveur proxy. 3 Dans la boîte de dialogue Modifier le serveur proxy, sélectionnez Configurer manuellement les paramètres proxy. Si votre serveur epolicy Orchestrator n'a pas besoin d'un serveur proxy pour accéder à Internet, activez l'option Ne pas utiliser de proxy. 4 Cliquez sur l'onglet Serveurs. L'onglet Serveurs n'est pas accessible si l'option Configurer manuellement les paramètres proxy n'est pas sélectionnée. 5 Indiquez l'adresse et le numéro de port du serveur proxy que vous souhaitez utiliser pour accéder aux référentiels distribués à l'aide des protocoles HTTP ou FTP. Dans Adresse, tapez l'adresse IP ou le nom de domaine complet du serveur proxy. Dans Port, tapez le numéro de port du serveur proxy. Remarque Si vous utilisez les référentiels source et de secours par défaut ou si vous configurez un autre référentiel source HTTP et un autre référentiel de secours FTP (ou l'inverse), définissez ici les informations d'authentification de serveur proxy HTTP et FTP. 6 Pour spécifier les référentiels distribués auxquels le serveur peut se connecter directement, sélectionnez Ne pas utiliser les adresses locales, puis tapez les adresses IP ou le nom de domaine complet de ces ordinateurs en les séparant par un point virgule (;). 7 Cliquez sur l'onglet Authentification. 8 Configurez les paramètres d'authentification du serveur proxy comme il convient, selon que vous extrairez les mises à jour d'un référentiel HTTP ou FTP, ou des deux. 9 Cliquez sur OK pour enregistrer vos paramètres de serveur proxy. Planification d'une tâche de serveur périodique pour l'extraction à partir du référentiel source Il est utile de créer une tâche d'extraction planifiée pour effectuer une mise à jour automatique et périodique de votre référentiel maître. La tâche d'extraction planifiée s'exécutera automatiquement à l'intervalle spécifié. Vous pouvez, par exemple, planifier une tâche d'extraction hebdomadaire qui extrait les nouvelles mises à jour du moteur et des fichiers DAT vers votre référentiel maître, tous les jeudis à 5 heures du matin. 127

128 Tenue à jour des fichiers DAT et des moteurs Utilisation de tâches d'extraction pour mettre à jour le référentiel maître à partir d'un référentiel source 6 Une fois le référentiel maître mis à jour, vous pouvez distribuer ces mises à jour aux agents installés sur les ordinateurs clients de votre réseau afin de leur garantir une protection antivirus actualisée. McAfee Security met à jour ses fichiers DAT standard toutes les semaines, donc il convient de créer une tâche planifiée d'extraction de référentiel planifiée qui s'exécute au moins à cette fréquence. Eléments à prendre en compte lors de la planification d'une tâche d'extraction Examinez l'utilisation de la bande passante et du réseau. Si vous avez activé la mise à jour globale et déployé des SuperAgents ainsi que le recommande McAfee Security, la tâche d'extraction déclenchera automatiquement une tâche de réplication de référentiel vers tous les référentiels distribués, suivie d'une tâche de mise à jour des clients. Il peut être utile de planifier l'exécution de ces tâches la nuit, lorsque le réseau est peu utilisé. McAfee Security distribue ses fichiers DAT standard tous les mercredis soir (heure GMT). Si vous planifiez une tâche d'extraction hebdomadaire, configurez-la pour qu'elle s'exécute un peu après cette distribution. Si vous planifiez une tâche quotidienne, définissez une heure assez tardive pour que la tâche d'extraction obtienne les nouveaux fichiers DAT. Si vous n'avez pas activé la fonctionnalité de mise à jour globale, planifiez des tâches supplémentaires pour faire en sorte que les mises à jour soient répliquées vers tous les référentiels distribués définis, ainsi que des tâches spécifiques de mise à jour des clients. Création et planification de la tâche d'extraction Vous devez être un administrateur global pour planifier des tâches d'extraction. Pour planifier une tâche d'extraction du référentiel : 1 Dans l'arborescence de la console epolicy Orchestrator, sélectionnez Référentiel. 2 Dans la page Référentiel, sélectionnez Planifier les tâches d'extraction pour ouvrir la page Configurer les tâches du serveur. 128

129 Tenue à jour des fichiers DAT et des moteurs Utilisation de tâches d'extraction pour mettre à jour le référentiel maître à partir d'un référentiel source 6 3 Sélectionnez Créer une tâche pour ouvrir l'assistant Configurer une nouvelle tâche. Figure 6-6 Création d'une tâche d'extraction planifiée pour obtenir les mises à jour du site web de McAfee Security 4 Sous Paramètres de tâche, tapez un nom descriptif dans le champ Nom, par exemple Tâche hebdomadaire d'extraction du référentiel. 5 Sélectionnez Extraction du référentiel dans la liste déroulante Type de tâche. 6 Assurez-vous que l'option Activer la tâche est définie à Oui. La tâche ne s'exécutera pas si elle n'a pas été préalablement activée. 7 Sélectionnez la fréquence dans la liste déroulante Type de planification. McAfee Security recommande d'exécuter la tâche tous les jours et, dans tous les cas, jamais moins qu'une fois par semaine. 8 Développez les options de planification avancées et planifiez le jour et l'heure précis de l'exécution de la tâche. 9 Cliquez sur Suivant en haut de la page. 10 Sélectionnez le référentiel source dans la liste déroulante Référentiel source, qui affiche tous les référentiels sources créés. Si vous n'avez créé aucun référentiel source personnalisé, la liste répertorie le référentiel source NAIHttp par défaut ainsi que le référentiel de secours NAIFtp par défaut. 11 Sélectionnez la branche du référentiel. Si vous utilisez la branche Evaluation pour tester les fichiers DAT et de moteur avant de les déployer dans l'ensemble de l'organisation, sélectionnez Evaluation pour extraire les fichiers DAT dans la branche Evaluation du référentiel maître. Voir à ce propos la section Evaluation des nouveaux fichiers DAT et des moteurs avant leur déploiement dans toute l'organisation à la page 145. Si vous n'utilisez pas la branche Evaluation, sélectionnez Actuels. Il est très probable que vous n'extrayez jamais de nouveaux fichiers DAT dans la branche Précédents. Pour plus d'informations sur les branches, consultez la section A propos des branches de référentiel à la page

130 Tenue à jour des fichiers DAT et des moteurs Utilisation de tâches d'extraction pour mettre à jour le référentiel maître à partir d'un référentiel source 6 12 Si des versions plus anciennes de produits McAfee, telles que VirusScan pour ordinateurs Windows 9X, sont déployées sur votre réseau, sélectionnez Prise en charge des mises à jour de produits antérieurs. 13 Sélectionnez l'option Déplacer les packages existants vers la branche 'Précédents' pour enregistrer les versions de fichiers DAT et de moteur actuelles. Pour remplacer les packages se trouvant dans la branche Actuels par ceux que vous archivez, désactivez l'option Déplacer les packages existants vers la branche 'Précédents'. 14 Cliquez sur Terminer. Patientez quelques instants pendant que le système crée la tâche. La nouvelle tâche d'extraction est ajoutée à la liste des tâches dans l'onglet Tâches planifiées. Elle indique que la tâche a été activée ainsi que la date et l'heure de la prochaine exécution. Exécution d'une tâche Extraire maintenant pour une mise à jour immédiate du référentiel maître Le meilleur moyen de s'assurer que le référentiel maître contient les dernières mises à jour des fichiers DAT et de moteur consiste à planifier une tâche d'extraction quotidienne standard. Il arrive toutefois que vous deviez procéder à une mise à jour manuelle du référentiel maître. Il est possible en effet que l'équipe AVERT de McAfee distribue anticipativement des fichiers DAT complets si de nouveaux virus à propagation rapide sont découverts. Si c'est le cas, vous ne voudrez pas attendre la prochaine extraction planifiée pour effectuer une mise à jour. Vous allez donc lancer une extraction manuelle au départ du référentiel source, pour ajouter immédiatement les nouveaux fichiers DAT et de moteur à votre référentiel maître. Bien qu'il soit souvent plus simple d'utiliser une tâche Extraire maintenant pour mettre à jour les fichiers DAT et les moteurs, vous pouvez également télécharger et archiver manuellement ces mises à jour dans le référentiel maître. Cela peut être nécessaire dans le cas notamment où une tâche d'extraction échoue pour une raison quelconque. Par ailleurs, vous ne pouvez pas utiliser une tâche d'extraction pour ajouter des fichiers EXTRA.DAT à votre référentiel maître. Vous devez archiver ceux-ci manuellement. Pour plus d'informations sur la procédure manuelle à suivre, reportez-vous à la section Archivage manuel des mises à jour des fichiers DAT, EXTRA.DAT et de moteur à la page 131. Pour lancer une tâche d'extraction du référentiel manuelle : 1 Dans l'arborescence du volet gauche de la console epolicy Orchestrator, sélectionnez Référentiel. 2 Dans le volet de détails, sous Tâches AutoUpdate, cliquez sur Extraire maintenant pour lancer l'assistant d'extraction immédiate. 3 Dans le premier écran de l'assistant d'extraction immédiate, cliquez sur Suivant. 4 Sélectionnez le référentiel source dans la liste des référentiels disponibles et cliquez sur Suivant. Si vous n'avez pas modifié le référentiel source, il s'agit par défaut du site HTTP de McAfee Security. 130

131 Tenue à jour des fichiers DAT et des moteurs Archivage manuel des mises à jour des fichiers DAT, EXTRA.DAT et de moteur 6 5 Sélectionnez la branche du référentiel. Si vous utilisez la branche Evaluation pour tester les fichiers DAT et de moteur avant de les déployer dans l'ensemble de l'organisation, sélectionnez Evaluation pour extraire les fichiers DAT dans la branche Evaluation du référentiel maître. Voir à ce propos la section Evaluation des nouveaux fichiers DAT et des moteurs avant leur déploiement dans toute l'organisation à la page 145. Si vous n'utilisez pas la branche Evaluation, sélectionnez Actuels. Il est probable que vous n'extrayez jamais de nouveaux fichiers DAT ou de moteur dans la branche Précédents. Pour plus d'informations sur les branches, consultez la section A propos des branches de référentiel à la page Si des versions plus anciennes de produits McAfee, telles que VirusScan pour ordinateurs Windows 9X, sont déployées sur votre réseau, sélectionnez Prise en charge des mises à jour de produits antérieurs. 7 Sélectionnez l'option Déplacer les packages existants vers la branche 'Précédents' pour enregistrer les versions de fichiers DAT et de moteur enregistrés dans la branche Actuels dans la branche Précédents. L'opération est recommandée, pour le cas où les nouveaux fichiers DAT provoqueraient des problèmes et où vous devriez restaurer la version précédente. Cela arrive rarement, mais reste possible. 8 Cliquez sur Terminer pour lancer l'extraction. Patientez quelques instants pendant l'exécution de la tâche d'extraction. 9 Cliquez sur Fermer. Vous pouvez vous assurer que les fichiers DAT ont été mis à jour en consultant le contenu du référentiel maître et en vérifiant le numéro de version des fichiers DAT. La liste des fichiers DAT et des moteurs les plus récents est consultable sur le site web de McAfee Security, à l'adresse Archivage manuel des mises à jour des fichiers DAT, EXTRA.DAT et de moteur Outre la mise à jour de fichiers DAT hebdomadaires, McAfee Security publie occasionnellement des fichiers EXTRA.DAT pour neutraliser des virus spécifiques découverts depuis la dernière mise à jour hebdomadaire des fichiers DAT. La signature de virus du fichier EXTRA.DAT est incluse dans la distribution hebdomadaire suivante de fichiers DAT standard. Toutefois, certains virus se propagent très rapidement. Dès lors, pour les virus évalués par McAfee AVERT comme présentant un risque moyen ou élevé, vous devez télécharger et distribuer manuellement le fichier EXTRA.DAT pertinent sans attendre la prochaine mise à jour hebdomadaire normale de fichiers DAT. Si vous extrayez des mises à jour hebdomadaires de moteur et de fichiers DAT d'un référentiel source comme le recommande McAfee Security, sachez néanmoins que les tâches d'extraction n'obtiennent pas les mises à jour EXTRA.DAT. Vous ne pouvez distribuer les mises à jour des fichiers EXTRA.DAT avec epolicy Orchestrator qu'en archivant manuellement ces fichiers avant de les déployer sur vos clients. Vous devez être un administrateur global pour archiver des packages. 131

132 Tenue à jour des fichiers DAT et des moteurs Archivage manuel des mises à jour des fichiers DAT, EXTRA.DAT et de moteur 6 Contenu de cette section : # A propos de types de packages de fichiers DAT et de moteur # Archivage des packages DAT PKGCATALOG.Z ou des fichiers EXTRA.DAT A propos de types de packages de fichiers DAT et de moteur Vous pouvez archiver ces types de packages dans le référentiel maître. Figure 6-7 Packages de fichiers DAT et de moteur qu'il est possible d'archiver dans le référentiel maître Type de package Fichiers de signatures de virus (DAT) Moteur d'analyse antivirus Fichiers SuperDAT (SDAT*.EXE) Fichiers de signatures de virus supplémentaires (EXTRA.DAT) Description Fichiers DAT standard distribués chaque semaine par McAfee Security. Moteur d'analyse mis à jour des produits antivirus McAfee, tels que VirusScan Enterprise. Les moteurs sont généralement mis à jour tous les trois ou quatre mois. Contiennent à la fois les fichiers DAT et de moteur dans un même package de mise à jour. Remarque : Dans la mesure où les packages SuperDAT peuvent être très volumineux et où vous ne mettez pas à jour le moteur aussi souvent que les fichiers DAT, McAfee Security recommande de mettre à jour séparément les moteurs et les fichiers DAT, pour économiser la bande passante. Fichiers DAT supplémentaires qui neutralisent un ou plusieurs virus spécifiques découverts depuis la dernière distribution hebdomadaire des fichiers DAT. En fonction du niveau de risque du virus, vous pouvez décider de déployer immédiatement un fichier EXTRA.DAT sans attendre que la signature soit ajoutée aux fichiers DAT hebdomadaires. Remarque : Les fichiers EXTRA.DAT ne sont pas disponibles au format de package PKGCATALOG.Z mais vous pouvez néanmoins les déployer via epolicy Orchestrator. Où obtenir le fichier PKGCATALOG.Z des fichiers DAT ou du moteur? Le moteur et les fichiers DAT hebdomadaires sont disponibles sur le site web de McAfee Security, sous un format de package qu'il est possible de déployer via epolicy Orchestrator. Pour télécharger ces packages : 1 A partir du serveur epolicy Orchestrator, accédez au site de mise à jour de McAfee Security à l'adresse 2 Sélectionnez Télécharger les mises à jour antivirus. 3 Dans le tableau Télécharger les mises à jour antivirus (fichiers DAT), sélectionnez l'option Package de fichiers DAT à utiliser avec epo 3.0. Veillez à ne pas sélectionner par erreur les fichiers DAT hebdomadaires (leur distribution est impossible via epolicy Orchestrator). 132

133 Tenue à jour des fichiers DAT et des moteurs Archivage manuel des mises à jour des fichiers DAT, EXTRA.DAT et de moteur 6 4 Téléchargez et enregistrez le package de fichiers DAT PKGCATALOG.Z dans un dossier temporaire du serveur epolicy Orchestrator. 5 Si vous souhaitez télécharger le package du moteur, sélectionnez Package du moteur pour epo 3.5 dans le tableau Mises à jour de moteur. Où obtenir des fichiers EXTRA.DAT? Les fichiers DAT supplémentaires EXTRA.DAT ne sont pas disponibles au format PkgCatalog, mais vous pouvez néanmoins les archiver dans le référentiel et les distribuer via epolicy Orchestrator. Ils sont également disponibles sur le site de mise à jour McAfee. Eléments à prendre en compte pour les packages de déploiement de produit Pour économiser de la bande passante, McAfee Security recommande d'archiver séparément les packages DAT et ceux contenant un moteur, plutôt que d'archiver un package SuperDAT combinant ces mises à jour. Les fichiers EXTRA.DAT ne sont pas collectés dans le cadre des tâches d'extraction de référentiel planifiées. Si vous utilisez un référentiel source à partir duquel vous extrayez les mises à jour des fichiers DAT et de moteur, vous devez obtenir et archiver séparément les fichiers EXTRA.DAT. Sécurité et signature des packages Tous les packages créés et distribués par Network Associates sont signés à l'aide d'une paire de clés utilisant le système de vérification de signature DSA (Digital Signature Algorithm) et sont cryptés à l'aide d'un cryptage 3DES 168 bits. Une clé est utilisée pour crypter ou décrypter les données sensibles. L'utilisation de signatures numériques garantit que les packages proviennent de Network Associates ou ont été archivés par vous-même et qu'ils n'ont pas été falsifiés ou corrompus. L'agent approuve uniquement les fichiers catalogue de package signés par epolicy Orchestrator ou Network Associates. Ainsi, votre réseau est à l'abri de mises à jour provenant de sources non fiables ou sans signature. Prise en charge de produits antérieurs Les produits existants (antérieurs) utilisent une structure de répertoire linéaire en association avec les tâches client AutoUpdate et AutoUpgrade pour installer les mises à jour des produits. Les nouveaux produits qui bénéficient d'autoupdate 7.0 utilisent une structure de répertoire hiérarchique et la tâche de client Mettre à jour pour installer les mises à jour des produits. Si l'emplacement de mise à jour spécifié dans les paramètres de tâche AutoUpdate ou AutoUpgrade est un référentiel de logiciels distribué géré par epolicy Orchestrator, vous devez activer la prise en charge de produits antérieurs lorsque vous archivez le package correspondant dans le référentiel maître. Les packages sont ainsi copiés dans les deux structures de répertoire. Cette flexibilité permet d'assurer la prise en charge des produits antérieurs, par exemple NetShield 4.5, par les tâches AutoUpdate et AutoUpgrade. Pour des instructions détaillées, reportez-vous à la section Archivage de packages de déploiement de produit dans le référentiel maître à la page

134 Tenue à jour des fichiers DAT et des moteurs Archivage manuel des mises à jour des fichiers DAT, EXTRA.DAT et de moteur 6 Branches et versions des packages Vous pouvez ajouter les packages de fichiers DAT et de moteur dans l'une des trois branches du référentiel maître : Evaluation, Actuels ou Précédents. Pour plus d'informations sur l'utilisation des branches avec les moteurs et les fichiers DAT, reportez-vous à la section A propos des branches de référentiel à la page 119 et tout particulièrement à la section Evaluation des nouveaux fichiers DAT et des moteurs avant leur déploiement dans toute l'organisation à la page 145. Archivage des packages DAT PKGCATALOG.Z ou des fichiers EXTRA.DAT Dès que vous disposez du package de fichiers DAT, du package de moteur ou des fichiers EXTRA.DAT, vous pouvez utiliser la console epolicy Orchestrator pour les archiver manuellement dans le référentiel maître. Vous ne pouvez pas exécuter cette opération si des tâches d'extraction ou de réplication sont en cours d'exécution. Pour archiver un package DAT, un package de moteur ou des fichiers EXTRA.DAT dans le référentiel maître : 1 Recherchez le fichier EXTRA.DAT à archiver et enregistrez-les dans un dossier temporaire du serveur epolicy Orchestrator. 2 Dans l'arborescence Répertoire de la console epolicy Orchestrator, sélectionnez Référentiel. 3 Dans le volet de détails situé sur la droite, sous Tâches AutoUpdate, cliquez sur Archiver un package pour lancer l'assistant d'archivage de packages. 4 Cliquez sur Suivant pour ouvrir la boîte de dialogue Type de package. 5 Sélectionnez Extra.dat comme type de package et cliquez sur Suivant. 6 Tapez le chemin d'accès complet ou cliquez sur Parcourir pour localiser le fichier EXTRA.DAT que vous avez enregistré dans un dossier temporaire à l'étape 1. 7 Cliquez sur Suivant pour consulter les informations de synthèse sur l'archivage du package. 8 Après quoi, cliquez sur Suivant pour configurer les options de branches du référentiel. 9 Dans la plupart des cas, vous allez sélectionner l'option Actuels, pour archiver les fichiers EXTRA.DAT dans la branche Actuels afin de pouvoir distribuer les packages à tous vos clients le plus rapidement possible. En revanche, si vous décidez d'évaluer tous les fichiers DAT, y compris les fichiers EXTRA.DAT, avant de les déployer dans toute l'organisation, sélectionnez Evaluation. Pour plus d'informations sur l'utilisation de la branche Evaluation pour tester les fichiers DAT, reportez-vous à la section Evaluation des nouveaux fichiers DAT et des moteurs avant leur déploiement dans toute l'organisation à la page 145. Vous n'archiverez jamais les fichiers EXTRA.DAT dans la branche Précédents. 10 Si des versions plus anciennes de produits McAfee, telles que VirusScan pour ordinateurs Windows 9X, sont déployées sur votre réseau, sélectionnez Prise en charge des mises à jour de produits antérieurs. 11 Sélectionnez l'option Déplacer les packages existants vers la branche 'Précédents'. 134

135 Tenue à jour des fichiers DAT et des moteurs Distribution des mises à jour de fichiers DAT et de moteur aux clients 6 12 Cliquez sur Terminer pour commencer l'archivage du fichier EXTRA.DAT. Patientez quelques instants jusqu'à la fin de la mise à jour. 13 Cliquez sur Fermer une fois le package archivé. Distribution des mises à jour de fichiers DAT et de moteur aux clients Dès que vous avez configuré votre référentiel maître et créé une stratégie afin de le conserver à jour avec les fichiers DAT et de moteur les plus récents, vous devez planifier la distribution de ces mises à jour à vos ordinateurs clients. Pour ce faire, epolicy Orchestrator propose deux méthodes. Vous trouverez ci-dessous une brève présentation de chacune de ces méthodes de mise à jour, suivie d'une explication détaillée de leur mise en oeuvre. Si chaque méthode est conçue pour fonctionner de façon autonome, vous pouvez les associer pour assurer la redondance de votre stratégie de mise à jour des fichiers DAT et de moteur. Il peut arriver que certains ordinateurs soient hors tension ou déconnectés et ne reçoivent pas une mise à jour. Il est donc utile de disposer d'une solution de secours. Ainsi, même si vous optez pour la mise à jour globale, laquelle distribue immédiatement les mises à jour, vous pouvez toujours créer une tâche de client Mettre à jour qui sera exécutée à intervalles réguliers. Mise à jour globale La mise à jour globale est une fonctionnalité d'epolicy Orchestrator 3.0 qui permet de mettre automatiquement à jour tous les ordinateurs clients chaque fois que vous archivez de nouvelles mises à jour dans votre référentiel maître. Chaque fois que vous modifiez votre référentiel maître, epolicy Orchestrator réplique automatiquement le contenu de ce dernier vers tous les référentiels distribués dont vous disposez. Ensuite, il avertit tous les agents déployés dans votre réseau et leur prescrit d'exécuter une tâche de mise à jour immédiate de tous les produits gérés, par exemple VirusScan Enterprise 7.1. Tâche planifiée de mise à jour par l'agent du client Alors que la mise à jour globale met immédiatement les clients à jour lorsque des nouveaux fichiers DAT ou moteurs sont archivés dans le référentiel maître, une tâche planifiée de mise à jour du client s'exécute à une fréquence définie, par exemple tous les jours ou toutes les semaines. Lors de son exécution, elle met à jour les clients avec les versions de moteur et de fichiers DAT les plus récemment archivés dans le référentiel maître. Les sections suivantes décrivent la procédure de distribution des mises à jour de fichiers DAT aux clients : # Utilisation de la mise à jour globale pour distribuer automatiquement et immédiatement les mises à jour à tous les clients à la page 136 # Création et planification d'une tâche quotidienne de mise à jour du moteur et des fichiers DAT au niveau des clients à la page 139 # Vérification de la présence des fichiers DAT mis à jour sur les clients à la page

136 Tenue à jour des fichiers DAT et des moteurs Distribution des mises à jour de fichiers DAT et de moteur aux clients 6 Utilisation de la mise à jour globale pour distribuer automatiquement et immédiatement les mises à jour à tous les clients La mise à jour globale est une fonctionnalité d'epolicy Orchestrator qui automatise la distribution des fichiers DAT et/ou des moteurs à tous les clients. Lorsque cette fonctionnalité est activée, chaque fois que vous modifiez votre référentiel maître, epolicy Orchestrator réplique automatiquement le contenu de ce dernier vers tous les référentiels distribués, si vous en possédez. Ensuite, il avertit tous les agents déployés dans votre réseau et leur prescrit d'exécuter une tâche de mise à jour immédiate de tous les produits gérés, par exemple VirusScan Enterprise 7.1. Entre le moment où vous archivez les modifications dans votre référentiel maître et la réception de la mise à jour par le dernier ordinateur client, il ne doit pas s'écouler plus d'une heure. La configuration de la mise à jour globale s'effectue en deux étapes. Dès qu'elle est configurée, elle s'exécute automatiquement. Pour activer la mise à jour globale, deux tâches sont nécessaires : 1 Déploiement de SuperAgents pour l'appel de réactivation de diffusion de la mise à jour globale 2 Activation de la mise à jour globale sur le serveur epolicy Orchestrator A propos de la mise à jour globale Lorsque vous utilisez la mise à jour globale, la réplication vers les référentiels distribués et la mise à jour des clients sont deux opérations automatisées. Elles ne nécessitent pas de créer et de planifier des tâches de réplication pour la mise à jour des référentiels distribués, si vous en avez, ou de créer des tâches de mise à jour via l'agent. C'est l'archivage d'un fichier DAT ou de moteur dans votre référentiel maître qui déclenche la mise à jour globale ; les autres opérations s'effectuent automatiquement. Utilisation de la mise à jour globale pour une mise à jour forcée des fichiers DAT et des moteurs La mise à jour globale est le meilleur moyen de s'assurer de la mise à jour immédiate des clients lorsque de nouveaux fichiers DAT ou moteurs sont disponibles dans le référentiel maître. Toutefois, la réplication vers les référentiels distribués et la mise à jour des clients peuvent également générer un trafic réseau important. C'est à vous de déterminer si la nécessité d'une mise à jour rapide est suffisamment importante pour tolérer la charge supplémentaire sur votre réseau. Utilisation par la mise à jour globale de l'appel de réactivation du SuperAgent Pour activer et utiliser la mise à jour globale, vous devez disposer au moins d'un SuperAgent dans chaque sous-réseau. La fonctionnalité de mise à jour globale utilise l'appel de réactivation de diffusion du SuperAgent pour réactiver les autres agents installés dans le même sous-réseau. Ces agents ignoreront qu'une mise à jour est disponible s'il n'y a pas de SuperAgent dans le sous-réseau pour les en avertir. Voir à ce propos la section Déploiement de SuperAgents pour la distribution des appels de réactivation de l'agent à la page

137 Tenue à jour des fichiers DAT et des moteurs Distribution des mises à jour de fichiers DAT et de moteur aux clients 6 Mise à jour globale sélective nouveauté d'epolicy Orchestrator 3.5 Utilisez la mise à jour globale sélective pour définir avec précision les types de mises à jour qui doivent déclencher une mise à jour globale. La fonctionnalité de mise à jour globale peut s'avérer très utile dans le cas d'une épidémie virale. Prenons l'exemple suivant : l'équipe AVERT de McAfee Security a publié des fichiers DAT mis à jour pour neutraliser un virus en circulation récemment découvert. Si la mise à jour globale est activée, il suffit de lancer une tâche d'extraction à partir de la console epolicy Orchestrator pour mettre à jour votre référentiel de logiciels maître avec les fichiers DAT les plus récents. La fonctionnalité de mise à jour globale d'epolicy Orchestrator se charge du reste, à savoir mettre à jour, en l'espace d'une heure, les fichiers DAT de tous les ordinateurs de votre réseau exécutant des agents actifs. Déploiement de SuperAgents pour l'appel de réactivation de diffusion de la mise à jour globale Les SuperAgents sont indispensables au bon déroulement de la mise à jour globale. La mise à jour globale utilise les SuperAgents pour envoyer un appel de réactivation de diffusion et avertir ainsi tous les clients qu'une nouvelle mise à jour est disponible. Par conséquent, avant de configurer la mise à jour globale, commencez par déployer au moins un SuperAgent sur chaque sous-réseau de votre réseau. Déploiement de SuperAgents pour la distribution des appels de réactivation de l'agent à la page 87. En plus de posséder une fonctionnalité d'appel de réactivation de diffusion à l'intention des agents, les SuperAgents peuvent également jouer le rôle de référentiels de logiciels distribués. Sachez toutefois que, si la mise à jour globale fonctionne avec des référentiels SuperAgents, dans le cas où vous décideriez de les utiliser, elle n'impose pas d'y recourir. La mise à jour globale peut effectuer une réplication des fichiers mis à jour vers tout référentiel distribué que vous avez créé et configuré. Pour plus d'informations sur les référentiels distribués de SuperAgent, consultez la section Création de référentiels distribués SuperAgents à la page 156. Activation de la mise à jour globale sur le serveur epolicy Orchestrator Après avoir déployé des SuperAgents dans tout votre réseau, vous pouvez activer la mise à jour globale sur le serveur epolicy Orchestrator. La mise à jour globale est une fonctionnalité que vous pouvez activer ou désactiver à partir de la console epolicy Orchestrator. Lorsqu'elle est activée, toute modification apportée à votre référentiel maître déclenche une réplication automatique vers tous les référentiels distribués, si vous en possédez, suivie d'un appel de réactivation du SuperAgent envoyé à l'ensemble de votre Répertoire. Les SuperAgents réactivent à leur tour les agents installés dans leurs sous-réseaux locaux, de sorte que ces agents puissent appeler le serveur pour obtenir les mises à jour requises. Pour activer la mise à jour globale sur le serveur epolicy Orchestrator : 1 Dans le Répertoire de la console epolicy Orchestrator, sélectionnez le serveur epolicy Server requis (ServeurePO dans la figure 6-8). 2 Dans le volet de détails supérieur droit, sélectionnez l'onglet Paramètres. 137

138 Tenue à jour des fichiers DAT et des moteurs Distribution des mises à jour de fichiers DAT et de moteur aux clients 6 3 En bas de la page Paramètres du serveur, définissez Activer la mise à jour globale à Oui. Figure 6-8 Activation de la mise à jour globale sur le serveur epolicy Orchestrator 4 Changez, le cas échéant, l'intervalle de sélection aléatoire. 5 Sous Seuls les archivages des composants suivants déclenchent une mise à jour globale, sélectionnez les composants qui doivent déclencher une mise à jour globale. La mise à jour globale ne se déclenche que dans le cas où les nouveaux packages des composants spécifiés ici sont archivés dans le référentiel maître. Sélectionnez soigneusement ces composants dans la mesure où ce choix a une incidence majeure sur la fréquence de la mise à jour globale, et donc sur le trafic réseau généré par epolicy Orchestrator. En général, il est conseillé d'activer la mise à jour globale uniquement pour les mises à jour critiques, comme celles des fichiers DAT et des moteurs. 6 Cliquez sur Appliquer les paramètres en haut de la page Paramètres du serveur pour enregistrer les modifications. Dès qu'elle est activée, la mise à jour globale se déclenche au prochain archivage de mises à jour pour les composants spécifiés. 138

139 Tenue à jour des fichiers DAT et des moteurs Distribution des mises à jour de fichiers DAT et de moteur aux clients 6 Création et planification d'une tâche quotidienne de mise à jour du moteur et des fichiers DAT au niveau des clients Vous pouvez créer et configurer des tâches de mise à jour de client à partir de la console epolicy Orchestrator pour gérer le mode et la fréquence de mise à jour des fichiers DAT et de moteurs des ordinateurs clients à partir de votre référentiel maître. Si vous n'utilisez pas la mise à jour globale, le seule façon de contrôler la mise à jour des clients à partir du serveur epolicy Orchestrator consiste à créer ces tâches de mise à jour de client. Et même vous avez recours à la fonctionnalité de mise à jour globale décrite dans la section précédente, il est toujours utile de créer en plus une tâche quotidienne de mise à jour de client. L'emploi de différentes méthodes permet d'assurer la redondance de la structure de mise à jour et constitue un bon moyen de garantir que vos clients reçoivent souvent et régulièrement des mises à jour de fichiers DAT et de moteur. A propos de la création et de la configuration de tâches de mise à jour de client Vous devez prendre en compte certains éléments lors de la planification d'une tâche de client pour la mise à jour des fichiers DAT et de moteur : # S'il est possible de configurer des tâches de client à n'importe quel niveau de votre Répertoire, McAfee recommande de créer une tâche de mise à jour de fichiers DAT et de moteur à la racine du Répertoire, afin que tous les groupes et les sites en héritent. Dans le cas d'une organisation de grande taille, vous pouvez utiliser des intervalles de sélection aléatoire afin de limiter l'impact de la mise à jour simultanée de tous les clients sur la bande passante. En outre, pour les grands réseaux possédant des bureaux dans des fuseaux horaires différents, l'exécution de la tâche à l'heure système locale du client, plutôt qu'à la même heure pour tous les clients, permet d'équilibrer la charge réseau. # Si vous utilisez des référentiels distribués et que vous avez programmé des tâches de réplication pour les mettre à jour, planifiez les tâches régulières de mise à jour de client de telle sorte qu'elles commencent au moins une heure ou deux après la fin de la tâche de réplication planifiée. La mise à jour à partir d'un référentiel distribué ne sert à rien à moins de l'avoir planifiée après la mise à jour du référentiel. Voir la section Réplication du contenu du référentiel maître sur les référentiels distribués à la page 163. # C'est à vous qu'il appartient de déterminer la fréquence de mise à jour. Toutefois, McAfee recommande d'exécuter des tâches de mise à jour client pour l'actualisation des fichiers DAT au moins une fois par jour. Même si McAfee distribue généralement les fichiers DAT standard une fois par semaine, ces derniers peuvent être distribués plus tôt en cas d'épidémie virale. Par ailleurs, vous pouvez archiver manuellement des fichiers EXTRA.DAT ou même des mises à jour de fichiers DAT complètes pendant la semaine, surtout en cas d'attaque. Comme il peut arriver que les ordinateurs clients soient déconnectés et ne reçoivent pas la tâche planifiée, l'exécution fréquente de la tâche garantit une distribution dans les meilleurs délais. 139

140 Tenue à jour des fichiers DAT et des moteurs Distribution des mises à jour de fichiers DAT et de moteur aux clients 6 # Pour optimiser l'efficacité de la bande passante, créez plusieurs tâches de mise à jour de client planifiées qui mettent à jour des composants distincts et s'exécutent à des moments différents. Vous pouvez, par exemple, créer une tâche de mise à jour dédiée aux seuls fichiers DAT et faire en sorte qu'elle s'exécute plusieurs fois par jour. En outre, créez une seconde tâche qui met à jour les fichiers DAT et les moteurs et planifiez, pour celle-ci, une exécution hebdomadaire, voire mensuelle. Les moteurs sont distribués à intervalles de quelques mois, et une mise à jour plus fréquente de ceux-ci consomme inutilement la bande passante du réseau. # Créez et planifiez des tâches de mise à jour supplémentaires pour des produits qui n'utilisent pas le CMA (Common Management Agent) pour Windows, employé dans des produits tels que VirusScan Enterprise, Desktop Firewall et GroupShield. Il s'agit notamment de produits antérieurs, comme VirusScan qui utilisent un autre mécanisme de mise à jour, ou des produits non-windows, par exemple NetShield pour Novell NetWare qui n'utilisent pas l'agent Windows pour la mise à jour. # Vous pouvez choisir de créer deux tâches de mise à jour pour vos applications de poste de travail principales, comme VirusScan Enterprise, pour vous assurer qu'elles sont toutes mises à jour. Planifiez-en une qui s'exécute une ou plusieurs fois par jour (voir ci-dessous). Planifiez-en une autre qui s'exécute immédiatement. Cette seconde tâche s'exécute une seule fois pour chaque ordinateur de l'arborescence du Répertoire la première fois que l'agent appelle le serveur. Elle peut s'avérer utile si des clients sont hors connexion à l'heure de la mise à jour planifiée. En effet, la seconde tâche garantit une mise à jour immédiate lorsqu'ils se connectent, sans attendre la prochaine exécution de la tâche planifiée. Les agents existants exécutent la tâche de mise à jour planifiée tous les jours. Tout nouveau système mis en ligne exécute la tâche immédiatement, dès qu'il est installé et contacte pour la première fois epolicy Orchestrator. Pour créer une tâche de mise à jour d'agent epolicy Orchestrator planifiée Vous pouvez procéder comme indiqué dans cette section pour créer et configurer des tâches de mise à jour d'agent epolicy Orchestrator. La procédure décrit spécifiquement la configuration d'une tâche de mise à jour quotidienne pour les fichiers DAT uniquement. Vous pouvez appliquer cette même procédure et ajuster la configuration en fonction de vos besoins, par exemple en modifiant la fréquence d'une mise à jour ou la sélection des composants concernés. 140

141 Tenue à jour des fichiers DAT et des moteurs Distribution des mises à jour de fichiers DAT et de moteur aux clients 6 Pour créer une tâche de mise à jour de client planifiée pour les fichiers DAT : 1 Dans l'arborescence du volet gauche de la console, cliquez avec le bouton droit sur Répertoire, puis sélectionnez Planifier la tâche. Figure 6-9 Création d'une nouvelle tâche de mise à jour de client planifiée au niveau du Répertoire, pour la mise à jour de tous les clients qu'il comprend 2 Dans la boîte de dialogue Planifier la tâche, tapez un nom, par exemple Mise à jour quotidienne des fichiers DAT des clients, dans le champ Nom de la nouvelle tâche. Figure 6-10 Création d'une tâche d'agent epolicy Orchestrator pour la mise à jour des fichiers DAT et de moteur 3 Dans la liste des logiciels, sélectionnez Agent epolicy Orchestrator - Mettre à jour pour créer une tâche de mise à jour de produits tels que VirusScan Enterprise et Desktop Firewall qui utilisent le CMA (Common Management Agent). 4 Cliquez sur OK. 5 Appuyez sur F5 pour actualiser la console et afficher la nouvelle tâche dans la liste de l'onglet Tâche. Notez qu'elle est planifiée pour s'exécuter tous les jours à partir de la date et heure actuelles. Notez également que l'indicateur Activé est défini sur Faux. La valeur doit être définie à Vrai avant de planifier une exécution quotidienne. 141

142 Tenue à jour des fichiers DAT et des moteurs Distribution des mises à jour de fichiers DAT et de moteur aux clients 6 6 Cliquez avec le bouton droit sur la nouvelle tâche dans la liste des tâches et sélectionnez Modifier la tâche. Figure 6-11 Modification de la nouvelle tâche de mise à jour en vue d'une exécution immédiate 7 Désactivez l'option Hériter sous la section Paramètres de planification de la boîte de dialogue Planificateur epolicy Orchestrator. 8 Sélectionnez Activer (la tâche planifiée s'exécute à une heure spécifiée). La tâche ne s'exécute pas si elle n'est pas préalablement activée ici. 9 Cliquez sur Paramètres pour configurer les paramètres de la tâche. Figure 6-12 Configuration des paramètres de la tâche de mise à jour de client 142

143 Tenue à jour des fichiers DAT et des moteurs Distribution des mises à jour de fichiers DAT et de moteur aux clients 6 10 Dans la boîte de dialogue Paramètres de tâche de la tâche de mise à jour d'agent, désactivez l'option Hériter pour activer les options de configuration. 11 Conservez l'option Afficher la boîte de dialogue de progression de la mise à jour désactivée pour masquer la mise à jour sur l'ordinateur client. McAfee Security recommande de ne pas autoriser les utilisateurs finals sur les ordinateurs clients à voir et éventuellement à interrompre de cette façon la mise à jour. 12 Sous Cette tâche met seulement à jour les composants suivants, sélectionnez les composants spécifiques à mettre à jour pour la tâche. 13 Cliquez sur l'onglet Planifier et désactivez l'option Hériter. 14 Définissez l'option Planifier la tâche afin que cette dernière s'exécute de façon quotidienne. Pour exécuter la tâche plusieurs fois par jour, cliquez sur le bouton Options avancées, sélectionnez Répéter la tâche et définissez les paramètres de répétition de la tâche par exemple toutes les 12 heures pour l'appliquer deux fois par jour, ou toutes les 8 heures pour l'exécuter trois fois par jour. Vous disposez d'un grand choix d'options de planification pour la tâche de mise à jour de client. 15 Cliquez sur OK pour fermer la boîte de dialogue Paramètres de tâche. 16 Cliquez sur OK pour fermer la boîte de dialogue Planificateur epolicy Orchestrator. Les agents reçoivent la nouvelle tâche de mise à jour lors de leur prochaine communication avec le serveur epolicy Orchestrator. La tâche de mise à jour de client s'exécutera aux prochaines date et heure planifiées. Chaque client effectuera la mise à jour à partir du référentiel approprié selon les stratégies de mise à jour définies pour l'agent de ce client. Voir la section Définition des stratégies à l'aide des pages de stratégie de l'agent à la page 179. Vérification de la présence des fichiers DAT mis à jour sur les clients Vous pouvez utiliser la console epolicy Orchestrator pour vérifier que les versions des fichiers DAT et du moteur qui sont archivées dans votre référentiel maître ou installées sur les clients sont bien les plus récentes. Identification des dernières versions de fichiers DAT et de moteur distribuées par McAfee Accédez à la page de téléchargement de fichiers DAT et de moteur du site web de McAfee pour consulter la version du moteur ou des fichiers DAT indiquée dans le tableau. Une autre solution consiste à exécuter simplement une tâche d'extraction immédiate manuelle pour extraire les dernières mises à jour de fichiers DAT et de moteur de votre référentiel source puis à vérifier le numéro de version indiqué dans le référentiel maître. Pour plus d'informations sur l'exécution d'une tâche d'extraction immédiate, reportez-vous à la section Exécution d'une tâche Extraire maintenant pour une mise à jour immédiate du référentiel maître à la page 130. S'il s'avère que vous possédez déjà les derniers fichiers DAT dans votre référentiel maître, la tâche d'extraction s'arrête automatiquement et vous informe que le référentiel maître est déjà à jour. 143

144 Tenue à jour des fichiers DAT et des moteurs Distribution des mises à jour de fichiers DAT et de moteur aux clients 6 Confirmation de la présence des dernières versions de fichiers DAT et de moteur dans le référentiel maître Avant tout, vérifiez la version des fichiers DAT actuellement archivée dans votre référentiel maître. Il s'agit des fichiers DAT qui doivent désormais être installés sur vos ordinateurs clients après leur mise à jour. Pour ce faire : 1 Dans l'arborescence de la console epolicy Orchestrator, sélectionnez Référentiel Référentiels de logiciels Maître. Le volet de détails de droite affiche la liste des packages actuellement archivés dans le référentiel maître. 2 Parcourez la liste Packages et, dans le bas de celle-ci, localisez la version actuelle de fichiers DAT, qui affichera un numéro proche de Figure 6-13 Vérification des versions de fichiers DAT et de moteur dans le référentiel maître Vérification des versions de fichiers DAT et de moteur dans les propriétés du produit installé sur le client Ensuite, vérifiez à partir de la console epolicy Orchestrator les versions de fichiers DAT utilisées par le logiciel installé sur le client, par exemple VirusScan Enterprise. Notez que la console n'affiche pas l'état mis à jour jusqu'au prochain appel de l'agent au serveur, dans le cadre de sa communication agent-serveur régulière. Pour ce faire : 1 Dans la console epolicy Orchestrator, sélectionnez n'importe quel ordinateur du Répertoire récemment mis à jour. 2 Dans le volet droit, sélectionnez l'onglet Propriétés. 3 Dans la page Propriétés, sélectionnez VirusScan Enterprise 7.1 Général pour développer la liste des propriétés générales. 4 Vérifiez le numéro de version de DAT. Il doit correspondre à celui de la version la plus récente des fichiers DAT indiqué dans votre référentiel de logiciels maître. 144

145 Tenue à jour des fichiers DAT et des moteurs Evaluation des nouveaux fichiers DAT et des moteurs avant leur déploiement dans toute l'organisation 6 Evaluation des nouveaux fichiers DAT et des moteurs avant leur déploiement dans toute l'organisation Vous pouvez décider de tester les mises à jour hebdomadaires de fichiers DAT et de moteur sur quelques ordinateurs clients avant de les déployer dans toute l'organisation. Après les avoir évalués pendant quelques heures ou une journée et vérifié qu'elles fonctionnent correctement, vous pouvez les déployer dans tout votre réseau. Vous n'êtes pas obligé de passer par epolicy Orchestrator pour ce faire. Vous pouvez, par exemple télécharger vous-même les fichiers DAT hebdomadaires du site web de McAfee Security et les installer manuellement sur plusieurs ordinateurs de test possédant un antivirus, comme VirusScan Enterprise. Dès que vous êtes assuré de leur bon fonctionnement, vous pouvez exécuter une tâche d'extraction immédiate ou archiver manuellement les fichiers DAT pour les ajouter à votre référentiel maître. Après quoi, vous pouvez utiliser epolicy Orchestrator pour les distribuer sur tous les clients gérés. L'opération est relativement simple mais elle comporte de nombreuses étapes à réaliser manuellement. Utilisation de la branche Evaluation pour automatiser le test des nouveaux fichiers DAT Une autre solution consiste à laisser epolicy Orchestrator automatiser le processus d'évaluation pour vous. Vous pouvez planifier des tâches d'extraction et de mise à jour synchronisées qui utilisent uniquement la branche Evaluation du référentiel maître. Ensuite, vous pouvez désigner un petit site ou groupe de l'arborescence de votre Répertoire comme environnement de test et configurer les clients de ce groupe de telle sorte qu'ils tirent uniquement leurs mises à jour de la branche Evaluation. Lorsque vous avez vérifié que les nouveaux fichiers DAT fonctionnent bien dans votre groupe de test, déplacez simplement ces derniers dans la branche Actuels du référentiel. La prochaine fois que les autres clients du Répertoire effectueront une tâche de mise à jour, ils le feront avec les nouveaux fichiers DAT. Procédez comme décrit ci-dessous pour automatiser le test des fichiers DAT à l'aide de la branche Evaluation d'epolicy Orchestrator. La plupart de ces étapes ne doivent être effectuées qu'une seule fois lorsque vous configurez votre stratégie de mise à jour en évaluation. La seule qu'il faille exécuter à chaque mise à jour est l'étape 5. Pour utiliser la branche Evaluation dans le cadre du test des fichiers DAT, plusieurs tâches sont nécessaires : 1 Création d'une tâche d'extraction planifiée pour utiliser la branche Evaluation 2 Désignation d'un groupe du Répertoire pour la mise à jour à partir de la branche Evaluation 3 Planification d'une tâche de mise à jour de client afin que le groupe d'évaluation se mette à jour à partir de la branche Evaluation 4 Surveillance des ordinateurs clients pendant la période d'évaluation des fichiers DAT 5 Déplacement des nouveaux fichiers DAT de la branche Evaluation à la branche Actuels 6 Mise à jour avec les nouveaux fichiers DAT par les tâches de mise à jour et de réplication 145

146 Tenue à jour des fichiers DAT et des moteurs Evaluation des nouveaux fichiers DAT et des moteurs avant leur déploiement dans toute l'organisation 6 Création d'une tâche d'extraction planifiée pour utiliser la branche Evaluation Créez une tâche d'extraction planifiée qui extrait les mises à jour dans la branche Evaluation du référentiel maître. Planifiez-la de sorte qu'elle s'exécute après la distribution hebdomadaire des fichiers DAT mis à jour par McAfee Security, en général pas plus tard que 2 heures du matin (GMT) le jeudi de chaque semaine. Pour des informations complètes sur la configuration de la branche Evaluation lors de la planification de tâches d'extraction, reportez-vous à la section Planification d'une tâche de serveur périodique pour l'extraction à partir du référentiel source à la page 127. Si vous utilisez des référentiels distribués, veillez à planifier également une tâche de réplication de référentiel qui s'exécute peu de temps après la fin de la tâche d'extraction planifiée et avant l'exécution de la tâche planifiée de mise à jour de client. Désignation d'un groupe du Répertoire pour la mise à jour à partir de la branche Evaluation Dans l'arborescence du Répertoire epolicy Orchestrator, sélectionnez un groupe (ou site) qui servira de groupe d'évaluation et configurez les stratégies de mise à jour d'agent pour que ce groupe utilise uniquement la branche Evaluation. Ce groupe se mettra à jour chaque semaine avec les derniers fichiers DAT à partir de la branche Evaluation du référentiel. Conservez, pour les stratégies de mise à jour du reste du Répertoire, l'option d'extraction de la branche Actuels par défaut. Vous pouvez évidemment configurer n'importe quel noeud de votre Répertoire afin qu'il utilise la branche Evaluation pour les mises à jour et ce, qu'il s'agisse d'un site, d'un groupe, d'un ordinateur individuel ou même de l'ensemble du Répertoire. Vous devez déterminer les ordinateurs ou les groupes d'ordinateurs à utiliser pour évaluer les fichiers DAT et définir en conséquence les stratégies de l'agent pour ces seuls ordinateurs. L'organisation des ordinateurs de test en un groupe du Répertoire simplifie l'opération. Pour configurer un groupe du Répertoire pour qu'il reçoive les mises à jour à partir de la branche Evaluation : 1 Dans l'arborescence du Répertoire, sélectionnez le groupe désigné comme groupe d'évaluation. 2 Dans l'onglet Mises à jour des stratégies de l'agent pour le groupe d'évaluation, désactivez Hériter pour activer les options de stratégie. 146

147 Tenue à jour des fichiers DAT et des moteurs Evaluation des nouveaux fichiers DAT et des moteurs avant leur déploiement dans toute l'organisation 6 3 Sous Sélection de la mise à jour de la branche de référentiel, sélectionnez Evaluation dans chaque liste déroulante afin de mettre à jour le moteur et les fichiers DAT à partir de la seule branche Evaluation. Figure 6-14 Configuration des stratégies de l'agent pour le groupe d'ordinateurs de test afin qu'ils se mettent à jour uniquement à partir de la branche Evaluation 4 Cliquez sur Appliquer tout pour enregistrer les modifications apportées. Les stratégies sont appliquées lors du prochain appel de l'agent au serveur. Lors de la prochaine mise à jour des agents, conformément à la configuration d'une tâche de mise à jour d'agent planifiée que vous configurerez ci-dessous, ils procéderont à la mise à jour uniquement à partir de la branche Evaluation. Planification d'une tâche de mise à jour de client afin que le groupe d'évaluation se mette à jour à partir de la branche Evaluation Créez un tâche planifiée Agent epolicy Orchestrator - Mettre à jour au niveau de votre groupe d'évaluation, qui n'effectue les mises à jour des fichiers DAT et des moteurs qu'à partir de la branche Evaluation du référentiel. Planifiez-la pour qu'elle s'exécute une ou deux heures après le début prévu de la tâche d'extraction planifiée. La création d'une tâche de mise à jour d'évaluation au niveau du groupe d'évaluation limite son exécution à ce seul groupe. Vous devez créer une tâche de mise à jour distincte, probablement au niveau du Répertoire, pour mettre à jour le reste de votre réseau à partir de la branche Actuels après avoir évalué les mises à jour des fichiers DAT et des moteurs. Consultez la section Création et planification d'une tâche quotidienne de mise à jour du moteur et des fichiers DAT au niveau des clients à la page 139 pour plus d'informations sur la création de cette tâche. 147

148 Tenue à jour des fichiers DAT et des moteurs Evaluation des nouveaux fichiers DAT et des moteurs avant leur déploiement dans toute l'organisation 6 Pour créer la tâche de mise à jour pour le groupe d'évaluation : 1 Cliquez avec le bouton droit sur le groupe d'évaluation dans l'arborescence du Répertoire epolicy Orchestrator et sélectionnez Planifier la tâche. Figure 6-15 Planification d'une tâche de mise à jour au niveau du groupe pour mettre uniquement à jour les clients de test avec les nouveaux fichiers DAT ou de moteur 2 Dans la boîte de dialogue Planifier la tâche, tapez un nom, par exemple Mise à jour d'évaluation. 3 Sélectionnez Agent epolicy Orchestrator - Mettre à jour dans la liste des tâches disponibles, puis cliquez sur OK. 4 Dans le volet de détails supérieur, sélectionnez l'onglet Tâches. Votre nouvelle tâche Mise à jour d'évaluation doit apparaître dans la liste des tâches disponibles. Notez que cette tâche n'est disponible qu'au niveau de votre groupe d'évaluation ou à un niveau inférieur. 5 Planifiez et activez la tâche de mise à jour pour qu'elle s'exécute peu de temps après la fin de la tâche d'extraction d'évaluation. Pour plus d'informations sur la configuration d'une tâche de mise à jour d'agent, reportez-vous à la section Création et planification d'une tâche quotidienne de mise à jour du moteur et des fichiers DAT au niveau des clients à la page 139. Une fois configurée, la tâche de mise à jour s'exécute au jour et à l'heure spécifiés. Surveillance des ordinateurs clients pendant la période d'évaluation des fichiers DAT Observez les ordinateurs clients de votre groupe d'évaluation pendant plusieurs heures après leur mise à jour avec les nouveaux fichiers DAT. Lorsque vous êtes assuré du bon fonctionnement des nouveaux fichiers DAT sur les clients de test, vous pouvez les distribuer en toute sécurité au reste du réseau. 148

149 Tenue à jour des fichiers DAT et des moteurs Evaluation des nouveaux fichiers DAT et des moteurs avant leur déploiement dans toute l'organisation 6 Déplacement des nouveaux fichiers DAT de la branche Evaluation à la branche Actuels Il s'agit de l'étape manuelle à accomplir chaque semaine. Dès que vous êtes certain du bon fonctionnement des fichiers DAT, copiez-les de la branche Evaluation vers la branche Actuels de votre référentiel maître. Vous les rendez ainsi disponibles pour la tâche de mise à jour de client quotidienne. A sa prochaine exécution, la tâche de mise à jour obtiendra les nouveaux fichiers DAT du dossier Actuels et les distribuera à tous les clients. Pour copier les nouveaux fichiers DAT de la branche Evaluation à la branche Actuels : 1 Dans l'arborescence de la console epolicy Orchestrator, sélectionnez Référentiel. 2 Dans le volet des détails, sous Tâches AutoUpdate, cliquez sur Gérer les packages. La page Packages s'affiche. 3 Parcourez la liste pour trouver les fichiers DAT enregistrés dans votre référentiel maître. La liste doit afficher deux jeux de fichiers DAT, ceux de la semaine précédente qui sont toujours dans la branche Actuels et les nouveaux fichiers DAT que vous venez de télécharger et qui se trouvent dans la branche Evaluation. Avant de terminer la copie des nouveaux fichiers DAT vers la branche Actuels, veillez à d'abord copier les anciens fichiers DAT de la branche Actuels vers la branche Précédents. Il se peut en effet que vous deviez restaurer les fichiers DAT de la branche Précédents. 4 Sélectionnez les fichiers DAT de la branche Actuels, puis choisissez Copier vers la branche Précédents en haut du tableau. 5 Dans l'assistant de copie de package, sélectionnez Prise en charge des mises à jour des produits antérieurs si d'anciens produits sont toujours déployés, par exemple VirusScan Cliquez sur Terminer pour déplacer le package. 7 Sélectionnez dans la liste les nouveaux fichiers DAT figurant dans la branche Evaluation. 8 Sélectionnez Copier vers la branche Actuels. 9 Cliquez sur Fermer une fois le package copié. Mise à jour avec les nouveaux fichiers DAT par les tâches de mise à jour et de réplication Dès que les nouveaux fichiers DAT ou de moteur sont ajoutés à la branche Actuels de votre référentiel maître, ils sont disponibles pour tout le réseau. Les tâches de réplication planifiées mettront automatiquement à jour tout référentiel distribué dont vous disposez. Par ailleurs, votre tâche de mise à jour quotidienne, vraisemblablement définie pour utiliser la branche Actuels, mettra à jour tous vos clients avec les nouveaux fichiers DAT lors de sa prochaine exécution. Pour plus d'informations sur la création et la configuration de cette tâche, reportez-vous à la section Distribution des mises à jour de fichiers DAT et de moteur aux clients à la page

