Guide d'installation et de migration. Chiffrement complet de points finaux pour données entreposées

Transcription

1 Guide d'installation et de migration Chiffrement complet de points finaux pour données entreposées

2 Trend Micro Incorporated se réserve le droit de modifier sans préavis ce document et le produit qui y est décrit. Avant d'installer et d'utiliser votre produit, veuillez consulter les fichiers Lisez-moi, les notes de mise à jour et/ou la dernière version de la documentation applicable que vous trouverez sur le site Web de Trend Micro à l'adresse suivante : Trend Micro, le logo t-ball de Trend Micro, Control Manager, OfficeScan Endpoint Encryption, PolicyServer, Full Disk Encryption, File Encryption et KeyArmor sont des marques commerciales ou des marques déposées de Trend Micro Incorporated. Tous les autres noms de produit ou de société peuvent être des marques commerciales ou des marques déposées de leurs propriétaires respectifs. Copyright Trend Micro Incorporated. Tous droits réservés. Nº de référence du document : APFM56404/ Date de publication : décembre 2014 Protégée par le brevet américain n : Brevets en instance.

3 Cette documentation présente les principales fonctionnalités du produit et/ou fournit les instructions d'installation pour votre environnement de production. Lisez attentivement cette documentation avant d'installer ou d'utiliser le produit. Vous trouverez des informations détaillées sur l utilisation des fonctionnalités spécifiques du produit dans le fichier d aide en ligne de Trend Micro et/ou dans la Base de connaissances sur le site Web de Trend Micro. Trend Micro cherche toujours à améliorer sa documentation. Si vous avez des questions, des commentaires ou des suggestions à propos de ce document ou de tout autre document Trend Micro, veuillez nous contacter à l'adresse docs@trendmicro.com. Veuillez évaluer cette documentation sur le site Web suivant :

4

5 Table des matières Préface Préface... ix Documentation... x Public cible... x Conventions typographiques... xi À propos de Trend Micro... xii Chapitre 1: Introduction à Endpoint Encryption À propos d'endpoint Encryption Fonctionnalités et avantages principaux Nouveautés de la version 5.0 Patch À propos d'encryption À propos de la norme FIPS Composants d'endpoint Encryption À propos de PolicyServer Consoles d'administration Agents Endpoint Encryption Périphériques Endpoint Encryption Utilisateurs d'endpoint Encryption Rôles utilisateurs d'endpoint Encryption Chapitre 2: Configuration système requise Configuration minimale requise pour PolicyServer Configuration système requise pour PolicyServer Éléments à prendre en compte pour les bases de données Fichiers d'installation requis Comptes requis i

6 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Consoles d'administration Configuration système requise pour PolicyServer MMC Configuration système requise pour Control Manager Configuration minimale requise d'officescan Agents Configuration système requise pour Full Disk Encryption Configuration système requise pour Encryption Management for Microsoft BitLocker Configuration système requise pour Encryption Management for Apple FileVault Configuration système requise pour File Encryption Chapitre 3: Aperçu du déploiement et de la mise à niveau Planification du déploiement Liste de contrôle préalable au déploiement Résumé des opérations de déploiement Options de gestion Gestion d'endpoint Encryption avec PolicyServer MMC seulement Intégration de Control Manager et d'officescan Options de déploiement Déploiement simple Déploiement de Control Manager Déploiement d'officescan Déploiement distribué complexe Recommandations pour la mise à l'échelle Déploiement des mises à niveau Éléments à prendre en compte pour la mise à niveau Chemins de mise à niveau Versions de l'agent prises en charge Résumé des opérations de mise à niveau Chapitre 4: Déploiement de PolicyServer À propos de PolicyServer ii

7 Table des matières Installation et configuration de PolicyServer Installation de PolicyServer Configuration de PolicyServer Synchronisation Active Directory de PolicyServer Proxy LDAP Configurer les services sur plusieurs points finaux Mise à niveau Chemins de mise à niveau Versions de l'agent prises en charge Mise à niveau de PolicyServer Mise à niveau de plusieurs services PolicyServer connectés à la même base de données Mise à niveau de PolicyServer MMC Migration vers Control Manager Désinstallation Désinstallation de PolicyServer MMC Désinstallation de PolicyServer Chapitre 5: Intégration de Control Manager À propos de l'intégration de Control Manager Migration vers Control Manager Ajout de PolicyServer en tant que produit géré à Control Manager Configuration des groupes pour les stratégies de Control Manager Création d'une stratégie Spécifications des cibles de stratégie Modification d'un produit géré de PolicyServer dans Control Manager Suppression d'un produit géré par PolicyServer à partir de Control Manager Chapitre 6: Déploiement des agents Endpoint Encryption Agents Endpoint Encryption À propos de Full Disk Encryption iii

8 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration À propos de File Encryption Installation Avant d'installer les agents Endpoint Encryption Conditions requises pour les points finaux gérés Déploiement automatique de l'agent Déploiement de Full Disk Encryption Déploiement de File Encryption Déploiements automatiques Mise à niveau Mise à niveau d'endpoint vers Windows Mise à niveau de Full Disk Encryption Mise à niveau de File Encryption Mise à niveau d'encryption Management for Apple FileVault Mise à niveau d'encryption Management for Microsoft BitLocker Migration Remplacement d'un produit de chiffrement précédemment installé Paramètres de Full Disk Encryption PolicyServer Migration de Full Disk Encryption vers une nouvelle entreprise Migration de points finaux vers un nouveau serveur PolicyServer 6-47 Désinstallation Désinstallation manuelle des agents Endpoint Encryption Utilisation d'officescan pour désinstaller les agents Endpoint Encryption Chapitre 7: Intégration d'officescan À propos de l'intégration de Trend Micro OfficeScan Installation d'officescan À propos de Plug-in Manager Installation des outils de déploiement d'endpoint Encryption Installation de l'outil de déploiement d'endpoint Encryption Gestion des plug-ins Gestion de l'outil de déploiement d'endpoint Encryption iv

9 Table des matières Utilisation des programmes plug-in Gestion des plug-ins Mises à niveau de l'outil de déploiement d'endpoint Encryption Désinstallation de l'outil de déploiement d'endpoint Encryption. 7-9 Gestion de l'arborescence des agents Arborescence des agents OfficeScan Tâches spécifiques dans l'arborescence des agents Déploiement des paramètres du serveur Déploiement des agents Endpoint Encryption Déploiement de l'agent avec OfficeScan Confirmation du déploiement de l'agent État de déploiement des agents Endpoint Encryption Codes erreur d'installation des agents Endpoint Encryption Utilisation d'officescan pour désinstaller les agents Endpoint Encryption Chapitre 8: Maintenance et support technique Contrat de maintenance Renouvellement du contrat de maintenance Licence d'évaluation Activation de la nouvelle licence du produit Affichage de la licence du produit Maintenance du produit Ressources de dépannage Communauté de Trend Utilisation du portail de l'assistance technique Communauté du renseignement de sécurité Encyclopédie des menaces Contacter Trend Micro Optimisation de la demande d'assistance Autres ressources TrendEdge Centre de téléchargement TrendLabs v

10 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Annexes Annexe A: Présentation de Trend Micro Control Manager Control Manager Standard et Advanced... A-3 Présentation des fonctionnalités de Control Manager... A-3 Architecture de Control Manager... A-5 Enregistrement d'endpoint Encryption sur Control Manager... A-8 Définition des accès utilisateur... A-9 Définition du répertoire Produits... A-17 Téléchargement et déploiement de nouveaux composants... A-41 Utilisation des journaux... A-69 Définition des rapports... A-73 Annexe B: Éléments à prendre en compte pour le déploiement Liste de contrôle relative au déploiement initial... B-2 Liste de contrôle de l'infrastructure de sécurité... B-4 Établissement de stratégies et de profils de sécurité... B-6 Éléments à prendre en compte pour modifier la gestion... B-7 Liste de contrôle préalable à l'installation de Full Disk Encryption... B-8 Communication à l'intention des utilisateurs finaux... B-12 Annexe C: Déploiement du programme pilote d'endpoint Encryption À propos d'un programme pilote... C-2 Attribution d'une équipe de projet... C-2 Mettre en œuvre une stratégie de déploiement progressif... C-2 Liste de contrôle du programme pilote Endpoint Encryption... C-3 vi

11 Table des matières Annexe D: Services Endpoint Encryption Annexe E: Glossaire Index Index... IN-1 vii

12

13 Préface Préface Bienvenue dans le Guide d'installation et de migration Trend Micro Endpoint Encryption. Ce document vous encourage à être opérationnel le plus rapidement possible en présentant les fonctions et l'architecture de sécurité d'endpoint Encryption. Ce guide explique les configurations minimales requises, la manière de préparer le déploiement, comment installer PolicyServer et le logiciel agent Endpoint Encryption, décrit la manière de présenter le déploiement aux utilisateurs finaux et comment effectuer des mises à niveau et des migrations. Les rubriques sont les suivantes: Documentation à la page x Public cible à la page x Conventions typographiques à la page xi À propos de Trend Micro à la page xii ix

14 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Documentation L'ensemble des documents relatifs à Trend Micro Endpoint Encryption comprennent ce qui suit : TABLEAU 1. Documentation relative au produit DOCUMENT Manuel de l'administrateur Guide d'installation et de migration Aide en ligne Fichier Lisez-moi Portail de l'assistance technique DESCRIPTION Décrit les concepts et fonctionnalités du produit et donne des instructions détaillées sur la manière de configurer et gérer PolicyServer, Full Disk Encryption et File Encryption. Explique la configuration système requise et contient les informations détaillées sur la manière de déployer, d'installer, de migrer et de mettre à niveau PolicyServer, Full Disk Encryption et File Encryption. Tous les produits contiennent un point d'entrée pour accéder à l'aide en ligne. L'aide en ligne fournit un accès aux rubriques d'aide HTML contextuelles. Contient des informations de dernière minute sur le produit qui ne se trouvent pas dans la documentation en ligne ou imprimée. Il décrit notamment les nouvelles fonctionnalités, fournit des conseils d'installation, recense les problèmes connus et rappelle l'historique des différentes versions du produit. Base de données en ligne contenant des informations sur la résolution des problèmes et le dépannage. Elle contient les dernières informations sur les problèmes connus des produits. Pour accéder à la base de connaissances, consultez le site Web suivant : Public cible Ce guide est écrit à l'intention des administrateurs IT déployant Trend Micro Endpoint Encryption dans des entreprises moyennes à grandes et au personnel du Centre x

15 Préface d'assistance qui gère les utilisateurs, les groupes, les stratégies et les périphériques. La documentation suppose des connaissances de base en informatique, réseautage et sécurité, y compris : Paramétrage et configuration matérielle des points finaux Concepts de base pour le chiffrement des points finaux Partitionnement de disque dur, formatage et entretien Architecture client-serveur Conventions typographiques Cette documentation utilise les conventions suivantes : TABLEAU 2. Conventions typographiques CONVENTION MAJUSCULE Gras Italique Monospace Chemin > de navigation Remarque DESCRIPTION Acronymes, abréviations, noms de certaines commandes et touches du clavier. Menus et commandes de menu, boutons de commande, onglets et options. Références à d'autres documents Exemples de lignes de commande, code de programme, URL Web, noms de fichier et sortie de programme Chemin d'accès pour atteindre un écran particulier Par exemple, Fichier > Enregistrer signifie, cliquez sur Fichier, puis sur Enregistrer dans l'interface Remarques de configuration Conseil Recommandations ou suggestions xi

16 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration CONVENTION Important DESCRIPTION Informations relatives aux paramètres de configuration par défaut ou requis ainsi qu'aux limitations de produits AVERTISSEMENT! Mesures essentielles et options de configuration À propos de Trend Micro En tant que leader mondial en matière de sécurité en ligne, Trend Micro développe des solutions de sécurité de contenus sur Internet ainsi que des solutions de gestion des menaces, créant ainsi un univers totalement sûr pour que particuliers et entreprises puissent y partager des informations numériques. Fort de 20 ans d'expérience, Trend Micro fournit des solutions de haut niveau client, serveur et en nuage, qui bloquent les menaces plus rapidement et protègent les données dans les environnements physiques, virtuels et en nuage. À mesure que les menaces et les failles voient le jour, Trend Micro s'engage auprès de ses clients pour les aider à sécuriser leurs données, assurer leur conformité, réduire leurs coûts et préserver leur intégrité commerciale. Pour plus d'informations, consultez : Trend Micro et le logo t-ball de Trend Micro sont des marques commerciales ou des marques déposées de Trend Micro Incorporated et sont enregistrées dans certains pays. Toutes les autres marques sont des marques commerciales ou des marques commerciales déposées par leur propriétaire respectif. xii

17 Chapitre 1 Introduction à Endpoint Encryption Ce chapitre présente les fonctions et fonctionnalités, les périphériques et les utilisateurs d'endpoint Encryption. Les rubriques sont les suivantes: À propos d'endpoint Encryption à la page 1-2 Fonctionnalités et avantages principaux à la page 1-2 Nouveautés de la version 5.0 Patch 1 à la page 1-4 À propos d'encryption à la page 1-9 Composants d'endpoint Encryption à la page 1-9 Périphériques Endpoint Encryption à la page 1-19 Utilisateurs d'endpoint Encryption à la page

18 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration À propos d'endpoint Encryption Trend Micro Endpoint Encryption garantit la confidentialité en chiffrant les données stockées sur des points finaux, des fichiers et des dossiers ainsi que des supports amovibles selon un grand nombre d'options de plate-formes. Endpoint Encryption fournit des commandes de stratégie granulaire et s'intègre de manière flexible aux autres outils de gestion de Trend Micro, notamment Control Manager et OfficeScan. Des fonctionnalités de déploiement innovantes vous aident à déployer facilement le logiciel agent en utilisant le chiffrement matériel ou logiciel FIPS qui est entièrement transparent pour les utilisateurs finaux, sans altérer la productivité. Une fois qu'il est déployé, la génération automatisée de rapports, d'audits et la synchronisation des stratégies avec Endpoint Encryption PolicyServer simplifie la gestion de la sécurité des points finaux. Endpoint Encryption dispose de fonctionnalités pour déployer des commandes à distance, récupérer des données perdues et protéger l'identité des utilisateurs, tout en maintenant une synchronisation des stratégies en temps réel. Au cas ou un point final est perdu ou volé, lancez à distance une commande de réinitialisation ou une commande «kill» afin de protéger immédiatement les informations de l'entreprise. Plusieurs outils de récupération sont également disponibles afin d'aider les utilisateurs finaux à réparer les données d'un disque dur endommagé. En s'intégrant dans les commandes existantes d'identité de l'entreprise, Endpoint Encryption dispose d'un grand nombre de méthodes d'authentification, notamment l'intégration d'active Directory et des ressources pour les utilisateurs finaux ayant perdu leurs informations d'authentification. Fonctionnalités et avantages principaux Le tableau suivant répertorie les fonctionnalités et avantages d'endpoint Encryption. 1-2

19 Introduction à Endpoint Encryption TABLEAU 1-1. Fonctionnalités principales d'endpoint Encryption FONCTION AVANTAGES Chiffrement Protection de l'intégralité du disque, y compris du MBR (enregistrement de démarrage principal), du système d'exploitation et de tous les fichiers système. Chiffrement matériel et logiciel pour les environnements mixtes. Protection complète des données des fichiers, des dossiers et des supports amovibles Authentification Méthodes d'authentification flexibles, à facteur unique et multifactorielles Vérification de l'efficacité et de la régularité d'un mot de passe lors des changements de mot de passe Mises à jour des stratégies avant authentification et démarrage du système Actions configurables lorsque le nombre de tentatives de saisie du mot de passe a été dépassé Gestion des périphériques Stratégies pour protéger les données sur les points finaux et les supports amovibles Possibilité de verrouiller, réinitialiser, nettoyer ou éliminer à distance un périphérique 1-3

20 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration FONCTION Administration centralisée Conservation des informations, génération de rapports et d'audits. AVANTAGES Utilisation flexible de PolicyServer MMC ou Control Manager pour gérer le serveur PolicyServer Déployer les agents Endpoint Encryption sur des points finaux déjà gérés par OfficeScan Mettre en œuvre des stratégies de sécurité pour les utilisateurs individuels et les groupes de stratégies à partir d'un serveur à stratégie unique Protéger instantanément les données des utilisateurs finaux en envoyant des commandes de verrouillage ou d'effacement vers les périphériques Endpoint Encryption perdus ou volés Automatiser l'application des stratégies avec actions correctives pour remédier aux événements de sécurité. Mise à jour des stratégies de sécurité en temps réel, avant l'authentification, afin de révoquer les informations d'identification de l'utilisateur avant le démarrage du système d'exploitation Génération avancée de rapports et d'audits en temps réel afin d'assurer la conformité de la sécurité Analyser les statistiques d'utilisation via des rapports programmés et des notifications d'alerte Nouveautés de la version 5.0 Patch 1 Trend Micro Endpoint Encryption 5.0 Patch 1 de nombreuses nouvelles fonctionnalités et améliorations. 1-4

21 Introduction à Endpoint Encryption TABLEAU 1-2. Nouveautés de Endpoint Encryption 5.0 Patch 1 NOUVELLE FONCTIONNALITÉ Gestion de la licence de Control Manager Visibilité centrée sur les utilisateurs de Control Manager DESCRIPTION Endpoint Encryption PolicyServer s'intègre à la gestion de la licence de Control Manager. Control Manager prend en charge les fonctions suivantes avec Endpoint Encryption : Afficher les informations de la licence Endpoint Encryption actuelle Déployer une licence complète sur PolicyServer Renouveler une licence sur PolicyServer Endpoint Encryption s'intègre à la visibilité centrée sur les utilisateurs de Control Manager. Les journaux d'état envoyés à Control Manager incluent les informations d'utilisateur pour les agents Endpoint Encryption suivants : Full Disk Encryption File Encryption Encryption Management for Microsoft BitLocker Encryption Management for Apple FileVault Prise en charge des cartes réseau NIC et Wi-Fi Endpoint Encryption prend en charge les groupes suivants de contrôleur réseau (NIC) : Famille Intel Ethernet Controller l217 Famille Intel Ethernet Controller l218 Endpoint Encryption prend également en charge la carte Wi-Fi Intel Dual Band AC

22 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration TABLEAU 1-3. Nouveautés de Endpoint Encryption 5.0 NOUVELLE FONCTIONNALITÉ Nouvelle interface de communication Intégration de Control Manager Intégration d'officescan DESCRIPTION Endpoint Encryption 5.0 présente une nouvelle interface de communication (service Endpoint Encryption) que tous les agents et consoles d'administration Endpoint Encryption 5.0 Patch 1 utilisent pour communiquer avec PolicyServer. Le service Endpoint Encryption utilise une API Web RESTful (Representational State Transfer) avec un algorithme de chiffrement AES-GCM. Le service Endpoint Encryption possède trois fonctionnalités principales : Contrôle d'accès : Après authentification de l'utilisateur, PolicyServer génère un jeton valable uniquement pour cet utilisateur dans cette session. Contrôle des stratégies : Avant l'authentification de l'utilisateur, le service Endpoint Encryption Service limite toutes les transactions de stratégie PolicyServer MMC, Control Manager et OfficeScan tant que l'utilisateur n'est pas identifié. Mises à jour automatiques des stratégies : Une fois que l'enregistrement sur le serveur Policy Server a réussi, les agents Endpoint Encryption obtiennent automatiquement les nouvelles stratégies sans authentification de l'utilisateur. Endpoint Encryption 5.0 s'intègre avec Control Manager pour la gestion de PolicyServer. Pour plus d'informations sur Control Manager, consultez la section À propos de l'intégration de Control Manager à la page 5-2. Endpoint Encryption 5.0 fournit une assistance pour les déploiements d'officescan. Utilisez le nouveau plug-in Outil de déploiement d'endpoint Encryption pour déployer de manière centrale ou désinstaller les agents Endpoint Encryption sur un point final quelconque géré actuellement par OfficeScan. 1-6

23 Introduction à Endpoint Encryption NOUVELLE FONCTIONNALITÉ Gestion de la licence Prise en charge d'apple FileVault et de Microsoft BitLocker DESCRIPTION Endpoint Encryption 5.0 s'intègre au portail de gestion des licences de Trend Micro. Comme pour les versions précédentes de produits, vous pouvez essayer gratuitement Endpoint Encryption pendant 30 jours. Lorsque la licence d'essai arrive à expiration, un code d'activation est nécessaire. Pour plus d'informations sur la gestion des licences, consultez la section Contrat de maintenance à la page 8-2. Endpoint Encryption 5.0 fait progresser Full Disk Encryption grâce à l'intégration de nouvelles solutions de chiffrement intégrées au système d'exploitation hôte par le biais de deux nouveaux agents Endpoint Encryption : Encryption Management for Microsoft BitLocker Encryption Management for Apple FileVault PolicyServer gère de manière centrale les deux agents avec des contrôles de stratégie pour effacer ou éliminer à distance le périphérique Endpoint Encryption. Modification du nom FileArmor et déplacement vers Common Framework Endpoint Encryption 5.0 renomme l'agent FileArmor en File Encryption, afin de mieux correspondre à la nouvelle fonctionnalité de l'agent Endpoint Encryption. File Encryption dispose des avantages de FileArmor 3.1.3, notamment une meilleure prise en charge des supports amovibles. File Encryption est également à présent mieux aligné avec Full Disk Encryption pour une meilleure gestion des modes de passe et des stratégies. 1-7

24 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration NOUVELLE FONCTIONNALITÉ Amélioration de la maintenance, des journaux et des rapports Améliorations pour les cartes à puce DESCRIPTION Endpoint Encryption 5.0 comporte plusieurs améliorations pour la maintenance des produits, les journaux et les rapports. Pour plus d'informations, consultez la section Fonctionnalités d'entreprise avancées dans le Manuel de l'administrateur Endpoint Encryption. Mécanisme pour purger la base de données de journaux : Il est à présent possible de purger la base de donnée de journaux selon des critères spécifiques. Supprimer les utilisateurs et périphériques Endpoint Encryption : Pour nettoyer les périphériques et les utilisateurs de l'entreprise, il est maintenant possible de purger les périphériques et les utilisateurs inactifs pendant une période de temps spécifiée. Rapport d'entreprise pour les utilisateurs inactifs : Le nouveau rapport d'entreprise affiche tous les utilisateurs d'endpoint Encryption qui ne se sont pas connectés sur des périphériques Endpoint Encryption pendant une période de temps spécifiée. Rapport Entreprise pour les périphériques inactifs : Le nouveau rapport Entreprise affiche tous les périphériques Endpoint Encryption qui n'ont fait l'objet d'aucune connexion pendant une période de temps spécifiée. Endpoint Encryption 5.0 fournit les améliorations suivantes pour les cartes à puce : Amélioration du déploiement de l'agent Endpoint Encryption dans les environnements utilisant des cartes à puce Prise en charge du partage de mots de passe pour les cartes à puce 1-8

25 Introduction à Endpoint Encryption À propos d'encryption Le chiffrement est un processus qui rend des données illisibles, à moins de disposer de la clé de chiffrement. Effectuez un chiffrement matériel ou logiciel (ou une combinaison des deux) afin de protéger les données localement sur un disque dur de point final, sur un support amovible, dans des fichiers et dossiers spécifiques, ainsi que lors du transfert de données sur des réseaux ou sur Internet. Le chiffrement de point final est la manière la plus importante d'assurer la sécurité des données mais aussi d'assurer que la protection des données est conforme aux exigences réglementaires à ce sujet. À propos de la norme FIPS La norme Federal Information Processing Standard (FIPS) Publication est une norme gouvernementale des États-Unis, relative à la sécurité des périphériques, qui régit les conditions de sécurité requises pour les modules de chiffrement. Le tableau suivant explique les quatre niveaux de sécurité FIPS : TABLEAU 1-4. Niveaux de sécurité FIPS NIVEAU DESCRIPTION 1 Requiert que tous les composants de chiffrement soient capables de fonctionner dans un environnement de production et soient exempts de failles de sécurité évidentes. 2 Inclut les conditions de niveau 1 et ajoute des conditions de preuve de falsification physiques et d'authentification basée sur des rôles. 3 Inclut les conditions de niveau 2 et ajoute des conditions de résistance à la falsification physiques et d'authentification basée sur l'identité. 4 Inclut les conditions de niveau 3 et ajoute des conditions physiques de sécurité supplémentaires. Composants d'endpoint Encryption Endpoint Encryption se compose d'un serveur d'administration central (PolicyServer) qui gère les bases de données de stratégies et de journaux, l'authentification et toute 1-9

26 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration activité client-serveur. Déployez plusieurs agents Endpoint Encryption uniques qui effectuent chacun des tâches de chiffrement spécifiques. Tous les agents Endpoint Encryption communiquent via un canal chiffré. Gérez de manière flexible Endpoint Encryption en utilisant uniquement PolicyServer MMC ou en utilisant Control Manager pour la gestion des stratégies, des utilisateurs et des périphériques et PolicyServer MMC pour la gestion avancée des journaux et l'établissement de rapports. Endpoint Encryption s'intègre à OfficeScan. Utilisez le plug-in Outil de déploiement d'endpoint Encryption pour déployer le logiciel agent Endpoint Encryption sur un point final géré OfficeScan. Remarque Pour plus d'informations sur les scénarios de déploiement, consultez la section Aperçu du déploiement et de la mise à niveau à la page

27 Introduction à Endpoint Encryption L'illustration suivante montre les composants et les protocoles de communication d'endpoint Encryption FIGURE 1-1. Architecture d'endpoint Encryption Le tableau suivant décrit ces composants. 1-11

28 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration TABLEAU 1-5. Composants d'endpoint Encryption COMPOSANT Services d'endpoint Encryption PolicyServer DESCRIPTION PolicyServer se compose de plusieurs services qui contrôlent de manière centrale les stratégies, l'authentification et l'établissement de rapports. PolicyServer se compose des éléments suivants : Service Endpoint Encryption Service Web hérité Service Windows PolicyServer Pour plus d'informations sur PolicyServer, consultez la section À propos de PolicyServer à la page Base de données SQL d'endpoint Encryption PolicyServer : Endpoint Encryption PolicyServer MMC Trend Micro Control Manager Base de données Microsoft SQL Server qui stocke toutes les informations sur les utilisateurs, les stratégies et les journaux. Installez la base de données sur le même serveur que PolicyServer ou séparément. Configurez PolicyServer de manière flexible en utilisant Microsoft SQL Server ou Microsoft SQL Express. Pour plus d'informations sur les options de configuration de la base de données, consultez la section Recommandations pour la mise à l'échelle à la page PolicyServer MMC est l'option d'interface native pour gérer PolicyServer à distance. Trend Micro Control Manager est une option pour gérer PolicyServer à distance tout en s'intégrant également avec d'autres produits Trend Micro gérés. Les administrateurs peuvent utiliser la fonctionnalité de gestion des stratégies pour configurer et déployer les paramètres du produit dans les produits gérés et les points finaux. La console d'administration à interface Web de Control Manager fournit un point de surveillance unique pour les produits et les services antivirus et de sécurité de contenu sur tout le réseau. 1-12

29 Introduction à Endpoint Encryption COMPOSANT Agents Endpoint Encryption 5.0 Patch 1 DESCRIPTION Tous les agents Endpoint Encryption 5.0 Patch 1 communiquent avec le service service Endpoint Encryption de PolicyServer en utilisant une API Web RESTful. Pour plus d'informations sur les agents Endpoint Encryption, consultez : À propos de Full Disk Encryption à la page 6-3 À propos de File Encryption à la page 6-4 Pour plus d'informations sur les communications des agents Endpoint Encryption, consultez la section À propos de PolicyServer à la page Remarque Configurez les paramètres de port pendant l'installation de l'agent Endpoint Encryption. Full Disk Encryption peut utiliser la console de restauration pour modifier le numéro de port attribué. Autres agents d'endpoint Encryption Active Directory Tous les agents Endpoint Encryption hérités (3.1.3 et versions antérieures) communiquent avec le service Web hérité sur PolicyServer. Pour plus de détails sur les communications des agents, consultez la section À propos de PolicyServer à la page PolicyServer effectue la synchronisation des informations de compte d'utilisateur en communiquant avec Active Directory via LDAP. Les informations de compte sont mises en cache dans la base de données Microsoft SQL. Remarque Active Directory est facultatif. À propos de PolicyServer Trend Micro PolicyServer gère les clés de chiffrement et synchronise les stratégies sur tous les points finaux de l'organisation. PolicyServer applique également une 1-13

30 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration authentification sécurisée et fournit des outil d'audit et de génération de rapports en temps réel afin de garantir la conformité aux réglementations. Vous pouvez gérer PolicyServer de manière flexible avec PolicyServer MMC ou avec Trend Micro Control Manager. D'autres fonctionnalités de gestion des données sont notamment les actions d'auto-assistance basées sur l'utilisateur et les actions sur les périphériques permettant de réinitialiser ou d'«éliminer» à distance un périphérique perdu ou volé. Le tableau suivant décrit les composants de PolicyServer que vous pouvez déployer sur un ou plusieurs serveurs, selon les besoins de votre environnement. TABLEAU 1-6. Composants de PolicyServer COMPOSANT Entreprise Base de données Service Windows PolicyServer Service Endpoint Encryption DESCRIPTION L'Entreprise Endpoint Encryption est l'identifiant unique de l'organisation dans la base de données PolicyServer configurée lors de l'installation de PolicyServer. Une base de données PolicyServer ne doit avoir qu'une seule configuration d'entreprise. La base de données Microsoft SQL PolicyServer stocke de manière sécurisée toutes les données relatives aux utilisateurs, aux périphériques et aux journaux. La base de données est configurée sur un serveur dédié ou ajoutée à un cluster SQL existant. Les bases de données des journaux et des autres éléments peuvent se trouver dans des endroits différents. Le service Windows PolicyServer gère toutes les transactions de communication entre le système d'exploitation hôte, le service Endpoint Encryption, le service Web hérité, le proxy Web client et les bases de données SQL. Tous les agents Endpoint Encryption 5.0 Patch 1 utilisent le service Endpoint Encryption pour communiquer avec PolicyServer. Le service Endpoint Encryption utilise une API Web RESTful (Representational State Transfer) avec un algorithme de chiffrement AES-GCM. Lorsqu'un utilisateur s'authentifie, PolicyServer génère un jeton lié à la configuration de stratégie spécifique. Tant que l'utilisateur Endpoint Encryption ne s'est pas authentifié, le service refuse toutes les transactions de stratégie. Pour créer une topographie de réseau sur trois niveaux, le service peut également être déployé séparément sur un point final résidant dans le réseau DMZ, ce qui permet à PolicyServer de résider en toute sécurité dernière le pare-feu. 1-14

31 Introduction à Endpoint Encryption COMPOSANT Service Web hérité DESCRIPTION Tous les agents Endpoint Encryption et les agents plus anciens utilisent le protocole SOAP (Simple Object Access Protocol) pour communiquer avec PolicyServer. Dans certaines situations, SOAP peut autoriser des transactions de stratégie non sécurisées sans authentification de l'utilisateur. Le service Web hérité filtre les appels SOAP en exigeant une authentification et en limitant les commandes que SOAP peut accepter. Pour créer une topographie de réseau sur trois niveaux, le service peut également être déployé séparément sur un point final résidant dans le réseau DMZ, ce qui permet à PolicyServer de résider en toute sécurité dernière le pare-feu. Consoles d'administration En fonction de la sécurité des points finaux et des besoins de l'infrastructure existante, vous pouvez gérer Endpoint Encryption en utilisant seulement une console d'administration unique ou une combinaison de plusieurs consoles d'administration. Le tableau suivant les consoles d'administration disponibles pour gérer Endpoint Encryption. 1-15

32 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration TABLEAU 1-7. Consoles d'administration Endpoint Encryption CONSOLE D'ADMINISTRATION PolicyServer MMC DESCRIPTION Le plug-in PolicyServer Microsoft Management Console (PolicyServer MMC) est la console d'administration native pour l'administration des stratégies, des utilisateurs et des périphériques d'endpoint Encryption. Utilisez PolicyServer MMC pour gérer de manière centrale : Tous les utilisateurs, périphériques et groupes d'endpoint Encryption Toutes les stratégies, y compris le chiffrement, la complexité des mots de passe et l'authentification Les actions à distance sur le périphérique, notamment l'élimination d'un périphérique, l'effacement des données ou la mise en attente de l'authentification Les journaux des événements concernant les événements d'authentification et de gestion, l'état du chiffrement des périphériques et les violations de sécurité Processus de réinitialisation de mot de passe de Remote Help Les options d'audit et d'établissement de rapports 1-16

33 Introduction à Endpoint Encryption CONSOLE D'ADMINISTRATION Control Manager OfficeScan DESCRIPTION Trend Micro Control Manager est une console d'administration centralisée qui gère les produits et services Trend Micro, au niveau de la passerelle, du serveur de messagerie, du serveur de fichiers et des postes de travail de l'entreprise. Les administrateurs peuvent utiliser la fonctionnalité de gestion des stratégies pour configurer et déployer les paramètres du produit dans les produits gérés et les points finaux. La console d'administration à interface Web de Control Manager fournit un point de surveillance unique pour les produits et les services antivirus et de sécurité de contenu sur tout le réseau. Créez une sécurité sur plusieurs couches en intégrant Endpoint Encryption à Control Manager en tant que produit Trend Micro géré. Gérez de manière flexible Endpoint Encryption en utilisant uniquement PolicyServer MMC ou en utilisant Control Manager pour la gestion des stratégies, des utilisateurs et des périphériques et PolicyServer MMC pour la gestion avancée des journaux et l'établissement de rapports. OfficeScan protège les réseaux d'entreprise contre les programmes malveillants, les virus réseau, les menaces provenant d'internet, les spywares et les attaques mixtes. Solution intégrée, OfficeScan est composé d'un agent résidant au point final et d'un programme serveur qui gère tous les agents. Utilisez le plug-in Outil de déploiement d'endpoint Encryption d'officescan pour déployer de manière centrale ou désinstaller les agents Endpoint Encryption sur un point final quelconque géré actuellement par OfficeScan. Agents Endpoint Encryption Le tableau suivant décrit les agents Endpoint Encryption disponible pour des environnements divers. 1-17

34 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration AGENT File Encryption Full Disk Encryption Encryption Management for Microsoft BitLocker DESCRIPTION Agent Endpoint Encryption pour le File Encryptions et de dossiers sur les disques locaux et les supports amovibles. Utilisez File Encryption pour protéger les fichiers et les dossiers se trouvant virtuellement sur tout périphérique apparaissant comme disque sur le système d'exploitation hôte. Pour plus d'informations, consultez la section À propos de File Encryption à la page 6-4. Agent Endpoint Encryption pour le chiffrement matériel et logiciel avec authentification préalable au démarrage. Utilisez Full Disk Encryption pour sécuriser les fichiers de données, les applications, les paramètres de Registre, les fichiers temporaires, les fichiers d'échange, les spouleurs d'impression et les fichiers supprimés sur un point final Windows. Une authentification forte préalable au démarrage limite l'accès aux vulnérabilités jusqu'à ce que l'utilisateur soit validé. Pour plus d'informations, consultez la section À propos de Full Disk Encryption à la page 6-3. Agent Endpoint Encryption Full Disk Encryption pour les environnements Microsoft Windows qui ont simplement besoin d'activer Microsoft BitLocker sur le point final d'hébergement. Utilisez l'agent Encryption Management for Microsoft BitLocker pour sécuriser les points finaux avec la protection par chiffrement complet de disques de Trend Micro dans une infrastructure Windows existante. Pour plus d'informations, consultez la section À propos de Full Disk Encryption à la page

35 Introduction à Endpoint Encryption AGENT Encryption Management for Apple FileVault DESCRIPTION Agent Endpoint Encryption Full Disk Encryption pour les environnements Mac OS qui ont simplement besoin d'activer Apple FileVault sur le point final d'hébergement. Utilisez l'agent Encryption Management for Apple FileVault pour sécuriser les points finaux avec la protection par chiffrement complet de disques de Trend Micro dans une infrastructure Mac OS existante. Pour plus d'informations, consultez la section À propos de Full Disk Encryption à la page 6-3. Remarque Endpoint Encryption 5.0 ne comporte pas de périphériques KeyArmor. Toutefois, les périphériques KeyArmor hérités sont pris en charge. Périphériques Endpoint Encryption Périphériques et agents Endpoint Encryption enregistrés sur PolicyServer. L'installation d'un agent Endpoint Encryption enregistre automatiquement le point final sur PolicyServer en tant que nouveau périphérique Endpoint Encryption. Étant donné que plusieurs agents Endpoint Encryption peuvent protéger un point final donné, un point final unique peut apparaître comme plusieurs périphériques Endpoint Encryption sur PolicyServer. Vous pouvez créer des règles de stratégie qui se déclenchent automatiquement suite à un trop grand nombre de tentatives d'authentification infructueuses ou lorsque les stratégies de l'agent Endpoint Encryption sont obsolètes. Les règles de stratégie suivantes sont disponibles : Temporisation Authentification à distance obligatoire Effacer le périphérique 1-19

36 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration PolicyServer peut agir instantanément en cas de point final perdu ou volé en initiant une action à distance sur le périphérique Endpoint Encryption associé. Les actions à distance suivantes sont disponibles : Jeton logiciel Clé de restauration Éliminer le périphérique Verrouiller le périphérique Réinitialisation logicielle Remarque Pour plus d'informations sur les périphériques Endpoint Encryption, consultez la section Périphériques et utilisateurs dans le Manuel de l'administrateur Endpoint Encryption. Utilisateurs d'endpoint Encryption Les utilisateurs d'endpoint Encryption sont tous les comptes d'utilisateurs ajoutés manuellement à PolicyServer ou synchronisés avec Active Directory. Endpoint Encryption dispose de plusieurs rôles de compte et méthodes d'identification permettant une authentification et une gestion complètes basées sur l'identité. En utilisant Control Manager ou PolicyServer MMC, vous pouvez ajouter ou importer des comptes d'utilisateurs, contrôler l'authentification, effectuer la synchronisation avec Active Directory et gérer l'appartenance aux groupes de stratégies, si nécessaire. Remarque Pour plus d'informations sur les utilisateurs Endpoint Encryption et leur authentification, consultez la section Périphériques et utilisateurs dans le Manuel de l'administrateur Endpoint Encryption. 1-20

37 Introduction à Endpoint Encryption Rôles utilisateurs d'endpoint Encryption Le tableau suivant explique les types de comptes d'utilisateur Endpoint Encryption destinés à des rôles différents au sein de l'entreprise ou d'un groupe de stratégies. Chaque rôle détermine les autorisations accordées lorsque l'utilisateur accède aux consoles d'administration et aux périphériques Endpoint Encryption. TABLEAU 1-8. Rôles du compte Endpoint Encryption RÔLE Administrateur de l'entreprise Administrateur de groupe ou de stratégie* DESCRIPTION Destiné aux administrateurs qui contrôlent l'entreprise et qui ont besoin de droits administratifs sur tous les groupes, utilisateurs, périphériques et stratégies, indépendamment de l'endroit où ils se trouvent. Destiné aux administrateurs qui contrôlent un groupe ou une stratégie qui leur est affecté. Remarque Les privilèges ne s'appliquent pas aux groupes parents, aux groupes de même niveau dans la hiérarchie ou à leurs sousgroupes. Authentificateur de l'entreprise Authentificateur de groupe ou de stratégie* Utilisateur Destiné au personnel du Centre d'assistance qui fournit une assistance à distance lorsque les utilisateurs oublient leur mot de passe Endpoint Encryption ou sont confrontés à un problème technique. Les authentificateurs d'entreprise disposent de privilèges configurables pour l'entreprise. Destiné au personnel du Centre d'assistance avec les mêmes privilèges que l'authentificateur d'entreprise, excepté la limitation au groupe ou à la stratégie qui leur est affecté. Destiné aux utilisateurs finaux de base sans privilèges spéciaux. Le rôle utilisateur ne peut pas se connecter au consoles d'administration Endpoint Encryption. 1-21

38 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Remarque *En raison des différences dans l'architecture des stratégies, Control Manager fusionne la structure des stratégies et des groupes de PolicyServer MMC. Les rôles suivants sont identiques entre PolicyServer MMC et Control Manager : Administrateur de groupe (PolicyServer MMC) et administrateur de stratégie (Control Manager) Authentificateur de groupe (PolicyServer MMC) et authentificateur de stratégie (Control Manager) 1-22

39 Chapitre 2 Configuration système requise Ce chapitre décrit la configuration système requise pour Trend Micro Endpoint Encryption. Les rubriques sont les suivantes: Configuration minimale requise pour PolicyServer à la page 2-2 Consoles d'administration à la page 2-6 Agents à la page

40 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Configuration minimale requise pour PolicyServer Cette section couvre la configuration matérielle et logicielle requise pour PolicyServer, les fichiers requis pour exécuter les installations ainsi que les comptes nécessaires à la configuration de la base de données et des environnements des serveurs Windows. Configuration système requise pour PolicyServer TABLEAU 2-1. Configuration système requise pour PolicyServer Processeur Mémoire RAM SPÉCIFICATION CONFIGURATION REQUISE Consultez la rubrique Éléments à prendre en compte pour les bases de données à la page 2-4. Espace disque Système d'exploitation Windows Server 2003 SP2 (32 bits/64 bits) Windows Server 2008/2008 R2 64 bits Remarque Pour plus d'informations sur la configuration requise pour Windows Server 2008/2008 R2, consultez la section Éléments à prendre en compte pour Windows Server 2008 et 2008 R2 à la page 2-3. Base de données Microsoft SQL 2005 SP3 (32 bits/64 bits)/ 2008/2008 R2 Microsoft SQL Express 2005 SP3/2008 Authentification en mode mixte (mot de passe SA) installée Services de rapport installés 2-2

41 Configuration système requise SPÉCIFICATION CONFIGURATION REQUISE Serveur Web et autres logiciels Serveur d'application Microsoft IIS Remarque PolicyServer 5.0 Patch 1 nécessite un seul emplacement IIS. Si vous utilisez le service Web client sur un point final distant, assurez-vous d'installer les services Microsoft IIS. Important Dans les environnements Windows 2003/ bits, assurezvous de régler le paramètre IIS «Enable32BitAppOnWin64» sur faux. Autoriser les pages Active Server Autoriser ASP.NET Microsoft.Net Framework 2.0 SP2 (ou 3.5) et 4.0 Windows Installer 4.5 (SQL Express) Éléments à prendre en compte pour Windows Server 2008 et 2008 R2 Le tableau suivant explique les exigences supplémentaires pour installer PolicyServer sur Microsoft Windows Server 2008 ou Microsoft Windows Server 2008 R2. 2-3

42 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration SYSTÈME D'EXPLOITATION RÔLES FONCTIONS AUTRE 2008 Installer le rôle du serveur d'applications Ajouter SMTP Installer Microsoft.Net Framework 4.0 Ajouter la 2008 R2 Installer le rôle prise en SQL 2008 SP1 doit du serveur Web charge de être installé pour Microsoft IIS exécuter SQL 2008 Aucune mise à niveau de.net n'est requise Éléments à prendre en compte pour les bases de données Lors de l'installation de PolicyServer, il est recommandé de disposer d'au moins deux serveurs dédiés : 1. Un serveur dédié pour la base de données (ou il faut ajouter la base de données à un cluster SQL existant). 2. Un serveur dédié aux services PolicyServer. Remarque Le matériel informatique virtuel est pris en charge par VMware Virtual Infrastructure. TABLEAU 2-2. Configuration matérielle requise pour PolicyServer HÔTES SÉPARÉS HÔTE UNIQUE Hôte PolicyServer (3 000 utilisateurs) Hôte SQL Server (3 000 utilisateurs) PolicyServer et SQL Server (1 500 utilisateurs) 2-4

43 Configuration système requise HÔTES SÉPARÉS HÔTE UNIQUE Processeurs 2 GHz Dual Quad Core Core2 Intel Xeon 4 Go de RAM 40 Go d'espace disque Processeurs 2 GHz Dual Quad Core Core2 Intel Xeon 8 Go de mémoire vive 100 Go d'espace disque Processeurs 2 GHz Quad Core Core2 Intel Xeon 8 Go de mémoire vive 120 Go d'espace disque Fichiers d'installation requis Copier tous les fichiers d'installation vers le disque local avant de procéder à l'installation. TABLEAU 2-3. Fichiers requis pour installer PolicyServer FICHIER PolicyServerInstaller.exe PolicyServerMMCSnapinSetup.msi TMEEProxyInstaller.exe OBJECTIF Installe la base de données et les services PolicyServer. PolicyServer MMC peut éventuellement être installé en même temps. Installe uniquement PolicyServer MMC. Installe le service Web client et le service de transfert de trafic. Ces services fonctionnent comme les proxys Web et les protocoles de communication dans les environnements ayant des agents PolicyServer et Endpoint Encryption dans des réseaux locaux différents. Le service Web client fonctionne pour les agents hérités et le service de transmission de trafic fonctionne pour les agents 5.0 ou version ultérieure. Remarque PolicyServer comprend une licence d'évaluation de 30 jours. Il n'est plus nécessaire d'avoir un fichier de licence pour effectuer la mise à niveau vers la version complète du produit. Pour plus d'informations, consultez la section Maintenance et support technique à la page

44 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Comptes requis Le tableau suivant explique la fonction et la description des comptes requis par PolicyServer. TABLEAU 2-4. Comptes requis pour l'installation de PolicyServer COMPTE FONCTION DESCRIPTION SQL SA Programme d'installation de PolicyServer Le compte est utilisé uniquement pour créer des bases de données PolicyServer SQL MADB Service Windows PolicyServer Compte créé pendant l'installation afin d'authentifier les bases de données PolicyServer Administrateur local Services Windows et IIS PolicyServer Compte utilisé pour l'exécution des services Windows PolicyServer et des pools d'applications des services Web Consoles d'administration Cette section décrit les conditions requises pour les consoles d'administration. Configuration système requise pour PolicyServer MMC Le tableau suivant explique la configuration système requise pour PolicyServer MMC. Il peut être installé pendant l'installation de PolicyServer ou séparément sur un point final différent. TABLEAU 2-5. Configuration système requise pour PolicyServer MMC Processeur SPÉCIFICATION Mémoire RAM CONFIGURATION REQUISE Processeur Intel Core 2 ou compatible 512 Mo 2-6

45 Configuration système requise SPÉCIFICATION Espace disque Connectivité réseau Système d'exploitation 100 Mo au minimum Connexion à PolicyServer CONFIGURATION REQUISE Tout système d'exploitation Microsoft Windows pris en charge par PolicyServer ou les agents Endpoint Encryption Autres Microsoft.NET Framework 4.0 Configuration système requise pour Control Manager Le tableau suivant explique les conditions requises pour utiliser Control Manager pour la gestion des serveurs. TABLEAU 2-6. Configuration requise pour Control Manager SPÉCIFICATION CONFIGURATION REQUISE Serveur Control Manager Control Manager, Patch 3 Mémoire RAM 2 Go au minimum 4 Go recommandés Espace disque 10 Go au minimum 20 Go recommandés Connectivité réseau Autres Connexion à PolicyServer Pour des instructions supplémentaires sur la configuration système requise et la configuration de Control Manager, consultez la documentation Control Manager disponible à l'adresse : 2-7

46 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Configuration minimale requise d'officescan Les tableaux suivants expliquent la configuration système requise pour installer OfficeScan, utiliser le plug-in Outil de déploiement d'endpoint Encryption pour déployer les agents Endpoint Encryption ou installer l'agent OfficeScan. TABLEAU 2-7. Configuration requise par le serveur OfficeScan SPÉCIFICATION CONFIGURATION REQUISE Serveur OfficeScan L'une des versions suivantes : Plug-in Manager SP Patch 5 Mémoire RAM 1 Go au minimum avec au moins 500 Mo dédiés à OfficeScan 2 Go recommandé Espace disque pour OfficeScan 3,1 Go au minimum si le serveur dispose des éléments suivants : Serveur OfficeScan Client OfficeScan Policy Server pour Cisco NAC Smart Protection Server intégré (local) 3,5 Go au minimum si le serveur dispose des éléments suivants : Serveur OfficeScan Client OfficeScan Smart Protection Server intégré (distant) Espace disque pour l'outil de déploiement d'endpoint Encryption 1 Go au minimum 2-8

47 Configuration système requise SPÉCIFICATION CONFIGURATION REQUISE Connectivité réseau Connexion à PolicyServer Connectivité avec les points finaux d'officescan Autres Pour des instructions supplémentaires sur la configuration système requise et la configuration d'officescan, consultez la documentation OfficeScan disponible à l'adresse : TABLEAU 2-8. Configuration requise par l'agent OfficeScan SPÉCIFICATION CONFIGURATION REQUISE Mémoire RAM 512 Mo au minimum Espace disque 1 Go au minimum Connectivité réseau Connexion à PolicyServer Connectivité avec les points finaux d'officescan Autres Microsoft.NET Framework 2.0 SP1 Remarque Bien que les agents OfficeScan puissent s'exécuter sur une version Windows quelconque, veillez à examiner la configuration système requise pour chaque agent Endpoint Encryption. Agents Cette section décrit les conditions requises pour tous les agents Endpoint Encryption. Configuration système requise pour Full Disk Encryption Le tableau suivant décrit la configuration système requise minimale et recommandée pour installer Full Disk Encryption. 2-9

48 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration TABLEAU 2-9. Configuration système requise pour Full Disk Encryption Processeur SPÉCIFICATION Mémoire RAM CONFIGURATION REQUISE Processeur Intel Core 2 ou compatible 1 Go au minimum Espace disque 30 Go au minimum 20 % d'espace disque disponible requis 256 Mo d'espace disponible contigu requis Connectivité réseau Une communication avec PolicyServer est requise pour les agents gérés Système d'exploitation Windows 8.1 (32 bits/64 bits) Windows 8 (32 bits/64 bits) Windows 7 (32 bits/64 bits) Windows Vista avec SP1 (32 bits/64 bits) Windows XP avec SP3 (32 bits uniquement) Autres logiciels Configuration supplémentaire pour Windows 8 : Microsoft.NET Framework 3.5 activé Pour les dispositifs munis de UEFI, définissez la séquence de démarrage sur Mode hérité d'abord. Consultez la section Préparation du point final Windows à la page 6-8. Configuration supplémentaire pour Windows XP : Microsoft.NET Framework 2.0 SP1 ou ultérieur Microsoft Windows Installer

49 Configuration système requise SPÉCIFICATION CONFIGURATION REQUISE Disque dur Disques Seagate DriveTrust Lecteurs Seagate OPAL et OPAL 2 Remarque N'installez pas Full Disk Encryption sur les points finaux comportant plusieurs disques durs. Les environnements à disques multiples ne sont pas pris en charge Les disques RAID et SCSI ne sont pas pris en charge Full Disk Encryption pour Windows 8 ne prend pas en charge les lecteurs RAID, SCSI ou edrive Autre matériel Chiffrement logiciel : Contrôleur de disque dur ATA, AHCI ou IRRT Remarque Les paramètres BIOS RAID et SCSI ne sont pas pris en charge. Chiffrement matériel : Contrôleur de disque dur AHCI Remarque Aucun autre paramètre BIOS n'est pris en charge. Configuration système requise pour Encryption Management for Microsoft BitLocker Le tableau suivant explique la configuration système minimale requise et recommandée pour Encryption Management for Microsoft BitLocker. 2-11

50 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration TABLEAU Configuration système requise pour Encryption Management for Microsoft BitLocker Processeur Mémoire SPÉCIFICATION CONFIGURATION REQUISE Processeur Intel Core 2 ou compatible. Les conditions requises sont basées sur la configuration système requise pour Windows : Systèmes 64 bits : 2 Go Systèmes 32 bits : 1 Go Espace disque 30 Go au minimum 20 % d'espace disque disponible requis 100 Mo d'espace disponible contigu requis Disque dur Lecteurs standard pris en charge par Windows Connectivité réseau Connexion à PolicyServer Système d'exploitation Windows 8.1 (32 bits/64 bits) Entreprise ou Professionnel Windows 8 (32 bits/64 bits) Entreprise ou Professionnel Windows 7 (32 bits/64 bits) Entreprise ou Édition intégrale Autres logiciels Trusted Platform Module (TPM) 1.2 ou version supérieure Full Disk Encryption n'est pas installé Windows BitLocker est désactivé Microsoft.NET Framework 3.5 Configuration système requise pour Encryption Management for Apple FileVault Le tableau suivant explique la configuration système minimale requise et recommandée pour Encryption Management for Apple FileVault. 2-12

51 Configuration système requise TABLEAU Configuration système requise pour Encryption Management for Apple FileVault Processeur SPÉCIFICATION CONFIGURATION REQUISE Processeur Intel Core 2 ou compatible Mémoire 512 Mo au minimum 1 Go (recommandé) Espace disque 400 Mo au minimum Connectivité réseau Connexion à PolicyServer Système d'exploitation Mac OS X Mavericks Mac OS X Mountain Lion Mac OS X Lion Remarque Les comptes Mac OS locaux ou les comptes mobiles peuvent lancer le chiffrement sur Mac OS X Mountain Lion ou supérieur. Les autres comptes d'utilisateur Mac OS ne peuvent pas lancer le chiffrement. Pour créer un compte mobile pour Active Directory sur votre Mac, consultez la section Création d'un compte mobile pour Active Directory sur Mac OS à la page Autres logiciels MRE (Mono runtime environment) 2.1 Apple FileVault est activé Configuration système requise pour File Encryption Le tableau suivant répertorie la configuration système requise pour File Encryption : 2-13

52 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration TABLEAU Configuration système requise pour File Encryption Processeur SPÉCIFICATION CONFIGURATION REQUISE Processeur Intel Core 2 ou compatible. Mémoire RAM 1 Go au minimum Espace disque 30 Go au minimum 20 % d'espace disque disponible requis Connectivité réseau Une communication avec PolicyServer est requise pour les agents gérés Système d'exploitation Windows 8.1 (32 bits/64 bits) Windows 8 (32 bits/64 bits) Windows 7 (32 bits/64 bits) Windows Vista avec SP1 (32 bits/64 bits) Windows XP avec SP3 (32 bits uniquement) Autres logiciels Configuration supplémentaire pour Windows 8 : Microsoft.NET Framework 3.5 activé Configuration supplémentaire pour Windows XP : Microsoft.NET Framework 2.0 SP1 ou ultérieur Microsoft Windows Installer 3.1 Important L'agent Full Disk Encryption ne peut être installé que sur un point final comportant un seul lecteur physique. Supprimez tous les autres lecteurs avant d'installer Full Disk Encryption. 2-14

53 Chapitre 3 Aperçu du déploiement et de la mise à niveau Ce chapitre résume les options de déploiement et explique la configuration technique requise pour le déploiement initial des agents Endpoint Encryption au sein de l'entreprise, les diverses option de mise à l'échelle et de topologie de réseau, ainsi que la mise à niveau de l'ensemble de l'organisation à partir d'une version précédente d'endpoint Encryption vers Endpoint Encryption 5.0 Patch 1. Pour plus d'informations sur la constitution d'une équipe produit ou les meilleures pratiques pour communiquer avec les utilisateurs finaux, consultez la section Éléments à prendre en compte pour le déploiement à la page B-1. Les rubriques sont les suivantes: Planification du déploiement à la page 3-2 Liste de contrôle préalable au déploiement à la page 3-2 Options de gestion à la page 3-5 Options de déploiement à la page 3-12 Recommandations pour la mise à l'échelle à la page 3-18 Déploiement des mises à niveau à la page

54 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Planification du déploiement Lorsqu'il est question d'un projet de chiffrement, il est important d'identifier les objectifs de l'implémentation. Les entreprises qui doivent satisfaire à des réglementations de conformité explicites auront bien souvent besoin de solutions de chiffrement plus importantes, avec un focus sur les rapports, tandis que les entreprises qui cherchent à améliorer la sécurité des données ont des besoins plus ciblés pour protéger des actifs de données spécifiques. Aucun plan ne convient à chaque scénario, et comprendre ce que l'on attend d'une solution de chiffrement diminue fortement le temps de déploiement, minimise, voire élimine la dégradation des performances et assure le succès du projet. Une planification rigoureuse est nécessaire pour comprendre les conditions requises pour le déploiement et les limitations lors de la mise à l'échelle d'endpoint Encryption au sein d'une grande entreprise. La planification particulièrement importante lorsqu'il s'agit d'introduire cette modification au sein de milliers de points finaux, ce qui impacte tous les utilisateurs finaux. Liste de contrôle préalable au déploiement Le tableau suivant explique les systèmes d'exploitation pris en charge pour chaque agent Endpoint Encryption ainsi que les configurations minimales requises pour le déploiement. TABLEAU 3-1. PolicyServer 5.0 Patch 1 PLATE-FORME Windows Server 2003 (32/64 bits) Windows Server 2008/2008 R2 (64 bits) LISTE DE CONTRÔLE PRÉALABLE AU DÉPLOIEMENT Installez Microsoft.Net Framework 2.0 SP2 (ou 3.5) et 4.0 Utilisez un compte d'administrateur pour installer PolicyServer MMC Une connectivité avec la base de donnée de PolicyServer est nécessaire pour se connecter à PolicyServer MMC 3-2

55 Aperçu du déploiement et de la mise à niveau TABLEAU 3-2. Full Disk Encryption PLATE-FORME LISTE DE CONTRÔLE PRÉALABLE AU DÉPLOIEMENT Windows 8 (32/64 bits) Définissez d'abord la séquence de démarrage du BIOS des points finaux compatibles avec UEFI sur Hérité plutôt que sur UEFI. Vérifiez que Microsoft.Net 3.5 est activé Exécutez les commandes sfc /scannow et defrag avant l'installation Confirmez la présence d'un secteur de démarrage normal MBR Vérifiez qu'il reste 20 % espace disque disponible Sauvegardez les données d'utilisateur Remarque Full Disk Encryption sous Windows 8 ne prend pas en charge les disques RAID, SCSI, edrive ou OPAL 2. Windows 7 (32/64 bits) Vérifiez que Microsoft.NET 2.0 SP1 ou une version ultérieure est installé Windows Vista avec SP1 (32/64 bits) Vérifiez que Windows Installer version 3.1 est installé Connexion à PolicyServer, si géré Windows XP avec SP3 (32 bits) Exécutez les commandes scandisk et defrag avant l'installation Confirmez la présence d'un secteur de démarrage normal MBR Vérifiez qu'il reste 20 % espace disque disponible Sauvegardez les données d'utilisateur Remarque Full Disk Encryption ne prend pas en charge les disques RAID ou SCSI. 3-3

56 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration TABLEAU 3-3. File Encryption PLATE-FORME LISTE DE CONTRÔLE PRÉALABLE AU DÉPLOIEMENT Windows 8 (32/64 bits) Définissez d'abord la séquence de démarrage du BIOS des points finaux compatibles avec UEFI sur Hérité plutôt que sur UEFI. Vérifiez que Microsoft.Net 3.5 est activé Windows 7 (32/64 bits) Vérifiez que Microsoft.NET 2.0 SP1 ou une version ultérieure est installé Windows Vista avec SP1 (32/64 bits) Windows XP avec SP3 (32 bits) Remarque Pour plus d'informations sur la constitution d'une équipe produit ou les meilleures pratiques pour communiquer avec les utilisateurs finaux, consultez la section Éléments à prendre en compte pour le déploiement à la page B-1. Résumé des opérations de déploiement La procédure suivante explique le résumé de haut niveau des opérations requises pour déployer Endpoint Encryption 5.0 Patch 1 au sein de l'entreprise. Remarque Pour plus d'informations sur les nouvelles installations, consultez la section Options de déploiement à la page Pour plus d'informations sur la mise à niveau de l'entreprise, consultez la section Déploiement des mises à niveau à la page Procédure 1. Planifiez le déploiement. 3-4

57 Aperçu du déploiement et de la mise à niveau Consultez la section Éléments à prendre en compte pour le déploiement à la page B Exécutez un programme pilote. Consultez la section Déploiement du programme pilote d'endpoint Encryption à la page C Décidez comment gérer Endpoint Encryption. Consultez la section Options de gestion à la page Décidez s'il faut l'intégrer avec d'autres produits Trend Micro. Consultez la section Intégration de Control Manager à la page 5-1. Consultez la section Intégration d'officescan à la page Vérifiez l'ensemble de la configuration système requise. Consultez la rubrique Configuration système requise à la page Installez ou mettez à niveau PolicyServer. Consultez la section Déploiement de PolicyServer à la page Décidez s'il faut configurer l'authentification Active Directory. Consultez la section Synchronisation Active Directory de PolicyServer à la page Installez ou mettez à niveau des agents Endpoint Encryption. Consultez la section Déploiement des agents Endpoint Encryption à la page Gérez l'implémentation d'endpoint Encryption. Consultez le Manuel de l'administrateur Endpoint Encryption. Options de gestion Cette section explique comment déployer la sécurité Endpoint Encryption avec la gestion PolicyServer MMC seule, ou comment l'intégrer à Control Manager et à OfficeScan pour bénéficier d'options de gestion supplémentaires. 3-5

58 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Remarque Pour les introductions aux consoles d'administration, consultez la section Consoles d'administration à la page Gestion d'endpoint Encryption avec PolicyServer MMC seulement La procédure suivante explique comment configurer Endpoint Encryption pour la gestion des stratégies, des utilisateurs et des périphériques PolicyServer MMC sans intégration de Control Manager ou d'officescan. Remarque Pour plus d'informations, consultez la section Déploiement de PolicyServer à la page 4-1. Procédure 1. Installez PolicyServer. Consultez la section Installation de PolicyServer à la page Configurez des groupes. 3. Ajoutez des utilisateurs à chaque groupe. 4. Utilisez des produits tiers pour déployer les agents ou installez manuellement l'agent sur chaque point final. Consultez la rubrique Déploiement des agents Endpoint Encryption à la page 6-1. Intégration de Control Manager et d'officescan Endpoint Encryption autorise les administrateurs à utiliser Trend Micro Control Manager pour contrôler PolicyServer et gérer les stratégies des agents Endpoint Encryption ou à utiliser Trend Micro OfficeScan pour déployer le logiciel agent Endpoint Encryption sur des points finaux gérés. 3-6

59 Aperçu du déploiement et de la mise à niveau L'implémentation d'endpoint Encryption s'adapte à l'infrastructure de sécurité contre la perte des données existante qui est déjà gérée par Control Manager. Il vous suffit d'ajouter PolicyServer en tant que produit géré pour bénéficier de tous les aspects concernant l'utilisateur, la stratégie et la gestion des périphériques qui existent dans PolicyServer MMC. Vous pouvez toujours utiliser PolicyServer MMC pour certaines fonctionnalités avancées de gestion de l'entreprise. Dans les environnements comportant des points finaux gérés par OfficeScan, utilisez le plug-in Outil de déploiement d'endpoint Encryption pour déployer à distance le logiciel agent Endpoint Encryption. Bien que les méthodes classiques de déploiement du logiciel agent Endpoint Encryption soient toujours disponible (consultez la section Déploiements automatiques à la page 6-28, OfficeScan vous permet de contrôler précisément le déploiement, de voir l'état d'installation de l'agent Endpoint Encryption, et de contrôler facilement le déploiement à partir d'une console Web. Remarque Pour plus d'informations sur les consoles d'administration disponibles pour contrôler PolicyServer ou gérer les agents Endpoint Encryption, consultez Consoles d'administration à la page 2-6 Pour plus d'informations sur l'intégration de Control Manager, consultez la section Intégration de Control Manager à la page 5-1. Pour plus d'informations sur l'intégration avec OfficeScan, consultez la section Intégration d'officescan à la page 7-1. Présentation de Trend Micro Control Manager Trend Micro Control Manager est une console d'administration centralisée qui gère les produits et services Trend Micro, au niveau de la passerelle, du serveur de messagerie, du serveur de fichiers et des postes de travail de l'entreprise. Les administrateurs peuvent utiliser la fonctionnalité de gestion des stratégies pour configurer et déployer les paramètres du produit dans les produits gérés et les points finaux. La console d'administration à interface Web de Control Manager fournit un point de surveillance unique pour les produits et les services antivirus et de sécurité de contenu sur tout le réseau. Control Manager permet aux administrateurs système de surveiller et de signaler des activités telles que des infections, violations de sécurité et points d'entrée de virus/ 3-7

60 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration programmes malveillants. Les administrateurs système peuvent télécharger et déployer des composants de mise à jour sur le réseau, contribuant ainsi à garantir une protection homogène et actualisée. Les composants de mise à jour comprennent, par exemple, les fichiers de signatures de virus, les moteurs de scan et les règles de filtrage de courrier indésirable. Control Manager permet de réaliser à la fois des mises à jour manuelles et programmées. Il permet de configurer et de gérer des produits, en groupe ou séparément, pour une flexibilité accrue. Présentation de Trend Micro OfficeScan OfficeScan protège les réseaux d'entreprise contre les programmes malveillants, les virus réseau, les menaces provenant d'internet, les spywares et les attaques mixtes. Solution intégrée, OfficeScan est composé d'un agent résidant au point final et d'un programme serveur qui gère tous les agents. L'agent protège le point final et communique au serveur son état de sécurité. Le serveur, via une console d'administration à interface Web, facilite l'application coordonnée de stratégies pour la sécurité et le déploiement des mises à jour vers chaque agent. Utilisez le plug-in Outil de déploiement d'officescan Endpoint Encryption pour déployer les agents Endpoint Encryption sur des points finaux gérés d'officescan. Vous pouvez sélectionner les points finaux en fonction de critères spécifiques et voir l'état du déploiement. Une fois que plug-in Outil de déploiement d'endpoint Encryption a déployé le logiciel agent Endpoint Encryption, l'agent Endpoint Encryption effectue une synchronisation avec PolicyServer en utilisant les paramètres spécifiés dans le plug-in. OfficeScan ne gère pas les stratégies d'endpoint Encryption. L'agent OfficeScan et l'agent Endpoint Encryption sont indépendants sur le même point final. À propos de l'intégration de Trend Micro OfficeScan OfficeScan protège les réseaux d'entreprise contre les programmes malveillants, les virus réseau, les menaces provenant d'internet, les spywares et les attaques mixtes. Solution intégrée, OfficeScan est composé d'un agent résidant au point final et d'un programme serveur qui gère tous les agents. L'agent protège le point final et communique au serveur son état de sécurité. Le serveur, via une console d'administration à interface Web, facilite l'application coordonnée de stratégies pour la sécurité et le déploiement des mises à jour vers chaque agent. 3-8

61 Aperçu du déploiement et de la mise à niveau Remarque Pour plus d'informations sur OfficeScan, consultez la documentation appropriée à l'adresse : Utilisez le plug-in Outil de déploiement d'officescan Endpoint Encryption pour déployer les agents Endpoint Encryption sur des points finaux gérés d'officescan. Vous pouvez sélectionner les points finaux en fonction de critères spécifiques et voir l'état du déploiement. Une fois que plug-in Outil de déploiement d'endpoint Encryption a déployé le logiciel agent Endpoint Encryption, l'agent Endpoint Encryption effectue une synchronisation avec PolicyServer en utilisant les paramètres spécifiés dans le plug-in. OfficeScan ne gère pas les stratégies d'endpoint Encryption. L'agent OfficeScan et l'agent Endpoint Encryption sont indépendants sur le même point final. L'illustration suivante explique comment déployer Endpoint Encryption pour la première fois en utilisant OfficeScan sur des points finaux gérés. Dans les déploiements 3-9

62 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration d'officescan, les administrateurs peuvent utiliser Control Manager ou PolicyServer MMC pour gérer PolicyServer. FIGURE 3-1. Déploiement de l'intégration d'officescan Résumé des opérations Endpoint Encryption autorise les administrateurs à utiliser Trend Micro Control Manager pour contrôler PolicyServer et gérer les stratégies des agents Endpoint Encryption ou à utiliser Trend Micro OfficeScan pour déployer le logiciel agent Endpoint Encryption sur des points finaux gérés. La procédure suivante fourni un résumé de haut niveau des opérations requises pour installer les consoles d'administration et déployer logiciel agent et les stratégies de sécurité d'endpoint Encryption. 3-10

63 Aperçu du déploiement et de la mise à niveau Remarque Pour plus d'informations sur les consoles d'administration disponibles pour contrôler PolicyServer ou gérer les agents Endpoint Encryption, consultez Consoles d'administration à la page 2-6 Pour plus d'informations sur l'intégration de Control Manager, consultez la section Intégration de Control Manager à la page 5-1. Pour plus d'informations sur l'intégration avec OfficeScan, consultez la section Intégration d'officescan à la page 7-1. Procédure 1. Vérifiez toutes les configuration système requises pour les versions de produits compatibles. Consultez la section Configuration système requise à la page Installez PolicyServer. Consultez la section Installation de PolicyServer à la page Installez et configurez OfficeScan. Consultez la documentation appropriée à l'adresse : 4. Ajoutez PolicyServer à OfficeScan. Consultez la section Déploiement des paramètres du serveur à la page Préparez les points finaux pour le déploiement. Consultez la section Avant d'installer les agents Endpoint Encryption à la page Utilisez OfficeScan pour déployer les agents Endpoint Encryption. Consultez la rubrique Intégration d'officescan à la page Installer et configurer Control Manager. Consultez la documentation appropriée à l'adresse : 3-11

64 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration 8. Ajoutez PolicyServer à Control Manager. Consultez la rubrique Ajout de PolicyServer en tant que produit géré à Control Manager à la page Utilisez Control Manager pour déployer les stratégies. Consultez la section Création d'une stratégie à la page 5-8. Options de déploiement Lorsque vous déployez Endpoint Encryption dans toute l'organisation, il existe plusieurs options réseau disponibles selon l'infrastructure existante ou les besoins en matière de sécurité. Cette section explique les options de déploiement disponibles pour le déploiement d'endpoint Encryption. Déploiement simple L'illustration suivante explique comment déployer Endpoint Encryption pour la première fois et en utilisant seulement PolicyServer MMC pour gérer PolicyServer. Pour 3-12

65 Aperçu du déploiement et de la mise à niveau plus d'informations, consultez la section Installation et configuration de PolicyServer à la page 4-3. FIGURE 3-2. Déploiement simple d'endpoint Encryption Remarque Pour plus d'informations sur le déploiement d'une mise à niveau susceptible de comporter des agents Endpoint Encryption (ou versions antérieures), consultez la section Déploiement des mises à niveau à la page Déploiement de Control Manager L'illustration suivante explique comment déployer Endpoint Encryption pour la première fois en utilisant Control Manager pour gérer PolicyServer. Dans un 3-13

66 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration déploiement Control Manager, les administrateurs utilisent Control Manager pour tous les contrôles des stratégies, utilisateurs et périphériques Endpoint Encryption et n'utilisent PolicyServer MMC que pour la maintenance avancée de l'entreprise. Pour plus d'informations, consultez la section Intégration de Control Manager à la page 5-1. FIGURE 3-3. Déploiement de l'intégration de Control Manager 3-14

67 Aperçu du déploiement et de la mise à niveau Remarque Dans les environnements qui utilisent Control Manager, modifiez vers PolicyServer les stratégies qui sont toujours contrôlées par Control Manager. Toutes les modifications apportées en utilisant PolicyServer MMC sont remplacées la prochaine fois que Control Manager synchronie les stratégies avec la base de données PolicyServer. Déploiement d'officescan L'illustration suivante explique comment déployer Endpoint Encryption pour la première fois en utilisant OfficeScan sur des points finaux gérés. Dans les déploiements d'officescan, les administrateurs peuvent utiliser Control Manager ou PolicyServer MMC pour gérer PolicyServer. 3-15

68 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Pour plus d'informations, consultez la section Intégration d'officescan à la page 7-1. FIGURE 3-4. Déploiement de l'intégration d'officescan Déploiement distribué complexe L'illustration suivante explique l'environnement réseau d'un déploiement distribué complexe utilisant les agents hérités Endpoint Encryption 5.0 Patch 1 et Endpoint Encryption. Vous pouvez configurer le service de transfert de trafic et le service Web 3-16

69 Aperçu du déploiement et de la mise à niveau client sur le même point final séparé du serveur PolicyServer. Pour plus d'informations, consultez la section Configurer les services sur plusieurs points finaux à la page FIGURE 3-5. Déploiement distribué complexe 3-17

70 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Recommandations pour la mise à l'échelle Vous trouverez ci-dessous des recommandations relatives à la mise à l'échelle d'un déploiement sur site unique offrant une série d'options matérielles tenant compte de la redondance du système et de l'absence de point de défaillance. FIGURE 3-6. PolicyServer mis à l'échelle pour prendre en charge utilisateurs 3-18

71 Aperçu du déploiement et de la mise à niveau TABLEAU 3-4. Mise à l'échelle sans redondance PÉRIPHÉRIQU ES CONFIGURATION MINIMALE REQUISE BASE DE DONNÉES SQL POLICYSERVER FRONTAL POLICYSERVER 1,500 PolicyServer et serveur multirôles de base de données Processeurs 2 GHz Quad Core Core2 Intel Xeon 8 Go de mémoire vive Installé sur l'hôte PolicyServer frontal Espace disque dur 120 Go RAID 5 3,000 1 hôte PolicyServer frontal Processeurs 2 GHz Dual Quad Core Core2 Intel Xeon 4 Go de RAM Espace disque dur 40 Go RAID 1 1 hôte base de données SQL PolicyServer Processeurs 2 GHz Quad Core Core2 Intel Xeon 8 Go de mémoire vive Espace disque dur 100 Go RAID 5 TABLEAU 3-5. Mise à l'échelle avec redondance et grande disponibilité PÉRIPHÉRIQU ES CONFIGURATION MINIMALE REQUISE BASE DE DONNÉES SQL POLICYSERVER FRONTAL POLICYSERVER 10,000 2 hôtes PolicyServer frontaux Processeurs 2 GHz Dual Quad Core Core2 Intel Xeon 4 Go de RAM Espace disque dur 40 Go RAID 1 1 hôte base de données SQL PolicyServer Processeurs 2 GHz Quad Core Core2 Intel Xeon 8 Go de mémoire vive Espace disque dur 120 Go RAID

72 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration PÉRIPHÉRIQU ES CONFIGURATION MINIMALE REQUISE BASE DE DONNÉES SQL POLICYSERVER FRONTAL POLICYSERVER 20,000 4 hôtes PolicyServer frontaux Processeurs 2 GHz Dual Quad Core2 Intel Xeon 4 Go de RAM Espace disque dur 40 Go RAID 1 40,000 8 hôtes PolicyServer frontaux Processeurs 2 GHz Dual Quad Core Core2 Intel Xeon 4 Go de RAM Espace disque dur 40 Go RAID 1 1 hôte base de données SQL PolicyServer Processeurs 2 GHz Quad Core2 Intel Xeon 16 Go de RAM Espace disque dur 160 Go RAID 5 2 hôtes de cluster base de données SQL PolicyServer Processeurs 2 GHz Quad Core Core2 Intel Xeon 16 Go de RAM Espace disque dur 320 Go RAID

73 Aperçu du déploiement et de la mise à niveau TABLEAU 3-6. Mise à l'échelle sans aucune défaillance PÉRIPHÉRIQU ES CONFIGURATION MINIMALE REQUISE BASE DE DONNÉES SQL POLICYSERVER FRONTAL POLICYSERVER 10,000 2 hôtes PolicyServer frontaux Processeurs 2 GHz Quad Core Core2 Intel Xeon 4 Go de RAM Espace disque dur 40 Go RAID 1 Remarque Le matériel informatique virtuel est pris en charge par VMware Virtual Infrastructure. 2 hôte base de données SQL PolicyServer Processeurs 2 GHz Dual Quad Core Core2 Intel Xeon 8 Go de mémoire vive Espace disque dur 60 Go RAID 5 Espace disque dur 130 Go RAID 5 SAN partagé Remarque Microsoft Cluster Service n'est pas pris en charge par Microsoft ou VMware sur le matériel informatique virtuel. 3-21

74 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration PÉRIPHÉRIQU ES CONFIGURATION MINIMALE REQUISE BASE DE DONNÉES SQL POLICYSERVER FRONTAL POLICYSERVER 20,000 4 hôtes PolicyServer frontaux Processeurs 2 GHz Dual Quad Core Core2 Intel Xeon 4 Go de RAM Espace disque dur 40 Go RAID 1 Remarque Le matériel informatique virtuel est pris en charge par VMware Virtual Infrastructure. 40,000 8 hôtes PolicyServer frontaux Processeurs 2 GHz Dual Quad Core Core2 Intel Xeon 4 Go de RAM Espace disque dur 40 Go RAID 1 Remarque Le matériel informatique virtuel est pris en charge par VMware Virtual Infrastructure. 2 hôte base de données SQL PolicyServer Processeurs 2 GHz Dual Quad Core Core2 Intel Xeon 8 Go de mémoire vive Espace disque dur 60 Go RAID 5 Espace disque dur 180 Go RAID 5 SAN partagé Remarque Microsoft Cluster Service n'est pas pris en charge par Microsoft ou VMware sur le matériel informatique virtuel. 4 hôte base de données SQL PolicyServer Processeurs 2 GHz Dual Quad Core Core2 Intel Xeon 16 Go de RAM Espace disque dur 60 Go RAID 5 Espace disque dur 350 Go RAID 5 SAN partagé Remarque Microsoft Cluster Service n'est pas pris en charge par Microsoft ou VMware sur le matériel informatique virtuel. 3-22

75 Aperçu du déploiement et de la mise à niveau Déploiement des mises à niveau Pour accéder aux nouvelles fonctionnalités du produit ou mettre à niveau l'ancien logiciel agent afin d'améliorer la sécurité des points finaux, les administrateurs peuvent avoir besoin de mettre à niveau Endpoint Encryption PolicyServer et tous les points finaux gérés exécutant un agent Endpoint Encryption. Pour la synchronisation des stratégies et la sécurité des informations, assurez-vous de toujours mettre à niveau PolicyServer avant les agents Endpoint Encryption. Cette section explique comment mettre à niveau Endpoint Encryption en toute sécurité, y compris PolicyServer, PolicyServer MMC et le logiciel agent Endpoint Encryption vers la plupart des versions actuelles. Pour plus d'informations, consultez la section Résumé des opérations de mise à niveau à la page

76 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Éléments à prendre en compte pour la mise à niveau L'illustration suivante montre comment la mise à niveau initiale peut s'afficher avant que tous les agents Endpoint Encryption soient mis à niveau vers l'agent Endpoint Encryption 5.0 Patch 1. FIGURE 3-7. Déploiement de la mise à niveau d'endpoint Encryption Remarque Pour plus d'informations sur les communications des agents Endpoint Encryption, consultez la section À propos de PolicyServer à la page Avant d'effectuer la mise à niveau de PolicyServer, notez ce qui suit : 3-24

77 Aperçu du déploiement et de la mise à niveau Veillez à mettre à niveau PolicyServer avant d'effectuer la mise à niveau des agents Endpoint Encryption. Pour plus d'informations sur l'ordre correct de mise à niveau, consultez la section Résumé des opérations de mise à niveau à la page La mise à niveau d'environnements comportant plusieurs instances de PolicyServer présente des conditions requises différentes de celle d'un environnement PolicyServer unique. Pour plus d'informations, consultez la section Mise à niveau de plusieurs services PolicyServer connectés à la même base de données à la page Si vous utilisez un proxy LDAP, mettez à niveau le proxy LDAP avant d'effectuer la mise à niveau vers PolicyServer 5.0 Patch 1. Remarque Trend Micro ne prend actuellement pas en charge les environnement PolicyServer hébergés. Chemins de mise à niveau Le tableau suivant décrit le chemin de mise à niveau à partir de chaque version précédente du produit vers la version 5.0 Patch 1. Certaines versions plus anciennes ne peuvent pas être mises à niveau directement vers 5.0 Patch 1 et doivent au préalable être mises à niveau vers une version plus récente de ce produit. Pour plus d'informations sur l'installation de versions héritées de produits Endpoint Encryption, consultez la documentation disponible à l'adresse : TABLEAU 3-7. Chemins de mise à niveau PRODUIT/AGENT VERSION CHEMIN DE MISE À NIVEAU PolicyServer SP SP Full Disk Encryption SP SP

78 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration PRODUIT/AGENT VERSION CHEMIN DE MISE À NIVEAU MobileArmor Full Disk Encryption Product Full Disk Encryption 5.0 SP7g SP7g Full Disk Encryption 5.0 SP7-SP7f SP7-SP7f SP7g Full Disk Encryption 5.0 DriveArmor 3.0 Non pris en charge. FileArmor SP1 FileArmor SP1 File Encryption FileArmor File Encryption FileArmor FileArmor File Encryption FileArmor FileArmor File Encryption 5.0 KeyArmor Il n'y a pas de version KeyArmor Versions de l'agent prises en charge Bien que PolicyServer prenne en charge la gestion des stratégies de tous les agents, les agents plus anciens ne peuvent pas s'enregistrer en tant que nouveau périphérique dans PolicyServer 5.0 Patch 1 ou Control Manager. Le tableau suivant explique quelles version héritées peuvent être ajoutées en tant que nouveau périphérique. Trend Micro recommande d'utiliser les versions les plus récentes de tous les agents. 3-26

79 Aperçu du déploiement et de la mise à niveau TABLEAU 3-8. Agents hérités pris en charge pour les nouveaux périphériques PEUT AGENT VERSION S'ENREGISTRER COMME NOUVEAU STRATÉGIES PRISES EN CHARGE PÉRIPHÉRIQUE Full Disk Encryption SP MobileArmor Full Disk Encryption Product SP7g DriveArmor 3.0 * File Encryption 5.0 Patch 1 FileArmor KeyArmor Tout * Remarque *Pris en charge seulement sur les mises à niveau de PolicyServer à partir d'endpoint Encryption ou Résumé des opérations de mise à niveau Pour réduire le risque que les points finaux perdent la connexion au serveur PolicyServer, mettez à niveau l'environnement dans l'ordre suivant. Si l'agent ne peut pas se connecter à PolicyServer après la mise à niveau, exécutez manuellement le programme d'installation de la mise à niveau sur le point final. 3-27

80 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Procédure 1. Vérifiez la nouvelle configuration système requise. Consultez la section Configuration système requise à la page Vérifiez le chemin de mise à niveau pour les agents PolicyServer et Endpoint Encryption installés actuellement. 3. Assurez-vous que Endpoint Encryption 5.0 Patch 1 prend en charge la mise à niveau. Consultez la section Versions de l'agent prises en charge à la page Mise à niveau de PolicyServer. Consultez la section Éléments à prendre en compte pour la mise à niveau à la page Consultez la section Mise à niveau de PolicyServer à la page Installez et configurez éventuellement Control Manager. Consultez la section Intégration d'officescan à la page Installez et configurez éventuellement OfficeScan. Consultez la section Intégration de Control Manager à la page Mettez à niveau les agents Endpoint Encryption. Consultez la section Mise à niveau à la page