150 Tenue à jour des fichiers DAT et des moteurs Déplacement ou suppression des packages de fichiers DAT et de moteur 6 Déplacement ou suppression des packages de fichiers DAT et de moteur Cette section contient des informations sur le traitement manuel des packages de fichiers DAT et de moteur dans le référentiel maître. Il se peut en effet que vous soyez amené à supprimer ou à déplacer manuellement des packages d'une branche du référentiel à une autre. Elle aborde les sujets suivants : # Déplacement manuel des packages de fichiers DAT et de moteur d'une branche à une autre # Suppression des packages de fichiers DAT ou de moteur du référentiel Déplacement manuel des packages de fichiers DAT et de moteur d'une branche à une autre Utilisez cette procédure pour déplacer les packages entre les branches Evaluation, Actuels et Précédents après leur archivage dans le référentiel maître. Vous serez peut-être amené à réaliser cette opération si vous utilisez la branche Evaluation pour tester les mises à jour des fichiers DAT et de moteur (voir Evaluation des nouveaux fichiers DAT et des moteurs avant leur déploiement dans toute l'organisation à la page 145). De même, si vous archivez manuellement les nouveaux fichiers DAT dans la branche Actuels, vous pouvez choisir de copier les anciens fichiers dans la branche Précédents. Pour plus d'informations sur les branches, consultez la section A propos des branches de référentiel à la page 119. Vous devez être un administrateur global pour déplacer des packages entre les branches. 150

151 Tenue à jour des fichiers DAT et des moteurs Déplacement ou suppression des packages de fichiers DAT et de moteur 6 Pour déplacer un package d'une branche à une autre : 1 Dans l'arborescence de la console epolicy Orchestrator, sélectionnez Référentiel. 2 Dans le volet de détails, sous Tâches AutoUpdate, cliquez sur Gérer les packages. La page Packages s'affiche. Figure 6-16 Affichage dans la page Packages des packages archivés dans le référentiel maître 3 Sélectionnez le package souhaité, puis cliquez sur Copier vers la branche Actuels, Copier vers la branche Précédents ou Copier dans la branche Evaluation selon les besoins. L'Assistant de copie de package s'affiche. 4 Cliquez sur Suivant pour ouvrir la boîte de dialogue des options de copie. 5 Si des produits antérieurs sont toujours déployés dans votre réseau, par exemple VirusScan 4.5.1, sélectionnez Prise en charge des mises à jour des produits antérieurs pour que le package soit disponible à la fois pour les produits antérieurs et les plus récents. 6 Pour supprimer le package sélectionné une fois ce dernier déplacé vers la nouvelle branche, sélectionnez Supprimer l'original après la copie. 7 Cliquez sur Terminer pour déplacer le package. 8 Cliquez sur Fermer une fois le package déplacé. 151

152 Tenue à jour des fichiers DAT et des moteurs Déplacement ou suppression des packages de fichiers DAT et de moteur 6 Suppression des packages de fichiers DAT ou de moteur du référentiel Vous devez être un administrateur global pour supprimer des packages du référentiel. Comme vous archivez des nouveaux fichiers DAT chaque semaine, ils remplacent les versions antérieures ou ils sont déplacés vers la branche Précédents, si vous utilisez celle-ci. Toutefois, vous serez peut-être amené à devoir supprimer manuellement des packages de fichiers DAT ou de moteur du référentiel maître. Attention Ne supprimez pas manuellement des packages de référentiels autrement que par l'intermédiaire de la console epolicy Orchestrator, par exemple dans l'explorateur Windows. Pour obtenir les définitions des options, cliquez sur Aide dans l'interface. 1 Dans l'arborescence de la console epolicy Orchestrator, sélectionnez Référentiel. 2 Dans le volet de détails, sous Tâches AutoUpdate, cliquez sur Gérer les packages. La page Packages s'affiche. 3 Sélectionnez les packages à supprimer, puis cliquez sur Supprimer. Cette opération supprime les packages de votre référentiel maître. 152

153 7 Mise à jour de réseaux de grande taille à l'aide de référentiels distribués Création de référentiels distribués pour les bureaux distants et le partage de la charge du réseau Si votre organisation est de taille importante et compte des bureaux dans différentes régions, connectés via un réseau étendu (WAN), un réseau privé virtuel (VPN) ou un autre type de connexion à faible bande passante, il est probable que vous utiliserez des référentiels distribués. Un référentiel distribué est une copie du référentiel maître de votre serveur epolicy Orchestrator figurant sur une autre partie du réseau. Vous pouvez utiliser la console epolicy Orchestrator pour planifier des tâches de réplication ordinaires qui garantiront que les référentiels distribués sont à jour et incluent le contenu le plus récent du référentiel maître. Les clients des domaines distants peuvent être configurés de manière à ce qu'ils tirent leurs mises à jour d'un référentiel distribué situé sur le réseau local, et non à partir du serveur epolicy Orchestrator via un réseau étendu. epolicy Orchestrator prend en charge plusieurs types de référentiels distribués ; vous pouvez ainsi utiliser celui qui convient le mieux à votre réseau. Un référentiel maître et un serveur epolicy Orchestrator peuvent accepter des dizaines, voire des centaines de référentiels distribués. Contenu de cette section : # A propos des référentiels distribués # Création de référentiels distribués # Réplication du contenu du référentiel maître sur les référentiels distribués # Configuration de stratégies de l'agent pour utiliser le référentiel distribué approprié # Utilisation de référentiels distribués locaux qui ne sont pas gérés par epolicy Orchestrator # Gestion de la liste des référentiels SITELIST.XML 153

154 Mise à jour de réseaux de grande taille à l'aide de référentiels distribués A propos des référentiels distribués 7 A propos des référentiels distribués Les référentiels distribués sont des copies du référentiel maître et contiennent l'ensemble des fichiers DAT, des moteurs et des packages de mise à jour de produit enregistrés dans le référentiel maître. Lors de la mise à jour du référentiel maître, que ce soit via des tâches d'extraction pour la mise à jour des fichiers DAT et des moteurs, ou via l'archivage de fichiers de package, epolicy Orchestrator réplique les mises à jour sur les référentiels distribués. Vous pouvez configurer les ordinateurs clients situés dans des sites distants pour qu'ils obtiennent leurs mises à jour auprès des référentiels distribués. Figure 7-1 Référentiels distribués Comment les référentiels distribués préservent-ils la bande passante? L'utilisation de référentiels distribués permet d'équilibrer la charge dans le cadre d'un vaste réseau local comptant plusieurs milliers d'ordinateurs clients. En cas d'épidémie virale, vous pouvez mettre à jour tous les clients simultanément. Si vous possédez plusieurs référentiels distribués, vous pouvez équilibrer la charge du réseau, au lieu de mettre à jour tous les ordinateurs à partir d'un seul serveur. Pour les grandes organisations dont les bureaux sont situés à des emplacements géographiques différents, l'utilisation de référentiels distribués permet de réduire le trafic dans les segments du réseau à faible bande passante. Supposons par exemple que vous souhaitiez mettre à jour l'ensemble des fichiers DAT hebdomadaires dans un bureau distant d'un autre pays, comptant 100 ordinateurs clients. Supposons également que le réseau distant soit connecté à votre réseau local via une liaison WAN. Si vous créez un référentiel distribué et que vous configurez les clients pour effectuer leurs mises à jour à partir de celui-ci, vous devez copier le package DAT, dont la taille avoisine généralement 3 Mo, une seule fois sur le référentiel distribué via le réseau étendu. Tous les clients tireront ensuite leurs mises à jour de fichiers DAT à partir du référentiel distribué situé sur le même réseau local. 154

155 Mise à jour de réseaux de grande taille à l'aide de référentiels distribués A propos des référentiels distribués 7 Si vous n'aviez pas créé de référentiel distribué sur le réseau local distant, chacun des 100 clients de celui-ci aurait dû obtenir la mise à jour des fichiers DAT à partir du référentiel maître : le package DAT de 3 Mo allait donc être extrait 100 fois sur le réseau étendu. Quels ordinateurs du réseau dois-je utiliser comme référentiels distribués? Il n'est pas nécessaire d'utiliser un ordinateur dédié pour le référentiel distribué ; vous pouvez normalement utiliser un serveur existant. Idéalement, l'ordinateur sera un serveur, d'une capacité suffisante pour permettre la connexion de nombreux ordinateurs clients afin d'obtenir les mises à jour. Les serveurs sont plus indiqués que les postes de travail car dans la plupart des cas, ils sont toujours en service. A propos de la liste des référentiels SITELIST.XML La liste des référentiels est un fichier XML contenant une liste de tous les référentiels de mise à jour gérés via epolicy Orchestrator (référentiels sources ou de secours, référentiel maître et référentiels distribués éventuellement créés). Elle contient les informations de connexion réseau et d'emplacement nécessaires aux ordinateurs clients pour sélectionner dans la liste le référentiel le plus proche et en extraire les mises à jour. Le serveur epolicy Orchestrator envoie la liste des référentiels à l'agent au cours de la communication agent-serveur. Vous pouvez également l'exporter dans un fichier et la déployer manuellement, puis l'appliquer aux ordinateurs clients à l'aide d'options de ligne de commande. Types de référentiels distribués epolicy Orchestrator prend en charge plusieurs types de référentiels distribués, ainsi que divers protocoles de réplication pour garantir que chaque référentiel distribué est à jour et contient les dernières mises à jour de votre référentiel maître. Vous devez déterminer le type de référentiel distribué le mieux adapté à votre réseau. Voici les types qui sont à votre disposition et que vous pouvez employer isolément ou simultanément : # Référentiels SuperAgents # Serveurs FTP ou HTTP # Dossiers de partage UNC # Lecteurs mappés (disques locaux) # Référentiels non gérés 155

156 Mise à jour de réseaux de grande taille à l'aide de référentiels distribués Création de référentiels distribués 7 Création de référentiels distribués Pour utiliser des référentiels distribués dans votre déploiement epolicy Orchestrator, vous devez d'abord créer les emplacements destinés à les héberger. Le processus de création de référentiels distribués varie en fonction du type de référentiel distribué choisi. # Création de référentiels distribués SuperAgents. Vous pouvez utiliser comme référentiels distribués des ordinateurs sur lesquels des SuperAgents sont installés. # Création de référentiels distribués globaux FTP, HTTP et UNC. Créez des dossiers sur des serveurs existants et utilisez-les pour héberger des référentiels distribués. Il est également possible de créer et d'utiliser des référentiels distribués qui ne sont pas créés ou gérés par epolicy Orchestrator et d'autoriser les ordinateurs clients à effectuer des mises à jour à partir de ceux-ci. La création et la gestion de ces référentiels distribués ne sont pas exposées ici. McAfee Security déconseille, dans la mesure du possible, d'utiliser des référentiels non gérés. Pour plus d'informations sur l'utilisation de ces référentiels, reportez-vous à la section Utilisation de référentiels distribués locaux qui ne sont pas gérés par epolicy Orchestrator à la page 168. Création de référentiels distribués SuperAgents Outre pour l'envoi d'appels de réactivation de diffusion à d'autres agents lors d'une mise à jour globale, vous pouvez également utiliser des SuperAgents comme référentiels distribués pour les mises à jour. Pourquoi utiliser des référentiels SuperAgents et non des référentiels HTTP, FTP ou UNC? Les référentiels SuperAgents présentent plusieurs avantages par rapport aux autres types de référentiels distribués, ce qui simplifie leur création et leur configuration. Tout d'abord, vous ne devez pas créer manuellement des emplacements de dossier sur l'ordinateur hôte avant d'ajouter le référentiel à la liste des référentiels. Il suffit d'activer la fonction de référentiel SuperAgent à partir des stratégies de l'agent d'un ordinateur donné ; epolicy Orchestrator créera alors les sous-dossiers nécessaires. Ensuite, vous ne devez pas activer manuellement le partage sur le dossier du référentiel SuperAgent. Les ordinateurs clients qui effectuent une mise à jour à partir du référentiel SuperAgent peuvent accéder à ce dossier. Enfin, avec les référentiels SuperAgents, il n'est pas nécessaire d'indiquer des références pour la réplication ou la mise à jour. Une fois le SuperAgent installé et activé sur l'ordinateur, epolicy Orchestrator peut répliquer le contenu de référentiel sur ce SuperAgent, et les autres agents peuvent effectuer une mise à jour à partir de celui-ci. epolicy Orchestrator utilise un protocole réseau propriétaire (SPIPE) pour répliquer les mises à jour sur les référentiels distribués SuperAgents. Quelle est la différence entre un SuperAgent et un référentiel SuperAgent? Vous pouvez utiliser des SuperAgents uniquement pour envoyer des appels de réactivation de diffusion lors d'une mise à jour globale. Voir la section Déploiement de SuperAgents pour la distribution des appels de réactivation de l'agent à la page 87. Par ailleurs, les SuperAgents peuvent également servir de référentiels distribués. 156

157 Mise à jour de réseaux de grande taille à l'aide de référentiels distribués Création de référentiels distribués 7 Pour utiliser l'appel de réactivation de diffusion du SuperAgent, en vertu duquel les autres agents appelleront le serveur epolicy Orchestrator, il faut déployer un SuperAgent par segment de diffusion. Pour la plupart des réseaux, cela équivaut à déployer un SuperAgent par sous-réseau. Il n'est toutefois pas nécessaire qu'un référentiel SuperAgent soit situé dans le même segment de diffusion pour qu'un ordinateur client puisse effectuer une mise à jour à partir de celui-ci. Pour la mise à jour, un ordinateur client doit seulement être capable de «voir» l'ordinateur qui héberge le référentiel SuperAgent sur le réseau. Les ordinateurs qui hébergent les référentiels SuperAgents doivent être plus puissants que ceux qui hébergent uniquement les SuperAgents utilisés pour les appels de réactivation de diffusion. Si vous envisagez d'utiliser des référentiels SuperAgents, assurez-vous que l'ordinateur sur lequel vous les créez offre une capacité suffisante pour permettre aux ordinateurs clients, quel que soit leur nombre, d'effectuer des mises à jour à partir de celui-ci, simultanément en cas d'épidémie virale. Utilisation de la page de stratégie de l'agent pour créer un référentiel distribué SuperAgent Pour créer un référentiel distribué SuperAgent, vous devez convertir un agent epolicy Orchestrator ordinaire en un référentiel SuperAgent. La procédure décrite ci-dessous suppose que vous avez d'abord déployé des agents sur des clients du réseau et que vous les avez ajoutés à votre Répertoire. Vous pouvez également convertir tout SuperAgent existant en un référentiel SuperAgent. Pour créer un référentiel distribué SuperAgent : 1 Identifiez l'ordinateur client à utiliser comme référentiel SuperAgent. 2 Recherchez l'ordinateur client dans l'arborescence du Répertoire epolicy Orchestrator et sélectionnez-le. 3 Dans le volet de détails supérieur droit, sélectionnez Agent epolicy Orchestrator Configuration. 4 Dans le volet de détails inférieur, sélectionnez l'onglet Général de la page de stratégie Agent epolicy Orchestrator. 5 Désactivez l'option Hériter pour activer les options de configuration. 157

158 Mise à jour de réseaux de grande taille à l'aide de référentiels distribués Création de référentiels distribués 7 6 Activez Activer la fonctionnalité SuperAgent. Cette option convertit un agent ordinaire en un SuperAgent. Figure 7-2 Conversion d'un agent existant en un référentiel SuperAgent 7 Activez Activer le référentiel SuperAgent. 8 Tapez le chemin d'accès du dossier pour le référentiel. Il s'agit de l'emplacement où le référentiel maître copie les mises à jour lors de la réplication. Vous pouvez utiliser des variables Windows standard, telles que <PROGRAM_FILES_DIR>. Le dossier est créé s'il n'existe pas sur l'ordinateur. Les ordinateurs clients qui effectuent une mise à jour à partir de ce référentiel SuperAgent pourront accéder à ce dossier. Il n'est pas nécessaire d'activer manuellement le partage de fichiers. 9 Cliquez sur le bouton Appliquer tout situé en haut de la page de stratégie. Le référentiel SuperAgent est créé lorsque l'agent de l'ordinateur cible rappelle le serveur epolicy Orchestrator et obtient la modification de la stratégie. Après la création du référentiel distribué, le dossier spécifié est créé sur l'ordinateur s'il n'existait pas. Si epolicy Orchestrator ne peut pas créer le dossier pour une raison quelconque, il crée l'un des deux dossiers par défaut suivants : # <DOCUMENTS AND SETTINGS>\ ALL USERS\APPLICATION DATA\NETWORK ASSOCIATES\FRAMEWORK\DB\SOFTWARE # <CHEMIN D'INSTALLATION DE L'AGENT>\DATA\DB\SOFTWARE L'emplacement est également ajouté à la liste des référentiels SITELIST.XML gérée par epolicy Orchestrator. Cela permet aux autres clients de votre Répertoire d'accéder au site pour procéder aux mises à jour. 158

159 Mise à jour de réseaux de grande taille à l'aide de référentiels distribués Création de référentiels distribués 7 Suppression de référentiels distribués SuperAgents Utilisez cette procédure pour supprimer des référentiels distribués SuperAgent de la liste des référentiels et effacer leur contenu. Les modifications prennent effet lors de la communication agent-serveur suivante. 1 Dans l'onglet Général de la page de stratégie Agent epolicy Orchestrator Configuration, désactivez l'option Hériter. 2 Désactivez l'option Activer le référentiel SuperAgent. 3 Cliquez sur Appliquer tout pour enregistrer les entrées actuelles. Le référentiel SuperAgent est supprimé et effacé de la liste des référentiels. Notez que l'agent servira toujours de SuperAgent tant que l'option Activer la fonctionnalité SuperAgent est activée. Création de référentiels distribués globaux FTP, HTTP et UNC Vous pouvez utiliser des serveurs de fichiers FTP, HTTP ou UNC existants pour héberger des référentiels distribués et permettre aux clients d'effectuer leurs mises à jour à partir de ceux-ci. Cela vous permet d'utiliser des protocoles standard et des serveurs existants pour héberger des référentiels distribués. La création de ces types de référentiels distribués s'effectue en plusieurs étapes : 1 Création d'un emplacement de dossier sur un serveur FTP, HTTP ou UNC existant 2 Activation du partage de dossier pour les sites UNC et HTTP 3 Création d'un référentiel distribué dans epolicy Orchestrator qui référence le dossier Ces étapes sont détaillées ci-dessous. Notez que vous devez être un administrateur global epolicy Orchestrator pour créer des référentiels. Création d'un emplacement de dossier sur un serveur FTP, HTTP ou UNC existant Lors de la création d'un référentiel distribué HTTP, FTP ou UNC, la première étape consiste à créer l'emplacement du dossier sur l'ordinateur qui hébergera le référentiel distribué. Pour les partages UNC, il suffit de créer le dossier sur l'ordinateur et d'activer le partage. Dans le cas des emplacements FTP ou HTTP, vous pouvez utiliser votre logiciel de serveur FTP ou HTTP, tel que Microsoft Internet Information Services (IIS), pour créer un nouvel emplacement de dossier et de site pour le référentiel distribué. Reportez-vous à la documentation de votre serveur web pour plus d'informations sur la création d'un site. Activation du partage de dossier pour les sites UNC et HTTP Pour les référentiels HTTP et UNC, epolicy Orchestrator nécessite l'activation du partage de dossier pour permettre la réplication du dossier du référentiel. Vous devez activer le partage du dossier sur le réseau pour permettre au serveur epolicy Orchestrator d'y copier des fichiers. Notez que cette opération n'est nécessaire que dans le cadre de la réplication. Les ordinateurs clients configurés pour utiliser le référentiel distribué effectuent leurs mises à jour en utilisant le protocole adéquat (HTTP, FTP ou UNC) et ne nécessitent pas l'activation du partage de dossiers. 159

160 Mise à jour de réseaux de grande taille à l'aide de référentiels distribués Création de référentiels distribués 7 Pour créer un dossier partagé pour un dossier de référentiel distribué HTTP ou UNC : 1 Sur l'ordinateur qui hébergera le référentiel distribué, recherchez dans l'explorateur Windows le dossier que vous avez créé. 2 Cliquez avec le bouton droit sur le dossier et sélectionnez Partager. 3 Dans l'onglet Partage, sélectionnez Partager ce dossier. 4 Configurez les autorisations de partage nécessaires. Les ordinateurs clients qui effectuent une mise à jour à partir du référentiel nécessitent uniquement un accès LIRE, mais les comptes d'administrateur, y compris le compte utilisé par le service du serveur epolicy Orchestrator pour répliquer des données, exigent un accès ECRIRE. Consultez votre documentation Microsoft Windows pour savoir comment configurer les paramètres de sécurité adéquats pour les dossiers partagés. 5 Cliquez sur OK. Création d'un référentiel distribué dans epolicy Orchestrator qui référence le dossier Une fois que vous avez créé le dossier à utiliser comme référentiel, ajoutez un référentiel distribué à la liste des référentiels epolicy Orchestrator et configurez-le pour utiliser le dossier que vous avez créé. Pour ajouter le référentiel distribué : 1 Dans l'arborescence du volet gauche de la console epolicy Orchestrator, cliquez sur Référentiel. 2 Sélectionnez Ajouter un référentiel distribué dans le volet de droite du Référentiel. 3 Cliquez sur Suivant dans la première page de l'assistant. 4 Tapez un nom dans le champ Nom. Ce nom attribué au référentiel distribué sera celui qui apparaîtra dans la liste des référentiels dans la console epolicy Orchestrator. Il ne doit pas être spécifique au serveur ou au dossier qui héberge le référentiel. Figure 7-3 Création d'un référentiel distribué FTP, HTTP ou UNC 5 Sélectionnez Référentiel distribué dans la liste déroulante Type. 6 Sous Choisissez la configuration du référentiel, sélectionnez le protocole, à savoir FTP, HTTP ou UNC, en fonction du type de référentiel créé. 160

161 Mise à jour de réseaux de grande taille à l'aide de référentiels distribués Création de référentiels distribués 7 7 Cliquez sur Suivant. 8 Sur la page suivante de l'assistant, indiquez les informations relatives à l'adresse du site FTP, HTTP ou UNC, en fonction des sélections effectuées à l'étape 6. Pour les sites FTP ou HTTP, tapez l'adresse URL dans le champ URL, par exemple Il s'agit du site que vous avez créé sur votre serveur web (voir la section Création d'un emplacement de dossier sur un serveur FTP, HTTP ou UNC existant à la page 159). Tapez le numéro de port dans le champ Port. Pour les dossiers UNC, tapez un chemin UNC valide, par exemple \\NomServeurFichiers\PartageePO où NomServeurFichiers correspond au nom DNS de l'ordinateur et PartageePO est le nom du dossier UNC partagé que vous avez créé. 9 Cliquez sur Suivant. 10 Sur la page des références de téléchargement, entrez les informations d'authentification requises pour les clients qui effectueront des mises à jour à partir du référentiel. Des autorisations en lecture seule suffisent pour que les clients puissent télécharger les mises à jour depuis le référentiel distribué. Les options disponibles sur la page des références de téléchargement dépendent du type de référentiel créé. Type FTP HTTP UNC Informations d'authentification pour le téléchargement des clients Sélectionnez Utiliser une connexion anonyme ou tapez les informations du compte d'utilisateur dans Nom d'utilisateur, Mot de passe et Confirmer le mot de passe. Si le serveur HTTP nécessite une authentification, sélectionnez Utiliser l'authentification et tapez les informations du compte d'utilisateur dans Nom d'utilisateur, Mot de passe et Confirmer le mot de passe. Sélectionnez Utiliser le compte connecté ou tapez les informations du compte d'utilisateur dans Domaine, Nom d'utilisateur, Mot de passe et Confirmer le mot de passe. 11 Cliquez sur Vérifier pour tester les références pour le téléchargement. Après quelques secondes, une boîte de dialogue de confirmation s'affiche et indique que le site est accessible aux clients correspondant aux informations d'authentification spécifiées (ou qu'aucune authentification le cas échéant). Figure 7-4 Confirmation de la mise en service du référentiel distribué Si la vérification de votre site échoue, assurez-vous que vous avez tapé correctement l'url ou le chemin d'accès à la page précédente de l'assistant et que vous avez correctement configuré le site HTTP, FTP ou UNC sur l'hôte. 12 Cliquez sur Suivant. 13 Entrez les informations relatives aux références de réplication en tapant un domaine, un nom d'utilisateur et un mot de passe dans les zones de texte appropriées. 161

162 Mise à jour de réseaux de grande taille à l'aide de référentiels distribués Création de référentiels distribués 7 Le serveur epolicy Orchestrator utilise ces références lors de la copie ou de la réplication de fichiers DAT, de fichiers de moteur ou d'autres mises à jour de produits à partir du référentiel maître vers le référentiel distribué. Ces références doivent disposer des autorisations Lire et écrire dans le domaine où se trouve le référentiel distribué. Type FTP HTTP UNC Références pour la réplication Si vous avez sélectionné FTP, tapez les informations du compte d'utilisateur dans Nom d'utilisateur, Mot de passe et Confirmer le mot de passe. Tapez le nom de partage UNC du dossier physique qui héberge le référentiel dans Réplication - UNC. Utilisez le format suivant : \\<ORDINATEUR>\<DOSSIER>. Il est possible d'utiliser des variables système pour définir cet emplacement. Remarque : Il ne s'agit pas ici de l'adresse HTTP du site web, mais de l'emplacement du dossier physique sur le serveur. Tapez ensuite les informations de compte d'utilisateur pour le répertoire réseau dans Domaine, Nom d'utilisateur, Mot de passe et Confirmer le mot de passe. Tapez les informations de compte d'utilisateur dans les champs Domaine, Nom d'utilisateur et Mot de passe. 14 Cliquez sur Vérifier pour tester si le serveur epolicy Orchestrator peut écrire dans le dossier partagé sur l'ordinateur distant. Après quelques secondes, une boîte de dialogue de confirmation s'affiche, indiquant que le serveur peut effectuer cette opération. 15 Cliquez sur Terminer pour ajouter le référentiel. Patientez quelques instants pendant qu'epolicy Orchestrator ajoute le nouveau référentiel distribué à sa base de données. 16 Cliquez sur Fermer. Modification des référentiels distribués FTP, HTTP et UNC après leur création Vous pouvez modifier la configuration des référentiels distribués après leur création. Suivez cette procédure pour changer les paramètres des référentiels distribués globaux. 1 Dans l'arborescence de la console epolicy Orchestrator, sélectionnez Référentiel Référentiels de logiciels. Une liste des référentiels configurés s'affiche, qui inclut tous les référentiels distribués et le référentiel maître. 2 Sélectionnez un référentiel distribué dans la liste et cliquez sur Modifier. 3 Modifiez les options de configuration et d'authentification si nécessaire. 4 Cliquez sur OK pour enregistrer les entrées actuelles. 162

163 Mise à jour de réseaux de grande taille à l'aide de référentiels distribués Réplication du contenu du référentiel maître sur les référentiels distribués 7 Suppression de référentiels distribués HTTP, FTP ou UNC Utilisez la console epolicy Orchestrator pour supprimer des référentiels distribués HTTP, FTP ou UNC. Cette opération supprime ceux-ci de la liste des référentiels et supprime le contenu du référentiel distribué sur le serveur. Vous devez être un administrateur global pour supprimer des référentiels distribués. 1 Dans l'arborescence de la console epolicy Orchestrator, sélectionnez Référentiel Référentiels de logiciels. Une liste des référentiels configurés s'affiche, qui inclut tous les référentiels distribués et le référentiel maître. 2 Sélectionnez le référentiel distribué dans la liste et cliquez sur Supprimer. Réplication du contenu du référentiel maître sur les référentiels distribués Dès que vous avez créé des référentiels distribués, vous devez utiliser des tâches de réplication pour qu'epolicy Orchestrator copie le contenu du référentiel maître vers le référentiel distribué. Les ordinateurs clients effectuent leurs mises à jour à partir du référentiel distribué le plus proche. A moins que vous n'ayez répliqué les mises à jour du référentiel maître sur tous vos référentiels distribués, il se peut que certains ordinateurs clients qui se mettent à jour à partir des référentiels distribués ne les obtiennent pas. Il est donc primordial de vous assurer que tous les référentiels distribués sont actualisés de telle sorte que tous les clients de votre réseau puissent télécharger les dernières mises à jour. Si vous avez activé la mise à jour globale, la réplication de référentiel se produit automatiquement ; il n'est donc pas nécessaire d'utiliser des tâches de réplication. Pour plus d'informations sur la mise à jour globale, reportez-vous à la section Utilisation de la mise à jour globale pour distribuer automatiquement et immédiatement les mises à jour à tous les clients à la page 136. Réplication complète et réplication incrémentielle Vous pouvez sélectionner une réplication incrémentielle ou complète. La réplication incrémentielle copie uniquement les nouvelles mises à jour du référentiel maître qui ne se trouvent pas encore dans le référentiel distribué. Une réplication complète copie l'intégralité du contenu du référentiel maître. La réplication incrémentielle utilise moins de bande passante du réseau, mais elle est moins complète. Conseil : McAfee Security recommande l'exécution d'une tâche de réplication incrémentielle quotidienne et d'une tâche de réplication complète hebdomadaire. Cela optimise l'utilisation de la bande passante du réseau puisque seules les modifications primordiales et incrémentielles sont implémentées au cours de la semaine. Une réplication complète réalisée régulièrement garantit également que les systèmes sont totalement à jour. Vous devez pour cela créer et activer deux tâches de réplication planifiées, l'une incrémentielle qui se produit tous les jours et l'autre complète qui est exécutée chaque semaine. 163

164 Mise à jour de réseaux de grande taille à l'aide de référentiels distribués Réplication du contenu du référentiel maître sur les référentiels distribués 7 Réplication planifiée et réplication immédiate manuelle Cette section décrit l'emploi des tâches de réplication : # Planification d'une tâche de serveur quotidienne de réplication du référentiel # Exécution d'une tâche Répliquer maintenant pour une mise à jour immédiate des référentiels distribués Planification d'une tâche de serveur quotidienne de réplication du référentiel La planification d'une tâche de serveur de réplication du référentiel à exécution régulière garantit que vos référentiels distribués sont à jour et contiennent les modifications les plus récentes du référentiel maître. Vous pouvez mettre à jour fréquemment votre référentiel maître, via des tâches d'extraction à partir d'un référentiel source ou via un archivage manuel de packages de mises à jour de produit, de fichiers DAT et de moteurs. La planification d'une tâche de réplication quotidienne permet aux ordinateurs clients qui obtiennent leurs mises à jour à partir d'un référentiel distribué de se procurer également ces modifications. Pour créer une tâche de réplication planifiée quotidienne : 1 Dans l'arborescence de la console epolicy Orchestrator, sélectionnez Référentiel. 2 Dans la page Référentiel, sélectionnez Planifier les tâches d'extraction pour ouvrir la page Configurer les tâches du serveur. 3 Sélectionnez Créer une tâche pour ouvrir la page Configurer une nouvelle tâche. 4 Tapez un nom dans le champ Nom, par exemple Tâche quotidienne de réplication du référentiel distribué. 5 Sélectionnez Réplication du Référentiel dans le menu déroulant Type de tâche. 6 Vérifiez que l'option Activer la tâche a la valeur Oui. 7 Sélectionnez Quotidiennement dans la liste déroulante Type de planification. Vous pouvez également planifier les tâches pour qu'elles s'exécutent selon des fréquences différentes. 8 Développez les options de planification avancées et programmez le jour et l'heure d'exécution de la tâche. Si vous utilisez un référentiel source pour mettre à jour votre référentiel maître, planifiez la tâche de réplication de sorte qu'elle démarre une heure après le début de la tâche d'extraction planifiée. Cela devrait octroyer suffisamment de temps pour terminer la tâche d'extraction. En fonction des connexions réseau et Internet, votre tâche d'extraction peut nécessiter plus ou moins de temps ; adaptez donc l'heure de début de la tâche de réplication en conséquence. 9 Cliquez sur Suivant en haut de la page. 10 Sélectionnez Réplication incrémentielle, puis cliquez sur Terminer. Patientez quelques instants pendant que le système crée la tâche. Une fois créée, la tâche apparaît dans la liste des tâches de serveur planifiées. L'option Heure de la prochains exécution affiche la date et l'heure exactes de l'exécution de la tâche, en fonction des critères de planification spécifiés. 164

165 Mise à jour de réseaux de grande taille à l'aide de référentiels distribués Réplication du contenu du référentiel maître sur les référentiels distribués 7 Exécution d'une tâche Répliquer maintenant pour une mise à jour immédiate des référentiels distribués La configuration de tâches de réplication planifiées permet d'automatiser facilement la réplication sur vos référentiels distribués. Cependant, il arrive parfois que vous apportiez des modifications à votre référentiel maître que vous voulez répliquer immédiatement sur les référentiels distribués, au lieu d'attendre la prochaine réplication planifiée. Vous pouvez par exemple intégrer une mise à jour EXTRA.DAT dans votre référentiel maître pour contrer une attaque virale. Dans la mesure où vous souhaitez distribuer cette mise à jour aussi rapidement que possible sur votre réseau, exécutez une tâche manuelle Répliquer maintenant pour copier la mise à jour dans vos référentiels distribués. La fonctionnalité Répliquer maintenant vous permet de mettre à jour manuellement vos référentiels distribués avec le contenu le plus récent de votre référentiel maître. Nous verrons par la suite comment planifier une tâche de réplication pour effectuer cette mise à jour automatiquement. Pour ce faire : 1 Dans le volet gauche de l'arborescence de la console epolicy Orchestrator, cliquez sur Référentiel. 2 Dans le volet de détails de droite de la page Référentiel, cliquez sur Répliquer maintenant pour ouvrir l'assistant Répliquer maintenant. 3 Cliquez sur Suivant dans la première page de l'assistant. 4 Cliquez sur Tout sélectionner pour effectuer la réplication sur tous les référentiels distribués. Figure 7-5 Sélection des référentiels distribués vers lesquels vous souhaitez effectuer la réplication Si la réplication ne doit concerner que certains référentiels distribués individuels, vous pouvez les sélectionner dans la liste. En cas de doute sur les référentiels distribués à mettre à jour, effectuez la réplication sur tous les référentiels. 165

166 Mise à jour de réseaux de grande taille à l'aide de référentiels distribués Configuration de stratégies de l'agent pour utiliser le référentiel distribué approprié 7 5 Cliquez sur Suivant et sélectionnez Réplication incrémentielle dans la dernière page de l'assistant. Si c'est la première fois que vous effectuez une réplication sur un référentiel distribué, celle-ci sera complète même si vous avez sélectionné une réplication incrémentielle. Les réplications incrémentielles suivantes copieront uniquement les modifications incrémentielles. 6 Cliquez sur Terminer pour commencer la réplication. Patientez quelques instants jusqu'à la fin de la réplication. Le temps nécessaire varie en fonction des modifications apportées au référentiel maître et du nombre de référentiels distribués sur lesquels s'effectue la réplication. 7 Cliquez sur Fermer pour fermer l'assistant. Une fois la réplication terminée, vous pouvez lancer une tâche de mise à jour immédiate des clients pour permettre aux ordinateurs clients situés sur des sites distants d'obtenir des mises à jour à partir des référentiels distribués. Pour plus d'informations, reportez-vous à la section Création et planification d'une tâche quotidienne de mise à jour du moteur et des fichiers DAT au niveau des clients à la page 139. Configuration de stratégies de l'agent pour utiliser le référentiel distribué approprié De nouveaux référentiels distribués sont ajoutés à la liste des référentiels SITELIST.XML, qui contient tous les référentiels distribués disponibles. L'agent des ordinateurs clients met à jour la liste des référentiels SITELIST.XML à chaque communication avec le serveur epolicy Orchestrator. L'agent effectue une sélection de référentiel lorsque la liste des référentiels est modifiée et chaque fois que son service (Service McAfee Framework) démarre par exemple, lorsque l'ordinateur client est mis sous ou hors tension. Sélection par l'agent du référentiel à utiliser pour la mise à jour Par défaut, l'agent peut tenter de tirer les mises à jour de n'importe quel référentiel contenu dans sa liste des référentiels SITELIST.XML. Il peut exécuter une requête ping ICMP réseau ou un algorithme de comparaison d'adresse de sous-réseau pour localiser le référentiel distribué en un temps de réponse minimal. Le référentiel choisi sera donc généralement le référentiel distribué le plus proche du client sur le réseau. Par exemple, un ordinateur client situé à un emplacement distant éloigné du serveur epolicy Orchestrator sélectionnera probablement un référentiel distribué local. En revanche, un agent situé sur le même réseau local que le serveur epolicy Orchestrator effectuera probablement la mise à jour directement à partir du référentiel maître, qui est le plus proche. Vous pouvez également contrôler strictement les référentiels distribués que doivent utiliser les agents pour la mise à jour, en activant ou en désactivant des référentiels distribués spécifiques dans la stratégie de l'agent. McAfee Security déconseille toutefois de procéder de la sorte. Si vous autorisez les agents à utiliser n'importe quel référentiel distribué, vous avez l'assurance qu'ils obtiendront les mises à jour. De toute façon, en utilisant une requête ping, l'agent effectuera probablement une mise à jour à partir du référentiel distribué le plus proche. 166

167 Mise à jour de réseaux de grande taille à l'aide de référentiels distribués Configuration de stratégies de l'agent pour utiliser le référentiel distribué approprié 7 Modification de la procédure de sélection des référentiels par les agents Utilisez les options de l'onglet Référentiel des pages de stratégie de l'agent pour personnaliser la façon dont les agents sélectionnent les référentiels distribués. Cette configuration peut s'effectuer à n'importe quel niveau de l'arborescence Répertoire. 1 Dans l'onglet Référentiels de la page de stratégie Agent epolicy Orchestrator Configuration, désactivez l'option Hériter. Figure 7-6 Onglet Référentiels de la page de stratégie Agent epolicy Orchestrator Configuration 2 Sélectionnez Utiliser les référentiels configurés epo. 3 Sous Sélection du référentiel, indiquez la méthode à utiliser pour trier les référentiels : # Durée du ping Envoie une commande ping ICMP à tous les référentiels et les trie en fonction du temps de réponse. # Valeur du sous-réseau Compare l'adresse IP des ordinateurs clients et de tous les référentiels, et trie les référentiels en fonction de la correspondance de bits la plus proche. Plus les adresses IP se ressemblent, plus le référentiel est placé haut dans la liste. # Liste définie par l'utilisateur Sélectionne les référentiels en fonction de leur position dans la liste. 4 Tous les référentiels apparaissent dans la liste des référentiels. Vous pouvez désactiver les référentiels en désactivant la case à cocher en regard de leur nom. 5 Si vous sélectionnez Liste définie par l'utilisateur dans Sélection du référentiel, cliquez sur Monter ou sur Descendre pour indiquer l'ordre dans lequel vous souhaitez que les ordinateurs clients sélectionnent les référentiels distribués. 6 Cliquez sur Appliquer tout pour enregistrer les entrées actuelles. 167

168 Mise à jour de réseaux de grande taille à l'aide de référentiels distribués Utilisation de référentiels distribués locaux qui ne sont pas gérés par epolicy Orchestrator 7 Utilisation de référentiels distribués locaux qui ne sont pas gérés par epolicy Orchestrator Vous serez parfois amené à créer et à assurer la maintenance de référentiels distribués qui ne sont pas gérés par epolicy Orchestrator. Ainsi, il arrive parfois qu'au sein d'une entreprise, l'administrateur local d'un bureau distant souhaite garder le contrôle et ne veuille pas laisser une tâche de réplication epolicy Orchestrator copier automatiquement du contenu sur l'un de ses serveurs. De même, il se peut que votre organisation utilise déjà d'autres outils ou scripts réseau pour copier des fichiers entre les serveurs et que vous préfériez utiliser cette méthode pour maintenir les référentiels distribués à jour. Quel que soit le cas, vous (ou un administrateur de site) pouvez créer manuellement un référentiel distribué FTP, HTTP, UNC ou de répertoire local (lecteur mappé) et l'actualiser régulièrement via des mises à jour de fichiers DAT, de moteur ou de produits. Dans la mesure où ce référentiel distribué n'est pas inclus dans la liste du site maître sur le serveur epolicy Orchestrator, le logiciel epolicy Orchestrator ne le mettra pas à jour à l'aide des tâches de réplication. C'est à l'administrateur du site local qu'il reviendra de mettre le référentiel à jour manuellement. Vous pouvez ensuite utiliser la console epolicy Orchestrator ou une console distante pour configurer les ordinateurs clients d'un site ou groupe particulier dans l'arborescence du Répertoire pour qu'ils obtiennent leurs mises à jour de ce référentiel particulier. Conseil McAfee Security recommande de gérer tous les référentiels distribués via epolicy Orchestrator, dans la mesure du possible. Pour avoir l'assurance que les référentiels distribués sont à jour, et donc que les clients qui en tirent leurs mises à jour disposent des versions les plus récentes, la meilleure méthode consiste d'une part à gérer ces référentiels distribués avec epolicy Orchestrator, d'autre part à utiliser des tâches de réplication planifiées pour effectuer des actualisations fréquentes. N'utilisez des référentiels distribués non gérés que si la structure de votre réseau ou de votre organisation ne permet pas de les gérer via epolicy Orchestrator. Création manuelle et tenue à jour d'un référentiel distribué Créez un emplacement de dossier UNC, FTP ou HTTP sur un ordinateur (de préférence un serveur) qui hébergera le référentiel distribué. Pour plus d'informations sur la procédure à suivre, reportez-vous à la documentation de votre système d'exploitation ou de votre logiciel de serveur HTTP ou FTP. Une fois le site créé, vous devez le maintenir à jour manuellement. Pour cela, vous devez ajouter au site du contenu de mise à jour requis, par exemple des packages de fichiers DAT et de moteur. La méthode la plus simple consiste à copier manuellement le contenu du dossier du référentiel de logiciels maître sur le serveur epolicy Orchestrator et à le coller à l'emplacement du référentiel distribué que vous avez créé. 168

169 Mise à jour de réseaux de grande taille à l'aide de référentiels distribués Utilisation de référentiels distribués locaux qui ne sont pas gérés par epolicy Orchestrator 7 Pour ce faire : 1 Copiez ou compressez l'ensemble des fichiers et sous-répertoires que contient le dossier du référentiel de logiciels maître à partir du serveur epolicy Orchestrator. Par défaut, ce dossier se trouve à l'emplacement suivant sur votre serveur epolicy Orchestrator : C:\Program Files\Network Assoc\ePO\3.5.0\DB\Software 2 Collez ou décompressez les fichiers et sous-dossiers copiés dans l'emplacement de votre référentiel distribué sur l'ordinateur de ce dernier. Supposons par exemple que vous avez un dossier de référentiel de partage UNC sous C:\Réf_Distr_UNC sur un serveur nommé //MonServeurDistr. Copiez le contenu du dossier./db/software, c'est-à-dire tous les fichiers et sous-dossiers, du serveur epolicy Orchestrator vers le dossier UNC. La hiérarchie de dossiers complète sur le référentiel distribué ressemblera à la suivante : //MonServeurDistr/Réf_Distr_UNC/DB/Software/... Lorsque les ordinateurs clients sont dirigés vers le référentiel distribué //MonServeurDistr/Réf_Distr_UNC pour obtenir des mises à jour (voir ci-dessous), ils trouveront automatiquement les mises à jour de fichiers DAT, de moteurs ou de produits dans le sous-dossier approprié. Configuration des clients pour l'utilisation d'un référentiel distribué non géré Une fois que vous avez créé l'emplacement, utilisez la console epolicy Orchestrator pour configurer les propriétés de mise à jour des ordinateurs de ce site afin qu'ils utilisent le référentiel distribué. Idéalement, vous allez regrouper tous les ordinateurs qui utiliseront ce référentiel distribué dans un site ou un groupe sous l'arborescence Répertoire. Vous pouvez ainsi définir la configuration une seule fois, au niveau du site ou du groupe, et tous les ordinateurs enfants en hériteront. Pour configurer les clients pour qu'ils utilisent un référentiel distribué non géré : 1 Dans l'arborescence Répertoire de la console epolicy Orchestrator, sélectionnez le site ou le groupe qui doit utiliser le référentiel distribué non géré. 2 Dans le volet de détails de droite, sélectionnez Agent epolicy Orchestrator Configuration pour afficher les pages de stratégie de l'agent epolicy Orchestrator. 3 Dans le volet de détails inférieur, sélectionnez l'onglet Référentiels. 4 Désactivez l'option Hériter pour activer les options de configuration. 5 En regard de la liste des référentiels, cliquez sur Ajouter. 6 Dans la boîte de dialogue Options du Référentiel, tapez un nom dans la zone de texte Référentiel. C'est le nom qui apparaît dans la console epolicy Orchestrator ; il ne doit pas obligatoirement correspondre au nom de l'emplacement du référentiel. 7 Sous Récupérer les fichiers depuis, sélectionnez le type de référentiel. 8 Sous Configuration du référentiel, tapez l'emplacement créé ci-dessus en utilisant la syntaxe correcte pour le type de référentiel. Par exemple, un référentiel UNC peut ressembler à ceci : //NomOrdinateur/NomDossierUNC. Un référentiel HTTP peut être : 9 Tapez un numéro de port si vous ne voulez pas utiliser le port 80 par défaut. 169

170 Mise à jour de réseaux de grande taille à l'aide de référentiels distribués Gestion de la liste des référentiels SITELIST.XML 7 10 Le cas échéant, spécifiez les références d'authentification requises. 11 Cliquez sur OK pour enregistrer le nouveau référentiel distribué. 12 En haut des pages de stratégie, cliquez sur Appliquer tout pour enregistrer les modifications de la stratégie. Le référentiel est ajouté à le liste des référentiels. Le type est Local pour indiquer qu'il n'a pas été créé dans l'interface de référentiel du serveur epolicy Orchestrator et qu'il n'est donc pas géré par epolicy Orchestrator. Lorsqu'un référentiel non géré par epolicy Orchestrator est sélectionné dans la liste des référentiels, les boutons Modifier et Supprimer sont activés pour vous permettre de le modifier à partir des pages de stratégie. Remarque Vous ne pouvez pas modifier ou supprimer de cette façon, à partir des pages de stratégie de l'agent, les référentiels distribués gérés par epolicy Orchestrator et créés à l'aide de l'interface de référentiel de la console epolicy Orchestrator. Gestion de la liste des référentiels SITELIST.XML Le fichier SITELIST.XML contient la liste des référentiels, qui répertorie l'emplacement et les informations de configuration de tous les référentiels de logiciels utilisés avec epolicy Orchestrator (référentiels sources ou de secours, référentiel maître et référentiels distribués éventuellement créés). Vous pouvez utiliser la console epolicy Orchestrator pour importer une liste des référentiels existante, à partir d'une installation précédente d'epolicy Orchestrator ou d'un autre produit McAfee, tel que VirusScan Enterprise. Vous pouvez également employer la console pour exporter votre liste des référentiels actuelle dans un fichier XML externe. Cela peut s'avérer utile pour sauvegarder votre liste des référentiels si vous devez réinstaller le serveur epolicy Orchestrator à un moment donné. Les listes des référentiels exportées peuvent également être importées manuellement vers d'autres produits, tels que VirusScan Enterprise, lors de leur installation. Importation d'une liste des référentiels SITELIST.XML Vous devrez parfois importer une liste des référentiels, à partir d'une installation précédente d'epolicy Orchestrator ou de McAfee AutoUpdate Architect (MAA). Avant de désinstaller McAfee AutoUpdate Architect, créez une copie de sauvegarde du fichier SITEMGR.XML qui se trouve dans le répertoire d'installation, puis stockez-la dans un endroit sûr. L'emplacement par défaut du répertoire d'installation de McAfee AutoUpdate Architect est le suivant : C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE AUTOUPDATE ARCHITECT Il n'est pas possible d'importer une liste des référentiels (SITELIST.XML) exportée à partir de McAfee AutoUpdate Architect ou d'epolicy Orchestrator dans ce but. 170

171 Mise à jour de réseaux de grande taille à l'aide de référentiels distribués Gestion de la liste des référentiels SITELIST.XML 7 Vous devez être un administrateur global pour pouvoir importer la liste des référentiels McAfee AutoUpdate Architect. 1 Dans l'arborescence de la console epolicy Orchestrator, sélectionnez Référentiel Référentiels de logiciels. 2 A la page Référentiels maître et distribués, cliquez sur Importer la liste des référentiels. 3 Dans la boîte de dialogue Ouvrir, accédez au fichier SITEMGR.XML enregistré et sélectionnez-le. Les référentiels de la liste pourront être affichés à partir de la page Référentiels maître et distribués. Apportez les modifications nécessaires aux référentiels de la liste. Exportation de la liste des référentiels dans un fichier Utilisez cette procédure pour exporter la liste des référentiels (SITELIST.XML) dans un fichier afin de pouvoir effectuer un déploiement manuel sur des ordinateurs clients ou une importation durant l'installation des produits pris en charge. Pour plus d'informations, reportez-vous à la section Gestion de la liste des référentiels SITELIST.XML à la page 170. Vous devez être un administrateur global pour exporter la liste des référentiels. Pour exporter une liste des référentiels : 1 Dans l'arborescence de la console epolicy Orchestrator, sélectionnez Référentiel Référentiels de logiciels. 2 A la page Référentiels maître et distribués, cliquez sur Exporter la liste des référentiels. 3 Lorsque l'assistant d'exportation de liste de référentiels s'affiche, cliquez sur Suivant dans le premier écran. 4 Tapez le chemin d'accès de l'emplacement où vous souhaitez enregistrer la liste des référentiels ou cliquez sur Parcourir pour sélectionner un emplacement, puis cliquez sur Suivant. 5 Cliquez sur Terminer pour exporter la liste des référentiels (SITELIST.XML) vers l'emplacement spécifié. Après avoir exporté la liste des référentiels (SITELIST.XML) dans un fichier, vous pouvez l'importer durant l'installation de produits pris en charge. Pour obtenir des instructions, reportez-vous au Guide d'installation du produit concerné. Vous pouvez également distribuer la liste des référentiels aux ordinateurs clients, puis appliquer cette liste à l'agent (par exemple, à l'aide d'outils de déploiement tiers et de scripts de connexion). Pour plus d'informations, reportez-vous à la section Options de ligne de commande pour l'installation de l'agent à la page

172 SECTION 3 Gestion des stratégies pour les agents et les produits Vous pouvez gérer des stratégies et planifier l'exécution régulière de tâches sur les clients afin de garantir un fonctionnement optimal des produits de sécurité et des agents epolicy Orchestrator. Chapitre 8, Gestion des agents déployés Chapitre 9, Gestion de stratégies de produit et exécution de tâches de client Chapitre 10, Evaluation de la conformité

173 8 Gestion des agents déployés Gestion des stratégies et des communications agent-serveur pour des agents opérationnels et à jour L'agent est le composant qui collecte et gère les informations échangées entre le serveur epolicy Orchestrator, les référentiels et les produits ainsi que les ordinateurs clients gérés. La configuration de l'agent et de ses paramètres de stratégie détermine son fonctionnement et simplifie la communication et les mises à jour au sein de votre environnement. Ce chapitre aborde les sujets suivants : # A propos de l'intervalle de communication agent-serveur # Envoi d'appels de réactivation de l'agent manuels # Définition des stratégies à l'aide des pages de stratégie de l'agent # Affichage des propriétés de l'agent et des produits à partir de la console # Vérification des journaux des agents # Utilisation de l'agent sur l'ordinateur client A propos de l'intervalle de communication agent-serveur L'intervalle de communication agent-serveur (ASCI, agent to server communication interval) est un paramètre de stratégie de l'agent qui détermine la fréquence des appels de l'agent au serveur epolicy Orchestrator pour la réception des instructions mises à jour. Par défaut, cet intervalle est de 60 minutes mais vous avez la possibilité de le modifier. Au cours de la communication ASCI, l'agent et le serveur échangent des informations via SPIPE, un protocole réseau propriétaire utilisé par epolicy Orchestrator pour sécuriser les transmissions réseau. A chaque intervalle ASCI, l'agent collecte ses propriétés système actuelles et les envoie au serveur. Le serveur envoie à son tour à l'agent les stratégies, tâches et liste de référentiels nouvelles ou modifiées. Enfin, l'agent applique les nouvelles stratégies localement sur l'ordinateur client. 173

174 Gestion des agents déployés A propos de l'intervalle de communication agent-serveur 8 A propos des propriétés complètes ou minimales Au cours de la communication agent-serveur initiale, l'agent envoie le jeu de propriétés intégral. Lors des communications ultérieures, il envoie uniquement les propriétés qui ont été modifiées depuis la dernière communication agent-serveur. Toutefois, l'agent envoie à nouveau le jeu complet si les numéros de version des propriétés de l'agent et du serveur epolicy Orchestrator diffèrent de plus de deux positions. Le jeu de propriétés envoyé varie selon que vous avez spécifié une collecte des propriétés complètes ou minimales. Si vous spécifiez la collecte du jeu complet des propriétés, l'agent recueille les propriétés suivantes : # Propriétés système Informations sur le matériel et les logiciels, ainsi que les paramètres correspondants (vitesse du processeur, système d'exploitation, fuseau horaire, date et heure de la dernière mise à jour des propriétés). # Propriétés du produit Les propriétés du produit incluent les propriétés générales telles que le chemin d'installation, le numéro de version du fichier de signatures de virus (DAT) ainsi que le numéro de version du produit. Les propriétés du produit comprennent également les paramètres de stratégies éventuellement configurés pour chaque produit. Si vous décidez de ne collecter que les propriétés minimales, l'agent recueille uniquement les propriétés générales du produit. Intervalle ASCI recommandé en fonction des diverses vitesses de connexion L'intervalle de communication par défaut est de 60 minutes mais vous pouvez utiliser la page de stratégie de l'agent pour lui affecter la valeur de votre choix. Souvenez-vous toutefois que la communication ASCI peut générer un trafic important, surtout dans un réseau de grande envergure. Un réseau de ce type possède souvent des agents sur des sites distants qui se connectent au serveur epolicy Orchestrator via un réseau étendu (WAN), un réseau privé virtuel (VPN) ou d'autres connexions réseau plus lentes. Il est préférable de définir un intervalle ASCI moins fréquent pour ces agents. Le tableau suivant répertorie l'intervalle ASCI recommandé en fonction des vitesses de connexion réseau courantes. Tableau 8-1 Paramètres ASCI recommandés Taille du réseau Intervalle ASCI recommandé LAN Gigabit 60 minutes LAN 100 mégabits uniquement 60 minutes WAN 360 minutes * Accès à distance ou RAS 360 minutes LAN 10 mégabits uniquement 180 minutes WAN sans fil 150 minutes * Lorsque vous vous connectez à un intranet d'entreprise via un accès à distance ou RAS, l'agent détecte la connexion réseau et communique avec le serveur epolicy Orchestrator. 174