81 Chapitre 4 Déploiement de PolicyServer Ce chapitre donne un aperçu des fichiers et des comptes requis pour installer PolicyServer et présente le processus d'installation. Remarque Pour la configuration système requise, consultez la section Configuration minimale requise pour PolicyServer à la page 2-2. Les rubriques sont les suivantes: À propos de PolicyServer à la page 1-13 Configuration minimale requise pour PolicyServer à la page 2-2 Licence d'évaluation à la page 8-3 Installation et configuration de PolicyServer à la page 4-3 Mise à niveau à la page 4-28 Migration vers Control Manager à la page 4-35 Désinstallation à la page

82 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration À propos de PolicyServer Trend Micro PolicyServer gère les clés de chiffrement et synchronise les stratégies sur tous les points finaux de l'organisation. PolicyServer applique également une authentification sécurisée et fournit des outil d'audit et de génération de rapports en temps réel afin de garantir la conformité aux réglementations. Vous pouvez gérer PolicyServer de manière flexible avec PolicyServer MMC ou avec Trend Micro Control Manager. D'autres fonctionnalités de gestion des données sont notamment les actions d'auto-assistance basées sur l'utilisateur et les actions sur les périphériques permettant de réinitialiser ou d'«éliminer» à distance un périphérique perdu ou volé. Le tableau suivant décrit les composants de PolicyServer que vous pouvez déployer sur un ou plusieurs serveurs, selon les besoins de votre environnement. TABLEAU 4-1. Composants de PolicyServer COMPOSANT Entreprise Base de données Service Windows PolicyServer DESCRIPTION L'Entreprise Endpoint Encryption est l'identifiant unique de l'organisation dans la base de données PolicyServer configurée lors de l'installation de PolicyServer. Une base de données PolicyServer ne doit avoir qu'une seule configuration d'entreprise. La base de données Microsoft SQL PolicyServer stocke de manière sécurisée toutes les données relatives aux utilisateurs, aux périphériques et aux journaux. La base de données est configurée sur un serveur dédié ou ajoutée à un cluster SQL existant. Les bases de données des journaux et des autres éléments peuvent se trouver dans des endroits différents. Le service Windows PolicyServer gère toutes les transactions de communication entre le système d'exploitation hôte, le service Endpoint Encryption, le service Web hérité, le proxy Web client et les bases de données SQL. 4-2

83 Déploiement de PolicyServer COMPOSANT Service Endpoint Encryption Service Web hérité DESCRIPTION Tous les agents Endpoint Encryption 5.0 Patch 1 utilisent le service Endpoint Encryption pour communiquer avec PolicyServer. Le service Endpoint Encryption utilise une API Web RESTful (Representational State Transfer) avec un algorithme de chiffrement AES-GCM. Lorsqu'un utilisateur s'authentifie, PolicyServer génère un jeton lié à la configuration de stratégie spécifique. Tant que l'utilisateur Endpoint Encryption ne s'est pas authentifié, le service refuse toutes les transactions de stratégie. Pour créer une topographie de réseau sur trois niveaux, le service peut également être déployé séparément sur un point final résidant dans le réseau DMZ, ce qui permet à PolicyServer de résider en toute sécurité dernière le pare-feu. Tous les agents Endpoint Encryption et les agents plus anciens utilisent le protocole SOAP (Simple Object Access Protocol) pour communiquer avec PolicyServer. Dans certaines situations, SOAP peut autoriser des transactions de stratégie non sécurisées sans authentification de l'utilisateur. Le service Web hérité filtre les appels SOAP en exigeant une authentification et en limitant les commandes que SOAP peut accepter. Pour créer une topographie de réseau sur trois niveaux, le service peut également être déployé séparément sur un point final résidant dans le réseau DMZ, ce qui permet à PolicyServer de résider en toute sécurité dernière le pare-feu. Installation et configuration de PolicyServer Cette section explique comment installer et configurer PolicyServer pour la première fois, comment configurer Active Directory et comment configurer le proxy LDAP. Installation de PolicyServer Le processus d'installation de PolicyServer implique l'exécution d'un programme d'installation sur le point final du serveur pour configurer les éléments suivants : Licence du produit Endpoint Encryption 4-3

84 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Nom d'entreprise et connexion d'administrateur Services Endpoint Encryption Base de données PolicyServer PolicyServer MMC (facultatif) Remarque Pour plus d'informations sur l'architecture, consultez la section Composants d'endpoint Encryption à la page 1-9. PolicyServer MMC peut éventuellement être installé en même temps. AVERTISSEMENT! Pour des raisons de sécurité, les agents Endpoint Encryption hérités ne peuvent pas communiquer directement avec une instance PolicyServer résidant sur un réseau différent. Pour plus d'informations sur la configuration d'un proxy Web, consultez la section Configurer les services sur plusieurs points finaux à la page Procédure 1. Vérifiez que toute la configuration système requise est respectée. Consultez la section Configuration minimale requise pour PolicyServer à la page Exécutez PolicyServerInstaller.exe. Le programme d'installation de PolicyServer s'ouvre. 3. Dans l'écran Services PolicyServer, cliquez sur Installer sur la droite. 4. Dans l'écran Mentions légales du produit, lisez attentivement le contrat de licence, puis acceptez ses termes en cliquant sur Accepter. 5. Dans l'écran Activation du produit, effectuez les opérations suivantes : Cliquez sur Enregistrement en ligne pour passer à l'enregistrement de la licence. Sélectionnez Utiliser une licence complète pour indiquer le code d'activation et disposer de toutes les fonctionnalités. 4-4

85 Déploiement de PolicyServer Sélectionnez Utiliser une licence d'essai pour évaluer une configuration d'endpoint Encryption gérée pendant 30 jours. Remarque Pendant la période d'essai, PolicyServer fonctionne normalement avec la gestion de tous les agents, des périphériques illimités et jusqu'à 100 utilisateurs. Après 30 jours, contactez votre revendeur Trend Micro pour plus d'informations sur la clé d'enregistrement et le code d'activation. Pour plus d'informations sur la conversion d'une licence d'évaluation en licence complète, consultez la section Activation de la nouvelle licence du produit à la page Dans l'écran Créer une connexion d'entreprise et d'administrateur, spécifiez les informations d'identification suivantes utilisées pour gérer PolicyServer à partir de PolicyServer MMC ou Control Manager. OPTION Nom de l'entreprise Administrateur Mot de passe Confirmer le mot de passe DESCRIPTION Nom de l'instance de base de données. Nouveau nom d'utilisateur du compte d'administrateur d'entreprise. Nouveau mot de passe du compte d'administrateur d'entreprise. Confirmez le mot de passe du compte d'administrateur d'entreprise. 7. Cliquez sur Continue. 8. Dans l'écran Connexion aux services Windows, cliquez sur Continuer. Les paramètres par défaut conviennent à la plupart des environnements. 9. Dans l'écran Connexion de l'administrateur de base de données, effectuez les opérations suivantes : Sélectionnez Microsoft SQL Express pour créer une nouvelle instance de base de données. 4-5

86 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Remarque Microsoft SQL Express est disponible uniquement dans les environnements dans lesquels SQL Server n'est pas configuré. Sélectionnez SQL Server pour spécifier une instance de Microsoft SQL Server, puis spécifiez les paramètres suivants : SQL Server : Nom d'hôte ou adresse IP du serveur SQL Server. Remarque Pour des environnements disposant de plusieurs instances de serveur SQL, modifiez l'instance SQL à la fin du nom d'hôte PolicyServer ou de l'adresse IP utilisée. Utilisez la syntaxe suivante pour spécifier une instance : <hostname_or_ip_address>\<database_instance> Nom d'utilisateur : Nom d'utilisateur ayant le rôle sysadmin pour l'instance de SQL Server spécifiée. Mot de passe : Mot de passe du compte sysadmin. Sélectionnez Utilisez un autre serveur de base de données des journaux pour spécifier une autre instance SQL Server pour les données de journal. 10. Cliquez sur Continue. Le programme d'installation vérifie la connexion de base de données. 11. Dans l'écran Créer une connexion à la base de données, c'est un nouveau compte de base de données que le service Windows PolicyServer peut utiliser pour toutes les transactions de base de données. Remarque Ne spécifiez pas le compte sysadmin. 12. Dans l'écran Service Endpoint Encryption, spécifiez les paramètres suivants : 4-6

87 Déploiement de PolicyServer OPTION Numéro de port DESCRIPTION Spécifiez le numéro de port que les agents PolicyServer MMC, Control Manager et Endpoint Encryption 5.0 Patch 1 utilisent pour communiquer avec PolicyServer (par défaut : 8080). Remarque Dans les environnements comportant des agents hérités, Trend Micro recommande d'utiliser le port 8080 pour le service Web admin et le port 80 pour le service Web client. Le numéro de port doit être un entier positif compris entre 1 et Générer automatiquement un nouveau certificat auto-signé Spécifier un certificat existant. Sélectionnez cette option si aucun certificat n'est disponible. Le programme d'installation génère un certificat pour la communication. Sélectionnez cette option pour utiliser un certificat spécifique. Il n'existe aucune limitation ou configuration requise pour spécifier un certificat existant autre que le formatage correct du certificat. Remarque Le service Endpoint Encryption utilise une API Web RESTful pour authentifier les agents qui se connectent à PolicyServer. 13. Cliquez sur Continue. 14. Dans l'écran Service d'agent hérité, sélectionnez l'emplacement que les agents Endpoint Encryption hérités (version et antérieures) utilisent pour communiquer avec PolicyServer, puis cliquez sur Continuer. 15. Pour installer immédiatement PolicyServer MMC, cliquez sur Oui. Pour installer PolicyServer MMC ultérieurement ou sur un point final séparé, consultez la section Installation de PolicyServer MMC à la page 4-9. Le processus d'installation commence. 16. Lorsque vous y êtes invité, cliquez sur OK. 4-7

88 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration 17. Cliquez sur Terminé. 18. Cliquez sur Quitter pour fermer le programme d'installation de PolicyServer. 19. Redémarrez le serveur. 20. Ajoutez les groupes et les utilisateurs d'endpoint Encryption initiaux. Consultez la section Configuration de PolicyServer à la page 4-8. Configuration de PolicyServer La procédure suivante comment configurer l'entreprise PolicyServer avec PolicyServer MMC. Les connexions de l'entreprise et du compte d'administrateur d'entreprise ont été configurées au moment de l'installation de PolicyServer. Remarque Pour plus d'informations sur les consoles d'administration disponibles dans Endpoint Encryption, consultez la section Consoles d'administration à la page 1-15 Procédure 1. Installez PolicyServer MMC si cela n'a pas été fait pendant l'installation de PolicyServer. Consultez la section Installation de PolicyServer MMC à la page Connectez-vous à PolicyServer MMC. Consultez la section Installation de PolicyServer MMC à la page Ajoutez le premier groupe supérieur. Consultez la section Ajouter un groupe supérieur à la page Ajoutez des utilisateurs d'endpoint Encryption. Consultez la section Ajouter un nouvel utilisateur à un groupe à la page

89 Déploiement de PolicyServer 5. Autorisez certains utilisateurs d'endpoint Encryption à installer de nouveaux périphériques Endpoint Encryption sur le groupe. Consultez la section Autoriser un utilisateur à effectuer une installation dans un groupe à la page Installation de PolicyServer MMC PolicyServer MMC peut éventuellement être installé pendant l'installation de PolicyServer. Pour les environnements qui ne colocalisent pas PolicyServer MMC et PolicyServer, suivez cette procédure pour installer PolicyServer MMC. Remarque En raison d'une amélioration de la sécurité, il n'est pas possible d'utiliser les versions héritées de PolicyServer MMC pour gérer PolicyServer 5.0 Patch 1. Procédure 1. Exécutez PolicyServerMMCSnapinSetup.msi. L'installation démarre. 2. Cliquez sur Suivant pour lancer l'assistant de configuration. 3. Lisez attentivement le contrat de licence et acceptez ses termes en sélectionnant sur J'accepte, puis en cliquant sur Suivant. 4. Sélectionnez le dossier d'installation ou laissez l'emplacement par défaut et cliquez sur Suivant. 5. Cliquez sur Suivant pour confirmer l'installation Une fois l'installation terminée, notez les éléments suivants : Un nouveau raccourci PolicyServer MMC s'affiche sur le bureau : 4-9

90 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration FIGURE 4-1. Raccourci PolicyServer MMC Selon le processeur, les fichiers programme sont installés à l'emplacement C: \Program Files\Trend Micro\PolicyServer MMC\ ou C: \Program Files (x86)\trend Micro\PolicyServer MMC\ 6. Cliquez sur Fermer pour terminer. 7. Cliquez sur Oui pour redémarrer le serveur. 8. Après vous êtes reconnecté au serveur, double-cliquez sur le raccourci PolicyServer MMC sur le bureau. 9. Lorsque PolicyServer MMC s'ouvre, authentifiez-vous en utilisant l'entreprise et le compte d'administrateur d'entreprise créés lors de l'installation des services et des bases de données PolicyServer. La période d'évaluation de 30 jours autorise des périphériques illimités et jusqu'à 100 utilisateurs. Consultez le Manuel de l'administrateur Endpoint Encryption pour les tâches supplémentaires postérieures à l'installation, telles que la création de périphériques et d'utilisateurs ou la configuration de stratégies. Conseil Trend Micro recommande de créer une sauvegarde du compte d'administrateur d'entreprise et de modifier le mot de passe par défaut. Connexion à PolicyServer MMC Configurez le nom de l'entreprise et le compte d'administrateur de l'entreprise pendant l'installation de PolicyServer. Pour plus d'informations sur la licence d'évaluation pendant 30 jours, consultez la section Licence d'évaluation à la page

91 Déploiement de PolicyServer Procédure 1. Pour ouvrir PolicyServer MMC, effectuez l'une des opérations suivantes : Cliquez sur le raccourci PolicyServer MMC sur le poste de travail Accédez au dossier spécifié pendant l'installation, puis double-cliquez sur PolicyServerMMC.exe L'écran d'authentification de PolicyServer MMC s'affiche. FIGURE 4-2. Écran d'authentification de PolicyServer MMC 2. Spécifiez les paramètres suivants : OPTION DESCRIPTION Entreprise Nom d'utilisateur Spécifiez l'entreprise. Spécifiez le nom d'utilisateur d'un compte d'administrateur de l'entreprise. 4-11

92 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration OPTION Mot de passe Serveur DESCRIPTION Spécifiez le mot de passe du nom d'utilisateur. Spécifiez l'adresse IP ou le nom d'hôte du serveur PolicyServer et incluez le numéro de port attribué à cette configuration. 3. Facultatif : Pour utiliser une carte à puce pour l'authentification, sélectionnez Utiliser la carte à puce. 4. Cliquez sur Connexion. 5. Attendez que PolicyServer MMC se connecte à PolicyServer. PolicyServer MMC s'ouvre. Ajouter un groupe supérieur Les groupes simplifient la gestion des agents, utilisateurs, stratégies, sous-groupes et périphériques Endpoint Encryption. Un groupe supérieur est un groupe du plus haut niveau. Remarque Il n'est pas possible d'ajouter les comptes d'administrateur d'entreprise ou d'authentificateur d'entreprise à des groupes. Pour créer un administrateur de groupe, ajoutez un utilisateur et modifiez les autorisations du compte au sein du groupe.. Procédure 1. Effectuez un clic droit sur l'entreprise dans le volet de gauche, puis cliquez sur Ajouter le premier groupe. 4-12

93 Déploiement de PolicyServer FIGURE 4-3. Ajouter le premier groupe L'écran Ajouter un nouveau groupe s'ouvre. 2. Spécifiez le nom et la description du groupe. 3. Si vous utilisez des périphériques Endpoint Encryption qui ne prennent pas en charge le codage Unicode, sélectionnez Prise en charge des périphériques hérités. Remarque Certains périphériques hérités peuvent avoir des problèmes de communication avec PolicyServer lorsqu'ils utilisent l'unicode. Attribuez Unicode et les périphériques Endpoint Encryption hérités à des groupes différents. 4-13

94 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration FIGURE 4-4. Écran Ajouter un nouveau groupe 4. Cliquez sur Appliquer. 5. Cliquez sur OK dans le message de confirmation. Le nouveau groupe est ajouté à l'arborescence dans le volet de gauche. Ajouter un nouvel utilisateur à un groupe Remarque L'ajout d'un utilisateur à l'entreprise n'affecte l'utilisateur à aucun groupe L'ajout d'un utilisateur à un groupe ajoute l'utilisateur au groupe et à l'entreprise 4-14

95 Déploiement de PolicyServer Procédure 1. Développez le groupe et ouvrez Utilisateurs. 2. Accédez au volet de droite et effectuez un clic droit sur l'espace vide, puis sélectionnez Ajouter un nouvel utilisateur. L'écran Ajouter un nouvel utilisateur s'ouvre. FIGURE 4-5. Écran Ajouter un nouvel utilisateur 3. Spécifiez les options suivantes : OPTION Nom d'utilisateur Prénom Nom DESCRIPTION Spécifiez le nom d'utilisateur du nouveau compte d'utilisateur (requis). Spécifiez le prénom du nouveau compte d'utilisateur (requis). Spécifiez le nom du nouveau compte d'utilisateur (requis). 4-15

96 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration OPTION ID de l'employé Geler Type de groupe d'utilisateurs DESCRIPTION Spécifiez l'id d'employé du nouveau compte d'utilisateur (facultatif). Spécifiez s'il faut désactiver temporairement le nouveau compte d'utilisateur (facultatif). Dans cet état «Gelé», l'utilisateur ne peut plus se connecter aux périphériques. Sélectionnez les privilèges du nouveau compte. Remarque Pour plus d'informations sur les rôles de compte, consultez la section Rôles utilisateurs d'endpoint Encryption à la page Les options comprennent : Utilisateur Authentificateur Administrateur Remarque Il n'est pas possible d'ajouter des comptes d'administrateur d'entreprise ou d'authentificateur d'entreprise à des groupes. Un groupe Méthode d'authentification Sélectionnez si le nouveau compte d'utilisateur est autorisé à être membre de plusieurs stratégies de groupe. Sélectionnez la méthode utilisée par le nouveau compte d'utilisateur pour se connecter aux périphériques Endpoint Encryption. Remarque La méthode d'authentification par défaut de l'utilisateur est définie sur Aucune. 4. Cliquez sur OK. 4-16

97 Déploiement de PolicyServer Le nouvel utilisateur est ajouté au groupe sélectionné et à l'entreprise. L'utilisateur peut désormais se connecter aux périphériques Endpoint Encryption. Autoriser un utilisateur à effectuer une installation dans un groupe Avant d'installer les agents, autorisez au moins un utilisateur dans un groupe à installer des agents. Procédure 1. Développez le groupe, ouvrez Utilisateurs. 2. Effectuez un clic droit sur le compte d'utilisateur, puis sélectionnez Autoriser l'utilisateur à effectuer une installation dans ce groupe. Synchronisation Active Directory de PolicyServer PolicyServer prend en charge la synchronisation Active Directory (AD) pour un groupe PolicyServer configuré. La synchronisation ajoutera et supprimera automatiquement les utilisateurs AD des groupes PolicyServer configurés. Présentation d'active Directory Trois composants sont requis pour activer la synchronisation AD de PolicyServer : 1. Un domaine AD configuré. 2. Un groupe PolicyServer configuré pour pointer vers une Unité organisationnelle (OU) AD. 3. Des informations d'identification adéquates pour accéder au domaine AD correspondant au nom unique du groupe PolicyServer. Lorsqu'il est configuré correctement, le système de synchronisation crée automatiquement des utilisateurs PolicyServer et les déplace vers les groupes couplés 4-17

98 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration appropriés sur PolicyServer. Pendant la synchronisation, PolicyServer est mis à jour pour refléter les utilisateurs et les attributions de groupes actuels des groupes couplés. Un nouvel utilisateur ajouté au domaine et placé dans l'unité organisationnelle sera marqué afin que, lors de la prochaine synchronisation, AD le crée dans PolicyServer et le déplace dans le groupe PolicyServer couplé approprié. Supprimer un utilisateur d'ad entraînera la suppression automatique de cet utilisateur du groupe PolicyServer couplé et de l'entreprise. Pour ajouter des utilisateurs ne faisant pas partie du domaine à des groupes synchronisés avec le domaine, vous pouvez créer des utilisateurs Endpoint Encryption uniques, puis les ajouter aux groupes PolicyServer couplés, sans que ces utilisateurs soient modifiés par le système de synchronisation. Si vous supprimez l'utilisateur Endpoint Encryption d'un groupe couplé sur PolicyServer, cet utilisateur du domaine ne sera pas ajouté de nouveau automatiquement par le système de synchronisation. Cela empêche d'outrepasser votre action pour cet utilisateur Endpoint Encryption. Si vous replacez manuellement un utilisateur du domaine synchronisé dans un groupe couplé, le système de synchronisation recommence à gérer automatiquement cet utilisateur au sein du groupe. Configuration d'active Directory Cette tâche présume que le contrôleur de domaine soit configuré sur Windows Server 2003 et qu'ad soit installé. Procédure 1. Accédez à Démarrer > Programmes > Outils d'administration > Utilisateurs et périphériques AD. Les utilisateurs et périphériques Active Directory s'ouvrent. 4-18

99 Déploiement de PolicyServer FIGURE 4-6. Utilisateurs et ordinateurs Active Directory 2. Effectuez un clic droit sur le nouveau domaine créé lors de l'installation d'ad, puis sélectionnez Nouveau. 3. Sélectionnez Unité d'organisation. 4. Cliquez sur Suivant. 5. A partir de l'écran Nouvel objet - Unité d'organisation, indiquez le nouveau nom et cliquez sur OK. Le nouveau groupe apparaît dans le volet gauche de navigation, sous le domaine. Le nouveau groupe sera utilisé pour la synchronisation avec le groupe PolicyServer mais les utilisateurs doivent d'abord être ajoutés au groupe. 6. Effectuez un clic droit sur le nouveau groupe et sélectionnez Nouvel utilisateur. 7. À partir de l'écran Nouvel objet - Utilisateur, indiquez les informations de compte du nouvel utilisateur et cliquez sur Suivant. 4-19

100 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration 8. Indiquez et confirmez le mot de passe du domaine du nouvel utilisateur et cliquez sur Suivant pour continuer Remarque Décochez l'option L'utilisateur doit modifier son mot de passe lors de la prochaine connexion et cochez Le mot de passe n'expire jamais afin de simplifier les tests ultérieurs 9. Lorsque vous êtes invité à terminer l'opération, cliquez sur Terminer. Ce contrôleur de domaine est configuré avec une nouvelle unité d'organisation et un utilisateur dans ce groupe. Afin de synchroniser ce groupe avec PolicyServer, installez PolicyServer et créez un groupe pour la synchronisation. Cette section présume que PolicyServer est déjà installé. 10. Connectez-vous à PolicyServer MMC. 11. Effectuez un clic droit sur l'entreprise et sélectionnez Créer un groupe de niveau supérieur. 12. Indiquez le nom et la description du groupe et cliquez sur Appliquer. 13. Afin de configurer la stratégie de synchronisation, ouvrez le groupe et accédez à Commun > Authentification > Connexion au réseau. 4-20

101 Déploiement de PolicyServer 14. Ouvrez Nom unique et indiquez le nom unique complet depuis l'organisation AD configurée afin d'effectuer la synchronisation avec ce groupe et cliquez sur OK. Remarque Le format de nom unique pour une unité d'organisation intitulée Ingénierie sur un domaine appelé test.home est le suivant : OU=Engineering,DC=TEST,DC=HOME 15. Ouvrez Nom de domaine et indiquez le nom de domaine NetBIOS utilisé pour configurer le serveur AD. Lorsque la stratégie PolicyServer est configurée, la configuration finale requise est de créer la configuration de synchronisation via l'outil de configuration de la synchronisation AD. Cet outil vous permet de créer des informations d'identification AD pour chaque unité d'organisation synchronisée et chaque contrôleur de domaine. 16. Pour accéder à l'outil Configuration de la synchronisation AD, accédez au dossier d'installation de Policy Server et ouvrez ADSyncConfiguration.exe 4-21

102 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration PolicyServer - L'outil de la synchronisation AD s'ouvre 17. Cliquez sur Ajouter pour spécifier les informations d'identification de l'unité d'organisation AD. Remarque Pour les serveurs nécessitant des informations d'identification supplémentaires, les utilisateurs peuvent entrer le nom d'utilisateur et le mot de passe d'administrateur pour se connecter au contrôleur de domaine via cet outil. 4-22

103 Déploiement de PolicyServer 18. Sortez de l'outil Configuration de la synchronisation AD. La synchronisation entre AD et PolicyServer est terminée. La synchronisation se fera toutes les 45 minutes (il s'agit de l'intervalle de synchronisation par défaut utilisé par les contrôleurs de domaine Microsoft). Vous pouvez forcer la synchronisation en arrêtant et redémarrant les services Windows PolicyServer. La synchronisation du domaine s'exécute peu après le démarrage des services Windows PolicyServer et toutes les 45 minutes par la suite. Proxy LDAP Le proxy LDAP facultatif permet l'authentification du domaine/authentification unique (SSO) via un serveur proxy externe se trouvant dans la zone démilitarisée (DMZ) d'un client. Remarque L'installation du proxy LDAP est requise pour les environnements hôtes utilisant l'authentification unique (SSO)/authentification de domaine. Les versions de proxy LDAP antérieures à 3.1 ne sont pas prises en charge. Les clients existants utilisant le proxy LDAP doivent au préalable effectuer une mise à niveau vers la version 3.1. Configuration requise pour LDAP TABLEAU 4-2. Spécifications matérielles et logicielles pour LDAP Processeur SPÉCIFICATION CONFIGURATION REQUISE Processeur Intel Core 2 ou compatible. Mémoire Minimum : 2 Go Espace disque Minimum : 30 Go Requis : 20 % d'espace disque disponible 4-23

104 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration SPÉCIFICATION CONFIGURATION REQUISE Connectivité réseau Le serveur doit se trouver sur le domaine et disposer d'un accès à AD Le serveur doit avoir une adresse accessible via Internet Un proxy entrant doit être autorisé PolicyServer doit avoir accès au serveur IIS de ce serveur Système d'exploitation Windows Server 2008/2008 R2 64 bits Applications et paramètres Rôle du serveur d'application IIS Autoriser les pages Active Server Autoriser ASP.NET Microsoft.Net Framework 2.0 SP2 Liste de contrôle matériel du proxy LDAP TABLEAU 4-3. Liste de contrôle matériel du proxy LDAP SERVEUR PROXY LDAP COMMENTAIRES Informations sur Windows Server Version du système d'exploitation Niveau de Service Pack Information matérielle Marque Mémoire RAM Modèle Unité centrale 4-24

105 Déploiement de PolicyServer SERVEUR PROXY LDAP COMMENTAIRES Serveur IIS Microsoft.NET SP 2.0 SP1 ou version ultérieure Informations sur le réseau Adresse IP Masque de sousréseau Nom de l'hôte Nom de domaine Informations d'identification du domaine disponibles (uniquement pour SSO) Configurer les services sur plusieurs points finaux Pour créer une topographie de réseau sur trois niveaux, déployer séparément les services sur un point final résidant dans le réseau DMZ et configurer PolicyServer en toute sécurité dernière le pare-feu. Vous pouvez installer le proxy Web client sur un point final séparé pour qu'il travaille soit comme un proxy transmettant le trafic seul, soit comme un proxy transmettant et filtrant le trafic. Le proxy Web client gère les services suivants : Service de transfert de trafic Utilisez le service de transfert de trafic pour transmettre tout le trafic des agents Endpoint Encryption 5.0 Patch 1 vers le serveur PolicyServer associé. Il communique avec le service Endpoint Encryption sur ce serveur PolicyServer. Service Web client Utilisez le service Web client pour transmettre tout le trafic des agents Endpoint Encryption hérités (3.1.3 et versions antérieures) au serveur PolicyServer associé. Il communique avec le service Windows PolicyServer sur 4-25

106 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration ce serveur PolicyServer. Outre le transfert de trafic, le service Web client filtre également le trafic afin d'empêcher les menaces de sécurité. Pour plus d'informations sur les services, consultez la section À propos de PolicyServer à la page À propos du service de transfert de trafic Utilisez le service de transfert de trafic dans les environnements qui disposent d'agents Endpoint Encryption 5.0 Patch 1 et PolicyServer résidant dans des réseaux locaux différents. Les agents Endpoint Encryption 5.0 Patch 1 communiquent en utilisant l'architecture RESTful. Le service de transfert de trafic se trouve entre les agents et PolicyServer afin d'empêcher tout accès de stratégie non sécurisé. Le programme d'installation du service de transfert de trafic configure le service TMEEservice, qui est identique au service RESTful installé par le programme d'installation de PolicyServer dans les environnements qui n'utilisent pas de proxy. Remarque Il n'est pas possible d'installer le service de transfert de trafic et PolicyServer sur le même point final. Le port par défaut est 8080 À propos du service Web client Utilisez le service Web client dans les environnements qui disposent d'agents Endpoint Encryption hérités (3.1.3 et plus anciens) et de PolicyServer résidant dans des réseaux locaux différents. Les agents Endpoint Encryption hérités communiquent à l'aide du protocole SOAP. Le service Web client se trouve entre les agents Endpoint Encryption hérités et le service Windows PolicyServer afin d'empêcher les stratégies d'accès non sécurisées. Le programme d'installation du service Web client configure MAWebService2 (service Web hérité), qui est identique au service Microsoft IIS installé par le programme d'installation de PolicyServer dans les environnements qui n'utilisent pas de proxy. 4-26

107 Déploiement de PolicyServer Remarque Il n'est pas possible d'installer le service Web client et PolicyServer sur le même point final. Le port par défaut pour Endpoint Encryption ou les agents antérieurs est Dans les environnements qui s'exécutent en utilisant des instances Endpoint Encryption nouvelles et héritées, configurez des ports différents pour chaque service proxy communiquant avec PolicyServer. Configuration du proxy Web client Remarque Veillez à installer PolicyServer sur un point final différent. Procédure 1. Copiez le dossier d'installation de PolicyServer sur le disque dur local. 2. Ouvrez le dossier Outils et exécutez TMEEProxyInstaller.exe. L'écran de bienvenue apparaît. 3. Cliquez sur Continue. Le programme d'installation du proxy Web client analyse le point final. 4. Spécifiez l'adresse IP du serveur PolicyServer ou le nom d'hôte et le numéro de port du service Endpoint Encryption du serveur PolicyServer cible. Remarque La valeur par défaut est localhost: Cliquez sur Continue. L'installation démarre. 6. Attendez que le proxy Web client s'installe. 4-27

108 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration 7. Cliquez sur Terminer. 8. Vérifiez l'installation du proxy Web client. a. Accédez à Démarrer > Outils d'administration > Internet Information Services (IIS) Manager. L'écran Internet Information Services (IIS) Manager s'affiche. b. Repérez l'emplacement du site configuré précédemment. c. Vérifiez que MAWebService2 est configuré. 9. Vérifiez l'installation du service de transfert de trafic. a. Accédez à Démarrer > Outils d'administration > Services. L'écran Services s'affiche. b. Assurez-vous que le service TMEEForward a démarré. Le service de transfert de trafic est installé. Mise à niveau Pour accéder aux nouvelles fonctionnalités du produit ou mettre à niveau l'ancien logiciel agent afin d'améliorer la sécurité des points finaux, les administrateurs peuvent avoir besoin de mettre à niveau Endpoint Encryption PolicyServer et tous les points finaux gérés exécutant un agent Endpoint Encryption. Pour la synchronisation des stratégies et la sécurité des informations, assurez-vous de toujours mettre à niveau PolicyServer avant les agents Endpoint Encryption. Cette section explique comment mettre à niveau Endpoint Encryption en toute sécurité, y compris PolicyServer, PolicyServer MMC et le logiciel agent Endpoint Encryption vers la plupart des versions actuelles. Pour plus d'informations, consultez la section Résumé des opérations de mise à niveau à la page

109 Déploiement de PolicyServer AVERTISSEMENT! Avant de mettre l'agent à niveau, veillez à mettre à niveau au préalable PolicyServer vers la version 5.0 Patch 1. Les agents Endpoint Encryption 5.0 Patch 1 ne peuvent pas communiquer avec PolicyServer ou versions antérieures. Chemins de mise à niveau Le tableau suivant décrit le chemin de mise à niveau à partir de chaque version précédente du produit vers la version 5.0 Patch 1. Certaines versions plus anciennes ne peuvent pas être mises à niveau directement vers 5.0 Patch 1 et doivent au préalable être mises à niveau vers une version plus récente de ce produit. Pour plus d'informations sur l'installation de versions héritées de produits Endpoint Encryption, consultez la documentation disponible à l'adresse : TABLEAU 4-4. Chemins de mise à niveau PRODUIT/AGENT VERSION CHEMIN DE MISE À NIVEAU PolicyServer SP SP Full Disk Encryption SP SP MobileArmor Full Disk Encryption Product Full Disk Encryption 5.0 SP7g SP7g Full Disk Encryption 5.0 SP7-SP7f SP7-SP7f SP7g Full Disk Encryption 5.0 DriveArmor 3.0 Non pris en charge. 4-29

110 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration PRODUIT/AGENT VERSION CHEMIN DE MISE À NIVEAU FileArmor SP1 FileArmor SP1 File Encryption FileArmor File Encryption FileArmor FileArmor File Encryption FileArmor FileArmor File Encryption 5.0 KeyArmor Il n'y a pas de version KeyArmor Versions de l'agent prises en charge Bien que PolicyServer prenne en charge la gestion des stratégies de tous les agents, les agents plus anciens ne peuvent pas s'enregistrer en tant que nouveau périphérique dans PolicyServer 5.0 Patch 1 ou Control Manager. Le tableau suivant explique quelles version héritées peuvent être ajoutées en tant que nouveau périphérique. Trend Micro recommande d'utiliser les versions les plus récentes de tous les agents. TABLEAU 4-5. Agents hérités pris en charge pour les nouveaux périphériques PEUT AGENT VERSION S'ENREGISTRER COMME NOUVEAU STRATÉGIES PRISES EN CHARGE PÉRIPHÉRIQUE Full Disk Encryption SP MobileArmor Full Disk Encryption Product SP7g 4-30

111 Déploiement de PolicyServer PEUT AGENT VERSION S'ENREGISTRER COMME NOUVEAU STRATÉGIES PRISES EN CHARGE PÉRIPHÉRIQUE DriveArmor 3.0 * File Encryption 5.0 Patch 1 FileArmor KeyArmor Tout * Remarque *Pris en charge seulement sur les mises à niveau de PolicyServer à partir d'endpoint Encryption ou Mise à niveau de PolicyServer Mettez à niveau PolicyServer pour accéder aux améliorations du serveur et aux nouvelles fonctionnalités de sécurité disponibles dans la dernière version du produit. Pendant la mise à niveau, les services PolicyServer sont arrêtés temporairement. Cependant, il n'y a aucune interruption de l'accès aux périphériques Endpoint Encryption. Les configurations des stratégies existantes sont conservées. Remarque Pour plus d'informations sur les nouvelles installations, consultez la section Installation de PolicyServer à la page 4-3. Pour plus d'informations sur l'architecture, consultez la section Composants d'endpoint Encryption à la page 1-9. PolicyServer MMC peut éventuellement être installé en même temps. 4-31

112 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration AVERTISSEMENT! Pour des raisons de sécurité, les agents Endpoint Encryption hérités ne peuvent pas communiquer directement avec une instance PolicyServer résidant sur un réseau différent. Pour plus d'informations sur la configuration d'un proxy Web, consultez la section Configurer les services sur plusieurs points finaux à la page Procédure 1. Vérifiez que toute la configuration système requise est respectée. Consultez la section Configuration minimale requise pour PolicyServer à la page Exécutez PolicyServerInstaller.exe. Le programme d'installation de PolicyServer s'ouvre. 3. Dans l'écran Mentions légales du produit, lisez attentivement le contrat de licence, puis acceptez ses termes en cliquant sur Accepter. 4. Vérifiez la version de PolicyServer et cliquez sur Mise à niveau. Veillez à suivre le chemin de mise à niveau correct pour PolicyServer. Pour plus d'informations, consultez la section Chemins de mise à niveau à la page Dans le message Enregistrement de licence, cliquez sur OK pour continuer. 6. Dans l'écran Connexion aux services Windows, cliquez sur Continuer. Les paramètres par défaut conviennent à la plupart des environnements. 7. Dans l'écran Connexion de l'administrateur de base de données, effectuez les opérations suivantes dans la section Base de données primaire : OPTION Serveur Nom d'utilisateur Mot de passe DESCRIPTION Nom d'hôte (localhost) ou adresse IP de Microsoft SQL Server. Nom d'utilisateur ayant le rôle sysadmin pour l'instance de Microsoft SQL Server spécifiée. Mot de passe du compte sysadmin. 4-32

113 Déploiement de PolicyServer Remarque Pour des environnements disposant de plusieurs instances de serveur SQL, modifiez l'instance SQL à la fin du nom d'hôte PolicyServer ou de l'adresse IP utilisée. Utilisez la syntaxe suivante pour spécifier une instance : <nom d'hôte ou adresse IP>\<instance de base de données> Le programme d'installation vérifie la connexion de base de données. 8. Lorsque le message Question PolicyServer s'affiche, effectuez l'une des opérations suivantes : Cliquez sur Oui pour sauvegarder les données existantes Cliquez sur Non pour écraser les données existantes 9. Dans l'écran Service Endpoint Encryption, spécifiez les paramètres suivants : OPTION Numéro de port DESCRIPTION Spécifiez le numéro de port que les agents PolicyServer MMC, Control Manager et Endpoint Encryption 5.0 Patch 1 utilisent pour communiquer avec PolicyServer (par défaut : 8080). Remarque Dans les environnements comportant des agents hérités, Trend Micro recommande d'utiliser le port 8080 pour le service Web admin et le port 80 pour le service Web client. Le numéro de port doit être un entier positif compris entre 1 et Générer automatiquement un nouveau certificat auto-signé Spécifier un certificat existant. Sélectionnez cette option si aucun certificat n'est disponible. Le programme d'installation génère un certificat pour la communication. Sélectionnez cette option pour utiliser un certificat spécifique. Il n'existe aucune limitation ou configuration requise pour spécifier un certificat existant autre que le formatage correct du certificat. 4-33

114 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Remarque Le service Endpoint Encryption utilise une API Web RESTful pour authentifier les agents qui se connectent à PolicyServer. 10. Dans l'écran Service d'agent hérité, sélectionnez l'emplacement que les agents Endpoint Encryption hérités (version et antérieures) utilisent pour communiquer avec PolicyServer, puis cliquez sur Continuer. 11. Cliquez sur Oui pour installer PolicyServer MMC. AVERTISSEMENT! Le programme d'installation de PolicyServer peut installer automatiquement une version de PolicyServer MMC qui prend en charge la gestion du produit. PolicyServer 5.0 Patch 1 ne prend pas en charge les versions plus anciennes de PolicyServer MMC. Cliquez seulement sur Non si un autre point final sur lequel PolicyServer MMC 5.0 Patch 1 est installé gère PolicyServer. Le processus d'installation commence. 12. Dans le message Installation de PolicyServer, cliquez sur OK 13. Cliquez sur Terminé. 14. Dans la fenêtre du programme d'installation de PolicyServer, cliquez surquitter. 15. Redémarrez le serveur. Mise à niveau de plusieurs services PolicyServer connectés à la même base de données Seule une instance unique de PolicyServer peut procéder à une restauration à la fois. Procédure 1. Arrêtez le service Windows PolicyServer sur toutes les instances de PolicyServer à l'exception de celle à mettre à niveau. 4-34

115 Déploiement de PolicyServer a. Accédez à Démarrer > Outils d'administration > Services. b. Effectuez un clic droit sur Service Windows PolicyServer, puis sélectionnez Arrêter. 2. Effectuez la mise à niveau sur le serveur actif. Consultez la section Mise à niveau de PolicyServer à la page Lorsque la mise à niveau est terminée et que la base de donnée se réplique, effectuez la mise à niveau sur les instances de PolicyServer restantes. Mise à niveau de PolicyServer MMC Remarque Pour améliorer les mesures de sécurité, les versions héritées de PolicyServer MMC ne peuvent pas gérer PolicyServer 5.0 Patch 1. La mise à niveau de PolicyServer MMC est requise. Procédure 1. Effectuez Désinstallation de PolicyServer MMC à la page Effectuez Installation de PolicyServer MMC à la page 4-9. Migration vers Control Manager Les administrateurs peuvent gérer Endpoint Encryption en utilisant uniquement PolicyServer MMC ou en utilisant Control Manager pour la gestion des stratégies, des utilisateurs et des périphériques et PolicyServer MMC pour la gestion avancée des journaux et l'établissement de rapports.pour obtenir des informations détaillées, voir Intégration de Control Manager à la page

116 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Désinstallation La section suivante explique comment désinstaller PolicyServer. Un cas courant nécessitant la désinstallation de PolicyServer est que des informations incorrectes ont été spécifiées lors de l'installation de PolicyServer. Désinstallation de PolicyServer MMC Utilisez Ajout/Suppression de programmes de Windows pour désinstaller l'agent. PolicyServer MMC. Remarque La désinstallation de PolicyServer MMC n'affecte pas la base de données et les services de PolicyServer. Procédure 1. Accédez à Démarrer > Paramètres > Panneau de configuration > Ajout/ Suppression de programmes La fenêtre Ajout/Suppression de programmes s'affiche. 2. Sélectionnez PolicyServer dans la liste des programmes installés. 3. Cliquez sur Supprimer. 4. Dans le message Ajout/Suppression de programmes, cliquez sur Oui pour confirmer. Le processus de désinstallation s'achève lorsque le programme est supprimé de la liste. Désinstallation de PolicyServer La désinstallation de PolicyServer supprime tous les services Endpoint Encryption. La base de données Endpoint Encryption n'est pas affectée par la désinstallation de PolicyServer. 4-36