175 Gestion des agents déployés Envoi d'appels de réactivation de l'agent manuels 8 Intervalle ASCI initial de 10 minutes après le démarrage de l'agent ou dans le cas de stratégies déjà anciennes Si le service de l'agent est arrêté puis redémarré, l'agent appelle le serveur dans les 10 minutes suivant le redémarrage, le moment étant choisi de manière aléatoire au cours de cet intervalle. Le deuxième intervalle ASCI après le démarrage intervient dans un intervalle aléatoire, basé sur l'intervalle ASCI défini dans la stratégie de l'agent (par défaut, 60 minutes). Les appels suivants respectent l'intervalle ASCI normal, sans sélection aléatoire. Vous pouvez ignorer l'intervalle ASCI initial aléatoire de 10 minutes si la dernière communication agent-serveur s'est produite durant la période spécifiée (de 24 heures par défaut). Par exemple, si des utilisateurs mettent leur ordinateur hors tension la nuit, les agents vont d'abord communiquer avec le serveur de façon aléatoire au cours de l'intervalle ASCI plutôt que sur 10 minutes. Pour obtenir des instructions sur la configuration de ce paramètre dans le cadre de la stratégie de l'agent, reportez-vous à la section Définition des stratégies à l'aide des pages de stratégie de l'agent à la page 179. Envoi d'appels de réactivation de l'agent manuels Vous pouvez inviter les agents installés sur des ordinateurs clients sélectionnés à contacter immédiatement le serveur epolicy Orchestrator. Pour les réseaux de très grande taille, vous pouvez utiliser un intervalle de sélection aléatoire pour éviter que tous les agents de votre réseau contactent le serveur en même temps. L'intervalle de sélection aléatoire permet de répartir les appels de réactivation sur une période configurable, par exemple une heure. A propos des appels de réactivation de l'agent Utilisation d'une commande ping ICMP pour l'appel de réactivation de l'agent L'appel de réactivation de l'agent, qu'il soit manuel ou défini dans une tâche de réactivation, est une commande ping ICMP envoyée à partir du serveur epolicy Orchestrator. Par défaut, de nombreux routeurs réseau bloquent le trafic ICMP entre les sous-réseaux. Si votre réseau est configuré de la sorte, l'utilisation d'appels de réactivation de l'agent ne pourra pas réactiver les ordinateurs situés en dehors du sous-réseau local dans lequel le serveur epolicy Orchestrator est installé. Dans ce cas, évitez ce type d'appels et utilisez plutôt l'intervalle de communication agent-serveur (ASCI), qui se sert du protocole SPIPE pour toutes les communications. Envoi d'appels de réactivation du SuperAgent La procédure d'envoi d'un appel de réactivation du SuperAgent est fort similaire à celle employée pour l'appel de réactivation d'un agent ordinaire, à la seule différence que vous sélectionnez le type de réactivation Envoyer l'appel de réactivation de SuperAgent au lieu de Envoyer l'appel de réactivation de l'agent. Pour plus d'informations sur l'utilisation des SuperAgents, voir Déploiement de SuperAgents pour la distribution des appels de réactivation de l'agent à la page 87 et Utilisation de la mise à jour globale pour distribuer automatiquement et immédiatement les mises à jour à tous les clients à la page

176 Gestion des agents déployés Envoi d'appels de réactivation de l'agent manuels 8 Envoi d'un appel de réactivation de l'agent manuel unique Vous pouvez envoyer un appel de réactivation de l'agent manuel vers n'importe quel site, groupe ou ordinateur de votre Répertoire. Cela peut s'avérer utile lorsque vous avez modifié des stratégies ou archivé des mises à jour dans le référentiel maître et que vous souhaitez que les agents contactent le serveur pour effectuer une mise à jour. Avant d'envoyer l'appel de réactivation de l'agent à un noeud particulier du Répertoire, assurez-vous que la prise en charge de la réactivation est activée sur ce noeud (elle l'est par défaut). Pour activer la prise en charge des appels de réactivation, sélectionnez Activer le support d'appel de réactivation dans l'onglet Général des pages de stratégie Agent epolicy Orchestrator Configuration. Pour plus d'informations, reportez-vous à la section Définition des stratégies à l'aide des pages de stratégie de l'agent à la page 179. Pour envoyer un appel de réactivation de l'agent : 1 Sous le Répertoire dans l'arborescence de la console epolicy Orchestrator, cliquez avec le bouton droit sur un site, groupe ou ordinateur, puis sélectionnez Appel de réactivation de l'agent. La boîte de dialogue Appel de réactivation de l'agent s'affiche. Figure 8-1 Appel de réactivation de l'agent 2 Sélectionnez le niveau auquel envoyer l'appel de réactivation de l'agent. En général, vous conserverez la valeur par défaut, à savoir le noeud sélectionné et tous ses enfants. 3 Sous Type, sélectionnez Envoyer l'appel de réactivation de l'agent. 4 Acceptez l'intervalle par défaut (1 minute) ou entrez un intervalle de sélection aléatoire de l'agent (entre 0 et 60 minutes) différent. Si vous entrez 0, les agents de tous les ordinateurs sélectionnés répondent immédiatement. 5 Habituellement, l'agent envoie uniquement les propriétés qui ont été modifiées depuis la dernière communication agent-serveur. Pour envoyer l'ensemble des propriétés, sélectionnez Obtenir les propriétés intégrales du produit. 6 Cliquez sur OK pour envoyer l'appel de réactivation de l'agent. 176

177 Gestion des agents déployés Envoi d'appels de réactivation de l'agent manuels 8 Création d'une tâche de client planifiée pour réactiver l'agent Par défaut, les agents utilisent le paramètre ASCI pour appeler le serveur epolicy Orchestrator afin d'obtenir les stratégies modifiées ou d'autres mises à jour à intervalles réguliers. Vous pouvez également initier la communication agent-serveur en planifiant des tâches périodiques de réactivation à partir de la console epolicy Orchestrator. Si l'optimisation du trafic réseau est une priorité dans votre environnement, utilisez une tâche de réactivation de l'agent au lieu de définir un ASCI. Vous pourrez ainsi contrôler davantage les périodes de communication afin d'éviter tout trafic inutile entre l'agent et le serveur. Si vous souhaitez ou devez désactiver la communication ASCI pour une raison quelconque, vous pouvez planifier des appels de réactivation de l'agent périodiques pour indiquer aux agents de contacter le serveur afin d'obtenir les mises à jour. Il est possible de planifier la communication agent-serveur plutôt que d'utiliser l'intervalle de communication agent-serveur (ASCI). Pour plus d'informations sur la désactivation de l'intervalle ASCI, reportez-vous à la section Définition des stratégies à l'aide des pages de stratégie de l'agent à la page 179. Pour créer une tâche de client planifiée de réactivation de l'agent : 1 Dans l'arborescence de la console, cliquez avec le bouton droit sur un site, un groupe ou un ordinateur, puis sélectionnez Planifier la tâche. 2 Dans la boîte de dialogue Planifier la tâche, tapez un nom descriptif pour la tâche, par exemple Réactivation quotidienne de l'agent, dans le champ Nom de la nouvelle tâche. Figure 8-2 Création d'une tâche de réactivation de l'agent epolicy Orchestrator pour réactiver régulièrement les agents 3 Sélectionnez Agent epolicy Orchestrator Réactivation de l'agent dans la liste des tâches disponibles, puis cliquez sur OK. 4 Appuyez sur F5 pour actualiser la console et afficher la nouvelle tâche dans la liste sous l'onglet Tâche. Notez que la tâche est planifiée pour s'exécuter tous les jours à partir de la date et de l'heure actuelles. Notez également que la valeur de l'indicateur Activé est Faux. Vous devez la définir en Vrai avant de planifier une exécution quotidienne de la tâche. 177

178 Gestion des agents déployés Envoi d'appels de réactivation de l'agent manuels 8 5 Dans la liste des tâches, cliquez avec le bouton droit sur la nouvelle tâche et sélectionnez Modifier une tâche pour modifier la tâche dans le Planificateur epolicy Orchestrator. Par défaut, l'agent renvoie uniquement les propriétés incrémentielles modifiées depuis la dernière communication agent-serveur. Pour que l'agent envoie les propriétés complètes à la réception de l'appel de réactivation, cliquez sur Paramètres dans l'onglet Tâche de la boîte de dialogue Planificateur epolicy Orchestrator, désactivez l'option Hériter dans la boîte de dialogue Paramètres de tâche puis sélectionnez Obtenir les propriétés intégrales du produit. Cliquez sur OK lorsque vous avez terminé. 6 Sous Paramètres de planification dans l'onglet Tâche de la boîte de dialogue Planificateur epolicy Orchestrator, désactivez la case à cocher Hériter. 7 Sélectionnez Activer pour définir les options de planification. Sinon, la tâche ne s'exécutera pas. 8 Cliquez sur l'onglet Planifier dans la boîte de dialogue Planificateur epolicy Orchestrator pour indiquer à quel moment la tâche doit s'exécuter. 9 Désactivez l'option Hériter. 10 Définissez l'option Planifier la tâche afin qu'elle s'exécute quotidiennement. Pour exécuter la tâche plusieurs fois par jour, cliquez sur le bouton Options avancées, sélectionnez Répéter la tâche et définissez la fréquence d'exécution de la tâche, par exemple toutes les 12 heures (deux fois par jour) ou toutes les 8 heures (trois fois par jour). 11 Cliquez sur OK dès que vous avez fini de configurer et de planifier la tâche. La tâche planifiée apparaît désormais dans la liste des tâches disponibles dans l'onglet Tâche du noeud sélectionné du Répertoire. Notez que l'indicateur Activé est désormais défini en Vrai. La tâche s'exécutera à l'heure dite. 178

179 Gestion des agents déployés Définition des stratégies à l'aide des pages de stratégie de l'agent 8 Définition des stratégies à l'aide des pages de stratégie de l'agent Vous pouvez configurer des stratégies de l'agent sur les ordinateurs clients. Il est possible de définir les stratégies différemment pour les divers éléments de l'arborescence de la console. Pour configurer la stratégie de l'agent : 1 Dans l'arborescence de la console epolicy Orchestrator, sélectionnez le site, le groupe ou l'ordinateur de votre choix sous le Répertoire, voire l'ensemble du Répertoire. Les onglets Stratégies, Propriétés et Tâches s'affichent dans la partie supérieure du volet de détails. Figure 8-3 Définition de stratégies pour des noeuds spécifiques du Répertoire 2 Sélectionnez l'onglet Stratégies dans la partie supérieure du volet de détails, puis développez les éléments Agent epolicy Orchestrator Configuration. Les pages de stratégie de configuration de l'agent comportent six onglets : Général, Evénements, Journalisation, Référentiels, Mises à jour et Serveur proxy. Les paramètres de stratégie que vous pouvez configurer sont décrits onglet par onglet, de même que les instructions de configuration de la stratégie. 179

180 Gestion des agents déployés Définition des stratégies à l'aide des pages de stratégie de l'agent 8 Général L'onglet Général permet de configurer les stratégies de l'agent suivantes. Figure 8-4 Onglet Général Tableau 8-2 Stratégies générales de l'agent Propriété Stratégies générales Afficher l'icône de barre des tâches de l'agent Activer le support d'appel de réactivation Activer la mise à niveau de l'agent de l'agent 2.x à l'agent 3.5 Activer la fonctionnalité SuperAgent Description Affiche l'icône de l'agent dans la barre d'état système de l'ordinateur client. Permet d'envoyer des appels de réactivation manuels de l'agent pour forcer celui-ci à appeler le serveur au lieu d'attendre le prochain intervalle ASCI. Les appels de réactivation de l'agent (manuels ou planifiés) peuvent être utiles pour distribuer immédiatement des stratégies modifiées ou de nouveaux fichiers DAT ou lorsque vous souhaitez recevoir des propriétés et des événements de l'agent. Lorsque cette option est sélectionnée, tout agent d'une version antérieure 2.x qui contacte ce serveur est mis à niveau lors du prochain intervalle ASCI. Convertit l'agent existant en SuperAgent. Voir Déploiement de SuperAgents pour la distribution des appels de réactivation de l'agent à la page 87. Une fois l'agent converti en SuperAgent, vous pouvez également en faire un référentiel SuperAgent. Dans ce cas, l'ordinateur sur lequel le SuperAgent est installé devient un référentiel distribué de logiciels que les autres ordinateurs peuvent contacter pour obtenir des mises à jour de fichiers DAT, du moteur et de logiciels. Voir à ce propos Création de référentiels distribués SuperAgents à la page

181 Gestion des agents déployés Définition des stratégies à l'aide des pages de stratégie de l'agent 8 Tableau 8-2 Stratégies générales de l'agent Propriété Intervalle d'application des stratégies Installation du logiciel Inviter l'utilisateur à redémarrer le système lorsque l'installation du logiciel le nécessite Redémarrage automatique avec délai Intervalles de communication de l'agent Activer la communication agent-serveur Intervalle de communication agent-serveur Age des stratégies pour déclencher un intervalle de communication de 10 minutes Propriétés minimales ou Propriétés complètes Description Il s'agit de la fréquence à laquelle l'agent vérifie si les stratégies définies dans les pages de stratégie NAP de la console epolicy Orchestrator sont effectives sur l'ordinateur client. L'agent peut appliquer les paramètres logiciels des stratégies à lui-même ou à n'importe quel autre logiciel pris en charge, tel que VirusScan Enterprise, Desktop Firewall ou GroupShield. Remarque : L'application des stratégies par l'agent ayant généralement lieu sur l'ordinateur client, cette opération génère rarement un trafic sur le réseau. Informe l'utilisateur de l'ordinateur client de la nécessité d'un redémarrage lors de l'installation d'un logiciel. Dans le cas notamment où epolicy Orchestrator est utilisé pour déployer ou distribuer l'agent et des produits de protection antivirus comme VirusScan Enterprise sur les ordinateurs clients, l'installation est effectuée de façon silencieuse sans que l'utilisateur final s'en rende compte. Toutefois, comme l'installation exige parfois un redémarrage de l'ordinateur, l'alerte envoyée à l'utilisateur final lui permet d'enregistrer son travail que ce redémarrage ne se produise. Force le redémarrage de l'ordinateur client après un délai spécifié. Active la communication agent-serveur normale à l'aide du protocole SPIPE sécurisé. Attention : Il s'agit du mécanisme principal de communication des agents avec le serveur epolicy Orchestrator. Ne désactivez jamais cette option à moins d'avoir des raisons précises de le faire. Durée de l'intervalle, exprimée en minutes. L'agent rappelle le serveur epolicy Orchestrator une fois au cours de chaque intervalle défini afin de renvoyer les propriétés au serveur ou de collecter les stratégies récemment modifiées. Lorsque vous définissez cet intervalle, vous devez trouver un compromis entre la nécessité de sécuriser les clients à l'aide d'une protection à jour et les limitations de la bande passante de vos réseaux. Plus l'intervalle est court, plus le client a de chances d'être à jour mais plus le trafic réseau généré est important. Pour plus d'informations, reportez-vous à la section A propos de l'intervalle de communication agent-serveur à la page 173. Définit une valeur seuil pour les stratégies obsolètes, exprimée en jours, déclenchant un ASCI de 10 minutes. Pour tout agent dont les stratégies sont plus anciennes que le seuil défini, un intervalle ASCI de 10 minutes est appliqué jusqu'à ce que les stratégies soient mises à jour. Détermine si, lors de chaque intervalle ASCI, l'agent doit envoyer les propriétés complètes ou minimales. 181

182 Gestion des agents déployés Définition des stratégies à l'aide des pages de stratégie de l'agent 8 Activation du transfert immédiat des événements du client L'agent ainsi que d'autres logiciels antivirus ou de sécurité installés sur l'ordinateur client génèrent constamment des événements au cours de leur exécution. Il s'agit d'événements d'information relatifs au fonctionnement normal, pouvant se rapporter à l'application de stratégies locales par l'agent ou encore au démarrage d'analyses à la demande par VirusScan Enterprise. Ces événements sont consignés par l'agent et envoyés au serveur à chaque intervalle ASCI pour être enregistrés dans la base de données. Un déploiement classique d'epolicy Orchestrator dans un réseau de grande envergure est susceptible de générer des milliers d'événements de ce type toutes les heures. Il est rarement nécessaire d'afficher tous ces événements. En revanche, vous devrez être immédiatement informé de certains d'entre eux présentant un niveau de gravité plus élevé. Vous pouvez configurer l'agent de sorte qu'il transfère immédiatement certains événements critiques vers le serveur epolicy Orchestrator. Par exemple, la détection par VirusScan Enterprise ou, plus spécialement, par GroupShield d'un virus impossible à éliminer ou à déplacer constitue un événement critique. Conseil Notez que les types d'événements transférés de l'agent au serveur ont une incidence sur la génération des notifications d'alerte. Vous pouvez avoir recours à la fonctionnalité Notifications d'epolicy Orchestrator et créer des notifications d'alerte, comme l'envoi d' s pour avertir des utilisateurs clés de votre organisation de l'existence de tels événements. La fonctionnalité de notification d'alertes d'epolicy Orchestrator 3.5 utilise ces événements transférés par l'agent pour déclencher les règles de notification que vous avez configurées. Si vous désactivez le transfert immédiat des événements, les alertes ne se déclencheront plus immédiatement mais lors du prochain intervalle ASCI de l'agent. Pour plus d'informations, voir le chapitre 12, Notifications epolicy Orchestrator. Conseil McAfee recommande l'activation du transfert immédiat des événements si vous prévoyez d'utiliser la mise à jour globale pour distribuer les mises à jour critiques. Les événements de mise à jour sont assimilés à des événements de gravité élevée. Vous devez être immédiatement averti de tels événements pour être en mesure de résoudre sans délai les problèmes éventuels. Voir à ce propos la section Utilisation de la mise à jour globale pour distribuer automatiquement et immédiatement les mises à jour à tous les clients à la page 136. Le tableau ci-dessous répertorie les stratégies d'événements de l'agent. Tableau 8-3 Stratégies d'événements de l'agent Propriété Activer le chargement immédiat d'événements Signaler tout événement dont la gravité est supérieure ou égale à Intervalle entre les chargements immédiats Nombre maximum d'événements par chargement immédiat Description Permet à l'agent de transférer des événements présentant un niveau de gravité spécifié au serveur epolicy Orchestrator au moment même où ils se produisent. Définit le seuil de gravité des événements qui doivent être immédiatement transmis au serveur epolicy Orchestrator. En général, il est conseillé de n'envoyer que les plus importants afin de limiter le trafic réseau. Pour réduire le trafic réseau, et notamment pendant une attaque virale, il peut être utile de définir un intervalle pour les téléchargements d'événements immédiats. Nombre maximal d'événements autorisés par téléchargement. 182

183 Gestion des agents déployés Définition des stratégies à l'aide des pages de stratégie de l'agent 8 Journalisation Ces options permettent de configurer des stratégies relatives à la consignation de l'activité de l'agent dans un journal. Tableau 8-4 Stratégies de journalisation de l'agent Propriété Activer le journal de l'agent Limiter le fichier à (...) messages Activer l'enregistrement détaillé dans le journal Activer l'accès distant au journal Description Permet d'activer ou non le journal de l'agent. L'activation de cette case à cocher permet d'enregistrer l'activité de l'agent dans un fichier journal (agent_<ordinateur>.xml). Spécifie le nombre maximal de messages enregistrés dans le journal de l'agent. La taille moyenne d'un fichier de 200 messages est d'environ 16 Ko. Active la consignation détaillée de l'activité de l'agent dans le journal agent_<ordinateur>.log. La taille de ce fichier journal détaillé peut croître très rapidement. Il est recommandé de n'activer la journalisation détaillée que si vous cherchez à résoudre des problèmes de communication spécifiques. Permet aux administrateurs d'afficher le fichier journal ailleurs que sur l'ordinateur client. Voir Affichage à distance des fichiers journaux d'activité de l'agent à la page 187. Référentiels Ces options permettent de configurer des stratégies relatives au mode d'utilisation des référentiels de logiciels par l'agent dans le cadre de la mise à jour. La liste des référentiels disponibles comprend les référentiels maître, sources et de secours ainsi que tous les référentiels distribués que vous avez configurés. La sélection des référentiels utilisés par l'agent pour la mise à jour fait l'objet d'une explication détaillée dans une autre section. Reportez-vous à la section Configuration de stratégies de l'agent pour utiliser le référentiel distribué approprié à la page 166 pour des informations complètes sur la configuration de cette page de stratégie. Mises à jour Ces options permettent de configurer des stratégies relatives à l'exécution de mises à jour par l'agent. Tableau 8-5 Stratégies de mise à jour de l'agent Propriété Fichier journal Options d'exécution Description Permet d'entrer le chemin d'accès à un fichier exécutable que vous souhaitez lancer sur l'ordinateur client au terme des mises à jour et de choisir si vous souhaitez l'exécuter uniquement lorsque la mise à jour a réussi. 183

184 Gestion des agents déployés Définition des stratégies à l'aide des pages de stratégie de l'agent 8 Tableau 8-5 Stratégies de mise à jour de l'agent Propriété Autoriser la réinstallation de fichiers DAT plus anciens Sélection de la mise à jour de la branche de référentiel Description Permet d'autoriser l'agent à effectuer des mises à jour avec des fichiers DAT du référentiel epolicy Orchestrator même si ces derniers sont plus anciens que les fichiers DAT déjà installés sur le client. L'activation de cette option est nécessaire afin de pouvoir restaurer les fichiers DAT d'une version précédente. Si vous devez à un moment donné réinstaller des fichiers DAT, activez cette option, effectuez la restauration puis désactivez-la pour éviter par la suite d'installer accidentellement d'anciens fichiers DAT. Si vous utilisez les branches de référentiel Précédents ou Evaluation pour les mises à jour de moteur et de fichiers DAT, configurez la branche du référentiel à partir de laquelle l'agent doit effectuer la mise à jour. Par défaut, la mise à jour est effectuée à partir de la branche Actuels. Pour plus d'informations à ce propos, reportez-vous à la section A propos des branches de référentiel à la page 119. Pour plus d'informations sur la mise à jour des agents à partir de la branche Evaluation, reportez-vous à la section Evaluation des nouveaux fichiers DAT et des moteurs avant leur déploiement dans toute l'organisation à la page 145. Configuration des paramètres de serveur proxy personnalisés McAfee Security recommande d'autoriser les agents à utiliser dans la mesure du possible les paramètres de stratégie du serveur proxy par défaut. La valeur par défaut est Utiliser les paramètres de proxy d'internet Explorer, qui permet à l'agent d'utiliser l'emplacement du serveur proxy actuel et les références configurées dans le navigateur Internet Explorer installé sur cet ordinateur. Il se peut toutefois que vous deviez utiliser epolicy Orchestrator pour configurer des paramètres de serveur proxy personnalisés pour certains ordinateurs de votre réseau, notamment s'ils utilisent un autre navigateur ou qu'internet Explorer n'est pas installé. Utilisez l'onglet Serveur proxy dans les pages de stratégie de l'agent pour configurer les paramètres de serveur proxy. Sélectionnez Ne pas utiliser de proxy si l'ordinateur n'utilise pas de serveur proxy et accède directement à Internet. Pour configurer manuellement les paramètres du serveur proxy pour l'agent, sélectionnez Configurer manuellement les paramètres proxy puis entrez l'emplacement et les références des serveurs proxy HTTP et FTP. Application de la stratégie de l'agent Dès que vous avez configuré les paramètres de stratégie dans les pages de stratégie Agent epolicy Orchestrator Configuration conformément à vos besoins, vous devez appliquer ces paramètres afin qu'ils deviennent réellement effectifs. Dès que vous avez choisi de les appliquer, ils deviennent effectifs au prochain intervalle ASCI. 184

185 Gestion des agents déployés Affichage des propriétés de l'agent et des produits à partir de la console 8 1 Dans l'onglet Stratégies, sélectionnez Agent epolicy Orchestrator. La page de stratégie Agent epolicy Orchestrator s'affiche dans le volet de détails inférieur. Figure 8-5 Page de stratégie Agent epolicy Orchestrator 2 Désactivez l'option Hériter. 3 Sélectionnez Appliquer les stratégies pour Agent epolicy Orchestrator. 4 Cliquez sur Appliquer pour enregistrer les entrées actuelles. Affichage des propriétés de l'agent et des produits à partir de la console Vous pouvez utiliser la console epolicy Orchestrator pour afficher les propriétés actuelles de n'importe quel ordinateur. Ces propriétés répertorient les informations de base du système, comme le système d'exploitation, l'adresse IP réseau, la mémoire RAM et la vitesse du processeur. Elles indiquent également les propriétés de l'agent et des produits antivirus ou de sécurité McAfee installés sur cet ordinateur. Il peut s'avérer très utile de vérifier les stratégies de l'ordinateur lors d'un dépannage afin de vous assurer que les modifications apportées au niveau de la console sont réellement appliquées sur le client. L'agent renvoie les propriétés au serveur à chaque intervalle ASCI, ce qui permet de consulter les propriétés système des ordinateurs clients à partir de la console epolicy Orchestrator. Différences entre propriétés et stratégies Les stratégies sont les règles que vous configurez pour l'agent ou pour des produits spécifiques dans les pages de stratégie au niveau du serveur epolicy Orchestrator. Lorsque l'agent applique ces stratégies sur l'ordinateur client, elles deviennent des propriétés. Les propriétés sont les paramètres en vigueur sur l'ordinateur client. 185

186 Gestion des agents déployés Vérification des journaux des agents 8 Affichage des propriétés de l'agent Pour consulter les propriétés que l'agent collecte pour des ordinateurs sélectionnés du Répertoire : 1 Dans l'arborescence de la console, sélectionnez l'ordinateur de votre choix. 2 Dans le volet de détails supérieur, cliquez sur l'onglet Propriétés pour afficher les propriétés de l'ordinateur sélectionné. Figure 8-6 Affichage des propriétés d'ordinateurs sélectionnés du Répertoire 3 Développez les types de propriétés pour afficher les informations détaillées à propos de celles-ci. Les propriétés de l'agent sont répertoriées sous Agent epolicy Orchestrator. Vérification des journaux des agents L'examen des fichiers journaux générés par l'agent peut s'avérer très utile pour vérifier l'état de l'agent ou résoudre des problèmes. Il existe deux fichiers journaux qui enregistrent l'activité de l'agent : le journal d'activité de l'agent et le journal détaillé de l'activité. Ces fichiers journaux figurent dans le dossier d'installation de l'agent, avec les fichiers exécutables de l'agent. Le journal d'activité de l'agent est un fichier XML appelé AGENT_<ORDINATEUR>.XML, <ORDINATEUR> représentant le nom NetBIOS de l'ordinateur sur lequel l'agent est installé. Ce fichier journal stocke les messages qui apparaissent dans la boîte de dialogue Moniteur de l'agent epolicy Orchestrator, que vous pouvez afficher sur le client dans l'interface utilisateur de l'agent. Il enregistre l'activité de l'agent se rapportant à l'application des stratégies, aux communications agent-serveur et à la transmission des événements. Vous pouvez définir une limite de taille pour ce fichier journal. 186

187 Gestion des agents déployés Vérification des journaux des agents 8 Le fichier journal d'activité détaillé (AGENT_<ORDINATEUR>.LOG), conçu spécialement pour la résolution de problèmes, stocke les mêmes messages que ceux affichés dans la boîte de dialogue Moniteur de l'agent epolicy Orchestrator, plus les messages de dépannage. Sa taille est limitée à 1 Mo. Lorsque ce fichier journal atteint la taille d'1 Mo, une copie de sauvegarde (AGENT_<ORDINATEUR>_BACKUP.LOG) est créée. Vous pouvez configurer le niveau de journalisation de l'activité de l'agent. Pour plus d'instructions, reportez-vous à la section Définition des stratégies à l'aide des pages de stratégie de l'agent à la page 179. Affichage à distance des fichiers journaux d'activité de l'agent Vous pouvez afficher à distance le journal d'activité de l'agent sur l'ordinateur client, via un navigateur web. Cette fonctionnalité est utile lorsque vous travaillez à partir du serveur et que vous souhaitez vérifier l'état du client en temps réel. Pour afficher le journal dans un navigateur, tapez le nom d'ordinateur et le numéro de port utilisé par l'agent pour l'appel de réactivation. Vous avez spécifié le numéro de port de réactivation de l'agent lors de l'installation du serveur epolicy Orchestrator ; par défaut, il s'agit du port Vous pouvez identifier le port d'appel de réactivation de l'agent d'un ordinateur sélectionné en vérifiant les propriétés sous Agent epolicy Orchestrator Général. Voir Affichage des propriétés de l'agent et des produits à partir de la console à la page 185. Pour afficher à distance le fichier journal d'activité de l'agent : 1 Ouvrez un navigateur web et tapez le nom d'ordinateur ainsi que le numéro de port utilisé par l'agent pour l'appel de réactivation. Les données doivent respecter le format suivant : Figure 8-7 Affichage à distance du fichier journal d'activité de l'agent via un navigateur web 187

188 Gestion des agents déployés Utilisation de l'agent sur l'ordinateur client 8 2 Pour afficher le fichier journal d'activité détaillé, cliquez sur Actuels (Current) et consultez les journaux détaillés FrameSvc.exe ou NaPrdMgr.exe. 3 Pour afficher la copie de sauvegarde du journal détaillé FrameSvc.exe ou NaPrdMgr.exe, cliquez sur Précédents (Previous). Bien que l'affichage à distance des fichiers journaux soit activé par défaut, il est possible d'utiliser la console epolicy Orchestrator pour désactiver cette option dans les stratégies de l'agent. Si vous n'êtes pas en mesure d'afficher le journal à distance, vérifiez si l'option Activer l'accès distant au journal est sélectionnée dans l'onglet Journalisation des pages de stratégie de l'agent. Pour plus d'informations, voir Définition des stratégies à l'aide des pages de stratégie de l'agent à la page 179. Utilisation de l'agent sur l'ordinateur client Vous pouvez contrôler toutes les fonctionnalités de l'agent à partir de la console epolicy Orchestrator du serveur epolicy Orchestrator. Toutefois, vous pouvez également effectuer des tâches sélectionnées à partir de l'ordinateur sur lequel l'agent est installé. Cette section décrit quelques-unes de ces tâches : # Utilisation de l'interface utilisateur de l'agent sur l'ordinateur client # Options de ligne de commande du programme Command Agent Utilisation de l'interface utilisateur de l'agent sur l'ordinateur client Si vous pouvez accéder à l'ordinateur client sur lequel l'agent est installé, vous pouvez afficher et gérer une partie des fonctionnalités de l'agent via l'interface de celui-ci. Pour accéder à l'interface, cliquez avec le bouton droit sur l'icône de l'agent dans la barre d'état système de l'ordinateur client. Figure 8-8 Affichage des options de menu de l'agent par un clic du bouton droit sur l'icône dans la barre d'état système Notez que l'opération n'est possible que dans le cas où vous avez modifié la stratégie de l'agent en sélectionnant l'option Afficher l'icône de barre des tâches de l'agent dans la page de stratégie de l'agent (Définition des stratégies à l'aide des pages de stratégie de l'agent à la page 179). Cette option n'est pas activée par défaut. Vous pouvez utiliser l'icône de l'agent dans la barre d'état système pour exécuter localement des tâches de l'agent sélectionnées sur des ordinateurs clients. 188

189 Gestion des agents déployés Utilisation de l'agent sur l'ordinateur client 8 L'icône de l'agent dans la barre d'état système permet d'accéder aux boîtes de dialogue et aux commandes suivantes : # Exécution d'une tâche de mise à jour à l'aide de la commande Mettre à jour maintenant. # Utilisation du Contrôleur de statut de l'agent pour afficher les journaux et effectuer diverses opérations. # Affichage des paramètres de l'agent. # Affichage du numéro de version de l'agent et des produits de sécurité installés. Exécution d'une tâche de mise à jour à l'aide de la commande Mettre à jour maintenant Sélectionnez Mettre à jour maintenant pour que l'agent effectue une mise à jour à partir du référentiel le plus proche. Les mises à jour de produits incluent des distributions de patchs, des plug-ins de produits existants (.DLL), des distributions de Service Packs, des packages SuperDAT (SDAT*.EXE), des fichiers de signatures de virus (DAT) et des fichiers DAT supplémentaires (EXTRA.DAT). Utilisation du Contrôleur de statut de l'agent pour afficher les journaux et effectuer diverses opérations Cliquez avec le bouton droit sur l'icône de l'agent dans la barre d'état système, puis sélectionnez Contrôleur de statut. La fenêtre Etat indique si l'agent est en cours d'exécution et affiche les activités récentes dans la fenêtre du journal d'activité. Il s'agit du même journal d'activité au format XML que celui que vous pouvez consulter à l'aide d'un navigateur web. Vous pouvez également avoir recours au Contrôleur de statut de l'agent pour effectuer certaines tâches de l'agent. Sélectionnez Contrôleur de statut pour afficher le journal d'activité de l'agent en temps réel : Tableau 8-6 Option du Contrôleur de statut de l'agent Option de la tâche Collecter et envoyer les propriétés Envoyer des événements Vérifier les nouvelles stratégies Appliquer les stratégies Paramètres de l'agent Enregistrer le contenu Description Envoie les propriétés complètes au serveur. Cette opération met à jour les propriétés affichées dans la console. Voir Affichage des propriétés de l'agent et des produits à partir de la console à la page 185. Envoie immédiatement les événements au serveur. L'agent appelle le serveur pour vérifier si des stratégies ont été modifiées. Dans l'affirmative, il télécharge les nouveaux paramètres de stratégie. Applique localement sur l'ordinateur client les stratégies définies sur le serveur. Affiche les paramètres de l'agent sélectionné. Enregistre le contenu actuel du fichier journal d'activité de l'agent. 189

190 Gestion des agents déployés Utilisation de l'agent sur l'ordinateur client 8 Affichage des paramètres de l'agent Cliquez avec le bouton droit sur l'icône de l'agent dans la barre d'état système et sélectionnez Paramètres pour afficher les paramètres de l'agent sélectionné, par exemple l'id unique de l'agent, le nom de l'utilisateur actuellement connecté, l'intervalle d'application des stratégies et l'intervalle ASCI. Il est impossible de modifier un quelconque paramètre dans cette fenêtre. Pour modifier l'un de ces paramètres, vous devez modifier les stratégies de l'agent dans les pages de stratégie de celui-ci. Affichage du numéro de version de l'agent et des produits de sécurité installés Cliquez avec le bouton droit sur l'icône de l'agent dans la barre d'état système et sélectionnez A propos de pour afficher des informations sur la version de logiciel McAfee installée sur l'ordinateur client. Ces informations sont très utiles lorsque vous tentez de résoudre des problèmes liés à l'installation de nouvelles versions de l'agent ou que vous souhaitez vérifier si la version installée est identique à celle indiquée dans les propriétés de l'agent. En outre, la boîte de dialogue A propos de affiche des informations de version d'autres produits de sécurité McAfee installés sur l'ordinateur client, comme VirusScan Enterprise. Options de ligne de commande du programme Command Agent Vous pouvez utiliser le programme Command Agent (CMDAGENT.EXE) pour exécuter à distance les tâches de l'agent sélectionnées. CMDAGENT.EXE est installé sur le même ordinateur client que l'agent. Vous pouvez effectuer les mêmes tâches localement sur des ordinateurs clients à l'aide de ce programme ou de l'icône de l'agent dans la barre d'état système. Le fichier CMDAGENT.EXE figure dans le dossier d'installation de l'agent, par défaut : C:\PROGRAM FILES\NETWORK ASSOCIATES\COMMON FRAMEWORK Tableau 8-7 Options de ligne de commande CMDAGENT.EXE Option Description /C Vérifie l'existence de nouvelles stratégies. Cette commande indique à l'agent de contacter le serveur epolicy Orchestrator pour obtenir les stratégies nouvelles ou mises à jour, puis de les appliquer immédiatement dès réception. /E Demande à l'agent d'appliquer les stratégies localement. /P Envoie les propriétés et les événements au serveur epolicy Orchestrator. 190

191 9 Gestion de stratégies de produit et exécution de tâches de client Gestion des logiciels antivirus et de sécurité déployés sur le réseau La gestion centralisée des produits installés sur les ordinateurs clients du réseau par l'intermédiaire des stratégies de produit constitue une fonctionnalité essentielle d'epolicy Orchestrator. Les stratégies sont les paramètres de configuration relatifs à l'agent et à chaque produit pouvant être géré par epolicy Orchestrator. Ces paramètres déterminent le comportement du produit sur les ordinateurs clients. Par exemple, vous pouvez spécifier les types de fichiers qui doivent être analysés ou ignorés par VirusScan Enterprise 7.0. Vous pouvez définir vos propres stratégies avant le déploiement ou utiliser les stratégies proposées par défaut, que vous modifiez après le déploiement. Contenu de ce chapitre # A propos des stratégies et d'epolicy Orchestrator # Utilisation de pages de stratégie pour gérer des paramètres de produit # Suppression du référentiel de pages de stratégie relatives à des produits inutilisés # Copie, exportation et importation de stratégies # Réinitialisation des paramètres de stratégie par défaut # Configuration de tâches de client : analyses à la demande et mises à jour A propos des stratégies et d'epolicy Orchestrator Une stratégie est un ensemble de paramètres de configuration logicielle que vous définissez par l'intermédiaire de la console epolicy Orchestrator et que vous appliquez ensuite aux logiciels des clients, logiciels dont elles déterminent le comportement. Les options de configuration de stratégie diffèrent pour chaque produit. L'interface de la console epolicy Orchestrator utilisée pour configurer de façon centralisée ces stratégies porte le nom de pages NAP (Network Associates Package). Il existe un package NAP distinct pour chaque produit que vous gérez à l'aide d'epolicy Orchestrator. Pour pouvoir gérer ces produits, vous devez d'abord ajouter les pages de stratégie NAP du produit et de la version adéquats au référentiel maître. Voir à ce propos la section Archivage de fichiers NAP pour la gestion de nouveaux produits à la page

192 Gestion de stratégies de produit et exécution de tâches de client A propos des stratégies et d'epolicy Orchestrator 9 Cet ensemble d'options diffère selon le produit géré. Par exemple, les stratégies de VirusScan Enterprise comprennent les options de configuration relatives à l'analyseur à l'accès, à l'analyseur à la demande, à la mise à jour, à l'étendue de l'interface qui sera montrée sur l'ordinateur client, etc. Chacun de ces paramètres de configuration est stocké dans une stratégie. En bref, une stratégie doit refléter la configuration souhaitée pour le système cible. Héritage des stratégies L'héritage des stratégies détermine si les paramètres de stratégie d'un élément de l'arborescence de la console dans le Répertoire sont issus de l'élément situé directement au-dessus de lui. Toutes les pages de stratégie sont fournies avec un jeu de paramètres de stratégie par défaut. Et par défaut, tous les éléments sous le Répertoire héritent de ces paramètres. Vous pouvez modifier les paramètres pour chaque site ou groupe, voire pour chaque ordinateur, en fonction de vos besoins, puis appliquer les nouveaux paramètres à tous les groupes et ordinateurs situés à des niveaux inférieurs. Chaque page de stratégie contient une case à cocher Hériter. Si cette case est désactivée, l'élément de l'arborescence de la console auquel cette page s'applique n'hérite plus des paramètres de la page de stratégie correspondante pour l'élément situé juste au-dessus. Mode d'application des stratégies sur l'ordinateur client Lorsque vous modifiez des stratégies à l'aide des consoles epolicy Orchestrator, ces changements sont ajoutés à la configuration du produit sur l'ordinateur client lors de l'accès suivant d'un client au serveur epolicy Orchestrator. Ce délai est déterminé par la valeur attribuée comme intervalle de communication agent-serveur (ASCI), qui équivaut par défaut à une heure. Par conséquent, la modification d'une stratégie dans la console epolicy Orchestrator entre en vigueur sur le client au plus tard dans l'heure. Une fois que la stratégie est envoyée au client lors de la communication agent-serveur suivante, l'agent l'applique localement dans le logiciel client selon un intervalle régulier. Cet intervalle d'application est déterminé par le paramètre d'intervalle d'application des stratégies figurant dans le fichier NAP de l'agent, qui est de 5 minutes par défaut. L'application des paramètres de stratégie sur des ordinateurs clients varie légèrement selon que vous gérez des produits McAfee ou Norton AntiVirus. Les stratégies pour les produits McAfee sont appliquées immédiatement lors de l'intervalle d'application des stratégies et de l'intervalle de communication agent-serveur (ASCI). Un délai pouvant atteindre trois minutes après l'intervalle d'application des stratégies et l'intervalle de communication agent-serveur (ASCI) précède l'application des stratégies pour les produits Norton AntiVirus. En effet, l'agent commence par mettre à jour le fichier GRC.DAT en y ajoutant les informations de stratégie, et c'est ensuite que les produits Norton AntiVirus lisent les informations de ce fichier. Les produits Norton AntiVirus lisent le fichier GRC.DAT environ toutes les trois minutes. 192

193 Gestion de stratégies de produit et exécution de tâches de client Utilisation de pages de stratégie pour gérer des paramètres de produit 9 Utilisation de pages de stratégie pour gérer des paramètres de produit Les pages de stratégie epolicy Orchestrator permettent de gérer les paramètres de configuration des produits de sécurité installés et exécutés sur les ordinateurs clients de votre réseau. En plus de gérer des paramètres de stratégie, vous pouvez également créer, configurer et planifier des tâches de client, telles que les analyses antivirus à la demande ou les mises à jour de produit. Pour plus d'informations sur l'utilisation d'epolicy Orchestrator pour exécuter des tâches de client, reportez-vous à la section Configuration de tâches de client : analyses à la demande et mises à jour à la page 203. Lors de l'installation d'epolicy Orchestrator, un ensemble de pages de stratégie, ou fichiers NAP (Network Associates Package), sont créés. Ces fichiers se rapportent aux dernières distributions de produits antivirus et de sécurité courants, à l'agent epolicy Orchestrator, etc. Les pages de stratégie permettent de gérer les stratégies de ces produits via la console epolicy Orchestrator. Chaque fois que vous modifiez une stratégie, la modification est prélevée par le logiciel client lors de l'accès suivant de l'agent au serveur epolicy Orchestrator. Figure 9-1 L'onglet Stratégies indique les pages de stratégie (NAP) disponibles pour les différents produits. Le volet de détails inférieur comprend les options de stratégie de la page de stratégie sélectionnée. Il est possible de définir des stratégies de produit à n'importe quel niveau du Répertoire, par exemple au niveau du site ou du groupe ou même pour des ordinateurs spécifiques. L'onglet Stratégies du volet de détails supérieur indique les stratégies relatives à la branche actuellement sélectionnée dans l'arborescence du Répertoire. 193

194 Gestion de stratégies de produit et exécution de tâches de client Utilisation de pages de stratégie pour gérer des paramètres de produit 9 Liste des fichiers NAP installés avec le serveur epolicy Orchestrator # Gestionnaire d'alerte 4.5 # Alert Manager 4.7 # Agent epo pour WebShield Appliance # Agent epo pour NetWare # Agent epolicy Orchestrator # Installateur pour VirusScan TC # NetShield 4.5 pour Windows # Norton AntiVirus Corporate Edition 7.5x/7.6/8.0 # NetShield pour NetWare 4.6 # System Compliance Profiler 1.1 # Capteur de systèmes non fiables # VirusScan TC 6.0 pour Windows # VirusScan pour Windows # VirusScan Enterprise 7.0 # VirusScan Enterprise 7.1 # VirusScan Enterprise 8.0 Pour des détails complets sur toutes les options de stratégie des principaux produits antivirus et de sécurité McAfee tels que VirusScan Enterprise, Desktop Firewall et GroupShield, reportez-vous au Guide de configuration correspondant. Vous trouverez ce guide sur le CD du produit ou sur le site web de McAfee. De plus, nombre des options de configuration des pages de stratégie ne font que reproduire des paramétrages accessibles à l'aide de l'interface du produit. Pour plus d'informations sur les fonctionnalités d'un produit, reportez-vous au Guide produit correspondant. Affichage du numéro de version des pages de stratégie Pour élaborer les stratégies d'un produit, vous devez utiliser la version voulue du fichier NAP de pages de stratégie. Il n'est pas possible d'utiliser un fichier NAP d'une version donnée pour gérer les stratégies d'une autre version du produit concerné. Par exemple, la gestion des stratégies de VirusScan Enterprise 8.0i exige le fichier NAP de la version 8.0i. Conseil Supprimez du serveur epolicy Orchestrator les fichiers NAP relatifs à d'anciens produits que vous ne gérez plus. epolicy Orchestrator permet d'archiver différents fichiers NAP pour différentes versions du même produit, par exemple VirusScan Enterprise 7.0, 7.1 et 8.0i. Or, il est parfois commpliqué de se souvenir des stratégies précises à appliquer aux différents produits dans les différentes parties du Répertoire. Par exemple, si vous effectuez la migration de tous vos postes de travail et serveurs vers VirusScan Enterprise 8.0i, il est conseillé de supprimer les anciens fichiers NAP de VirusScan Enterprise 7.0 et 7.1. Pour déterminer le numéro de version des pages de stratégie (.NAP) qui se trouvent dans le Référentiel : 1 Connectez-vous au serveur epolicy Orchestrator de votre choix. 2 Dans l'arborescence de la console sous epolicy Orchestrator <SERVEUR>, sélectionnez Répertoire, puis cliquez sur l'onglet Stratégies dans le volet de détails supérieur. 3 Sélectionnez le produit souhaité (par exemple, VirusScan Enterprise 7.0). La page de stratégie correspondante apparaît dans le volet de détails inférieur. 194

195 Gestion de stratégies de produit et exécution de tâches de client Utilisation de pages de stratégie pour gérer des paramètres de produit 9 4 Le numéro de version (par exemple, VSE ) s'affiche sous le nom du produit. Figure 9-2 Numéro de version des pages de stratégie Exemple de modification de stratégie : changement des stratégies par défaut de VirusScan Enterprise Cette section illustre la procédure de modification des stratégies de produit, en s'attachant particulièrement à celles de VirusScan Enterprise 7.x et au masquage de certaines options d'interface sur l'ordinateur client. Par défaut, lorsque VirusScan Enterprise est installé, toutes ses options d'interface sont disponibles sur le client. Il est possible de masquer certaines de ces options afin d'empêcher que des utilisateurs ne puissent modifier facilement des paramètres et désactiver des fonctionnalités intentionnellement ou par inadvertance. Illustrons cette procédure par un exemple simple, en modifiant les stratégies des postes de travail afin d'installer VirusScan Enterprise 7.1 avec l'interface utilisateur minimale. La stratégie par défaut, qui consiste à afficher la totalité de l'interface, est conservée pour les serveurs. La figure 9-3 montre ces différences. Figure 9-3 Interfaces du serveur et du poste de travail VirusScan Enterprise Nous allons modifier les stratégies de tous les postes de travail en vue de masquer la majeure partie de l'interface. Pour les serveurs, nous garderons la stratégie par défaut, qui installe VirusScan Enterprise en conservant l'ensemble des options de menu disponibles dans la barre d'état système. En outre, la modification sera apportée ici au niveau du Répertoire et donc héritée par l'ensemble des sites, des groupes et des ordinateurs de l'arborescence. Pour modifier les stratégies de VirusScan Enterprise pour les postes de travail : 1 Dans l'arborescence de la console située dans le volet gauche, cliquez sur Répertoire. 2 Dans le volet de détails situé à droite, cliquez sur l'onglet Stratégies, puis sélectionnez VirusScan Enterprise 7.1 pour développer les stratégies. 195

196 Gestion de stratégies de produit et exécution de tâches de client Utilisation de pages de stratégie pour gérer des paramètres de produit 9 3 Sélectionnez la page de stratégie Stratégies de l'interface utilisateur. 4 Désactivez la case à cocher Hériter pour activer les options de stratégie de l'interface utilisateur. 5 Sélectionnez Afficher l'icône de la barre d'état système avec les options minimales. Figure 9-4 Utilisation des pages de stratégie de VirusScan Enterprise pour modifier la stratégie des postes de travail de façon à restreindre l'interface visible 6 Vérifiez que le sélecteur de système d'exploitation est paramétré sur Station de travail. Figure 9-5 Vérification de la position du sélecteur Serveur/Station de travail Remarque Le sélecteur Serveur Poste de travail permet de définir des stratégies distinctes pour les serveurs et les stations de travail sans utiliser les groupes du Répertoire. epolicy Orchestrator détecte le système d'exploitation installé sur l'ordinateur client et applique la stratégie adéquate. 196

197 Gestion de stratégies de produit et exécution de tâches de client Suppression du référentiel de pages de stratégie relatives à des produits inutilisés 9 7 Cliquez sur Appliquer pour enregistrer vos modifications. La modification de stratégie prendra effet sur les clients lors de l'accès suivant du client au serveur epolicy Orchestrator. Rappelons que cet exemple a pour but d'illustrer l'emploi de l'interface de la console epolicy Orchestrator pour modifier des stratégies. Pour des informations complètes sur la modification de stratégies de produit, reportez-vous au Guide de configuration ou à la documentation du produit correspondant. Suppression du référentiel de pages de stratégie relatives à des produits inutilisés La procédure suivante décrit comment supprimer des pages de stratégie que vous ne souhaitez plus gérer via epolicy Orchestrator. Cette situation peut notamment se produire en cas de mise à niveau vers une nouvelle version d'un logiciel client, de VirusScan Enterprise 7.1 vers VirusScan Enterprise 7.5 par exemple. La présence de fichiers NAP superflus dans les pages de stratégie peut encombrer la console epolicy Orchestrator. A fortiori, la coexistence de plusieurs fichiers NAP se rapportant à des versions différentes d'un même produit, comme VirusScan Enterprise 7.1 et 7.5, risque de prêter à confusion. Supprimez le fichier NAP des anciennes versions afin de ne pas risquer de vous tromper en définissant accidentellement une stratégie pour une version qui ne convient pas. Il est plus facile de travailler dans une console «propre» où les fichiers NAP des produits qui ne sont pas gérés au moyen d'epolicy Orchestrator ont été supprimés. Pour supprimer un fichier NAP : 1 Dans l'arborescence epolicy Orchestrator, recherchez les pages de stratégie du fichier NAP du produit à supprimer en sélectionnant Référentiel Produits gérés <Plate-forme> <Nom du produit>. Suivant le cas, vous pouvez supprimer un fichier NAP au niveau du nom du produit ou de la version du produit. Si plusieurs fichiers NAP sont associés à différentes versions du même produit, chacun est enregistré dans le sous-dossier de version situé sous le dossier de produit. Veillez à sélectionner le niveau correct pour ne supprimer que la version de produit requise. 2 Cliquez avec le bouton droit sur le sous-dossier Produits gérés, puis sélectionnez Supprimer. L'option Supprimer n'est disponible que si un fichier NAP est enregistré dans le dossier. 3 Cliquez sur Oui pour indiquer que vous souhaitez supprimer le logiciel sélectionné. 4 Actualisez la console epolicy Orchestrator en cliquant avec le bouton droit sur le noeud Répertoire et en sélectionnant Actualiser. Les pages de stratégie sont supprimées de la liste des stratégies de produit disponibles sous l'onglet Stratégies du volet de détails. De plus, si cette suppression concerne une version de produit spécifique, toutes les tâches de client propres à ce produit sont supprimées de la liste des tâches de client disponibles. 197

198 Gestion de stratégies de produit et exécution de tâches de client Copie, exportation et importation de stratégies 9 Copie, exportation et importation de stratégies Le paramétrage correct des stratégies de produit ou d'agent en fonction de votre environnement réseau peut prendre beaucoup de temps et nécessiter plusieurs tentatives infructueuses avant de trouver la bonne solution. C'est pourquoi vous jugerez certainement qu'il est fastidieux de recréer inutilement des stratégies une fois celles-ci correctement définies. Cette section explique comment réutiliser dans d'autres parties du Répertoire des stratégies existantes qui vous donnent satisfaction. Contenu de cette section # Copie de paramètres de stratégie d'un noeud du Répertoire à un autre # Exportation de stratégies vers un fichier ou un modèle de stratégie # Importation de stratégies à partir d'un fichier ou d'un modèle de stratégie Copie de paramètres de stratégie d'un noeud du Répertoire à un autre Vous pouvez copier-coller des paramètres de stratégie d'une branche à une autre de l'arborescence du Répertoire. Supposons que vous ayez passé un certain temps à perfectionner vos pages de stratégie en personnalisant les paramètres de l'agent ou de VirusScan Enterprise pour un groupe ou un site particulier et que ces stratégies soient applicables à un autre site ou groupe. Au lieu d'entrer à nouveau les modifications dans le deuxième noeud, vous pouvez copier la stratégie personnalisée et la coller dans le nouveau noeud. Vous pouvez vous baser sur la procédure décrite dans cette section si vous voulez copier-coller des stratégies vers diverses autres branches du Répertoire. Il est cependant plus facile dans ce cas d'exporter les stratégies personnalisées vers un fichier ou un modèle de stratégie pour ensuite les importer dans les branches cibles. Remarque Vous devez être un administrateur global ou de site pour copier ou coller des stratégies. Lorsque vous collez des paramètres de stratégie dans un autre élément de l'arborescence de la console, l'héritage est désactivé pour l'élément en question mais il reste inchangé pour les éléments de niveaux inférieurs. Par conséquent, les éléments de l'arborescence pour lesquels l'héritage est activé et situés sous celui dans lequel les paramètres de stratégie sont collés héritent des nouveaux paramètres lors de la communication agent-serveur suivante. Procédure de copie de stratégies d'un noeud du Répertoire à un autre Pour copier-coller des paramètres de stratégie d'une branche à une autre : 1 Connectez-vous au serveur epolicy Orchestrator de votre choix. 2 Cliquez avec le bouton droit sur la branche du Répertoire dont vous voulez copier les stratégies, puis sélectionnez Stratégie Copier. 3 Recherchez dans le Répertoire la branche cible vers laquelle copier les stratégies. Il peut s'agir de n'importe quel site, groupe ou ordinateur dans l'arborescence du Répertoire. 198

199 Gestion de stratégies de produit et exécution de tâches de client Copie, exportation et importation de stratégies 9 4 La cible trouvée, cliquez avec le bouton droit et sélectionnez Stratégie Coller. La boîte de dialogue Options de copie des stratégies s'affiche. Figure 9-6 Boîte de dialogue Options de copie des stratégies 5 Vérifiez que le serveur et l'élément indiqués comme source et comme destination sont corrects avant de continuer. 6 Sélectionnez des stratégies de produits spécifiques à coller vers la branche cible. Pour cela, cliquez sur la stratégie de produit dans la liste Produits et ensuite sur Ajouter pour la déplacer vers la liste Copier les stratégies pour. 7 Pour copier uniquement les paramètres de stratégie qui diffèrent des paramètres hérités, sélectionnez Seulement les stratégies personnalisées. Sinon, tous les paramètres de stratégie sont copiés. 8 Cliquez sur OK lorsque vous avez terminé. Exportation de stratégies vers un fichier ou un modèle de stratégie Vous pouvez exporter et importer vos paramètres de stratégie de produit personnalisés au départ et à destination de fichiers de stratégie ou de modèles de stratégie. Ce faisant, vous pouvez créer un ensemble personnalisé de paramètres de stratégie qui pourra être réutilisé dans d'autres parties du Répertoire, ou encore définir des paramètres de stratégie au niveau de l'entreprise qui peuvent être facilement appliqués à n'importe quel serveur epolicy Orchestrator. 199

200 Gestion de stratégies de produit et exécution de tâches de client Copie, exportation et importation de stratégies 9 Selon que d'autres administrateurs epolicy Orchestrator doivent ou non avoir accès à ces paramètres, vous opterez pour des fichiers de stratégie ou pour des modèles de stratégie. La procédure d'exportation étant similaire, ces deux options sont examinées ensemble dans cette section. A propos de l'exportation de stratégies vers un fichier L'exportation de stratégies vers un fichier permet d'enregistrer des informations de stratégie dans un fichier externe, et le fichier de stratégie exporté n'est pas directement visualisable dans la console epolicy Orchestrator. Les administrateurs globaux peuvent envoyer ce fichier à un administrateur de site local, qui peut ensuite l'importer dans les parties voulues de son Répertoire. Il est également possible d'importer des stratégies à partir d'un fichier vers un autre serveur epolicy Orchestrator. Par exemple, si epolicy Orchestrator est déployé pour évaluation dans un réseau de test, vous pouvez y tester les stratégies personnalisées. Ces stratégies peuvent être exportées et ensuite importées sur le serveur de production. Les fichiers de stratégie sont utiles également pour la sauvegarde des paramètres de stratégie personnalisés. Si des stratégies sont modifiées par inadvertance ou si vous devez réinstaller le serveur epolicy Orchestrator pour une raison quelconque, vous pouvez importer des stratégies personnalisées au lieu de les recréer entièrement. Les fichiers de stratégie ne sont pas accessibles via la console epolicy Orchestrator ou les consoles distantes. Ils doivent être enregistrés et gérés en dehors de l'interface de la console. A propos de l'exportation de stratégies vers un modèle de stratégie Lorsque vous enregistrez une stratégie personnalisée dans un modèle de stratégie, le modèle est ajouté à la base de données epolicy Orchestrator. Il est disponible dans la section Modèles de stratégies de la console epolicy Orchestrator, et les administrateurs de site globaux et locaux peuvent importer leurs paramètres dans n'importe quelle branche de l'arborescence du Répertoire. Figure 9-7 Exportation de stratégies personnalisées vers un modèle de stratégie dans la base de données 200

201 Gestion de stratégies de produit et exécution de tâches de client Copie, exportation et importation de stratégies 9 Dans la mesure où les modèles de stratégie sont enregistrés dans la base de données, ils ne peuvent pas être utilisés sur d'autres serveurs epolicy Orchestrator. Ils ne se prêtent donc pas à la sauvegarde de stratégies personnalisées, puisqu'ils sont perdus si vous désinstallez le serveur epolicy Orchestrator. Pour exporter des stratégies vers un fichier ou un modèle de stratégie : 1 Recherchez dans l'arborescence du Répertoire de la console epolicy Orchestrator la branche dont vous voulez exporter des stratégies. 2 Ensuite, cliquez sur la branche avec le bouton droit et sélectionnez Stratégie Exporter. La boîte de dialogue Exportation de stratégies s'affiche. Figure 9-8 Boîte de dialogue Exportation de stratégies 3 Sous Exporter les stratégies vers, sélectionnez Fichier ou Modèles de stratégie. 4 Tapez un nom de fichier ou de modèle, selon le type d'élément vers lequel vous exportez les stratégies. 5 Sélectionnez les stratégies de produits spécifiques que vous souhaitez exporter. Pour cela, cliquez sur la stratégie de produit dans la liste Produits, puis cliquez sur Ajouter pour la déplacer vers la liste Exporter les stratégies pour. 6 Pour exporter uniquement les paramètres de stratégie qui diffèrent des paramètres hérités, sélectionnez Exporter les stratégies personnalisées uniquement. 7 Cliquez sur Exporter pour enregistrer les stratégies. Dans le cas d'une exportation vers un fichier, celui-ci est enregistré sur le disque dur. Dans le cas d'une exportation vers un modèle, ce dernier est enregistré dans la base de données. 201

202 Gestion de stratégies de produit et exécution de tâches de client Réinitialisation des paramètres de stratégie par défaut 9 Importation de stratégies à partir d'un fichier ou d'un modèle de stratégie La procédure suivante permet d'importer des stratégies dans une branche de l'arborescence du Répertoire, soit à partir d'un fichier exporté, soit à partir d'un modèle de la base de données. Vous devez être un administrateur global ou de site pour importer et exporter des stratégies. Pour importer des paramètres de stratégie de produits sélectionnés par l'intermédiaire d'un modèle de stratégie : 1 Recherchez dans l'arborescence du Répertoire de la console epolicy Orchestrator la branche où vous voulez importer des stratégies. 2 Ensuite, cliquez sur la branche avec le bouton droit et sélectionnez Stratégie Importer. 3 Cliquez sur OK dans la boîte de dialogue d'avertissement. Figure 9-9 Boîte de dialogue Options d'importation des stratégies 4 Dans la boîte de dialogue Options d'importation des stratégies, sous Importer les stratégies depuis, sélectionnez Fichier ou Modèles de stratégies. Si vous avez sélectionné Fichier, tapez l'emplacement du fichier de stratégie ou parcourez l'arborescence et sélectionnez-le. Si vous avez choisi Modèles de stratégies, sélectionnez un modèle dans la liste déroulante regroupant tous les modèles de stratégie actuellement enregistrés dans la base de données. 5 Cliquez sur OK. Patientez pendant l'importation de la stratégie. Au terme de l'opération, vérifiez si les stratégies ont été importées en examinant les pages de stratégie voulues pour le ou les produits concernés. Réinitialisation des paramètres de stratégie par défaut Il est possible de rétablir des stratégies après les avoir modifiées. L'arborescence du Répertoire epolicy Orchestrator permet de rétablir facilement les stratégies de tout ou partie des produits à n'importe quel niveau du Répertoire. Vous pouvez aussi restaurer les paramètres de stratégie par défaut sur n'importe quelle page de stratégie en sélectionnant Hériter, puis en cliquant sur Appliquer. 202

203 Gestion de stratégies de produit et exécution de tâches de client Configuration de tâches de client : analyses à la demande et mises à jour 9 Pour réinitialiser les stratégies de produits sélectionnés en rétablissant leurs paramètres initiaux : 1 Connectez-vous au serveur epolicy Orchestrator de votre choix. 2 Cliquez avec le bouton droit sur Répertoire ou encore sur le <SITE>, <GROUPE> ou <ORDINATEUR> de votre choix, puis sélectionnez Stratégie Réinitialiser l'héritage. La boîte de dialogue Redéfinir l'héritage des stratégies s'affiche. Figure 9-10 Boîte de dialogue Redéfinir l'héritage des stratégies 3 Sélectionnez le niveau auquel vous voulez restaurer les paramètres de stratégie par défaut. 4 Indiquez si vous voulez restaurer les paramètres par défaut pour tous les produits ou pour les produits sélectionnés. 5 Si vous choisissez Produits sélectionnés, sélectionnez ceux-ci dans la liste Produits. 6 Cliquez sur OK. Les modifications prennent effet lors de la communication agent-serveur suivante. Configuration de tâches de client : analyses à la demande et mises à jour La console epolicy Orchestrator permet non seulement de personnaliser des stratégies de produits déployés dans le réseau au moyen des pages de stratégie, mais aussi de configurer des tâches de client, c'est-à-dire s'exécutant sur des ordinateurs clients. Ces mêmes tâches peuvent être paramétrées via l'interface du produit. La console epolicy Orchestrator centralise la création, la planification et la configuration de l'ensemble de ces tâches. Vous pouvez planifier sur le serveur epolicy Orchestrator des tâches qui seront exécutées sur des ordinateurs clients spécifiés. Ces tâches peuvent être définies de façon à s'exécuter sur les ordinateurs de l'ensemble du Répertoire, d'un groupe ou d'un site particulier, ou encore sur certains ordinateurs seulement. Avant de créer et de planifier des tâches, il est important de bien comprendre le fonctionnement de l'héritage des tâches dans epolicy Orchestrator. 203

204 Gestion de stratégies de produit et exécution de tâches de client Configuration de tâches de client : analyses à la demande et mises à jour 9 Cette section aborde les sujets suivants : # A propos de l'exécution de tâches de client dans epolicy Orchestrator # Création d'une tâche d'analyse à la demande planifiée sur le client pour VirusScan Enterprise # Options de planification des tâches de client # Modification des tâches de client # Suppression de tâches de client A propos de l'exécution de tâches de client dans epolicy Orchestrator Les pages de stratégie, ou fichiers NAP, que vous avez installés sur le serveur epolicy Orchestrator déterminent les tâches disponibles. Par exemple, la tâche d'analyse à la demande VirusScan Enterprise 7.0 est disponible parce que ce fichier NAP est chargé automatiquement lors de l'installation d'epolicy Orchestrator. Si vous supprimez un des fichiers NAP installés, les tâches associées au produit correspondant le sont également. En règle générale, les tâches sont propres à un produit et ont trait aux opérations suivantes : # Exécution d'analyses antivirus à la demande. Il s'agit de produits antivirus tels que VirusScan Enterprise 7.x, NetShield 4.5 pour Windows NT et VirusScan # Exécution de mises à jour et de mises à niveau spécifiques d'un produit pour les produits n'utilisant pas l'agent CMA (Common Management Agent) intégré, en général des produits non-windows ou anciens édités avant l'apparition de CMA. Tâches de client abordées dans d'autres parties de ce guide Certaines tâches de client ayant trait à d'autres aspects d'epolicy Orchestrator sont étudiées dans d'autres sections, et notamment : # La tâche Agent epolicy Orchestrator - Mettre à jour employée pour mettre à jour les fichiers DAT et les moteurs de produits exploitant l'architecture de mise à jour de CMA. Voir la section Création et planification d'une tâche quotidienne de mise à jour du moteur et des fichiers DAT au niveau des clients à la page 139. # La tâche de déploiement de produit par défaut, qui sert à installer des produits sur les ordinateurs clients. Voir la section Installation de produits sur les ordinateurs clients à l'aide de la tâche de déploiement à la page 111. # La tâche de réactivation de l'agent, utilisée lorsque vous souhaitez planifier la réactivation des agents par le serveur à intervalles réguliers à l'aide d'un PING IMCP. Voir la section Envoi d'appels de réactivation de l'agent manuels à la page

205 Gestion de stratégies de produit et exécution de tâches de client Configuration de tâches de client : analyses à la demande et mises à jour 9 Héritage des tâches dans le Répertoire : un modèle semblable à l'héritage des stratégies Les tâches créées pour un niveau donné de l'arborescence du Répertoire sont héritées par défaut par tous les enfants situés au-dessous de ce niveau. L'héritage des tâches détermine si les paramètres de tâches de client définis pour un élément de l'arborescence de la console dans le Répertoire sont issus de l'élément situé directement au-dessus de lui. Lorsque vous désactivez l'héritage pour un élément particulier, les tâches planifiées pour l'élément au-dessus de lui sont ignorées et la nouvelle tâche est planifiée pour tous les éléments situés au-dessous (pour lesquels l'héritage est activé). De quelles tâches ai-je besoin et quand les planifier? Les tâches spécifiques qu'il vous faut créer dépendent de divers facteurs, notamment des produits déployés dans votre réseau et dont vous gérez les stratégies à l'aide d'epolicy Orchestrator. Les dates et heures auxquelles chaque tâche doit être planifiée sont quant à elles fonction de vos impératifs de pondération des performances du réseau au moment de l'exécution des tâches. Par exemple, vous pouvez planifier une tâche d'analyse à la demande VirusScan Enterprise sur un serveur web de commerce électronique au milieu de la nuit (heure locale) et réduire la limite d'utilisation du processeur à 20 % afin de minimiser les performances du serveur. Pour avoir une idée des types de tâches que vous pouvez et devez planifier régulièrement, reportez-vous à la section Mesures quotidiennes ou hebdomadaires à prendre pour se préparer aux attaques virales à la page 312. Création d'une tâche d'analyse à la demande planifiée sur le client pour VirusScan Enterprise Vous pouvez, pour créer des tâches, recourir à n'importe quel type de tâche par défaut parmi les types disponibles dans la boîte de dialogue Planifier la tâche epolicy Orchestrator. Pour rappel, ceux-ci dépendent des fichiers NAP de produit se trouvant dans le référentiel de logiciels. Les processus de création et de planification des tâches de client sont similaires quel que soit le type de tâche envisagé. Cette section s'attache à la création d'une tâche d'analyse à la demande planifiée avec VirusScan Enterprise pour illustrer la procédure de base de création des tâches. Le recours aux analyses antivirus à la demande constitue un aspect important de votre politique antivirus, et il est évident qu'il vous faudra créer et planifier ce type de tâche à l'aide d'epolicy Orchestrator si VirusScan Enterprise est déployé dans votre environnement. Dans cet exemple, la tâche est créée au niveau du Répertoire pour qu'elle s'applique à l'ensemble de l'arborescence du Répertoire. Il est possible de la placer à un niveau inférieur si vous souhaitez qu'elle porte uniquement sur des sites ou des groupes spécifiques. Pour créer une tâche d'analyse à la demande sur le client pour VirusScan Enterprise : 1 Dans le volet gauche de la console epolicy Orchestrator, sélectionnez la racine du Répertoire puis Planifier la tâche. 205

206 Gestion de stratégies de produit et exécution de tâches de client Configuration de tâches de client : analyses à la demande et mises à jour 9 2 Dans la boîte de dialogue Planifier la tâche, tapez un nom descriptif pour la tâche que vous créez, comme Analyse à la demande quotidienne avec VirusScan Enterprise. Sélectionnez VirusScan Enterprise - Analyse à la demande comme logiciel et type de tâche. Figure 9-11 Création de la nouvelle tâche d'analyse à la demande VirusScan Enterprise et attribution d'un nom 3 Cliquez sur OK pour ajouter la nouvelle tâche. 4 Actualisez la console epolicy Orchestrator, soit en cliquant avec le bouton droit sur le noeud Répertoire et en sélectionnant Actualiser, soit en cliquant sur le bouton Actualiser de la barre d'outils. Tant que vous n'aurez pas actualisé la console, la nouvelle tâche risque de ne pas apparaître dans la liste des tâches disponibles sous l'onglet Tâches. 5 Cliquez avec le bouton droit sur la nouvelle tâche dans la liste de tâches, puis sélectionnez Modifier une tâche. Figure 9-12 Modification de la nouvelle tâche pour qu'elle s'exécute immédiatement 6 Sous l'onglet Tâche de la boîte de dialogue Planificateur epolicy Orchestrator, désactivez Hériter pour activer les options de la tâche. 206

207 Gestion de stratégies de produit et exécution de tâches de client Configuration de tâches de client : analyses à la demande et mises à jour 9 7 Sélectionnez Activer. La tâche ne s'exécute qu'à partir du moment où vous l'avez activée. 8 Cliquez sur Paramètres pour configurer les paramètres de l'analyse à la demande. Cette étape est propre à chaque type de tâche. Dans le cas d'une analyse à la demande VirusScan Enterprise, la page de paramètres comprend des options de configuration de l'analyse antivirus, comme les lecteurs locaux et les types de fichiers à analyser ou non, l'action à entreprendre si un virus est détecté, etc. Cette section n'analyse pas dans le détail la configuration d'un type de tâche spécifique. Pour plus d'informations sur les paramètres de tâche, reportez-vous à la documentation du produit, par exemple le Guide produit de VirusScan Enterprise. En ce qui concerne les principaux produits, consultez les sections pertinentes dans le Guide de configuration d'epolicy Orchestrator Cliquez sur OK lorsque vous avez fini de configurer les paramètres de la tâche d'analyse. 10 Dans la boîte de dialogue Planificateur epolicy Orchestrator, cliquez sur l'onglet Planifier et désactivez Hériter pour activer les options de planification. 11 Sélectionnez Quotidiennement et spécifiez une heure de début. Dans la mesure où les analyses à la demande sollicitent fortement le processeur et peuvent donc nuire aux performances de l'ordinateur client, il est intéressant de les planifier pour qu'elles s'exécutent durant les heures creuses, par exemple tard dans la soirée. De plus, si d'autres tâches, comme des mises à jour de fichiers DAT, sont planifiées, il est important de coordonner les planifications en conséquence. Par exemple, programmez une analyse à la demande pour qu'elle débute au terme de la mise à jour des fichiers DAT afin de vous assurer qu'elle utilise les fichiers DAT les plus récents. Il existe de nombreuses options de planification d'une tâche de client. Voir la section Options de planification des tâches de client à la page 207 pour plus de détails. 12 Cliquez sur OK lorsque vous avez fini de modifier la planification et les paramètres de tâche afin d'enregistrer la tâche. La nouvelle analyse à la demande s'affiche dans la liste des tâches créées. Vérifiez qu'elle est activée. Options de planification des tâches de client Il existe de nombreuses options de planification d'une tâche de client. Le tableau ci-dessous les répertorie et indique quelques suggestions relatives à leurs conditions d'utilisation. Tableau 9-1 Options de planification des tâches de client Option de planification Arrêter la tâche si elle s'exécute pendant Planifier la tâche Heure de début Description Dans la section Paramètres de planification de l'onglet Tâche. Limite la durée pendant laquelle la tâche peut s'exécuter avant d'être annulée. Définit le type de planification, c'est-à-dire quotidienne, hebdomadaire, ou quand l'ordinateur client est sous tension. Heure du jour où la tâche doit commencer. 207

208 Gestion de stratégies de produit et exécution de tâches de client Configuration de tâches de client : analyses à la demande et mises à jour 9 Tableau 9-1 Options de planification des tâches de client Option de planification Heure GMT ou Heure locale Activer la sélection aléatoire Exécuter la tâche omise Ajourner la tâche non exécutée de Date de début/date de fin Répéter la tâche Description Sélectionnez l'heure locale pour exécuter la tâche selon l'intervalle planifié d'après l'heure système de l'ordinateur client. Cette option est utile pour planifier pendant les heures creuses l'exécution de tâches qui sollicitent fortement le processeur, comme les analyses antivirus à la demande. La sélection de l'heure GMT permet d'exécuter la tâche avec une heure de début GMT (Greenwich Mean Time). La tâche s'exécute alors au même moment sur tous les clients, quelle que soit leur heure système locale. La tâche ne s'exécute pas exactement à l'heure de début spécifiée, mais elle débute après un délai aléatoire. Garantit que la tâche commencera même si l'ordinateur client est arrêté ou indisponible à l'heure de début planifiée. La tâche est alors exécutée dès que l'ordinateur redevient disponible. Dans la boîte de dialogue Options de planification avancées. Si des tâches sont manquées, cette option définit un délai au terme duquel la tâche est exécutée à nouveau après que le client redevient disponible. Dans la boîte de dialogue Options de planification avancées. Entrez les dates de début et de fin si vous souhaitez que la tâche s'exécute uniquement pendant une période spécifique de quelques jours ou quelques semaines. Cette option est utile si la tâche ne doit être exécutée que temporairement et plus jamais par la suite. Dans la boîte de dialogue Options de planification avancées. Utilisez cette option si vous voulez exécuter une tâche plusieurs fois au cours de la même journée. Pour cela, activez Répéter la tâche et définissez l'intervalle de répétition requis. En général, cette option est utile pour exécuter une tâche de mise à jour du client plusieurs fois par jour, en particulier si un grand nombre de nouveaux virus sont en circulation. Il est également possible de planifier une tâche pour qu'elle se répète selon d'autres intervalles, de façon hebdomadaire ou mensuelle par exemple. Modification des tâches de client Vous pouvez modifier les paramètres ou les informations de planification de toute tâche déjà créée et configurée. Pour modifier la configuration d'une tâche de client : 1 Recherchez dans l'arborescence du Répertoire de la console epolicy Orchestrator la branche dans laquelle se trouvent les informations de tâche à modifier. 2 Dans le volet de détails supérieur droit, cliquez sur l'onglet Tâches. 3 Dans la liste des tâches disponibles, cliquez avec le bouton droit sur la tâche à modifier et sélectionnez Modifier une tâche. 4 Désactivez Hériter pour activer les options de configuration. 208

209 Gestion de stratégies de produit et exécution de tâches de client Configuration de tâches de client : analyses à la demande et mises à jour 9 5 Modifiez les paramètres ou informations de planification en fonction de vos besoins. Pour plus d'informations, consultez l'exemple de la section Création d'une tâche d'analyse à la demande planifiée sur le client pour VirusScan Enterprise à la page Cliquez sur Appliquer ou sur OK pour enregistrer la tâche modifiée. Les modifications apportées au logiciel client seront prélevées lors de l'accès suivant de l'agent au serveur epolicy Orchestrator. Suppression de tâches de client Vous pouvez supprimer toute tâche de client que vous avez créée si vous ne souhaitez plus qu'elle s'exécute sur les ordinateurs clients. Il peut s'agir d'une tâche de client ponctuelle, que vous avez choisi d'exécuter une fois et qui est à présent terminée, ou encore d'une tâche d'analyse à la demande ou de mise à jour d'un ancien produit que vous avez cessé d'utiliser. Par exemple, vous avez peut-être arrêté d'utiliser VirusScan sur les ordinateurs clients et NetShield 4.5 sur les serveurs après avoir procédé à leur migration vers la dernière version de VirusScan Enterprise. Vous pouvez alors supprimer toutes les tâches de client créées pour NetShield et VirusScan Vous ne pouvez toutefois pas supprimer la tâche de déploiement par défaut qui permet d'installer des produits antivirus et de sécurité via la console epolicy Orchestrator. Voir la section Installation de produits sur les ordinateurs clients à l'aide de la tâche de déploiement à la page 111. Pour supprimer des tâches de client que vous avez créées mais dont vous n'avez plus besoin : 1 Recherchez dans l'arborescence du Répertoire de la console epolicy Orchestrator la branche dans laquelle vous avez créé la tâche. Vous ne pouvez supprimer des tâches que dans les niveaux où vous êtes autorisé à en créer. 2 Dans le volet de détails supérieur droit, cliquez sur l'onglet Tâches. 3 Dans la liste des tâches disponibles, cliquez avec le bouton droit sur la tâche à modifier et sélectionnez Supprimer. 4 Cliquez sur Oui dans la boîte de dialogue d'avertissement. 209

210 10 Evaluation de la conformité Limitation des vulnérabilités par des versions minimales de logiciels, de patchs et de Service Packs De nos jours, la plupart des attaques de virus et de ver visent des vulnérabilités connues présentes dans les systèmes d'exploitation courants. En général, les éditeurs de ces systèmes d'exploitation publient des patchs ou des Service Packs destinés à corriger ces failles et à assurer à leurs clients la protection adéquate. Toutefois, pour les administrateurs, garantir la tenue à jour de l'ensemble des systèmes de leur environnement par l'installation de ces patchs et Service Packs n'est pas une mince affaire. Il est encore plus compliqué pour eux de reconnaître les ordinateurs du réseau non conformes, c'est-à-dire n'ayant pas bénéficié de ces mises à jour. De même, dans les grands réseaux, il est particulièrement difficile d'assurer la conformité de tous les ordinateurs en termes de versions de moteurs, de logiciels antivirus et de fichiers de signatures de virus (DAT). epolicy Orchestrator 3.5 comprend plusieurs nouvelles fonctionnalités qui vous aident à vérifier la conformité des ordinateurs gérés de votre environnement avec votre politique de sécurité : # System Compliance Profiler # Tâche de serveur Vérification de la conformité # Notifications epolicy Orchestrator System Compliance Profiler System Compliance Profiler propose diverses fonctionnalités : # Rapports sur l'application conforme des patchs Microsoft. # Evaluation personnalisable de la compatibilité basée sur l'analyse de fichiers spécifiques, d'entrées de Registre, de services et de patchs Microsoft. # Modèles de règles téléchargeables. # Vérification de l'intégrité des fichiers et des patchs (avec «empreinte» MD5). # Intégration complète avec McAfee epolicy Orchestrator pour la centralisation des rapports d'administration et de compatibilité sur les hôtes. # Rapports de conformité graphiques avec chemins d'accès aux niveaux inférieurs. 210

211 Evaluation de la conformité Tâche de serveur Vérification de la conformité 10 Cette section présente brièvement le composant System Compliance Profiler. Pour obtenir des informations plus détaillées, reportez-vous au Guide de configuration de System Compliance Profiler 1.1, disponible sur le CD d'installation du produit ou à partir du site web de McAfee. Le composant System Compliance Profiler analyse les ordinateurs distants pour déterminer s'ils sont conformes aux stratégies définies. Les stratégies consistent en des règles dont chacune indique au logiciel les fichiers, clés de Registre, patchs ou services à rechercher sur les ordinateurs distants analysés. Les ordinateurs qui répondent à tous les critères de vos règles sont déclarés conformes à votre stratégie. Ceux qui ne répondent pas à ces critères sont en infraction avec les règles. Vous pouvez avoir recours à System Compliance Profiler pour créer des rapports graphiques et tabulaires qui distinguent les ordinateurs du réseau qui sont conformes avec les stratégies de votre société, de ceux qui ne le sont pas. System Compliance Profiler s'intègre avec le logiciel de gestion McAfee epolicy Orchestrator (epo). Vous pouvez donc utiliser epolicy Orchestrator pour le configurer et le déployer. System Compliance Profiler opère en installant un logiciel d'analyse à distance sur chaque ordinateur que vous avez choisi de surveiller. Le logiciel d'analyse examine régulièrement les fichiers, clés de Registre, patchs et services, puis transmet les informations qu'il collecte à epolicy Orchestrator. Lorsqu'il a terminé ses analyses et fourni les données de rapport connexes, vous pouvez employer System Compliance Profiler avec epolicy Orchestrator pour générer des rapports basés sur les données ainsi collectées. Tâche de serveur Vérification de la conformité La tâche de serveur Vérification de la conformité peut être planifiée de façon à exécuter une ou plusieurs règles de conformité qui vérifient si les ordinateurs gérés disposent effectivement des versions spécifiées pour les éléments suivants : # Fichiers DAT # Moteur # Agent # VirusScan Dans la mesure où il est possible de créer plusieurs règles, vous pouvez configurer des règles distinctes (et donc différents «standards» de conformité) pour les ordinateurs en fonction de leur système d'exploitation et du délai de leur dernière communication avec le serveur epolicy Orchestrator. 211

212 Evaluation de la conformité Tâche de serveur Vérification de la conformité 10 Pour chaque règle, vous devez aussi définir un seuil au-delà duquel un événement est généré et envoyé à la fonctionnalité Notifications epolicy Orchestrator. Ce seuil peut être exprimé sous la fome d'un pourcentage et/ou d'un nombre spécifique d'ordinateurs cibles non conformes. Par exemple, vous pouvez définir une règle de telle sorte qu'un événement soit envoyé lorsque soit 15 % des ordinateurs cibles, soit 50 ordinateurs cibles ne sont pas conformes. Attention Vous devez configurer une règle dans Notifications epolicy Orchestrator pour qu'un événement Ordinateur non conforme détecté soit signalé lorsqu'il est reçu du serveur epo. Pour créer une tâche de vérification de la conformité et les règles associées : 1 Connectez-vous au serveur epolicy Orchestrator. 2 Dans l'arborescence de la console, sélectionnez le serveur epolicy Orchestrator, puis cliquez sur l'onglet Tâches planifiées dans le volet de détails. 3 Cliquez sur Créer la tâche. La page Configurer une nouvelle tâche s'affiche. 4 Entrez un nom pour la tâche. 5 Sélectionnez Vérification de la conformité dans la liste déroulante Type de tâche. 6 Choisissez d'activer ou de désactiver la tâche. 7 Dans la liste déroulante Type de planification, sélectionnez l'intervalle voulu pour l'exécution de la tâche ou bien prescrivez son exécution ponctuelle ou immédiate. 8 Le nom de la section située sous Paramètres de tâche varie selon le type de planification sélectionné et permet d'en configurer les détails. (Si, par exemple, vous avez choisi Hebdomadairement dans la liste Type de planification, vous pouvez sélectionner les jours de la semaine où la tâche devra s'exécuter.) Définissez les paramètres comme il convient. 9 Sous Options de planification avancées, configurez les heure de début, date de début et date de fin (si nécessaire), ainsi que la fréquence de répétition de la tâche si celle-ci échouait. 10 Sous Paramètres complémentaires, vous pouvez choisir de sélectionner l'heure d'exécution de façon aléatoire, d'exécuter des tâches omises et d'arrêter la tâche si son délai d'exécution dépasse une limite déterminée (laquelle doit dans ce cas être préalablement définie), puis cliquez sur Suivant dans la partie supérieure de la page. Passez ensuite à la section Configuration de règles de conformité à la page 212. Configuration de règles de conformité Pour configurer des règles de conformité après avoir créé la tâche Vérification de la conformité : 1 Dans la page Modifier la tâche Vérification de la conformité, sous Règles de conformité, cliquez sur Créer. La page Ajouter/Modifier la règle de conformité s'affiche. 2 Sous Paramètres généraux pour cette règle, tapez le nom de règle souhaité. 3 Choisissez si vous voulez générer un événement de non-conformité sur la base du pourcentage d'ordinateurs cibles ou d'un nombre spécifique d'ordinateurs cibles, puis indiquez la valeur seuil. 212

213 Evaluation de la conformité Notifications epolicy Orchestrator 10 4 Sous Définir les ordinateurs cibles, indiquez les ordinateurs auxquels appliquer cette tâche : tous ou ceux qui exécutent des systèmes d'exploitation sélectionnés. (Si vous choisissez Systèmes d'exploitation sélectionnés, sélectionnez ceux-ci dans la liste.) 5 Indiquez s'il faut appliquer cette règle aux ordinateurs ayant communiqué avec le serveur epolicy Orchestrator depuis un nombre de jours spécifié. 6 Sous Définir la conformité, sélectionnez les types d'élément suivant lesquels cette règle de conformité doit être évaluée : # Version de DAT Définissez la conformité à la version de fichiers DAT en indiquant le nombre de versions en amont considérées comme conformes. # Version de moteur Définissez la conformité à la version du moteur en indiquant le nombre de versions en amont considérées comme conformes. # Version de l'agent Définissez la conformité à la version de l'agent en indiquant que soit la dernière version, soit la version de votre choix de l'agent doit être utilisée pour qu'un système soit considéré conforme. Attention Avec cette tâche de serveur, vous pouvez créer une ou plusieurs règles stipulant chacune un ou plusieurs de ces types de conformité. 7 Cliquez sur Enregistrer en haut de la page. 8 Répétez la procédure si nécessaire. 9 Créez une règle dans la fonctionnalité Notifications epolicy Orchestrator pour qu'un message soit envoyé aux utilisateurs voulus lorsque de tels événements sont reçus. Pour plus d'informations et pour obtenir des instructions, reportez-vous à la section Notifications epolicy Orchestrator à la page 263. Notifications epolicy Orchestrator Lorsque System Compliance Profiler ou la tâche de serveur Vérification de la conformité génèrent des événements, l'arrivée de ces derniers au serveur vous est signalée par la fonctionnalité Notifications epolicy Orchestrator. La fonctionnalité Notifications epolicy Orchestrator permet de configurer des règles pour que, lorsque les conditions définies sont réunies, un message de notification soit expédié à des destinataires spécifiés. Ce message peut être envoyé par , SMS, pager ou via une interruption SNMP. Vous pouvez également configurer une règle qui exécute des commandes externes si ses conditions sont remplies. Parmi les nombreux autres types d'événements possibles, vous pouvez configurer une règle qui envoie un message de notification (ou exécute des commandes externes) si le serveur reçoit un événement de System Compliance Profiler, du module de détection des systèmes non fiables et de la tâche de serveur Vérification de la conformité. Pour plus d'informations et pour obtenir des instructions, reportez-vous à la section Notifications epolicy Orchestrator à la page

214 SECTION 4 Approche proactive des événements Deux nouvelles fonctionnalités d'epolicy Orchestrator 3.5 vous aident à adopter une approche proactive de la gestion des événements antivirus. Le module Détection des systèmes non fiables vous permet de détecter et de mettre en conformité les ordinateurs de votre réseau qui ne sont pas gérés par epolicy Orchestrator. Des notifications permettent de créer des alertes automatiques pour les événements de clients afin de prévenir les administrateurs de réseau lorsqu'un événement de sécurité critique se produit. Chapitre 11, Détection des systèmes non fiables Chapitre 12, Notifications epolicy Orchestrator

215 11 Détection des systèmes non fiables Recherche et mise en conformité des ordinateurs non gérés du réseau Ce chapitre décrit la nouvelle fonction d'epolicy Orchestrator 3.5 appelée Détection des systèmes non fiables. Dans nos explications, nous partirons du principe qu'à ce stade, vous avez déjà déployé des capteurs de systèmes non fiables sur le réseau. Pour plus d'informations sur le déploiement de capteurs sur un réseau, reportez-vous à la section Déploiement de capteurs de détection des systèmes non fiables à la page 91. Contenu de ce chapitre Les sujets suivants sont abordés : # A propos de la détection des systèmes non fiables # Surveillance des systèmes détectés et des capteurs déployés # Configuration des stratégies des capteurs de détection des systèmes non fiables # Actions manuelles sur les systèmes non fiables détectés # Configuration de réponses automatiques pour des événements spécifiques # Configuration d'exécutables de ligne de commande tiers à utiliser dans les réponses automatiques # Affichage de l'état des actions entreprises et de l'historique des événements # Personnalisation du serveur et de l'interface de la fonctionnalité Détection des systèmes non fiables # Questions fréquemment posées (FAQ) 215

216 Détection des systèmes non fiables A propos de la détection des systèmes non fiables 11 A propos de la détection des systèmes non fiables Même si vous utilisez epolicy Orchestrator pour gérer vos stratégies antivirus, l'efficacité de votre protection dépend de la couverture qu'elle procure. En déployant scrupuleusement des agents sur les ordinateurs connus du réseau et en assurant la tenue à jour de leurs fichiers DAT et de moteur, vous n'accomplissez en réalité que 90 % du travail nécessaire. La dernière étape cruciale consiste à s'assurer que la protection mise en place couvre tous les équipements qui se connectent au réseau et sur lesquels un agent doit être installé. Tous les réseaux comportent inévitablement un petit nombre d'ordinateurs qui ne disposent pas, à un moment donné, d'un agent epolicy Orchestrator. Il peut s'agir d'ordinateurs connectés et déconnectés fréquemment du réseau, comme des serveurs de test, de portables utilisés à domicile ou de périphériques sans fil. De plus, il arrive que les utilisateurs désinstallent ou désactivent les agents sur leurs ordinateurs. Ces systèmes non protégés constituent le point faible des stratégies de protection antivirus et de sécurité et permettent aux virus et autres programmes potentiellement dangereux d'accéder au réseau. Le système de détection des systèmes non fiables permet de contrôler la totalité des systèmes du réseau : il surveille non seulement les postes gérés par epolicy Orchestrator, mais également les systèmes qu'il estime «non fiables». Un système non fiable est un ordinateur qui n'est pas actuellement géré par un agent epolicy Orchestrator alors qu'il devrait l'être. La détection des systèmes non fiables est intégrée avec le serveur epolicy Orchestrator pour assurer, par l'intermédiaire de capteurs placés sur chaque segment de diffusion réseau, une détection en temps réel des systèmes non fiables. Ces capteurs écoutent les messages de diffusion et signalent la connexion de tout nouvel ordinateur sur le réseau. Figure 11-1 Les capteurs de systèmes non fiables détectent les ordinateurs dépourvus d'agent et les signalent au serveur epolicy Orchestrator. 216

217 Détection des systèmes non fiables A propos de la détection des systèmes non fiables 11 Lorsque le capteur détecte un nouveau système sur le réseau, il envoie un message au serveur de détection des systèmes non fiables. Ce dernier interroge alors le serveur epolicy Orchestrator afin de déterminer si l'ordinateur qui vient d'être identifié dispose d'un agent actif et s'il est géré par epolicy Orchestrator. Si le nouvel ordinateur n'est pas connu du serveur epolicy Orchestrator, la fonctionnalité de détection des systèmes non fiables permet de prendre des mesures de correction, notamment d'alerter les administrateurs du réseau et de la protection antivirus, ou encore de distribuer un agent epolicy Orchestrator à l'ordinateur. Contenu de cette section # A propos du capteur de systèmes non fiables # Serveur de détection des systèmes non fiables # A propos de l'état des systèmes et du type non fiable # Présentation de l'interface Détection des systèmes non fiables A propos du capteur de systèmes non fiables Le capteur constitue la partie distribuée de l'architecture de détection des systèmes non fiables. Il sert à détecter les ordinateurs, routeurs, imprimantes et autres périphériques connectés au réseau. Il rassemble les informations relatives aux équipements réseau détectés et les transmet au serveur de détection des systèmes non fiables. Le capteur est une petite application exécutable Win32 native. Comme dans le cas d'un SuperAgent epolicy Orchestrator, vous devez déployer au moins un capteur sur chaque segment de diffusion, ce qui correspond généralement à un sous-réseau. Le capteur fonctionne sous les systèmes d'exploitation de type Windows NT (tels que Windows 2000, Windows XP ou Windows 2003). Interaction du capteur avec le réseau Pour détecter les systèmes sur le réseau, le capteur utilise WinPCap, une bibliothèque libre de captures de paquets. WinPCap permet au capteur de détection des systèmes non fiables de capturer des paquets de diffusion de la couche 2 du réseau envoyés par les ordinateurs connectés à un même segment de diffusion. Le capteur effectue une écoute et une analyse syntaxique du trafic des protocoles IP, ARP (Address Resolution Protocol) et RARP (Reverse Address Resolution Protocol). Il peut «écouter» le trafic de diffusion de tous les équipements sur cette partie du réseau. Le capteur de détection des systèmes non fiables effectue une écoute passive : il ne sonde pas activement le réseau pour repérer les équipements connectés. En revanche, il écoute les messages de diffusion envoyés via le réseau. 217

218 Détection des systèmes non fiables A propos de la détection des systèmes non fiables 11 Filtrage intelligent du trafic réseau Le capteur de détection des systèmes non fiables met en place un filtrage intelligent du trafic réseau. Il ignore ainsi les informations inutiles pour ne capturer que les éléments dont il a besoin, à savoir le trafic de diffusion IP et Ethernet. En filtrant le trafic unicast pouvant contenir des adresses IP non locales, le capteur se focalise uniquement sur les équipements du réseau local. Par exemple, si un ordinateur du réseau est connecté à Yahoo, les paquets apparaissent sur le réseau local avec l'adresse IP de yahoo.com. Comme la finalité principale du capteur de détection des systèmes non fiables est de détecter exclusivement les ordinateurs du réseau local, il ignore tous les paquets unicast (leur source ne provenant en effet pas forcément d'un système local). Etant donné que les ordinateurs du réseau envoient des paquets de diffusion en permanence, le capteur doit définir de manière intelligente la fréquence d'envoi des informations pour traitement sur le serveur de détection des systèmes non fiables. Par exemple, le capteur de détection des systèmes non fiables se détecte lui-même dans la liste des systèmes détectés. Si le capteur envoyait un message dès qu'il détecte un paquet émanant de lui-même, le réseau risquerait alors d'être surchargé de messages de détection. Afin d'optimiser les performances et de réduire le trafic réseau, le capteur est conçu pour restreindre les communications vers le serveur en transmettant uniquement les détections de nouveaux systèmes et pour ignorer les systèmes détectés à nouveau pendant une période définie par l'utilisateur. C'est pourquoi, le capteur met en place un filtrage sur des systèmes déjà détectés selon les règles suivantes : # Le capteur signale toujours la première détection d'un système sur le réseau. # Le capteur ajoute au filtre de paquets l'adresse MAC de chaque système détecté pour qu'il ne soit pas détecté à nouveau. # Le capteur définit le vieillissement au niveau du filtre MAC de sorte qu'après une certaine période, les adresses MAC des systèmes déjà détectés sont supprimées du filtre. Ces hôtes seront donc à nouveau détectés et signalés au serveur. Collecte de données sur les ordinateurs détectés et communication avec le serveur Dès que le capteur détecte un système sur le réseau local, il tente de rassembler le plus grand nombre d'informations possibles à partir du paquet réseau. Ces informations incluent le nom DNS, la version du système d'exploitation et les informations NetBIOS, comme l'appartenance au domaine, le nom NetBIOS et la liste des utilisateurs actuellement connectés. Toutes les informations relatives à NetBIOS sont soumises à des limitations d'autorisation standard et à d'autres limitations, comme décrit dans le cadre de l'api de gestion Microsoft. Le capteur regroupe dans un message XML les informations relatives au système détecté. Il envoie ensuite ce message par protocole HTTPS sécurisé au serveur de détection des systèmes non fiables pour traitement. Dès la réception du message, ce serveur interroge la base de données epolicy Orchestrator afin de déterminer si l'ordinateur est non fiable. 218

219 Détection des systèmes non fiables A propos de la détection des systèmes non fiables 11 Pour faciliter le réglage du capteur et diminuer l'utilisation de la bande passante lors de déploiements importants, vous pouvez configurer la fréquence d'envoi des messages de détection au serveur. Vous pouvez autoriser le capteur à envoyer chaque événement de détection immédiatement au serveur. Vous pouvez également configurer le capteur pour qu'il conserve en cache les événements de détection pendant une période définie (une heure, par exemple), puis qu'il envoie un seul message contenant l'ensemble des événements survenus pendant cette période. Pour plus d'informations sur la personnalisation du capteur, voir la section Configuration des stratégies des capteurs de détection des systèmes non fiables à la page 229. Précisons que le capteur ne détermine pas l'état de fiabilité des systèmes. Il se contente de détecter les systèmes connectés au réseau et de rendre compte de ces détections au serveur de systèmes non fiables se trouvant sur le serveur epolicy Orchestrator. Serveur de détection des systèmes non fiables Le serveur de détection des systèmes non fiables est composé de servlets s'exécutant sur le serveur web Apache Tomcat. Ces servlets et le serveur web Tomcat sont installés et démarrés lors de l'installation du serveur epolicy Orchestrator. Les servlets collectent les messages de détection envoyés par les capteurs déployés sur le réseau et les gèrent sous forme de tableaux d'informations dans la base de données epolicy Orchestrator. Le serveur héberge également l'interface Détection des systèmes non fiables, accessible dans la console epolicy Orchestrator. Remarque Le serveur de détection des systèmes non fiables TOMCAT.EXE est un processus distinct du serveur epolicy Orchestrator. Il s'exécute que le serveur epolicy Orchestrator soit ou non en cours d'exécution. Lorsqu'un capteur détecte un nouveau système sur le réseau et qu'il en informe le serveur, ce dernier interroge la base de données epolicy Orchestrator afin de déterminer si le système y est répertorié. Si c'est le cas, cela signifie qu'un agent epolicy Orchestrator actif est en cours d'exécution sur le système. Il s'agit donc d'un système géré. Si le système n'est pas répertorié dans la base de données epolicy Orchestrator, alors aucun agent epolicy Orchestrator actif n'est installé sur ce système : il peut s'agir d'un système non fiable. Vous pouvez consulter dans la console epolicy Orchestrator les données de détection rassemblées par le serveur de détection des systèmes non fiables. Pour cela, sélectionnez Détection des systèmes non fiables dans l'arborescence de la console epolicy Orchestrator. A propos de l'état des systèmes et du type non fiable Il est indispensable de maîtriser les concepts d'état des systèmes et de type non fiable pour comprendre comment epolicy Orchestrator détermine qu'un ordinateur donné est un système non fiable. Chaque système détecté par des capteurs et répertorié dans la liste des ordinateurs est assorti d'un état et, si cet état est «non fiable», d'un type non fiable. Ces classifications sont très utiles pour le regroupement d'ordinateurs dans le tableau Liste des ordinateurs. En effet, vous pouvez utiliser l'état et le type non fiable comme critères de déclenchement de réponses automatisées. Voir la section Configuration de réponses automatiques pour des événements spécifiques à la page

220 Détection des systèmes non fiables A propos de la détection des systèmes non fiables 11 Etat des systèmes détectés Chaque système détecté par un capteur de systèmes non fiables dispose d'un état de base : Géré, Non fiable, Exception ou Inactif. Cet état s'affiche dans la colonne Etat de la liste des ordinateurs. Tableau 11-1 Types d'état des ordinateurs Etat de l'ordinateur Géré Non fiable Exception Inactif Description Ordinateur répertorié dans la base de données epolicy Orchestrator comme disposant d'un agent actif installé et en cours d'exécution. Une grande majorité des ordinateurs de la liste des ordinateurs doit présenter cet état. Ordinateur non répertorié dans la base de données epolicy Orchestrator et sur lequel aucun agent n'est installé. Ordinateur marqué comme exception. Il s'agit d'une unité d'équipement réseau, telle qu'un routeur, un commutateur ou une imprimante, pour laquelle aucun agent n'est requis. Ordinateur répertorié dans la base de données epolicy Orchestrator mais qui n'a pas été détecté par un capteur de système non fiable lors d'une période définie. Il s'agit probablement d'ordinateurs hors service ou déconnectés du réseau. A propos du type non fiable et des distinctions qu'il permet Les ordinateurs ayant l'état Non fiable ou Inactif se voient également attribuer un type non fiable. Il peut s'agir d'ordinateurs non répertoriés dans la base de données, mais aussi d'ordinateurs qui ne sont pas nécessairement de véritables systèmes non fiables à un moment donné. Les types non fiables permettent de définir de manière plus souple et plus précise les systèmes non fiables du réseau. Imaginons par exemple qu'un nouvel ordinateur vient de se connecter au réseau et que l'agent y a été installé à l'aide d'un script de login réseau. Dans la mesure où il faut parfois jusqu'à dix minutes à l'agent pour appeler le serveur pour la première fois, il est probable que le capteur de systèmes non fiables détectera la présence de l'ordinateur avant que son agent n'ait eu le temps de communiquer avec le serveur et l'ajoute à la base de données en tant qu'ordinateur géré. Dans ce cas, l'ordinateur sera classé comme système non fiable même s'il ne s'agit pas réellement d'un système non fiable car il dispose d'un agent. Si vous configurez des réponses automatiques ou des alertes par courrier électronique pour la détection des systèmes non fiables, la spécification d'un délai de tolérance raisonnable peut permettre de réduire les faux positifs de détections de systèmes non fiables. C'est pourquoi, le type non fiable Non fiable - Délai de tolérance permet de définir un délai de tolérance (une heure, par exemple), durant lequel les ordinateurs nouvellement détectés ne sont pas encore classés comme de véritables systèmes non fiables. Lorsque vous configurez des réponses automatiques, comme des alertes par courrier électronique ou la distribution immédiate d'un agent si des systèmes non fiables sont détectés, cette option est très utile car elle évite le déclenchement d'alertes en cas de faux positifs. 220

221 Détection des systèmes non fiables A propos de la détection des systèmes non fiables 11 Tableau 11-2 Types non fiables Type non fiable Pas d'agent Délai de tolérance Agent inactif Description Aucun agent n'est installé sur l'ordinateur détecté. Ce type de système non fiable est le plus courant. Vous pouvez définir un délai de tolérance compris entre le moment de la détection d'un système et sa classification en tant que système non fiable. Cette définition de délai est utile lorsqu'un grand nombre d'ordinateurs se connectent et se déconnectent du réseau. Elle est également utile en cas d'utilisation de scripts de login pour l'installation de l'agent lorsque de nouveaux ordinateurs se connectent au réseau. Dans ce cas, le capteur de systèmes non fiables détecte le nouvel ordinateur avant que l'agent nouvellement installé n'effectue un premier appel vers le serveur. L'utilisation de ce délai de tolérance crée une période tampon qui permet d'éviter les faux positifs d'ordinateurs signalés comme étant non fiables alors qu'ils ne le sont pas véritablement. Par défaut, le délai de tolérance est désactivé. Tous les systèmes détectés par les capteurs et non répertoriés dans la base de données sont immédiatement classées comme Non fiable - Pas d'agent. Il serait sans doute utile d'activer cette option si, dans votre configuration, la fonctionnalité de réponse automatique est déclenchée par la détection des systèmes non fiables et génère de nombreuses fausses alertes. Pour activer le délai de tolérance : 1 Sélectionnez Détection des systèmes non fiables dans l'arborescence de la console epolicy Orchestrator. 2 Cliquez sur l'onglet Configuration pour afficher la page Configuration de base. 3 Sélectionnez Délai de tolérance pour les ordinateurs non fiables et indiquez une période. 4 Cliquez sur Appliquer dans la partie inférieure de la page pour enregistrer la modification. L'ordinateur détecté dispose d'un agent installé, mais il n'a pas appelé le serveur epolicy Orchestrator pendant un nombre de jours que vous pouvez configurer (par défaut, la période est de sept jours). Pour changer la période définissant l'inactivité de l'agent, modifiez le paramètre Délai d'expiration pour l'agent epo à la page Configuration de base de l'onglet Configuration. 221

222 Détection des systèmes non fiables A propos de la détection des systèmes non fiables 11 Tableau 11-2 Types non fiables Type non fiable Agent étranger Géré Description Un agent est installé sur l'ordinateur détecté, mais il ne rend pas compte au serveur epolicy Orchestrator. Cette situation peut se produire dans le cas d'une grande entreprise disposant de plusieurs serveurs epolicy Orchestrator pour gérer les différentes parties du réseau. Les ordinateurs portables qui se connectent au réseau pendant les déplacements de leurs utilisateurs sont susceptibles de comporter un agent étranger. Ce type non fiable est un type distinct, puisqu'il est probable que vous ne souhaiterez entreprendre aucune action à l'égard de ces ordinateurs car ils sont déjà gérés. Toutefois, comme ils ne sont pas gérés par votre serveur, vous ne souhaitez pas non plus qu'ils soient classés dans la catégorie Géré. Afin de réduire les faux positifs de détection des systèmes non fiables, vous pouvez affiner la configuration des réponses automatisées afin d'éviter la distribution d'agent ou l'envoi d'alertes par courrier électronique lors de la détection d'agents étrangers. Pour les ordinateurs ayant l'état Inactif uniquement. L'ordinateur n'a pas été détecté par un capteur depuis un certain temps, mais il disposait d'un agent lors de sa dernière détection. Présentation de l'interface Détection des systèmes non fiables L'interface Détection des systèmes non fiables est composée d'un ensemble de pages HTML comportant des onglets dans le volet de détails de la console epolicy Orchestrator. Elle est accessible via un noeud Détection des systèmes non fiables dans l'arborescence de la console epolicy Orchestrator. Figure 11-2 Vous sélectionnez Détection des systèmes non fiables dans l'arborescence de la console pour accéder à l'interface. Les onglets permettent d'accéder aux différentes fonctionnalités. 222

223 Détection des systèmes non fiables A propos de la détection des systèmes non fiables 11 Chaque onglet contient une fonctionnalité différente de l'interface Détection des systèmes non fiables. Pour des informations détaillées sur l'utilisation de ces onglets, reportez-vous aux sections suivantes de ce guide. Affichage des données de tableau sous Détection des systèmes non fiables La plupart des informations affichées dans l'interface Détection des systèmes non fiables sont présentées sous la forme de tableaux, comme Liste des ordinateurs ou Liste des sous-réseaux. Ces tableaux affichent des données provenant de la base de données epolicy Orchestrator et partagent des fonctionnalités configurables qui permettent de personnaliser les éléments à afficher, ainsi que leur mode d'affichage. Filtrage des données des tableaux en fonction de l'état La liste déroulante Filtre de la barre d'outils de tableau permet de filtrer le tableau en fonction de l'état. Par exemple, vous pouvez filtrer la liste des ordinateurs de manière à afficher uniquement les systèmes non fiables ou uniquement les systèmes d'exception. Actualisation des données de tableau Le bouton Actualiser permet d'actualiser immédiatement les données du tableau. Cette fonction est particulièrement utile lorsque vous effectuez des tâches qui génèrent des modifications fréquentes de données. Par exemple, le déploiement d'un capteur sur un nouveau sous-réseau ajoute un grand nombre de systèmes nouvellement détectés à la base de données epolicy Orchestrator. Toutefois, il est nécessaire d'actualiser régulièrement la liste des ordinateurs afin de voir les nouvelles données dans le tableau. De plus, les tables sont actualisées automatiquement par défaut à une fréquence définie. Vous pouvez désactiver cette fonction ou modifier la fréquence d'actualisation. Pour plus de détails sur l'actualisation automatique, voir la section Personnalisation du serveur et de l'interface de la fonctionnalité Détection des systèmes non fiables à la page 255. Configuration du tableau pour afficher ou masquer des types de données spécifiques Cliquez sur Configurer le tableau afin d'accéder à la page Colonnes et ordre des colonnes d'un tableau spécifique, tel que Liste des ordinateurs ou Liste des sous-réseaux. Sélectionnez les éléments et déplacez-les entre les listes Colonnes disponibles et Colonnes sélectionnées afin de personnaliser l'affichage des colonnes dans le tableau. Les boutons Haut et Bas permettent de modifier l'ordre d'affichage des colonnes. Le premier élément de la liste Colonnes sélectionnées est placé dans la première colonne du tableau. Tri d'un tableau en fonction d'une colonne Cliquez sur un en-tête de tableau comportant un lien hypertexte (en bleu) pour trier le tableau en fonction de cette colonne. Aide Chaque page de l'interface Détection des systèmes non fiables inclut un lien Aide dans le coin supérieur droit de la page. Cliquez sur ce lien pour ouvrir le fichier d'aide en ligne et consulter les informations sur la page en cours. 223