117 Déploiement de PolicyServer AVERTISSEMENT! Bien que la désinstallation de PolicyServer n'affecte pas la base de données Endpoint Encryption, elle supprime cependant tous les services Endpoint Encryption. Les utilisateurs d'endpoint Encryption ne peuvent plus se connecter sur les périphériques Endpoint Encryption tant que PolicyServer n'est pas réinstallé. Procédure 1. Exécutez PolicyServerInstaller.exe. Le programme d'installation de PolicyServer s'ouvre. 2. Dans l'écran Mentions légales du produit, lisez attentivement le contrat de licence, puis acceptez ses termes en cliquant sur Accepter. 3. Dans l'écran Services PolicyServer, cliquez sur Désinstaller sur la gauche. La désinstallation de PolicyServer démarre. 4. Attendez que le processus de désinstallation de PolicyServer supprime tous les paramètres des services et des bases de données. 5. Cliquez sur Terminé. 6. Redémarrez le serveur. 7. Réinstallez éventuellement PolicyServer. Consultez la section Installation de PolicyServer à la page

118

119 Chapitre 5 Intégration de Control Manager Ce chapitre explique comment intégrer Endpoint Encryption à Trend Micro Control Manager. Pouvez utiliser Control Manager au lieu de PolicyServer MMC pour gérer PolicyServer. Remarque Pour plus d'informations sur les consoles d'administration disponibles pour contrôler l'implémentation d'endpoint Encryption, consultez la section Consoles d'administration à la page 2-6 Les rubriques sont les suivantes: À propos de l'intégration de Control Manager à la page 5-2 Migration vers Control Manager à la page 5-3 Ajout de PolicyServer en tant que produit géré à Control Manager à la page 5-4 Configuration des groupes pour les stratégies de Control Manager à la page 5-7 Création d'une stratégie à la page 5-8 Modification d'un produit géré de PolicyServer dans Control Manager à la page 5-11 Suppression d'un produit géré par PolicyServer à partir de Control Manager à la page

120 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration À propos de l'intégration de Control Manager Gérez de manière flexible Endpoint Encryption en utilisant uniquement PolicyServer MMC ou en utilisant Control Manager pour la gestion des stratégies, des utilisateurs et des périphériques et PolicyServer MMC pour la gestion avancée des journaux et l'établissement de rapports. Trend Micro Control Manager est une console d'administration centralisée qui gère les produits et services Trend Micro, au niveau de la passerelle, du serveur de messagerie, du serveur de fichiers et des postes de travail de l'entreprise. Les administrateurs peuvent utiliser la fonctionnalité de gestion des stratégies pour configurer et déployer les paramètres du produit dans les produits gérés et les points finaux. La console d'administration à interface Web de Control Manager fournit un point de surveillance unique pour les produits et les services antivirus et de sécurité de contenu sur tout le réseau. Control Manager permet aux administrateurs système de surveiller et de signaler des activités telles que des infections, violations de sécurité et points d'entrée de virus/ programmes malveillants. Les administrateurs système peuvent télécharger et déployer des composants de mise à jour sur le réseau, contribuant ainsi à garantir une protection homogène et actualisée. Les composants de mise à jour comprennent, par exemple, les fichiers de signatures de virus, les moteurs de scan et les règles de filtrage de courrier indésirable. Control Manager permet de réaliser à la fois des mises à jour manuelles et programmées. Il permet de configurer et de gérer des produits, en groupe ou séparément, pour une flexibilité accrue. L'illustration suivante explique comment déployer Endpoint Encryption pour la première fois en utilisant Control Manager pour gérer PolicyServer. Dans un déploiement Control Manager, les administrateurs utilisent Control Manager pour tous les contrôles des stratégies, utilisateurs et périphériques Endpoint Encryption et n'utilisent PolicyServer MMC que pour la maintenance avancée de l'entreprise. 5-2

121 Intégration de Control Manager Remarque Dans les environnements qui utilisent Control Manager, modifiez vers PolicyServer les stratégies qui sont toujours contrôlées par Control Manager. Toutes les modifications apportées en utilisant PolicyServer MMC sont remplacées la prochaine fois que Control Manager synchronie les stratégies avec la base de données PolicyServer. Migration vers Control Manager La migration vers Control Manager n'est pas automatisée. La procédure suivante explique la configuration manuelle de Control Manager pour correspondre à la configuration existante. 5-3

122 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Procédure 1. Mettez à niveau PolicyServer vers la version 5.0 Patch 1. Consultez la section Éléments à prendre en compte pour la mise à niveau à la page Installer et configurer Control Manager. Consultez la documentation appropriée : 3. Ajoutez PolicyServer à Control Manager. Consultez la section Ajout de PolicyServer en tant que produit géré à Control Manager à la page Ajoutez tous les utilisateurs existants à Control Manager en utilisant le widget Utilisateurs d'endpoint Encryption. 5. Pour chaque groupe actuellement existant, créez une nouvelle stratégie. Consultez la section Création d'une stratégie à la page Dans chaque nouvelle stratégie, spécifiez une cible de stratégie pour chaque périphérique affecté au groupe précédent. Consultez la section Spécifications des cibles de stratégie à la page Utilisez Control Manager pour déployer les stratégies. Consultez la section Création d'une stratégie à la page 5-8. Ajout de PolicyServer en tant que produit géré à Control Manager Endpoint Encryption autorise les administrateurs à utiliser Trend Micro Control Manager pour contrôler PolicyServer et gérer les stratégies des agents Endpoint Encryption ou à utiliser Trend Micro OfficeScan pour déployer le logiciel agent Endpoint Encryption sur des points finaux gérés. 5-4

123 Intégration de Control Manager Pour utiliser Control Manager pour gérer PolicyServer, vous devez ajouter PolicyServer en tant que produit géré. Assurez-vous de terminer les tâches suivantes avant de poursuivre : 1. Installer et configurer Control Manager. Consultez la documentation appropriée à l'adresse : 2. Installer et configurer PolicyServer. Pour configurer des procédures supplémentaires pour Control Manager, consultez la section Manuel de l'administrateur Endpoint Encryption. Important Endpoint Encryption ne prend en charge qu'une seule instance de PolicyServer configurée dans Control Manager à la fois. Il n'est pas possible d'ajouter plusieurs configurations de serveur PolicyServer. Pour configurer un serveur PolicyServer différent, retirez tout d'abord le serveur PolicyServer configuré précédemment. Procédure 1. Vérifiez toutes les configuration système requises pour les versions de produits compatibles. Consultez la section Configuration système requise à la page Connectez-vous à Control Manager. 3. Accédez à Stratégies > Ressources de stratégies > Serveurs gérés. L écran Serveurs gérés apparaît. 4. Dans la liste déroulante Type de serveur, sélectionnez Endpoint Encryption. 5. Cliquez sur Ajouter. 5-5

124 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration L'écran Ajouter un serveur apparaît. 6. Spécifiez les options Informations relatives au serveur Serveur : Spécifiez le nom d'hôte et le numéro de port du serveur PolicyServer. Utilisez le format suivant : http(s)://<nom_serveur>:numéro_port Remarque Control Manager communique avec le service Endpoint Encryption de PolicyServer. Le numéro de port par défaut est Nom d'affichage : Spécifiez comment le serveur PolicyServer s'affiche dans l'écran Serveurs gérés 7. Sous Authentification, spécifiez le nom d'utilisateur et le mot de passe du compte d'administrateur d'entreprise Endpoint Encryption. 8. Sous Connexion, sélectionnez Utiliser un serveur proxy pour la connexion si le serveur PolicyServer requiert une connexion proxy. 5-6

125 Intégration de Control Manager 9. Cliquez sur Enregistrer. Remarque La synchronisation entre Control Manager et le serveur PolicyServer peut prendre plusieurs minutes. Le serveur PolicyServer est ajouté en tant que nouveau produit géré à Control Manager. 10. Pour configurer des procédures supplémentaires pour Control Manager, consultez la section Manuel de l'administrateur Endpoint Encryption. Configuration des groupes pour les stratégies de Control Manager Control Manager simplifie la gestion des stratégies et fusionnant l'architecture des groupes et des stratégies de PolicyServer. La synchronisation de l'architecture des groupes et des stratégies de PolicyServer avec la structure des stratégies de Control Manager n'est pas automatisée. La procédure suivante explique les informations les plus importantes à connaître concernant la configuration existante avant de configurer la nouvelle configuration de Control Manager. Procédure 1. Connectez-vous à PolicyServer MMC. 2. Rassemblez les informations suivantes : Nombre total de groupes, leur nom et les sous-groupes Tous les utilisateurs affectés à chaque groupe La configuration de stratégie de chaque groupe 3. Connectez-vous à Control Manager. 5-7

126 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration 4. Pour chaque groupe de PolicyServer MMC, configurez une nouvelle stratégie qui correspond à la configuration de stratégie de groupe correspondante. Remarque Les sous-groupes ne sont plus pris en charge. Créez une stratégie pour chaque sousgroupe ou créez une stratégie pour le groupe qui affecte les sous-groupes 5. Ajouter tous les utilisateurs à chaque nouvelle stratégie. 6. Déployez chaque stratégie. Création d'une stratégie La procédure suivante explique comment configurer une stratégie de Control Manager qui touche les périphériques et les utilisateurs d'endpoint Encryption. Important Pour ajouter un compte d'utilisateur à la stratégie, assurez-vous que le compte d'utilisateur existe déjà. Procédure 1. Allez dans Stratégies > Gestion des stratégies. 2. Dans la liste déroulante Produits, sélectionnez Endpoint Encryption. 3. Cliquez sur Créer. L'écran Créer une stratégie apparaît. 5-8

127 Intégration de Control Manager 4. Spécifiez un nom de stratégie. 5. Spécifiez des options de stratégie. Consultez la rubrique Spécifications des cibles de stratégie à la page 5-9. Remarque Pour plus d'informations sur les options de stratégie disponibles, consultez le Manuel de l'administrateur Endpoint Encryption. 6. Cliquez sur Enregistrer. Spécifications des cibles de stratégie Utilisez l'écran Spécifier les cibles pour affecter des périphériques Endpoint Encryption à la stratégie. Remarque L'écran Spécifier les cibles est disponible lors de la création d'une nouvelle stratégie. Pour plus d'informations sur la création d'une stratégie, consultez la section Création d'une stratégie à la page

128 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration FIGURE 5-1. Spécifications des cibles de stratégie Procédure 1. Dans l'écran Spécifier les cibles, cliquez sur l'onglet Parcourir. 2. Dans le volet de gauche, développez l'arborescence pour sélectionner le dossier géré. Exemple : CM-PI-2K8 > Dossier local > TMEE > TMEE > QA2 3. Sélectionnez un périphérique Endpoint Encryption approprié ou cochez la case supérieure pour sélectionner tous les périphériques Endpoint Encryption répertoriés dans la page actuelle. 4. Cliquez sur Ajouter les cibles sélectionnées. Remarque Pour sélectionner immédiatement tous les périphériques dans le dossier géré, cliquez sur Ajouter tous les éléments du dossier sélectionné. 5-10

129 Intégration de Control Manager «Afficher la liste des actions» et «Afficher les résultats» se mettent à jour en fonction de la sélection. 5. Cliquez sur OK. Modification d'un produit géré de PolicyServer dans Control Manager Important Endpoint Encryption ne prend en charge qu'une seule instance de PolicyServer dans Control Manager. Il n'est pas possible d'ajouter plusieurs instances de PolicyServer. Procédure 1. Supprimez PolicyServer de Control Manager. Consultez la section Suppression d'un produit géré par PolicyServer à partir de Control Manager à la page Ajoutez le nouveau serveur PolicyServer à Control Manager. Consultez la section Ajout de PolicyServer en tant que produit géré à Control Manager à la page 5-4. Suppression d'un produit géré par PolicyServer à partir de Control Manager Procédure 1. Accédez à Stratégies > Ressources de stratégies > Serveurs gérés. L écran Serveurs gérés apparaît. 5-11

130 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration 2. Cliquez sur l'icône Supprimer ( ) dans la colonne Actions. 3. Lorsque le message s'affiche, cliquez sur OK pour confirmer. L'instance de PolicyServer est supprimée de Control Manager. Utilisez PolicyServer MMC pour gérer les stratégies. 5-12

131 Chapitre 6 Déploiement des agents Endpoint Encryption Chaque agent Endpoint Encryption dispose d'une installation et d'une configuration minimale requise uniques. Pour obtenir des explications sur la configuration et la gestion, consultez la section Manuel de l'administrateur Endpoint Encryption. Les rubriques sont les suivantes: Agents Endpoint Encryption à la page 1-17 À propos de Full Disk Encryption à la page 6-3 À propos de File Encryption à la page 6-4 Installation à la page 6-4 Mise à niveau à la page 6-37 Migration à la page 6-42 Désinstallation à la page

132 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Agents Endpoint Encryption Le tableau suivant décrit les agents Endpoint Encryption disponible pour des environnements divers. AGENT File Encryption Full Disk Encryption Encryption Management for Microsoft BitLocker DESCRIPTION Agent Endpoint Encryption pour le File Encryptions et de dossiers sur les disques locaux et les supports amovibles. Utilisez File Encryption pour protéger les fichiers et les dossiers se trouvant virtuellement sur tout périphérique apparaissant comme disque sur le système d'exploitation hôte. Pour plus d'informations, consultez la section À propos de File Encryption à la page 6-4. Agent Endpoint Encryption pour le chiffrement matériel et logiciel avec authentification préalable au démarrage. Utilisez Full Disk Encryption pour sécuriser les fichiers de données, les applications, les paramètres de Registre, les fichiers temporaires, les fichiers d'échange, les spouleurs d'impression et les fichiers supprimés sur un point final Windows. Une authentification forte préalable au démarrage limite l'accès aux vulnérabilités jusqu'à ce que l'utilisateur soit validé. Pour plus d'informations, consultez la section À propos de Full Disk Encryption à la page 6-3. Agent Endpoint Encryption Full Disk Encryption pour les environnements Microsoft Windows qui ont simplement besoin d'activer Microsoft BitLocker sur le point final d'hébergement. Utilisez l'agent Encryption Management for Microsoft BitLocker pour sécuriser les points finaux avec la protection par chiffrement complet de disques de Trend Micro dans une infrastructure Windows existante. Pour plus d'informations, consultez la section À propos de Full Disk Encryption à la page

133 Déploiement des agents Endpoint Encryption AGENT Encryption Management for Apple FileVault DESCRIPTION Agent Endpoint Encryption Full Disk Encryption pour les environnements Mac OS qui ont simplement besoin d'activer Apple FileVault sur le point final d'hébergement. Utilisez l'agent Encryption Management for Apple FileVault pour sécuriser les points finaux avec la protection par chiffrement complet de disques de Trend Micro dans une infrastructure Mac OS existante. Pour plus d'informations, consultez la section À propos de Full Disk Encryption à la page 6-3. Remarque Endpoint Encryption 5.0 ne comporte pas de périphériques KeyArmor. Toutefois, les périphériques KeyArmor hérités sont pris en charge. À propos de Full Disk Encryption L'agent Trend Micro Full Disk Encryption combine un algorithme de chiffrement AES256 robuste avec une authentification obligatoire afin de rendre les données inaccessibles sans authentification. Full Disk Encryption empêche la perte de données en chiffrant l'intégralité du disque, y compris le système d'exploitation, les programmes, les fichiers temporaires et les fichiers des utilisateurs finaux. Full Disk Encryption autorise une flexibilité permettant d'utiliser des disques durs avec un chiffrement logiciel ou matériel, selon les besoins. Les disques à chiffrement automatique Seagate DriveTrust, OPAL et OPAL2 sont pris en charge. Le chiffrement matériel est plus simple à déployer sur du matériel neuf, plus facile à gérer et offre un haut niveau de performances. Quant au chiffrement logiciel, il ne nécessite aucun matériel et est moins coûteux à déployer sur des points finaux existants. Trend Micro PolicyServer contrôle les stratégies affectant Full Disk Encryption, ce qui garantit une sécurité complète des points finaux gérée de manière centrale au sein de l'entreprise. Full Disk Encryption tient compte du réseau et met à jour les stratégies avant d'autoriser l'authentification. Vous pouvez également verrouiller ou nettoyer les données à distance sur le point final avant l'accès au système d'exploitation ou à d'autres données sensibles. 6-3

134 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Trend Micro Endpoint Encryption 5.0 Patch 1 fait progresser Full Disk Encryption grâce à l'intégration de nouvelles solutions de chiffrement intégrées au système d'exploitation hôte par le biais de deux nouveaux agents Endpoint Encryption : Encryption Management for Microsoft BitLocker Encryption Management for Apple FileVault À propos de File Encryption L'agent Trend Micro File Encryption utilise le chiffrement AES pour protéger les données partagées entre des utilisateurs d'endpoint Encryption, stockées sur des supports amovibles ou enregistrées sur des ressources réseau. File Encryption peut également protéger différents fichiers avec différentes clés, ce qui permet vous permet de définir des stratégies pour l'agent File Encryption, puis de créer des stratégies séparées pour accéder à certains fichiers, ce qui est utile dans les environnements où plusieurs utilisateurs accèdent au même point final. Le chiffrement est effectué après l'authentification. Vous pouvez utiliser Trend Micro PolicyServer pour spécifier quels sont les fichiers et dossiers chiffrés, ainsi que les stratégies concernant les supports amovibles. Les utilsateurs finaux disposent également de la flexibilité de gérer File Encryption localement en chiffrant les fichiers individuels, les dossiers ou les supports amovibles à la volée, afin d'assurer la protection de leurs données indépendamment de l'endroit où ils se trouvent. Installation La section suivante explique les conditions requises pour de nouvelles installations d'agents Endpoint Encryption, comment installer les agents Endpoint Encryption et les outils pour la préparation de scripts d'installation automatisés. Avant d'installer les agents Endpoint Encryption Avant d'installer les agents Endpoint Encryption, tentez compte des éléments suivants : 6-4

135 Déploiement des agents Endpoint Encryption Assurez-vous que toute la configuration système requise est respectée. Pour plus d informations, consultez la section Configuration système requise à la page 2-1. Copiez tous les fichiers d'installation de l'agent sur le disque dur local. Les outils sont disponibles pour la construction de scripts d'installation automatisée. Pour plus d'informations, consultez la section Déploiements automatiques à la page Le compte d'installation dispose de privilèges d'administrateur local Vérifier Conditions requises pour les points finaux gérés à la page 6-5 Pour les éléments supplémentaires à prendre en compte avant le déploiement, consultez la section Liste de contrôle préalable au déploiement à la page 3-2. Conditions requises pour les points finaux gérés Après l'installation d'un agent Endpoint Encryption, le point final s'enregistre comme un nouveau périphérique Endpoint Encryption sur PolicyServer. Les actions d'authentification, de chiffrement et de périphériques distants sont contrôlées de manière centrale par les stratégies de PolicyServer. Les éléments suivants sont requis pour installer des points finaux gérés : L'ordinateur dispose d'un accès réseau et peut communiquer avec PolicyServer pendant l'installation Pour les environnements utilisant PolicyServer MMC, il existe au moins un groupe de haut niveau ajouté Pour les environnements utilisant Control Manager, il existe au moins une stratégie configurée L'utilisateur Endpoint Encryption est autorisé à ajouter des périphériques au groupe ou à la stratégie Remarque Il est maintenant possible d'utiliser les rôles d'administrateur d'entreprise et d'authentification d'entreprise pour installer les agents Endpoint Encryption. 6-5

136 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Le compte d'installation dispose de privilèges d'administrateur local. Si l'authentification du domaine/l'authentification unique est activée, le nom d'utilisateur correspond au nom d'utilisateur dans Active Directory. Le mot de passe d'active Directory est utilisé pour l'authentification Déploiement automatique de l'agent Il existe deux méthodes pour simplifier le déploiement de masse au sein d'une entreprise avec un grand nombre de points finaux : Utiliser OfficeScan : Intégration d'officescan à la page 7-1 Créer des scripts d'installation, puis utiliser des outils d'automatisation tels que Microsoft SCCM ou SMS : Déploiements automatiques à la page 6-28 Déploiement de Full Disk Encryption Les sections suivantes décrivent comment installer et configurer les trois agents Endpoint Encryption qui gèrent le chiffrement complet de disque : Full Disk Encryption Encryption Management for Microsoft BitLocker Encryption Management for Apple FileVault Remarque Il est maintenant possible d'utiliser les rôles d'administrateur d'entreprise et d'authentification d'entreprise pour installer les agents Endpoint Encryption. Aperçu du déploiement de Full Disk Encryption La procédure suivante explique comment préparer et installer les agents Full Disk Encryption suivants : Full Disk Encryption 6-6

137 Déploiement des agents Endpoint Encryption Encryption Management for Microsoft BitLocker Encryption Management for Apple FileVault Procédure 1. Apportez les modifications au système d'exploitation pour préparer le point final. Consultez la section Préparation du point final à la page Pour les environnements Windows, préparez le disque dur. Consultez la section Préparation du disque dur à la page Désactivez la stratégie de chiffrement pendant le développement. Consultez la section Désactiver le déploiement d'endpoint Encryption à la page Déploiement de l'agent Endpoint Encryption. Consultez l'une des rubriques suivantes : Installation de Full Disk Encryption à la page 6-12 Installation de Encryption Management for Microsoft BitLocker à la page 6-17 Installation de Encryption Management for Apple FileVault à la page Suivez les instructions de la tâche d'installation pour vérifier le déploiement. Préparation du point final Avant d'installer les agents Full Disk Encryption, préparez le point final afin d'éviter toute perte de données. Les rubriques suivantes expliquent comment préparer le point final dans les environnements Windows et Mac OS. 6-7

138 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Préparation du point final Windows Remarque N'installez pas Full Disk Encryption sur les points finaux comportant plusieurs disques durs. Les environnements à disques multiples ne sont pas pris en charge Les disques RAID et SCSI ne sont pas pris en charge Full Disk Encryption pour Windows 8 ne prend pas en charge les lecteurs RAID, SCSI ou edrive Procédure 1. Déconnectez tous les périphériques de stockage USB jusqu'à l'installation de cet agent et le redémarrage du point final. 2. Assurez-vous que le lecteur sur lequel le système d'exploitation est installé n'est pas déjà chiffré et que BitLocker est désactivé. 3. Vérifiez que toute la configuration système requise est respectée. Consultez la section Configuration système requise à la page Pour les points finaux Windows 8 prenant en charge le BIOS UEFI, modifiez la séquence de démarrage sur Mode hérité d'abord. a. À partir de Windows 8, maintenez la touche Maj. enfoncée et redémarrez le dispositif. Le dispositif redémarre et le BIOS UEFI se charge. b. Cliquez sur la mosaïque Résolution des problèmes. L'écran Options avancées s'ouvre. c. Cliquez sur la mosaïque Paramètres du microprogramme UEFI. Si la mosaïque Paramètres du microprogramme UEFI n'existe pas, le dispositif n'utilise pas UEFI et aucune modification n'est donc requise. d. Définissez UEFI/Séquence de démarrage héritée sur Mode hérité d'abord. 6-8

139 Déploiement des agents Endpoint Encryption e. Redémarrez le point final. 5. Copiez les fichiers d'installation sur le lecteur système. Préparation du point final Mac OS Procédure 1. Supprimez tout produit de chiffrement complet du disque existant. 2. Assurez-vous que Encryption Management for Apple FileVault est actuellement désactivé. a. Accédez à Préférences système > Sécurité & Confidentialité. b. Sélectionnez l'onglet FileVault. 6-9

140 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration c. Si nécessaire, cliquez sur l'icône de verrou ( ) pour effectuer les modifications. d. Spécifiez le nom d'utilisateur et le mot de passe du point final. e. Cliquez sur Désactiver FileVault. Préparation du disque dur Full Disk Encryption chiffre chaque secteur du disque physique. Puisque bon nombre d'applications, y compris le système d'exploitation, évitez d'utiliser tout l'espace sur le disque dur physique, car les secteurs peuvent être endommagés ou le lecteur peut être extrêmement fragmenté. Encryption Management for Microsoft BitLocker et Encryption Management for Apple FileVault exploitent la solution de chiffrement intégrée au système d'exploitation hôte. Il n'est pas nécessaire de préparer le disque dur en cas d'utilisation de ces agents Endpoint Encryption. Remarque Trend Micro recommande d'exécuter un petit projet pilote sur les nouvelles installations et les mises à niveau avant de déployer la compilation la plus récente de Full Disk Encryption. Pour plus d'informations, consultez la section Déploiement du programme pilote d'endpoint Encryption à la page C-1. Important L'agent Full Disk Encryption ne peut être installé que sur un point final comportant un seul lecteur physique. Supprimez tous les autres lecteurs avant d'installer Full Disk Encryption. Procédure 1. Exécutez l'utilitaire de défragmentation Windows sur le lecteur système. Pour plus d'informations sur la défragmentation d'un disque dur Windows, consultez l'article suivant :

141 Déploiement des agents Endpoint Encryption 2. Assurez-vous que le lecteur système dispose au moins de 256 Mo d'espace disponible. 3. Exécutez l'utilitaire d'intégrité de disque Windows (requiert le redémarrage). a. À l'aide d'un script ou de l'invite de commande, exécutez chkdsk/f/r et programmez-le pour la vérification du disque après le prochain redémarrage du système. b. Redémarrez le dispositif. c. Remplacez le disque si chkdsk signale plusieurs secteurs défectueux. 4. Vérifiez le lecteur pour un MBR (enregistrement de démarrage principal) et confirmez qu'un secteur de démarrage normal est présent sur la partition de démarrage. Par exemple, un ordinateur à double démarrage contient un secteur de démarrage modifié. Remarque Les disques à tables de partition GUID (GPT) ne sont pas actuellement pris en charge. Désactiver le déploiement d'endpoint Encryption Le tableau ci-dessous comment désactiver le chiffrement de manière centrale à partir de l'une des consoles de gestion. Désactivez temporairement le chiffrement de disque pour minimiser l'impact sur les utilisateurs finaux et simplifier le déploiement de masse. Une fois que la compatibilité du périphérique est confirmée, activez éventuellement de nouveau le chiffrement. TABLEAU 6-1. Désactiver le serveur PolicyServer de Device Encryption CONSOLE PARAMÈTRE DE STRATÉGIE PolicyServer MMC Accédez à Full Disk Encryption > PC > Chiffrement > Chiffrer le périphérique et sélectionnez Non. 6-11

142 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration CONSOLE Control Manager PARAMÈTRE DE STRATÉGIE Accédez à une stratégie nouvelle ou existante (Stratégies > Gestion des stratégies), puis désélectionnez Chiffrer le périphérique sous Full Disk Encryption. Installation de Full Disk Encryption Utilisez Full Disk Encryption pour sécuriser les fichiers de données, les applications, les paramètres de Registre, les fichiers temporaires, les fichiers d'échange, les spouleurs d'impression et les fichiers supprimés sur un point final Windows. Une authentification forte préalable au démarrage limite l'accès aux vulnérabilités jusqu'à ce que l'utilisateur soit validé. Remarque Avant de continuer, assurez-vous de lire les rubriques suivantes : Configuration système requise à la page 2-1 Avant d'installer les agents Endpoint Encryption à la page 6-4 Conditions requises pour les points finaux gérés à la page 6-5 Déploiements automatiques à la page 6-28 Liste de contrôle préalable à l'installation de Full Disk Encryption Le programme d'installation de Full Disk Encryption vérifie automatiquement le système cible pour s'assurer que toute la configuration système requise est respectée avant d'installer l'agent. En cas de découverte d'une incompatibilité système, le programme d'installation se ferme et génère le fichier PreInstallCheckReport.txt dans le même emplacement que le programme d'installation. Utilisez la liste de contrôle de préinstallation afin de déterminer quelles sont les exigences de configuration système qui ne sont pas remplies. Le fichier de la liste de contrôle se trouve dans le même dossier que le programme d'installation de Full Disk Encryption. 6-12

143 Déploiement des agents Endpoint Encryption TABLEAU 6-2. Conditions vérifiées par le programme d'installation SPÉCIFICATION CONFIGURATION REQUISE DESCRIPTION SE pris en charge Encryption Management for Microsoft BitLocker est déjà installé Tous les systèmes d'exploitation ne sont pas pris en charge Aucun autre produit de chiffrement de disque complet ne peut être installé Full Disk Encryption ne peut pas être installé sur certaines versions de Windows. Encryption Management for Microsoft BitLocker ne doit pas être installé. Désinstallez Encryption Management for Microsoft BitLocker pour installer Full Disk Encryption ou utilisez plutôt Encryption Management for Microsoft BitLocker. Médias fixés Disque dur interne Full Disk Encryption ne peut pas être installé sur des lecteurs amovibles fonctionnant sous Windows. Disque dur multiples Espace disponible Mémoire Un seul disque dur est autorisé. 256 Mo au minimum 512 Mo au minimum 1 Go (recommandé) Le point final ne doit avoir qu'un seul disque dur. Les environnements à disques multiples ne sont pas pris en charge. Nombre de partitions Moins de 25 partitions Les partitions avec MBR prolongées ne sont pas disponibles. 6-13

144 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration SPÉCIFICATION CONFIGURATION REQUISE DESCRIPTION Type de partitions Le lecteur physique est amorçable Disque SCSI Microsoft.Net Framework Compatibilité avec le matériel à chiffrement autonome BitLocker est activé Seul MBR est pris en charge Une partition amorçable est requise Contrôleur de disque ATA, AHCI ou IRRT. SCSI n'est pas pris en charge.net 2.0 SP1 ou plus récent est requis pour Windows XP ou version antérieure Le chiffrement matériel est activé si présent BitLocker doit être désactivé La table de partition GUID (nécessaire pour les disques de plus de 2 To) n'est pas prise en charge actuellement. Full Disk Encryption doit être installé sur une table amorçable. La vérification ne fournit qu'un avertissement ; Windows peut signaler un disque dur SATA comme étant un disque SCSI Si le disque n'est pas un vrai SCSI, Full Disk Encryption peut être installé. En cas de doute, vérifiez physiquement le disque Ignoré pour Windows Vista ou les systèmes d'exploitation plus récents. Full Disk Encryption prend actuellement en charge les lecteurs compatibles avec Seagate DriveTrust et OPAL. Full Disk Encryption et BitLocker ne peuvent pas fournir simultanément le chiffrement complet de disque. 6-14

145 Déploiement des agents Endpoint Encryption Remarque Si la vérification de préinstallation échoue pour l'une de ces raisons, contactez Trend Micro pour obtenir de l'aide. Installation de l'agent Full Disk Encryption Une fois l'agent installé, le point final redémarre, dans le cas d'un chiffrement logiciel, ou s'éteint, dans le cas d'un chiffrement matériel. Les stratégies sont synchronisées avec PolicyServer lorsque le point final redémarre. Remarque N'installez pas Full Disk Encryption sur les points finaux comportant plusieurs disques durs. Les environnements à disques multiples ne sont pas pris en charge Les disques RAID et SCSI ne sont pas pris en charge Full Disk Encryption pour Windows 8 ne prend pas en charge les lecteurs RAID, SCSI ou edrive Remarque Pour plus d'informations sur les services Endpoint Encryption utilisés par les agents Endpoint Encryption, consultez la section Services Endpoint Encryption à la page D-1. Procédure 1. Copiez le pack d'installation sur le disque dur local. 2. Exécutez TMFDEInstall.exe. Remarque Si la fenêtre Contrôle de compte d'utilisateur apparaît, cliquez sur Oui pour autoriser le programme d'installation à effectuer des modifications sur le périphérique Endpoint Encryption. 3. Attendez le chargement du programme d'installation. 6-15

146 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration FIGURE 6-1. Installation du badge de chargement Au bout d'un certain temps, l'écran de bienvenue dans l'installation s'affiche. 4. Sélectionnez Installation gérée, puis cliquez sur Suivant. L'écran Installation gérée s'affiche. 5. Spécifiez les informations relatives à PolicyServer. OPTION Nom du serveur Entreprise Nom d'utilisateur Mot de passe DESCRIPTION Spécifiez l'adresse IP ou le nom d'hôte du serveur PolicyServer et incluez le numéro de port attribué à cette configuration. Spécifiez l'entreprise. Seule une entreprise est prise en charge. Spécifiez le nom d'utilisateur d'un compte disposant de l'autorisation pour ajouter des périphériques à l'entreprise. Spécifiez le mot de passe du nom d'utilisateur. 6. Sur l'écran Installation terminée, cliquez sur Fermer. 7. Dans la boîte de dialogue, cliquez sur Oui pour redémarrer ou éteindre le point final. L'installation de Full Disk Encryption est terminée lorsque le pre-boot s'affiche. Le chiffrement du disque commence après le démarrage de Windows. 6-16

147 Déploiement des agents Endpoint Encryption Que faire ensuite Lorsque le pre-boot de Full Disk Encryption se charge, l'utilisateur doit ouvrir une session avant d'avoir accès à Windows. Selon la configuration de la stratégie, il peut être demandé à l'utilisateur de modifier le mot de passe après la connexion sur le point final. Remarque Pour plus d'informations sur la description et la gestion de l'agent Endpoint Encryption, consultez le Manuel de l'administrateur Endpoint Encryption. Installation de Encryption Management for Microsoft BitLocker Utilisez l'agent Encryption Management for Microsoft BitLocker pour sécuriser les points finaux avec la protection par chiffrement complet de disques de Trend Micro dans une infrastructure Windows existante. Remarque Avant de continuer, assurez-vous de lire les rubriques suivantes : Configuration système requise à la page 2-1 Avant d'installer les agents Endpoint Encryption à la page 6-4 Conditions requises pour les points finaux gérés à la page 6-5 Déploiements automatiques à la page 6-28 Remarque Une fois installé, l'agent Endpoint Encryption est inactif jusqu'à ce que la stratégie pour déchiffrer le périphérique Endpoint Encryption soit activée. L'agent Endpoint Encryption redevient inactif si le chiffrement est désactivé ultérieurement. 6-17

148 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Installation de l'agent Encryption Management for Microsoft BitLocker Une fois l'agent installé, le point final redémarre, dans le cas d'un chiffrement logiciel, ou s'éteint, dans le cas d'un chiffrement matériel. Remarque Pour plus d'informations sur les services Endpoint Encryption utilisés par les agents Endpoint Encryption, consultez la section Services Endpoint Encryption à la page D-1. Procédure 1. Copiez le pack d'installation sur le disque dur local. 2. Exécutez TMFDEInstall_BL.exe. Remarque Si la fenêtre Contrôle de compte d'utilisateur apparaît, cliquez sur Oui pour autoriser le programme d'installation à effectuer des modifications sur le périphérique Endpoint Encryption. 3. Attendez le chargement du programme d'installation. FIGURE 6-2. Installation du badge de chargement Au bout d'un certain temps, l'écran de bienvenue dans l'installation s'affiche. 4. Spécifiez les informations relatives à PolicyServer. 6-18

149 Déploiement des agents Endpoint Encryption OPTION Nom du serveur Entreprise Nom d'utilisateur Mot de passe DESCRIPTION Spécifiez l'adresse IP ou le nom d'hôte du serveur PolicyServer et incluez le numéro de port attribué à cette configuration. Spécifiez l'entreprise. Seule une entreprise est prise en charge. Spécifiez le nom d'utilisateur d'un compte disposant de l'autorisation pour ajouter des périphériques à l'entreprise. Spécifiez le mot de passe du nom d'utilisateur. 5. Cliquez sur Installer. L'installation de Encryption Management for Microsoft BitLocker commence. Au bout d'un certain temps, l'installation se termine et le programme d'installation se ferme. 6. Accédez à la barre d'état système et cliquez sur l'icône pour ouvrir l'agent Encryption Management for Microsoft BitLocker. Remarque Pour plus d'informations sur la description et la gestion de l'agent Endpoint Encryption, consultez le Manuel de l'administrateur Endpoint Encryption. Installation de Encryption Management for Apple FileVault Utilisez l'agent Encryption Management for Apple FileVault pour sécuriser les points finaux avec la protection par chiffrement complet de disques de Trend Micro dans une infrastructure Mac OS existante. 6-19

150 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Remarque Avant de continuer, assurez-vous de lire les rubriques suivantes : Configuration système requise à la page 2-1 Avant d'installer les agents Endpoint Encryption à la page 6-4 Conditions requises pour les points finaux gérés à la page 6-5 Déploiements automatiques à la page 6-28 Installation de l'agent Encryption Management for Apple FileVault Agent Encryption Management for Apple FileVault peut être installé par l'administrateur de groupe de PolicyServer, l'authentificateur ou par les comptes d'utilisateur standards. Remarque Pour plus d'informations sur les services Endpoint Encryption utilisés par les agents Endpoint Encryption, consultez la section Services Endpoint Encryption à la page D-1. Procédure 1. Exécutez TMFDEInstall_FV.exe. L'image disque Trend Micro Full Disk Encryption s'affiche. 2. Double-cliquez sur Trend Micro Full Disk Encryption.pkg pour commencer l'installation. L'assistant d'installation de Encryption Management for Apple FileVault se lance pour commencer le processus d'installation de File Encryption. 3. Dans l'écran Bienvenue, cliquez sur Continuer. Le programme d'installation vérifie que la configuration système requise est respectée. 4. Si la configuration système requise est respectée, cliquez sur Installer. 5. Sélectionnez le disque dur sur lequel installer cet agent. 6-20

151 Déploiement des agents Endpoint Encryption 6. Spécifiez le nom d'utilisateur et le mot de passe d'un compte disposant de l'autorisation d'installer des applications sur le point final, puis cliquez sur Installer l'agent L'installation démarre. 7. Spécifiez les informations relatives à PolicyServer. OPTION Nom du serveur Entreprise Nom d'utilisateur Mot de passe DESCRIPTION Spécifiez l'adresse IP ou le nom d'hôte du serveur PolicyServer et incluez le numéro de port attribué à cette configuration. Spécifiez l'entreprise. Seule une entreprise est prise en charge. Spécifiez le nom d'utilisateur d'un compte disposant de l'autorisation pour ajouter des périphériques à l'entreprise. Spécifiez le mot de passe du nom d'utilisateur. 8. Cliquez sur Continue. Au bout d'un certain temps, l'installation d'encryption Management for Apple FileVault commence. 9. Lorsque l'installation est terminée, cliquez sur Fermer pour redémarrer le point final. L'agent Encryption Management for Apple FileVault se lance immédiatement après le redémarrage du point final. 10. Accédez à la barre de menu ( ) pour ouvrir l'agent Encryption Management for Apple FileVault. Remarque Pour plus d'informations sur la description et la gestion de l'agent Endpoint Encryption, consultez le Manuel de l'administrateur Endpoint Encryption. 6-21

152 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Création d'un compte mobile pour Active Directory sur Mac OS Les comptes Mac OS locaux ou les comptes mobiles peuvent lancer le chiffrement sur Mac OS X Mountain Lion ou supérieur. Les autres comptes d'utilisateur Mac OS ne peuvent pas lancer le chiffrement. Si un compte Mac OS autre qu'un compte local ou un compte mobile tente de lancer le chiffrement, la modification suivante s'affiche : La tâche suivante montre comment créer un compte mobile pour votre compte Mac OS afin de contourner ce problème. Procédure 1. Accédez à Préférences système... dans le menu Apple. La fenêtre Préférences système s'affiche. 2. Sélectionnez Groupe d'utilisateurs dans la section Système. 3. Cliquez sur l'icône de verrou dans le coin inférieur gauche. 4. Cliquez sur Créer... en regard de Compte mobile. 5. Dans les écrans suivants, sélectionnez des paramètres personnels et cliquez sur Créer pour continuer d'un écran vers le suivant. 6. Lorsque vous y êtes invité, saisissez votre mot de passe Active Directory et cliquez sur OK. 6-22

153 Déploiement des agents Endpoint Encryption Votre compte mobile a été créé. Vous pouvez maintenant utiliser ce compte mobile pour lancer le chiffrement. Déploiement de File Encryption Cette section décrit l'installation de l'agent File Encryption. Utilisez File Encryption pour protéger les fichiers et les dossiers se trouvant virtuellement sur tout périphérique apparaissant comme disque sur le système d'exploitation hôte. Remarque Il est maintenant possible d'utiliser les rôles d'administrateur d'entreprise et d'authentification d'entreprise pour installer les agents Endpoint Encryption. Aperçu du déploiement de File Encryption Procédure 1. Activez File Encryption dans PolicyServer MMC. 2. Configurez les stratégies de File Encryption : 6-23

154 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration a. Clé de chiffrement utilisée b. Dossiers à chiffrer c. Utiliser un média amovible d. Méthode d'authentification 3. Configurer les groupes et les utilisateurs. 4. Créez et testez le pack d'installation dans un programme pilote. Consultez la rubrique Déploiement du programme pilote d'endpoint Encryption à la page C Vérifier que les paramètres de stratégies sont appliqués tes que définis. a. Définissez le dossier chiffré. Consultez la section Dossier chiffré par File Encryption à la page b. Définissez la clé de chiffrement. Consultez la section Clé de chiffrement de File Encryption à la page c. Définissez les stratégies de périphériques de stockage. Consultez la section Protection des périphériques de stockage File Encryption à la page Préparer les communications avec les utilisateurs finaux. Consultez la section Communication à l'intention des utilisateurs finaux à la page B-12. Dossier chiffré par File Encryption File Encryption peut créer automatiquement des dossiers chiffrés sur les points finaux sur lesquels l'agent File Encryption est installé. Les fichiers copiés dans un dossier sécurisé sont automatiquement chiffrés. Par défaut, un dossier chiffré par File Encryption est créé sur le bureau. 6-24