224 Détection des systèmes non fiables Surveillance des systèmes détectés et des capteurs déployés 11 Définition de filtres personnalisés pour les listes d'ordinateurs et de sous-réseaux Vous pouvez définir des filtres personnalisés pour la liste des ordinateurs et la liste des sous-réseaux afin de filtrer les informations à afficher dans chaque liste. Créez un filtre personnalisé si les autres filtres disponibles dans la liste déroulante Filtre ne répondent pas à vos besoins. Utilisez le bouton Filtre personnalisé pour afficher la page Filtre personnalisé. Vous pouvez maintenant créer des conditions à appliquer aux éléments du tableau. Pour définir un filtre personnalisé pour la liste des ordinateurs ou la liste des sous-réseaux : 1 Dans la page appropriée (Liste des ordinateurs ou Liste des sous-réseaux), sélectionnez Filtre personnalisé en haut du tableau. 2 La page Filtre personnalisé répertorie les conditions de filtrage personnalisées appliquées. 3 Ajoutez, modifiez ou supprimez des conditions en fonction de vos besoins. 4 Cliquez sur Filtre lorsque vous avez fini de consulter la liste des ordinateurs (ou la liste des sous-réseaux) avec les filtres appliqués. Vous remarquerez que Filtre personnalisé est sélectionné dans la liste déroulante Filtre en haut du tableau. Vous pouvez revenir à n'importe quelle autre affichage filtré, comme Tous qui permet d'afficher tous les systèmes, en sélectionnant un autre élément dans la liste déroulante Filtre. Les paramètres de filtre personnalisé sont enregistrés jusqu'à leur prochaine modification. Surveillance des systèmes détectés et des capteurs déployés La liste des ordinateurs et la liste des sous-réseaux fournissent un instantané de votre protection réseau à une période donnée. Quand vous aurez terminé le déploiement initial des capteurs de systèmes non fiables et configuré le serveur selon vos besoins, il est probable que, lorsque vous utiliserez la fonctionnalité de détection des systèmes non fiables au quotidien, vous consulterez principalement les pages Liste des sous-réseaux, Listes des ordinateurs et Synthèse des ordinateurs. Il est conseillé de consulter ces pages quotidiennement ou au moins une fois par semaine, afin de contrôler l'étendue de la couverture. Les tâches habituelles à effectuer peuvent être par exemple le déploiement d'agents epolicy Orchestrator sur de nouveaux systèmes non fiables ou la vérification de la présence de capteurs de systèmes non fiables actifs sur les sous-réseaux. Cette section aborde les sujets suivants : # Affichage des informations de synthèse relatives à la couverture de détection des systèmes non fiables # Affichage de la liste des systèmes détectés sur le réseau 224

225 Détection des systèmes non fiables Surveillance des systèmes détectés et des capteurs déployés 11 # Affichage des détails relatifs aux systèmes détectés # Surveillance des capteurs déployés sur les sous-réseaux Affichage des informations de synthèse relatives à la couverture de détection des systèmes non fiables Lorsque vous lancez l'interface du serveur de détection des systèmes non fiables à partir de la console epolicy Orchestrator, la page Synthèse des ordinateurs s'affiche. Cette page affiche une synthèse de la couverture de détection des systèmes non fiables en cours. Figure 11-3 Affichage des informations de synthèse relatives à la couverture de détection des systèmes non fiables La synthèse des ordinateurs fournit une synthèse complète des ordinateurs du réseau signalés comme systèmes non fiables, d'exception ou gérés. Cette synthèse indique également les sous-réseaux sur lesquels des capteurs de systèmes non fiables sont installés. Le tableau indique le nombre d'ordinateurs appartenant à chaque catégorie. Vous pouvez cliquer sur une ligne du tableau pour voir la liste complète des systèmes de ce type qui ont été détectés par les capteurs de systèmes non fiables. Les quatre types de système sont les suivants : # Ordinateurs non fiables. Nombre de systèmes non fiables sur le réseau. Il s'agit d'ordinateurs qui ne sont pas actuellement gérés par epolicy Orchestrator mais qui devraient l'être. Le nombre de systèmes non fiables doit être le plus faible possible. Dans la plupart des cas, il faut soit déployer un agent sur les ordinateurs signalés comme non fiables, soit marquer ceux-ci comme étant des exceptions. 225

226 Détection des systèmes non fiables Surveillance des systèmes détectés et des capteurs déployés 11 # Ordinateurs d'exception. Nombre de systèmes marqués comme étant des exceptions. Il existe des systèmes sur le réseau qui ne sont pas gérés par epolicy Orchestrator et qui n'ont pas besoin de l'être. Il peut s'agir d'équipements, comme des routeurs, des concentrateurs ou des imprimantes, pour lesquels aucun agent epolicy Orchestrator n'est requis. # Ordinateurs gérés. Nombre de systèmes du réseau sur lesquels des agents epolicy Orchestrator actifs sont en cours d'exécution. # Ordinateurs inactifs. Les ordinateurs répertoriés comme étant inactifs sont ceux qui n'ont pas été détectés par un capteur lors d'une période définie par l'utilisateur (par défaut, cette période est de trois jours). Il s'agit généralement d'ordinateurs hors service ou qui ne sont plus connectés au réseau. Le tableau de synthèse des sous-réseaux affiche l'ensemble des sous-réseaux répertoriés dans la base de données epolicy Orchestrator. Ces sous-réseaux sont classés de la manière suivante : # Couvert. Il existe au moins un capteur de systèmes non fiables actif installé sur un ordinateur de ce sous-réseau. # Non couvert. Il n'existe aucun capteur actif sur aucun ordinateur du sous-réseau. Cela signifie qu'aucun capteur n'a jamais été installé, que le capteur a été désactivé ou désinstallé, ou que tous les ordinateurs disposant de capteurs ont été arrêtés. Affichage de la liste des systèmes détectés sur le réseau La page Liste des ordinateurs affiche une liste de tous les systèmes du réseau qui ont été détectés par les capteurs de détection des systèmes non fiables. Figure 11-4 Affichage d'une liste d'ordinateurs détectés sur le réseau 226

227 Détection des systèmes non fiables Surveillance des systèmes détectés et des capteurs déployés 11 Les ordinateurs ont tous un état : Géré, Non fiable, Inactif ou Exception. Utilisez l'option Filtre pour filtrer les systèmes affichés dans la liste des ordinateurs. Par exemple, pour savoir sur quels ordinateurs des agents epolicy Orchestrator doivent être installés, attribuez la valeur Non fiable au filtre afin que seuls les systèmes non fiables soient affichés. Vous pouvez sélectionner des systèmes dans la liste et effectuer des actions manuelles sur ces derniers, comme le déploiement d'un agent epolicy Orchestrator ou l'ajout de l'ordinateur à l'arborescence Répertoire. Pour cela, sélectionnez une action dans la liste déroulante Ordinateurs activés. Pour plus d'informations, reportez-vous à la section Actions manuelles sur les systèmes non fiables détectés à la page 234. Regroupement d'ordinateurs dans la liste des ordinateurs par sous-réseau Vous pouvez trier le tableau de la liste des ordinateurs afin de regrouper les systèmes en fonction de l'adresse du sous-réseau. Pour regrouper les systèmes en fonction du sous-réseau dans la liste des ordinateurs : 1 Dans l'interface Détection des systèmes non fiables, cliquez sur l'onglet Configuration. 2 Sous Lié à l'interface utilisateur, sélectionnez Trier les ordinateurs par sous-réseau du réseau. 3 Cliquez sur Appliquer. Pour plus d'informations sur les opérations que vous pouvez effectuer à partir de la liste des ordinateurs : # Actions manuelles sur les systèmes non fiables détectés à la page 234 # Configuration de réponses automatiques pour des événements spécifiques à la page 241 # Marquage comme exceptions des systèmes pour lesquels aucun agent n'est nécessaire à la page 239 Affichage des détails relatifs aux systèmes détectés Dans la liste des ordinateurs, cliquez sur l'une des entrées du tableau pour afficher des informations détaillées relatives à l'ordinateur stocké dans la base de données epolicy Orchestrator. Ces informations concernent l'ordinateur lui-même (système d'exploitation, adresse IP et domaines réseau auxquels il appartient). Elles indiquent en outre son état (non fiable, géré ou exception), de même que la date de sa dernière détection par un capteur de systèmes non fiables. Dans le champ Commentaires, vous pouvez entrer des remarques relatives à cet ordinateur qui seront enregistrées dans la base de données. Tous ces champs peuvent également être affichés dans le tableau Liste des ordinateurs. La fonction Configurer le tableau de la page Liste des ordinateurs permet d'ajouter n'importe lequel de ces champs au tableau Liste des ordinateurs. 227

228 Détection des systèmes non fiables Surveillance des systèmes détectés et des capteurs déployés 11 La section Evénements et actions pour cet ordinateur dresse l'historique des événements et des actions de cet ordinateur. Ces derniers comprennent : # Les événements epolicy Orchestrator qui se sont produits sur cet ordinateur, comme la détection d'un système non fiable, l'installation d'un capteur ou la distribution d'un agent epolicy Orchestrator. # Toutes les actions de détection des systèmes non fiables manuelles ou automatiques entreprises en réponse à des événements. Surveillance des capteurs déployés sur les sous-réseaux La page de couverture par sous-réseau affiche l'ensemble des sous-réseaux représentés dans la base de données epolicy Orchestrator. Cette base enregistre l'emplacement de déploiement des agents epolicy Orchestrator. Figure 11-5 Affichage des sous-réseaux sur lesquels des capteurs actifs sont déployés Chaque sous-réseau répertorié dans le tableau a l'état Couvert si un capteur de systèmes non fiables actif est installé sur un ordinateur de ce sous-réseau. Un sous-réseau a l'état Non couvert si aucun capteur n'y est déployé. Pour chaque sous-réseau, vous pouvez accéder aux niveaux de détail inférieurs pour afficher des informations sur les ordinateurs qui s'y trouvent en cliquant sur la ligne correspondante du tableau. La page Détails du sous-réseau s'affiche. Cette page dresse la liste de tous les ordinateurs de ce sous-réseau sur lesquels un agent epolicy Orchestrator actif est en cours d'exécution. Déploiement de capteurs sur les sous-réseaux non couverts Si un sous-réseau est renseigné comme étant Non couvert, déployez-y un capteur en activant la case à cocher correspondante et en cliquant sur Déployer les capteurs. Suivez les étapes de l'assistant Déploiement de capteur pour sélectionner manuellement les ordinateurs sur lesquels les capteurs doivent être déployés ou pour qu'epolicy Orchestrator effectue automatiquement cette sélection. 228

229 Détection des systèmes non fiables Configuration des stratégies des capteurs de détection des systèmes non fiables 11 Le déploiement des capteurs est décrit de manière détaillée dans le chapitre concernant le déploiement des agents. Pour plus de détails sur le déploiement de capteurs de systèmes non fiables, voir la section Déploiement de capteurs de détection des systèmes non fiables à la page 91. Affichage des détails relatifs à un sous-réseau particulier Dans la page Liste des sous-réseaux, vous pouvez cliquer sur un des sous-réseaux répertoriés dans le tableau afin d'afficher des informations détaillées, par exemple les ordinateurs de ce sous-réseau qui disposant de capteurs de détection des systèmes non fiables. Figure 11-6 Détails du sous-réseau Configuration des stratégies des capteurs de détection des systèmes non fiables Vous pouvez définir les propriétés pour tous les capteurs déployés par le serveur de détection des systèmes non fiables à l'aide de la page des propriétés de ces capteurs dans epolicy Orchestrator. La procédure est similaire à celle de la définition de stratégies pour un produit déployé, comme VirusScan Enterprise ou l'agent. Les pages de stratégie de la fonctionnalité de détection des systèmes non fiables sont installées sur le serveur epolicy Orchestrator lors de son installation. Pour plus de détails sur le déploiement de capteurs sur les ordinateurs du réseau, reportez-vous à la section Déploiement de capteurs de détection des systèmes non fiables à la page

230 Détection des systèmes non fiables Configuration des stratégies des capteurs de détection des systèmes non fiables 11 Définition des stratégies de capteurs Définissez les configurations des stratégies de capteur de la même manière que vous le feriez pour l'agent epolicy Orchestrator ou tout autre produit de sécurité installé sur les ordinateurs du réseau. Effectuez cette action à l'aide des pages de stratégie du fichier NAP du capteur de systèmes non fiables, installé lors de l'installation du serveur epolicy Orchestrator. Les stratégies définies à des niveaux supérieurs du Répertoire (à la racine, par exemple) héritent des groupes de niveau inférieur ou des ordinateurs individuels. Pour configurer les stratégies de capteur : 1 Dans la console epolicy Orchestrator, sélectionnez Répertoire. Pour définir des stratégies à un niveau inférieur, sélectionnez un site ou un groupe dans l'arborescence Répertoire. 2 Dans le volet de détails supérieur, cliquez sur l'onglet Stratégies et sélectionnez Capteur de systèmes non fiables Configuration. 3 Dans l'onglet Général de la page Stratégies des capteurs de systèmes non fiables, désactivez l'option Hériter afin d'activer les options de configuration. Figure 11-7 Configuration des stratégies de détection des systèmes non fiables 4 Modifiez les propriétés de capteur souhaitées dans l'onglet Général ou dans l'onglet Liaisons et rapports. Pour obtenir des descriptions de ces paramètres, reportez-vous aux tableaux des pages suivantes. 5 Cliquez sur Appliquer tout lorsque vous avez fini pour enregistrer vos modifications. Dans la plupart des cas, il est recommandé d'utiliser les stratégies par défaut. Toutefois, si vos besoins spécifiques en matière de réseau le nécessitent, vous pouvez changer les paramètres des stratégies. 230

231 Détection des systèmes non fiables Configuration des stratégies des capteurs de détection des systèmes non fiables 11 Stratégies de capteurs pouvant être configurées Les pages de stratégie des capteurs de systèmes non fiables permettent de modifier la configuration des capteurs. Elles sont composées des onglets Général et Liaisons et rapports. Les sections suivantes détaillent les stratégies pouvant être définies à chacune de ces pages. Propriétés générales du capteur Dans l'onglet Général, configurez les paramètres de communication capteur-serveur. Tableau 11-3 Propriétés générales des capteurs de détection des systèmes non fiables Propriété Activer le capteur de systèmes non fiables Nom ou adresse IP du serveur Port de communication capteur-serveur Intervalle de rapport minimal pour chaque hôte détecté Description Lorsque cette option est sélectionnée (elle l'est par défaut), le capteur de systèmes non fiables est activé après l'installation et commence à signaler les éléments détectés au serveur epolicy Orchestrator. Cette situation se produit la première fois, après l'installation du capteur, que l'agent de cet ordinateur appelle le serveur. Si vous souhaitez désactiver le capteur en arrêtant le service du capteur sur l'ordinateur client, désactivez cette option. Vous pouvez procéder ainsi si vous souhaitez que les capteurs ne fonctionnent que pendant certaines périodes et soient désactivés le reste du temps. Nom ou adresse IP du serveur epolicy Orchestrator qui héberge également le serveur de détection des systèmes non fiables. Lorsque vous installez epolicy Orchestrator, ce champ prend automatiquement pour valeur le nom de l'ordinateur sur lequel vous avez installé epolicy Orchestrator. Numéro de port utilisé pour les communications capteur-serveur. Par défaut, ce numéro de port est 8444 sauf si vous avez indiqué une valeur différente lors de l'installation du serveur epolicy Orchestrator. Si vous changez ici le numéro de port, vous devez également le changer dans le fichier de configuration Tomcat SERVER.XML du dossier d'installation epolicy Orchestrator. Pour plus d'informations sur cette procédure, voir la section Modification du numéro de port capteur-serveur dans SERVER.XML à la page 259. Durée (en secondes) pendant laquelle les propriétés d'un système spécifique sont mises en cache par le capteur. Par défaut la durée est définie à 3600 secondes (une heure). Cette fonction peut également permettre de réduire le trafic réseau en limitant le nombre de rapports effectués par le capteur sur des ordinateurs qu'il connaît déjà. Un ordinateur donné peut envoyer un grand nombre de diffusions réseau en une heure, et il est détecté par le capteur à chaque envoi. Cependant, l'état géré de l'ordinateur ne change pas aussi souvent, le capteur n'a donc pas à transmettre les mêmes informations au serveur à chaque détection. Pour réduire l'utilisation de la bande passante réseau, le capteur se contente de mettre à jour les informations de détection d'un ordinateur spécifique suivant cet intervalle que vous définissez. 231

232 Détection des systèmes non fiables Configuration des stratégies des capteurs de détection des systèmes non fiables 11 Tableau 11-3 Propriétés générales des capteurs de détection des systèmes non fiables Propriété Intervalle de communication capteur-serveur minimal pour les capteurs principaux Intervalle de communication capteur-serveur minimal pour les capteurs secondaires Description Durée (en secondes) pendant laquelle le capteur attend avant d'envoyer des événements de détection de système au serveur. Si cette option est utilisée, le capteur met en cache plusieurs événements de détection et les envoie au serveur, regroupés dans un même message. Lorsque la valeur par défaut 0 est attribuée à cette option, le capteur transmet chaque événement de détection au serveur sous la forme d'un message séparé. L'utilisation de cette option permet de réduire le trafic réseau en limitant le nombre de message transmis par le capteur au serveur. Le regroupement des messages de détection réduit le surplus de messages généré par l'envoi séparé de chaque événement. Nombre de secondes durant lesquelles un capteur inactif ou secondaire doit rester en mode veille avant qu'il n'interroge le serveur pour savoir s'il doit démarrer ou rester en veille. Ce paramètre est utile lorsque plusieurs capteurs sont déployés sur le même sous-réseau, comme le recommande McAfee. Le serveur epolicy Orchestrator effectue fréquemment des permutations entre les différents capteurs. Ainsi le capteur principal passe en veille ou devient inactif et vice-versa. Les capteurs inactifs exécutent une fois la commande ping sur le serveur lors de cet intervalle afin de vérifier s'ils doivent devenir actifs. Il existe des différences entre un capteur inactif, ou secondaire, et un capteur désactivé. Un capteur inactif est en cours d'exécution mais est en mode veille ; il ne signale donc pas les détections au serveur. Un capteur désactivé, contrôlé par la stratégie Activer le capteur de systèmes non fiables, est un capteur dont le service SENSOR.EXE a été arrêté par l'agent epolicy Orchestrator. Pour plus d'informations sur les capteurs principaux et inactifs, voir la section A propos du déploiement de l'agent epolicy Orchestrator à la page 67. Voir également la fonction Nombre maximal de capteurs principaux par sous-réseau à la section Personnalisation du serveur et de l'interface de la fonctionnalité Détection des systèmes non fiables à la page 255 Configuration de la carte réseau associée au capteur et des détections signalées au serveur Dans l'onglet Liaisons et rapports des pages de stratégie de la fonctionnalité de détection des systèmes non fiables, vous pouvez configurer deux éléments : # Les sous-réseaux sur lesquels le capteur effectue le rapport. # Si vous installez le capteur sur un ordinateur comportant plusieurs cartes réseau, vous pouvez indiquer à quelles cartes le capteur est lié. 232

233 Détection des systèmes non fiables Configuration des stratégies des capteurs de détection des systèmes non fiables 11 Tableau 11-4 Propriétés de capteur de systèmes non fiables relatives aux rapports et aux liaisons Propriété Activer l'écoute sur une carte réseau uniquement si son adresse IP fait partie d'un réseau détecté au cours de l'installation Activer l'écoute uniquement sur les cartes réseau dont les adresses IP font partie des réseaux suivants Ne pas procéder à l'écoute sur les cartes réseau dont les adresses IP font partie des réseaux suivants Ne pas signaler les systèmes dont l'adresse IP ne fait pas partie du réseau du capteur Description Force le capteur à signaler uniquement les détections survenant dans le sous-réseau sur lequel il est installé. Par exemple, si le capteur est installé sur un ordinateur dont l'adresse IP est , il signalera uniquement les détections survenant dans le sous-réseau /24. Cela peut s'avérer utile lorsque le capteur est installé sur un ordinateur portable qui peut passer d'un sous-réseau à un autre au sein du réseau ou se connecter à différents réseaux (comme un réseau domestique). Il peut être souhaitable que le capteur ne signale pas les détections survenues dans les autres sous-réseaux. Le capteur est alors actif lorsque l'ordinateur portable est connecté à un réseau particulier, mais devient inactif dans les autres situations, par exemple lorsque l'utilisateur se connecte à partir d'un autre sous-réseau, à son domicile ou dans un hôtel. Si vous installez le capteur sur un ordinateur comportant plusieurs cartes réseau, indiquez la plage d'adresses IP qui inclut la carte réseau à laquelle vous souhaitez lier le capteur. Les éléments de la liste sont mis en forme suivant la notation d'adresses réseau standard : xxx.xxx.xxx.xxx/##. Par exemple, /24 indique un sous-réseau incluant des ordinateurs avec les adresses IP et dont le masque de sous-réseau est Si vous installez le capteur sur un ordinateur ayant plusieurs cartes réseau, indiquez la plage d'adresses IP auxquelles vous ne souhaitez pas lier le capteur. Utilisez la même notation d'adresse réseau que pour les sous-réseaux. Remarque : Si une adresse de sous-réseau est comprise à la fois dans le sous-réseau inclus et dans les listes de sous-réseaux exclus, ce sous-réseau est exclu (l'exclusion prime sur l'inclusion). Si cette option est sélectionnée, ce qui est le cas par défaut, le capteur signale uniquement les détections au serveur pour les systèmes faisant partie du même sous-réseau que l'ordinateur sur lequel le capteur est installé. Lorsque cette option n'est pas sélectionnée, le capteur rend compte de tous les ordinateurs détectés, quel que soit le sous-réseau auquel ils appartiennent. Le capteur peut détecter les ordinateurs d'un même segment de diffusion réseau. Généralement, un segment de diffusion est identique à un sous-réseau. La situation peut être différente si vous avez configuré vos routeurs réseau de telle sorte qu'ils ne bloquent pas les diffusions IP dans les sous-réseaux. Toutefois, même si vous avez configuré les routeurs de cette manière, il est sans doute plus simple pour le suivi de déployer un capteur par sous-réseau. Vous pouvez alors sélectionner cette option afin que les capteurs n'effectuent de rapports que sur leur sous-réseau local. Options de ligne de commande du capteur de détection des systèmes non fiables Outre la configuration des stratégies de capteur à partir des pages de stratégie Capteur de systèmes non fiables dans la console epolicy Orchestrator, vous pouvez également exécuter des options de ligne de commande à partir de l'ordinateur client. Le tableau suivant répertorie les options de ligne de commande du capteur. 233

234 Détection des systèmes non fiables Actions manuelles sur les systèmes non fiables détectés 11 Tableau 11-5 Options de ligne de commande pour l'exécution du capteur Commutateur --help --install --uninstall --version --server [nom serveur] ou [adresse IP] --port [port du serveur] --console Description Affiche l'écran d'aide répertoriant les options de ligne de commande disponibles. Enregistre le capteur auprès du Gestionnaire de contrôle des services Windows. Annule l'enregistrement du capteur auprès du Gestionnaire de contrôle des services Windows. Affiche la version du capteur et quitte le programme. Remplace dans le Registre le paramètre de configuration NomServeur spécifié lors de l'installation. Remarque : Ce paramètre n'est effectif que lors de l'exécution en mode ligne de commande. Le commutateur de ligne de commande --console est alors requis lui aussi. Exemple de syntaxe : sensor.exe --server NomMonServeur --console Remplace dans le Registre le paramètre de configuration PortServeur spécifié lors de l'installation. Remarque : Ce paramètre n'est effectif que lors de l'exécution en mode ligne de commande. Le commutateur de ligne de commande --console est alors requis lui aussi. Exemple de syntaxe : sensor.exe --port console Force le capteur à s'exécuter en tant qu'exécutable de ligne de commande classique. Dans le cas contraire, il doit être exécuté en tant que service NT. Actions manuelles sur les systèmes non fiables détectés Vous pouvez effectuer des actions sur un ou plusieurs systèmes répertoriés dans la liste des ordinateurs. Par exemple, vous pouvez souhaiter distribuer un agent vers un nouvel ordinateur non fiable ou marquer les ordinateurs pour une action de suivi ultérieure. Outre ces actions manuelles, vous pouvez configurer des réponses automatiques qui peuvent être déclenchées par un événement de détection. Pour plus d'informations, voir la section Configuration de réponses automatiques pour des événements spécifiques à la page 241. Contenu de cette section Cette section décrit la plupart des actions courantes pouvant être entreprises sur les ordinateurs de la liste des ordinateurs. Les sujets abordés sont les suivants : # Types d'actions manuelles # Distribution des agents aux systèmes non fiables # Ajout d'ordinateurs à l'arborescence Répertoire epolicy Orchestrator 234

235 Détection des systèmes non fiables Actions manuelles sur les systèmes non fiables détectés 11 # Marquage de systèmes spécifiques pour une action future # Marquage comme exceptions des systèmes pour lesquels aucun agent n'est nécessaire Types d'actions manuelles Le tableau suivant répertorie les actions manuelles pouvant être entreprises sur les systèmes sélectionnés dans la liste des ordinateurs. Certaines de ces actions sont décrites de manière détaillée dans les sections ci-dessous. Tableau 11-6 Actions disponibles pour une exécution manuelle Action Ajouter à l'arborescence epo Marquer pour l'action Marquer comme exception Distribuer l'agent epo Interroger l'agent epo Supprimer l'hôte Envoyer un événement de serveur epo Description Ajoute un noeud d'ordinateur à un site Système non fiable sous l'arborescence Répertoire. Vous pouvez placer manuellement l'ordinateur dans un site ou dans un groupe approprié. Ajoute la mention Marquer pour l'action à l'ordinateur détecté dans la liste des ordinateurs. Pour plus d'informations, reportez-vous à la section Marquage de systèmes spécifiques pour une action future à la page 239. Ajoute la mention Marquer comme exception aux les ordinateurs sélectionnés dans la liste des ordinateurs. Pour plus d'informations sur les ordinateurs d'exception, reportez-vous à la section Marquage comme exceptions des systèmes pour lesquels aucun agent n'est nécessaire à la page 239. Prescrit au serveur epolicy Orchestrator de distribuer un agent à l'ordinateur sélectionné. Pour plus d'informations, reportez-vous à la section Distribution des agents aux systèmes non fiables à la page 236. Interroge le système nouvellement détecté pour savoir si un agent epolicy Orchestrator y est installé. Cette interrogation est nécessaire si vous voulez pouvoir utiliser le type non fiable Agent étranger dans la liste des ordinateurs. Pour plus d'informations sur le type non fiable d'agent étranger, reportez-vous à la section A propos de l'état des systèmes et du type non fiable à la page 219. Création d'une réponse automatique pour cet élément Sur les réseaux comportant plusieurs serveurs epolicy Orchestrator, il est préférable de créer une réponse automatique qui utilise cette action. Si des utilisateurs issus d'autres sites de votre entreprise se connectent régulièrement à votre réseau, ils s'afficheront en tant que systèmes non fiables même s'ils disposent d'un agent provenant d'un autre serveur epolicy Orchestrator. Voir la section Configuration de réponses automatiques pour des événements spécifiques à la page 241. Masque le système détecté dans la liste des ordinateurs de la fonctionnalité de détection des systèmes non fiables, mais ne le supprime pas de la base de données. Transmet les événements de détection des systèmes non fiables et de sous-réseau non couvert au serveur de notification. Cette option est requise si vous envisagez d'utiliser la nouvelle fonctionnalité de notification dans epolicy Orchestrator 3.5 pour envoyer automatiquement des alertes par lorsque des événements de détection des systèmes non fiables se produisent. 235

236 Détection des systèmes non fiables Actions manuelles sur les systèmes non fiables détectés 11 Tableau 11-6 Actions disponibles pour une exécution manuelle Action Annuler le marquage pour action Annuler le marquage comme exception Description Annule le marquage des ordinateurs précédemment marqués pour suivi à l'aide de l'option Marquer pour l'action. Annule le marquage des ordinateurs précédemment indiqués comme exceptions à l'aide de l'action Marquer comme exception. Distribution des agents aux systèmes non fiables La possibilité de distribuer facilement des agents epolicy Orchestrator aux ordinateurs non fiables qui viennent d'être détectés constitue une des fonctions principales de la détection des systèmes non fiables. Cette action peut être effectuée directement à partir de la liste des ordinateurs. Une fois l'agent installé, epolicy Orchestrator ajoute l'ordinateur à l'arborescence Répertoire. Si vous utilisez le filtrage IP, l'ordinateur est automatiquement ajouté au site ou au groupe correct pour son adresse IP. Voir à ce propos la section A propos du tri et des filtres d'adresses IP à la page 48. La distribution d'agent utilise la technologie push du serveur epolicy Orchestrator. Cette méthode de déploiement n'est cependant possible que si la configuration de votre réseau le permet. Pour plus de détails sur l'utilisation de la console epolicy Orchestrator pour la distribution d'agents, voir la section Déploiement de l'agent avec epolicy Orchestrator à la page 70. Pour distribuer des agents à partir de la liste des ordinateurs de l'interface Détection des systèmes non fiables, procédez comme suit : 1 Cliquez sur l'onglet Ordinateurs puis sur Liste pour afficher la liste des ordinateurs. 2 Recherchez l'ordinateur cible dans le tableau et sélectionnez-le à l'aide de sa case à cocher. 236

237 Détection des systèmes non fiables Actions manuelles sur les systèmes non fiables détectés 11 3 Dans la liste déroulante Ordinateurs activés, sélectionnez Distribuer l'agent epo et cliquez sur Exécuter. Figure 11-8 Déploiement d'un agent sur un ordinateur non fiable de la liste des ordinateurs affichée par la fonction Détection des systèmes non fiables 4 A la page Distribuer l'agent, indiquez les modifications à apporter à la configuration d'installation par défaut. Figure 11-9 Configuration des paramètres d'installation de l'agent pour le déploiement 237

238 Détection des systèmes non fiables Actions manuelles sur les systèmes non fiables détectés 11 Vous pouvez configurer les éléments suivants : Tableau 11-7 Paramètres de la page Distribuer l'agent de la fonction Détection des systèmes non fiables Paramètre Version de l'agent Supprimer l'interface d'installation de l'agent Chemin d'installation Références pour la distribution de l'agent Description Liste déroulante affichant les packages d'installation de l'agent enregistrés dans le référentiel de logiciels maître. Par défaut, la seule option est l'agent epolicy Orchestrator 3.5. Par défaut, l'agent est installé en mode silencieux. Lorsque cette case d'option est désactivée (non recommandé), l'interface utilisateur d'installation de l'agent epolicy Orchestrator s'affiche sur l'ordinateur client. Dossier d'installation de l'agent. Le dossier par défaut est C:\ePOAgent. Assurez-vous que les références indiquées disposent des droits d'administrateur de domaine sur le domaine réseau de l'ordinateur cible, ainsi que des droits d'administrateur local sur l'ordinateur cible. Par défaut, ce paramètre est défini de manière à utiliser les références d'administrateur pour le service du serveur epolicy Orchestrator indiquées lors de l'installation du serveur. Si ces références ne disposent pas de droits suffisants pour l'installation des agents, désactivez Utiliser les références epo et entrez un nom d'utilisateur et un mot de passe appropriés. 5 Cliquez sur OK pour commencer le déploiement de l'agent. Une fois que vous avez cliqué sur OK, la page Progression des réponses s'affiche dans l'onglet Réponses de l'interface Détection des systèmes non fiables. L'action de distribution de l'agent est inscrite dans le tableau et le champ Heure de fin est vide. Lorsque l'installation de l'agent est terminée et que ce dernier a effectué un appel au serveur epolicy Orchestrator, la valeur Heure de fin est indiquée, ce qui signifie que la distribution de l'agent est terminée. L'état de l'ordinateur cible de la liste des ordinateurs passe de Non fiable à Géré lors de la prochaine détection du système. Une fois l'agent installé et cette information communiquée au serveur epolicy Orchestrator, le serveur ajoute l'ordinateur au Répertoire. Actualisez le Répertoire en cliquant avec le bouton droit de la souris sur Répertoire puis en sélectionnant Actualiser. Ajout d'ordinateurs à l'arborescence Répertoire epolicy Orchestrator Vous pouvez ajouter des ordinateurs répertoriés dans la liste des ordinateurs de l'interface Détection des systèmes non fiables à l'arborescence Répertoire d'epolicy Orchestrator. Les nouveaux ordinateurs sont ajoutés à un site particulier : vous pouvez les déplacer manuellement ou utiliser le tri IP pour les déplacer vers le site ou le groupe approprié. Pour ce faire : 1 Dans l'onglet Ordinateurs, sélectionnez Liste des ordinateurs. 2 Sélectionnez les ordinateurs à ajouter au Répertoire epolicy Orchestrator en activant la case à cocher correspondante. 238

239 Détection des systèmes non fiables Actions manuelles sur les systèmes non fiables détectés 11 3 Sélectionnez Ajouter à l'arborescence epo dans la liste déroulante Ordinateurs activés et sélectionnez Exécuter. Le tableau Progression des actions de l'onglet Evénements s'affiche. Ce tableau contient une nouvelle entrée correspondant à l'ordinateur que vous venez d'ajouter dans l'arborescence Répertoire epolicy Orchestrator. Si vous ouvrez l'arborescence epolicy Orchestrator, vous voyez que l'ordinateur a été ajouté à un site Ordinateurs non fiables sous Répertoire Lost&Found. Marquage de systèmes spécifiques pour une action future Dans certains cas, il peut arriver que vous ne souhaitiez pas agir sur un ordinateur spécifique à partir de la console epolicy Orchestrator. Vous choisirez plutôt d'accéder directement à l'ordinateur concerné pour résoudre un problème. Ainsi, vous pouvez marquer des ordinateurs spécifiques dans la liste des ordinateurs à l'aide d'une icône d'action. Cette icône vous permettra de vous souvenir qu'une action supplémentaire est requise. Pour ce faire : 1 Dans l'onglet Ordinateurs, sélectionnez Liste des ordinateurs. 2 Sélectionnez les ordinateurs pour lesquels une action est nécessaire en activant la case à cocher correspondante. 3 Sélectionnez Marquer pour l'action dans la liste déroulante Ordinateurs activés puis sélectionnez Exécuter. L'ordinateur est marqué avec une icône d'afction dans la colonne Action du tableau Liste des ordinateurs. Vous pouvez trier le tableau de la liste des ordinateurs à partir de la colonne Action ou le filtrer à l'aide d'un filtre personnalisé Marquer pour l'action. Vous pouvez également annuler le marquage des systèmes pour action en les sélectionnant dans le tableau Liste des ordinateurs, puis en choisissant Annuler le marquage pour action dans la liste déroulante Ordinateurs activés et en cliquant sur Exécuter. Marquage comme exceptions des systèmes pour lesquels aucun agent n'est nécessaire Certains systèmes détectés par les capteurs de systèmes non fiables, comme les commutateurs, les routeurs ou les imprimantes réseau, n'ont pas besoin d'agent et ne sont donc pas des systèmes non fiables. Vous pouvez marquer ces systèmes comme exceptions afin d'indiquer qu'ils ne sont pas gérés par epolicy Orchestrator mais qu'il ne s'agit pas pour autant de systèmes non fiables. Vous pouvez ensuite facilement trier ou filtrer la liste des ordinateurs afin de masquer ces exceptions. Vous pouvez ensuite vous consacrer à la recherche et à la mise en conformité des véritables systèmes non fiables. Vous pouvez également configurer des règles de réponses automatiques afin de classer certains ordinateurs comme exceptions. Pour plus d'informations, reportez-vous à la section Configuration de réponses automatiques pour des événements spécifiques à la page

240 Détection des systèmes non fiables Actions manuelles sur les systèmes non fiables détectés 11 Cette section aborde les sujets suivants : # Marquage de systèmes particuliers comme exceptions # Importation et exportation d'exceptions depuis et vers un fichier XML Marquage de systèmes particuliers comme exceptions Vous pouvez définir une exception pour un système de la liste des ordinateurs ayant l'état Non fiable ou Inactif. Un agent epolicy Orchestrator est déjà installé sur les ordinateurs à l'état Géré. Ceux-ci ne seront donc jamais des exceptions. Pour marquer un ou plusieurs ordinateurs spécifiques comme exceptions : 1 Dans la liste des ordinateurs, activez la case à cocher correspondant aux systèmes concernés. 2 Dans la liste déroulante Ordinateurs activés, sélectionnez Marquer comme exception puis cliquez sur Exécuter. 3 Actualisez la liste des ordinateurs afin de vérifier que désormais, l'état du système sélectionné est Exception. Pour annuler le marquage de systèmes qui ont déjà été marqués comme exceptions, il suffit de les sélectionner et de cliquer sur Annuler le marquage comme exception. Importation et exportation d'exceptions depuis et vers un fichier XML La création d'une liste d'exceptions peut se révéler être une tâche fastidieuse, car elle s'effectue souvent en marquant individuellement chaque ordinateur comme exception. Pour éviter d'avoir à effectuer à nouveau cette tâche lors d'une réinstallation du serveur epolicy Orchestrator, vous pouvez enregistrer votre liste des exceptions dans un fichier XML. Cette liste au format XML conserve les informations relatives aux exceptions de sorte que vous pouvez la réimporter facilement, si nécessaire. Exportation de la liste des exceptions L'exportation de la liste des exceptions dans un fichier XML inclut tous les systèmes de la liste marqués comme exceptions. Pour exporter la liste actuelle des exceptions dans un fichier XML : 1 Dans l'interface Détection des systèmes non fiables, cliquez sur l'onglet Configuration. 2 Cliquez sur Exporter sous Importation/Exportation de la liste des exceptions dans la partie inférieure de la page Configuration. La liste des exceptions XML exportée s'affiche dans une nouvelle fenêtre de navigateur Internet Explorer. Vous pouvez enregistrer ce fichier XML à un emplacement sûr afin de pouvoir l'importer à nouveau ultérieurement. 240

241 Détection des systèmes non fiables Configuration de réponses automatiques pour des événements spécifiques 11 Importation de la liste des exceptions depuis un fichier XML Il est également possible d'importer à nouveau une liste d'exceptions. L'importation de la liste des exceptions ne remplace pas toutes les données de la base de données de détection des systèmes non fiables, mais uniquement les informations sur les systèmes répertoriés dans la liste des exceptions. Lors de cette opération, soyez conscient du fait que l'importation remplace les données relatives aux exceptions pour les ordinateurs de la liste. Par exemple, si l'ordinateur A est répertorié dans la base de données de détection des systèmes non fiables comme système non fiable, mais comme exception dans la liste des exceptions XML, l'état de l'ordinateur A passera à Exception après l'importation. Pour importer à partir d'un fichier XML une liste d'exceptions exportée : 1 Dans l'interface Détection des systèmes non fiables, cliquez sur l'onglet Configuration et sélectionnez Configuration de base. 2 Dans la partie inférieure de la page sous Importation/Exportation de la liste des exceptions, entrez le chemin d'accès complet et le nom de fichier dans la zone de texte ou recherchez sur votre disque dur l'emplacement du fichier XML. 3 Cliquez sur Importer. Vous pouvez accéder à la liste des ordinateurs et actualiser le navigateur afin de voir les données d'exception nouvellement importées dans le tableau. Configuration de réponses automatiques pour des événements spécifiques Vous pouvez configurer des réponses automatiques dans l'interface Détection des systèmes non fiables afin qu'epolicy Orchestrator réponde automatiquement aux événements de détection des systèmes non fiables. Il existe deux événements de détection des systèmes non fiables pour lesquels vous pouvez configurer des réponses automatiques : # Ordinateur non fiable détecté. Un nouveau système ne se trouvant pas encore dans la base de données epolicy Orchestrator a été détecté. # Sous-réseau non couvert. Il existe un sous-réseau de votre réseau pour lequel aucun capteur de systèmes non fiables n'est installé. Ces réponses automatiques peuvent être des alertes, comme l'envoi d'un message électronique à un administrateur réseau lui indiquant la nouvelle détection. Il peut également s'agir d'actions du serveur, comme l'ajout automatique des ordinateurs nouvellement détectés à l'arborescence Répertoire ou le déploiement d'un agent epolicy Orchestrator sur un système non fiable récemment détecté. Les réponses automatiques surviennent dans la minute suivant l'événement. 241

242 Détection des systèmes non fiables Configuration de réponses automatiques pour des événements spécifiques 11 Contenu de cette section Ce chapitre aborde les sujets suivants : # Types de réponse automatique de la fonctionnalité de détection des systèmes non fiables # Configuration d'alertes automatiques envoyées par courrier électronique pour les détections de nouveaux systèmes non fiables Types de réponse automatique de la fonctionnalité de détection des systèmes non fiables La détection des systèmes non fiables permet de configurer des réponses pouvant inclure un certain nombre d'actions à entreprendre lorsqu'un de ces événements se produit. Une réponse automatique peut comprendre une ou plusieurs de ces actions. Par exemple, si vous configurez une réponse qui provoque la distribution d'un agent epolicy Orchestrator à des systèmes récemment détectés, il peut être nécessaire d'envoyer un message électronique aux administrateurs epolicy Orchestrator ou aux administrateurs réseau pour le suivi de l'installation de l'agent. Le tableau suivant répertorie les actions pouvant être configurées dans le cadre d'une réponse automatique. Il s'agit des mêmes actions que vous pouvez effectuer manuellement sur les systèmes sélectionnés dans la liste des ordinateurs. Pour plus de détails, reportez-vous à la section Actions manuelles sur les systèmes non fiables détectés à la page 234. Tableau 11-8 Actions disponibles pour les réponses automatiques Action Ajouter à l'arborescence epo Marquer pour l'action Description Ajoute un noeud d'ordinateur à un site Système non fiable sous l'arborescence Répertoire. Par la suite, vous pouvez intégrer l'ordinateur manuellement dans un site ou un groupe approprié. Ajoute la mention Marquer pour l'action à l'ordinateur détecté dans la liste des ordinateurs. Il s'agit de l'équivalent automatique du marquage manuel d'ordinateurs pour une action ultérieure. Pour plus d'informations, reportez-vous à la section Marquage de systèmes spécifiques pour une action future à la page

243 Détection des systèmes non fiables Configuration de réponses automatiques pour des événements spécifiques 11 Tableau 11-8 Actions disponibles pour les réponses automatiques Action Marquer comme exception Distribuer l'agent epo Interroger l'agent epo Supprimer l'hôte Envoyer un Envoyer un événement de serveur epo Annuler le marquage pour action Annuler le marquage comme exception Description Marque les ordinateurs comme exceptions remplissant les conditions indiquées. Pour plus d'informations sur les systèmes d'exception, reportez-vous à la section Marquage comme exceptions des systèmes pour lesquels aucun agent n'est nécessaire à la page 239. Par exemple, vous pouvez souhaiter réserver un intervalle d'adresses IP dans chaque sous-réseau pour les équipements réseau tels que les routeurs, les commutateurs et les imprimantes. Il est possible de créer une réponse automatique pour marquer comme exception et ajouter une condition afin que la réponse ne soit déclenchée que si l'adresse IP du système détecté est comprise dans un certain intervalle. De même, il se peut que vous ayez recours, pour l'équipement réseau, à des fournisseurs systématiquement différents de ceux auprès de qui vous vous procurez les serveurs et les postes de travail. Dans ce cas, vous pouvez utiliser la condition Org. OUI pour déclencher une réponse automatique afin de marquer des ordinateurs comme exceptions si l'adresse MAC du système contient un code de fournisseur spécifique. Prescrit à epolicy Orchestrator de distribuer un agent à l'ordinateur. Pour plus d'informations sur la distribution d'agents à l'aide d'epolicy Orchestrator, voir le chapitre 4, Déploiement des agents, SuperAgents et capteurs et Distribution des agents aux systèmes non fiables à la page 236. Interroge le système nouvellement détecté pour savoir si un agent epolicy Orchestrator y est installé. Cette interrogation est nécessaire si vous voulez pouvoir utiliser le type non fiable Agent étranger dans la liste des ordinateurs. Pour plus d'informations sur le type non fiable d'agent étranger, reportez-vous à la section A propos de l'état des systèmes et du type non fiable à la page 219. Crée une réponse automatique qui utilise cette action pour interroger tous les nouveaux ordinateurs non fiables pour un agent epolicy Orchestrator si vous disposez de plusieurs serveurs epolicy Orchestrator sur votre réseau. Option probablement non utilisée dans les réponses automatiques. Voir la section Configuration d'alertes automatiques envoyées par courrier électronique pour les détections de nouveaux systèmes non fiables à la page 244. Transmet les événements de détection des systèmes non fiables et de sous-réseau non couvert au serveur de notification. Cette option est requise si vous envisagez d'utiliser la nouvelle fonctionnalité de notification dans epolicy Orchestrator 3.5 pour envoyer automatiquement des alertes par lorsque des événements de détection des systèmes non fiables se produisent. Option probablement non utilisée dans les réponses automatiques. Option probablement non utilisée dans les réponses automatiques. 243

244 Détection des systèmes non fiables Configuration de réponses automatiques pour des événements spécifiques 11 Configuration d'alertes automatiques envoyées par courrier électronique pour les détections de nouveaux systèmes non fiables Une des tâches automatisées les plus courantes consiste à configurer le serveur de détection des systèmes non fiables pour qu'il envoie une alerte par courrier électronique lorsque les capteurs détectent de nouveaux systèmes non fiables sur le réseau. Ainsi, les administrateurs réseau sont rapidement alertés de la présence d'ordinateurs potentiellement non gérés et peuvent prendre les mesures qui s'imposent. Opportunité de l'utilisation de la notification et de la détection des systèmes non fiables Vous pouvez configurer des alertes par courrier électronique pour les événements de détection des systèmes non fiables de deux manières. Vous pouvez utiliser l'interface Détection des systèmes non fiables pour configurer la fonctionnalité de réponse automatique afin que qu'elle envoie des alertes par courrier électronique. Conseil Pour envoyer tous les événements de détection des systèmes non fiables à la même adresse, configurez toutes les alertes par courrier électronique dans la fonctionnalité de notification. Pour un contrôle plus granulaire sur la définition des destinataires de ces alertes, configurez l'envoi par courrier électronique des notifications de détection des systèmes non fiables dans l'interface Détection des systèmes non fiables. Configuration d'alertes par courrier électronique de détection des systèmes non fiables génériques dans l'interface Notifications Dans la plupart des cas, il peut être utile de recourir à la nouvelle fonction Notifications d'epolicy Orchestrator 3.5 afin de configurer des alertes par courrier électronique lorsque des événements de détection des systèmes non fiables se produisent. La configuration d'alertes par courrier électronique fonctionne si vous envoyez toujours les alertes de détection des systèmes non fiables aux mêmes personnes. La gestion de toutes les alertes automatiques par courrier électronique au même emplacement facilite en outre leur maintenance. Pour obtenir des informations détaillées sur la création d'alertes par courrier électronique, voir le chapitre 12, Notifications epolicy Orchestrator. Pour utiliser la fonctionnalité Notifications afin de configurer des alertes par courrier électronique pour les événements de détection des systèmes non fiables : 1 Configurez une réponse automatique dans l'interface Détection des systèmes non fiables afin d'envoyer les événements de détection des systèmes non fiables au serveur de notifications. 2 Configurez une alerte par courrier électronique dans l'interface Notifications afin d'envoyer des notifications par courrier électronique à des administrateurs du réseau ou de la sécurité. 244

245 Détection des systèmes non fiables Configuration de réponses automatiques pour des événements spécifiques 11 Configuration d'alertes par courrier électronique spécifiques aux destinataires dans l'interface Détection des systèmes non fiables Etant donnée la conception de cette fonctionnalité, l'interface Détection des systèmes non fiables vous offre une plus grande flexibilité en matière d'alertes par courrier électronique que l'interface Notifications. Vous pouvez utiliser la fonction Conditions de la page Ajouter ou modifier une réponse automatique afin de créer des alertes par courrier électronique distinctes pour les différents critères. Par exemple, cette fonction est utile si, au sein de votre équipe informatique, l'administration du réseau est répartie entre différentes personnes, en fonction des segments du réseau ou des types d'ordinateur (comme les postes de travail ou les serveurs). Vous pouvez créer des alertes par courrier électronique distinctes et ciblées destinées à diverses personnes selon l'adresse IP. De même, vous pouvez envoyer une alerte relative à un serveur récemment détecté à l'équipe chargée des serveurs et une autre alerte à une deuxième équipe chargée des postes de travail. Configuration des alertes par courrier électronique dans l'interface Détection des systèmes non fiables Pour configurer une réponse automatique et envoyer une alerte par courrier électronique : 1 Configuration de la détection des systèmes non fiables en vue de l'emploi du serveur de messagerie 2 Ajout de destinataires à la liste des contacts pour les réponses automatiques 3 Création et configuration d'une réponse par courrier électronique automatique Configuration de la détection des systèmes non fiables en vue de l'emploi du serveur de messagerie Si cette action n'a pas encore été effectuée, indiquez un serveur de messagerie sur le réseau que le serveur de détection des systèmes non fiables utilisera pour l'envoi d'alertes par courrier électronique. La fonctionnalité de détection des systèmes non fiables communique avec le serveur de messagerie via SMTP sur TCP/IP. Généralement, le serveur epolicy Orchestrator doit pouvoir envoyer des messages SMTP au serveur de messagerie tant qu'il le «voit» sur le réseau. Pour tester la connectivité, exécutez une commande ping destinée au serveur de messagerie à partir du serveur epolicy Orchestrator. En fonction de la configuration du serveur de messagerie, des conditions supplémentaires peuvent être requises. Par exemple, il peut être nécessaire que le serveur epolicy Orchestrator se trouve sur le même domaine NT que le serveur de messagerie. Reportez-vous à la documentation réseau pour résoudre les problèmes de connexion entre le serveur epolicy Orchestrator et le serveur de messagerie. Pour configurer la fonctionnalité de détection des systèmes non fiables afin qu'elle utilise un serveur de messagerie SMTP : 1 Dans l'interface Détection des systèmes non fiables, cliquez sur l'onglet Configuration et sélectionnez Configuration de base. 2 Sous Alertes par courrier électronique, entrez le nom de votre serveur de messagerie dans la zone de texte Serveur de messagerie. 245

246 Détection des systèmes non fiables Configuration de réponses automatiques pour des événements spécifiques 11 3 Entrez une adresse de retour valide dans la zone de texte De. Il doit s'agir d'une adresse électronique valide. Les alertes par courrier électronique ne pouvant pas être transmises seront retournées à cette adresse. Il peut être nécessaire d'accéder à ce compte de messagerie occasionnellement dans un but de dépannage ou pour effectuer le suivi des alertes envoyées par courrier électronique par la fonctionnalité de détection des systèmes non fiables qui n'ont pas été transmises à leur destinataire. Il s'agit généralement de l'adresse de l'administrateur de messagerie du serveur SMTP sélectionné, ou de celle d'un autre administrateur système. 4 Dans la partie inférieure de la page Configuration de base, cliquez sur Mettre à jour pour enregistrer les modifications. Ajout de destinataires à la liste des contacts pour les réponses automatiques Le tableau Contacts de messagerie permet de gérer la liste des destinataires des alertes par courrier électronique de détection des systèmes non fiables. Par exemple, si vous souhaitez configurer une réponse automatique afin d'envoyer un message électronique à un administrateur réseau lorsqu'un nouveau système non fiable est détecté, vous devez tout d'abord ajouter les informations de messagerie électronique de l'administrateur réseau au tableau Contacts de messagerie. Ce tableau dresse la liste des contacts de messagerie ajoutés pour la détection des systèmes non fiables et pour les autres notifications d'alerte d'epolicy Orchestrator 3.5. Les contacts de messagerie ajoutés dans une des interfaces sont disponibles dans les deux interfaces. Pour plus d'informations sur l'utilisation d'alertes avec la nouvelle fonctionnalité Notifications, voir le chapitre 12, Notifications epolicy Orchestrator. Pour ajouter un contact de messagerie pour une alerte de détection des systèmes non fiables : 1 Dans l'interface Détection des systèmes non fiables, cliquez sur l'onglet Configuration et sélectionnez Contacts de messagerie. 2 Au-dessus de la liste des contacts actuels, cliquez sur Ajouter un contact. 3 Entrez un nom ou une brève description pour le nouveau contact dans le champ Nom. 4 Entrez l'adresse électronique du contact dans le champ Adresse électronique. Assurez-vous d'avoir entré une adresse complète à un format correct, par exemple Mon @exemple.com. 5 Cliquez sur Ajouter. Vous devez ajouter un contact distinct pour chaque adresse électronique à laquelle vous souhaitez envoyer des alertes par courrier électronique. Si vous voulez envoyer certaines alertes par courrier électronique à plusieurs destinataires, vous pouvez créer une liste de distribution sur votre serveur de messagerie puis créer un contact de messagerie de détection des systèmes non fiable pour cette adresse à la place. 246

247 Détection des systèmes non fiables Configuration de réponses automatiques pour des événements spécifiques 11 Les contacts créés apparaissent dans la liste des contacts disponibles. Vous pouvez maintenant sélectionner ce contact lors de la configuration de réponses automatiques pour des événements spécifiques, comme l'envoi d'un message électronique lors de la détection d'un système non fiable. Création et configuration d'une réponse par courrier électronique automatique Une fois que vous avez configuré l'interface Détection des systèmes non fiables afin qu'elle utilise votre serveur de messagerie et que vous avez créé un ou plusieurs contacts de messagerie auxquels envoyer des alertes par courrier électronique, vous pouvez créer la réponse par courrier électronique automatisée. Remarque Vous pouvez également choisir de configurer la fonctionnalité de notification epolicy Orchestrator pour que des notifications soient envoyées par en fonction de certains événements de la détection des systèmes non fiables. Pour plus d'informations, voir le chapitre 12, Notifications epolicy Orchestrator. Pour créer une réponse par courrier électronique automatisée pour cet événement : 1 Dans l'interface web du serveur de détection des systèmes non fiables, cliquez sur l'onglet Réponses. 2 Cliquez sur Ajouter une réponse automatique. Figure Création d'une réponse par courrier électronique automatique 3 Entrez une brève description de la réponse dans le champ Nom. Ce nom s'affiche dans la liste des réponses automatiques disponibles du tableau Réponses automatiques. 4 Dans la liste déroulante Evénement, sélectionnez Ordinateur non fiable détecté. 247

248 Détection des systèmes non fiables Configuration d'exécutables de ligne de commande tiers à utiliser dans les réponses automatiques 11 5 Assurez-vous que l'option Activé est sélectionnée. Ainsi, la réponse est émise automatiquement dès que le serveur déclenche un événement de détection de système non fiable. Si vous le souhaitez, vous pouvez ajouter une ou plusieurs conditions devant être respectées pour que la réponse automatisée soit émise. Par exemple, vous pouvez vouloir que cette action se produise uniquement si le système non fiable détecté se trouve dans un sous-réseau spécifique ou dans un intervalle d'adresses IP, ou seulement si le système exécute une version particulière de Windows. 6 Pour ajouter des conditions, sélectionnez Ajouter une condition puis configurez les comparaisons de valeur et de propriété. 7 Sous Actions, sélectionnez Envoyer un dans la liste déroulante des méthodes. 8 Sélectionnez un destinataire dans la liste déroulante A des destinataires disponibles. Si l'adresse que vous cherchez n'est pas disponible dans la liste, vous devez tout d'abord l'ajouter à la liste des contacts. Voir la section Ajout de destinataires à la liste des contacts pour les réponses automatiques à la page Tapez votre message électronique dans les champs Objet et Corps. Si vous le souhaitez, vous pouvez inclure des variables dans votre message électronique en les sélectionnant dans la liste déroulante Insérer une variable puis en les insérant dans l'objet ou dans le corps du message électronique. Les variables représentent des informations telles que l'adresse IP, l'emplacement du sous-réseau et le système d'exploitation des nouveaux systèmes non fiables détectés. L'interface Détection des systèmes non fiables remplace ensuite ces variables par les données réelles du système détecté. 10 Pour envoyer des messages électroniques à plusieurs adresses, ajoutez une réponse supplémentaire à chaque contact choisi comme destinataire. Pour cela, cliquez sur Ajouter une action et suivez la procédure précédente à partir de l'étape 7 pour chaque contact supplémentaire. 11 Cliquez sur OK pour enregistrer la nouvelle réponse automatique. La nouvelle réponse automatique devient active dès son ajout à la liste des réponses. La prochaine fois que l'événement associé à la réponse se produit, l'interface Détection des systèmes non fiables déclenche automatiquement la réponse automatique configurée. Configuration d'exécutables de ligne de commande tiers à utiliser dans les réponses automatiques Vous pouvez lancer des exécutables de ligne de commande afin de rassembler des informations supplémentaires sur les systèmes détectés par la fonctionnalité de détection des ordinateurs non fiables. Cette exécution peut s'effectuer dans le cadre d'une réponse automatisée à la détection d'un système non fiable détecté ou à un événement de sous-réseau non couvert. Elle peut également être lancée manuellement. Pour fonctionner, les exécutables doivent être installés sur le serveur epolicy Orchestrator. 248