155 Déploiement des agents Endpoint Encryption Le tableau suivant explique les exigences des stratégies pour configurer le dossier chiffré par File Encryption. Selon la console d'administration utilisée, la configuration de la stratégie est légèrement différente. TABLEAU 6-3. Configuration de la stratégie du dossier chiffré CONSOLE PARAMÈTRE DE STRATÉGIE Control Manager Accédez à une stratégie nouvelle ou existante (Stratégies > Gestion des stratégies) et développez File Encryption. Utilisez Dossier à chiffrer pour créer des dossiers sécurisés sur le point final. PolicyServer MMC Utilisez File Encryption > Chiffrement > Spécifier les dossiers à chiffrer pour créer des dossiers sécurisés sur le point final. Utilisez File Encryption > Chiffrement > Support amovible > Dossiers à chiffrer sur le support amovible pour créer des dossiers sécurisés sur un périphérique de stockage USB. Clé de chiffrement de File Encryption La clé de chiffrement de File Encryption définit le niveau d'accès au dossier chiffré par File Encryption. Clé utilisateur : Seul l'utilisateur peut accéder au contenu chiffré. Clé de groupe : Seuls les utilisateurs au sein de la même stratégie (Control Manager) ou du même groupe (PolicyServer MMC) peuvent accéder au contenu. Clé de l'entreprise : Seuls les utilisateurs d'endpoint Encryption peuvent accéder au contenu. TABLEAU 6-4. Configurations des stratégies de clé de chiffrement CONSOLE PARAMÈTRE DE STRATÉGIE Control Manager Accédez à une stratégie nouvelle ou existante (Stratégies > Gestion des stratégies) et développez File Encryption. Utilisez Clé de chiffrement utilisée pour définir la clé. 6-25

156 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration CONSOLE PARAMÈTRE DE STRATÉGIE PolicyServer MMC Utilisez File Encryption > Chiffrement > Méthode de chiffrement autorisée pour définir les clés disponibles Utilisez File Encryption > Chiffrement > Clé de chiffrement utilisée pour définir la clé Protection des périphériques de stockage File Encryption File Encryption peut protéger les fichiers d'un support amovible. Les options suivantes sont disponibles : Support amovible : Active la protection du périphérique de stockage USB. Périphériques USB autorisés : Permet l'utilisation de n'importe quel périphérique de stockage USB ou uniquement les périphériques KeyArmor. Chiffrer entièrement le périphérique : Chiffre automatiquement tous les fichiers copiés sur le périphérique de stockage USB. Désactiver lecteur USB : Défini sur Toujours, Déconnecté ou Jamais. TABLEAU 6-5. Configuration des stratégies des périphériques de stockage CONSOLE PARAMÈTRE DE STRATÉGIE Control Manager Accédez à une stratégie nouvelle ou existante (Stratégies > Gestion des stratégies) et développez File Encryption. Définissez les stratégies dans la section Périphériques de stockage. PolicyServer MMC Accédez à File Encryption > Chiffrement. Installation de File Encryption Utilisez File Encryption pour protéger les fichiers et les dossiers se trouvant virtuellement sur tout périphérique apparaissant comme disque sur le système d'exploitation hôte. 6-26

157 Déploiement des agents Endpoint Encryption Remarque Avant de continuer, assurez-vous de lire les rubriques suivantes : Configuration système requise à la page 2-1 Avant d'installer les agents Endpoint Encryption à la page 6-4 Conditions requises pour les points finaux gérés à la page 6-5 Déploiements automatiques à la page 6-28 Installation de l'agent File Encryption. Le processus d'installation de File Encryption implique l'exécution d'un programme d'installation sur le point final et le respect des instructions pas à pas. Remarque Pour plus d'informations sur les services Endpoint Encryption utilisés par les agents Endpoint Encryption, consultez la section Services Endpoint Encryption à la page D-1. Procédure 1. Exécutez FileEncryptionIns.exe L'assistant d'installation de File Encryption s'affiche. 2. Cliquez sur Suivant. Remarque Si vous êtes invité par Contrôle de compte d'utilisateur, cliquez sur OUI. Le programme d'installation de File Encryption se lance et installe automatiquement l'agent. 3. Attendez que l'agent File Encryption s'installe. 4. Lorsque l'installation est terminée, cliquez sur Fermer. 5. Cliquez sur Oui pour redémarrer Windows. 6-27

158 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Le point final redémarre et File Encryption est installé. Deux icônes File Encryption s'affichent : un raccourci sur le bureau et une icône sur la barre d'état système. Une fois que le bureau est chargé, le lancement de l'agent peut prendre un certain temps. 6. Dans l'écran Connexion de File Encryption, spécifiez les paramètres suivants. OPTION Nom d'utilisateur Mot de passe Nom du serveur Entreprise DESCRIPTION Spécifiez le nom d'utilisateur d'un compte disposant de l'autorisation pour ajouter des périphériques à l'entreprise. Spécifiez le mot de passe du nom d'utilisateur. Spécifiez l'adresse IP ou le nom d'hôte du serveur PolicyServer et incluez le numéro de port attribué à cette configuration. Spécifiez l'entreprise. Seule une entreprise est prise en charge. 7. Cliquez sur OK. Remarque Pour plus d'informations sur la description et la gestion de l'agent Endpoint Encryption, consultez le Manuel de l'administrateur Endpoint Encryption. Déploiements automatiques L'exécution de scripts sur les installations est une opération plus courante pour les déploiements à grande échelle à l'aide d'outils automatisés tels que Microsoft SMS ou Active Directory. L'Assistant d'installation de ligne de commande (voir Assistant d'installation de ligne de commande à la page 6-31 pour plus d'informations) est un outil utilisé pour créer des scripts. Les arguments disponibles permettent des installations entièrement ou partiellement silencieuses. 6-28

159 Déploiement des agents Endpoint Encryption AVERTISSEMENT! La configuration du système insuffisante ou la préparation de disque dur peuvent entraîner une perte de données irréversible. Déploiement des agents Endpoint Encryption à l'aide d'officescan Pour les environnements qui utilisent OfficeScan, la méthode de déploiement la plus efficace consiste à utiliser le plug-in Outil de déploiement de Trend Micro Endpoint Encryption. Pour plus d'informations sur l'utilisation du plug-in, consultez la section Intégration d'officescan à la page 7-1. Conditions requises pour les déploiements à l'aide de scripts Utilisez l'assistant de ligne de commande ou le programme d'installation de l'assistant de ligne de commande pour construire le script Exécutez le script à partir du point final, et non à partir d'un partage réseau ou un périphérique USB Logiciel de gestion du système : Tivoli, SCCM/SMS ou LANDesk Exécutez les scripts d'installation en utilisant un compte d'administrateur local Recommandation : testez les scripts d'installation sur un programme pilote avant le déploiement de masse. Pour les recommandations relatives aux programmes pilotes, consultez la section Déploiement du programme pilote d'endpoint Encryption à la page C-1 Arguments de script Le tableau ci-dessous explique les arguments disponibles pour la construction de scripts pour installer automatiquement les agents. 6-29

160 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration TABLEAU 6-6. Arguments de script Full Disk Encryption ARGUMENT VALEUR REMARQUES ENTERPRISE Nom de l'entreprise Nom de l'organisation. hôte Nom d'hôte DNS ou adresse IP Nom ou emplacement du serveur PolicyServer USERNAME Administrateur de groupe Authentificateur de groupe Utilisateur de groupe (si l'installation permettre l'activation de la stratégie) Il n'est pas possible d'utiliser un compte d'administrateur d'entreprise ou d'authentificateur pour installer Full Disk Encryption PASSWORD Mot de passe pour le nom d'utilisateur spécifié Mot de passe configuré dans PolicyServer pour l'utilisateur ou mot de passe de domaine Remarque Encryption Management for Microsoft BitLocker utilise le même script que Full Disk Encryption. TABLEAU 6-7. Arguments de script File Encryption ARGUMENT VALEUR REMARQUES PSENTERPRISE Nom de l'entreprise Nom de l'organisation. PSHOST Nom d'hôte DNS ou adresse IP Le nom ou l'emplacement du serveur PolicyServer. FAUSERNAME Administrateur de groupe Authentificateur de groupe Utilisateur de groupe (si l'installation permettre l'activation de la stratégie) Il n'est pas possible d'utiliser un compte d'administrateur d'entreprise ou d'authentificateur pour installer File Encryption 6-30

161 Déploiement des agents Endpoint Encryption ARGUMENT VALEUR REMARQUES FAPASSWORD Mot de passe pour le nom d'utilisateur spécifié Mot de passe configuré dans PolicyServer pour l'utilisateur ou mot de passe de domaine Aide de l'installateur de ligne de commande Full Disk Encryption et File Encryption sont conformes aux outils automatisés de distribution de logiciels comme SMS, SCCM, Tivoli, GPO et LANDesk. Utilisez l'assistant du programme d'installation de la ligne de commande pour générer des scripts utilisés pour installer un produit Trend Micro Endpoint Encryption. Des options permettent de chiffrer et de masquer les informations de compte d'installation et de sélectionner différentes options d'affichage de message. Les résultats de script sont facilement copiés dans le presse-papiers pour l'exportation. Remarque L'installation de ligne de commande de PolicyServer est prise en charge dans les versions et ultérieures. Lorsque vous utilisez l'assistant d'installation de ligne de commande : N'exécutez les scripts d'installation que sur un point final, pas à partir du réseau. Exécutez les scripts avec un compte d'administrateur local Testez les scripts d'installation sur un programme pilote avant le déploiement de masse Passez en revue tous les éléments de la liste de contrôle de préinstallation de Full Disk Encryption et File Encryption avant d'exécuter une distribution de masse de logiciels Création de scripts d'installation de l'agent Les informations suivantes sont requises pour générer un script d'installation silencieuse : Nom d'hôte ou adresse IP de PolicyServer, nom de l'entreprise, nom d'utilisateur, mot de passe, chemin d'accès et numéro de version du programme 6-31

162 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration d'installation du client point final. L'aide du programme d'installation de la ligne de commande est disponible dans le dossier Outils du répertoire d'installation. Procédure 1. Double-cliquez sur CommandLineInstallerHelper.exe. L'écran Création de commandes s'affiche. FIGURE 6-3. Programme d'installation de l'assistant de ligne de commande 2. Spécifiez le nom du serveur PolicyServer (nom d'hôte), l'entreprise et le nom d'utilisateur et le mot de passe de l'administrateur d'entreprise requis. OPTION Nom du serveur Entreprise Nom d'utilisateur Mot de passe DESCRIPTION Spécifiez l'adresse IP ou le nom d'hôte du serveur PolicyServer et incluez le numéro de port attribué à cette configuration. Spécifiez l'entreprise. Seule une entreprise est prise en charge. Spécifiez le nom d'utilisateur d'un compte disposant de l'autorisation pour ajouter des périphériques à l'entreprise. Spécifiez le mot de passe du nom d'utilisateur. 3. Sélectionnez les options de chiffrement. Nom d'utilisateur 6-32

163 Déploiement des agents Endpoint Encryption Mot de passe Nom d'hôte Entreprise Domaine 4. Sélectionnez s'il faut envoyer une invite à l'utilisateur final ou effectuer une installation silencieuse. 5. Spécifiez les options héritées qui n'affectent que les versions plus anciennes de l'agent Full Disk Encryption. Autoriser à annuler : L'utilisateur final peut annuler l'installation Supprimer le redémarrage : Le point final ne redémarre pas après l'installation Ouverture de session automatique : L'utilisateur est connecté automatiquement lors de la connexion pré-amorçage de Full Disk Encryption après l'installation de l'agent Full Disk Encryption et le redémarrage du point final 6. Spécifiez le chemin vers les fichiers d'installation. 7. Cliquez sur Générer la commande. Le script se génère. 8. Cliquez sur le bouton approprié pour copier la commande. Le script résultant est copié dans le presse-papiers. 9. Copiez la commande dans le script d'installation. Aide de ligne de commande L'outil Aide de ligne de commande est utilisé pour créer des valeurs chiffrées pouvant être utilisées pour sécuriser des informations d'identification lorsque vous écrivez un script d'installation à déployer ou utilisez la connexion automatique DA. L'outil Aide de ligne de commande se trouve dans le dossier des Outils. 6-33

164 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Remarque L'Aide de ligne de commande ne peut être exécutée que sur des systèmes sur lesquels des produits Trend Micro Endpoint Encryption sont installés, étant donné qu'ils utilisent le module cryptographique Mobile Armor. L'outil Aide de ligne de commande accepte une chaîne unique comme argument et renvoie une valeur chiffrée à utiliser dans le script d'installation. Les signes «=» de début et de fin font partie de la chaîne chiffrée entière et doivent être inclus dans la ligne de commande. Si la valeur est chiffrée et ne retourne pas de signe de début =, alors un signe Égal doit être ajouté au script. Des options permettent de chiffrer et de masquer les informations de compte d'installation et en sélectionnant les différentes options rapides. Les résultats de script sont facilement copiés dans le presse-papiers pour l'exportation. TABLEAU 6-8. Arguments pour l'aide de ligne de commande ARGUMENTS FONCTION FULL DISK ENCRYPTION FULL DISK ENCRYPTION CHIFFRÉ FILE ENCRYPTION Entreprise ENTERPRISE eenterprise PolicyServer hôte ehost PSHOST Nom d'utilisateur USERNAME eusername FAUSERNAME Mot de passe PASSWORD epassword FAPASSWORD Remarque Le programme d'installation de File Encryption prend automatiquement en charge les valeurs chiffrées. Exemple de script Full Disk Encryption Une seule valeur peut être passée à l'assistant de ligne de commande. Totuefois, elle peut être exécutée autant de fois que nécessaire pour réunir toutes les valeurs chiffrées. 6-34

165 Déploiement des agents Endpoint Encryption Emplacement du logiciel = C:\Program Files\Trend Micro\Full Disk Encryption\TMFDEInstaller.exe ENTREPRISE = MyCompany HÔTE = PolicyServer.mycompany.com eusername = GroupAdministrator epassword = Remarque Dans cet exemple, le nom d'utilisateur et le mot de passe sont chiffrés. Où installer Full Disk Encryption : C:\Program Files\Trend Micro\ Full Disk Encryption\TMFDEInstaller.exe ENTERPRISE=MyCompany HOST= PolicyServer.mycompany.com eusername==jjujc/lu4c/uj7yywxubyhaucry4f7abvfp5hko2pr4o epassword==5mih67ukdy7t1van2iswgqq= Exemple de script File Encryption Voici un exemple de script d'installation pour installer File Encryption. Emplacement du logiciel = C:\Program Files\Trend Micro\File Encryption\FileEncryptionIns.exe PSEnterprise = MyCompany PSHost = PolicyServer.mycompany.com FAUser = GroupAdministrator FAPassword = Remarque Dans cet exemple, le nom d'utilisateur ainsi que le mot de passe seront chiffrés. 6-35

166 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Où installer File Encryption : C:\Program Files\Trend Micro\ File Encryption\FileEncryptionIns.exe PSEnterprise=MyCompany PSHost= PolicyServer.mycompany.com FAUser==jJUJC/Lu4C/Uj7yYwxubYhAuCrY4f7AbVFp5hKo2PR4O= FAPassword==5mih67uKdy7T1VaN2ISWGQQ= Utilisation de l'aide de ligne de commande Les administrateurs peuvent utiliser les outils Aide de ligne de commande et Connexion automatique DA pour une gestion fluide des correctifs de Full Disk Encryption. L'aide de ligne de commande permet de transmettre des valeurs chiffrées via le script d'installation au pré-amorçage de Full Disk Encryption. La Connexion automatique DA vous octroie un contournement à usage unique du pré-amorçage de Full Disk Encryption. Procédure 1. Copiez CommandLineHelper.exe localement vers le dispositif sur lequel Full Disk Encryption est installé. Exemple : Copiez CommandLineHelper.exe sur le lecteur C:\. 2. Ouvrez l'invite de commande et tapez C:\CommandLineHelper.exe, puis spécifiez le nom d'utilisateur ou le mot de passe. Par exemple, utilisez la commande suivante si le nom d'utilisateur est SMSUser : C:\CommandLineHelper.exe SMSUser 3. Appuyez sur ENTRÉE pour afficher la valeur chiffrée. 4. Exécutez à nouveau l'aide de ligne de commande pour la deuxième valeur chiffrée. Si le premier chiffrement concernait le nom d'utilisateur, exécutez une nouvelle fois la commande pour chiffrer le mot de passe. 6-36

167 Déploiement des agents Endpoint Encryption Mise à niveau Pour accéder aux nouvelles fonctionnalités du produit ou mettre à niveau l'ancien logiciel agent afin d'améliorer la sécurité des points finaux, les administrateurs peuvent avoir besoin de mettre à niveau Endpoint Encryption PolicyServer et tous les points finaux gérés exécutant un agent Endpoint Encryption. Pour la synchronisation des stratégies et la sécurité des informations, assurez-vous de toujours mettre à niveau PolicyServer avant les agents Endpoint Encryption. Cette section explique comment mettre à niveau Endpoint Encryption en toute sécurité, y compris PolicyServer, PolicyServer MMC et le logiciel agent Endpoint Encryption vers la plupart des versions actuelles. AVERTISSEMENT! Avant de mettre l'agent à niveau, veillez à mettre à niveau au préalable PolicyServer vers la version 5.0 Patch 1. Les agents Endpoint Encryption 5.0 Patch 1 ne peuvent pas communiquer avec PolicyServer ou versions antérieures. Mise à niveau d'endpoint vers Windows 8 Endpoint Encryption ne prend pas en charge la mise à niveau vers Windows 8. Si une mise à niveau est requise, Trend Micro recommande de suivre cette procédure afin d'éviter la perte de données lorsque Full Disk Encryption ou File Encryption est déjà installé sur l'agent. Procédure 1. Déchiffrez le point final. Pour plus d'informations, consultez la section appropriée à cet agent dans le Manuel de l'administrateur Endpoint Encryption. 2. Désinstallez l'agent. Pour utiliser OfficeScan, consultez la section Utilisation d'officescan pour désinstaller les agents Endpoint Encryption à la page

168 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Pour désinstaller manuellement Full Disk Encryption, consultez la section Désinstallation de Full Disk Encryption à la page Pour désinstaller manuellement File Encryption, consultez la section Désinstallation de File Encryption à la page Pour désinstaller manuellement Encryption Management for Microsoft BitLocker, consultez la section Désinstallation d'encryption Management for Microsoft BitLocker à la page Installez le système d'exploitation Windows 8. Remarque Cette documentation n'explique pas comment installer Windows 8. Pour obtenir des instructions, consultez la documentation utilisateur associée de Microsoft. 4. Vérifiez que l'environnement Windows 8 est stable et que la mise à niveau a réussi. 5. Réinstallez les applications de l'agent : Pour plus d'informations sur l'installation de Full Disk Encryption, consultez la section Déploiement de Full Disk Encryption à la page 6-6. Pour plus d'informations sur l'installation de File Encryption, consultez la section Déploiement de File Encryption à la page Mise à niveau de Full Disk Encryption Avant de commencer Vérifiez Configuration système requise pour Full Disk Encryption à la page 2-9 Vérifier Chemins de mise à niveau à la page 3-25 Utilisez le programme d'installation de Full Disk Encryption pour mettre à niveau l'agent à partir de Full Disk Encryption SP1 vers Full Disk Encryption 5.0 Patch 1. Pour les versions précédentes de Full Disk Encryption, consultez la documentation associée disponible à l'adresse :

169 Déploiement des agents Endpoint Encryption Procédure 1. Copiez le pack d'installation sur le disque dur local. 2. Exécutez TMFDEInstall.exe. Remarque Si la fenêtre Contrôle de compte d'utilisateur apparaît, cliquez sur Oui pour autoriser le programme d'installation à effectuer des modifications sur le périphérique Endpoint Encryption. Le message suivant s'affiche dans la barre d'état système. 3. Attendez que la mise à niveau se termine. 4. Dans la boîte de dialogue de confirmation, cliquez sur Oui pour redémarrer le point final. Remarque importante pour MobileArmor Full Disk Encryption Product Service Pack 7 et les éléments cidessous Lorsque vous effectuez une mise à niveau à partir de MobileArmor-branded Full Disk Encryption agent Service Pack 6 et des versions précédentes : Dans le BIOS, vérifiez que le contrôleur de disque est réglé sur le mode ATA ou AHCI. 6-39

170 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Pour les ordinateurs portables qui utilisent une station multi-baie, installez l'agent uniquement lorsqu'ils ne sont pas connectés à la station. Intel Rapid Recovery Technology (IRRT) : Certains nouveaux systèmes prennent l'irrt en charge dans le BIOS. Si le contrôleur de disque BIOS est configuré pour le mode IRRT, il devra être modifié en mode AHCI avant l'installation de Full Disk Encryption. IRRT doit être prise en charge par le système d'exploitation. Logiciel Intel Matrix Manager : Par défaut, Windows XP ne possède pas d'installation du logiciel Intel Matrix Manager. Les paramètres doivent être faits dans le BIOS, sans une reconstruction de système d'exploitation. Windows Vista dispose d'un logiciel Intel Matrix Manager par défaut. Remarque Si le paramètre de fonctionnement SATA de Windows Vista est modifié et que Full Disk Encryption est installé, Windows ne démarrera pas. Revenez à IRRT et Vista se chargera normalement. Mise à niveau de File Encryption Avant de commencer Vérifiez Configuration système requise pour File Encryption à la page 2-13 Vérifier Chemins de mise à niveau à la page 3-25 Utilisez FileEncryptionIns.exe pour mettre à niveau l'agent à partir d'une version précédente. Remarque FileEncryptionIns.exe remplace la stratégie Autoriser l'utilisateur à désinstaller et effectue les mises à niveau, que la stratégie soit définie sur Oui ou sur Non. 6-40

171 Déploiement des agents Endpoint Encryption Procédure 1. Exécutez FileEncryptionIns.exe. Le programme d'installation de Windows désinstalle l'ancien agent File Encryption (FileArmor), puis installe File Encryption 5.0 Patch Attendez que le point final redémarre. 3. Une fois Windows chargé, ouvrez une session et vérifiez le nouveau dossier File Encryption. Les fichiers et dossiers chiffrés sont inchangés. Mise à niveau d'encryption Management for Apple FileVault Le processus de mise à niveau est identique à celui de l'installation. Assurez-vous de disposer des informations PolicyServer disponibles. Procédure Effectuez Installation de l'agent Encryption Management for Apple FileVault Agent à la page Mise à niveau d'encryption Management for Microsoft BitLocker Procédure 1. Effectuez Désinstallation d'encryption Management for Microsoft BitLocker à la page Attendez que le déchiffrement du point final se termine. L'utilisateur peut utiliser le point final comme d'habitude. 3. Configurez Encryption Management for Microsoft BitLocker dans la section Installation de l'agent Encryption Management for Microsoft BitLocker à la page

172 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Migration Les administrateurs peuvent avoir besoin de migrer les périphériques Endpoint Encryption lorsque les employés changent de département ou d'emplacement de bureau. Une instance unique de PolicyServer peut avoir plusieurs configurations d'entreprise représentant chacune une unité commerciale ou un département. Un déplacement vers une nouvelle entreprise supprime le périphérique Endpoint Encryption de l'ancienne entreprise et l'ajoute à la nouvelle entreprise au sein de la même instance de PolicyServer. Le déplacement vers un nouveau serveur PolicyServer ne supprime pas le périphérique Endpoint Encryption de l'ancien serveur PolicyServer mais modifie la configuration réseau dans l'agent Endpoint Encryption pour qu'il pointe vers la nouvelle instance de PolicyServer. Remplacement d'un produit de chiffrement précédemment installé Full Disk Encryption peut être installé sur un périphérique précédemment chiffré par un autre produit de chiffrement de disque complet. Étant donné que la plupart des logiciels de chiffrement affectent chaque secteur d'un disque dur, il est essentiel de tester le processus de préparation de disque et la stratégie de déploiement. En fonction du temps requis pour déchiffrer un périphérique et effectuer le chiffrement à l'aide de Full Disk Encryption, cela peut être aussi simple que la sauvegarde des données utilisateur et la nouvelle création d'une image du point final avant d'installer Full Disk Encryption. Option n 1 : Supprimer le produit de chiffrement précédent Procédure 1. Déchiffrez le disque en utilisant la méthode définie par le vendeur du logiciel. 2. Désinstallez le logiciel précédemment installé (ou vérifiez que BitLocker est désactivé). 3. Redémarrez le dispositif. 6-42

173 Déploiement des agents Endpoint Encryption 4. Exécutez chkdsk et défragmentez le lecteur. 5. Vérifiez la présence, sur chaque dispositif, d'un Master Boot Record (MBR) normal et confirmez qu'un secteur de démarrage normal est présent sur la partition de démarrage. Remarque Le dispositif ne doit pas fonctionner avec un double démarrage. 6. Sauvegardez les fichiers de l'utilisateur 7. Installez Full Disk Encryption. Pour plus d informations, consultez la section Installation de Full Disk Encryption à la page Option n 2 : Sauvegardez le point final dans un format d'image ISO ou similaire Procédure 1. Sauvegardez les fichiers de l'utilisateur. 2. Renouvelez l'image du lecteur : a. À partir d'une invite de commande, exécutez DiskPart Clean All. b. Créez une partition. c. Formatez le lecteur. d. Créez une image du lecteur. 3. Installez Full Disk Encryption et chiffrez le point final. 4. Restaurez les fichiers de l'utilisateur. Paramètres de Full Disk Encryption PolicyServer Les paramètres du serveur PolicyServer de Full Disk Encryption peuvent être configurés en accédant à la console de restauration à partir du pre-boot de Full Disk Encryption ou 6-43

174 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration en exécutant C:\Program Files\Trend Micro\Full Disk Encryption \RecoveryConsole.exe. Configuration requise pour la console de restauration Utilisez la console de restauration de Full Disk Encryption pour modifier les paramètres de PolicyServer. Accès à la console de restauration à partir du pre-boot de Full Disk Encryption Seuls les comptes d'administrateur de l'entreprise ou du groupe et les comptes d'authentificateur peuvent accéder à la console de restauration. Procédure 1. Pour autoriser les utilisateurs à accéder à la console de restauration, activez la stratégie suivante : Full Disk Encryption > Agent > Autoriser la restauration d'un utilisateur 2. Redémarrez le point final. Le pré-amorçage de Full Disk Encryption s'affiche. 3. Cochez la case Console de restauration. 4. Spécifiez les informations d'identification du compte d'utilisateur d'endpoint Encryption. 5. Cliquez sur Connexion. La console de restauration s'ouvre. Accès à la Console de restauration à partir de Windows Procédure 1. Sous Windows, accédez au répertoire d'installation de Full Disk Encryption. 6-44

175 Déploiement des agents Endpoint Encryption L'emplacement par défaut est C:\Program Files\Trend Micro\Full Disk Encryption\. 2. Ouvrez RecoveryConsole.exe. La fenêtre Console de restauration s'affiche. 3. Spécifiez le nom d'utilisateur et le mot de passe d'utilisateur d'endpoint Encryption, puis cliquez sur Connexion. La Console de restauration s'ouvre à la page Déchiffrer le disque. Migration de Full Disk Encryption vers une nouvelle entreprise Une instance unique de PolicyServer peut avoir plusieurs configurations d'entreprise représentant chacune une unité commerciale ou un département. Un déplacement vers une nouvelle entreprise supprime le périphérique Endpoint Encryption de l'ancienne entreprise et l'ajoute à la nouvelle entreprise au sein de la même instance de PolicyServer. L'agent Full Disk Encryption peut nécessiter un déplacement vers une nouvelle entreprise lorsque les employés changent de département ou d'emplacement de bureau. Remarque Pour plus d'informations sur la modification de l'instance de PolicyServer qui gère l'agent Full Disk Encryption, consultez la section Modification du serveur PolicyServer de Full Disk Encryption à la page La modification de l'entreprise nécessite un accès à la console de restauration de Full Disk Encryption. Pour plus d'informations, consultez la section Paramètres de Full Disk Encryption PolicyServer à la page AVERTISSEMENT! La modification de l'entreprise exige une nouvelle configuration des stratégies, la recréation des groupes et la suppression de tous les mots de passe mis en cache, de l'historique des mots de passe et des journaux d'audits. 6-45

176 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Procédure 1. Cliquez sur Configuration réseau. 2. Sélectionnez l'onglet PolicyServer. 3. Cliquez sur Modifier l'entreprise. L'écran Modifier l'entreprise s'affiche. FIGURE 6-4. Écran Modifier l'entreprise de la console de restauration. 4. Configurez les options suivantes : OPTION Nouvel utilisateur serveur DESCRIPTION Spécifiez un nom d'utilisateur de compte d'administrateur de l'entreprise ou le nom d'utilisateur d'un compte disposant de l'autorisation pour installer l'entreprise ou le groupe sur le nouveau serveur PolicyServer. 6-46

177 Déploiement des agents Endpoint Encryption OPTION Nouveau mot de passe utilisateur Nouvelle adresse serveur Nouvelle entreprise DESCRIPTION Spécifiez le mot de passe du compte d'administrateur de l'entreprise. Spécifiez la nouvelle adresse IP ou le nouveau nom d'hôte du serveur PolicyServer. Spécifiez la nouvelle entreprise du serveur PolicyServer. 5. Cliquez sur Enregistrer. Full Disk Encryption valide les nouvelles informations de PolicyServer. 6. Cliquez sur OK dans le message de confirmation. Migration de points finaux vers un nouveau serveur PolicyServer Cette section explique comment modifier le serveur PolicyServer qui contrôle les stratégies d'un agent Endpoint Encryption. L'agent Endpoint Encryption peut avoir besoin de migrer vers un serveur PolicyServer différent si le point final se déplace vers un autre département géré par une instance de PolicyServer différente ou lorsqu'il existe des facteurs réseau qui exigent que le serveur PolicyServer modifie son adresse IP ou son nom d'hôte. Après la migration vers le nouveau serveur PolicyServer, le point final s'enregistre en tant que nouveau périphérique Endpoint Encryption dans la nouvelle base de données PolicyServer et le périphérique Endpoint Encryption enregistré précédemment est supprimé de l'ancienne base de données PolicyServer. Modification du serveur PolicyServer de Full Disk Encryption Pour plus d'informations sur les raisons pour lesquelles les agents Endpoint Encryption peuvent nécessiter de modifier le serveur PolicyServer qui gère les stratégies, consultez la section Migration de points finaux vers un nouveau serveur PolicyServer à la page

178 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Remarque La modification du serveur PolicyServer nécessite un accès à la console de restauration de Full Disk Encryption. Pour plus d'informations, consultez la section Paramètres de Full Disk Encryption PolicyServer à la page Procédure 1. Dans la console de restauration de Full Disk Encryption, cliquez sur l'onglet PolicyServer. 2. Cliquez sur Modifier le serveur. 3. Lorsqu'un message d'avertissement s'affiche, cliquez sur Oui. 4. Spécifiez la nouvelle adresse du serveur. 5. Cliquez sur Enregistrer. Modification du serveur Encryption Management for Apple FileVault Pour plus d'informations sur les raisons pour lesquelles les agents Endpoint Encryption peuvent nécessiter de modifier le serveur PolicyServer qui gère les stratégies, consultez la section Migration de points finaux vers un nouveau serveur PolicyServer à la page Procédure 1. Désinstallation de l'agent Encryption Management for Apple FileVault agent. Consultez la section Désinstallation d'encryption Management for Apple FileVault à la page Attendez que le déchiffrement du disque dur se termine. L'utilisateur peut utiliser le point final comme d'habitude. 3. Supprimez le périphérique de l'ancien serveur PolicyServer. a. Connectez-vous à PolicyServer MMC. 6-48

179 Déploiement des agents Endpoint Encryption b. Effectuez un clic droit sur le périphérique Endpoint Encryption, puis sélectionnez Supprimer un périphérique. c. Cliquez sur Oui pour confirmer. Pour plus d'informations sur la suppression des périphériques Endpoint Encryption, consultez le Manuel de l'administrateur Endpoint Encryption. 4. Suivez les nouvelles instructions d'installation pour réinstaller Encryption Management for Apple FileVault dans la section Installation de l'agent Encryption Management for Apple FileVault Agent à la page Veillez à indiquer les nouvelles informations d'identification du serveur PolicyServer. 5. Pour confirmer la migration, accédez aux widgets des périphériques Endpoint Encryption de Control Manager ou connectez-vous à la session PolicyServer MMC qui gère le nouveau serveur PolicyServer. Modification du serveur PolicyServer de Encryption Management for Microsoft BitLocker Pour plus d'informations sur les raisons pour lesquelles les agents Endpoint Encryption peuvent nécessiter de modifier le serveur PolicyServer qui gère les stratégies, consultez la section Migration de points finaux vers un nouveau serveur PolicyServer à la page Procédure 1. Désinstallation de l'agent Encryption Management for Microsoft BitLocker. Consultez la section Désinstallation d'encryption Management for Microsoft BitLocker à la page Attendez que le déchiffrement du disque dur se termine. L'utilisateur peut utiliser le point final comme d'habitude. 3. Supprimez le périphérique de l'ancien serveur PolicyServer. a. Connectez-vous à PolicyServer MMC. b. Effectuez un clic droit sur le périphérique Endpoint Encryption, puis sélectionnez Supprimer un périphérique. 6-49

180 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration c. Cliquez sur Oui pour confirmer. Pour plus d'informations sur la suppression des périphériques Endpoint Encryption, consultez le Manuel de l'administrateur Endpoint Encryption. 4. Suivez les nouvelles instructions d'installation pour réinstallerencryption Management for Microsoft BitLocker dans la section Installation de l'agent Encryption Management for Microsoft BitLocker à la page 6-18.Veillez à indiquer les nouvelles informations d'identification du serveur PolicyServer. 5. Pour confirmer la migration, accédez aux widgets des périphériques Endpoint Encryption de Control Manager ou connectez-vous à la session PolicyServer MMC qui gère le nouveau serveur PolicyServer. Modification du serveur PolicyServer de File Encryption Pour plus d'informations sur les raisons pour lesquelles les agents Endpoint Encryption peuvent nécessiter de modifier le serveur PolicyServer qui gère les stratégies, consultez la section Migration de points finaux vers un nouveau serveur PolicyServer à la page Procédure 1. Effectuez un clic droit sur l'icône de File Encryption dans la barre d'état système et sélectionnez À propos de File Encryption. 2. Cliquez sur Modifier PolicyServer. 3. Indiquez la nouvelle adresse IP ou le nom d'hôte du serveur PolicyServer, puis cliquez sur OK. Désinstallation Pendant une mise à niveau, certains agents Endpoint Encryption nécessitent au préalable une désinstallation manuelle de l'ancien logiciel agent Endpoint Encryption. Si le logiciel agent Endpoint Encryption ne fonctionne pas correctement d'une manière ou d'une autre, la désinstallation puis la réinstallation du logiciel de l'agent Endpoint Encryption peut résoudre le problème. 6-50

181 Déploiement des agents Endpoint Encryption La section suivante explique comment désinstaller manuellement le logiciel agent Endpoint Encryption ou utiliser OfficeScan pour déployer la commande de désinstallation simultanément sur plusieurs points finaux gérés. Désinstallation manuelle des agents Endpoint Encryption La section suivante explique comment désinstaller manuellement des agents Endpoint Encryption à l'aide du programme d'installation. La désinstallation du logiciel agent Endpoint Encryption peut être une étape nécessaire pour résoudre un problème ou mettre à jour le logiciel agent Endpoint Encryption. Désinstallation de Full Disk Encryption Pendant une mise à niveau, certains agents Endpoint Encryption nécessitent au préalable une désinstallation manuelle de l'ancien logiciel agent Endpoint Encryption. Si le logiciel agent Endpoint Encryption ne fonctionne pas correctement d'une manière ou d'une autre, la désinstallation puis la réinstallation du logiciel de l'agent Endpoint Encryption peut résoudre le problème. Remarque Pour désinstaller les agents Endpoint Encryption, le compte d'utilisateur doit disposer des droits de désinstallation au sein du groupe ou de la stratégie où sont enregistrés les périphériques Endpoint Encryption ainsi que des droits d'administrateur local Windows. Conseil Tout utilisateur ou authentificateur de groupe peut exécuter le programme de désinstallation sous Windows si la stratégie Full Disk Encryption > Agent > Autoriser l'utilisateur à désinstaller est définie sur Oui. Procédure 1. Connectez-vous au pré-amorçage de Full Disk Encryption, puis sous Windows. 2. Sous Windows, accédez à C:\Program Files\Trend Micro\Full Disk Encryption et exécutez TMFDEUninstall.exe. 6-51

182 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Remarque Si vous êtes invité par Contrôle de compte d'utilisateur, cliquez sur OUI. Le programme de désinstallation de Full Disk Encryption s'ouvre. 3. Cliquez sur Suivant. La désinstallation de Full Disk Encryption démarre. 4. Cliquez sur OK pour confirmer le déchiffrement du disque dur. Remarque Pour afficher l'état de déchiffrement, ouvrez Full Disk Encryption à partir de la barre d'état système. 5. Lorsque le déchiffrement se termine, cliquez sur OK. 6. Exécutez TMFDEUninstall.exe à nouveau pour terminer la désinstallation. 7. Redémarrez le dispositif. Remarque L'enregistrement du dispositif n'est pas automatiquement supprimé et devra être manuellement supprimé du serveur PolicyServer. Désinstallation d'encryption Management for Apple FileVault La désinstallation de l'agent Encryption Management for Apple FileVault nécessite un accès au shell Terminal de Mac OS X. Pour plus d'informations sur l'installation de Encryption Management for Apple FileVault, consultez la section Installation de Encryption Management for Apple FileVault à la page

183 Déploiement des agents Endpoint Encryption Remarque Pour désinstaller les agents Endpoint Encryption, le compte d'utilisateur doit disposer des droits de désinstallation au sein du groupe ou de la stratégie où sont enregistrés les périphériques Endpoint Encryption ainsi que des droits d'administrateur local Windows. Conseil Tout utilisateur ou authentificateur de groupe peut exécuter le programme de désinstallation sous Windows si la stratégie Full Disk Encryption > Agent > Autoriser l'utilisateur à désinstaller est définie sur Oui. Procédure 1. Accédez à Applications > Utilitaires et double-cliquez sur Terminal. La fenêtre Terminal s'affiche. 2. Tapez cd /Library/Application Support/TrendMicro/FDEMM 3. Tapez sudo./uninstaller L'agent se désinstalle en arrière-plan. 4. Redémarrez le point final pour terminer la désinstallation. Désinstallation d'encryption Management for Microsoft BitLocker Utilisez Ajout/Suppression de programmes de Windows pour désinstaller l'agent. Encryption Management for Microsoft BitLocker. Remarque Pour désinstaller les agents Endpoint Encryption, le compte d'utilisateur doit disposer des droits de désinstallation au sein du groupe ou de la stratégie où sont enregistrés les périphériques Endpoint Encryption ainsi que des droits d'administrateur local Windows. 6-53

184 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Conseil Tout utilisateur ou authentificateur de groupe peut exécuter le programme de désinstallation sous Windows si la stratégie Full Disk Encryption > Agent > Autoriser l'utilisateur à désinstaller est définie sur Oui. Procédure 1. Accédez à Démarrer > Paramètres > Panneau de configuration > Ajout/ Suppression de programmes La fenêtre Ajout/Suppression de programmes s'affiche. 2. Sélectionnez Encryption Management for Microsoft BitLocker dans la liste des programmes installés. 3. Cliquez sur Supprimer. 4. Dans le message Ajout/Suppression de programmes, cliquez sur Oui pour confirmer. Le processus de désinstallation s'achève lorsque le programme est supprimé de la liste. Désinstallation de File Encryption Utilisez Ajout/Suppression de programmes de Windows pour désinstaller File Encryption. Remarque Pour désinstaller les agents Endpoint Encryption, le compte d'utilisateur doit disposer des droits de désinstallation au sein du groupe ou de la stratégie où sont enregistrés les périphériques Endpoint Encryption ainsi que des droits d'administrateur local Windows. Conseil Tout utilisateur ou authentificateur de groupe peut exécuter le programme de désinstallation sous Windows si la stratégie Full Disk Encryption > Agent > Autoriser l'utilisateur à désinstaller est définie sur Oui. 6-54

185 Déploiement des agents Endpoint Encryption Remarque Définissez Stratégies > File Encryption > Ordinateur > Autoriser l'utilisateur à désinstaller sur Oui pour permettre à tout utilisateur ou authentificateur de groupes d'exécuter le programme de désinstallation sous Windows. Enregistrez et fermez tous les documents avant de démarrer le processus de désinstallation. Un redémarrage est requis lorsque le programme de désinstallation est terminé. AVERTISSEMENT! Déchiffrez tous les fichiers chiffrés avant de désinstaller File Encryption. Si vous ne le faites pas, les fichiers ne seront plus lisibles. Procédure 1. Connectez-vous à File Encryption avec un compte disposant de l'autorisation de désinstaller File Encryption. 2. Ouvrez le Menu Démarrer de Windows et accédez à Panneau de configuration > Programmes > Désinstaller un programme. 3. Sélectionnez File Encryption dans la liste, puis cliquez sur Désinstaller. Utilisation d'officescan pour désinstaller les agents Endpoint Encryption Pendant une mise à niveau, certains agents Endpoint Encryption nécessitent au préalable une désinstallation manuelle de l'ancien logiciel agent Endpoint Encryption. Si le logiciel agent Endpoint Encryption ne fonctionne pas correctement d'une manière ou d'une autre, la désinstallation puis la réinstallation du logiciel de l'agent Endpoint Encryption peut résoudre le problème. Cette procédure explique comment désinstaller les agents Endpoint Encryption à l'aide du plug-in Outil de déploiement d'endpoint Encryption d'officescan. 6-55

186 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Procédure 1. Sélectionnez le périphérique Endpoint Encryption. Remarque Pour sélectionner plusieurs périphériques Endpoint Encryption, maintenez enfoncée la touche MAJ et sélectionnez les points finaux applicables. 2. Cliquez sur Désinstaller et sélectionnez l'agent Endpoint Encryption approprié dans la liste déroulante. 3. Cliquez sur OK pour confirmer le déploiement. La commande de désinstallation de l'agent Endpoint Encryption est déployée. 4. La désinstallation de l'agent est terminée quand OfficeScan affiche le message de confirmation. Remarque Toutes les commandes de déploiement ultérieures échouent si le périphérique Endpoint Encryption n'est pas redémarré après le lancement de la commande de désinstallation et l'achèvement de celle-ci. Si la désinstallation ne peut pas s'achever, suivez le processus de désinstallation manuel de la section Désinstallation à la page Lorsque la désinstallation se termine, l'agent Endpoint Encryption est supprimé et le dossier du produit est supprimé du point final. 6-56

187 Chapitre 7 Intégration d'officescan Le contenu suivant explique comment utiliser l'outil de déploiement d'endpoint Encryption Plug-in OfficeScan pour déployer Endpoint Encryption au sein d'une entreprise avec des points finaux gérés par OfficeScan. Les rubriques sont les suivantes: À propos de l'intégration de Trend Micro OfficeScan à la page 3-8 Installation d'officescan à la page 7-3 À propos de Plug-in Manager à la page 7-4 Installation des outils de déploiement d'endpoint Encryption à la page 7-5 Gestion des plug-ins à la page 7-7 Utilisation des programmes plug-in à la page 7-7 Gestion de l'arborescence des agents à la page 7-10 Déploiement des agents Endpoint Encryption à la page

188 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration À propos de l'intégration de Trend Micro OfficeScan OfficeScan protège les réseaux d'entreprise contre les programmes malveillants, les virus réseau, les menaces provenant d'internet, les spywares et les attaques mixtes. Solution intégrée, OfficeScan est composé d'un agent résidant au point final et d'un programme serveur qui gère tous les agents. L'agent protège le point final et communique au serveur son état de sécurité. Le serveur, via une console d'administration à interface Web, facilite l'application coordonnée de stratégies pour la sécurité et le déploiement des mises à jour vers chaque agent. Remarque Pour plus d'informations sur OfficeScan, consultez la documentation appropriée à l'adresse : Utilisez le plug-in Outil de déploiement d'officescan Endpoint Encryption pour déployer les agents Endpoint Encryption sur des points finaux gérés d'officescan. Vous pouvez sélectionner les points finaux en fonction de critères spécifiques et voir l'état du déploiement. Une fois que plug-in Outil de déploiement d'endpoint Encryption a déployé le logiciel agent Endpoint Encryption, l'agent Endpoint Encryption effectue une synchronisation avec PolicyServer en utilisant les paramètres spécifiés dans le plug-in. OfficeScan ne gère pas les stratégies d'endpoint Encryption. L'agent OfficeScan et l'agent Endpoint Encryption sont indépendants sur le même point final. L'illustration suivante explique comment déployer Endpoint Encryption pour la première fois en utilisant OfficeScan sur des points finaux gérés. Dans les déploiements 7-2

189 Intégration d'officescan d'officescan, les administrateurs peuvent utiliser Control Manager ou PolicyServer MMC pour gérer PolicyServer. FIGURE 7-1. Déploiement de l'intégration d'officescan Installation d'officescan Pour plus d'informations sur l'installation et la configuration d'officescan, consultez la documentation disponible à l'adresse : Pour plus d'informations sur l'installation et la configuration de l'outil de déploiement d'officescan Endpoint Encryption avant de déployer les agents Endpoint Encryption, 7-3

190 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration consultez le Guide d'installation et de migration d'endpoint Encryption pour l'installation et les options de configuration. À propos de Plug-in Manager OfficeScan comporte une structure appelée Plug-in Manager qui intègre de nouvelles solutions dans l'environnement OfficeScan existant. Afin de faciliter la gestion de ces solutions, Plug-in Manager permet de voir en un coup d'œil les données correspondant aux solutions, sous forme de widgets. Remarque Actuellement, aucune des solutions de plug-in ne prend en charge IPv6. Le serveur peut télécharger ces solutions mais ne peut pas les déployer sur des agents Endpoint Encryption IPv6 purs ou des hôtes IPv6 purs. Plug-in Manager fournit deux types de solutions : Fonctions natives du produit Certaines fonctions natives d'officescan possèdent une licence séparée et sont activées via Plug-in Manager. Dans cette version, deux fonctions entrent dans cette catégorie, respectivement Trend Micro Virtual Desktop Support et Protection des données OfficeScan. Programmes plug-in Les programmes de plug-in ne font pas partie du programme OfficeScan. Les plugiciels ont des licences et des consoles d'administration séparées. Accédez aux consoles d'administration depuis la console Web OfficeScan. Intrusion Defense Firewall, Sécurité Trend Micro (pour Mac), et Trend Micro Mobile Security sont des exemples de plugiciels. Ce document fournit une présentation générale de l'installation et de la gestion des plugins et aborde les données relatives aux plug-ins disponibles dans les widgets. Reportezvous à la documentation du plugiciel spécifique pour plus d'informations sur la configuration et la gestion du programme. 7-4

191 Intégration d'officescan Installation des outils de déploiement d'endpoint Encryption Les plugiciels s'affichent dans la console de Plug-in Manager Utilisez la console pour télécharger, installer et gérer les programmes. Plug-In Manager télécharge le pack d'installation du plugiciel à partir du serveur Trend Micro ActiveUpdate ou d'une source de mise à jour personnalisée, si une source a été correctement configurée. Une connexion Internet est nécessaire pour télécharger le pack depuis le serveur ActiveUpdate. Lorsque Plug-in Manager télécharge un pack d'installation ou lance une installation, les fonctions des autres plugiciels (téléchargements, installations et mises à niveau) sont temporairement désactivées. Plug-in Manager ne prend pas en charge l'installation et la gestion d'un plugiciel via la fonction d'authentification unique de Trend Micro Control Manager. Installation de l'outil de déploiement d'endpoint Encryption Procédure 1. Ouvrez OfficeScan Web Console, puis cliquez sur Plug-in Manager dans le menu principal. 2. Sur l'écran Plug-in Manager, accédez à la section des plugiciels et cliquez sur Télécharger. La taille du pack du plugiciel s'affiche en regard du bouton Télécharger.. Surveillez la progression ou naviguez dans une autre fenêtre pendant le téléchargement. 7-5

192 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Remarque Si OfficeScan rencontre des problèmes lors du téléchargement ou de l'installation du pack, consultez les journaux de mise à jour du serveur sur la console Web d'officescan. Dans le menu principal, cliquez sur Journaux > de mise à jour du serveur. 3. Cliquez sur Installer maintenant ou Installer plus tard. Après avoir cliqué sur Installer maintenant, l'installation commence et un écran de progression de l'installation s'affiche. Après avoir cliqué sur Installer ultérieurement, l'écran Plug-in Manager s'affiche. Installez le plugiciel en cliquant sur le bouton Installer situé dans la section des plugiciels dans l'écran Plug-in Manager. L'écran Contrat de licence de l'utilisateur Trend Micro s'affiche. Remarque Les plugiciels ne nécessitent pas tous cet écran. Si cet écran ne s'affiche pas, l'installation du plugiciel commence. 4. Cliquez J'accepte pour installer le plugiciel. Surveillez la progression ou naviguez dans une autre fenêtre pendant l'installation. Remarque Si OfficeScan rencontre des problèmes lors du téléchargement ou de l'installation du pack, consultez les journaux de mise à jour du serveur sur la console Web d'officescan. Dans le menu principal, cliquez sur Journaux > de mise à jour du serveur. Une fois l'installation terminée, la version du actuelle du plugiciel s'affiche sur l'écran Plug-in Manager. 7-6

193 Intégration d'officescan Gestion des plug-ins Configurez les paramètres et réalisez des tâches relatives à la console d'administration des plug-ins, accessible depuis la console Web OfficeScan. Ces tâches comprennent notamment l'activation du programme et le déploiement éventuel de l'agent du plugiciel sur les points finaux. Consultez la documentation spécifique du plug-in pour plus d'informations sur la configuration et la gestion du programme. Gestion de l'outil de déploiement d'endpoint Encryption Procédure 1. Ouvrez OfficeScan Web Console, puis cliquez sur Plug-in Manager dans le menu principal. 2. Sur l'écran Plug-in Manager, accédez à la section des plugiciels et cliquez sur Gestion de programme. Utilisation des programmes plug-in Cette section décrit comment installer et gérer le plugiciel Outil de déploiement d'officescan Endpoint Encryption. Gestion des plug-ins Configurez les paramètres et réalisez des tâches relatives à la console d'administration des plug-ins, accessible depuis la console Web OfficeScan. Ces tâches comprennent notamment l'activation du programme et le déploiement éventuel de l'agent du plugiciel sur les points finaux. Consultez la documentation spécifique du plug-in pour plus d'informations sur la configuration et la gestion du programme. 7-7

194 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Gestion de l'outil de déploiement d'endpoint Encryption Procédure 1. Ouvrez OfficeScan Web Console, puis cliquez sur Plug-in Manager dans le menu principal. 2. Sur l'écran Plug-in Manager, accédez à la section des plugiciels et cliquez sur Gestion de programme. Mises à niveau de l'outil de déploiement d'endpoint Encryption La nouvelle version d'un plug-in installé s'affiche dans la console de Plug-in Manager. Téléchargez le pack et mettez à niveau le plugiciel sur la console. Plug-in Manager télécharge les packs des plugiciels à partir du serveur ActiveUpdate de Trend Micro ou d'une source de mise à jour personnalisée, si une source a été correctement configurée. Une connexion Internet est nécessaire pour télécharger le pack depuis le serveur ActiveUpdate. Lorsque Plug-in Manager télécharge un pack d'installation ou démarre une mise à niveau, il désactive temporairement les autres fonctions des plugiciels, telles que téléchargements, installations et mises à niveau. Plug-in Manager ne prend pas en charge la mise à niveau de plugiciels via la fonction d'authentification unique de Trend Micro Control Manager. Mise à niveau de l'outil de déploiement d'endpoint Encryption Procédure 1. Ouvrez OfficeScan Web Console, puis cliquez sur Plug-in Manager dans le menu principal. 2. Sur l'écran Plug-in Manager, accédez à la section des plugiciels et cliquez sur Télécharger. 7-8

195 Intégration d'officescan La taille du pack de mise à niveau s'affiche en regard du bouton Télécharger. 3. Surveillez la progression du téléchargement. Il est possible de naviguer vers un autre écran pendant le téléchargement, sans incidence sur la mise à niveau. Remarque Si OfficeScan rencontre des problèmes lors du téléchargement ou de l'installation du pack, consultez les journaux de mise à jour du serveur sur la console Web d'officescan. Dans le menu principal, cliquez sur Journaux > de mise à jour du serveur. 4. Après que Plug-in Manager a terminé le téléchargement du pack, un nouvelle fenêtre s'affiche. Une fois la mise à niveau terminée, un redémarrage du service Plug-in Manager sera peut-être nécessaire, provoquant l'indisponibilité momentanée de l'écran Plug-in Manager. Lorsque l'écran redevient disponible, la version actuelle du plugiciel s'affiche. Désinstallation de l'outil de déploiement d'endpoint Encryption Désinstallez un plugiciel selon les méthodes suivantes : Désinstallation du plug-in à partir de la console Plug-in Manager. Désinstallation du serveur OfficeScan, ce qui désinstalle Plug-in Manager et tous les plugiciels installés. Pour obtenir des instructions sur la désinstallation du serveur OfficeScan, consultez le Guide d'installation et de mise à niveau OfficeScan. 7-9

196 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Désinstallation de l'outil de déploiement de Trend Micro Endpoint Encryption à partir de la console de Plug-in Manager Procédure 1. Ouvrez OfficeScan Web Console, puis cliquez sur Plug-in Manager dans le menu principal. 2. Sur l'écran Plug-in Manager, accédez à la section des plugiciels, puis cliquez sur Désinstaller. 3. Surveillez la progression de la désinstallation ou naviguez dans une autre fenêtre pendant la désinstallation. 4. Actualisez l'écran Plug-in Manager après la désinstallation. Le plug-in est à nouveau prêt à être installé. Gestion de l'arborescence des agents Arborescence des agents OfficeScan L'arborescence des agents OfficeScan affiche tous les agents regroupés dans les domaines que le serveur gère actuellement. Les agents sont regroupés en domaines afin de vous permettre de configurer, gérer et appliquer simultanément la même configuration pour tous les membres du domaine. Tâches spécifiques dans l'arborescence des agents L'arborescence des agents s'affiche lorsque vous accédez à certains écrans de la console Web. Des éléments de menu propres à l'écran auquel vous avez accédé apparaissent audessus de l'arborescence des agents. Ils vous permettent de réaliser certaines tâches, par exemple la configuration des paramètres des agents ou l'initialisation des tâches des 7-10

197 Intégration d'officescan agents. Pour effectuer une tâche quelconque, commencez par sélectionner la cible de la tâche, puis sélectionnez un élément de menu. L'arborescence des agents fournit un accès aux fonctions suivantes : Rechercher des points finaux : Recherchez des points finaux en entrant les critères de recherche dans la zone de texte. Synchroniser avec OfficeScan : Synchronisez l'arborescence des agents des plugiciels avec l'arborescence des agents du serveur OfficeScan. Pour obtenir des informations détaillées, voir Synchronisation de l'arborescence des agents à la page Paramètres de déploiement : Affiche l'écran Paramètres de déploiement. Pour obtenir des informations détaillées, consultez la section Déploiement des paramètres du serveur à la page Les administrateurs peuvent également rechercher manuellement des points finaux ou des domaines dans l'arborescence des agents. Des informations propres à un ordinateur s'affichent dans le tableau à la droite de. Synchronisation de l'arborescence des agents Avant que le plugiciel ne puissent déployer les paramètres vers les agents, les administrateurs doivent synchroniser l'arborescence des agents avec le serveur OfficeScan. Procédure 1. Ouvrez la console des plug-ins. 2. Dans l'écran Gestion des clients, cliquez sur Synchroniser avec OfficeScan. Un message de confirmation apparaît. 3. Patientez quelques instants pour que la synchronisation se termine. 4. Cliquez sur Fermer pour revenir à l'écran Gestion des clients. 7-11

198 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Déploiement des paramètres du serveur Configurez et déployez les paramètres du serveur PolicyServer pour assurer la communication entre les agents et PolicyServer. Procédure 1. Ouvrez la console des plugiciels. 2. Cliquez sur l'onglet Paramètres PolicyServer. 3. Spécifiez les détails suivants : OPTION Nom du serveur Port Entreprise Nom d'utilisateur Mot de passe DESCRIPTION Spécifiez l'adresse IP ou le nom d'hôte du serveur PolicyServer. Spécifiez le numéro de port attribué à l'instance de PolicyServer. Spécifiez l'entreprise du serveur PolicyServer. Seule une entreprise est prise en charge. Spécifiez le nom d'utilisateur de l'administrateur de l'entreprise. Spécifiez le mot de passe de l'administrateur de l'entreprise. 4. Cliquez sur Enregistrer. Un message de confirmation apparaît. Patienter jusqu'à l'établissement d'une connexion au serveur. Déploiement des agents Endpoint Encryption Cette section décrit comment utiliser le plug-in Outil de déploiement d'endpoint Encryption pour lancer les commandes d'installation et de désinstallation de l'agent. 7-12

199 Intégration d'officescan L'illustration suivante montre l'outil de déploiement d'endpoint Encryption Écran Gestion des clients. FIGURE 7-2. Outils de déploiement d'endpoint Encryption Déploiement de l'agent avec OfficeScan Avant de déployer des agents, assurez-vous que les points finaux satisfont à la configuration minimale requise. Pour plus d'informations, consultez la section Configuration système requise à la page 2-1. Procédure 1. Sélectionnez le point final dans l'arborescence des clients. Remarque Pour sélectionner plusieurs points finaux, maintenez enfoncée la touche CTRL et sélectionnez les points finaux applicables. 7-13

200 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration 2. Cliquez sur Installer, puis sélectionnez l'une des options suivantes : OPTION Full Disk Encryption DESCRIPTION Sélectionnez les agents Full Disk Encryption appropriés. Sélectionnez l'agent Full Disk Encryption pour déployer toutes les fonctionnalités, notamment l'authentification de préamorçage, toutes les stratégies, les notifications et les actions sur les périphériques. Sélectionnez l'agent Encryption Management for Microsoft BitLocker pour activer le chiffrement de disque complet de Microsoft BitLocker, en ne déployant que des stratégies et des actions de périphérique limitées. Remarque Il n'est pas possible de déployer l'agent Encryption Management for Apple FileVault en utilisant le plug-in Outil de déploiement d'endpoint Encryption. File Encryption Déployez l'agent File Encryption, qui comporte toutes les fonctionnalités et stratégies. 3. Cliquez sur Déployer. 4. Lorsque le message s'affiche, cliquez sur OK pour confirmer le déploiement. La commande de déploiement de l'agent se lance. Si cela réussit, tous les points finaux sélectionnés sont invités à redémarrer. Confirmation du déploiement de l'agent Cette tâche explique comment confirmer que l'installation de l'agent Endpoint Encryption se lance correctement sur le point final. Procédure 1. Effectuez Déploiement de l'agent avec OfficeScan à la page Connectez-vous sur le périphérique Endpoint Encryption sélectionné. 7-14

201 Intégration d'officescan 3. Effectuez l'une des actions suivantes : Pour afficher l'état du déploiement, ouvrez les fichiers journaux à l'emplacement : Point final client C:\TMEE_Deploy_Client.log Point final serveur C:\TMEE_Deploy_Server_Inst.log Exécutez le gestionnaire de tâches et recherchez l'un des services dans la section Services d'agent Endpoint Encryption à la page Lorsque le déploiement de l'agent Endpoint Encryption est achevé, redémarrez le point final pour terminer l'installation. Services d'agent Endpoint Encryption Le tableau suivant explique les services qui s'exécutent au lancement de l'agent Endpoint Encryption sur le point final. Utilisez-le pour vérifier que l'installation de l'agent a réussi et qu'il fonctionne correctement. Remarque Pour plus d'informations sur les services Endpoint Encryption, consultez la section Services Endpoint Encryption à la page D-1. SERVICE ÉTAT FEService.exe TMFDE.exe TMFDEForBitLocker.exe L'agent File Encryption est en cours d'exécution. L'agent Full Disk Encryption est en cours d'exécution. L'agent Encryption Management for Microsoft BitLocker est en cours d'exécution. 7-15

202 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration État de déploiement des agents Endpoint Encryption Le tableau suivant explique les états d'officescan qui s'affichent dans la console du plugin Outil de déploiement d'endpoint Encryption après le lancement d'une commande de déploiement. Utilisez-le pour comprendre s'il y eu un problème pendant l'installation ou la désinstallation de l'agent. TABLEAU 7-1. États de l'installation de l'agent ÉTAT MESSAGE DESCRIPTION En cours En cours : déploiement d'agent OfficeScan essaye de communiquer avec le point final géré, d'installer l'agent Endpoint Encryption, puis d'établir une connexion avec PolicyServer. Réussite Déploiement de l'agent réussi L'installation de l'agent Endpoint Encryption a réussi, et il a établi une communication avec OfficeScan et PolicyServer. Échec Redémarrage indispensable Échec du déploiement de l'agent Déploiement de l'agent réussi. Arrêt/Redémarrage requis. Le déploiement de l'agent Endpoint Encryption n'a pas pu se terminer. Examinez les journaux afin de déterminer la raison pour laquelle le point final géré n'a pas pu effectuer la mise à jour avec l'agent Endpoint Encryption sectionné. Pour l'agent Full Disk Encryption, un redémarrage est requis pour terminer l'installation. L'état n'est pas mis à jour tant que l'utilisateur ne s'est pas connecté sur le préamorçage de PolicyServer. Expiration Dépassement de délai : déploiement d'agent Le temps de dépassement de délai est de 30 minutes. Après un dépassement de délai, lancez une nouvelle commande de déploiement. 7-16

203 Intégration d'officescan TABLEAU 7-2. États de la désinstallation de l'agent ÉTAT MESSAGE DESCRIPTION En cours Demande en cours : déploiement d'agent OfficeScan essaye de communiquer avec le point final géré et de désinstaller le logiciel de l'agent. Le point final géré doit répondre à la commande de déploiement pour que la désinstallation puisse démarrer. Réussite Échec Redémarrage indispensable Expiration Désinstallation de l'agent réussie Échec de la désinstallation de l'agent Désinstallation de l'agent réussie. Arrêt/Redémarrage requis. Dépassement du délai de requête : désinstallation de l'agent La désinstallation de l'agent Endpoint Encryption a réussi et il a établi une communication avec OfficeScan et PolicyServer. Après la désinstallation, le périphérique Endpoint Encryption est supprimé de PolicyServer. La demande de désinstallation de l'agent Endpoint Encryption n'a pas pu établir de connexion. Examinez les journaux afin de déterminer la raison pour laquelle le point final géré n'a pas pu désinstaller l'instance d'endpoint Encryption. Pour certains agents Endpoint Encryption, un redémarrage est requis pour terminer la désinstallation. Le temps de dépassement de délai est de 30 minutes. Après un dépassement de délai, lancez une nouvelle demande de désinstallation. Codes erreur d'installation des agents Endpoint Encryption Le tableau suivant décrit les codes d'erreur pour les erreurs d'installation des agents Endpoint Encryption Utilisez-le pour comprendre le problème et la résolution d'une erreur d'installation spécifique. 7-17

204 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Remarque Assurez-vous que le point final satisfait à la configuration minimale requise avant de déployer les agents Endpoint Encryption. Microsoft.Net Framework 2.0 SP1 ou version ultérieure est requis Pour plus d'informations sur la figuration système requise, consultez le Guide d'installation et de migration d'endpoint Encryption.. TABLEAU 7-3. Codes d'erreur d'installation AGENT CODE D'ERREUR PROBLÈME ET RÉSOLUTION File Encryption 1603 Impossible d'installer l'agent Endpoint Encryption. Une ressource requise n'est peut-être pas disponible. Redémarrez le point final et essayez à nouveau d'effectuer l'installation. Si le problème persiste, contactez l'assistance Trend Micro. 7-18

205 Intégration d'officescan AGENT CODE D'ERREUR PROBLÈME ET RÉSOLUTION Full Disk Encryption -3 Le nom d'utilisateur ou le mot de passe n'est pas valide. Vérifiez les informations d'identification et essayez de vous connecter à nouveau à PolicyServer. -6 Impossible d'installer l'agent Endpoint Encryption. Une ressource requise n'est peut-être pas disponible. Redémarrez le point final et essayez à nouveau d'effectuer l'installation. Si le problème persiste, contactez l'assistance Trend Micro. -13 Le point final ne répond pas à la configuration minimale requise. Mettez à niveau la RAM ou l'espace disque et essayez à nouveau d'installer l'agent. 7-19

206 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration AGENT CODE D'ERREUR PROBLÈME ET RÉSOLUTION Encryption Management for Microsoft BitLocker 1603 Impossible d'installer l'agent Endpoint Encryption. Une ressource requise n'est peut-être pas disponible. Redémarrez le point final et essayez à nouveau d'effectuer l'installation. Si le problème persiste, contactez l'assistance Trend Micro. -13 Impossible d'installer l'agent Endpoint Encryption. Microsoft BitLocker requiert Trusted Platform Module (TPM). Le point final ne prend en charge TPM, TPM n'est pas activé dans le BIOS ou TPM est verrouillé par un autre utilisateur connecté. Activez TPM dans le BIOS ou contactez l'administrateur système pour obtenir de l'assistance. -14 Impossible d'installer l'agent Endpoint Encryption. Le système d'exploitation n'est pas pris en charge. Installez l'un des systèmes d'exploitation pris en charge, puis réessayez : Windows 7 32 bits ou 64 bits, Édition Intégrale ou Entreprise Windows 8 32 bits ou 64 bits, Professionnel ou Entreprise -15 Full Disk Encryption est déjà installé Impossible d'installer l'agent Endpoint Encryption. Le point final est déjà chiffré.

207 Intégration d'officescan Utilisation d'officescan pour désinstaller les agents Endpoint Encryption Pendant une mise à niveau, certains agents Endpoint Encryption nécessitent au préalable une désinstallation manuelle de l'ancien logiciel agent Endpoint Encryption. Si le logiciel agent Endpoint Encryption ne fonctionne pas correctement d'une manière ou d'une autre, la désinstallation puis la réinstallation du logiciel de l'agent Endpoint Encryption peut résoudre le problème. Cette procédure explique comment désinstaller les agents Endpoint Encryption à l'aide du plug-in Outil de déploiement d'endpoint Encryption d'officescan. Procédure 1. Sélectionnez le périphérique Endpoint Encryption. Remarque Pour sélectionner plusieurs périphériques Endpoint Encryption, maintenez enfoncée la touche MAJ et sélectionnez les points finaux applicables. 2. Cliquez sur Désinstaller et sélectionnez l'agent Endpoint Encryption approprié dans la liste déroulante. 3. Cliquez sur OK pour confirmer le déploiement. La commande de désinstallation de l'agent Endpoint Encryption est déployée. 4. La désinstallation de l'agent est terminée quand OfficeScan affiche le message de confirmation. Remarque Toutes les commandes de déploiement ultérieures échouent si le périphérique Endpoint Encryption n'est pas redémarré après le lancement de la commande de désinstallation et l'achèvement de celle-ci. Si la désinstallation ne peut pas s'achever, suivez le processus de désinstallation manuel de la section Désinstallation à la page

208 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Lorsque la désinstallation se termine, l'agent Endpoint Encryption est supprimé et le dossier du produit est supprimé du point final. 7-22

209 Chapitre 8 Maintenance et support technique Les rubriques suivantes décrivent comment comprendre le contrat de maintenance, trouver des solutions en ligne, utiliser le portail de l'assistance technique, contacter Trend Micro et trouver des ressources supplémentaires. Les rubriques sont les suivantes: Contrat de maintenance à la page 8-2 Ressources de dépannage à la page 8-6 Contacter Trend Micro à la page 8-8 Autres ressources à la page

210 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Contrat de maintenance Le contrat de maintenance est un contrat entre votre organisation et Trend Micro vous concédant le droit de bénéficier d'une assistance technique et de mises à jour de produit moyennant le paiement des frais en vigueur. Lorsque vous achetez un produit Trend Micro, le contrat de licence livré avec le produit décrit les termes du contrat de maintenance relatif à ce produit. La licence concédée avec les logiciels Trend Micro comprend généralement l'accès aux mises à jour des produits et des fichiers de signatures ainsi qu'à l'assistance technique de base («maintenance») pendant une période d'un (1) an à compter de la date d'achat uniquement. Une fois cette période écoulée, vous devrez renouveler le contrat de maintenance sur une base annuelle et vous acquitter des frais de maintenance alors en vigueur chez Trend Micro. Lorsque le contrat de maintenance expire, la fonction de scan est toujours activée, mais il est impossible de mettre à jour le produit, même manuellement. En outre, vous ne pourrez pas bénéficier du service d'assistance technique de Trend Micro. En général, quatre vingt-dix (90) jours avant la date d'expiration de votre contrat de maintenance, vous serez informé de la résiliation prochaine de ce contrat. Vous pouvez mettre à jour votre contrat de maintenance en payant le renouvellement de la maintenance auprès de votre revendeur Trend Micro ou en vous inscrivant en ligne à l'adresse suivante : Système d'enregistrement en ligne Renouvellement du contrat de maintenance Trend Micro ou un revendeur agréé fournit pour une période d'un (1) an aux utilisateurs enregistrés, un service d'assistance technique, ainsi qu'un service de téléchargement et de mises à jour de programmes, au terme de laquelle il est nécessaire d'acheter un renouvellement de la maintenance. Si le contrat de maintenance expire, les opérations de base sont maintenues ; toutefois, les nouveaux utilisateurs et les nouveaux périphériques ne peuvent pas être ajoutés au serveur PolicyServer, que ce soit par le biais de PolicyServer MMC, des installations d'agent ou de Control Manager. Pour éviter une telle situation, renouvelez votre contrat de maintenance dès que possible. 8-2

211 Maintenance et support technique Pour les clients qui effectuent une mise à niveau, la licence existante est acceptée jusqu'à l'expiration. Procédure 1. Pour renouveler le contrat de maintenance, effectuez l'une des actions suivantes : Pour acheter un renouvellement de maintenance, contactez le distributeur auprès duquel vous avait acheté le produit. Un contrat de maintenance, prolongeant votre protection pour une année supplémentaire, sera envoyé par courrier au premier contact société figurant dans votre profil d'enregistrement. Pour afficher ou modifier le profil d'enregistrement de votre société, connectez-vous sur le site Web d'enregistrement en ligne de Trend Micro : 2. Pour afficher le profil d'enregistrement, spécifiez l'id de connexion et le mot de passe créés lors de l'enregistrement initial du produit chez Trend Micro (en tant que nouveau client), puis cliquez sur Connexion. 3. Pour mettre à jour l'environnement avec le nouveau code d'activation, consultez la section Activation de la nouvelle licence du produit à la page 8-4. Licence d'évaluation Vous pouvez installer et évaluer Endpoint Encryption pendant une période d'essai limitée de 30 jours. Pendant l'installation de PolicyServer, la base de données d'entreprise et le compte d'administrateur d'entreprise sont créés. PolicyServer fonctionne normalement avec toutes les applications client, les périphériques illimités et jusqu'à 100 utilisateurs pour une période d'évaluation de 30 jours. Après 30 jours, contactez l'assistance technique Trend Micro pour recevoir un fichier de licence. Les comptes d'utilisateurs et les périphériques Endpoint Encryption fonctionnent normalement après l'expiration de la période d'essai. 8-3

212 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Activation de la nouvelle licence du produit Une licence d'essai gratuite pendant 30 jours est disponible pour installer et évaluer Endpoint Encryption. Si vous effectuez l'activation à partir de la licence d'essai, veillez à effectuer la mise à niveau vers la version complète avant l'expiration de la licence. Procédure 1. Connectez-vous au serveur sur lequel PolicyServer est installé actuellement. 2. Accédez au dossier contenant les fichiers programmes de PolicyServer et ouvrez le dossier Outils. 3. Exécutez TMEE_License_Renewal.exe. L'outil de renouvellement de licence s'ouvre. 4. Dans Renouveler la licence, cliquez sur Renouvellement en ligne pour accéder au site Web d'enregistrement de Trend Micro. Une fois l'enregistrement terminé, Trend Micro envoie un contenant le code d'activation. 5. Spécifiez le code d'activation du produit. 6. Cliquez sur Activer. 7. Dans le message de confirmation, cliquez sur OK pour continuer. 8. Cliquez sur Quitter. La licence du produit Endpoint Encryption mise à jour est disponible immédiatement. Affichage de la licence du produit Utilisez PolicyServer MMC pour afficher l'état actuel de la licence. Procédure 1. Connectez-vous à PolicyServer MMC. 8-4

213 Maintenance et support technique 2. Effectuez un clic droit sur l'entreprise et sélectionnez Activation/Licence. L'écran Informations d'enregistrement s'affiche. 3. Examinez les options suivantes. OPTION Code d'activation Date de début Date d'expiration Nombre de périphériques Nombre de périphériques installés Nombre d'utilisateurs Nombre d'utilisateurs créés Période d'activation en jours DESCRIPTION Pour une licence complète, le code d'activation s'affiche. Pour d'autres types de licence, le nom de la licence s'affiche. Date à laquelle la licence a été activée. Date à laquelle la licence doit être renouvelée. Lorsqu'une licence expire, les utilisateurs d'endpoint Encryption existants peuvent encore se connecter aux périphériques Endpoint Encryption, mais il n'est pas possible d'ajouter de nouveau périphériques ou utilisateurs d'endpoint Encryption à l'entreprise. Nombre de périphériques Endpoint Encryption autorisés par la licence. Nombre de périphériques Endpoint Encryption configurés actuellement dans l'entreprise. Nombre total d'utilisateurs d'endpoint Encryption autorisés par la licence. Nombre d'utilisateurs d'endpoint Encryption ajoutés actuellement à l'entreprise. Nombre de jours restants avant l'expiration de la licence. 4. Cliquez sur Fermer. 8-5

214 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Maintenance du produit De temps en temps, Trend Micro peut publier un correctif pour un problème connu signalé ou une mise à niveau qui s'applique au produit. Pour savoir si des correctifs sont disponibles, visitez : Les correctifs sont datés. Si des correctifs sont disponibles, ouvrez le fichier Lisez-moi afin de déterminer si le correctif est applicable. Si c'est le cas, suivez les instructions du fichier Lisez-moi. Ressources de dépannage Avant de contacter l'assistance technique, songez à visiter les ressources en ligne Trend Micro suivantes. Communauté de Trend Pour obtenir de l'aide, partager vos expériences, poser des questions et discuter de vos préoccupations en matière de sécurité avec d'autres utilisateurs, passionnés et des experts en sécurité, accédez à : Utilisation du portail de l'assistance technique Le portail de l'assistance technique Trend Micro est une ressource en ligne disponible 24 h/24 et 7 j/7 qui contient les toutes dernières informations sur les problèmes courants et inhabituels. Procédure 1. Accédez à 2. Sélectionnez un produit ou un service dans la liste déroulante appropriée et indiquez toute autre information associée. 8-6

215 Maintenance et support technique La page Assistance technique du produit s'affiche. 3. Utilisez la zone Recherche d'assistance pour rechercher les solutions disponibles. 4. Si aucune solution n'est trouvée, cliquez sur Soumettre un cas à l'assistance dans le volet de navigation de gauche et ajoutez d'éventuels détails pertinents, ou soumettez un cas à l'assistance ici : Un ingénieur d'assistance Trend Micro étudiera le cas et donnera une réponse sous 24 heures. Communauté du renseignement de sécurité Les experts en cybersécurité sécurité de Trend Micro sont une équipe d'élite en matière de renseignement de sécurité, spécialisée dans la détection et l'analyse des menaces, la sécurité en ligne et concernant la virtualisation, ainsi que le chiffrement des données. Accédez à pour en savoir plus sur : Blogs Trend Micro, Twitter, Facebook, YouTube et autres médias sociaux Rapports de menaces, rapports de recherche, articles spécialisés Solutions, podcasts et bulletins d'informations émanant des experts en sécurité du monde entier Outils, applications et widgets gratuits. Encyclopédie des menaces À l'heure actuelle, la plupart des programmes malveillants sont composés de «menaces combinées» : au moins deux technologies combinées pour contourner les protocoles de sécurité de l'ordinateur. Trend Micro combat ces produits malveillants complexes grâce à des produits qui créent une stratégie de défense personnalisée. L'encyclopédie des menaces fournit une liste complète de noms et de symptômes pour différentes menaces combinées, notamment les programmes malveillants connus, les spams, les URL malveillantes et les vulnérabilités connues. 8-7

216 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Accédez à pour en savoir plus sur : Programmes malveillants et codes mobiles malveillants actuellement actifs ou «en circulation» Pages liées aux informations sur les menaces pour former un scénario d'attaque Web complet Conseils sur les menaces Internet à propos des attaque ciblées et des menaces de sécurité Informations sur les attaques Web et les tendances en ligne Rapports hebdomadaires sur les programmes malveillants. Contacter Trend Micro Les techniciens de Trend Micro peuvent être contactés par téléphone et Adresse Trend Micro SA 85, avenue Albert 1er Rueil Malmaison France Tél. +33 (0) Internet support@trendmicro.com ; Sites d'assistance à travers le monde : Documentation des produits Trend Micro : Optimisation de la demande d'assistance Pour améliorer la résolution de votre problème, préparez les informations suivantes : 8-8

217 Maintenance et support technique Étapes permettant de reproduire le problème Matériel ou informations sur le réseau Marque de l'ordinateur, modèle et tout matériel complémentaire connecté à votre point final Mémoire et espace disque disponibles sur votre ordinateur Système d'exploitation et version de Service Pack Version client du point final Numéro de série ou code d'activation Description détaillée de l'environnement d'installation Texte exact du message d'erreur reçu. Autres ressources Outre les solutions et l'assistance, il existe de nombreuses autres ressources disponibles en ligne pour rester à jour, découvrir les innovations et être informé des tendances les plus récentes en matière de sécurité. TrendEdge Trouvez des informations sur les techniques novatrices non prises en charge, les outils et les bonnes pratiques liés aux produits et aux services Trend Micro. La base de données TrendEdge contient de nombreux documents couvrant un large éventail de sujets destinés aux employés et partenaires de Trend Micro, ainsi qu'aux autres parties intéressées. Consultez les dernières informations ajoutées à TrendEdge à l'adresse suivante : 8-9

218 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Centre de téléchargement De temps en temps, Trend Micro peut publier un correctif pour un problème connu signalé ou une mise à niveau qui s'applique à un produit ou un service spécifique. Pour savoir si des correctifs sont disponibles, accédez à : Si un correctif n'a pas été appliqué (les correctifs sont datés), ouvrez le fichier Lisez-moi afin de déterminer s'il est approprié à votre environnement. Le fichier Lisez-moi contient également des instructions d'installation. TrendLabs TrendLabs est un réseau mondial pour la recherche, le développement et les centres d'action qui s'engagent, 24 h/24, 7 j/7, à surveiller les menaces, prévenir les attaques et livrer des solutions continues en temps et en heure. En tant que pierre angulaire de l'infrastructure des services Trend Micro, l'équipe de TrendLabs se compose de plusieurs centaines d'ingénieurs et de membres certifiés du personnel qui proposent un large éventail de services d'assistance technique et d'assistance produit. TrendLabs surveille les menaces potentielles globales afin de fournir des mesures de sécurité efficaces conçues pour détecter, prévenir et éliminer toute attaque. Le point culminant quotidien de ces efforts est partagé avec les consommateurs via des mises à jour de fichiers de signatures de virus fréquentes et des perfectionnements des moteurs de scan. Pour en savoir plus sur TrendLabs, accédez au site :

219 Annexes Annexes

220

221 Annexe A Présentation de Trend Micro Control Manager Trend Micro Control Manager est une console d'administration centralisée qui gère les produits et services Trend Micro, au niveau de la passerelle, du serveur de messagerie, du serveur de fichiers et des postes de travail de l'entreprise. Les administrateurs peuvent utiliser la fonctionnalité de gestion des stratégies pour configurer et déployer les paramètres du produit dans les produits gérés et les points finaux. La console d'administration à interface Web de Control Manager fournit un point de surveillance unique pour les produits et les services antivirus et de sécurité de contenu sur tout le réseau. Control Manager permet aux administrateurs système de surveiller et de signaler des activités telles que des infections, violations de sécurité et points d'entrée de virus/ programmes malveillants. Les administrateurs système peuvent télécharger et déployer des composants de mise à jour sur le réseau, contribuant ainsi à garantir une protection homogène et actualisée. Les composants de mise à jour comprennent, par exemple, les fichiers de signatures de virus, les moteurs de scan et les règles de filtrage de courrier indésirable. Control Manager permet de réaliser à la fois des mises à jour manuelles et programmées. Il permet de configurer et de gérer des produits, en groupe ou séparément, pour une flexibilité accrue. Ce chapitre traite les rubriques suivantes : Control Manager Standard et Advanced à la page A-3 Présentation des fonctionnalités de Control Manager à la page A-3 A-1

222 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Architecture de Control Manager à la page A-5 Enregistrement d'endpoint Encryption sur Control Manager à la page A-8 Définition des accès utilisateur à la page A-9 Définition du répertoire Produits à la page A-17 Téléchargement et déploiement de nouveaux composants à la page A-41 Utilisation des journaux à la page A-69 Définition des rapports à la page A-73 A-2

223 Présentation de Trend Micro Control Manager Control Manager Standard et Advanced Il existe deux versions de Control Manager : la version Standard et la version Advanced. Control Manager Advanced inclut des fonctionnalités dont la version Standard ne dispose pas. Par exemple, Control Manager Advanced prend en charge la structure de gestion en cascade. Cela signifie que le réseau Control Manager peut être géré par un serveur Control Manager Advanced parent avec plusieurs serveurs Control Manager Advanced enfants soumis au serveur Control Manager Advanced parent. Le serveur parent est le cœur de l'ensemble du réseau. Remarque Control Manager Advanced prend en charge les produits suivants en tant que serveurs Control Manager enfants : Control Manager 6.0 Advanced Control Manager 5.5 Advanced Control Manager 5.0 Advanced Les serveurs Control Manager 5.0/5.5/6.0 Standard ne peuvent pas être des serveurs enfants. Pour une liste complète des fonctionnalités prises en charge par les serveurs Control Manager Standard et Advanced, consultez la documentation de Trend Micro Control Manager. Présentation des fonctionnalités de Control Manager Trend Micro a conçu Control Manager pour gérer des produits et services antivirus et de sécurité de contenu déployés sur les réseaux locaux et étendus d'une entreprise. A-3