249 Détection des systèmes non fiables Configuration d'exécutables de ligne de commande tiers à utiliser dans les réponses automatiques 11 Cette section aborde les sujets suivants : # A propos de l'utilisation des exécutables dans les réponses # Configuration d'un exécutable pour une réponse automatique A propos de l'utilisation des exécutables dans les réponses Vous ne pouvez lancer des exécutables de ligne de commande que de la manière décrite ici ; vous ne pouvez pas le faire via une interface utilisateur graphique Windows. La section ci-dessous répertorie quelques-uns des exécutables courants que vous serez peut-être amené à utiliser. Vous pouvez consulter les résultats des exécutables dans les pages Détails de l'ordinateur et Progression des actions de l'onglet Evénements. Il suffit de cliquer sur les éléments dans la liste pour accéder à des informations plus détaillées. NMAP.EXE Network Mapper NMAP, l'abréviation de «Network Mapper», est un utilitaire libre permettant d'effectuer des audits de sécurité pour des ordinateurs individuels et pour des réseaux entiers. Ses fonctions incluent le balayage par ping au niveau du réseau, l'analyse de ports et la détection du système d'exploitation. Un des avantages de NMAP est qu'il retourne plus d'informations : il peut identifier le type de système d'exploitation et d'autres informations sur des ordinateurs non-windows. Le capteur de détection des systèmes non fiables, par contre, ne peut identifier le type de système d'exploitation que pour les systèmes Windows. Les informations fournies par l'intégration de NMAP apparaissent dans les champs appropriés relatifs à l'hôte. Pour plus d'informations, consultez le site NSLOOKUP.EXE livré avec Windows Il s'agit d'un utilitaire simple qui recherche des informations sur des ordinateurs spécifiques à l'aide du serveur de noms DNS. Il est intéressant d'y recourir quand le capteur de détection des systèmes non fiables ne peut pas résoudre des informations de nom DNS pour certains ordinateurs. Par exemple, vous pouvez créer un événement automatique avec une condition qui vérifie si le champ de nom DNS d'un ordinateur détecté est (vide). Exécutez alors NSLookup.EXE pour voir si le serveur DNS dispose d'un nom d'ordinateur. L'outil de ligne de commande Nslookup est installé sur les ordinateurs Windows si le protocole TCP/IP est installé, généralement dans le dossier System32. Configuration d'un exécutable pour une réponse automatique Pour configurer un exécutable de ligne de commande à utiliser avec une réponse automatique : 1 Mise à disposition d'un exécutable enregistré pour la fonctionnalité de détection des systèmes non fiables 2 Configuration de la ligne de commande de l'exécutable 3 Utilisation de la ligne de commande dans une réponse automatique Pour obtenir plus de détails sur chaque procédure, reportez-vous aux sections ci-dessous. 249

250 Détection des systèmes non fiables Configuration d'exécutables de ligne de commande tiers à utiliser dans les réponses automatiques 11 Mise à disposition d'un exécutable enregistré pour la fonctionnalité de détection des systèmes non fiables Avant de pouvoir configurer un outil de ligne de commande, vous devez l'enregistrer auprès de la fonctionnalité de détection des systèmes non fiables. Cette procédure d'enregistrement vous assure que seules les applications exécutables de votre choix pourront être utilisées. Elle vous permet en outre de mettre l'exécutable à la disposition d'autres administrateurs epolicy Orchestrator, pour qu'ils puissent l'utiliser ou l'ajouter facilement aux réponses automatiques. Pour enregistrer un exécutable auprès d'epolicy Orchestrator : 1 Installez l'exécutable, si ce n'est pas déjà fait, sur l'ordinateur hébergeant votre serveur epolicy Orchestrator. 2 Dans l'interface Détection des systèmes fiables, cliquez sur l'onglet Configuration et sélectionnez Commandes externes. 3 A la page Commandes externes, sélectionnez Ajouter un fichier exécutable enregistré. 4 A la page Ajouter ou modifier un fichier exécutable enregistré, entrez un nom descriptif de l'exécutable dans le champ Nom. 5 Entrez le chemin d'accès complet ou recherchez l'emplacement du fichier EXE de cet exécutable. 6 Cliquez sur Ajouter. L'exécutable est ajouté à la liste des exécutables enregistrés disponibles. Vous pouvez en outre configurer des options de ligne de commande sous la section Lignes de commande de la page Commandes externes. Configuration de la ligne de commande de l'exécutable Une fois que vous avez ajouté un exécutable enregistré via l'interface Détection des systèmes non fiables, vous pouvez configurer ses options de ligne de commande. Pour ce faire : 1 Dans l'interface Détection des systèmes fiables, cliquez sur l'onglet Configuration et sélectionnez Commandes externes. 2 A la page Commandes externes, sélectionnez Ajouter une ligne de commande. 3 A la page Ajouter ou modifier une ligne de commande, entrez un nom descriptif pour la commande dans le champ Nom. 4 Sélectionnez l'exécutable à utiliser pour cette ligne de commande dans la liste déroulante des exécutables enregistrés rendus disponibles dans l'interface Détection des systèmes non fiables. 5 Entrez des arguments dans le champ Arguments. Reportez-vous à la documentation relative à l'exécutable approprié pour vérifier que vous utilisez la syntaxe correcte. Vous pouvez également inclure des variables système dans la commande. Ils sont disponibles dans la liste déroulante Variables. 6 Lorsque vous avez terminé, cliquez sur Ajouter. 250

251 Détection des systèmes non fiables Affichage de l'état des actions entreprises et de l'historique des événements 11 La ligne de commande est ajoutée à la liste des lignes de commande disponibles. Elle est également disponible dans la liste déroulante Méthode de la page Ajouter ou modifier une réponse automatique. Vous pouvez donc inclure la ligne de commande en tant qu'action faisant partie d'une réponse automatique. Utilisation de la ligne de commande dans une réponse automatique Une fois configurée, la ligne de commande enregistrée est disponible dans la liste déroulante Méthode de la page Ajouter ou modifier une réponse automatique. Vous pouvez configurer les réponses automatiques qui lancent l'exécutable. Affichage de l'état des actions entreprises et de l'historique des événements L'interface Détection des systèmes non fiables permet de consulter l'historique des événements survenus (par exemple un événement de détection d'un système non fiable). Vous pouvez également afficher l'état des actions entreprises, comme la distribution manuelle d'un agent ou le déploiement d'un capteur. Cette section aborde les sujets suivants : # Affichage de l'état des actions en cours # Affichage de l'historique des événements de la détection des systèmes non fiables 251

252 Détection des systèmes non fiables Affichage de l'état des actions entreprises et de l'historique des événements 11 Affichage de l'état des actions en cours Vous pouvez vérifier que le serveur implémente réellement vos réponses manuelles et automatiques, comme le déploiement d'agents sur des ordinateurs non fiables, en contrôlant l'état à partir de la page Evénements Progression des actions. Le tableau répertorie toutes les actions récentes entreprises par le serveur de détection des systèmes non fiables, incluant les réponses automatiques et manuelles. Une fois que vous avez initié une réponse, comme la distribution d'un capteur à un ordinateur spécifique, la réponse est ajoutée au tableau. Figure Affichage des réponses dont l'exécution est en cours La colonne Etat de l'action indique si l'action est terminée ou si son exécution est en cours. Elle est en cours tant que la colonne Etat de l'action n'affiche pas Terminé. La colonne Heure de fin indique alors la date et l'heure de fin de l'action. Tant qu'une réponse est en cours d'exécution, vous devez actualiser la page afin de voir si l'état a changé et si l'action est terminée. Pour ce faire, cliquez sur Actualiser. Retrait d'anciens événements pour filtrer le tableau Historique des événements Si le tableau Historique des événements devient trop volumineux, vous pouvez en supprimer des événements trop anciens ou devenus inutiles. Pour ce faire : 1 Sélectionnez un ou plusieurs événements en activant la case à cocher correspondante. 2 Cliquez sur le bouton Ignorer. Les événements ignorés seront retirés du tableau Historique des événements mais resteront dans la base de données afin que vous puissiez les utiliser dans des requêtes et des rapports. 252

253 Détection des systèmes non fiables Affichage de l'état des actions entreprises et de l'historique des événements 11 Purge des événements ignorés de la base de données Si la base de données devient trop volumineuse à cause des événements ignorés, vous la pouvez purger des événements ignorés sélectionnés. Ces derniers sont alors supprimés de la base de données. Vous ne pouvez purger que des événements ayant été précédemment ignorés. Vous pouvez ignorer des événements à partir du tableau Historique des événements de l'onglet Evénements ou à partir du tableau Evénements et actions pour ce système de la page Détails de l'ordinateur. Attention La purge retire les événement de la base de données de façon définitive. Vous ne pourrez plus appeler les données des événements purgés dans des rapports ou des requêtes. L'historique des événements peut fournir des informations très utiles pour la résolution des problèmes liés à des ordinateurs ou à des sous-réseaux spécifiques. C'est pourquoi, il est recommandé de purger les événements ignorés uniquement si vous êtes sûr que les informations relatives aux événements ne sont plus nécessaires ou si la taille de la base de données est telle que des problèmes de performances surviennent. Autres emplacements d'affichage d'informations relatives aux événements dans l'interface Détection des systèmes non fiables Vous pouvez afficher des informations détaillées supplémentaires sur une action particulière entreprise dans un processus de réponse automatique en cliquant sur cette action dans le tableau Progression des actions de l'onglet Réponses. Vous pouvez également afficher l'historique des événements d'un ordinateur particulier en cliquant sur ce dernier dans la liste des ordinateurs. Le tableau Evénements et actions pour cet ordinateur de la partie inférieure de la page affiche tous les événements qui se sont produits pour cet ordinateur se trouvant encore dans la base de données. Affichage des détails de l'action Cliquez sur une des actions du tableau Progression des actions pour afficher des informations plus détaillées sur celle-ci. Affichage de l'historique des événements de la détection des systèmes non fiables Le tableau Historique des événements du tableau Evénements répertorie les événements serveur récents de détection des systèmes non fiables. A l'instar de tous les tableaux de l'interface Détection des systèmes non fiables, vous pouvez trier le tableau en fonction de n'importe quelle ligne, filtrer le tableau par type d'événement ou cliquer sur des lignes individuelles pour afficher des informations détaillées sur chaque événement. Les événements de détection des ordinateurs non fiables et de sous-réseau non couvert peuvent déclencher des réponses automatiques, si vous avez défini votre configuration en ce sens. Voir Configuration de réponses automatiques pour des événements spécifiques à la page 241. Les événements que le serveur de détection des systèmes non fiables peut générer sont les suivants : # Détection des systèmes non fiables. Un capteur a détecté un ordinateur qui ne se trouve pas dans la base de données epolicy Orchestrator. Ce qui signifie probablement qu'aucun agent epolicy Orchestrator n'est installé sur l'ordinateur. 253

254 Détection des systèmes non fiables Affichage de l'état des actions entreprises et de l'historique des événements 11 # Requête de l'utilisateur. Toute action manuelle entreprise par un utilisateur à partir de l'interface Détection des systèmes non fiables, comme le marquage de systèmes comme exceptions ou l'ajout d'ordinateurs à l'arborescence epo. Cliquez sur ces événements dans le tableau Historique des événements pour en afficher les détails, par exemple l'action spécifique à l'origine de la génération de l'événement. # Sous-réseau non couvert. Un sous-réseau qui était couvert par un ou plusieurs capteurs de l'interface Détection des systèmes non fiables n'est plus couvert. Cette situation peut se produire lorsqu'un capteur est désinstallé ou arrêté. L'événement Sous-réseau non couvert se produit uniquement la première fois que le sous-réseau devient non couvert. # Echec de la distribution de l'agent. Vous avez distribué un agent à un système non fiable à partir de la liste des ordinateurs de l'interface Détection des systèmes non fiables, mais la distribution de l'agent sur l'ordinateur client a échoué. # Echec de la distribution du capteur. Vous avez distribué un capteur à un ordinateur à partir de la liste des sous-réseaux, mais l'installation du capteur sur l'ordinateur cible a échoué. # Evénements ignorés. Des événements ont été retirés du tableau Historique des événements. Rappelons que les événements ignorés sont uniquement retirés du tableau, et non supprimés de la base de données. Retrait des événements trop anciens ou inutiles du tableau Historique des événements Si le tableau Historique des événements comporte trop d'événements anciens ou inutiles, vous pouvez les en retirer. Pour cela, sélectionnez un ou plusieurs événements à l'aide des cases à cocher correspondantes, puis cliquez sur Ignorer. Purge des événements ignorés de la base de données Vous pouvez souhaiter purger régulièrement la base de données afin d'en retirer les événements anciens et inutiles. Pour ce faire : 1 Définissez le filtre du tableau Historique des événements pour qu'il affiche uniquement les événements ignorés en sélectionnant Evénements ignorés dans la liste déroulante Filtre. Le bouton Purger les événements ignorés devient actif. 2 Cliquez sur Purger les événements ignorés. 3 Sélectionnez une option de filtre pour le tableau autre qu'evénements ignorés pour afficher les événements se trouvant toujours dans la base de données. Affichage des détails d'un événement spécifique Cliquez sur un événement répertorié dans le tableau Historique des événements pour afficher des informations détaillées sur cet événement, notamment les actions automatiques déclenchées par l'événement. 254

255 Détection des systèmes non fiables Personnalisation du serveur et de l'interface de la fonctionnalité Détection des systèmes non fiables 11 Personnalisation du serveur et de l'interface de la fonctionnalité Détection des systèmes non fiables Cette section aborde les sujets suivants : # Utilisation de l'onglet Configuration pour la personnalisation du serveur et de l'interface # Modification du numéro de port capteur-serveur dans SERVER.XML Utilisation de l'onglet Configuration pour la personnalisation du serveur et de l'interface Personnalisez différentes fonctionnalités de l'interface Détection des systèmes non fiables à partir de l'onglet Configuration. Figure Personnalisation de l'interface Détection des systèmes non fiables 255

256 Détection des systèmes non fiables Personnalisation du serveur et de l'interface de la fonctionnalité Détection des systèmes non fiables 11 Vous pouvez modifier l'affichage de l'interface des manières suivantes : Lié à l'interface utilisateur Paramètre Nombre d'éléments à afficher par page Trier les ordinateurs par sous-réseau du réseau Délai d'actualisation automatique Valeur par Description défaut 15 Nombre de lignes apparaissant dans une page de l'un des tableaux Détection des systèmes non fiables, tel la liste des ordinateurs ou la liste des sous-réseaux. Une fois que des capteurs sont déployés sur le réseau, la liste des ordinateurs, par exemple peut devenir volumineuse. Si vous pouvez afficher des centaines de lignes dans un tableau, il est sans doute plus facile de parcourir la liste si vous affichez un nombre de lignes inférieur à 20. Désactivé La valeur 30 secondes est attribuée à cette option L'activation de cette fonction conserve les systèmes de la liste des ordinateurs classés par sous-réseau. Une fois cette fonction activée, le tri s'effectue dans le groupe de sous-réseaux uniquement. Cette fonction actualise automatiquement les tableaux de l'interface Détection des systèmes non fiables à un intervalle défini. Lorsque l'actualisation automatique est activée, l'état Actualiser (Automatique) est indiqué au dessus de chaque tableau. Dans le cas contraire, vous devez cliquer sur le bouton Actualiser se trouvant au-dessus du tableau afin d'actualiser les données du tableau. Alertes par courrier électronique Paramètre Valeur par défaut Description Serveur de messagerie serveur-de-messagerie Nom du serveur de messagerie à utiliser pour la réponse automatique d'alerte par courrier électronique. De de@exemple.com Adresse électronique de retour pour le serveur epolicy Orchestrator qui doit apparaître dans le champ De des alertes par courrier électronique. 256

257 Détection des systèmes non fiables Personnalisation du serveur et de l'interface de la fonctionnalité Détection des systèmes non fiables 11 Paramètres de classification des ordinateurs Paramètre Délai d'expiration pour les ordinateurs Délai d'expiration pour l'agent epo Valeur par défaut 4320 minutes (3 jours) Description Période entre la dernière détection de l'ordinateur par un capteur de détection des systèmes non fiables et l'indication d'un ordinateur comme inactif dans la liste des ordinateurs. La valeur par défaut est trois jours (entrée en minutes) afin de prendre en compte les week-ends, période durant laquelle les utilisateurs sont susceptibles d'éteindre leurs ordinateurs, ces derniers n'étant alors pas obligatoirement inactifs. 7 jours Durée après laquelle un agent est considéré comme inactif s'il n'a effectué aucun rapport au serveur epolicy Orchestrator. Cette valeur a une influence lorsqu'un système est classé comme Non fiable ou Géré. Les systèmes gérés dont les agents ont arrêté de répondre pendant la période configurée mais qui sont toujours détectés sur le réseau par des capteurs sont considérés comme non fiables. 257

258 Détection des systèmes non fiables Personnalisation du serveur et de l'interface de la fonctionnalité Détection des systèmes non fiables 11 Paramètre Rechercher les ordinateurs détectés dans la base de données epo par Délai de tolérance pour les ordinateurs non fiables Valeur par défaut MAC uniquement Désactivé Description Lorsqu'un ordinateur détecté est traité par le serveur de détection des systèmes non fiables, une des premières tâches à effectuer est de chercher cet hôte dans la base de données epolicy Orchestrator. Vous pouvez configurer le mode d'interrogation de la base de données pour trouver cet élément. Les options incluent : # MAC uniquement # MAC d'abord, puis le nom d'hôte en cas d'échec du MAC # MAC d'abord, puis le nom d'hôte (en incluant le domaine) en cas d'échec du MAC Ce paramètre est particulièrement utile si vous utilisez des ordinateurs (p. ex. des ordinateurs portables) connectés au réseau à l'aide de méthodes diverses, telles qu'ethernet ou une carte sans fil. Utilisez ce paramètre pour vous assurer que de tels ordinateurs n'apparaissent pas comme des systèmes différents selon la méthode de connexion employée. Notez toutefois que l'utilisation de ce paramètre peut entraîner de fausses alertes. La sélection de l'option MAC d'abord, puis le nom d'hôte (en incluant le domaine) en cas d'échec du MAC permet de réduire ce risque. Période durant laquelle un système non fiable est à l'état Non fiable - Délai de tolérance avant de passer à l'état Non fiable - Pas d'agent. Voir A propos de l'état des systèmes et du type non fiable à la page 219. Il peut exister un décalage entre l'expiration du délai de tolérance et le déclenchement de l'événement de système non fiable détecté. Ce décalage dépend de l'intervalle de rapport du capteur (par défaut, 60 minutes). 258

259 Détection des systèmes non fiables Personnalisation du serveur et de l'interface de la fonctionnalité Détection des systèmes non fiables 11 Paramètres des capteurs Paramètre Délai d'expiration pour les capteurs Nombre maximal de capteurs principaux par sous-réseau Durée d'activité maximale pour un capteur principal Valeur par Description défaut 90 minutes Période après laquelle un capteur n'effectuant aucune communication est considéré comme inactif. Le serveur de détection des systèmes non fiables actualise l'état des capteurs n'ayant pas communiqué avec le serveur pendant l'intervalle défini dans la liste des sous-réseaux, pour le définir sur Inactif. Désactivé Nombre maximal de capteurs effectuant des rapports au serveur de détection des systèmes non fiables s'il existe plusieurs capteurs déployés dans le même sous-réseau. Le serveur de détection des systèmes non fiables choisit automatiquement les capteurs à utiliser en tant que capteurs principaux. McAfee Security recommande d'avoir au moins deux capteurs principaux par sous-réseau. 12 heures La détection des systèmes non fiables change automatiquement de capteurs principaux à cet intervalle. Cela permet de ne pas dépendre d'un capteur donné pendant une trop longue période. Modification du numéro de port capteur-serveur dans SERVER.XML Si vous changez le numéro de port du capteur dans les pages de stratégie de l'interface Détection des systèmes non fiables, vous devez également changer le numéro de port dans le fichier SERVER.XML de la détection des systèmes non fiables sur le serveur epolicy Orchestrator. Si vous changez uniquement le numéro de port dans les pages de stratégie, vous interrompez les communications capteur-serveur. Pour plus d'informations sur la modification des stratégies relatives aux capteurs, reportez-vous à la section Configuration des stratégies des capteurs de détection des systèmes non fiables à la page 229. Attention Il existe plusieurs fichiers de configuration SERVER.XML, situés dans différents sous-dossiers sur le serveur epolicy Orchestrator. Assurez-vous de modifier uniquement le fichier se trouvant dans le sous-dossier Tomcat. Pour modifier le port dans le fichier SERVER.XML Tomcat : 1 Accédez au fichier SERVER.XML du serveur Tomcat. Par défaut, ce fichier est installé dans : C:\Program Files\Network Associates\ePO\3.5.0\Tomcat\Conf 2 Ouvrez le fichier dans un éditeur de texte. 259

260 Détection des systèmes non fiables Configuration de la détection des systèmes non fiables pour la fonctionnalité Notifications epolicy Orchestrator 11 3 Recherchez la section suivante et modifiez le numéro de port. Le numéro de port par défaut est <!-- Define a SSL Coyote HTTP/1.1 Connector on port > <!-- This connector requires certificate auth and is used for sensor communication --> <Connector classname="org.apache.coyote.tomcat4.coyoteconnector" port="8444" minprocessors="5" maxprocessors="75" enablelookups="true" acceptcount="100" debug="0" scheme="https" secure="true" useurivalidationhack="false" disableuploadtimeout="true">... </Connector> 4 Enregistrez et fermez le fichier SERVER.XML. 5 Arrêtez et démarrez le service TOMCAT.EXE sur votre serveur epolicy Orchestrator. Configuration de la détection des systèmes non fiables pour la fonctionnalité Notifications epolicy Orchestrator Vous pouvez configurer la fonctionnalité Notifications epolicy Orchestrator de sorte que des messages de notification soient envoyés lorsque certains événements de la détection des systèmes non fiables surviennent. Vous pouvez également envoyer des notifications à l'aide de la fonctionnalité de réponse automatique de l'interface Détection des systèmes non fiables. (Pour plus d'informations sur l'envoi de messages électroniques à l'aide de la fonctionnalité de réponse automatique, reportez-vous à la section Configuration d'alertes automatiques envoyées par courrier électronique pour les détections de nouveaux systèmes non fiables à la page 244.) Chacune des deux fonctionnalités présente des avantages spécifiques : Réponse automatique # Davantage d'informations liées au domaine. # Variables offrant davantage d'informations liées à la détection des systèmes non fiables. # Envoi d'informations en fonction de conditions spécifiées. Pour obtenir des informations et des instructions sur l'envoi de messages électroniques à l'aide de la fonctionnalité de réponse automatique, reportez-vous à la section Configuration d'alertes automatiques envoyées par courrier électronique pour les détections de nouveaux systèmes non fiables à la page 244. Notifications epolicy Orchestrator # Alerte centralisée pour tous les types d'événements. # Limitation et agrégation des messages. # Possibilité d'envoi d'interruptions SNMP et de messages électroniques. 260

261 Détection des systèmes non fiables Configuration de la détection des systèmes non fiables pour la fonctionnalité Notifications epolicy Orchestrator 11 La configuration de l'envoi de messages de notification à partir de l'interface Notifications epolicy Orchestrator sur la base d'événements de la détection des systèmes non fiables s'articule en deux étapes : # Configuration d'une réponse automatique pour l'envoi d'événements du serveur epo # Création d'une règle de notification basée sur des événements de détection des systèmes non fiables Configuration d'une réponse automatique pour l'envoi d'événements du serveur epo Pour configurer une réponse automatique pour l'envoi d'événements du serveur epo : 1 Connectez-vous au serveur epolicy Orchestrator. 2 Cliquez sur Détection des systèmes non fiables dans l'arborescence de la console. 3 Dans le volet de détails, sélectionnez l'onglet Réponses. 4 Cliquez sur Ajouter une réponse automatique. La page Ajouter ou modifier une réponse automatique apparaît. 5 Indiquez le nom de la réponse automatique, par exemple Envoyer un événement vers Notifications. 6 Sélectionnez l'événement pour lequel vous souhaitez configurer la réponse automatique. Nous vous recommandons de sélectionnez l'option N'importe quel événement. Remarque La détection des systèmes non fiables ne permet d'envoyer que les deux événements suivants vers la fonction Notifications epolicy Orchestrator : Ordinateur non fiable détecté et Sous-réseau non couvert. 7 Ajoutez toute condition souhaitée. 8 Dans la section Actions, sous Méthode, remplacez la méthode par défaut par Envoyer un événement de serveur epo. 9 Cliquez sur OK. Création d'une règle de notification basée sur des événements de détection des systèmes non fiables Vous devez créer une règle de notification pour l'envoi de messages de notification sur la base d'événements de la détection des systèmes non fiables. Pour des instructions sur la création d'une règle de notification, reportez-vous à la section Création et modification de règles. Remarque La fonctionnalité Notifications epolicy Orchestrator permet uniquement d'envoyer des messages de notification (relatifs à la détection des systèmes non fiables) sur la base d'événements du serveur epolicy Orchestrator. 261

262 Détection des systèmes non fiables Questions fréquemment posées (FAQ) 11 Lorsque vous créez une règle de notification pour la détection des systèmes non fiables : # Sélectionnez Serveur epo dans la liste des produits dans la page Définition des filtres. # Sélectionnez Nouveau système non fiable détecté ou Le sous-réseau n'est plus surveillé par le capteur de systèmes non fiables. Nous vous recommandons également d'utiliser les fonctions de limitation et d'agrégation pour l'ensemble des règles. Questions fréquemment posées (FAQ) Le capteur est-il déployé automatiquement lors de l'installation du serveur? Non, vous devez initier le déploiement du capteur. En fait, epolicy Orchestrator traite le capteur comme n'importe quel autre produit relais. Voir à ce propos Déploiement de capteurs de détection des systèmes non fiables à la page 91. Les événements émis par le capteur peuvent-il entraîner un déploiement automatique des agents? Par défaut, non. La configuration du capteur prévoit qu'il surveille la présence de nouveaux systèmes non fiables ou sous-réseaux et vous en avertisse. Vous pouvez toutefois configurer une réponse automatique pour que le serveur déploie des agents lorsqu'il reçoit des événements spécifiques du capteur. Pour plus d'informations, voir Actions manuelles sur les systèmes non fiables détectés à la page 234 ou Configuration de réponses automatiques pour des événements spécifiques à la page 241. Quel impact le déploiement d'un capteur peut-il avoir sur l'installation d'agents ou de produits relais? Le déploiement d'un capteur n'a aucune incidence sur l'installation des agents ou des produits relais. Toutefois, vous ne pouvez déployer un capteur à partir de la console epolicy Orchestrator qu'à condition que le système dispose déjà d'un agent. Le capteur constitue simplement un produit relais parmi les autres. 262

263 12 Notifications epolicy Orchestrator Configuration de règles avertissant les utilisateurs d'événements survenus sur le réseau La fonctionnalité Notifications epolicy Orchestrator vous avertit des événements survenant sur les ordinateurs gérés de votre environnement ou sur le serveur epolicy Orchestrator lui-même. Vous pouvez configurer des règles dans epolicy Orchestrator pour prescrire l'envoi d' s, de SMS ou de messages de pager (ou d'interruptions SNMP) lorsque le serveur epolicy Orchestrator reçoit ou traite des événements spécifiques. Cette fonctionnalité est très souple en termes de configuration, notamment en ce qui concerne les catégories d'événements déclenchant les notifications ou la fréquence d'envoi de ces dernières. Attention Pour obtenir une liste des produits spécifiques et des composants epolicy Orchestrator pour lesquels il est possible de configurer des notifications epolicy Orchestrator, reportez-vous à la section Liste de produits et de composants à la page 282. Cette fonctionnalité est conçue pour avertir des utilisateurs spécifiques dès que les conditions d'une règle sont remplies. Ces conditions peuvent être diverses : # Détection d'un virus ou autre programme indésirable par votre logiciel antivirus. Même si la fonctionnalité prend en charge pratiquement tous les logiciels antivirus, les événements générés par VirusScan Enterprise 7.5 indiquent l'adresse IP de l'attaquant source de sorte que vous pouvez isoler l'ordinateur responsable de la contamination de votre environnement. # Attaques de virus. Par exemple, la réception de 1000 événements de détection de virus en l'espace de cinq minutes. # Evénements de conformité de McAfee System Compliance Profiler. Par exemple, la détection d'ordinateurs qui ne disposent pas des derniers correctifs Microsoft. # Conformité de haut niveau des événements du serveur epolicy Orchestrator. Par exemple, l'interruption avant terme d'une tâche de réplication. # Détection des systèmes non fiables. Cette fonctionnalité permet par ailleurs de configurer des règles de notification visant à exécuter des lignes de commande et à lancer des fichiers exécutables enregistrés lorsque certaines conditions sont réunies. 263

264 Notifications epolicy Orchestrator Mode de fonctionnement 12 Utilisation de cette fonctionnalité L'utilisation de cette fonctionnalité s'articule en quatre étapes : 1 Mode de fonctionnement à la page 264 Avant de planifier la configuration de vos règles, il est essentiel de comprendre comment la fonctionnalité interagit avec votre Répertoire et le reste de votre réseau. 2 Planification à la page 270 Avant de configurer la fonctionnalité ou de créer ses règles, vous devez déterminer pour celle-ci la méthode de mise en oeuvre la mieux adaptée à votre environnement. 3 Configuration de la fonctionnalité Notifications epolicy Orchestrator à la page 271 Avant de créer les règles de notification, définissez une liste de contacts dans laquelle sélectionner les destinataires des notifications pour chaque règle et décidez préalablement si vous souhaitez laisser les administrateurs de site consulter les règles globales et le journal des notifications. 4 Création et modification de règles à la page 274 Définissez ou modifiez les règles générant les notifications lors du traitement des événements par le serveur epolicy Orchestrator. Mode de fonctionnement Avant de planifier la mise en oeuvre de la fonctionnalité Notifications epolicy Orchestrator, il est important de comprendre la façon dont elle interagit avec epolicy Orchestrator et son Répertoire. Attention Cette fonctionnalité ne suit pas le modèle d'héritage adopté pour l'application des stratégies epolicy Orchestrator. Lorsque des événements surviennent sur des ordinateurs de votre environnement, ils sont transmis au serveur epolicy Orchestrator et les règles de notification (associées au groupe ou site qui contient les ordinateurs concernés et chaque groupe ou site parent) sont appliquées aux événements. Si les conditions de chacune de ces règles sont remplies, un message de notification est envoyé conformément aux paramètres de la règle. Ce modèle de conception vous permet de configurer des règles similaires, ou à l'inverse très différentes, aux divers niveaux de l'arborescence de la console, susceptibles d'utiliser eux aussi : # différents seuils pour l'envoi d'un message de notification. Par exemple, un administrateur de site peut vouloir recevoir une notification en cas de détection de virus sur 100 ordinateurs en l'espace de 10 minutes sur le site alors qu'un administrateur global veut uniquement être averti si des virus sont détectés sur 1000 ordinateurs sur la même période dans l'ensemble de l'environnement. # différents destinataires pour le message de notification. Vous pouvez décider d'envoyer un message de notification à un administrateur de site particulier si un nombre spécifié de détections de virus interviennent au sein de son site. Vous pouvez aussi faire en sorte que chaque administrateur de site reçoive un message de notification si les détections de virus dépassent un nombre spécifié dans l'ensemble du Répertoire. 264

265 Notifications epolicy Orchestrator Mode de fonctionnement 12 Cette section aborde les sujets suivants : # Limitation et agrégation à la page 265 # Scénarios : règles de notification et Répertoire à la page 265 # Règles par défaut à la page 267 Limitation et agrégation Vous pouvez configurer quand des messages de notification sont envoyés, en définissant des seuils en fonction de l'agrégation et de la limitation. Agrégation Utilisez l'agrégation pour déterminer les seuils d'événements à partir desquels la règle doit envoyer un message de notification. Ainsi, vous pouvez configurer la même règle pour envoyer un message de notification lorsque le serveur epolicy Orchestrator reçoit 100 événements de détection de virus émis par divers systèmes en une heure et chaque fois qu'il reçoit 1000 événements de détection de virus depuis n'importe quel système. Limitation Dès que vous avez configuré la règle visant à vous avertir d'une attaque probable, vous pouvez utiliser la limitation pour éviter de recevoir un nombre excessif de messages de notification. Si vous administrez un réseau de grande taille, il est possible que vous receviez des dizaines de milliers d'événements en une heure, se traduisant par l'envoi de milliers de messages de notification basés sur une seule règle. La fonctionnalité Notifications epolicy Orchestrator permet de limiter le nombre de messages de notification reçus en vertu d'une même règle. Vous pouvez, par exemple, spécifier dans cette même règle que vous ne souhaitez pas recevoir plus d'un message de notification par heure. Pour plus d'informations, reportez-vous à la section Création et modification de règles à la page 274. Scénarios : règles de notification et Répertoire Deux scénarios vont permettre d'illustrer la manière dont cette fonctionnalité interagit avec le Répertoire. Dans les deux cas, il est supposé que chaque groupe, chaque site et le Répertoire de l'arborescence de la console sont associés à une règle similaire. Ces règles sont toutes configurées pour envoyer un message de notification lorsque 100 événements d'infection virale sont envoyés par n'importe quel produit en l'espace de 60 minutes. 265

266 Notifications epolicy Orchestrator Mode de fonctionnement 12 Scénario n 1 Dans ce scénario, 100 infections virales sont détectées dans le Groupe2C en l'espace de 60 minutes un jour donné. Les conditions de ces règles configurées pour le Groupe2C, Site2 et le Répertoire sont réunies, ce qui se traduit par l'envoi de messages de notification pour chacune des configurations des diverses règles. Figure 12-1 Arborescence de la console 266

267 Notifications epolicy Orchestrator Mode de fonctionnement 12 Scénario n 2 Dans ce scénario, 50 infections virales sont détectées dans le Groupe2C et 50 infections virales dans le Groupe3B en l'espace de 60 minutes un jour donné. Le Répertoire est le seul noeud dont la règle peut être appliquée aux 100 événements. Par conséquent, seule la règle du Répertoire envoie des messages de notification en fonction de ces 100 événements. Figure 12-2 Arborescence de la console Règles par défaut Pour faciliter la mise en oeuvre de cette fonctionnalité, nous proposons six règles par défaut que vous pouvez activer pour exploiter immédiatement la notification, en attendant de vous familiariser avec ses nombreuses possibilités. Attention Dès qu'elles sont activées, ces règles par défaut envoient des messages de notification par à l'adresse indiquée dans le panneau Définition de l'adresse de messagerie de l'assistant d'installation. Vous avez la possibilité de modifier n'importe laquelle des règles par défaut. Notification quotidienne de produit inconnu Cette règle envoie un message de notification lors de la réception d'un événement provenant d'un produit inconnu. Elle envoie un message de notification une fois par jour au plus. Notification quotidienne de catégorie inconnue Cette règle envoie un message de notification lors de la réception d'un événement de catégorie inconnue provenant d'un produit quelconque. Elle envoie un message de notification une fois par jour au plus. 267

268 Notifications epolicy Orchestrator Mode de fonctionnement 12 Virus détecté mais pas supprimé Cette règle envoie un message de notification : # Lors de la réception d'événements Virus détecté mais pas supprimé provenant d'un produit quelconque. # Si le nombre d'événements générés en une heure est supérieur à # Une fois toutes les deux heures au plus. # Avec l'adresse IP de l'ordinateur source, les noms réels de la menace et les informations de produit réelles, si ces données sont disponibles. Virus détecté (analyse heuristique) mais pas supprimé Cette règle envoie un message de notification : # Lors de la réception d'événements Virus détecté (analyse heuristique) mais pas supprimé provenant d'un produit quelconque. # Si le nombre d'événements générés en une heure est supérieur à # Une fois toutes les deux heures au plus. # Avec l'adresse IP de l'ordinateur source, les noms réels de la menace et les informations de produit réelles, si ces données sont disponibles. Echec de la mise à jour ou de la réplication du Référentiel Cette règle envoie un message de notification : # Lors de la réception d'événements Echec de la mise à jour du Référentiel ou Echec de la réplication du Référentiel. Ordinateur non conforme détecté Cette règle s'applique à une tâche de serveur epolicy Orchestrator (Vérification de la conformité) qui contient en réalité quatre règles chargées de vérifier la conformité des éléments suivants : version des fichiers DAT, version du moteur, version de l'agent et version de VirusScan. Cette règle peut envoyer uniquement un événement par règle à chaque exécution de la tâche. Un événement Ordinateur non conforme détecté représente un ensemble de tous les ordinateurs détectés en vertu d'une règle donnée. Cette règle envoie un message de notification : # Lors de la réception d'événements Ordinateur non conforme détecté. # Une fois pour chaque règle de la tâche de serveur. Mise en route de la fonctionnalité avec les règles par défaut Avant d'activer l'une des règles par défaut : # Spécifiez le serveur de messagerie à partir duquel les messages de notification sont envoyés. Pour plus d'informations, reportez-vous à la section Configuration de base de la fonctionnalité Notifications epolicy Orchestrator à la page 271. # Assurez-vous que l'adresse du destinataire est bien celle censée recevoir les messages électroniques. Pour plus d'informations, reportez-vous à la section Liste de contacts de messagerie à la page

269 Notifications epolicy Orchestrator Définition des modalités de transmission des événements 12 Définition des modalités de transmission des événements Le serveur epolicy Orchestrator reçoit les notifications de l'agent CMA (Common Management Agent). Vous devez configurer ses pages de stratégie pour transmettre immédiatement les événements au serveur epolicy Orchestrator ou uniquement lors des intervalles de communication agent-serveur. Si vous optez pour l'envoi immédiat des événements, l'agent transmet tous les événements dès leur réception. Si vous souhaitez que tous les événements soient immédiatement envoyés au serveur epolicy Orchestrator afin qu'ils puissent être traités par la fonctionnalité Notifications epolicy Orchestrator dès qu'ils se produisent, configurez l'agent de sorte qu'il les envoie immédiatement. Si vous décidez ne pas les envoyer immédiatement, l'agent transmet uniquement les événements désignés comme prioritaires par le produit à l'origine de ceux-ci. Tous les autres événements sont uniquement envoyés au cours des intervalles de communication agent-serveur. Pour configurer la stratégie de l'agent epolicy Orchestrator : 1 Connectez-vous au serveur epolicy Orchestrator. 2 Sélectionnez le Répertoire ou le site, groupe ou ordinateur de votre choix puis sélectionnez l'onglet Stratégies dans le volet de détails supérieur. 3 Sélectionnez Agent epolicy Orchestrator Configuration dans le volet de détails supérieur. 4 Dans le volet de détails inférieur, sélectionnez l'onglet Evénements. 5 Désactivez la case à cocher Hériter. 6 Configurez les options de stratégie suivantes : Transmission des événements Sélectionnez Activer le chargement immédiat d'événements pour que l'agent transmette immédiatement les événements au serveur. Attention Nous recommandons l'activation de la transmission immédiate des événements si vous prévoyez d'utiliser la mise à jour globale pour distribuer les mises à niveau critiques. Un niveau de gravité élevé est affecté aux événements de mise à jour. Pour plus d'informations, reportez-vous à la section Utilisation de la mise à jour globale pour distribuer automatiquement et immédiatement les mises à jour à tous les clients à la page 136. Désactivez cette option dans le cas où l'agent doit uniquement transmettre les événements au prochain intervalle ASCI. Si cette option est sélectionnée, vous devez spécifier les éléments suivants : # Le niveau de gravité le plus faible des événements à envoyer au serveur dans Signaler tout événement dont la gravité est supérieure ou égale à. (Si, par exemple, vous sélectionnez Mineure, tous les événements de gravité mineure et de niveau supérieur sont transmis au serveur.) 269

270 Notifications epolicy Orchestrator Définition des événements à transmettre 12 # L'intervalle de transmission des événements dans Intervalle entre les chargements immédiats. L'intervalle sélectionné ici détermine la fréquence la plus élevée de transmission des événements. (Si, par exemple, vous sélectionnez 5 minutes, l'agent transmet alors les événements au serveur toutes les cinq minutes au plus.) # Le nombre maximal d'événements à envoyer simultanément dans Nombre maximum d'événements par chargement immédiat. (Si le nombre des événements dépasse cette limite, les événements restants sont envoyés lors de l'intervalle de transmission des événements suivant.) 7 Cliquez sur Appliquer tout pour enregistrer ces paramètres. Les modifications prendront effet lors de la prochaine communication agent-serveur. Définition des événements à transmettre Vous pouvez non seulement déterminer le moment auquel les événements sont transmis au serveur mais également sélectionner les évenements à transmettre. Note Si vous décidez de ne pas effectuer de sélection, tous les événements seront transmis. Cette option est définie par défaut. Pour sélectionner les événements à transmettre : 1 Connectez-vous au serveur epolicy Orchestrator. 2 Sélectionnez le serveur de base de données epolicy Orchestrator requis sous Reporting dans l'arborescence de la console et connectez-vous à celui-ci. 3 Sélectionnez Evénements sous le serveur de base de données dans l'arborescence de la console. 4 Sélectionnez l'onglet Filtrage dans le volet de détails. 5 Dans l'onglet Filtrage, sélectionnez Envoyer seulement les événements sélectionnés ci-dessus. 6 Sélectionnez les événements de votre choix dans la liste puis cliquez sur Appliquer. Planification Avant de créer les règles d'envoi des notifications, il est utile de planifier certains éléments : # Les types d'événements (produit et serveur) entraînant la génération et l'envoi d'un message de notification dans votre environnement. Pour plus d'informations, reportez-vous à la section Liste de produits et de composants à la page 282. # Les utilisateurs sélectionnés pour la réception des notifications. Il n'est pas toujours utile d'avertir l'administrateur du site B de l'échec d'une tâche de réplication dans le site A. En revanche, tous les administrateurs de site devraient être avertis de la découverte d'un fichier infecté dans le site A. 270

271 Notifications epolicy Orchestrator Configuration de la fonctionnalité Notifications epolicy Orchestrator 12 # Les types et les niveaux de seuils à configurer pour chaque règle. Il n'est pas toujours nécessaire de recevoir un message électronique à chaque détection d'un fichier infecté pendant une attaque. Par contre, vous pouvez choisir de recevoir un message toutes les cinq minutes au plus, indépendamment de la fréquence de réception de l'événement au niveau du serveur. # Les lignes de commandes ou exécutables enregistrés à exécuter lorsque les conditions d'une règle sont remplies. Configuration de la fonctionnalité Notifications epolicy Orchestrator Pour utiliser cette fonctionnalité, vous devez configurer plusieurs éléments : # Configuration de base de la fonctionnalité Notifications epolicy Orchestrator à la page 271 L'interface Configuration de base permet de spécifier certaines configurations d'interface ainsi que le serveur de messagerie à utiliser pour l'envoi des messages de notification. # Liste de contacts de messagerie à la page 272 Vous pouvez configurer une liste dans laquelle vous sélectionnez les destinataires des messages de notification. # Serveurs SNMP à la page 272 Vous pouvez spécifier une liste de serveurs SNMP à utiliser lors de la création des règles. De même, vous pouvez définir des règles qui prescrivent l'envoi d"interruptions SNMP à des serveurs SNMP lorsque leurs conditions de déclenchement d'un message de notification sont satisfaites. # Configuration de commandes externes à la page 274 Vous pouvez spécifier une liste de commandes externes à exécuter lorsque les conditions d'une règle sont remplies. Configuration de base de la fonctionnalité Notifications epolicy Orchestrator Si vous n'avez pas encore mis en oeuvre la fonctionnalité ou si vous voulez lui apporter des modifications, vous pouvez effectuer certaines configurations de base. Vous pouvez préciser ici certaines configurations de l'interface, les règles et les messages de notification que les administrateurs et les réviseurs de site peuvent afficher ainsi que le serveur de messagerie à partir duquel envoyer ces messages. 1 Connectez-vous à epolicy Orchestrator. 2 Sélectionnez Notifications sous le Répertoire dans l'arborescence de la console. 3 Sélectionnez l'onglet Configuration dans le volet de détails puis cliquez sur Configuration de base. 4 Sous Lié à l'interface utilisateur, sélectionnez les éléments suivants : # Nombre d'éléments à afficher par page Ce paramètre définit le nombre d'éléments affichés simultanément. Si le nombre d'éléments total est supérieur à cette valeur, le bouton Suivant s'affiche sur la page pour vous permettre de naviguer dans les autres jeux d'éléments de la taille définie. 271

272 Notifications epolicy Orchestrator Configuration de la fonctionnalité Notifications epolicy Orchestrator 12 # Délai d'actualisation automatique Activez la case à cocher de cette option puis sélectionnez le délai en secondes entre deux actualisations automatiques des tables de base de données. # Les administrateurs/contrôleurs de site peuvent afficher les notifications/règles du Répertoire Si cette option est sélectionnée, les administrateurs de site peuvent afficher les règles et les notifications globales. Sinon, ils ne peuvent consulter que leurs propres règles et notifications sans pouvoir les filtrer. Les administrateurs de site ne peuvent jamais modifier des règles globales. Attention 5 Sous Lié à l'interface utilisateur, entrez les données suivantes : # Le nom du serveur de messagerie. # L'adresse à afficher dans la ligne De du message de notification. Attention Il ne doit pas nécessairement s'agir de la même adresse que celle qui envoie le message de notification. Cette adresse ne sert qu'à compléter la ligne De, il peut s'agir de n'importe quelle chaîne de texte correspondant au format d'une adresse . 6 Cliquez sur OK. Liste de contacts de messagerie La liste de contacts de messagerie accélère la création de règles dans la mesure où elle permet de définir une liste d'adresses réutilisable. Pour configurer la liste de contacts de messagerie : La création d'une liste de contacts n'est pas obligatoire, mais peut se révéler pratique. Attention 1 Connectez-vous à epolicy Orchestrator. 2 Sélectionnez Notifications sous le serveur epolicy Orchestrator dans l'arborescence de la console. 3 Dans le volet de détails, sélectionnez l'onglet Configuration puis cliquez sur Contacts de messagerie. Cette page permet de spécifier les adresses des utilisateurs censés recevoir les notifications d'événement. 4 Cliquez sur Ajouter un contact et tapez le nom du destinataire ainsi que son adresse puis cliquez sur OK. Répétez la procédure autant de fois que nécessaire. Serveurs SNMP Vous pouvez configurer la fonctionnalité Notifications epolicy Orchestrator pour envoyer des interruptions SNMP (Simple Network Management Protocol) au serveur SNMP. De cette façon, vous pouvez recevoir les interruptions SNMP à l'emplacement même où vous pouvez utiliser votre application de gestion réseau pour afficher des informations détaillées sur les ordinateurs de votre environnement. 272

273 Notifications epolicy Orchestrator Configuration de la fonctionnalité Notifications epolicy Orchestrator 12 Pour utiliser cette fonctionnalité : # Ajout de serveurs SNMP à la page 273 # Importation de fichiers.mib à la page 273 Note La configuration de cette fonctionnalité ne nécessite aucun paramétrage complémentaire ni démarrage de service. Ajout de serveurs SNMP Pour être en mesure de recevoir une interruption SNMP, vous devez ajouter les informations relatives au serveur dans epolicy Orchestrator de sorte que ce dernier sache où envoyer l'interruption. Pour ajouter un serveur SNMP : 1 Connectez-vous à epolicy Orchestrator. 2 Sélectionnez Notifications sous le Répertoire dans l'arborescence de la console. 3 Sélectionnez l'onglet Configuration dans le volet de détails puis cliquez sur Serveurs SNMP. La page Serveurs SNMP qui apparaît affiche une liste des serveurs SNMP actuels. 4 Cliquez sur Ajouter un serveur SNMP, tapez le nom et l'adresse du serveur SNMP requis puis cliquez sur OK. Attention Si vous modifiez un serveur SNMP qui figure déjà dans la liste, cliquez dessus pour afficher ses paramètres. Suppression d'un serveur SNMP de la page Notifications epolicy Orchestrator Pour supprimer un serveur SNMP de la page Notifications epolicy Orchestrator, cliquez sur le bouton X dans la colonne Supprimer située en regard du serveur SNMP à supprimer de la liste. Importation de fichiers.mib Si vous définissez des règles d'envoi de messages de notification à un serveur SNMP via une interruption SNMP, vous devez importer les trois fichiers.mib. Ces fichiers figurent à l'emplacement suivant : C:\Program files\network Associates\ePO\3.5.0\MIB Il s'agit de NAI.MIB et TVDMIB.MIB et EPOMIB.MIB. Ces fichiers permettent au programme de gestion réseau de convertir les données contenues dans les interruptions SNMP envoyées par la fonctionnalité Notifications epolicy Orchestrator en texte compréhensible. Pour des instructions sur l'importation et la mise en oeuvre des fichiers.mib, consultez la documentation produit de votre programme de gestion réseau. Veillez à importer les fichiers.mib dans l'ordre suivant : NAI.MIB, TVDMIB.MIB puis EPOMIB.MIB. 273

274 Notifications epolicy Orchestrator Configuration de la fonctionnalité Notifications epolicy Orchestrator 12 Configuration de commandes externes Vous pouvez configurer les règles de notification epolicy Orchestrator de sorte qu'une commande soit exécutée lors de leur déclenchement. Vous devez d'abord ajouter les fichiers exécutables enregistrés avant d'ajouter la ligne de commande qui y fait référence. Attention Vous ne pouvez configurer des fichiers exécutables enregistrés que sur le serveur epolicy Orchestrator. Vous ne pouvez pas le faire à partir d'une console distante. Vous pouvez configurer une liste de commandes externes que vous pouvez sélectionner lors de la création ou de la modification de règles. Attention Avant de configurer la liste des commandes externes, vous devez placer les commandes externes dans un emplacement spécifique de votre ordinateur. Pour créer la liste de commandes externes : 1 Connectez-vous à epolicy Orchestrator. 2 Sélectionnez Notifications sous le Répertoire dans l'arborescence de la console. 3 Sélectionnez l'onglet Configuration dans le volet de détails puis cliquez sur Commandes externes. La page Commandes externes apparaît et affiche deux listes : Lignes de commande et Fichiers exécutables enregistrés. 4 Pour ajouter une ligne de commande, cliquez sur Ajouter une ligne de commande. La page Ajouter ou modifier une ligne de commande apparaît. Pour ajouter un fichier exécutable enregistré, cliquez sur Ajouter un fichier exécutable enregistré. La page Ajouter ou modifier un fichier exécutable enregistré apparaît. Note Vous pouvez configurer plusieurs lignes de commande se rapportant à un même fichier exécutable enregistré. 5 Entrez le nom de la commande externe. 6 Tapez ou cliquez sur Parcourir pour accéder à la commande externe que la règle doit exécuter lorsqu'elle est déclenchée. 7 Cliquez sur OK pour ajouter la commande externe à la liste. 8 Répétez la procédure (étape 4 à étape 7) autant de fois que nécessaire. Attention Vous pouvez ajouter les lignes de commande aux règles lorsque vous les créez ou que vous les modifiez. Création et modification de règles Les règles permettent de définir quand, comment et à qui envoyer les notifications. Les règles de notification ne sont soumises à aucun ordre de dépendance. Note 274

275 Notifications epolicy Orchestrator Configuration de la fonctionnalité Notifications epolicy Orchestrator 12 La création et la modification d'une règle est un processus qui s'effectue en plusieurs étapes : # Etape 1 : Description de la règle à la page 275 # Etape 2 : Définition des filtres de la règle à la page 276 # Etape 3 : Définition des seuils de la règle à la page 276 # Etape 4 : Configuration des notifications de la règle à la page 277 Etape 1 : Description de la règle La page Description de la règle vous permet de : # définir le Répertoire, le site ou le groupe auquel s'applique la règle ; # nommer et décrire la règle ; # définir une priorité pour le message de notification. Pour commencer à créer ou à modifier une règle : 1 Connectez-vous au serveur epolicy Orchestrator approprié et sélectionnez Notifications dans l'arborescence de la console. 2 Dans le volet de détails, sélectionnez l'onglet Règles. 3 Si vous souhaitez créer une nouvelle règle, cliquez sur Ajouter une règle. L'Assistant Ajout ou modification d'une règle de notification apparaît. Pour modifier une règle existante, cliquez sur la règle de votre choix dans la liste Règles de notification. L'Assistant Ajout ou modification d'une règle de notification apparaît. Les pages de l'assistant sont complétées par défaut avec les données spécifiques à la règle sélectionnée. 4 Dans la page Description de la règle, cliquez sur Parcourir pour sélectionner le Répertoire ou un site ou groupe de l'arborescence de la console auquel appliquer la règle. 5 Tapez le nom de la règle de votre choix. Attention Les noms de règle de chaque serveur epolicy Orchestrator doivent être uniques. Si, par exemple, un administrateur de site crée une règle nommée Alerte d'urgence, aucun autre administrateur (global ou de site) ne peut créer une règle du même nom. 6 Tapez la description de la règle, le cas échéant. Il doit s'agir d'un texte permettant de la différencier clairement des autres règles. 7 Définissez la priorité de la règle à la valeur Elevée, Moyenne ou Faible. Attention La priorité de la règle est utilisée pour définir un indicateur sur le message électronique envoyé dans la Boîte de réception du destinataire. Ainsi, la sélection de la valeur Elevée place un point d'exclamation rouge en regard du message de notification et la sélection de la valeur Faible une flèche bleue pointant vers le bas. La priorité n'influence d'aucune manière le traitement d'une règle ou d'un événement. 8 Cliquez sur Suivant. 275