224 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration TABLEAU A-1. Fonctions de Control Manager FONCTION Gestion des stratégies Configuration centralisée Prévention proactive des épidémies Infrastructure de communication sécurisée Configuration et téléchargement de composants sécurisés Délégation de tâches DESCRIPTION Les administrateurs système peuvent utiliser les stratégies pour configurer et déployer les paramètres du produit dans les produits gérés et les points finaux à partir d'une seule console d'administration. Le répertoire Produits et la structure de gestion en cascade permettent de coordonner vos actions en matière de protection anti-virus et de sécurité de contenu à partir d une seule console d'administration. Grâce à ces fonctions, vous pouvez appliquer de façon homogène les stratégies relatives aux virus/programmes malveillants et à la sécurité de contenu de votre entreprise. Les services OPS (Outbreak Prevention Services) permettent de prendre des mesures proactives pour protéger le réseau contre toute menace d'épidémie de virus/programmes malveillants. Control Manager utilise une infrastructure de communication reposant sur le protocole SSL (Secure Socket Layer). Selon les paramètres de sécurité utilisés, Control Manager peut chiffrer des messages avec ou sans authentification. Ces fonctions permettent de configurer l'accès à la console Web et le téléchargement de composants de façon sécurisée. Les administrateurs système peuvent définir des comptes personnalisés avec des privilèges individualisés pour les utilisateurs de la console Web de Control Manager. Un compte utilisateur définit les objets visibles et les actions réalisables par un utilisateur sur un réseau Control Manager. Vous pouvez contrôler l'utilisation faite par un utilisateur de son compte via un journal d'utilisateur. A-4

225 Présentation de Trend Micro Control Manager FONCTION Suivi des commandes Contrôle de produits à la demande Contrôle centralisé des mises à jour Journalisation centralisée DESCRIPTION Cette fonction permet de contrôler toutes les commandes exécutées à l'aide de la console Web de Control Manager. Elle permet ainsi de vérifier si Control Manager a pu mener à bien des opérations particulièrement longues, telles que la mise à jour et le déploiement de fichiers de signatures de virus. Cette fonction permet de contrôler des produits gérés en temps réel. Control Manager envoie immédiatement aux produits gérés les modifications de configuration effectuées sur la console Web. Les administrateurs système peuvent exécuter des scans manuels à partir de la console Web. Cette commande système est indispensable en cas d'épidémie de virus/programmes malveillants. Cette fonction permet de mettre à jour des fichiers de signatures de virus, des règles anti-spam, des moteurs de scan et d'autres composants antivirus et de sécurité de contenu, afin que tous les produits gérés soient à jour. Des journaux et des rapports complets permettent d'avoir une vue d'ensemble sur le fonctionnement des produits antivirus et de sécurité de contenu. Control Manager collecte des journaux de tous les produits gérés. Vous n'avez plus à vérifier le journal de chaque produit. Architecture de Control Manager Trend Micro Control Manager permet de contrôler les produits et services Trend Micro depuis un point central. Cette application simplifie la gestion de la stratégie d'une entreprise en matière de lutte contre les virus/programmes malveillants et de sécurité du contenu. Le tableau suivant fournit une liste des composants utilisés par Control Manager. A-5

226 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration TABLEAU A-2. Composants de Control Manager COMPOSANT Serveur Control Manager DESCRIPTION Sert de référentiel pour toutes les données collectées par les agents. Il peut s agir d un serveur Standard ou Advanced. Les fonctions d'un serveur Control Manager sont les suivantes : Une base de données SQL qui stocke les configurations et les journaux des produits gérés. Control Manager stocke dans la base de données Microsoft SQL Server (db_controlmanager.mdf) les données des journaux, la programmation des communicateurs, les informations sur les produits gérés et les serveurs enfants, ainsi que les paramètres des comptes utilisateurs, de l environnement réseau et des notifications. Un serveur Web qui héberge la console Web de Control Manager. Un serveur de messagerie qui envoie des notifications d'événement par courrier électronique. Control Manager peut envoyer des notifications à des individus ou à des groupes de destinataires pour leur signaler des événements qui se produisent sur le réseau Control Manager. Configurez le Centre d'événements pour envoyer des notifications par courrier électronique, le journal des événements Windows, MSN Messenger, SNMP, Syslog, un pageur ou toute autre application développée en interne ou largement répandue dans l industrie, que votre entreprise a adoptée pour envoyer des notifications. Un serveur de rapports, présent uniquement dans la version Advanced Edition, qui génère des rapports sur les produits antivirus et de sécurité de contenu. Un rapport Control Manager est un ensemble de données chiffrées collectées sur le réseau qui sont liées aux événements impliqués dans la protection antivirus et la sécurité de contenu sur le réseau Control Manager. A-6

227 Présentation de Trend Micro Control Manager COMPOSANT Trend Micro Management Communication Protocol (MCP) Trend Micro Management Infrastructure Agents Control Manager 2.x DESCRIPTION MCP gère les interactions entre le serveur Control Manager et les produits gérés qui prennent en charge les agents MCP de la dernière génération. MCP constitue la nouvelle épine dorsale du système Control Manager. Les agents MCP sont installés en même temps que les produits gérés et communiquent en mode unidirectionnel ou bidirectionnel avec Control Manager. Les agents MCP demandent des instructions et des mises à jour à Control Manager. Gère les interactions du serveur Control Manager avec les produits gérés antérieurs. Le communicateur ou le module Message Routing Framework correspond à la dorsale de communication de l'ancien système Control Manager. Il s'agit d un composant de TMI (Trend Micro Management Infrastructure). Les communicateurs gèrent toutes les communications entre le serveur Control Manager et les produits gérés plus anciens. Ils interagissent avec les agents Control Manager 2.x pour communiquer avec les produits gérés plus anciens. Un agent reçoit des commandes du serveur Control Manager et lui renvoie des informations d état et des journaux. L agent Control Manager est une application installée sur un serveur de produits gérés qui permet à Control Manager de gérer le produit auquel il est associé. Les agents interagissent avec le produit géré et le communicateur. Un agent sert de «pont» entre un produit géré et le communicateur. Vous devez donc installer les agents sur le même ordinateur que les produits gérés. A-7

228 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration COMPOSANT Console d'administration à interface Web Infrastructure de widgets DESCRIPTION Elle permet à un administrateur de gérer Control Manager depuis pratiquement n'importe quel ordinateur disposant d'une connexion Internet et du navigateur Windows Internet Explorer La console d'administration de Control Manager est une console à interface Web publiée sur Internet via Microsoft Internet Information Server (IIS) et hébergée par le serveur Control Manager. Elle vous permet d'administrer le réseau Control Manager à l'aide d'un navigateur Web compatible à partir de n'importe quel ordinateur. Permet à l'administrateur de créer un tableau de bord personnalisé afin de surveiller le réseau Control Manager. Enregistrement d'endpoint Encryption sur Control Manager Avant d'enregistrer le serveur Endpoint Encryption sur un serveur Control Manager, vous devez vous assurer que ce serveur et le serveur Control Manager appartiennent au même segment de réseau. Procédure 1. Cliquez sur Administration > Paramètres de Control Manager. Remarque Control Manager utilise le nom spécifié dans le champ Nom d'hôte pour identifier le serveur Endpoint Encryption. Le nom d'hôte s'affiche dans le répertoire Produit de Control Manager. L'écran Paramètres de Control Manager s'affiche. 2. Sous Paramètres de connexion, tapez le nom du serveur Endpoint Encryption dans le champ Nom d'affichage de l'entité. A-8

229 Présentation de Trend Micro Control Manager 3. Sous Paramètres du serveur Control Manager, spécifiez les éléments suivants : a. Entrez l'adresse IP du serveur Control Manager ou le nom d'hôte dans le champ Nom de domaine complet (FQDN) du serveur ou Adresse IP. b. Entrez le numéro de port utilisé par l'agent MCP pour communiquer avec Control Manager. c. Si la sécurité de Control Manager est réglée sur moyenne (les communications HTTPS et HTTP sont autorisées entre Control Manager et l'agent MCP des produits gérés), sélectionnez Connecter via HTTPS. d. Si votre réseau nécessite une authentification, entrez le nom d'utilisateur et le mot de passe de votre serveur IIS dans les champs Nom d'utilisateur et Mot de passe. e. Si vous utilisez un périphérique NAT, sélectionnez Autoriser la transmission du port de la communication à double-sens et entrez l'adresse IP et le numéro de port du périphérique NAT dans Adresse IP et numéro de port. Reportez-vous au Manuel de l'administrateur de Trend Micro Control Manager pour plus d'informations sur la gestion des produits dans Control Manager. 4. Dans la console d'administration de Control Manager, cliquez sur Produits. L écran Répertoire Produits apparaît. 5. Le serveur Endpoint Encryption s'affiche dans l'arborescence du répertoire Produits. Définition des accès utilisateur Le contrôle des accès de Control Manager comporte les quatre sections suivantes : A-9

230 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration TABLEAU A-3. Options d'accès des utilisateurs de Control Manager SECTION DESCRIPTION Mon compte Comptes utilisateurs L'écran Mon compte contient toutes les informations dont dispose Control Manager sur le compte d'un utilisateur spécifique. Les informations de l'écran Mon compte varient selon l'utilisateur. L'écran Comptes utilisateurs affiche tous les utilisateurs de Control Manager. Cet écran offre également les options permettant aux utilisateurs de créer et gérer des comptes utilisateurs de Control Manager. Utilisez ces fonctions pour définir des domaines de responsabilités clairs pour les utilisateurs, en limitant leurs droits d'accès à certains produits gérés ainsi que les actions qu'ils peuvent effectuer sur les produits gérés. Les fonctions sont les suivantes : Exécuter Configurer Modifier le répertoire Rôles utilisateurs L'écran Rôles d'utilisateurs affiche tous les rôles d'utilisateurs de Control Manager. Cet écran offre également les options permettant aux utilisateurs de créer et gérer des rôles d'utilisateurs de Control Manager. Les rôles d'utilisateurs définissent les zones de la console Web de Control Manager auxquelles un utilisateur a accès. A-10

231 Présentation de Trend Micro Control Manager SECTION Groupes d'utilisateurs DESCRIPTION L'écran Comptes de groupe contient les groupes de Control Manager et permet la création de groupes. Control Manager utilise les groupes afin de permettre l'envoi groupé de notifications à plusieurs utilisateurs. Les groupes de Control Manager ne permettent pas aux administrateurs de créer un groupe partageant les mêmes droits d'accès. Remarque Attribuez aux utilisateurs différents droits d'accès et privilèges pour déléguer certaines tâches de gestion sans compromettre la sécurité. Accès utilisateur à Control Manager avec accès utilisateur à Endpoint Encryption L'accès utilisateur à Endpoint Encryption est semblable à l'accès utilisateur à Control Manager. Les administrateurs peuvent contrôler les parties de la console Web d'endpoint Encryption auxquelles les utilisateurs peuvent accéder (Utilisateur expérimenté, Opérateur ou Administrateur). Tous les comptes d'utilisateurs créés dans Control Manager disposent d'un accès administrateur à tous les produits générés auxquels l'utilisateur a accès. Cela crée un problème si un administrateur souhaite restreindre l'accès d'un utilisateur en Utilisateur expérimenté sur le serveur Endpoint Encryption, tout en autorisant l'accès à Control Manager. Battement de cœur MCP Pour surveiller l état des produits gérés, les agents MCP interrogent Control Manager selon une programmation définie. L interrogation permet d indiquer l état du produit géré et de vérifier si Control Manager a émis des commandes à destination du produit géré. La console Web de Control Manager présente ensuite l'état du produit. En d autres A-11

232 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration termes, l état du produit ne reflète pas l état du réseau en temps réel. Control Manager vérifie l état de chaque produit géré de façon séquentielle et en arrière-plan, et définit l'état sur «hors ligne» lorsqu un délai fixé s écoule sans qu un battement de cœur ne soit reçu du produit géré. Outre les battements de cœur, il existe d autres moyens pour Control Manager de déterminer l état des produits gérés, Les éléments suivants fournissent également à Control Manager l'état du produit géré : Control Manager reçoit les journaux des produits gérés. Le simple fait que Control Manager reçoive ces journaux indique que les produits gérés correspondants fonctionnent. En mode de communication bidirectionnel, Control Manager envoie un message de notification afin d obliger le produit géré à récupérer la commande en attente. Si le serveur parvient à se connecter au produit géré, cela indique que ce dernier fonctionne correctement et l événement est considéré comme un battement de cœur. En mode de communication unidirectionnel, l agent MCP envoie régulièrement des commandes de requête à Control Manager. Ce comportement périodique fonctionne de la même manière qu un battement de cœur et est considéré comme tel par Control Manager. Les battements de cœur MCP sont envoyés de deux manières : UDP : si le produit parvient à contacter le serveur via le protocole UDP, cette solution est la plus légère et la plus rapide. Toutefois, elle ne fonctionne pas dans les environnements NAT ou dotés de pare-feu. De plus, le client émetteur ne peut vérifier que le serveur reçoit bien la requête. HTTP/HTTPS : dans un environnement NAT ou doté d un pare-feu, une connexion HTTP plus lourde peut être utilisée pour transférer le battement de cœur. Control Manager prend en charge les protocoles UDP et HTTP/HTTPS pour acheminer les battements de cœur. Le serveur Control Manager détecte le mode applicable au produit géré au cours du processus d enregistrement. Un protocole de transfert distinct a lieu entre les deux parties en vue de déterminer le mode adéquat. A-12

233 Présentation de Trend Micro Control Manager Outre les battements de cœur indiquant l état du produit géré, celui-ci transmet d autres données à Control Manager. Ces données contiennent généralement des informations concernant l activité du produit géré à afficher sur la console. Utilisation de la barre de programmation La barre de programmation qui figure dans l'écran Programmation de la communication des agents permet d'afficher et de définir les programmations des communicateurs. Cette barre comporte 24 intervalles, représentant les heures de la journée. Les intervalles comportant des icônes d'horloge indiquent un état actif ou les heures pendant lesquelles l'agent/le communicateur envoie des informations au serveur Control Manager. Les intervalles blancs indiquent les périodes inactives. Pour définir les heures d activité et d inactivité, il vous suffit de changer les intervalles appropriés en cliquant dessus. Vous ne pouvez définir que trois périodes d inactivité consécutives au maximum. La barre de programmation ci-dessous n indique que deux heures d inactivité : FIGURE A-1. Barre de programmation Les périodes d'activité indiquées vont de minuit à 7:00, de 8:00 à 16:00:00 et de 18:00 à minuit. Définition d'une programmation de communication des agents pour un produit géré Procédure 1. Ouvrez la console Control Manager. 2. Accédez à Administration > Paramètres > Programmation de communication des agents. A-13

234 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration L'écran Programmation de la communication des agents apparaît. 3. Sélectionnez la programmation du produit géré à modifier. L'écran Définir la programmation d'un communicateur apparaît. 4. Définissez la programmation. Indiquez une nouvelle heure ou choisissez le paramètre par défaut : Pour modifier ce paramètre, changez les intervalles appropriés dans la barre de programmation, puis cliquez sur Enregistrer. Pour utiliser le paramètre par défaut, revenez sur l'écran Programmation de la communication des agents. Sélectionnez la programmation à appliquer et cliquez sur Réinitialiser la programmation par défaut Définition du battement de cœur approprié Lorsque vous définissez la fréquence du battement de cœur, choisissez une valeur qui vous permette d'afficher l'état le plus récent du produit géré tout en gérant les ressources système dans les meilleurs délais. Les paramètres par défaut conviennent à la plupart des situations. Toutefois, si vous devez personnaliser cette configuration, tenez compte des points suivants : A-14

235 Présentation de Trend Micro Control Manager TABLEAU A-4. Battements de cœur recommandés FRÉQUENCE DES BATTEMENTS DE CŒUR Battements de cœur à intervalle long (supérieur à 60 minutes) Battements de cœur à intervalle court (inférieur à 60 minutes) RECOMMANDATION Plus l'intervalle est grand entre les battements de cœur, plus le nombre d'événements susceptibles de se produire avant que Control Manager reflète l'état du communicateur dans la console Web de Control Manager peut être important. Par exemple, si un problème de connexion avec un communicateur est résolu entre deux battements de cœur, les échanges de données avec ce communicateur redeviennent possibles même si la console indique que son état est «Inactif» ou «Anormal». Les intervalles courts permettent d obtenir un cliché plus d actualité de l état du réseau au niveau du serveur Control Manager. En revanche, cela demande une plus forte sollicitation de la bande passante. Configuration du battement de cœur du communicateur/de l'agent L'écran Délai d'attente de communication permet de définir la fréquence et le temps de retard maximum (en minutes) des communications entre le serveur Control Manager et l'agent de communication. Remarque Ces paramètres ne s'appliquent qu'aux communicateurs des produits gérés directement contrôlés par le serveur Control Manager. Les communicateurs des serveurs Control Manager enfants utilisent des valeurs prédéfinies : Fréquence : 3 minutes Retard maximum : 5 minutes A-15

236 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Procédure 1. Ouvrez la console Control Manager. 2. Accédez à Administration > Paramètres > Paramètres du délai d'attente de communication. L'écran Paramètres du délai d'attente de communication apparaît. 3. Dans la zone de travail, conservez les valeurs par défaut ou définissez-en de nouvelles pour les paramètres suivants : Notifier sur l'état du produit géré toutes les : Définit la fréquence à laquelle le produit géré répond aux messages du serveur Control Manager. Les valeurs valides doivent être comprises entre 5 et 480 minutes. En l'absence de communication, définir l'état comme anormal après : Indique la durée pendant laquelle Control Manager attend une réponse du produit géré avant que la console Web ne passe à l'état «Inactif». Les valeurs valides doivent être comprises entre 15 et 1440 minutes. Remarque La valeur du champ En l'absence de communication, définir l'état comme anormal après doit faire au moins trois fois la valeur du champ Notifier sur l état du produit géré toutes les. 4. Cliquez sur Enregistrer. A-16

237 Présentation de Trend Micro Control Manager Définition du répertoire Produits Un produit géré est un produit antivirus ou de sécurité de contenu ou un produit de protection Web présent dans le répertoire Produits. Les produits gérés sont représentés par des icônes (par exemple, ( ) ou ( )) dans la section Répertoire Produits de la console Web de Control Manager. Ces icônes représentent les produits antivirus, de sécurité de contenu et de protection Web développés par Trend Micro. Control Manager prend en charge les icônes dynamiques dont la représentation change en fonction de l état des produits gérés. Pour plus d'informations sur les icônes et les états de votre produit géré, consultez la documentation correspondante. Vous pouvez administrer indirectement les produits gérés, individuellement ou par groupe, à partir du répertoire Produits. Le tableau suivant présente les éléments de menu et les boutons de l'écran Répertoire Produits. TABLEAU A-5. Options du répertoire Produits Recherche avancée Configurer ÉLÉMENT DE MENU DESCRIPTION Cliquez sur cet élément de menu pour spécifier des critères de recherche afin d'effectuer une recherche d'un ou plusieurs produits gérés. Après avoir sélectionné un produit géré/ répertoire, déplacez le curseur sur cet élément de menu et sélectionnez une tâche pour vous connecter à une console Web à l'aide de SSO ou pour configurer un produit géré. A-17

238 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration ÉLÉMENT DE MENU DESCRIPTION Tâches Gestionnaire des répertoires Après avoir sélectionné un produit géré/ répertoire, déplacez le curseur sur cet élément de menu et sélectionnez une tâche pour exécuter une fonction spécifique (telle que le déploiement des derniers composants) sur un produit géré ou un serveur enfant spécifique, ou sur des groupes de produits gérés ou de serveurs enfants. Le lancement d'une tâche depuis un répertoire entraîne l'envoi par Control Manager de requêtes à tous les produits gérés appartenant à ce répertoire. Cliquez sur ce bouton pour ouvrir l'écran Gestionnaire des répertoires. Depuis l'écran, déplacez les entités/répertoires (en procédant à des glisser/déplacer) ou créez de nouveaux répertoires. Boutons Rechercher État Dossier Cliquez sur ce bouton après avoir sélectionné le nom d'un produit géré afin d'effectuer une recherche du produit géré spécifié. Cliquez sur ce bouton après avoir sélectionné un produit géré/répertoire afin d'obtenir des résumés d'état sur le produit géré ou les produits gérés contenus dans le répertoire. Cliquez sur ce bouton après avoir sélectionné un répertoire afin d'obtenir des résumés d'état sur les produits gérés et leurs points finaux contenus dans le répertoire. A-18

239 Présentation de Trend Micro Control Manager Remarque Le serveur Control Manager parent ne peut pas envoyer de tâches aux produits gérés appartenant à des serveurs Control Manager enfants. Recommandations relatives à l'arborescence du répertoire Produits Trend Micro recommande les considérations suivantes pour l'élaboration de l'arborescence du répertoire Produits pour les produits gérés et les serveurs enfants : TABLEAU A-6. Éléments à prendre en compte pour regrouper des produits gérés ou des serveurs enfants STRUCTURE Réseau et stratégies de sécurité de l entreprise Organisation et fonction Emplacement géographique DESCRIPTION Si des droits d accès et de partage différents s appliquent au réseau de l entreprise, regroupez les produits gérés et les serveurs enfants en fonction du réseau et des stratégies de sécurité de l entreprise. Regroupez les produits gérés et les serveurs enfants en fonction de la structure organisationnelle et fonctionnelle de l entreprise. Par exemple, définissez deux serveurs Control Manager pour gérer les groupes de production et de test. Utilisez l emplacement géographique comme critère de regroupement si l emplacement des produits gérés et des serveurs enfants a un impact sur la communication entre le serveur Control Manager et ses produits gérés ou ses serveurs enfants. A-19

240 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration STRUCTURE Responsabilité administrative DESCRIPTION Regroupez les produits gérés et les serveurs enfants en fonction du système ou du personnel de sécurité qui lui est affecté. Cela permet une configuration de groupes. Le répertoire Produits fournit un regroupement des produits gérés spécifié par l'utilisateur qui vous permet d'effectuer ce qui suit pour administrer les produits gérés : Configuration des produits gérés Déclencher un scan immédiat sur un produit (si cette commande est prise en charge) Afficher des informations sur un produit et sur son environnement d'exploitation (par exemple, la version du produit, les versions du fichier de signatures de virus et du moteur de scan, des informations sur le système d'exploitation, etc.) Afficher des journaux de produit Déployer des mises à jour de fichier de signatures de virus, de moteur de scan, de règles anti-pourriel et de programme Élaborez cette structure avec soin car elle a un impact direct sur les éléments suivants : TABLEAU A-7. Éléments à prendre en compte pour la structure ÉLÉMENT À PRENDRE EN COMPTE Accès des utilisateurs EFFET Lorsque vous créez un compte utilisateur, Control Manager vous demande le segment du répertoire Produits auquel l utilisateur a accès. Par exemple, si vous attribuez l'accès au segment racine à un utilisateur, ce dernier a accès à l'ensemble du répertoire. Limitez l accès de l utilisateur à un produit géré donné en lui attribuant uniquement les droits correspondants. A-20

241 Présentation de Trend Micro Control Manager ÉLÉMENT À PRENDRE EN COMPTE Planification du déploiement Déploiement d une stratégie de prévention des épidémies (OPP) et d un modèle Damage Cleanup (DCT) EFFET Control Manager déploie des composants de mise à jour (par exemple, des fichiers de signatures de virus, des moteurs de scan, des règles anti-pourriel, des mises à jour de programme) sur des produits conformément à des plans de déploiement. Ces plans s appliquent à des dossiers du répertoire Produits et non séparément à chaque produit. Un répertoire bien structuré simplifie donc la définition des destinataires. Les déploiements de la stratégie de prévention des épidémies et du modèle Damage Cleanup reposent sur des plans de déploiement pour distribuer efficacement des tâches de stratégie de prévention des épidémies et de nettoyage. L écran suivant illustre un exemple de répertoire Produits : A-21

242 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Les produits gérés identifient le produit antivirus ou de sécurité de contenu enregistrés et indiquent l état de connexion. Remarque Tous les produits gérés nouvellement enregistrés apparaissent généralement dans le dossier Nouvelle entité, quel que soit le type d'agent. TABLEAU A-8. Icônes des produits gérés ICÔNE DESCRIPTION InterScan emanager OfficeScan Corporate Edition Serveur d'informations ServerProtect Domaine ServerProtect ServerProtect for Windows (serveur normal) A-22

243 Présentation de Trend Micro Control Manager ICÔNE DESCRIPTION ServerProtect for NetWare (serveur normal) InterScan Messaging Security Suite InterScan Web Security Suite InterScan VirusWall for Windows InterScan VirusWall for UNIX ScanMail for Microsoft Exchange ScanMail for Lotus Notes Network VirusWall Pare-feu NetScreen-Global PRO Icône d état de la connexion des produits gérés Organisez le répertoire Produits à l aide du Gestionnaire de répertoires. Utilisez des noms de dossier descriptifs et regroupez les produits gérés en fonction de leur type de protection ou du modèle d administration de réseau Control Manager. Accès au répertoire Produits Le répertoire Produits permet d administrer les produits gérés enregistrés sur le serveur Control Manager. Remarque L'affichage des dossiers et leur accès dans le répertoire Produits dépend du type de compte et des droits d'accès du compte utilisateur. Procédure Cliquez sur Produits dans le menu principal. A-23

244 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration L écran Répertoire Produits apparaît. Déploiement manuel des composants à l'aide du répertoire Produits Les déploiements manuels permettent de mettre à jour les signatures de virus, les règles anti-pourriel et les moteurs de scan sur demande pour vos produits gérés. Utilisez cette méthode de mise à jour des composants lors des épidémies virales. Téléchargez les nouveaux composants avant de déployer les mises à jour sur un produit géré précis ou sur des groupes de produits gérés. Procédure 1. Cliquez sur Produits dans le menu principal. L écran Répertoire Produits apparaît. 2. Sélectionnez un produit géré ou un répertoire depuis le répertoire Produits. Le produit géré ou répertoire se met en surbrillance. 3. A-24 Déplacez le curseur sur Tâches dans le menu Répertoire produits.

245 Présentation de Trend Micro Control Manager 4. Sélectionnez Déployer <composant> depuis le menu déroulant. 5. Cliquez sur Déployer maintenant pour lancer le déploiement manuel des nouveaux composants. 6. Surveillez la progression dans l écran Suivi des commandes. 7. Cliquez sur le lien Détails sur la commande dans l'écran Suivi des commandes pour afficher des informations détaillées sur la tâche Déploiement maintenant. Affichage des résumés d état des produits gérés L écran État produit affiche les résumés d antivirus, de sécurité de contenu et de sécurité Web pour tous les produits gérés présents dans l arborescence du répertoire Produits. Il existe deux façons d afficher le résumé de l état des produits gérés : Via le Tableau de bord en utilisant le widget Résultats de la détection de menaces (accessible dans l'onglet Résumé) Via le répertoire Produits Accès au Tableau de bord Procédure À l'ouverture de la console Web de Control Manager, l'onglet Résumé affiche le résumé de l'ensemble du réseau Control Manager. Ce résumé est identique à celui que fournit l onglet État produit dans le dossier racine du répertoire Produits. Accès via le répertoire Produits Procédure 1. Cliquez sur Produits dans le menu principal. L écran Répertoire Produits apparaît. A-25

246 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration 2. Dans l'arborescence du répertoire Produits, sélectionnez le dossier ou le produit géré voulu. Si vous cliquez sur un produit géré, l'onglet État produit affiche le résumé du produit en question. Si vous cliquez sur le dossier racine, Nouvelle entité ou sur tout dossier défini par l'utilisateur, l'onglet État produit affiche les résumés Antivirus, Sécurité de contenu et Sécurité Web. Remarque Par défaut, l onglet Résumé de l état affiche les informations correspondant à une semaine, jusqu à la date de votre requête. Vous pouvez néanmoins modifier cette étendue en choisissant Aujourd'hui, La semaine dernière, Les deux dernières semaines ou Le dernier mois dans la liste Afficher le résumé pour. Configuration des produits gérés En fonction de la version du produit et de l'agent, vous pouvez configurer le produit géré depuis la console Web du produit géré ou via une console générée par Control Manager. Procédure 1. Cliquez sur Produits dans le menu principal. L écran Répertoire Produits apparaît. 2. Sélectionnez le produit géré souhaité depuis l'arborescence du répertoire Produits. L'état du produit apparaît dans la partie droite de l'écran. 3. Déplacez le curseur sur Configurer dans le menu Répertoire Produits. 4. Choisissez l'une des options suivantes : Réplication de configuration : L'écran Paramètres de configuration apparaît. A-26

247 Présentation de Trend Micro Control Manager a. Sélectionnez le dossier vers lequel répliquer les paramètres du produit géré sélectionné depuis l'arborescence du répertoire Produits. b. Cliquez sur Répliquer. Les paramètres du produit géré sélectionné sont répliqués vers les produits gérés cibles. <Nom Produit Géré> Signature unique : La console Web du produit géré ou la console générée par Control Manager apparaît. a. Configurez le produit géré depuis la console Web. Remarque Pour obtenir plus d informations sur la configuration d un produit géré, consultez la documentation du produit géré. Exécution de tâches sur des produits gérés L élément de menu Tâches vous permet d exécuter des actions sur un produit géré donné. Selon le produit géré, l'une ou plusieurs des tâches suivantes sont disponibles : Déployer les moteurs Déployer les fichiers de signatures/modèles Damage Cleanup Déployer les fichiers programme Activer ou désactiver le scan en temps réel Démarrer le scan immédiat Déployez les règles anti-pourriel, les signatures ou le moteur de scan les plus récents sur les produits gérés contenant des composants obsolètes. Pour que cette opération réussisse, le serveur Control Manager doit posséder les derniers composants en date issus de Trend Micro ActiveUpdate Server. Procédez manuellement au téléchargement de façon à vous assurer que les derniers composants en date figurent déjà sur le serveur Control Manager. A-27

248 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Procédure 1. Cliquez sur Produits dans le menu principal. L écran Répertoire Produits apparaît. 2. Sélectionnez le produit géré ou le répertoire pour exécuter une tâche. 3. Déplacez le curseur sur Tâches. 4. Cliquez sur une tâche dans la liste. Contrôlez la progression via le suivi des commandes. Cliquez sur le lien Détails sur la commande de l écran de réponse pour afficher les informations relatives à la commande. Interrogation et affichage des journaux des produits gérés L'onglet Journaux vous permet d'interroger et d'afficher les journaux d'un groupe de produits gérés ou d'un produit précis. Procédure 1. Cliquez sur Produits dans le menu principal. L écran Répertoire Produits apparaît. 2. Sélectionnez le produit géré ou dossier souhaité depuis le répertoire Produits. 3. Déplacez le curseur sur Journaux dans le menu Répertoire Produits. 4. Cliquez sur Journaux depuis le menu déroulant. L'écran Requête ad hoc > Étape 2 : Sélection de l'affichage de données s'affiche. A-28

249 Présentation de Trend Micro Control Manager 5. Spécifiez l'affichage des données pour le journal : a. Sélectionnez les données objets de la requête depuis la zone Affichages de données disponibles. b. Cliquez sur Suivant. L'écran Requête ad hoc > Étape 3 : Critères de recherche apparaît. 6. Spécifiez les données devant apparaître dans le journal et l'ordre dans lequel les données doivent apparaître. Les éléments apparaissant en haut de la liste Champs sélectionnés apparaissent dans la colonne située à l'extrême gauche du tableau. Le fait de supprimer un champ de la liste Champs sélectionnés supprime la colonne correspondante du tableau renvoyé par la requête ad hoc. A-29

250 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration a. Cliquez sur Modifier l'affichage de colonne. L'écran Sélectionner la séquence d'affichage apparaît. b. Sélectionnez une colonne de requête depuis la liste Champs disponibles. Sélectionnez plusieurs éléments à l'aide de la touche Maj ou Ctrl. c. Cliquez sur > pour ajouter des éléments à la liste Champs sélectionnés. d. Spécifiez l'ordre dans lequel les données doivent s'afficher en sélectionnant l'élément et en cliquant sur Monter ou Descendre. e. Cliquez sur Précédent lorsque la séquence correspond à vos besoins. 7. Spécifiez les critères de filtrage pour les données : Remarque Lors d'une requête de données de résumé, les utilisateurs doivent spécifier les éléments dans Critères requis. Critères requis : Spécifiez une heure de résumé pour les données ou si vous souhaitez que les COOKIES apparaissent dans vos rapports. Critères personnalisés : a. Spécifiez les règles de filtrage des critères pour les catégories de données : A-30

251 Présentation de Trend Micro Control Manager Tous les critères : cette sélection est équivalente à une fonction logique AND. Les données apparaissant dans le rapport doivent correspondre à tous les critères de filtrage. L'un des critères : cette sélection est équivalente à une fonction logique OR. Les données apparaissant dans le rapport doivent correspondre à l'un des critères de filtrage. b. Spécifiez les critères de filtrage pour les données : Control Manager prend en charge jusqu'à 20 critères pour le filtrage des données. Conseil 8. Pour enregistrer la requête : Si vous ne spécifiez aucun critère de filtrage, la requête ad hoc renvoie tous les résultats pour les colonnes concernées. Trend Micro recommande de spécifier des critères de filtrage pour simplifier l'analyse des données après le renvoi des informations par la requête. a. Cliquez sur Enregistrer cette requête dans la liste des requêtes ad hoc enregistrées. b. Saisissez un nom pour la requête enregistrée dans le champ Nom de la requête. 9. Cliquez sur Requête. L'écran Résultats apparaît. 10. Enregistrez le rapport dans un fichier CSV : a. Cliquez sur Exporter vers fichier CSV. b. Cliquez sur Télécharger. c. Spécifiez l'emplacement dans lequel enregistrer le fichier. d. Cliquez sur Enregistrer. 11. Enregistrez le rapport dans un fichier XML : a. Cliquez sur Exporter vers fichier XML. A-31

252 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration b. Cliquez sur Télécharger. c. Spécifiez l'emplacement dans lequel enregistrer le fichier. d. Cliquez sur Enregistrer. Conseil Pour afficher davantage de résultats sur un écran unique, sélectionnez une valeur différente dans Rangées par page. Un écran unique peut afficher 10, 15, 30 ou 50 résultats de requête par page. 12. Enregistrez les paramètres de la requête : a. Cliquez sur Enregistrer les paramètres de requête. b. Saisissez un nom pour la requête enregistrée dans le champ Nom de la requête. c. Cliquez sur OK. La requête enregistrée apparaît dans l'écran Requêtes ad hoc enregistrées. À propos de la restauration de produits gérés supprimés du répertoire Produits Les cas de figure suivants peuvent entraîner la suppression de certains produits gérés du répertoire Produits : Réinstallation du serveur Control Manager et sélection de l option Supprimer les enregistrements existants et créer une nouvelle base de données Cette option entraîne la création d une nouvelle base de données portant le nom de la base existante. Remplacement d'une base de données Control Manager endommagée par une autre base de données du même nom Suppression accidentelle du produit géré dans le Gestionnaire de répertoires Lorsque les enregistrements des produits gérés d'un serveur Control Manager sont perdus, les agents TMI conservent ces informations et «savent» par conséquent où elles A-32

253 Présentation de Trend Micro Control Manager sont enregistrées. L agent Control Manager se réenregistre automatiquement au bout de 8 heures ou au redémarrage du service. Les agents MCP ne se réenregistrent pas automatiquement. Les administrateurs doivent réenregistrer manuellement les produits utilisant des agents MCP. Restauration de produits gérés supprimés du répertoire Produits Procédure Redémarrez le service Trend Micro Control Manager sur le serveur des produits gérés. Pour plus d informations, consultez la section Arrêt et redémarrage des services Control Manager à la page A-33. Attendez que l agent se réenregistre : Par défaut, les anciens agents Control Manager vérifient leur connexion au serveur toutes les huit (8) heures. S il détecte que son enregistrement a été supprimé, il se réenregistre automatiquement. Procédez à un réenregistrement manuel sur Control Manager : Les agents MCP ne se réenregistrent pas automatiquement et doivent être réenregistrés manuellement sur le serveur Control Manager. Arrêt et redémarrage des services Control Manager L écran Services Windows permet de redémarrer n'importe lequel des services Control Manager suivants : Trend Micro Management Infrastructure Trend Micro Common CGI Trend Micro Control Manager Remarque Il s'agit des services exécutés en arrière-plan dans le système d'exploitation Windows, non pas des services Trend Micro qui nécessitent des codes d'activation (par exemple, Outbreak Prevention Services). A-33

254 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Procédure 1. Cliquez sur Démarrer > Programmes > Outils d'administration > Services pour ouvrir l'écran Services. 2. Cliquez avec le bouton droit de la souris sur <Service Control Manager>, puis cliquez sur Arrêter. 3. Cliquez avec le bouton droit de la souris sur <Service Control Manager>, puis cliquez sur Démarrer. Recherche de produits gérés, de dossiers du répertoire Produits ou d'ordinateurs Utilisez le bouton Rechercher pour localiser rapidement un produit géré donné dans le répertoire Produits. Recherche d'un dossier ou d'un produit géré Procédure 1. Accédez au répertoire Produits. 2. Saisissez le nom d'affichage du produit géré dans le champ Chercher entité. 3. Cliquez sur Rechercher. Effectuer une recherche avancée Procédure 1. Accédez au répertoire Produits. 2. Cliquez sur Recherche avancée. L écran Recherche avancée apparaît. A-34

255 Présentation de Trend Micro Control Manager 3. Spécifiez vos critères de filtrage pour le produit. Control Manager prend en charge jusqu'à 20 critères de filtrage pour les recherches. 4. Cliquez sur Rechercher pour lancer la recherche. Les résultats de la recherche apparaissent dans le dossier Résultat de la recherche du répertoire Produits. Actualisation du répertoire Produits Procédure Dans l'écran Répertoire Produits, cliquez sur l icône Actualiser dans le coin supérieur droit de l'écran. Définition de l'écran Gestionnaire des répertoires Une fois l enregistrement sur Control Manager effectué, le produit géré apparaît dans le dossier par défaut du répertoire Produits. Utilisez l'écran Gestionnaire de répertoires pour personnaliser la structure du répertoire Produits en fonction de vos besoins d'administration. Vous pouvez ainsi regrouper les produits par emplacement ou type de produit (sécurité de messagerie, sécurité Web, protection du stockage des fichiers). Le gestionnaire de répertoires permet de créer, modifier ou supprimer des dossiers, et de déplacer des produits gérés d'un dossier vers un autre. Il est toutefois impossible de supprimer ou de renommer le dossier Nouvelle entité. A-35

256 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Organisez soigneusement les produits gérés appartenant à chaque dossier. Tenez compte des facteurs suivants lors de la planification et de l implémentation de la structure des dossiers et des produits gérés : Répertoire Produits Comptes utilisateurs Plans de déploiement Requête ad hoc Rapports Control Manager Regroupez des produits gérés selon des critères géographiques, administratifs ou spécifiques de ces produits. Le tableau suivant indique les types de regroupement recommandés avec leurs avantages et leurs inconvénients. Il présente également les différents droits d'accès aux produits gérés ou aux dossiers dans le répertoire. TABLEAU A-9. Comparaison des groupes de produits TYPE DE REGROUPEMENT AVANTAGES INCONVÉNIENTS Géographique ou administratif Type de produit Combinaison des deux Structure claire Configuration de groupe et état disponible Configuration de groupes et gestion des droits d accès Aucune configuration de groupe pour des produits identiques Incompatibilité possible des droits d accès Structure complexe, risque d être difficile à gérer Utilisation des options de l'écran Gestionnaire de répertoires Ces options vous permettent de manipuler et d organiser les produits gérés de votre réseau Control Manager. L'écran Gestionnaire de répertoires propose plusieurs options : Ajouter des répertoires au répertoire Produits A-36

257 Présentation de Trend Micro Control Manager Renommer des répertoires dans le répertoire Produits Déplacer des produits gérés ou des répertoires dans le répertoire Produits Supprimer des produits gérés ou des répertoires du répertoire Produits Remarque La case à cocher de maintien des autorisations permet à un dossier de conserver son autorisation source lorsqu'il est déplacé. Utilisation de l'écran Gestionnaire des répertoires Procédure Sélectionnez un produit géré ou un répertoire et cliquez sur Renommer pour renommer un produit géré ou un répertoire. Cliquez sur le signe + ou sur un dossier pour afficher les produits gérés appartenant à ce dossier. Utilisez la fonction de glisser-déplacer pour déplacer les produits gérés ou les répertoires vers le répertoire Produits Cliquez sur Ajouter dossier pour ajouter un répertoire au répertoire Produits Accès à l'écran Gestionnaire des répertoires Utilisez l'écran Gestion des répertoires pour regrouper les produits gérés. Procédure 1. Cliquez sur Produits dans le menu principal. L écran Répertoire Produits apparaît. A-37

258 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration 2. Cliquez sur Gestionnaire des répertoires depuis le menu Répertoire Produits. L'écran Gestion des répertoires apparaît. Création de dossiers Vous pouvez regrouper des produits gérés dans différents dossiers, en fonction des besoins du modèle d administration du réseau Control Manager en vigueur dans votre organisation. Procédure 1. Cliquez sur Produits dans le menu principal. L écran Répertoire Produits apparaît. 2. Cliquez sur Gestionnaire des répertoires depuis le menu Répertoire Produits. L'écran Gestion des répertoires apparaît. 3. Sélectionnez Dossier local. 4. Cliquez sur Ajouter dossier. L'écran Ajouter répertoire apparaît. A-38