276 Notifications epolicy Orchestrator Configuration de la fonctionnalité Notifications epolicy Orchestrator 12 Etape 2 : Définition des filtres de la règle Dans la page Définition des filtres : 1 Sélectionnez les produits dont les événements déclenchent cette règle. 2 Sélectionnez les catégories d'événements déclenchant cette règle. Attention Tant pour Produits que pour Catégories, les sélections doivent être vraies pour que la règle se déclenche et envoie une notification. Si, par exemple, vous sélectionnez VirusScan et Virus détecté mais PAS nettoyé, la règle n'envoie pas de message pour l'événement Dr. Ahn Virus détecté mais PAS nettoyé. Si seule la catégorie de l'événement est importante, sélectionnez N'importe quel produit. 3 Dans Nom de la menace, définissez la correspondance de modèles à utiliser pour la comparaison des menaces. a Dans la liste déroulante, sélectionnez un opérateur. b Tapez le texte que l'opérateur doit utiliser, par exemple, le nom d'un virus. Si, par exemple, vous sélectionnez Contient comme opérateur, tapez ensuite nimda dans la zone de texte. Après quoi, le système analyse les événements et recherche toute ligne de texte contenant nimda. Attention Si vous optez pour un filtre basé sur le nom de la menace, les sélections effectuées dans Produits, Catégories et Nom de la menace doivent toutes être vraies pour que la règle envoie un message de notification. 4 Cliquez sur Suivant. Etape 3 : Définition des seuils de la règle La page Définition des seuils permet de définir les modalités de déclenchement de l'envoi d'un message de notification par la règle. Dans la page Définition des seuils : 1 Déterminez si vous souhaitez envoyer une notification par événement ou une notification de plusieurs événements survenant dans un délai défini. (Si vous optez pour cette dernière solution, définissez le délai en minutes, jours ou semaines.) 2 Si vous avez sélectionné l'option Pour plusieurs événements en, vous pouvez également choisir d'envoyer une notification lorsque les conditions spécifiées sont remplies. Il s'agit notamment des conditions suivantes : a Lorsque le nombre d'ordinateurs concernés est au moins égal à un nombre défini d'ordinateurs. b Lorsque le nombre d'événements est au moins égal à un nombre défini d'événements. c Les deux (en sélectionnant les deux options). Attention Vous pouvez sélectionner une seule option ou les deux. Vous pouvez, par exemple, configurer la règle afin d'envoyer une notification si le nombre d'ordinateurs concernés dépasse 300, ou si le nombre d'événements dépasse 3000, le premier des deux seuils dépassé déclenchant la règle. 276

277 Notifications epolicy Orchestrator Configuration de la fonctionnalité Notifications epolicy Orchestrator 12 3 Le cas échéant, sélectionnez Au plus, envoyer une notification tou(te)s les pour choisir le délai d'attente avant que cette règle puisse à nouveau envoyer des messages de notification. Ce délai peut être défini en minutes, en heures ou en jours. 4 Cliquez sur Suivant. Etape 4 : Configuration des notifications de la règle Vous pouvez configurer le message, la taille du message en fonction de la cible, le type de message et les destinataires du message. Dans la page Création des notifications : 1 Pour envoyer le message de notification par courrier électronique, SMS ou pager, cliquez sur Ajouter un message électronique pour sélectionner le type de message de notification à ajouter. # standard Sélectionnez cette option pour créer une ligne d'objet et un corps de message à envoyer à une personne par . # SMS Sélectionnez cette option pour définir un court message à envoyer à un téléphone portable doté de fonctionnalités SMS. # Pager texte Sélectionnez cette option pour définir un court message à envoyer à un pager spécifié. Pour envoyer le message de notification en tant qu'interruption SNMP, cliquez sur Ajouter une interruption SNMP puis sélectionnez le serveur SNMP requis ainsi que les variables à inclure dans l'interruption : a Sélectionnez le Serveur SNMP dans la liste déroulante. b Sélectionnez les variables à inclure dans l'interruption SNMP, parmi lesquelles : # Nom de la règle de notification # Site de la règle # Règle définie sur # Produits sélectionnés # Catégories sélectionnées # Nom de règle ou de menace sélectionné # Heure du premier événement # ID des événements # Description des événements # Nombre réel d'ordinateurs # Nombre réel d'événements # Produits effectifs # Catégories effectives # Noms de règle ou de menace réels # Ordinateurs sources # Adresses IP des ordinateurs concernés # Nom de l'ordinateur concerné # Heure d'envoi de la notification # Objets concernés # Description des événements Attention Certains événements ne donnent pas ce genre d'informations. Si une des sélections que vous avez choisi d'inclure dans la notification n'y figure pas, cela signifie que l'information n'est pas disponible dans le fichier de l'événement. c Cliquez sur Enregistrer puis passez à l'étape 5. 2 Choisissez l'adresse requise dans la liste déroulante ou entrez-en une autre. 277

278 Notifications epolicy Orchestrator Configuration de la fonctionnalité Notifications epolicy Orchestrator 12 3 Complétez la ligne Objet et le texte du corps du message électronique de notification. Attention Si vous avez sélectionné SMS, vous ne pouvez indiquer le texte du message que dans la zone de texte Objet. Si vous avez sélectionné Pager texte, vous ne pouvez indiquer le texte du message que dans la zone de texte Corps. 4 Le cas échéant, sélectionnez une variable à insérer dans la liste déroulante Insérer une variable puis cliquez sur le bouton Objet ou Corps pour placer la variable dans une de ces lignes du message de notification. Répétez la procédure autant de fois que nécessaire. Les variables possibles sont répertoriées dans le tableau ci-dessous : # Nom de la règle de notification # Site de la règle # Règle définie sur # Produits sélectionnés # Catégories sélectionnées # Nom de règle ou de menace sélectionné # Heure du premier événement # ID des événements # Description des événements # Nombre réel d'ordinateurs # Nombre réel d'événements # Produits effectifs # Catégories effectives # Noms de règle ou de menace réels # Ordinateurs sources # Adresses IP des ordinateurs concernés # Nom de l'ordinateur concerné # Heure d'envoi de la notification # Objets concernés # Description des événements Attention Certains événements ne donnent pas ce genre d'informations. Si une des sélections que vous avez choisi d'inclure dans la notification n'y figure pas, cela signifie que l'information n'est pas disponible dans le fichier de l'événement. 5 Répétez la procédure (étape 1 à étape 4) autant de fois que nécessaire. 6 Cliquez sur Enregistrer. 7 Pour ajouter une commande externe à exécuter lors du déclenchement de la règle, cliquez sur Ajouter une commande externe dans la page Ajout ou modification d'une règle de notification. 8 Sélectionnez une commande externe dans la liste déroulante Commande externe. 9 Cliquez sur Enregistrer. 10 Répétez la procédure (étape 7 à étape 9) autant que nécessaire. 11 Cliquez sur Suivant et passez en revue les sélections opérées pour la règle. Ensuite, si vous le souhaitez, sélectionnez Activer cette règle puis cliquez sur Terminer. 278

279 Notifications epolicy Orchestrator Affichage de l'historique des notifications 12 Affichage de l'historique des notifications La fonctionnalité Notifications epolicy Orchestrator permet également d'afficher l'historique des notifications envoyées. Vous avez la possibilité d'afficher une synthèse de toutes les notifications envoyées, par produit ou catégorie, ou encore une liste de toutes les notifications spécifiques envoyées. # Synthèse des notifications # Liste des notifications Synthèse des notifications La page Synthèse des notifications permet d'afficher une synthèse de la quantité de notifications envoyées par produit ou catégorie : 1 Connectez-vous à epolicy Orchestrator. 2 Sélectionnez Notifications sous le Répertoire dans l'arborescence de la console. 3 Sélectionnez l'onglet Journal puis cliquez sur Synthèse. 4 Sélectionnez l'heure en fonction de laquelle vous voulez limiter les données affichées dans la synthèse des notifications. Les options possibles incluent : # Toutes les durées # Dernière heure # 8 dernières heures # Dernier jour # Dernière semaine 5 Sélectionnez le site auquel limiter les données affichées dans la synthèse des notifications. Vous pouvez sélectionner tous les sites ou seuls certains sites de votre choix. Attention Si l'administrateur global n'a pas choisi d'autoriser les réviseurs et les administrateurs de site à afficher toutes les notifications et les règles, ces derniers ne peuvent consulter que les notifications et les règles de leur propre site. 6 Dans Grouper par, sélectionnez Produit, Catégorie, Priorité ou Nom de la règle dans la liste déroulante. Le nombre de notifications envoyées correspondant à la sélection effectuée dans Grouper par s'affiche. Liste des notifications La liste des notifications permet d'afficher une liste de toutes les notifications envoyées. Cette liste peut être triée en fonction des données de n'importe quelle colonne en cliquant sur l'intitulé de la colonne. 1 Connectez-vous à epolicy Orchestrator. 2 Sélectionnez Notifications sous le Répertoire dans l'arborescence de la console. 3 Sélectionnez l'onglet Journal puis cliquez sur Liste. 279

280 Notifications epolicy Orchestrator Affichage de l'historique des notifications 12 4 Cliquez sur l'un des intitulés de colonne (par exemple Type de notification) pour trier la liste en fonction de cette colonne. Attention Si l'administrateur global n'a pas choisi d'autoriser les réviseurs et les administrateurs de site à afficher toutes les notifications et les règles, ces derniers ne peuvent afficher que les notifications et les règles de leur propre site. Détails de la notification Cliquez sur l'une des notifications figurant dans la page Liste des notifications pour en afficher les détails, et notamment : # Heure d'envoi de la notification # Nom de la règle de notification # Priorité de la règle # Site de la règle # Heure du premier événement # Règle définie sur # Nombre d'événements effectif # Produits effectifs # Nombre d'ordinateurs # Produits sélectionnés # Adresses IP des ordinateurs # Catégories effectives concernés # Noms des ordinateurs # Catégories sélectionnées concernés # Ordinateurs sources # Noms de règle ou de menace réels # Etat de notification # Noms de règle ou de menace sélectionnés # Type de notification # Objet du message # ID des événements # Description des événements # Objets concernés # Informations complémentaires Utilisation de filtres personnalisés Les filtres personnalisés offrent de nombreuses possibilités de configuration de l'affichage de la liste des notifications. En définissant un filtre, vous pouvez choisir d'inclure ou d'exclure de la liste affichée des éléments spécifiques du journal des notifications. La fonctionnalité Notifications epolicy Orchestrator permet de créer plusieurs conditions de filtrage de la liste des notifications. Vous pouvez filtrer les éléments du journal de notifications en fonction : # des sites ; # des produits reçus ; # des catégories d'événements effectives ; # de la priorité du message de notification ; # des noms de règle. Pour créer un filtre personnalisé : 1 Connectez-vous à epolicy Orchestrator. 2 Sélectionnez Notifications dans l'arborescence de la console. 280

281 Notifications epolicy Orchestrator Affichage de l'historique des notifications 12 3 Sélectionnez l'onglet Journal puis Liste dans le volet de détails. 4 Cliquez sur Filtre personnalisé. La page Filtre personnalisé s'affiche. 5 Cliquez sur Ajouter une condition. 6 Choisissez de filtrer la liste en fonction d'un ou plusieurs des éléments suivants : # Site Sélectionnez Site dans la liste déroulante Propriété, est ou n'est pas dans la liste déroulante Comparaison, puis le nom du site dans la liste déroulante Valeur. # Produits reçus Sélectionnez Produits reçus dans la liste déroulante Propriété, contient ou ne contient pas dans la liste déroulante Comparaison puis le produit dans la liste déroulante Valeur. # Catégories effectives Sélectionnez Catégories effectives dans la liste déroulante Propriété, contient ou ne contient pas dans la liste déroulante Comparaison puis la catégorie d'événements dans la liste déroulante Valeur. # Priorité Sélectionnez Priorité dans la liste déroulante Propriété, est ou n'est pas dans la liste déroulante Comparaison, puis la priorité de notification dans la liste déroulante Valeur. # Nom de la règle Sélectionnez Nom de la règle dans la liste déroulante Propriété, est ou n'est pas dans la liste déroulante Comparaison puis le nom de la règle dans la liste déroulante Valeur. 7 Répétez l'étape 5 et l'étape 6 autant de fois que nécessaire jusqu'à ce que toutes les conditions de filtrage de la liste soient définies. 8 Cliquez sur Filtrer. La page Liste des notifications réapparaît et affiche la liste filtrée. 281

282 Notifications epolicy Orchestrator Affichage de l'historique des notifications 12 Liste de produits et de composants Vous pouvez configurer les règles pour générer des messages de notification pour des catégories d'événements spécifiques ainsi que des produits et des composants particuliers. La liste ci-dessous répertorie les produits et les composants pour lesquels il est possible de configurer des règles ainsi que toutes les catégories d'événements possibles. Produits et composants Dr. Ahn Desktop Firewall Entercept Serveur epo Agent epo GroupShield Domino GroupShield pour Exchange System Compliance Profiler Symantec NAV NetShield NetShield pour NetWare PortalShield Stinger ThreatScan Produit inconnu Virex VirusScan VirusScan PDA WebShield LinuxShield Catégories d'événements possibles Violation des règles de protection de l'accès détectée et bloquée Violation des règles de protection de l'accès détectée et NON bloquée Contenu ou fichier interdit détecté et NON supprimé Contenu ou fichier interdit détecté et supprimé Mode de quarantaine activé pour l'ordinateur Contenu du message filtré ou bloqué Fichier crypté/corrompu détecté et supprimé Règle de pare-feu déclenchée Virus détecté (heuristique) et NON supprimé Virus détecté (heuristique) et supprimé Programme indésirable détecté (heuristique) et NON supprimé Programme indésirable détecté (heuristique) et supprimé Intrusion détectée Violation des règles de System Compliance Profiler Ordinateur non conforme détecté Fonctionnement normal Analyse à l'accès désactivée Echec de l'application des stratégies Echec de la mise à jour ou de la réplication du Référentiel Analyse annulée Résultats de l'analyse des éléments de la ligne Echec du déploiement du logiciel Logiciel déployé avec succès Défaillance ou erreur logicielle Spam détecté et traité Catégorie inconnue Programme indésirable détecté et NON supprimé Programme indésirable détecté et supprimé Echec de la mise à jour/niveau Mise à jour/niveau réussie Virus détecté et NON supprimé Virus détecté et supprimé 282

283 Notifications epolicy Orchestrator Questions fréquemment posées (FAQ) 12 Questions fréquemment posées (FAQ) Si je définis une règle de notification pour les détections de virus, est-il obligatoire de recevoir un message de notification pour chaque événement reçu lors d'une attaque? Non. Vous pouvez configurer les règles pour qu'une notification ne soit envoyée qu'une seule fois sur la base d'un nombre d'événements spécifié dans un délai défini ou envoyée une seule et unique fois au cours d'une période spécifiée. Puis-je créer une règle qui génère des notifications à plusieurs destinataires? Oui. Vous pouvez indiquer plusieurs adresses dans l'assistant Ajout ou modification d'une règle de notification. Puis-je créer une règle qui génère des notifications envoyées sous plusieurs formats ( standard, SMS, pager texte ou interruption SNMP)? Oui. Lorsque vous sélectionnez les adresses des destinataires des notifications dans la page Création des notifications de l'assistant Ajout ou modification d'une règle de notification, vous pouvez sélectionner le type de message de votre choix. Ajoutez ensuite les destinataires et définissez le message. Puis, le cas échéant, répétez l'opération pour chaque type de message. 283

284 SECTION 5 Valeur préventive de la maintenance périodique Effectuez des tâches de maintenance régulières, à périodicité quotidienne ou hebdomadaire : vous assurerez ce faisant le bon fonctionnement à long terme d'epolicy Orchestrator. Commencez par exécuter des rapports dans epolicy Orchestrator afin de surveiller votre installation et de contrôler son état de santé. Dès qu'une modification est apportée au réseau, répercutez-la sur le Répertoire des ordinateurs gérés. Réalisez des tâches de maintenance de routine sur votre base de données epolicy Orchestrator pour optimiser les performances et sécuriser les données importantes. Enfin, suivez les quelques suggestions et conseils que vous propose cette section pour mieux vous préparer à l'éventualité d'attaques virales et pour mieux y faire face lorsqu'elles se produisent. Chapitre 13, Rapports Mise en route Chapitre 14, Maintenance du Répertoire Chapitre 15, Prévention et réaction aux attaques de virus Chapitre 16, Maintenance des bases de données epolicy Orchestrator

285 13 Rapports Mise en route Introduction à la génération de rapports dans epolicy Orchestrator Vous pouvez générer des rapports et des requêtes pour un groupe d'ordinateurs clients sélectionnés. Vous pouvez également filtrer les résultats des rapports par produit ou par ordinateur ; par exemple, nom du produit, numéro de version du produit ou système d'exploitation. Les rapports peuvent être exportés dans divers formats de fichier courants en vue d'être distribués à des utilisateurs ou à des groupes pertinents de votre organisation. Les rapports epolicy Orchestrator offrent diverses possibilités : # Filtrage du Répertoire pour collecter uniquement les informations que vous souhaitez visualiser. Lors de la définition du filtre, vous pouvez choisir la partie de l'arborescence de la console epolicy Orchestrator incluse dans le rapport. # Filtrage des données, en utilisant des opérateurs logiques, afin de limiter avec précision les données retournées pour construire le rapport. # Génération de rapports graphiques à partir des informations de la base de données et filtrage des rapports en fonction de vos besoins. Vous pouvez imprimer les rapports et les exporter pour les utiliser dans d'autres logiciels. # Exécution de requêtes sur des ordinateurs, des événements et des installations. Contenu de ce chapitre Ce chapitre constitue uniquement une introduction à la génération de rapports. Il ne décrit dans le détail ni le fonctionnement des rapports dans epolicy Orchestrator, ni les fonctionnalités de génération de rapports avancées telles que la définition de filtres ou la création de rapports et de requêtes personnalisés. Pour des informations plus détaillées sur la génération de rapports dans epolicy Orchestrator, reportez-vous au Guide d'implémentation - Rapports et requêtes. Cette section aborde les sujets suivants : # A propos des rapports prédéfinis dans epolicy Orchestrator # Génération d'un rapport dans epolicy Orchestrator # Affichage des résultats du rapport dans la fenêtre de rapport # Impression ou exportation de rapports dans des formats pour publication # Exécution de requêtes pour afficher les détails # Enregistrement de rapports et de requêtes filtrés en tant que modèles # Ecriture de rapports personnalisés dans Crystal Reports 285

286 Rapports Mise en route A propos des rapports prédéfinis dans epolicy Orchestrator 13 A propos des rapports prédéfinis dans epolicy Orchestrator L'agent epolicy Orchestrator présent sur les systèmes clients communique une grande variété d'informations utiles au serveur. Ces informations sont stockées dans la base de données de rapports et peuvent faire l'objet de rapports et de requêtes compilés par vos soins. Plus de 40 rapports prédéfinis sont fournis avec epolicy Orchestrator. Les rapports par défaut peuvent être classés dans deux catégories principales : les rapports de couverture et les rapports d'infection. Outre les rapports disponibles via epolicy Orchestrator, vous pouvez également créer vos propres modèles de rapport à l'aide de Crystal Reports 8.0. Qu'est-ce que le référentiel de rapports? Le référentiel de rapports contient des rapports et des requêtes prédéfinis fournis avec epolicy Orchestrator ainsi que les éventuels rapports et requêtes personnalisés que vous avez créés. Vous avez la possibilité d'organiser et de gérer le référentiel de rapports comme bon vous semble. Il est possible d'ajouter des rapports que vous exportez sous la forme de modèles de rapport (par exemple pour enregistrer des sélections personnalisées effectuées lors de la génération du rapport) ou des modèles de rapport personnalisés. Ces modèles de rapport peuvent être classés suivant des groupes logiques. Par exemple, vous pouvez regrouper les rapports que vous exécutez chaque jour, chaque semaine et chaque mois dans des groupes de rapports portant le même nom. Des rapports de couverture pour connaître le degré d'achèvement du déploiement à l'aide d'epolicy Orchestrator Les rapports de couverture permettent à l'administrateur de mesurer rapidement la conformité de son environnement avec les stratégies antivirus. Ils fournissent des instantanés de la protection antivirus dont bénéficient actuellement les ordinateurs. Ils sont basés sur les propriétés des ordinateurs et des produits stockées dans la base de données du serveur. Les informations de couverture indiquent par exemple le logiciel de protection antivirus déployé ou encore les versions des fichiers DAT et du moteur installés, ainsi que les clients concernés. Les rapports de conformité proposent une représentation graphique fort pratique des problèmes susceptibles de se poser avec la couverture epolicy Orchestrator, comme l'impossibilité d'appliquer des mises à jour de fichiers DAT sur des ordinateurs spécifiques. Il est conseillé de les générer et de les examiner fréquemment pour savoir comment améliorer la couverture epolicy Orchestrator. Des rapports d'infection pour traquer les virus détectés Les rapports d'infection ont une autre fonction, à savoir vous avertir des virus effectivement détectés dans votre réseau. Ils répertorient les ordinateurs présentant le plus grand nombre de détections de virus (le plus souvent les serveurs de messagerie avec GroupShield ou les passerelles Internet avec WebShield). Ils dressent également la liste des virus spécifiques identifiés et des actions entreprises par le logiciel de protection antivirus déployé dans votre réseau. 286

287 Rapports Mise en route Génération d'un rapport dans epolicy Orchestrator 13 Affichage d'informations de synthèse et accès aux niveaux de détail inférieurs L'emploi d'epolicy Orchestrator procure un autre avantage : il permet d'obtenir des informations synthétiques et détaillées d'un même rapport. Cette section passe en revue différents rapports et explique l'accès aux niveaux inférieurs en vue d'une analyse détaillée des données. Les rapports de synthèse peuvent se révéler très utiles également en rappelant au personnel de votre organisation l'efficacité d'epolicy Orchestrator. Plusieurs mois après le déploiement complet d'epolicy Orchestrator, générez un rapport Top 10 des virus détectés. Nombreux sont ceux qui seront étonnés face au nombre impressionnant de virus qu'epolicy Orchestrator détecte, neutralise ou supprime régulièrement. Contrôle de l'accès et filtrage des résultats Vous pouvez contrôler le degré de visibilité qu'ont les différents utilisateurs epolicy Orchestrator, tels que les administrateurs globaux ou les réviseurs de site, sur les informations des rapports. Les administrateurs et réviseurs de site peuvent uniquement générer un rapport sur les ordinateurs clients présents dans des sites pour lesquels ils disposent des droits d'accès. Génération d'un rapport dans epolicy Orchestrator Plusieurs possibilités s'offrent à vous pour contrôler les données figurant dans les rapports. Par exemple, vous pouvez définir le numéro de version des fichiers de signatures de virus, des moteurs d'analyse antivirus et des produits pris en charge qui doivent être installés sur les ordinateurs clients afin de les rendre compatibles avec le logiciel antivirus et de sécurité de votre entreprise. Vous pouvez en outre limiter les résultats des rapports d'après des critères de produit sélectionnés (par exemple, nom d'ordinateur, système d'exploitation, nom du virus ou action appliquée aux fichiers infectés). Une fois les résultats d'un rapport affichés, vous pouvez effectuer un certain nombre de tâches sur les données. Vous pouvez afficher les détails des données de rapport souhaitées (par exemple, pour déterminer les ordinateurs clients dépourvus d'une version conforme de VirusScan). Certains rapports proposent même des liens vers d'autres rapports, appelés sous-rapports, qui fournissent des données sur le rapport actuel. Vous pouvez également imprimer les rapports ou exporter les données de rapport dans différents formats de fichier, y compris HTML et Microsoft Excel. Génération d'un rapport de synthèse sur la protection du produit Pour exécuter un rapport Synthèse de la protection du produit : 1 Dans l'arborescence de la console située dans le volet gauche, sélectionnez Rapports Bases de données epo epo_serveur_epo, serveur_epo étant le nom de la base de données epolicy Orchestrator prise en exemple. 2 Si vous êtes invité à vous connecter à la base de données, tapez votre nom d'utilisateur MSDE sa et le mot de passe associé que vous avez créés lors de l'installation de la console et de la base de données. 3 Sélectionnez Reporting Anti-Virus Couverture Synthèse de la protection du produit. 287

288 Rapports Mise en route Génération d'un rapport dans epolicy Orchestrator 13 4 Sélectionnez Non pour indiquer que vous ne voulez pas définir de filtre de données. Patientez pendant la génération du rapport par epolicy Orchestrator. Figure 13-1 Le rapport Synthèse de la protection du produit indique que VirusScan Enterprise a été installé avec succès sur tous les serveurs et postes de travail. 288

289 Rapports Mise en route Affichage des résultats du rapport dans la fenêtre de rapport 13 Affichage des résultats du rapport dans la fenêtre de rapport Les résultats des rapports apparaissent dans la fenêtre de rapport. Vous utilisez cette fenêtre exclusivement pour manipuler des rapports générés, y compris pour afficher les détails des données de rapport, imprimer des rapports et exporter les données de rapport. Pour cette raison, il est important de connaître les composants de la fenêtre de rapport avant de commencer à utiliser des rapports. Figure 13-2 Mise en évidence des données du rapport Sélectionnez les éléments que vous souhaitez afficher en détail. Si aucune donnée supplémentaire n'apparaît, vous avez atteint la section des détails du rapport pour les données sélectionnées. Figure 13-3 Affichage des détails des données du rapport 289

290 Rapports Mise en route Impression ou exportation de rapports dans des formats pour publication 13 Impression ou exportation de rapports dans des formats pour publication Après avoir généré un rapport, vous pouvez l'imprimer sur une imprimante réseau ou l'exporter dans divers formats standard tels qu'un document PDF Adobe, une feuille de calcul Microsoft Excel ou une page web HTML. Dans le cadre de votre fonction d'administrateur epolicy Orchestrator, il est important de distribuer les rapports ou de les rendre accessibles pour affichage. Vous pouvez publier sur le site web de votre entreprise un rapport de synthèse quotidien sur la conformité des fichiers DAT ou sur le top 10 des virus détectés. Vous pouvez distribuer un rapport hebdomadaire au format PDF qui propose des informations détaillées sur la sécurité et les infections virales aux utilisateurs pertinents de votre organisation afin qu'ils puissent plus facilement résoudre les problèmes rencontrés. Exemples de formats d'exportation courants : # Adobe Acrobat (PDF) # Crystal Reports (RPT) # Data Interchange Format (DIF) # HTML et XML # Texte (délimité par des tabulations) # Document Microsoft Word et RTF # Microsoft Excel Exportation de données de rapport dans d'autres formats de fichier 1 Après avoir généré le rapport, cliquez sur Exporter dans la barre d'outils de rapport. 2 Dans la boîte de dialogue Exporter, sélectionnez le format de rapport voulu. 3 Cliquez sur OK. La boîte de dialogue Choisir le fichier d'exportation s'ouvre. 4 Spécifiez le nom et l'emplacement du fichier, puis cliquez sur Enregistrer. Exécution de requêtes pour afficher les détails Les requêtes permettent d'obtenir une vue unique et spécifique. Elles peuvent être une synthèse de groupe ou une vue d'un point détaillé. Elles sont exécutées plus rapidement que les rapports, mais elles ne supportent ni l'accès aux niveaux inférieurs, ni certains filtrages. Les requêtes affichent les données sous la forme d'un tableau brut. Elles prennent en charge le filtrage du Répertoire et la création de nouvelles requêtes SQL utilisateur. En revanche, elles ne prennent en charge ni les filtres de données, ni l'accès aux niveaux inférieurs, ni les fonctionnalités de sous-rapport offertes par les rapports. Outre les requêtes prédéfinies disponibles, vous pouvez également créer vos propres requêtes personnalisées pour peu que vous sachiez écrire du code SQL. Vous pouvez également actualiser les données de la requête ou atteindre des lignes spécifiques dans une requête. 290

291 Rapports Mise en route Enregistrement de rapports et de requêtes filtrés en tant que modèles 13 Pour créer des requêtes en utilisant les données de la base de données epolicy Orchestrator sélectionnée : 1 Connectez-vous au serveur de base de données epolicy Orchestrator de votre choix. 2 Pour limiter les résultats aux ordinateurs clients d'un site ou d'un groupe sélectionné, définissez un filtre du Répertoire. 3 Dans l'arborescence de la console sous Reporting Bases de données epo <SERVEUR DE BASE DE DONNEES> Requêtes <GROUPE DE REQUETES>, cliquez avec le bouton droit sur une <REQUETE>, puis sélectionnez Exécuter. 4 La requête correspondante s'affiche dans le volet de détails. 5 Pour accéder à une ligne spécifique de la requête : a Cliquez avec le bouton droit à un endroit quelconque de la requête, puis cliquez sur Ligne. La boîte de dialogue Atteindre la ligne s'ouvre. b Tapez ou sélectionnez le numéro de ligne, puis cliquez sur OK. 6 Si vous voulez actualiser les données de la requête, cliquez avec le bouton droit à un endroit quelconque de la requête et sélectionnez Exécuter. Attention Vous pouvez copier et coller les résultats d'une requête dans d'autres applications telles que Microsoft Excel. Enregistrement de rapports et de requêtes filtrés en tant que modèles La procédure ci-dessous permet d'enregistrer les sélections effectuées dans les boîtes de dialogue Standards de protection actuels, Saisir les entrées de rapport et Filtre de données pour les rapports comme modèle de rapport. Remarque Vous pouvez également enregistrer les sélections effectuées dans la boîte de dialogue Saisir les entrées de rapport en même temps que vous les créez. 1 Exécutez le rapport de votre choix. 2 Cliquez sur le bouton Exporter de la barre d'outils de rapport. La boîte de dialogue Exporter s'ouvre. 3 Sélectionnez Crystal Reports (RPT). 4 Cliquez sur OK. La boîte de dialogue Choisir le fichier d'exportation s'ouvre. 5 Indiquez le nom et l'emplacement du fichier à stocker temporairement, puis cliquez sur Enregistrer. 6 Ajoutez le fichier de modèle de rapport au référentiel de rapports. 291

292 Rapports Mise en route Enregistrement de rapports et de requêtes filtrés en tant que modèles 13 Ecriture de rapports personnalisés dans Crystal Reports Le logiciel epolicy Orchestrator 3.5 a recours à Business Objects Crystal Reports 8.5 pour générer des rapports à partir des données stockées dans la base de données epolicy Orchestrator. epolicy Orchestrator comprend plus de 40 rapports prédéfinis permettant de répondre à une grande variété de besoins. Si aucun de ceux-là ne correspond à ce que vous recherchez, utilisez Crystal Reports pour écrire vos propres rapports. Vous ne trouverez d'informations détaillées sur la réalisation de rapports et de requêtes personnalisés à l'aide de Crystal Reports ni dans le Guide produit, ni dans le Guide d'implémentation - Rapports et requêtes. Pour de plus amples informations à ce sujet, reportez-vous à la documentation Crystal Reports. 292

293 14 Maintenance du Répertoire Exécution régulière de tâches de maintenance afin que le Répertoire reflète fidèlement tous les ordinateurs composant actuellement le réseau La maintenance régulière de votre Répertoire sera sans doute l'une des tâches les plus fréquentes effectuées dans epolicy Orchestrator, que vous décidiez de le faire tous les jours ou une fois par semaine. En faisant en sorte que le contenu du Répertoire soit à jour et exact, vous simplifierez considérablement les autres tâches de gestion réalisées dans epolicy Orchestrator, comme la distribution de mises à jour périodiques et la génération de rapports. Le Répertoire est la fenêtre d'epolicy Orchestrator sur votre réseau et tous les éléments qu'il comporte. S'il ne reflète pas fidèlement votre réseau, vous ne serez jamais en mesure d'évaluer avec précision l'efficacité de la couverture d'epolicy Orchestrator. Au fil du temps, il devient nécessaire d'apporter des modifications au Répertoire car votre réseau évolue sans cesse. Des ordinateurs obsolètes ou inactifs, qui ne font plus partie du réseau, doivent être supprimés du Répertoire et les nouveaux ordinateurs mis en ligne doivent être absolument ajoutés à celui-ci. Les nouveaux ordinateurs sur lesquels des agents ont été installés peuvent apparaître dans des groupes Lost&Found et doivent être placés dans le groupe ou le site approprié pour bénéficier des stratégies adéquates. Il peut en outre s'avérer nécessaire de résoudre des problèmes liés à des ordinateurs spécifiques. Contenu de ce chapitre # Utilisation de la recherche Active Directory # Synchronisation des domaines Windows NT importés avec les sites du Répertoire # Maintenance des filtres IP pour les sites et les groupes # Planification d'une tâche du serveur quotidienne pour rechercher les agents inactifs dans le Répertoire # Utilisation de la fonctionnalité de recherche du Répertoire pour localiser des ordinateurs dans le Répertoire # Déplacement manuel de noeuds dans le Répertoire 293

294 Maintenance du Répertoire Utilisation de la recherche Active Directory 14 Utilisation de la recherche Active Directory Comme vous le savez, vous pouvez créer des sites et des groupes dans le Répertoire en important directement des ordinateurs à partir de conteneurs Active Directory. Pour vous assurer que les sites ou les groupes contiennent les ordinateurs figurant réellement dans Active Directory, vous devez périodiquement les resynchroniser. Grâce à l'assistant de recherche Active Directory, vous pouvez garder les sites et les groupes créés par l'importation de conteneurs Active Directory synchronisés avec Active Directory. La fonctionnalité de recherche d'ordinateurs Active Directory vous permet de planifier un intervalle d'interrogation afin de rechercher et d'importer de nouveaux ordinateurs dans le Répertoire epolicy Orchestrator. En vous permettant d'importer uniquement les ordinateurs qui n'existent pas encore dans l'arborescence du Répertoire epolicy Orchestrator, cette fonctionnalité simplifie grandement l'identification des nouveaux ordinateurs et leur protection. Utilisez cette procédure si vous avez créé des sites ou des groupes en important des domaines Windows NT lorsque vous avez créé votre Répertoire. Voir le chapitre 3, Création d'un Répertoire des ordinateurs gérés pour plus d'informations. L'utilisation de la fonctionnalité de recherche d'ordinateurs Active Directory comporte deux étapes : # Planification de la tâche de recherche Active Directory à la page 294 # Configuration des points de mappage de la recherche Active Directory à la page 296 Dès que la tâche est configurée, vous avez aussi la possibilité de l'exécuter immédiatement. Planification de la tâche de recherche Active Directory Pour planifier la tâche de recherche Active Directory : 1 Sélectionnez le serveur epolicy Orchestrator de votre choix dans l'arborescence du Répertoire epolicy Orchestrator dans le volet gauche de la console. 2 Cliquez sur l'onglet Tâches planifiées dans le volet droit de la console. Cliquez sur Créer une tâche pour créer une nouvelle tâche. Si vous avez choisi de créer une tâche de recherche Active Directory via l'assistant d'importation Active Directory, sélectionnez la tâche et cliquez sur Modifier la tâche pour accéder à la page correspondante. Si vous avez décidé de créer une tâche de recherche Active Directory sans passer par l'assistant d'importation Active Directory, cliquez sur Créer une tâche et la page Configurer une nouvelle tâche s'affiche. 294

295 Maintenance du Répertoire Utilisation de la recherche Active Directory 14 3 Sous Paramètres de tâche, tapez le nom que vous avez choisi pour la tâche. Figure 14-1 Paramètres de tâche 4 Dans la liste déroulante Type de tâche, sélectionnez Recherche Active Directory. 5 Choisissez d'activer ou de désactiver la tâche. 6 Dans la liste déroulante Type de planification, sélectionnez l'intervalle voulu pour l'exécution de la tâche ou bien prescrivez son exécution ponctuelle ou immédiate. 7 Le nom de la section située sous Paramètres de tâche varie selon le type de planification sélectionné et permet d'en configurer les détails. (Si, par exemple, vous avez choisi Hebdomadairement dans la liste Type de planification, vous pouvez sélectionner les jours de la semaine où la tâche devra s'exécuter.) Définissez les paramètres comme il convient. 8 Sous Options de planification avancées, configurez les heure de début, date de début et date de fin (si nécessaire), ainsi que la fréquence de répétition de la tâche si celle-ci échouait. 9 Sous Paramètres complémentaires, vous pouvez choisir de sélectionner l'heure d'exécution de façon aléatoire, d'exécuter des tâches omises et d'arrêter la tâche si son délai d'exécution dépasse une limite déterminée (laquelle doit dans ce cas être préalablement définie), puis cliquez sur Suivant dans la partie supérieure de la page. Passez ensuite à la section Configuration des points de mappage de la recherche Active Directory à la page

296 Maintenance du Répertoire Utilisation de la recherche Active Directory 14 Configuration des points de mappage de la recherche Active Directory Pour configurer les points de mappage entre les sites ou la racine du Répertoire epolicy Orchestrator et les conteneurs Active Directory : 1 Cliquez sur Configurer la recherche d'ordinateurs Active Directory dans la page qui s'affiche. La boîte de dialogue Paramètres de recherche d'ordinateurs Active Directory s'affiche. Figure 14-2 Recherche d'ordinateurs Active Directory 2 Dans le volet gauche de la boîte de dialogue, sélectionnez le site requis ou la racine du Répertoire epolicy Orchestrator à mapper à un conteneur Active Directory. 3 Sélectionnez Activer le point de mappage dans le volet droit de la boîte de dialogue puis entrez les références Active Directory. Les références Active Directory indiquées doivent disposer de droits de lecture sur le conteneur Active Directory sélectionné. 4 Sous Mapper à ce conteneur Active Directory, cliquez sur Parcourir et sélectionnez le conteneur Active Directory que vous souhaitez mapper à l'élément epolicy Orchestrator sélectionné. 5 Pour exclure un sous-conteneur spécifique du conteneur sélectionné, cliquez sur Ajouter sous Exclure les sous-conteneurs suivants puis sélectionnez le sous-conteneur à exclure de la tâche de recherche avant de cliquer sur OK. 296

297 Maintenance du Répertoire Synchronisation des domaines Windows NT importés avec les sites du Répertoire 14 6 Après avoir défini les paramètres d'un élément du Répertoire epolicy Orchestrator, cliquez sur Appliquer en haut de la boîte de dialogue. Attention Si vous cliquez sur Fermer avant de cliquer sur Appliquer, les paramètres définis de la tâche ne sont pas appliqués. 7 Si vous souhaitez mapper un autre élément du Répertoire epolicy Orchestrator à un conteneur Active Directory, sélectionnez l'élément du Répertoire de votre choix dans le volet gauche et répétez la procédure (étape 3 à étape 6). 8 Dès que vous avez configuré et enregistré tous les points de mappage de votre tâche de recherche d'ordinateurs Active Directory, cliquez sur Fermer. La tâche apparaît dans la liste des tâches de serveur que vous avez créées. Le champ Prochaine exécution indique quand la tâche sera à nouveau exécutée en fonction des paramètres de planification définis. Exécution immédiate de la tâche de recherche Active Directory Vous pouvez exécuter immédiatement n'importe quelle tâche de serveur en la sélectionnant dans la liste des tâches de serveur disponibles et en cliquant sur Exécuter maintenant. La tâche s'exécute immédiatement. Notez qu'elle continue également de s'exécuter aux jours et heures planifiés. Pour exécuter immédiatement la tâche Recherche Active Directory : 1 Sélectionnez le serveur requis dans l'arborescence de la console. 2 Cliquez sur l'onglet Tâches planifiées dans le volet de détails. 3 Sélectionnez la tâche Recherche Active Directory dans la liste des tâches de serveur créées. 4 Cliquez sur Exécuter maintenant. Synchronisation des domaines Windows NT importés avec les sites du Répertoire Si vous avez créé des sites (ou des groupes) dans votre Répertoire en important des domaines complets du réseau Windows NT, utilisez epolicy Orchestrator pour mettre régulièrement chaque site à jour. De la sorte, vous êtes assuré qu'il contient réellement les ordinateurs effectivement hébergés dans ce domaine. Vous pouvez ajouter de nouveaux ordinateurs récemment intégrés au réseau à votre site. De même, vous pouvez supprimer d'anciens ordinateurs qui ne sont plus connectés au domaine. Vous pouvez planifier une tâche de serveur périodique pour effectuer la synchronisation et/ou l'exécuter manuellement. # Planification d'une tâche de serveur régulière pour la synchronisation de domaines # Synchronisation manuelle de domaines spécifiques à l'aide de la tâche du Répertoire Mettre à jour le domaine 297

298 Maintenance du Répertoire Synchronisation des domaines Windows NT importés avec les sites du Répertoire 14 Planification d'une tâche de serveur régulière pour la synchronisation de domaines Vous pouvez créer une tâche de serveur pour synchroniser des domaines Windows NT sélectionnés que vous avez importés dans le Répertoire avec leurs équivalents sur le réseau. S'il existe un site ou un groupe portant le même nom que le domaine sélectionné, les ordinateurs du domaine sont ajoutés à ce site ou à ce groupe. Si les domaines que vous sélectionnez n'existent pas encore dans le Répertoire, ils sont automatiquement ajoutés en tant que sites. Utilisez cette procédure si vous avez créé des sites ou des groupes en important des domaines Windows NT lorsque vous avez créé votre Répertoire (voir le chapitre 3, Création d'un Répertoire des ordinateurs gérés). Vous pouvez également effectuer la tâche manuellement. Lors de l'ajout de nouveaux ordinateurs du domaine à un site, la tâche se déroule comme suit : # Elle ajoute les ordinateurs au site ou au groupe correspondant dans le Répertoire. # Elle déploie l'agent à l'aide du compte d'utilisateur que vous avez indiqué. La distribution de l'agent fait partie de la tâche de synchronisation. Lorsque la tâche s'exécute et importe de nouveaux ordinateurs dans l'arborescence du Répertoire, elle déploie automatiquement un agent sur les nouveaux ordinateurs. # Elle applique à ces ordinateurs des stratégies et des tâches associées au site ou au groupe. L'agent ne pouvant être déployé sur tous les systèmes d'exploitation de cette manière, vous risquez de devoir le déployer manuellement sur certains ordinateurs. Pour plus d'informations et des instructions, voir le chapitre 4, Déploiement des agents, SuperAgents et capteurs. Lorsqu'un ordinateur quitte un domaine spécifié, cette tâche supprime l'ordinateur du Répertoire. Création d'une tâche de serveur planifiée pour la synchronisation des domaines Pour créer une tâche de serveur pour la synchronisation de domaines : 1 Sélectionnez le serveur dans l'arborescence de la console et, dans le volet de détails, sélectionnez l'onglet Tâches planifiées, puis cliquez sur Créer une tâche. 2 Sous Paramètres de tâche, tapez le nom que vous avez choisi pour la tâche. 3 Dans la liste déroulante Type de tâche, sélectionnez Synchroniser les domaines. 4 Choisissez d'activer ou de désactiver la tâche. 5 Dans la liste déroulante Type de planification, sélectionnez l'intervalle voulu pour l'exécution de la tâche ou bien prescrivez son exécution ponctuelle ou immédiate. 6 Le nom de la section située sous Paramètres de tâche varie selon le type de planification sélectionné et permet d'en configurer les détails. (Si, par exemple, vous avez choisi Hebdomadairement dans la liste Type de planification, vous pouvez sélectionner les jours de la semaine où la tâche devra s'exécuter.) Définissez les paramètres comme il convient. 298

299 Maintenance du Répertoire Synchronisation des domaines Windows NT importés avec les sites du Répertoire 14 7 Sous Options de planification avancées, configurez les heure de début, date de début et date de fin (si nécessaire), ainsi que la fréquence de répétition de la tâche si celle-ci échouait. 8 Sous Paramètres complémentaires, vous pouvez choisir de sélectionner l'heure d'exécution de façon aléatoire, d'exécuter des tâches omises et d'arrêter la tâche si son délai d'exécution dépasse une limite déterminée (laquelle doit dans ce cas être préalablement définie), puis cliquez sur Suivant. 9 La page Synchroniser les domaines s'affiche. 10 Pour ajouter un autre domaine, cliquez sur Ajouter. La boîte de dialogue Ajouter/Modifier un domaine s'affiche. Pour appliquer un autre ensemble de références à un domaine, sélectionnez le domaine puis cliquez sur Modifier. La boîte de dialogue Ajouter/Modifier un domaine s'affiche. Figure 14-3 Boîte de dialogue Ajouter/Modifier un domaine 11 Dans la boîte de dialogue Ajouter/Modifier un domaine, entrez les informations du compte utilisateur d'administrateur de domaine puis cliquez sur OK. 12 Pour supprimer un domaine de la tâche, sélectionnez le domaine puis cliquez sur Supprimer. 13 Cliquez sur Terminer lorsque vous avez terminé. La tâche apparaît dans l'onglet Tâches planifiées. 299

300 Maintenance du Répertoire Maintenance des filtres IP pour les sites et les groupes 14 Synchronisation manuelle de domaines spécifiques à l'aide de la tâche du Répertoire Mettre à jour le domaine S'il est possible de planifier une tâche de serveur pour la synchronisation, vous pouvez également synchroniser manuellement des sites et des groupes créés par l'importation d'un domaine Windows NT. Utilisez la tâche du Répertoire Mettre à jour le domaine afin qu'epolicy Orchestrator synchronise les ordinateurs du site avec les ordinateurs actuellement connectés à ce domaine sur le réseau. Au cours du processus de mise à jour du domaine, vous pouvez ajouter des ordinateurs appartenant actuellement au domaine mais ne figurant pas dans le site ou groupe sélectionné, ou supprimer des ordinateurs de votre site du Répertoire qui ne font plus partie du domaine. Vous pouvez, simultanément, désinstaller les agents de tous les ordinateurs qui n'appartiennent plus au domaine spécifié. Remarque Si vous utilisez l'assistant de mise en route pour importer des ordinateurs appartenant à des domaines sélectionnés, vous devez procéder différemment à la synchronisation des domaines. Pour plus d'informations, reportez-vous à la section Assistant de mise en route à la page 41. Pour mettre à jour le Répertoire à l'aide de la tâche de synchronisation de domaines : 1 Connectez-vous au serveur epolicy Orchestrator de votre choix. 2 Dans l'arborescence de la console, cliquez avec le bouton droit sur le site ou groupe de votre choix, puis sélectionnez Toutes les tâches Mettre à jour le domaine. La boîte de dialogue Mettre à jour le domaine s'affiche. 3 Pour déplacer tous les ordinateurs ou les ordinateurs sélectionnés du domaine du réseau vers un site ou un groupe sélectionné, cliquez respectivement sur Ajouter tout ou Ajouter. Pour supprimer tous les ordinateurs ou les ordinateurs sélectionnés du site ou du groupe sélectionné, cliquez respectivement sur Supprimer tout ou Supprimer. 4 Si vous supprimez des ordinateurs, sélectionnez Désinstaller l'agent des ordinateurs lorsqu'ils sont supprimés du groupe pour désinstaller l'agent lors de la suppression des ordinateurs du groupe. 5 Cliquez sur OK lorsque vous avez terminé. Maintenance des filtres IP pour les sites et les groupes Effectuez régulièrement la maintenance de vos filtres IP pour que les sites et les groupes restent organisés. # Modification des filtres IP pour les sites et les groupes existants # Vérification de l'intégrité des filtres IP # Tri périodique des ordinateurs par adresse IP # Tri des ordinateurs par adresse IP à l'aide de la tâche de tri IP 300

301 Maintenance du Répertoire Maintenance des filtres IP pour les sites et les groupes 14 Modification des filtres IP pour les sites et les groupes existants Si vous utilisez des filtres IP dans des sites et des groupes du Répertoire, vous pouvez attribuer de nouveaux filtres IP ou modifier des filtres existants pour les sites et groupes déjà créés. Vous pouvez également créer ces filtres IP lorsque vous créez votre Répertoire. Conseil Si le filtre IP est en place avant que les agents ne contactent pour la première fois le Répertoire, vous pouvez utiliser la tâche du Répertoire Trier les ordinateurs en fonction de leur adresse IP pour déplacer automatiquement les ordinateurs des dossiers Lost&Found dans le groupe correct. Si le filtre IP est ajouté après la communication initiale de l'agent, vous devez déplacer manuellement l'ordinateur du groupe Lost&Found vers le conteneur approprié. Voir à ce propos A propos du tri et des filtres d'adresses IP à la page 48. Pour afficher les paramètres de gestion IP d'un site ou d'un groupe donné, sélectionnez ce dernier dans le Répertoire puis cliquez sur l'onglet Propriétés. La page Gestion IP affiche les masques de sous-réseau IP ou les intervalles d'adresses IP spécifiés pour le site ou le groupe sélectionné. Figure 14-4 Liste des filtres IP du site ou du groupe dans la page Gestion IP Ajout de filtres IP à un site ou à un groupe Pour ajouter un filtre d'adresses IP à un site ou à un groupe existant : 1 Dans la console epolicy Orchestrator, sélectionnez le site ou le groupe requis dans l'arborescence du Répertoire. 2 Cliquez sur l'onglet Propriétés dans le volet de détails pour afficher la page Gestion IP, qui répertorie les filtres IP déjà configurés pour le site ou le groupe sélectionné. 301

302 Maintenance du Répertoire Maintenance des filtres IP pour les sites et les groupes 14 3 Cliquez sur Ajouter pour ouvrir la boîte de dialogue Gestion IP. Figure 14-5 Ajout ou modification d'un masque de sous-réseau IP ou d'un intervalle d'adresses IP du site ou du groupe sélectionné 4 Sélectionnez Masque de sous-réseau IP ou Intervalle IP et entrez les valeurs appropriées. 5 Cliquez sur OK. 6 Dans la page Gestion IP, cliquez sur Appliquer pour enregistrer les modifications apportées aux filtres IP du site ou du groupe sélectionné. Attention Les ajouts, modifications ou suppressions de filtres IP ne sont pas réellement enregistrés avant que vous cliquiez sur Appliquer dans la page Gestion IP. Si vous quittez la page sans cliquer sur Appliquer, vos modifications seront perdues. Modification des paramètres de gestion IP de sites ou de groupes existants Pour modifier les paramètres de gestion IP attribués à des sites ou groupes existants : 1 Dans l'arborescence de la console epolicy Orchestrator, sélectionnez le site ou le groupe requis dans le Répertoire. 2 Cliquez sur l'onglet Propriétés dans le volet de détails afin d'afficher la page Gestion IP. 3 Sélectionnez le filtre IP dans la liste, puis cliquez sur Modifier. 4 Apportez les modifications requises au masque de sous-réseau IP ou à l'intervalle IP puis cliquez sur OK. 5 Cliquez sur Appliquer pour enregistrer les entrées actuelles. Suppression des filtres IP de sites et groupes existants Pour supprimer des paramètres de gestion IP attribués à des sites ou groupes existants : 1 Dans l'arborescence de la console epolicy Orchestrator, sélectionnez le site ou le groupe dont un filtre IP doit être supprimé. 2 Cliquez sur l'onglet Propriétés dans le volet de détails. La page Gestion IP s'affiche. 3 Sélectionnez le filtre IP requis dans la liste pour le mettre en surbrillance. 302

303 Maintenance du Répertoire Maintenance des filtres IP pour les sites et les groupes 14 4 Cliquez sur Supprimer. 5 Cliquez sur Appliquer pour enregistrer vos modifications. Vérification de l'intégrité des filtres IP L'ajout de filtres IP à des sites et à des groupes associé à l'exécution périodique de la tâche Trier les ordinateurs en fonction de leur adresse IP permet de remplir automatiquement le Répertoire lorsque de nouveaux ordinateurs sont ajoutés au réseau. Le tri par adresse IP permet de déplacer automatiquement les nouveaux ordinateurs vers le site ou groupe correct en fonction de leur adresse IP. Toutefois, pour que ce type de tri fonctionne, tous les filtres IP doivent être valides et ne doivent donner lieu à aucun conflit. Pour toujours disposer de filtres IP valides, epolicy Orchestrator propose la tâche du Répertoire Contrôle d'intégrité IP. Le tri par adresse IP ne fonctionne pas s'il existe des conflits de filtres IP entre sites et groupes. Par conséquent, il convient d'exécuter une vérification de l'intégrité IP avant toute modification de filtres IP ou toute exécution d'une tâche de tri par adresse IP. Pour exécuter une vérification de l'intégrité IP : 1 Dans l'arborescence de la console epolicy Orchestrator, cliquez avec le bouton droit sur le Répertoire, puis sélectionnez Toutes les tâches Contrôle d'intégrité IP. 2 Dans la boîte de dialogue Contrôler l'intégrité IP, cliquez sur Démarrer. Si la recherche renvoie des adresses IP et des masques de sous-réseau IP en conflit, le type de conflit détecté ainsi que le site, le groupe ou l'ordinateur incriminé apparaissent dans la liste des conflits. Si la colonne Type affiche... Site Sous-ensemble Chevauchement Alors la colonne Premier noeud affiche... Le site sans intervalle d'adresses IP ou masque de sous-réseau IP. Le site avec un intervalle d'adresses IP ou un masque de sous-réseau IP. Le groupe dont l'intervalle d'adresses IP ou le masque de sous-réseau IP chevauche le groupe de la colonne Second noeud. Et la colonne Second noeud affiche... Le groupe sous ce site avec un intervalle d'adresses IP ou un masque de sous-réseau IP. Le groupe sous ce site dont l'intervalle d'adresses IP ou le masque de sous-réseau IP n'est pas compris dans l'intervalle défini par le site. Le groupe dont l'intervalle d'adresses IP ou le masque de sous-réseau IP chevauche le groupe de la colonne Premier noeud. 3 Dans la liste des conflits, sélectionnez le conflit que vous voulez examiner. Une description du conflit s'affiche sous Détails. 4 Pour accéder au site ou au groupe figurant dans la colonne Premier noeud ou Second noeud, cliquez respectivement sur le bouton Premier noeud ou Second noeud. La page Gestion IP s'affiche dans le volet de détails. 5 Pour résoudre les conflits, ajoutez, modifiez ou supprimez si nécessaire des intervalles d'adresses IP ou des masques de sous-réseau IP. 6 Répétez la procédure (étape 2 à étape 5) jusqu'à ce qu'il n'y ait plus de conflit détecté. 303

304 Maintenance du Répertoire Maintenance des filtres IP pour les sites et les groupes 14 Tri périodique des ordinateurs par adresse IP Si vous avez ajouté des filtres d'adresses IP à vos sites et à vos groupes, vous pouvez exécuter une tâche du Répertoire afin de trier les ordinateurs en fonction de leur adresse IP. La tâche déplace automatiquement les ordinateurs vers le site ou groupe approprié en fonction de l'adresse IP. Les ordinateurs qui ne correspondent pas au filtre IP d'un site ou d'un groupe sont déplacés vers un dossier Lost&Found. Le tri d'adresses IP ne fonctionne pas s'il existe des conflits entre les filtres IP des différents sites ou groupes. Vérifiez l'intégrité IP de votre Répertoire avant d'exécuter la tâche de tri d'adresses IP. # A propos du tri des ordinateurs du Répertoire par adresse IP # Tri des ordinateurs par adresse IP à l'aide de la tâche de tri IP A propos du tri des ordinateurs du Répertoire par adresse IP L'Assistant de tri des adresses IP utilise deux méthodes de tri : La méthode de tri non explicite, qui est la méthode par défaut, effectue le tri comme suit : # Les règles définies par la méthode de tri explicite sont respectées, sauf lorsque l'une des règles définies dans la méthode de tri non explicite est prioritaire. # Si l'ordinateur se trouve dans un groupe ne comportant pas d'intervalle IP, mais que ce groupe se trouve sous un groupe correspondant à l'intervalle IP de l'ordinateur, cet ordinateur est laissé où il se trouve. # Si un ordinateur se trouve sous un groupe moins approprié qu'un autre groupe possédant l'intervalle IP correct, l'ordinateur est déplacé vers le groupe plus approprié. La méthode de tri explicite constitue une solution alternative que vous pouvez activer en insérant une nouvelle clé dans le fichier CONSOLE.INI. Elle effectue le tri comme suit : # L'adresse IP de l'ordinateur doit correspondre à l'intervalle IP de son site parent. Si aucun site approprié n'est trouvé, l'ordinateur est placé dans le site spécifié par l'utilisateur (par défaut, dans le groupe Lost&Found global). # (Facultatif) Si l'ordinateur appartient à un site et qu'aucun autre groupe de ce site n'est valide, un nouveau groupe doit être créé sous le groupe Lost&Found du site avant que l'ordinateur ne soit placé sur le site. Le nouveau groupe doit être nommé d'après le domaine auquel appartient l'ordinateur. Cette opération n'est réalisable que par l'activation d'une option dans le fichier CONSOLE.INI. L'option UseExplicitLostFound détermine le traitement des ordinateurs devant être déplacés vers le groupe Lost&Found ou vers un site. Si cette option est activée, les ordinateurs sont placés directement à la racine du groupe Lost&Found ou du site. Si l'option UseExplicitLostFound n'est pas activée (paramètre par défaut) et qu'un ordinateur doit être placé sur un site, il est déplacé vers le groupe Lost&Found au niveau du site. 304

305 Maintenance du Répertoire Maintenance des filtres IP pour les sites et les groupes 14 En outre, si un ordinateur doit être déplacé vers un groupe Lost&Found (y compris le déplacement explicite depuis le niveau du site), le domaine de l'ordinateur est créé en tant que groupe sous Lost&Found et l'ordinateur est placé sous le nouveau groupe Lost&Found/domaine. Spécification du tri IP explicite et non explicite dans CONSOLE.INI L'Assistant de tri des adresses IP permet de trier les ordinateurs par adresse IP. Pour spécifier la méthode de tri et les règles de déplacement des ordinateurs utilisées par l'assistant de tri des adresses IP : 1 Dans un éditeur de texte, ouvrez le fichier CONSOLE.INI situé dans le répertoire d'installation. L'emplacement par défaut est le suivant : C:\PROGRAM FILES\NETWORK ASSOCIATES\EPO\3 Si vous avez effectué une mise à niveau du serveur et de la console epolicy Orchestrator depuis la version 2.5.1, l'emplacement par défaut est le suivant : C:\PROGRAM FILES\MCAFEE\EPO\3 Par défaut, la méthode de tri non explicite et les règles de déplacement des ordinateurs sont configurées comme suit : [Sorting] UseExplicitLostFound=0 UseExplicit=0 2 Pour activer la méthode de tri explicite ou des règles de déplacement des ordinateurs, modifiez les paramètres comme suit : [Sorting] UseExplicitLostFound=1 UseExplicit=1 3 Enregistrez le fichier. Tri des ordinateurs par adresse IP à l'aide de la tâche de tri IP Exécutez régulièrement la tâche du Répertoire Trier les ordinateurs en fonction de leur adresse IP, par exemple une fois par semaine, pour garantir la présence des ordinateurs dans le groupe ou site approprié selon leur adresse IP. La tâche de tri déplace les ordinateurs vers des sites ou des groupes en fonction des critères de tri explicite ou non explicite que vous avez spécifiés. Les nouveaux ordinateurs qui contactent pour la première fois le serveur sont automatiquement ajoutés au site ou au groupe correspondant à leur adresse IP. En revanche, si vous définissez des filtres IP après la communication agent-serveur initiale, vous devez exécuter la tâche de tri IP pour trier de nouveau les ordinateurs et les déplacer vers le site ou le groupe approprié. 305

306 Maintenance du Répertoire Planification d'une tâche du serveur quotidienne pour rechercher les agents inactifs dans le Répertoire 14 Pour exécuter le tri IP : 1 Vérifiez l'intégrité IP sur votre Répertoire pour vous assurer que tous les filtres IP sont valides et ne présentent pas de conflit. Voir à ce propos Vérification de l'intégrité des filtres IP à la page Dans l'arborescence de la console, cliquez avec le bouton droit sur le Répertoire, puis sélectionnez Toutes les tâches Trier les ordinateurs en fonction de leur adresse IP. 3 Dans l'assistant de tri des adresses IP, cliquez sur Suivant. 4 Sous Options dans la boîte de dialogue Options de tri des adresses IP, sélectionnez l'action que la tâche de tri doit entreprendre lorsque des ordinateurs ne figurent pas dans le conteneur correct correspondant à leur adresse IP. 5 Pour exclure du tri les ordinateurs sans paramètres de gestion IP, sélectionnez Ignorer les machines sans adresse IP. 6 Cliquez sur Suivant pour trier les ordinateurs du Répertoire en fonction de leurs paramètres de gestion IP. 7 Cliquez sur Suivant, puis sur Terminer. Planification d'une tâche du serveur quotidienne pour rechercher les agents inactifs dans le Répertoire Un agent inactif est un agent qui n'a pas communiqué avec le serveur epolicy Orchestrator pendant une période spécifiée. Il se peut que certains agents déployés soient désactivés ou désinstallés par les utilisateurs finaux. Dans d'autres cas, il peut arriver que l'ordinateur hébergeant l'agent ait été supprimé du réseau. Il est conseillé d'effectuer des recherches régulières, une fois par semaine, pour localiser dans le Répertoire les ordinateurs possédant des agents inactifs. Après les avoir localisés, vous pouvez déterminer s'ils sont toujours sur le réseau en envoyant une commande ping ou en transmettant les informations à votre équipe informatique pour le suivi. Si les ordinateurs sont toujours sur le réseau mais que leur agent est inactif pour une raison quelconque, vous pouvez réinstaller l'agent. Si les ordinateurs ont été supprimés du réseau, vous pouvez les supprimer de votre Répertoire. Conseil Pour conserver votre Répertoire à jour, epolicy Orchestrator propose plusieurs outils que vous pouvez utiliser conjointement. Associez une tâche de serveur planifiée de type maintenance de l'agent inactif à une tâche planifiée et périodique de type synchronisation de domaines ou Active Directory. Il est également utile de vérifier régulièrement la liste des ordinateurs non fiables détectés pour identifier les agents qui n'ont pas communiqué avec le serveur pendant un certain temps. 306

307 Maintenance du Répertoire Planification d'une tâche du serveur quotidienne pour rechercher les agents inactifs dans le Répertoire 14 Identification des ordinateurs possédant des agents inactifs par une recherche manuelle dans le Répertoire Vous pouvez utiliser la fonctionnalité de recherche du Répertoire pour identifier les agents inactifs dans une partie ou dans l'ensemble du Répertoire. Pour ce faire, sélectionnez l'option de recherche Agents epolicy Orchestrator inactifs et indiquez une période d'inactivité pour l'agent. Vous pouvez ensuite exécuter des commandes sélectionnées sur les ordinateurs figurant dans les résultats de la recherche. Voir à ce propos Utilisation de la fonctionnalité de recherche du Répertoire pour localiser des ordinateurs dans le Répertoire à la page 309. Planification d'une tâche de serveur régulière de type maintenance de l'agent inactif La solution la plus simple et la plus fiable pour rechercher périodiquement des agents inactifs dans le Répertoire consiste à planifier une tâche de serveur quotidienne. Vous pouvez configurer la tâche de sorte qu'elle déplace les ordinateurs avec des agents inactifs vers un groupe «Agent inactif» spécial. Vous pouvez régulièrement vérifier ce groupe et prendre les mesures appropriées pour les ordinateurs qui y figurent, par exemple supprimer l'ordinateur du Répertoire ou lui distribuer un autre agent. Pour planifier une tâche de serveur régulière visant à rechercher des agents inactifs : 1 Dans l'arborescence de la console epolicy Orchestrator, développez l'icône du serveur. 2 Dans le volet de détails, cliquez sur l'onglet Tâches planifiées, puis cliquez sur Créer une tâche. 3 Dans la page Configurer une nouvelle tâche, sous Paramètres de tâche, tapez un nom descriptif pour la tâche dans le champ Nom, par exemple Tâche de maintenance quotidienne des agents inactifs. Figure 14-6 Paramètres de tâche 4 Dans la liste déroulante Type de tâche, sélectionnez Maintenance de l'agent inactif. 5 Pour activer la tâche, sélectionnez Oui en regard de Activer la tâche. 307

308 Maintenance du Répertoire Planification d'une tâche du serveur quotidienne pour rechercher les agents inactifs dans le Répertoire 14 6 Dans la liste déroulante Type de planification, sélectionnez Quotidiennement. Vous pouvez également sélectionner d'autres types de planification. 7 Cliquez sur Suivant en haut de la page. 8 Dans la page Tâche de maintenance de l'agent inactif, tapez le nombre de jours définissant un agent inactif dans Période d'inactivité. Utilisez la valeur par défaut de 10 jours à moins d'avoir des raisons spécifiques de la modifier. Figure 14-7 Page Tâche de maintenance de l'agent inactif 9 Pour déplacer des ordinateurs dont les agents sont inactifs vers un autre groupe, sélectionnez Déplacer sous Action à exécuter. 10 Tapez le nom du groupe vers lequel déplacer les ordinateurs possédant des agents inactifs dans le champ Déplacer les ordinateurs dont les agents sont inactifs vers ce groupe. Si le groupe n'existe pas encore, il est créé lors de l'exécution de la tâche. 11 Cliquez sur Terminer lorsque vous avez terminé. La nouvelle tâche apparaît dans la liste de l'onglet Tâches planifiées et la prochaine exécution planifiée de la tâche est affichée sous Prochaine exécution. Vous pouvez, à tout moment, exécuter la tâche manuellement en la sélectionnant dans la liste et en cliquant sur Exécuter maintenant. 308

309 Maintenance du Répertoire Utilisation de la fonctionnalité de recherche du Répertoire pour localiser des ordinateurs dans le Répertoire 14 Utilisation de la fonctionnalité de recherche du Répertoire pour localiser des ordinateurs dans le Répertoire Suivez cette procédure pour trouver rapidement des ordinateurs en utilisant des requêtes de recherche prédéfinies. Par exemple, vous pouvez utiliser la requête Ordinateurs avec une version DAT spécifique pour rechercher des ordinateurs ne disposant pas du niveau minimal de protection. Vous pouvez aussi rechercher un ordinateur affecté d'un nom NetBIOS particulier. Vous pouvez ensuite exécuter des commandes sélectionnées sur tout ordinateur identifié, par exemple le supprimer du Répertoire ou lui distribuer un agent. Recherche du Répertoire Ordinateurs du domaine Ordinateurs d'un groupe ou d'un site spécifique Ordinateurs avec une version DAT spécifique Ordinateurs avec une version de moteur spécifique Noms d'ordinateur en double Agents epolicy Orchestrator inactifs Système d'exploitation Ordinateurs spécifiques Version d'agent epo spécifique Version de plug-in spécifique Description Recherche, en fonction du nom NetBIOS, d'un ordinateur qui appartient aussi à un domaine spécifique du réseau. Utilisez cette recherche à la place de la recherche générique Ordinateurs spécifiques si vous possédez des ordinateurs avec le même nom dans différents domaines. Recherche d'un ordinateur en fonction du nom NetBIOS dans un site ou groupe spécifique de votre Répertoire. Utilisez cette recherche à la place de la recherche générique Ordinateurs spécifiques si vous possédez des ordinateurs avec le même nom dans différents domaines. Recherche de tous les ordinateurs exécutant une version de fichiers DAT spécifique. Recherche de tous les ordinateurs exécutant une version de moteur antivirus spécifique. Recherche d'entrées en double du même ordinateur afin de pouvoir supprimer les doublons. Il s'agit d'une recherche manuelle similaire à la recherche d'agents inactifs planifiée. Voir Utilisation de la fonctionnalité de recherche du Répertoire pour localiser des ordinateurs dans le Répertoire à la page 309. Recherche d'ordinateurs exécutant une version spécifique de Windows. Recherche d'ordinateurs spécifiques en fonction de leur nom NetBIOS. Recherche de tous les ordinateurs exécutant une version d'agent spécifique. Recherche d'ordinateurs avec une version de plug-in spécifique. Exécution d'une recherche dans le Répertoire Pour rechercher des ordinateurs dans le Répertoire : 1 Dans l'arborescence de la console epolicy Orchestrator, cliquez avec le bouton droit sur le Répertoire ou sur un site ou groupe de celui-ci, puis sélectionnez Rechercher. 2 La boîte de dialogue Recherche de répertoire s'affiche. 3 Pour afficher le chemin d'accès aux ordinateurs, sélectionnez Obtenir l'emplacement de chaque ordinateur dans les résultats de la recherche. 309

310 Maintenance du Répertoire Utilisation de la fonctionnalité de recherche du Répertoire pour localiser des ordinateurs dans le Répertoire 14 4 Sélectionnez la requête souhaitée dans Rechercher. 5 Pour chaque nom de champ répertorié, indiquez l'opérateur et la valeur à appliquer à la requête sélectionnée. 6 Cliquez sur Rechercher maintenant. Les ordinateurs qui correspondent aux critères de recherche s'affichent sous Résultats de la recherche. Sélectionnez les ordinateurs requis dans Résultats de la recherche, cliquez avec le bouton droit sur ceux-ci et sélectionnez : # Envoyer le programme d'installation de l'agent pour déployer l'agent. Voir à ce propos Déploiement de l'agent avec epolicy Orchestrator à la page 70. # Appel de réactivation de l'agent pour envoyer un appel de réactivation de l'agent. Voir à ce propos Envoi d'appels de réactivation de l'agent manuels à la page 175. # Déplacer vers pour déplacer les ordinateurs vers un autre site ou groupe. # Supprimer pour supprimer les ordinateurs du Répertoire. (Vous pouvez également supprimer l'agent de ces ordinateurs en sélectionnant Désinstaller l'agent de tous les ordinateurs connectés). # Enregistrer sous ou Imprimer pour enregistrer ou imprimer les résultats de la recherche. Utilisation de caractères génériques dans la recherche d'ordinateurs La boîte de dialogue Recherche de répertoire vous permet d'utiliser les caractères génériques suivants conjointement à l'opérateur comme afin de rechercher des ordinateurs dans le Répertoire. Tableau 14-1 Liste des caractères génériques Utilisez ce caractère... Pour trouver... % Toutes les chaînes comportant zéro caractère ou plus. Par exemple... comme ordinateur% permet de trouver ordinateur1, ordinateurnt et ordinateurs. comme %ordinateur% permet de trouver ordinateur1, ordinateurnt, ordinateurs et mon ordinateur. _ Un caractère unique. comme ordinateur_ permet de trouver ordinateur1 et ordinateurs. [ ] Tout caractère dans un intervalle spécifié, par exemple [a-f], ou dans une série, par exemple [abcd]. [^] Tout caractère qui n'est pas compris dans un intervalle spécifié, comme [^a-f], ou dans une série, comme [^abcd]. comme ordinateur permet de trouver ordinateurnt. comme PDX[abc] permet de trouver PDXA, PDXB et PDXC. comme IT[a-b]-Test permet de trouver ITA-Test et ITB-Test. comme PDX[^abc] permet de trouver PDXD, PDXF et PDXG. comme IT[^a-b]-Test permet de trouver ITD-Test et ITF-Test. 310

311 Maintenance du Répertoire Déplacement manuel de noeuds dans le Répertoire 14 Déplacement manuel de noeuds dans le Répertoire Même si vous possédez un Répertoire parfaitement organisé reflétant fidèlement votre hiérarchie réseau et que vous utilisez des filtres IP et des tâches automatisées pour le resynchroniser régulièrement, il se peut que vous deviez néanmoins déplacer des ordinateurs entre des sites ou des groupes du Répertoire. Ainsi, vous pouvez décider qu'un ordinateur donné doit recevoir les stratégies d'un groupe différent et le déplacer manuellement dans ce groupe. De temps en temps, vous devrez peut-être également déplacer les ordinateurs répertoriés dans le groupe Lost&Found. Si vous utilisez des filtres IP dans le Répertoire, assurez-vous que les données d'adresse IP de l'ordinateur (ou du groupe) que vous déplacez ne provoquent pas de conflit avec les filtres IP définis dans le site ou le groupe parent. Les informations IP doivent être cohérentes entre les noeuds parents et enfants. Glisser-déplacer Vous pouvez utiliser la souris pour faire glisser et déplacer des éléments d'un emplacement du Répertoire à un autre, comme vous le feriez pour déplacer des fichiers d'un dossier à un autre dans l'explorateur Windows. Lorsque vous déposez l'élément dans son nouvel emplacement, le système affiche parfois un message standard vous avertissant d'un éventuel problème de discontinuité au niveau des intervalles IP. Cliquez sur le bouton OK de ce message. Couper-Coller Pour couper et coller des éléments dans le Répertoire : 1 Dans l'arborescence de la console, cliquez avec le bouton droit sur le groupe, l'ordinateur ou la solution matérielle-logicielle de votre choix, puis sélectionnez Couper. 2 Cliquez avec le bouton droit sur le site ou le groupe dans lequel vous voulez placer l'élément, puis sélectionnez Coller. Vérifiez l'intégrité des paramètres de gestion IP. Voir à ce propos la section Modification des filtres IP pour les sites et les groupes existants à la page Cliquez sur OK en réponse au message relatif à l'intégrité IP. 311

312 15 Prévention et réaction aux attaques de virus Stratégies pour maintenir les ordinateurs à jour et combattre une attaque de virus Pour contrer au mieux les attaques de virus, vous devez bien connaître votre système, disposer d'un logiciel antivirus à jour, détecter les virus aussitôt que possible et réagir de manière rapide et efficiente. Une stratégie efficace doit combiner prévention et réaction. Le logiciel epolicy Orchestrator permet de réduire les coûts de gestion des attaques. Lorsque vous utilisez epolicy Orchestrator, vous pouvez contrôler tous vos sites à partir d'un emplacement central, ce qui facilite la gestion, la rend plus efficace et garantit l'application cohérente de stratégies au sein de l'entreprise. Contenu du chapitre Vous pouvez utiliser epolicy Orchestrator 3.5 pour vous préparer à l'éventualité d'attaques de virus et y faire face lorsqu'elles surviennent : # Mesures quotidiennes ou hebdomadaires à prendre pour se préparer aux attaques virales # Liste de contrôle Etes-vous prêt à contrer une attaque? # Autres méthodes permettant de reconnaître une attaque # Liste de contrôle Vous pensez subir une attaque Mesures quotidiennes ou hebdomadaires à prendre pour se préparer aux attaques virales Vous pouvez utiliser certaines fonctionnalités d'epolicy Orchestrator 3.5 dans un but de prévention, afin de protéger votre site ou votre société contre les futures attaques de virus. Utilisez la liste de contrôle «Etes-vous prêt à contrer une attaque?» pour déterminer votre niveau de préparation. Tâches de client et de serveur à planifier pour une exécution régulière Créez et planifiez des tâches de serveur et de client pour exécuter des analyses et maintenir les logiciels clients à jour grâce aux mises à jour les plus récentes. La configuration et la planification de ces tâches vous prendront au départ un certain temps, mais par la suite, ces tâches s'exécuteront régulièrement et automatiquement. 312

313 Prévention et réaction aux attaques de virus Mesures quotidiennes ou hebdomadaires à prendre pour se préparer aux attaques virales 15 En outre, si vous souhaitez lancer manuellement une tâche particulière, il vous est possible de modifier la configuration de ces tâches planifiées pour leur appliquer la commande Exécuter immédiatement. Planification de tâches de serveur pour la mise à jour des référentiels et le nettoyage du Répertoire Figure 15-1 Tâches de serveur régulières à créer et à planifier Tableau 15-1 Tâches de serveur conseillées Tâche de serveur Tâche quotidienne d'extraction de fichiers DAT et de moteur Tâche quotidienne de réplication incrémentielle du référentiel Tâche hebdomadaire de réplication complète du référentiel Tâche quotidienne de recherche des agents inactifs Description Effectue une extraction de fichiers de moteur et de DAT hebdomadaires mis à jour, à partir du référentiel source par défaut sur le site FTP de McAfee. La tâche est programmée pour s'exécuter 4 fois par jour en commençant à 1 heure. L'option Répéter la tâche est paramétrée de manière à réitérer la tâche toutes les 6 heures, soit 4 fois par jour. La tâche extrait les données de la branche Evaluation du référentiel maître ; ainsi, seuls les clients de test dont la configuration prévoit qu'ils tirent leurs mises à jour de cette branche peuvent mettre à jour automatiquement les nouveaux fichiers DAT. Réplique uniquement les modifications apportées au référentiel maître vers tous les référentiels distribués. Sa fréquence planifiée correspond à celle de la tâche d'extraction, c'est-à-dire qu'elle s'exécute 4 fois par jour, une heure après chaque extraction de référentiel (la première démarrant à 2 heures). Une tâche hebdomadaire est exécutée chaque dimanche pour effectuer la réplication complète de tous les référentiels distribués. Ce niveau de redondance supplémentaire constitue un bon moyen d'assurer la mise à jour de tous les référentiels distribués au moins une fois par semaine. La tâche quotidienne analyse le Répertoire et recherche les ordinateurs dont les agents n'ont pas communiqué avec le serveur avant de placer ces derniers dans un groupe «Agents inactifs». 313

314 Prévention et réaction aux attaques de virus Mesures quotidiennes ou hebdomadaires à prendre pour se préparer aux attaques virales 15 Planification de tâches de client d'analyse et de mise à jour pour une protection continue des clients Pour conserver à jour les logiciels antivirus et de sécurité sur les ordinateurs clients, assurez-vous que les tâches de client appropriées sont créées et planifiées pour les parties correspondantes de votre Répertoire. Vous trouverez ci-après un exemple de configuration de tâches de client telles qu'elles pourraient se présenter dans un déploiement standard. Figure 15-2 Tâches de client régulières à créer et à planifier Tableau 15-2 Tâches de client conseillées Tâche de client Tâche de client quotidienne pour la mise à jour des fichiers DAT uniquement Tâche de client hebdomadaire pour la mise à jour du moteur uniquement Mise à jour hebdomadaire d'agent par patchs et Service Packs Mise à jour quotidienne de VirusScan Type de tâche Agent epolicy Orchestrator - Mettre à jour Agent epolicy Orchestrator - Mettre à jour Agent epolicy Orchestrator - Mettre à jour Tâche AutoUpdate de VirusScan pour Windows. Description Met quotidiennement à jour les fichiers DAT pour des produits utilisant le module de mise à jour CMA, tels que VirusScan Enterprise. La tâche est planifiée pour s'exécuter 4 fois par jour, en commençant à 3 heures, une heure après la tâche de serveur de réplication. L'option Répéter la tâche est paramétrée de manière à réitérer la tâche toutes les 6 heures, soit 4 fois par jour. Dans les paramètres de tâche, sélectionnez uniquement DAT et EXTRA.DAT. Ce sont les fichiers que vous mettrez à jour le plus souvent. Met à jour le moteur antivirus une fois par semaine. McAfee ne distribue des nouveaux moteurs que tous les 2 ou 3 mois. Vous pouvez donc économiser de la bande passante du réseau en les mettant à jour moins fréquemment que les fichiers DAT. Dans les paramètres de tâche, sélectionnez Moteur uniquement. Met à jour l'agent et les produits de sécurité tels que VirusScan Enterprise ou Desktop Firewall à l'aide de patchs et de Service Packs. Exécutez cette tâche une fois par semaine. Dans les paramètres de tâche, sélectionnez tous les types de Service Pack et de patch. Ce sont les fichiers que vous mettrez à jour le plus souvent. Met à jour quotidiennement les fichiers DAT pour les clients Windows 9X utilisant VSC 451. Planifiez cette tâche pour qu'elle s'exécute plusieurs fois par jour, à l'instar de la tâche de mise à jour des fichiers DAT pour les produits CMA. 314

315 Prévention et réaction aux attaques de virus Liste de contrôle Etes-vous prêt à contrer une attaque? 15 Tableau 15-2 Tâches de client conseillées Tâche de client Analyse à la demande quotidienne VirusScan Tâche de mise à jour quotidienne pour les serveurs Novell NetWare Type de tâche Analyse à la demande VirusScan pour Windows. Analyse à la demande NetShield pour NetWare 4.6 Description Analyse à la demande VirusScan effectuée quotidiennement. Mise à jour quotidienne de NetShield pour NetWare sur les serveurs Novell NetWare. Liste de contrôle Etes-vous prêt à contrer une attaque? # Ayez une parfaite connaissance du réseau et, plus particulièrement, sachez quel volume de trafic est généré et quelle en est l'origine. # Le logiciel epolicy Orchestrator est entièrement installé et implémenté. # Un produit logiciel antivirus est installé et configuré sur vos ordinateurs (par exemple, McAfee VirusScan Enterprise 7.5). # Votre logiciel antivirus est mis à jour avec les fichiers de signatures de virus les plus récents (DAT). Vous effectuez des mises à jour régulières et planifiées du moteur d'analyse antivirus et des fichiers de signatures de virus (DAT) pour chaque produit antivirus que vous gérez à l'aide d'epolicy Orchestrator. Vous pouvez également utiliser les rapports epolicy Orchestrator 3.5 pour déterminer l'étendue de la couverture antivirus. Pour plus d'informations et des instructions sur la procédure à suivre, référez-vous au Guide d'implémentation - Rapports et requêtes d'epolicy Orchestrator 3.5. # Mettez hors tension tous les équipements et services réseau que vous n'utilisez pas. # Identifiez les services qui nécessitent un trafic entrant et sortant, ainsi que les ports qu'ils utilisent (en particulier, les ports figurant parmi les 1024 premiers). Sur le pare-feu de votre passerelle, interdisez le trafic sur les ports non utilisés par vos solutions matérielles-logicielles et services. # Déterminez les types de pièces jointes aux s qui sont autorisées dans votre environnement et interdisez les autres. # Vos produits Microsoft exécutés sur des ordinateurs gérés sont mis à jour avec les patchs et Service Packs les plus récents. (En général, Microsoft les distribue mensuellement.) Vous pouvez utiliser McAfee System Compliance Profiler pour vérifier que tous vos ordinateurs disposent des derniers patchs et Service Packs Microsoft. 315

316 Prévention et réaction aux attaques de virus Autres méthodes permettant de reconnaître une attaque 15 # Vous avez configuré la fonctionnalité Notifications epolicy Orchestrator pour qu'elle envoie un message, à vous ou à d'autres utilisateurs, lors de la réception d'événements spécifiés (tel qu'une détection de virus) et de leur traitement par le serveur epolicy Orchestrator. # La fonctionnalité Détection des systèmes non fiables est implémentée de manière à reconnaître les ordinateurs et équipements non fiables apparaissant sur le réseau, et à déployer des agents sur ceux-ci. # Vous effectuez des mises à jour régulières et planifiées des produits à l'aide d'epolicy Orchestrator. # Vous avez activé l'appel de réactivation de l'agent et testé la communication de ce dernier avec les ordinateurs du réseau. Autres méthodes permettant de reconnaître une attaque Plusieurs indicateurs majeurs vous permettront de déterminer si votre réseau est la cible d'une attaque de virus. Cette section en détaille quelques-uns, à savoir : # Indicateurs liés à l'utilisation du réseau. # Indicateurs liés à l'utilisation de la messagerie électronique. # Evénements de détection de virus. Indicateurs liés à l'utilisation du réseau Les signes suivants indiquent que l'utilisation du réseau est peut-être affectée par une attaque. # Les utilisateurs se plaignent de la lenteur de leurs systèmes. Ils sont souvent les premiers à remarquer les symptômes d'une attaque virale d'envergure : les ordinateurs sont plus lents, le réseau ne répond plus et les applications se mettent à afficher des messages d'erreur. # Les outils de contrôle (par exemple, les outils Sniffer Technologies) détectent un changement dans les niveaux d'utilisation du réseau. Indicateurs liés à l'utilisation de la messagerie électronique Les signes suivants indiquent que l'utilisation de la messagerie électronique est peut-être affectée par une attaque. # Les utilisateurs se plaignent de la lenteur de leurs systèmes. Ils sont souvent les premiers à remarquer les symptômes d'une attaque virale d'envergure : la messagerie électronique devient plus lente ou ne fonctionne plus du tout. # L'utilisation du processeur des serveurs Microsoft Exchange augmente de façon significative. # Les outils de contrôle (par exemple, les outils Sniffer Technologies) détectent un changement dans les niveaux d'utilisation de la messagerie électronique. 316

317 Prévention et réaction aux attaques de virus Liste de contrôle Vous pensez subir une attaque 15 # Les compteurs de l'analyseur de performances relatifs à Microsoft Exchange enregistrent un changement dans les niveaux d'utilisation de la messagerie électronique. # McAfee Outbreak Manager vous avertit par message électronique de la possibilité qu'une attaque soit en cours. Cet outil analyse les messages électroniques entrants et identifie les comportements révélateurs d'une attaque. # La solution matérielle-logicielle McAfee WebShield e500 recueille les données pouvant permettre de déterminer si une attaque est en cours. Evénements de détection de virus Les événements suivants indiquent qu'un virus a été détecté. # Un rapport epolicy Orchestrator signale la détection d'un virus. # McAfee Outbreak Manager vous avertit par message électronique de la possibilité qu'une attaque soit en cours. # McAfee Alert Manager (Gestionnaire d'alerte) vous avertit qu'un virus a été détecté. Lorsqu'une attaque se produit, vous pouvez y répondre de plusieurs façons. Utilisez la liste de contrôle «Vous pensez subir une attaque» pour réagir face à une attaque. Liste de contrôle Vous pensez subir une attaque Si vous pensez qu'il est possible que vous subissiez une attaque, effectuez les opérations suivantes dans votre environnement : # Visitez la page d'accueil AVERT pour obtenir les informations les plus récentes sur les virus. # Envoyez des échantillons de fichiers potentiellement infectés à WebImmune pour les tester. # Modifiez les paramètres du pare-feu et des solutions de sécurité réseau pour bloquer l'activité virale. Pour vous aider à déterminer les éléments à bloquer et la façon dont le virus se comporte, visitez la Bibliothèque d'informations sur les virus qui se trouve sur le site web AVERT. # Augmentez le niveau des paramètres de détection pour tous les produits antivirus afin de répondre à la menace. Visitez la Bibliothèque d'informations sur les virus pour obtenir une analyse de la menace. # Appliquez régulièrement des appels de réactivation d'agent et exécutez des rapports de couverture pour vérifier qu'une protection est en place. Attention Pour garantir une couverture totale, l'agent epolicy Orchestrator doit être installé sur chaque ordinateur. # Déterminez si des ports inattendus reçoivent du trafic et si c'est le cas, interdisez ce trafic. 317

318 Prévention et réaction aux attaques de virus Liste de contrôle Vous pensez subir une attaque 15 # Utilisez la fonctionnalité de mise à jour globale pour : # télécharger des fichiers de signatures de virus complets (DAT) et supplémentaires (EXTRA.DAT) ; # mettre à jour le moteur d'analyse antivirus. # Effectuez une analyse à la demande des systèmes infectés. # Exécutez des rapports de couverture antivirus pour vous assurer que la couverture antivirus des systèmes infectés est totale. Si aucun produit antivirus McAfee n'est installé ou si l'agent epolicy Orchestrator n'est pas déployé sur chaque ordinateur, vous devez analyser manuellement le système ou l'ordinateur à l'aide de l'analyseur à ligne de commande, ou vous devez utiliser un autre produit antivirus. 318

319 16 Maintenance des bases de données epolicy Orchestrator Optimisation des performances et protection des données par la maintenance hebdomadaire des bases de données Que vous utilisiez une base de données MSDE ou SQL avec epolicy Orchestrator, celle-ci doit faire l'objet d'une maintenance régulière. Cette mesure permet non seulement de lui garantir de bonnes performances, mais également de protéger les données qu'elle contient. Selon la façon dont epolicy Orchestrator est déployé dans votre environnement, vous devez consacrer chaque semaine un certain temps (peut-être plusieurs heures) à la réalisation de sauvegardes et à la maintenance de votre base de données. Parmi les tâches décrites dans cette section, beaucoup doivent être exécutées de manière régulière, chaque semaine voire chaque jour. En revanche, d'autres peuvent être accomplies de façon ponctuelle, par exemple en cas de problèmes. Vous pouvez associer divers outils pour assurer la maintenance des bases de données epolicy Orchestrator. Le jeu d'outils diffère légèrement selon que vous utilisez une base de données MSDE (Microsoft Data Engine) ou SQL Server comme base de données epolicy Orchestrator. Notez que vous pouvez recourir à Microsoft SQL Server Enterprise Manager pour gérer des bases de données MSDE et SQL Server. Contenu de cette section Certaines tâches de gestion des bases de données epolicy Orchestrator doivent être accomplies régulièrement : # Maintenance quotidienne ou hebdomadaire de la base de données # Sauvegarde régulière de la base de données epolicy Orchestrator # Réparation d'événements et de noms d'ordinateurs dans la base de données # Suppression périodique d'événements anciens de la base de données # Modification des informations de compte d'utilisateur SQL Server # Restauration des bases de données epolicy Orchestrator en cas de défaillance matérielle ou logicielle 319

320 Maintenance des bases de données epolicy Orchestrator Maintenance quotidienne ou hebdomadaire de la base de données 16 Maintenance quotidienne ou hebdomadaire de la base de données La base de données nécessite une maintenance régulière pour l'empêcher de devenir trop volumineuse et lui assurer des performances optimales. McAfee préconise des maintenances quotidiennes si possible ou, à défaut, hebdomadaire pour le moins. Seule une telle régularité permet d'améliorer les performances générales de la base de données et d'éviter un accroissement excessif de sa taille. La procédure varie selon que vous exécutez une base de données MSDE ou SQL : # Maintenance hebdomadaire des bases de données MSDE # Maintenance régulière des bases de données SQL Server Maintenance hebdomadaire des bases de données MSDE Effectuez périodiquement un nettoyage et une maintenance de votre base de données MSDE à l'aide de l'utilitaire SQLMAINT.EXE. Par défaut, ce dernier se trouve dans le dossier d'installation de MSDE sur votre serveur epolicy Orchestrator. SQLMAINT.EXE doit être exécuté au moins une fois par semaine. Cet utilitaire à invite de commande permet de réaliser des opérations de maintenance de base de données de routine, telles que les vérifications de la cohérence de la base de données, le vidage de la base de données et de son journal de transactions, la mise à jour des statistiques et la reconstruction des index. Loin de décrire toutes les opérations de maintenance de la base de données MSDE qu'il est possible d'accomplir avec SQLMAINT, la procédure ci-dessous explique plutôt les tâches minimales auxquelles une base de données epolicy Orchestrator doit absolument être soumise chaque semaine. Pour plus d'informations sur SQLMAINT et sur ses fonctions de maintenance de la base de données, reportez-vous au site web de Microsoft. Une fois par semaine, effectuez la procédure de maintenance de la base de données MSDE suivante à l'aide de l'utilitaire SQLMAINT.EXE : 1 Tapez les commandes suivantes (en respectant la casse) à l'invite de commande : SQLMAINT -S <SERVEUR> -U "<UTILISATEUR>" -P "<MOT DE PASSE>" -D <BASE DE DONNEES> -RebldIdx 5 -RmUnusedSpace UpdOptiStats 15 Où <SERVEUR> est le nom du serveur epolicy Orchestrator ; <UTILISATEUR> et <MOT DE PASSE>, le nom d'utilisateur et le mot de passe du compte d'utilisateur ; et <BASE DE DONNEES>, le nom de la base de données epolicy Orchestrator. Le nom par défaut de la base de données est EPO_<SERVEUR> où <SERVEUR> est le nom du serveur epolicy Orchestrator. 2 Appuyez sur ENTREE. 320

321 Maintenance des bases de données epolicy Orchestrator Maintenance quotidienne ou hebdomadaire de la base de données 16 Maintenance régulière des bases de données SQL Server Utilisez SQL Enterprise Manager pour assurer la maintenance régulière de votre base de données epolicy Orchestrator SQL. La procédure simple ci-dessous ne décrit pas toutes les opérations de maintenance de la base de données SQL qu'il est possible d'effectuer dans SQL Enterprise Manager. Pour plus de détails sur les autres possibilités, reportez-vous à la documentation SQL. Sélection du modèle de récupération simple Sélectionnez Simple comme type de modèle de récupération. Cette modification des paramètres SQL ne doit intervenir qu'une seule fois et elle est très importante. Si, à l'installation, les bases de données MSDE prennent par défaut le modèle de récupération simple, SQL Server s'installe par contre avec un autre modèle, qui ne permet pas de nettoyer aussi facilement le journal de transactions, lequel peut par conséquent prendre des dimensions excessives. Pour basculer vers le modèle de récupération simple dans SQL Server : 1 Dans SQL Server Enterprise Manager, sous Serveurs Microsoft SQL SQL Server Group (Groupe SQL Server) <SERVEUR DE BASE DE DONNEES> Databases (Bases de données) dans l'arborescence de la console, cliquez avec le bouton droit sur <BASE DE DONNEES>, puis sélectionnez Properties (Propriétés). La boîte de dialogue Properties (Propriétés) de la base de données epolicy Orchestrator sélectionnée s'affiche. 2 Cliquez sur l'onglet Options. 3 Sous Recovery (Récupération), sélectionnez Simple dans Model (Modèle), puis cliquez sur OK. Exécution de l'assistant Plan de maintenance de base de données dans SQL Enterprise Manager 1 Ouvrez SQL Enterprise Manager. 321

322 Maintenance des bases de données epolicy Orchestrator Maintenance quotidienne ou hebdomadaire de la base de données 16 2 Dans l'arborescence de la console, sous Serveurs Microsoft SQL SQL Server Group (Groupe SQL Server) <SERVEUR DE BASE DE DONNEES> Management (Gestion), cliquez avec le bouton droit sur Database Maintenance (Maintenance de la base de données), puis sélectionnez New Maintenance Plan (Nouveau plan de maintenance). Figure 16-1 Création d'un plan de maintenance dans SQL Server Enterprise Manager 3 Quand le Database Maintenance Plan Wizard (Assistant Plan de maintenance de base de données) s'affiche, cliquez sur Next (Suivant). 4 Dans la boîte de dialogue Select Databases (Sélectionner des bases de données), activez l'option These databases (Ces bases de données), puis sélectionnez la base de données utilisateur et désélectionnez les bases de données système : master, model et msdb. Le nom de la base de données utilisateur est celui de la base de données epolicy Orchestrator. Le nom par défaut des bases de données epolicy Orchestrator est EPO_<SERVEUR>, où <SERVEUR> est le nom du serveur epolicy Orchestrator. 5 Cliquez sur Next (Suivant). La boîte de dialogue Update Data Optimization Information (Mettre à jour les informations d'optimisation des données) s'affiche. # Sélectionnez Reorganize data and index pages (Réorganiser les pages d'index et les données). # Sélectionnez Change free space per page percentage to (Modifier l'espace libre par pourcentage de page à), puis tapez 10 comme pourcentage. # Sélectionnez Remove unused space from database files (Supprimer l'espace inutilisé des fichiers de base de données). # Planifiez les tâches d'optimisation des données pour qu'elles s'exécutent pendant les heures creuses. Cliquez sur Change (Modifier) pour modifier la planification par défaut. 322

323 Maintenance des bases de données epolicy Orchestrator Maintenance quotidienne ou hebdomadaire de la base de données 16 6 Cliquez sur Next (Suivant). La boîte de dialogue Database Integrity Check (Vérification de l'intégrité de la base de données) s'affiche. 7 Sélectionnez Check database integrity (Vérifier l'intégrité de la base de données) et Perform these checks before doing backup (Effectuer ces tests avant de réaliser les sauvegardes). 8 Cliquez sur Next (Suivant). La boîte de dialogue Specify the Database Backup Plan (Spécifier le plan de sauvegarde de base de données) s'affiche. 9 Planifiez les tâches de sauvegarde de la base de données pour qu'elles s'exécutent pendant les heures creuses. Cliquez sur Change (Modifier) pour modifier la planification par défaut. 10 Cliquez sur Next (Suivant). La boîte de dialogue Specify Backup Disk Directory (Spécifier le répertoire disque de sauvegarde) s'affiche. 11 Sélectionnez Use the default backup directory (Utiliser le répertoire de sauvegarde par défaut). 12 Cliquez sur Next (Suivant). La boîte de dialogue Specify the Transaction Log Backup Plan (Spécifier le plan de sauvegarde de journal des transactions) s'affiche. 13 Sélectionnez Back up the transaction log as part of the maintenance plan (Sauvegarder le journal des transactions dans le cadre du plan de maintenance) et Verify the integrity of the backup when complete (Vérifier l'intégrité de la sauvegarde à l'issue de l'opération). 14 Planifiez les tâches de sauvegarde du journal de transactions pour qu'elles s'exécutent pendant les heures creuses. Cliquez sur Change (Modifier) pour modifier la planification par défaut. 15 Cliquez sur Next (Suivant). La boîte de dialogue Specify the Transaction Log Backup Disk Directory (Spécifier le répertoire disque de sauvegarde du journal des transactions) s'affiche. 16 Sélectionnez Use the default backup directory (Utiliser le répertoire de sauvegarde par défaut). 17 Cliquez sur Next (Suivant) à trois reprises. La boîte de dialogue Completing the Database Maintenance Plan Wizard (Fin de l'assistant Plan de maintenance de base de données) s'affiche. 18 Cliquez sur Finish (Terminer). 323

324 Maintenance des bases de données epolicy Orchestrator Sauvegarde régulière de la base de données epolicy Orchestrator 16 Sauvegarde régulière de la base de données epolicy Orchestrator McAfee recommande de sauvegarder les bases de données epolicy Orchestrator régulièrement afin de protéger les données et de parer à l'éventualité d'une défaillance matérielle ou logicielle. Une restauration à partir d'une sauvegarde peut se révéler nécessaire, tout comme une réinstallalation du serveur. La fréquence des sauvegardes dépend de la quantité de données epolicy Orchestrator que vous prenez le risque de perdre. Une sauvegarde hebdomadaire est un minimum, mais vous pouvez effectuer des sauvegardes journalières chaque fois que vous estimez avoir apporté de nombreuses modifications à votre déploiement. Il est également envisageable de réaliser des sauvegardes chaque nuit dans le cadre d'une tâche automatisée. Pour mieux répartir la charge de travail, vous pouvez aussi programmer des sauvegardes incrémentielles journalières et une sauvegarde complète chaque semaine. Placez la sauvegarde sur un serveur différent de celui qui héberge la base de données active, afin de ne pas perdre également la sauvegarde au cas où le serveur de base de données tomberait en panne. Voir aussi la section Restauration des bases de données epolicy Orchestrator en cas de défaillance matérielle ou logicielle à la page 331. Sauvegarde d'une base de données SQL (voir la documentation SQL) Si vous utilisez une base de données epolicy Orchestrator Microsoft SQL Server, consultez la documentation de SQL Server. Sauvegarde d'une base de données MSDE Si vous utilisez une base de données Microsoft Data Engine (MSDE) comme base de données epolicy Orchestrator, vous pouvez recourir à l'utilitaire de sauvegarde de base de données (DBBAK.EXE) pour sauvegarder et restaurer les bases de données MSDE epolicy Orchestrator sur le serveur de base de données. Conseil L'utilitaire de sauvegarde de base de données fonctionne pendant que le service Serveur epolicy Orchestrator est en cours d'exécution. Toutefois, McAfee recommande d'arrêter le service Serveur epolicy Orchestrator NAIMSERV.EXE avant d'entamer une sauvegarde. Cet utilitaire permet de sauvegarder et de restaurer des bases de données MSDE en utilisant le même chemin d'accès au même serveur de base de données. Il ne permet pas de modifier l'emplacement de la base de données. Pour sauvegarder des bases de données MSDE epolicy Orchestrator à l'aide de l'utilitaire de sauvegarde de base de données de McAfee (DBBAK.EXE) : 1 Arrêtez le service Serveur McAfee epolicy Orchestrator 3.5 et vérifiez que le service SQL Server (MSSQLSERVER) fonctionne. Pour des instructions détaillées, reportez-vous à la documentation relative au système d'exploitation. 2 Fermez toutes les consoles epolicy Orchestrator et consoles distantes. 324

325 Maintenance des bases de données epolicy Orchestrator Réparation d'événements et de noms d'ordinateurs dans la base de données 16 3 Démarrez l'utilitaire de sauvegarde de base de données (DBBAK.EXE). L'emplacement par défaut est le suivant : C:\PROGRAM FILES\NETWORK ASSOCIATES\EPO\3.5.0 Si vous avez effectué une mise à niveau depuis la version 2.5.1, l'emplacement par défaut est le suivant : C:\PROGRAM FILES\MCAFEE\EPO\3.5.0 Figure 16-2 Utilitaire de sauvegarde de base de données 4 Entrez le nom de serveur de base de données. 5 Sélectionnez Authentification NT ou Compte SQL. Si vous sélectionnez Compte SQL, indiquez un nom et un mot de passe utilisateur pour cette base de données. 6 Entrez le chemin du fichier de sauvegarde. 7 Cliquez sur Sauvegarder. 8 Cliquez sur OK une fois le processus de sauvegarde terminé. 9 Démarrez le service Serveur McAfee epolicy Orchestrator 3.5 et vérifiez que le service MSSQLSERVER fonctionne. Pour des instructions détaillées, reportez-vous à la documentation relative au système d'exploitation. Réparation d'événements et de noms d'ordinateurs dans la base de données Un numéro unique appelé identificateur global unique (GUID) est affecté à chaque ordinateur. Ces ID sont stockés avec les événements dans la base de données epolicy Orchestrator et permettent d'identifier les ordinateurs clients qui génèrent chaque événement. De plus, ils permettent d'effectuer le suivi des ordinateurs même si ceux-ci changent de nom. Cette caractéristique est importante car ces associations sont nécessaires pour garantir l'exactitude des rapports d'infection. 325

326 Maintenance des bases de données epolicy Orchestrator Réparation d'événements et de noms d'ordinateurs dans la base de données 16 Sous certaines conditions, un nouvel ID peut être affecté à un ordinateur. Dans ce cas, l'id stocké dans la base de données ne correspond plus à l'id affecté à l'ordinateur. Vous devez mettre à jour les événements de la base de données correspondant aux ID incorrects afin de garantir l'exactitude du rapport contenant les données d'infection. Voici quelques situations dans lesquelles les ordinateurs reçoivent un nouvel ID : # Modification de l'adresse MAC des ordinateurs # Changement de la carte d'interface réseau (NIC) des ordinateurs # Attribution d'un nouveau nom aux ordinateurs # Désinstallation puis réinstallation de l'agent (la mise à niveau automatique de l'agent ne génère pas de nouvel ID) # Constitution d'ordinateurs à l'aide d'une image commune du logiciel et du matériel # Utilisation d'une station d'accueil pour les ordinateurs portables Réparation d'événements dans la base de données Suivez cette procédure pour synchroniser les ID des événements de la base de données epolicy Orchestrator sélectionnée avec les ID des ordinateurs du réseau. Pour obtenir les définitions des options, cliquez sur Aide dans l'interface. 1 Sauvegardez la base de données. Pour plus d'informations, reportez-vous à la section Sauvegarde régulière de la base de données epolicy Orchestrator à la page Connectez-vous au serveur de base de données epolicy Orchestrator de votre choix à l'aide de l'authentification epolicy Orchestrator. 3 Dans l'arborescence de la console sous Reporting Bases de données epo <SERVEUR DE BASE DE DONNEES>, sélectionnez Evénements. Les onglets Filtrage, Suppression, Importer et Réparer apparaissent dans le volet de détails. 326

327 Maintenance des bases de données epolicy Orchestrator Réparation d'événements et de noms d'ordinateurs dans la base de données 16 4 Cliquez sur l'onglet Réparer. Figure 16-3 Onglet Réparer 5 Cliquez sur Démarrer pour synchroniser les ID des événements avec les ID des ordinateurs du réseau. 6 Si la valeur Evénéments non associés à des ordinateurs est supérieure à zéro après le processus de réparation, vous devez également réparer les noms des ordinateurs. Pour plus d'informations, reportez-vous à la section Réparation des noms d'ordinateurs associés aux événements de la base de données à la page 327. Réparation des noms d'ordinateurs associés aux événements de la base de données Lorsque les noms d'ordinateurs ont été modifiés, suivez cette procédure pour mettre à jour les événements en fonction de ces nouveaux noms. 1 Réparez les événements dans la base de données. Pour plus d'informations, reportez-vous à la section Réparation d'événements dans la base de données à la page Pour chaque ordinateur renommé, exécutez l'instruction SQL suivante sur la base de données ou créez un script SQL contenant une instruction SQL dans votre outil de maintenance de base de données (par exemple l'analyseur de requêtes SQL Server) : UPDATE EVENTS SET HOSTNAME='<NOUVEL ORDINATEUR>' WHERE HOSTNAME='<ANCIEN ORDINATEUR>' Où <NOUVEL ORDINATEUR> et <ANCIEN ORDINATEUR> représentent respectivement les noms actuel et précédent de l'ordinateur. 3 Répétez la procédure si nécessaire. 327

328 Maintenance des bases de données epolicy Orchestrator Suppression périodique d'événements anciens de la base de données 16 Suppression périodique d'événements anciens de la base de données Il est possible de supprimer périodiquement des événements de la base de données afin de freiner la croissance de cette dernière et d'en améliorer les performances. De nombreux événements, en particulier les événements mineurs et ceux d'information, perdent leur importance au fil du temps. Il est possible, et par ailleurs conseillé, de sauvegarder la base de données avant d'en supprimer tout type d'événement. Vous pouvez ensuite archiver celle-ci et y recourir en qualité de référence historique en cas de besoin. Suivez cette procédure pour supprimer définitivement des événements de la base de données epolicy Orchestrator. 1 Sauvegardez la base de données. Pour plus d'informations, reportez-vous à la section Sauvegarde régulière de la base de données epolicy Orchestrator à la page Connectez-vous au serveur de base de données epolicy Orchestrator de votre choix. 3 Dans l'arborescence de la console sous Reporting Bases de données epo <SERVEUR DE BASE DE DONNEES>, sélectionnez Evénements. Les onglets Filtrage, Importer, Réparer et Suppression apparaissent dans le volet de détails. 4 Cliquez sur l'onglet Suppression. Figure 16-4 Onglet Suppression 5 Sélectionnez les événements que vous souhaitez supprimer de la base de données. # Tous les événements Supprime tous les événements de la base de données. # Tous les événements depuis le début de l'année Supprime tous les événements depuis le début de l'année calendaire en cours. 328

329 Maintenance des bases de données epolicy Orchestrator Modification des informations de compte d'utilisateur SQL Server 16 # Tous les événements qui se sont produits plus de X jours auparavant Supprime les événements plus anciens que le nombre de jours spécifié. # Supprimer les événements d'un intervalle temporel donné Permet de spécifier un intervalle de dates et de supprimer tous les événements ayant eu lieu au cours de cet intervalle. 6 Cliquez sur Démarrer pour supprimer les événements spécifiés de la base de données. Modification des informations de compte d'utilisateur SQL Server La procédure suivante permet de modifier les informations de compte d'utilisateur SQL Server dans epolicy Orchestrator lorsque vous apportez des modifications aux modes d'authentification SQL Server dans un autre programme, tel que SQL Server Enterprise Manager. Cette mesure s'impose si vous devez utiliser un compte d'utilisateur SQL avec privilèges pour améliorer la sécurité réseau. Pour modifier les informations d'authentification SQL Server : 1 Démarrez le programme de configuration du serveur (CFGNAIMS.EXE). L'emplacement par défaut est le suivant : C:\PROGRAM FILES\NETWORK ASSOCIATES\EPO\3.5.0 Si vous avez effectué une mise à niveau depuis la version 2.5.1, l'emplacement par défaut est le suivant : C:\PROGRAM FILES\MCAFEE\EPO\3.5.0 Figure 16-5 Programme de configuration du serveur 2 Dans la boîte de dialogue Configuration du serveur, sous l'onglet Serveur SQL, sélectionnez le nom du serveur SQL et le nom de la base de données de votre choix. 329

330 Maintenance des bases de données epolicy Orchestrator Modification des informations de compte d'utilisateur SQL Server 16 3 Pour changer les références pour le compte utilisateur d'administrateur global epolicy Orchestrator, cliquez sur l'onglet Administrateur, puis sélectionnez le mode d'authentification. En fonction du type d'authentification choisi, effectuez les sélections requises : # Entrez un nom d'utilisateur et un mot de passe pour le compte utilisateur d'administrateur local ou de domaine. # Tapez le nom de domaine. Figure 16-6 Onglet Administrateur de la boîte de dialogue Configuration du serveur 4 Pour changer les références du compte utilisateur de réviseur epolicy Orchestrator, cliquez sur l'onglet Contrôleur, puis sélectionnez le mode d'authentification. En fonction du type d'authentification choisi, effectuez les sélections requises : # Entrez un nom d'utilisateur et un mot de passe pour le compte utilisateur de réviseur local ou de domaine. # Tapez le nom de domaine. 5 Cliquez sur OK lorsque vous avez terminé. 6 Redémarrez l'ordinateur pour que les modifications soient appliquées. 330

331 Maintenance des bases de données epolicy Orchestrator Restauration des bases de données epolicy Orchestrator en cas de défaillance matérielle ou logicielle 16 Restauration des bases de données epolicy Orchestrator en cas de défaillance matérielle ou logicielle Si vous avez sauvegardé régulièrement la base de données conformément aux recommandations de McAfee, la restauration est une opération simple, qu'il ne vous faudra réaliser qu'en de rares occasions, voire jamais. Hormis en cas de défaillance matérielle ou logicielle, une restauration est nécessaire si vous voulez mettre à niveau le serveur epolicy Orchestrator ou le matériel du serveur de base de données. La procédure varie selon qu'il s'agit d'une base de données SQL ou MSDE. Pour restaurer une base de données SQL Server, reportez-vous à la documentation SQL Server. Restauration d'une base de données MSDE à partir d'une sauvegarde L'utilitaire de sauvegarde de McAfee permet de sauvegarder et de restaurer des bases de données MSDE en utilisant le même chemin d'accès au même serveur de base de données. Il ne permet pas de modifier l'emplacement de la base de données. Pour restaurer des bases de données MSDE epolicy Orchestrator que vous avez sauvegardées à l'aide de l'utilitaire de sauvegarde de base de données (DBBAK.EXE) : 1 Arrêtez le service Serveur McAfee epolicy Orchestrator 3.5 et vérifiez que le service MSSQLSERVER fonctionne. Pour des instructions détaillées, reportez-vous à la documentation relative au système d'exploitation. 2 Fermez toutes les consoles epolicy Orchestrator et consoles distantes. 3 Démarrez l'utilitaire de sauvegarde de base de données (DBBAK.EXE). L'emplacement par défaut est le suivant : C:\PROGRAM FILES\NETWORK ASSOCIATES\EPO\3.5.0 Si vous avez effectué une mise à niveau depuis la version 2.5.1, l'emplacement par défaut est le suivant : C:\PROGRAM FILES\MCAFEE\EPO\3.5.0 Figure 16-7 Utilitaire de sauvegarde de base de données 4 Entrez le nom de serveur de base de données. 331