259 Présentation de Trend Micro Control Manager 5. Saisissez un nom pour le nouveau répertoire dans le champ Nom du répertoire. 6. Cliquez sur Enregistrer. Remarque À l exception du dossier Nouvelle entité, Control Manager répertorie tous les dossiers par ordre croissant, en commençant par les caractères spéciaux (!, #, $, %, (, ), *, +, -, virgule, point, [, ], ^, _, {,, }, et ~), suivis des nombres (0 à 9), puis des caractères alphabétiques (a/a à z/z). Changement du nom d'un dossier ou d'un produit géré Vous pouvez renommer les répertoires et produits gérés depuis le gestionnaire de répertoires. Remarque Le fait de renommer un produit géré ne change que le nom stocké dans la base de données de Control Manager : cela n a aucune incidence sur le produit géré. Procédure 1. Cliquez sur Produits dans le menu principal. L écran Répertoire Produits apparaît. 2. Cliquez sur Gestionnaire des répertoires depuis le menu Répertoire Produits. L'écran Gestion des répertoires apparaît. 3. Sélectionnez le produit géré ou le répertoire à renommer. 4. Cliquez sur Renommer. L'écran Renommer le répertoire apparaît. 5. Saisissez un nom pour le produit géré ou le répertoire dans le champ Nom du répertoire. 6. Cliquez sur Enregistrer. A-39

260 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration 7. Cliquez sur OK. Le produit géré ou le répertoire s'affiche dans le répertoire Produits avec le nouveau nom. Déplacement d'un dossier ou d'un produit géré Lorsque vous déplacez des dossiers, portez une attention particulière à la case à cocher Maintenez les permissions d'accès de l'utilisateur en cours pour déplacer les produits gérés/dossiers. Si vous sélectionnez cette case à cocher et déplacez un produit géré ou un dossier, le produit géré ou le dossier conserve les permissions de son dossier source. Si vous désactivez la case à cocher de maintien des permissions, puis déplacez un produit géré ou un dossier, le produit géré ou le dossier récupère les permissions d'accès de son nouveau dossier parent. Procédure 1. Cliquez sur Produits dans le menu principal. L écran Répertoire Produits apparaît. 2. Cliquez sur Gestionnaire des répertoires depuis le menu Répertoire Produits. L'écran Gestion des répertoires apparaît. 3. Dans la zone de travail, sélectionnez le dossier ou le produit géré à déplacer. 4. Glissez le dossier ou le produit géré dans le nouvel emplacement cible. 5. Cliquez sur Enregistrer. Suppression d'un dossier défini par l'utilisateur Faites preuve de prudence lors de la suppression de dossiers définis par l'utilisateur dans l'écran Gestionnaire des répertoires. Vous risquez de supprimer accidentellement un produit géré, ce qui entraîne l'annulation de son enregistrement sur le serveur Control Manager. A-40

261 Présentation de Trend Micro Control Manager Remarque Il n'est pas possible de supprimer le dossier Nouvelle entité. Procédure 1. Cliquez sur Produits dans le menu principal. L écran Répertoire Produits apparaît. 2. Cliquez sur Gestionnaire des répertoires depuis le menu Répertoire Produits. L'écran Gestion des répertoires apparaît. 3. Sélectionnez le produit géré ou le répertoire à supprimer. 4. Cliquez sur Supprimer. Une fenêtre de confirmation apparaît. 5. Cliquez sur OK. 6. Cliquez sur Enregistrer. Téléchargement et déploiement de nouveaux composants Trend Micro recommande de mettre à jour les composants antivirus et de sécurité de contenu pour protéger le réseau des virus et des programmes malveillants les plus récents. Par défaut, Control Manager permet de ne télécharger que les composants appartenant à des produits gérés enregistrés sur le serveur Control Manager. Control Manager active le téléchargement du fichier de signatures de virus, même si aucun produit géré n'est enregistré sur le serveur Control Manager. Les composants suivants doivent être mis à jour (il sont classés dans l'ordre de priorité de mise à jour). A-41

262 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration TABLEAU A-10. Composants disponibles COMPOSANT fichiers de signatures/modèles Damage Cleanup Règles anti-spam Moteurs Programmes plug-in OfficeScan DESCRIPTION Un produit géré tire sa capacité à détecter et à éradiquer des infections malveillantes des fichiers de signatures et des modèles Damage Cleanup qui contiennent des centaines de signatures de programmes malveillants (par exemple, des virus ou des chevaux de Troie). Les règles anti-spam sont des fichiers fournis par Trend Micro pour filtrer du courrier et des données indésirables. Les moteurs désignent les moteurs de scan antivirus/anti-programmes malveillants, le moteur Damage Cleanup, les moteurs VirusWall, le moteur de scan de programmes espions/graywares, etc. Ces composants exécutent les fonctions de scan et de nettoyage. Les programmes plug-in OfficeScan (par exemple, Trend Micro Security for Mac). Remarque La console Web OfficeScan affiche tous les programmes plug-in disponibles. Vous pouvez spécifier de les télécharger depuis Control Manager. Il se peut toutefois que Control Manager ne dispose pas du programme plug-in téléchargé. Dans ce cas, OfficeScan ne peut pas télécharger le programme plug-in spécifié depuis Control Manager. Avant d'indiquer un programme plug-in à télécharger vers OfficeScan, vérifiez que Control Manager l'a déjà téléchargé. A-42

263 Présentation de Trend Micro Control Manager COMPOSANT Programmes du produit et pool de widgets DESCRIPTION Composants spécifiques au produit (les Service Packs, par exemple) et le pool de widgets de Control Manager Remarque Seuls les utilisateurs enregistrés bénéficient de la mise à jour des composants. Pour minimiser le trafic du réseau Control Manager, désactivez le téléchargement des composants de produits gérés qui ne sont pas installés. L'écran Liste des composants dresse la liste complète des composants de Control Manager disponibles pour les produits gérés. Cette liste indique également les composants utilisés par les produits gérés. Sélectionnez Mises à jour > Liste des composants pour ouvrir l'écran Liste des composants. FIGURE A-2. L'écran Liste des composants Le serveur Control Manager conserve uniquement la version la plus récente des composants. Vous pouvez vérifier l'historique des versions d'un composant dans le fichier racine>:\program Files\Trend Micro\Control Manager\AU_log \TmuDump.txt. TmuDump.txt est généré lorsque le débogage ActiveUpdate est activé. A-43

264 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Conseil Pour minimiser le trafic du réseau Control Manager, désactivez le téléchargement des composants de produits ou de services gérés qui ne sont pas installés. Si vous enregistrez des produits gérés ou activez des services ultérieurement, veillez à configurer le téléchargement manuel ou programmé des composants correspondants. Téléchargement manuel de composants Téléchargez manuellement des mises à jour de composants lorsque vous installez Control Manager pour la première fois, lorsque le réseau fait l objet d une attaque ou lorsque vous voulez tester de nouveaux composants avant de les déployer sur le réseau. Trend Micro recommande la méthode suivante pour configurer les téléchargements manuels. Cette procédure comporte plusieurs étapes. Conseil Ignorez les étapes 1 et 2 si vous avez déjà défini un plan de déploiement et les paramètres proxy. Étape 1 : Configuration d un plan de déploiement des composants Étape 2 : Configuration des paramètres du proxy (en cas d utilisation d un serveur proxy) Étape 3 : Sélection des composants à mettre à jour Étape 4 : Configuration des paramètres de téléchargement Étape 5 : Configuration des paramètres de déploiement automatique Étape 6 : Exécution du téléchargement manuel A-44

265 Présentation de Trend Micro Control Manager Étape 1 : Configuration d un plan de déploiement des composants Procédure 1. Accédez à Mises à jour > Plan de déploiement. L écran Plan de déploiement apparaît. 2. Cliquez sur Ajouter. L'écran Ajouter un nouveau plan apparaît. 3. Saisissez un nom de plan de déploiement dans le champ Nom. 4. Cliquez sur Ajouter pour indiquer les détails du plan de déploiement. L'écran Ajouter une nouvelle programmation apparaît. A-45

266 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration 5. Dans l'écran Ajouter une nouvelle programmation, choisissez une programmation de l heure de déploiement en sélectionnant l une des options suivantes : Commencer à : exécute le déploiement à l heure indiquée Spécifiez l heure choisie (heures et minutes) à l aide des listes déroulantes. Retard : après avoir téléchargé les composants de mise à jour, Control Manager retarde le déploiement de la durée que vous indiquez Spécifiez la durée (en heures et minutes) à l aide des listes déroulantes. 6. Sélectionnez le dossier du répertoire Produits auquel vous souhaitez appliquer la programmation. Control Manager applique la programmation à tous les produits figurant dans le dossier sélectionné. 7. Cliquez sur Enregistrer. L'écran Ajouter un nouveau plan apparaît. 8. Cliquez sur Enregistrer pour appliquer le nouveau plan de déploiement. Étape 2 : Configuration des paramètres proxy (en cas d utilisation d un serveur proxy) Procédure 1. Accédez à Administration > Paramètres > Paramètres proxy. A-46

267 Présentation de Trend Micro Control Manager L'écran Paramètres de connexion apparaît. 2. Sélectionnez Utiliser un serveur proxy pour les mises à jour de fichiers de signatures, de moteur et de licence. 3. Sélectionnez le protocole : HTTP SOCKS 4 SOCKS 5 4. Saisissez le nom d hôte ou l adresse IP du serveur dans le champ Nom de serveur ou adresse IP. 5. Saisissez un numéro de port dans le champ Port. 6. Saisissez un nom et un mot de passe de connexion si votre serveur vous demande de vous authentifier. 7. Cliquez sur Enregistrer. Étape 3 : Sélection des composants à mettre à jour Procédure 1. Accédez à Mises à jour > Téléchargement manuel. A-47

268 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration L écran Téléchargement manuel apparaît. 2. Dans la zone Catégorie de composant, sélectionnez les composants à télécharger. a. Cliquez sur l icône + pour développer la liste des composants pour chaque groupe de composants. b. Sélectionnez les composants à télécharger. Pour sélectionner tous les composants d un groupe, sélectionnez : Fichiers de signatures/modèles Damage Cleanup Règles anti-spam Moteurs Programmes plug-in OfficeScan A-48

269 Présentation de Trend Micro Control Manager Programmes du produit et pool de widgets Étape 4 : Configuration des paramètres de téléchargement Procédure 1. Sélectionnez la source de mise à jour : Internet : serveur de mise à jour Trend Micro : téléchargez les composants à partir du Trend Micro ActiveUpdate Server officiel. Autre source de mise à jour : saisissez l'url de la source de mise à jour dans le champ correspondant. Après avoir coché l option Autre source de mise à jour, vous pouvez spécifier plusieurs sources de mise à jour. Cliquez sur l'icône + pour ajouter une source de mise à jour. Vous pouvez sélectionner jusqu à cinq sources de mise à jour. 2. Sélectionnez Fréquence de réessai et spécifiez le nombre de nouvelles tentatives et la durée entre deux tentatives de téléchargement de composants. Conseil Cliquez sur Enregistrer avant de cliquer sur Modifier ou Plan de déploiement dans cet écran. Vous perdrez vos paramètres si vous ne cliquez pas sur Enregistrer. 3. Si vous utilisez un serveur proxy HTTP sur le réseau (si le serveur Control Manager n'a pas d'accès Internet direct), cliquez sur Modifier pour configurer les paramètres proxy dans l'écran Paramètres de connexion. A-49

270 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Étape 5 : Configuration des paramètres de déploiement automatique Procédure 1. Spécifiez quand vous voulez déployer les composants téléchargés depuis la zone Paramètres de déploiement automatique. Les options sont les suivantes : Ne pas déployer : les composants sont téléchargés sur Control Manager, mais ne sont pas déployés sur des produits gérés. Utilisez cette option dans les conditions suivantes : Déploiement sur des produits gérés de façon individuelle Test des composants téléchargés avant déploiement Déployer immédiatement sur tous les produits : les composants sont téléchargés sur Control Manager, puis déployés sur des produits gérés. Sur la base du plan de déploiement : les composants sont téléchargés sur Control Manager, puis déployés sur des produits gérés selon la programmation que vous avez sélectionnée. Lors de la détection de nouvelles mises à jour : les composants sont téléchargés sur Control Manager lorsque de nouveaux composants sont disponibles à partir de la source de mise à jour, puis déployés sur des produits gérés selon la programmation que vous avez sélectionnée. Conseil Cliquez sur Enregistrer avant de cliquer sur Modifier ou Plan de déploiement dans cet écran. Vous perdrez vos paramètres si vous ne cliquez pas sur Enregistrer. Étape 6 : Exécution du téléchargement manuel Procédure 1. Cliquez sur Télécharger maintenant, puis cliquez sur OK pour confirmer. A-50

271 Présentation de Trend Micro Control Manager L écran d informations sur le téléchargement apparaît. La barre de progression indique l état du téléchargement. 2. Cliquez sur Détails sur la commande pour afficher les informations de l'écran Détails sur la commande. 3. Cliquez sur OK pour revenir à l écran Téléchargement manuel. Description des exceptions de téléchargement programmé Les administrateurs peuvent programmer des exceptions de téléchargement pour empêcher Control Manager de télécharger des composants de mise à jour Trend Micro pendant certains jours ou à certaines heures de la journée. Cette fonction est particulièrement utile pour les administrateurs préférant que Control Manager ne télécharge pas de composants en dehors des jours ouvrés ou des heures d'ouverture. Remarque Les exceptions de programmation quotidiennes s'appliquent aux jours sélectionnés, tandis que les exceptions de programmation par heure s'appliquent à chaque jour de la semaine. Exemple : l'administrateur souhaite que Control Manager ne télécharge pas de composants les weekends ou après les heures de travail des jours de semaine. L'administrateur active Exception de programmation quotidienne et sélectionne Samedi et Dimanche. L'administrateur active ensuite Exceptions de programmation par heure et spécifie les heures entre 00:00 et 9:00 et 18:00 et 24:00. Configuration d'exceptions de téléchargement programmé Procédure 1. Accédez à Mises à jour > Exceptions de téléchargement programmé. L écran Exceptions de téléchargement programmé apparaît. A-51

272 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration 2. Effectuez une ou plusieurs des opérations suivantes : Pour programmer une exception quotidienne, dans Exceptions de programmation quotidienne, spécifiez le(s) jour(s) où vous ne souhaitez pas effectuer de téléchargement, puis sélectionnez Ne pas télécharger de mises à jour au(x) jour(s) spécifié(s). Chaque semaine, aux jours sélectionnés, Control Manager bloque tous les téléchargements. Pour programmer une exception à une heure spécifique, dans Exceptions de programmation par heure, spécifiez les heures auxquelles vous ne souhaitez pas de téléchargement, puis sélectionnez Ne pas télécharger de mises à jour au(x) heure(s) spécifiée(s). Chaque jour, aux heures sélectionnées, Control Manager bloque tous les téléchargements. 3. Cliquez sur Enregistrer. Configuration de téléchargements programmés Vous pouvez programmer le téléchargement des composants pour les maintenir à jour et protéger le réseau au maximum. Control Manager prend en charge le téléchargement granulaire des composants. Vous pouvez programmer le téléchargement de composants spécifiques ou de groupes de composants. Toutes les programmations sont indépendantes les unes des autres. Lorsque vous programmez le téléchargement d'un groupe de composants, vous programmez le téléchargement de tous les composants de ce groupe. A-52

273 Présentation de Trend Micro Control Manager Accédez à l écran Téléchargement programmé pour obtenir les informations suivantes sur les composants actuellement installés dans votre système Control Manager : Fréquence : indique la fréquence de mise à jour des composants. Activé : indique si la programmation du composant est activée ou non. Source de mise à jour : affiche l URL ou le chemin d accès à la source de mise à jour. La procédure de programmation du téléchargement de composants comporte les étapes suivantes : Étape 1 : Configuration d un plan de déploiement des composants Étape 2 : Configuration des paramètres du proxy (en cas d utilisation d un serveur proxy) Étape 3 : Sélection des composants à mettre à jour Étape 4 : Configuration de la programmation de téléchargement Étape 5 : Configuration des paramètres de téléchargement Étape 6 : Configuration des paramètres de déploiement automatique Étape 7 : Activation de la programmation et enregistrement des paramètres Étape 1 : Configuration d un plan de déploiement des composants Procédure 1. Accédez à Mises à jour > Plan de déploiement. L écran Plan de déploiement apparaît. A-53

274 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration 2. Cliquez sur Ajouter. L'écran Ajouter un nouveau plan apparaît. 3. Saisissez un nom de plan de déploiement dans le champ Nom. 4. Cliquez sur Ajouter pour indiquer les détails du plan de déploiement. L'écran Ajouter une nouvelle programmation apparaît. 5. Choisissez une heure de déploiement en sélectionnant une des options suivantes : A-54 Commencer à : exécute le déploiement à l heure indiquée

275 Présentation de Trend Micro Control Manager Spécifiez l heure choisie (heures et minutes) à l aide des listes déroulantes. Retard : après avoir téléchargé les composants de mise à jour, Control Manager retarde le déploiement de la durée que vous indiquez Spécifiez la durée (en heures et minutes) à l aide des listes déroulantes. 6. Sélectionnez le dossier du répertoire Produits auquel vous souhaitez appliquer la programmation. Control Manager applique la programmation à tous les produits figurant dans le dossier sélectionné. 7. Cliquez sur Enregistrer. L'écran Ajouter un nouveau plan apparaît. 8. Cliquez sur Enregistrer pour appliquer le nouveau plan de déploiement. Étape 2 : Configuration des paramètres proxy (en cas d utilisation d un serveur proxy) Procédure 1. Accédez à Administration > Paramètres > Paramètres proxy. L'écran Paramètres de connexion apparaît. 2. Sélectionnez Utiliser un serveur proxy pour les mises à jour de fichiers de signatures, de moteur et de licence. A-55

276 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration 3. Sélectionnez le protocole : HTTP SOCKS 4 SOCKS 5 4. Saisissez le nom d hôte ou l adresse IP du serveur dans le champ Nom de serveur ou adresse IP. 5. Saisissez un numéro de port pour le serveur proxy dans le champ Port. 6. Saisissez un nom et un mot de passe de connexion si votre serveur vous demande de vous authentifier. 7. Cliquez sur Enregistrer. Étape 3 : Sélection des composants à mettre à jour Procédure 1. Accédez à Mises à jour > Téléchargement programmé. L écran Téléchargement programmé apparaît. 2. Dans la zone Catégorie de composant, sélectionnez les composants à télécharger. a. Cliquez sur l icône + pour développer la liste des composants pour chaque groupe de composants. b. Sélectionnez les composants à télécharger. Pour sélectionner tous les composants d un groupe, sélectionnez : A-56

277 Présentation de Trend Micro Control Manager Tous les fichiers de signatures/modèles Damage Cleanup Toutes les règles anti-spam Tous les moteurs Programmes plug-in OfficeScan Programmes du produit et pool de widgets L écran <Nom du composant> apparaît. Où <Nom du composant> correspond au nom du composant que vous avez sélectionné. Étape 4 : Configuration de la programmation de téléchargement Procédure 1. Sélectionnez la case Activer téléchargement programmé pour activer le téléchargement programmé du composant. A-57

278 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration 2. Définissez la programmation de téléchargement. Sélectionnez une fréquence et spécifiez la programmation requise à partir des listes déroulantes appropriées. Vous pouvez programmer un téléchargement toutes les minutes, toutes les heures, selon une fréquence quotidienne ou hebdomadaire. 3. Définissez la date et l heure de prise en compte de la programmation à partir des listes déroulantes Heure de début. Étape 5 : Configuration des paramètres de téléchargement Procédure 1. Sélectionnez la source de mise à jour : Internet : serveur de mise à jour Trend Micro : téléchargez les composants à partir du Trend Micro ActiveUpdate Server officiel. Autre source de mise à jour : saisissez l'url de la source de mise à jour dans le champ correspondant. Après avoir coché l option Autre source de mise à jour, vous pouvez spécifier plusieurs sources de mise à jour. Cliquez sur l'icône + pour ajouter une source de mise à jour. Vous pouvez sélectionner jusqu à cinq sources de mise à jour. 2. Sélectionnez Fréquence de réessai et spécifiez le nombre de nouvelles tentatives et la durée entre deux tentatives de téléchargement de composants. Remarque Cliquez sur Enregistrer avant de cliquer sur Modifier ou Plan de déploiement dans cet écran. Vous perdrez vos paramètres si vous ne cliquez pas sur Enregistrer. 3. Si vous utilisez un serveur proxy HTTP sur le réseau (si le serveur Control Manager n'a pas d'accès Internet direct), cliquez sur Modifier pour configurer les paramètres proxy dans l'écran Paramètres de connexion. A-58

279 Présentation de Trend Micro Control Manager Étape 6 : Configuration des paramètres de déploiement automatique Procédure 1. Spécifiez quand vous voulez déployer les composants téléchargés depuis la zone Paramètres de déploiement automatique. Les options sont les suivantes : Ne pas déployer : les composants sont téléchargés sur Control Manager, mais ne sont pas déployés sur des produits gérés. Utilisez cette option dans les conditions suivantes : Déploiement sur des produits gérés de façon individuelle Test des composants téléchargés avant déploiement Déployer immédiatement : les composants sont téléchargés sur Control Manager, puis déployés sur des produits gérés. Sur la base du plan de déploiement : les composants sont téléchargés sur Control Manager, puis déployés sur des produits gérés selon la programmation que vous avez sélectionnée. Lors de la détection de nouvelles mises à jour : les composants sont téléchargés sur Control Manager, puis déployés vers les produits gérés lorsque de nouveaux composants sont disponibles sur la source de mise à jour. Remarque Cliquez sur Enregistrer avant de cliquer sur Modifier ou Plan de déploiement dans cet écran. Vous perdrez vos paramètres si vous ne cliquez pas sur Enregistrer. 2. Sélectionnez un plan de déploiement une fois les composants téléchargés sur Control Manager, dans l'écran Plan de déploiement. 3. Cliquez sur Enregistrer. A-59

280 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Étape 7 : Activation de la programmation et enregistrement des paramètres Procédure 1. Cliquez sur le bouton État dans la colonne Activer. 2. Cliquez sur Enregistrer. Configuration de la programmation et de la fréquence d'un téléchargement programmé Spécifiez la fréquence à laquelle Control Manager doit télécharger les mises à jour de composants dans le groupe Programmation et fréquence. Procédure 1. Accédez à Mises à jour > Téléchargement programmé. L écran Téléchargement programmé apparaît. 2. Dans la zone Catégorie de composant, sélectionnez les composants à télécharger. a. Cliquez sur l icône + pour développer la liste des composants pour chaque groupe de composants. b. Sélectionnez les composants à télécharger. Pour sélectionner tous les composants d un groupe, sélectionnez : Tous les fichiers de signatures/modèles Damage Cleanup Toutes les règles anti-spam Tous les moteurs Programmes plug-in OfficeScan Programmes du produit et pool de widgets A-60

281 Présentation de Trend Micro Control Manager L écran <Nom du composant> apparaît. Où <Nom du composant> correspond au nom du composant que vous avez sélectionné. 3. Sous Programmation et fréquence : a. Définissez la programmation de téléchargement. Sélectionnez une fréquence et spécifiez la programmation requise à partir des listes déroulantes appropriées. Vous pouvez programmer un téléchargement toutes les minutes, toutes les heures, selon une fréquence quotidienne ou hebdomadaire. b. Définissez la date et l heure de prise en compte de la programmation à partir des listes déroulantes Heure de début. 4. Cliquez sur Enregistrer. Configuration des paramètres de téléchargement programmé Vous définissez les composants à télécharger automatiquement et la méthode de téléchargement dans le groupe Paramètres de téléchargement. Procédure 1. Accédez à Mises à jour > Téléchargement programmé. L écran Téléchargement programmé apparaît. 2. Dans la zone Catégorie de composant, sélectionnez les composants à télécharger. a. Cliquez sur l icône + pour développer la liste des composants pour chaque groupe de composants. b. Sélectionnez les composants à télécharger. Pour sélectionner tous les composants d un groupe, sélectionnez : Tous les fichiers de signatures/modèles Damage Cleanup Toutes les règles anti-spam Tous les moteurs A-61

282 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Programmes plug-in OfficeScan Programmes du produit et pool de widgets L écran <Nom du composant> apparaît. Où <Nom du composant> correspond au nom du composant que vous avez sélectionné. 3. Dans Paramètres de téléchargement, sélectionnez une des sources de mise à jour suivantes : Internet : serveur de mise à jour Trend Micro : Control Manager télécharge les composants les plus récents à partir de Trend Micro ActiveUpdate Server (option par défaut). Autre source de mise à jour : spécifiez l'url de la source où se trouve la version la plus récente du composant (le serveur Intranet de votre société, par exemple). Après avoir coché l option Autre source de mise à jour, vous pouvez spécifier plusieurs sources de mise à jour. Cliquez sur l icône + pour ajouter une autre source de mise à jour. Vous pouvez sélectionner jusqu à cinq sources de mise à jour. 4. Sélectionnez Fréquence de réessai pour que Control Manager essaye à nouveau de télécharger les composants les plus récents. Spécifiez le nombre et la fréquence des tentatives dans les champs correspondants. Remarque Cliquez sur Enregistrer avant de cliquer sur Modifier ou Plan de déploiement dans cet écran. Vous perdrez vos paramètres si vous ne cliquez pas sur Enregistrer. 5. Si vous utilisez un serveur proxy sur le réseau (si le serveur Control Manager n a pas d'accès Internet direct), cliquez sur Modifier pour configurer les paramètres proxy dans l écran Paramètres de connexion. 6. Cliquez sur Enregistrer. A-62

283 Présentation de Trend Micro Control Manager Configuration des paramètres de déploiement automatique de téléchargements programmés Utilisez le groupe de paramètres de déploiement automatique pour définir comment les mises à jour sont déployées par Control Manager. Procédure 1. Accédez à Mises à jour > Téléchargement programmé. L écran Téléchargement programmé apparaît. 2. Dans la zone Catégorie de composant, sélectionnez les composants à télécharger. a. Cliquez sur l icône + pour développer la liste des composants pour chaque groupe de composants. b. Sélectionnez les composants à télécharger. Pour sélectionner tous les composants d un groupe, sélectionnez : Tous les fichiers de signatures/modèles Damage Cleanup Toutes les règles anti-spam Tous les moteurs Programmes plug-in OfficeScan Programmes du produit et pool de widgets L écran <Nom du composant> apparaît. Où <Nom du composant> correspond au nom du composant que vous avez sélectionné. 3. Spécifiez quand vous voulez déployer les composants téléchargés depuis la zone Paramètres de déploiement automatique. Les options sont les suivantes : Ne pas déployer : les composants sont téléchargés sur Control Manager, mais ne sont pas déployés sur des produits gérés. Utilisez cette option dans les conditions suivantes : Déploiement sur des produits gérés de façon individuelle Test des composants téléchargés avant déploiement A-63

284 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Déployer immédiatement : les composants sont téléchargés sur Control Manager, puis déployés sur des produits gérés. Sur la base du plan de déploiement : les composants sont téléchargés sur Control Manager, puis déployés sur des produits gérés selon la programmation que vous avez sélectionnée. Lors de la détection de nouvelles mises à jour : les composants sont téléchargés sur Control Manager lorsque de nouveaux composants sont disponibles à partir de la source de mise à jour, puis déployés sur des produits gérés selon la programmation que vous avez sélectionnée. Remarque Cliquez sur Enregistrer avant de cliquer sur Modifier ou Plan de déploiement dans cet écran. Vous perdrez vos paramètres si vous ne cliquez pas sur Enregistrer. 4. Sélectionnez un plan de déploiement une fois les composants téléchargés sur Control Manager, dans l'écran Plan de déploiement. 5. Cliquez sur Enregistrer. Remarque Les paramètres de déploiement automatique s appliquent uniquement aux composants utilisés par des produits gérés. Définition des plans de déploiement Un plan de déploiement permet de définir l'ordre dans lequel Control Manager met à jour vos groupes de produits gérés. Avec Control Manager, vous pouvez appliquer plusieurs plans de déploiement à différents produits gérés lors de différentes programmations. Par exemple, pendant une épidémie virale impliquant un virus de messagerie, vous pouvez donner la priorité à la mise à jour des composants de votre logiciel de scan de messagerie, comme le dernier fichier de signatures de virus pour ScanMail for Microsoft Exchange de Trend Micro. L'installation de Control Manager crée deux plans de déploiement : A-64

285 Présentation de Trend Micro Control Manager Déployer vers tous les produits gérés (par défaut) : plan par défaut utilisé durant les mises à jour des composants Déployer vers tous immédiatement (prévention des épidémies) : plan par défaut pour les Outbreak Prevention Services, étape de prévention Par défaut, ces plans déploient immédiatement des mises à jour sur tous les produits du répertoire Produits. Sélectionnez ou créez des plans dans les écrans de téléchargement manuel et programmé. Personnalisez ces plans ou créez-en de nouveaux, selon ce qui est requis par votre réseau. Par exemple, créez des plans de déploiement en fonction de la nature de l'épidémie : Virus de messagerie Virus se propageant via le partage de fichier Le déploiement de mises à jour vers le répertoire Produits est distinct du processus de téléchargement. Control Manager télécharge les composants et réalise le plan de déploiement selon les paramètres de téléchargement manuel ou programmé. Lors de la création ou de l'implémentation d'un plan de déploiement, soyez attentifs aux éléments suivants : Attribuez des programmations de déploiement aux dossiers et non à des produits spécifiques. La planification du contenu des dossiers du répertoire Produits est donc très importante. Vous ne pouvez inclure qu'un dossier pour chaque programmation de plan de déploiement. Toutefois, vous pouvez spécifier plus d'une programmation par plan de déploiement. Control Manager prend en compte l'heure de fin du téléchargement pour les retards de plans de déploiement, de façon indépendante les uns des autres. A-65

286 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Par exemple, si vous souhaitez mettre à jour trois dossiers à 5 minutes d'intervalle, vous pouvez attribuer au premier dossier un retard de 5 minutes, puis définir des retards de 10 et 15 minutes pour les deux autres dossiers. Configuration des paramètres proxy Configurez la connexion au serveur proxy pour les téléchargements de composants et les mises à jour de licence. Procédure 1. Accédez à Administration > Paramètres > Paramètres proxy. L'écran Paramètres de connexion apparaît. 2. Sélectionnez Utiliser un serveur proxy pour les mises à jour de fichiers de signatures, de moteur et de licence. 3. Sélectionnez le protocole : HTTP SOCKS 4 SOCKS 5 4. Saisissez le nom d hôte ou l adresse IP du serveur dans le champ Nom de serveur ou adresse IP. A-66

287 Présentation de Trend Micro Control Manager 5. Saisissez un numéro de port dans le champ Port. 6. Saisissez un nom et un mot de passe de connexion si votre serveur vous demande de vous authentifier. 7. Cliquez sur Enregistrer. Configuration des paramètres de mise à jour/déploiement Le téléchargement de composants via HTTPS à partir de Trend Micro ActiveUpdate Server (la source de téléchargement par défaut) ou d'une autre source de mise à jour constitue une méthode de récupération des composants plus sûre. Si vous téléchargez des composants à partir d un répertoire partagé sur un réseau, vous devez définir l authentification Windows locale et l authentification UNC à distance. L'authentification Windows locale renvoie au compte utilisateur Active Directory sur le serveur Control Manager. Vérifiez les éléments suivants pour ce compte : Privilège de l administrateur Définition de la stratégie Connexion en tant que travail par lots L'authentification UNC à distance utilise un compte utilisateur du serveur source de composants qui est autorisé à partager un dossier dans lequel Control Manager téléchargera les mises à jour. Activation du téléchargement HTTPS Procédure 1. Accédez à Mises à jour > Paramètres de Mise à jour/de déploiement. L'écran Paramètres de mise à jour/de déploiement apparaît. A-67

288 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration 2. Sélectionnez Activer HTTPS pour la source de téléchargement de mises à jour par défaut. 3. Cliquez sur Enregistrer. 4. Accédez à l'écran Téléchargement manuel ou Téléchargement programmé. 5. Dans la zone de travail sous Paramètres de téléchargement, sélectionnez Internet : serveur de mise à jour Trend Micro ou indiquez le serveur de composants de votre entreprise dans le champ Autre source de mise à jour. 6. Cliquez sur Enregistrer. Activation du téléchargement UNC Procédure 1. Accédez à Mises à jour > Paramètres de Mise à jour/de déploiement. L'écran Paramètres de mise à jour/de déploiement apparaît. 2. Saisissez les noms d'utilisateurs et mots de passe de l'authentification Windows locale et de l'authentification UNC à distance. 3. Cliquez sur Enregistrer. 4. Accédez à l'écran Téléchargement manuel ou Téléchargement programmé. A-68

289 Présentation de Trend Micro Control Manager 5. Dans la zone de travail sous le groupe Paramètres de téléchargement, sélectionnez Autre source de mise à jour et indiquez le dossier partagé sur le réseau. 6. Cliquez sur Enregistrer. Définition de la stratégie «Connexion en tant que tâche par lots» L'authentification Windows locale renvoie au compte utilisateur Active Directory sur le serveur Control Manager. Vérifiez les éléments suivants pour ce compte : Privilège de l administrateur Définition de la stratégie «Connexion en tant que tâche par lots» Procédure 1. Cliquez sur Démarrer > Paramètres > Panneau de configuration. 2. Cliquez sur Outils d'administration. 3. Ouvrez la Stratégie de sécurité locale. L écran de configuration de la sécurité locale apparaît. 4. Cliquez sur Stratégies locales > Attribution de droits utilisateurs. 5. Double-cliquez sur Connexion en tant que travail par lots. La boîte de dialogue Propriétés de Connexion en tant que travail par lots apparaît. 6. Ajoutez l'utilisateur s'il n'est pas dans la liste. Utilisation des journaux Bien que Control Manager reçoive des données de divers types de journaux, il permet désormais aux utilisateurs d'effectuer des recherches de données de journal directement A-69

290 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration dans la base de données Control Manager. Les utilisateurs peuvent ainsi spécifier des critères de filtrage pour n'obtenir que les informations qui les intéressent. Control Manager permet également désormais le regroupement de journaux. Le regroupement de journaux peut améliorer les performances des recherches et réduire la bande passante réseau utilisée par les produits gérés lors de l'envoi de journaux à Control Manager. Toutefois, de nombreuses données sont perdues en raison du regroupement. Control Manager ne peut pas rechercher des données si celles-ci ne sont pas dans la base de données Control Manager. Description des journaux de produits gérés Les journaux de produits gérés contiennent des informations sur les performances des produits gérés. Vous pouvez y trouver des informations sur des produits spécifiques ou des groupes de produits gérés par le serveur parent ou enfant. Grâce aux capacités de filtrage de données et de recherche de données sur les journaux de Control Manager, les administrateurs peuvent à présent se concentrer sur les informations dont ils ont besoin. Remarque Plus vous avez de journaux, plus vous disposez d'informations sur le réseau de Control Manager. Toutefois, ces journaux occupent de l'espace disque. Il vous appartient donc de trouver le juste équilibre entre le besoin d informations et la disponibilité des ressources système. Les produits gérés génèrent différents types de journaux selon leur fonction. TABLEAU A-11. Journaux de produits gérés CATÉGORIE DE JOURNAL Informations sur le produit DESCRIPTION Les journaux d'information sur les produits fournissent des renseignements sur des sujets allant de l'accès des utilisateurs et des événements sur les produits gérés jusqu'au déploiement des composants et de l'état des mises à jour. Informations sur les produits gérés Informations relatives aux composants A-70

291 Présentation de Trend Micro Control Manager CATÉGORIE DE JOURNAL Informations sur les menaces de sécurité DESCRIPTION Les journaux des menaces de sécurité fournissent des informations relatives aux menaces de sécurité connues et potentielles détectées sur votre réseau. Informations sur les virus/programmes malveillants Informations sur les programmes espions/graywares Informations sur les violations de contenu Informations sur les violations de spam Informations sur les violations de stratégies/règles Informations sur les violations de sécurité/de réputation Web Informations sur les menaces suspectes Informations sur l'ensemble des menaces Informations sur la protection des données Les journaux de protection des données fournissent des informations sur les incidents de prévention contre la perte de données, les correspondances de modèles et les sources des incidents. Informations sur la prévention contre la perte de données Requête de données de journaux Les requêtes ad hoc offrent une méthode simple aux administrateurs pour retrouver directement des informations à partir de la base de données de Control Manager. La base de données regroupe toutes les informations recueillies à partir de tous les produits enregistrés auprès du serveur Control Manager (le regroupement des journaux peut modifier les données disponibles à la requête). Les requêtes ad hoc constituent un outil très performant pour les administrateurs. En faisant une requête de données, les administrateurs peuvent filtrer les critères de requête pour obtenir uniquement les données dont ils ont besoin. Les administrateurs peuvent ensuite exporter ces données au format CSV ou XML pour faire une analyse détaillée, ou encore enregistrer la requête pour une recherche ultérieure. Control A-71

292 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Manager prend également en charge le partage des requêtes enregistrées avec les autres utilisateurs pour que ces derniers puissent bénéficier des requêtes utiles. Le processus d'une requête ad hoc comporte les étapes suivantes : Étape 1 : Sélectionnez le produit géré ou le serveur Control Manager actuel pour la requête Étape 2 : Sélectionnez l'affichage des données de la requête Étape 3 : Spécifiez les critères de filtrage et les informations spécifiques à afficher Étape 4 : Enregistrez et terminez la requête Étape 5 : Exportez les données au format CSV ou XML Remarque Control Manager prend en charge le partage des requêtes ad hoc enregistrées avec les autres utilisateurs. Les requêtes enregistrées et partagées apparaissent sur l'écran Requêtes ad hoc enregistrées. Définition des affichages de données Un affichage de données est un tableau regroupant des clusters de cellules de données liées. Les utilisateurs se basent sur les affichages de données pour effectuer les requêtes ad hoc de la base de données de Control Manager. Control Manager permet d'exécuter des requêtes directes dans la base de données Control Manager. Les affichages de base de données sont disponibles pour les modèles de rapport Control Manager 5 et les requêtes ad hoc. Les affichages de base de données sont des tables contenant des informations. Chaque en-tête d'une vue agit comme la colonne d'une table. Par exemple, l'affichage Résumé sur l'action/le résultat de virus/programmes malveillants possède les en-têtes suivants : Résultat de l'action Action entreprise Points finaux uniques A-72

293 Présentation de Trend Micro Control Manager Sources uniques Détections À l'instar d'une table, un affichage de données prend la forme suivante, avec des sousen-têtes potentiels sous chaque en-tête : TABLEAU A-12. Exemple d'affichage de données RÉSULTAT DE L'ACTION ACTION ENTREPRISE POINTS FINAUX UNIQUES SOURCES UNIQUES DÉTECTIONS Les informations suivantes sont particulièrement importantes lors de la spécification du mode d'affichage des données dans un modèle de rapport. Control Manager divise les affichages de données en deux catégories principales : informations sur le produit et informations sur les menaces de sécurité. Pour plus d'informations sur les affichages de données, consultez l'annexe. Ces deux catégories se divisent ensuite en plusieurs sous-catégories, elles-mêmes séparées entre informations résumées et informations détaillées. Définition des rapports Les rapports de Control Manager consistent en deux parties : les modèles de rapport et les profils de rapport. Tandis qu'un modèle de rapport détermine l'apparence et l'agencement du rapport, le profil de rapport spécifie la provenance des données du rapport, la période ou la programmation ainsi que les destinataires du rapport. Control Manager 5.0 a mis en place des changements radicaux par rapport aux versions précédentes en introduisant les rapports personnalisés pour les administrateurs de Control Manager. Control Manager 6.0 prend toujours en charge les modèles de rapport des versions précédentes de Control Manager, mais Control Manager 6.0 permet aux administrateurs de personnaliser leurs propres modèles de rapport. Définition des modèles de rapport de Control Manager Un modèle de rapport définit l aspect et la présentation des rapports de Control Manager. Control Manager classe les modèles de rapport selon les types suivants : A-73

294 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Modèles de Control Manager 5 : Modèles de rapport personnalisé définis par l'utilisateur, qui utilisent les requêtes de bases de données directes (affichages de base de données) et les éléments des modèles de rapport (graphiques et tableaux). Les utilisateurs disposent d'une plus grande flexibilité pour spécifier les données apparaissant dans leurs rapports par rapport aux modèles de rapport des versions précédentes de Control Manager. Modèles prédéfinis de Control Manager 3 : Contient des modèles prédéfinis Définition des modèles de Control Manager 5 Les modèles de rapport de Control Manager 5 basent leurs informations sur les affichages de base de données. Pour plus d'informations sur les affichages de données, consultez la section Définition des affichages de données à la page A-72. L'apparence et l'agencement des rapports générés se reportent sur les éléments du rapport. Le rapport comporte les éléments suivants. TABLEAU A-13. Éléments des modèles de rapport de Control Manager 5 ÉLÉMENT DU MODÈLE Saut de page Texte statique Graphique en barres Graphique en ligne Graphique circulaire Tableau dynamique Tableau en grille DESCRIPTION Insère un saut de page pour un rapport. Chaque page de rapport peut contenir jusqu'à trois éléments de modèle de rapport. Donne une description définie par l'utilisateur ou une explication du rapport. Le texte statique peut contenir jusqu'à caractères. Insère un graphique en barre dans un modèle de rapport. Insère un graphique en ligne dans un modèle de rapport. Insère un graphique circulaire dans un modèle de rapport. Insère un tableau dynamique/tableau croisé dynamique dans un modèle de rapport. Insère un tableau dans un modèle de rapport. Les informations d'un tableau en grille seront les mêmes que celles d'une requête ad hoc. A-74

295 Présentation de Trend Micro Control Manager Chaque modèle de Control Manager 5 peut contenir jusqu'à 100 éléments de modèle de rapport. Chaque page du modèle de rapport peut contenir jusqu'à trois éléments de modèle de rapport. Utilisez le saut de page pour créer des pages de modèle de rapport. Pour mieux comprendre les modèles de rapport de Control Manager 5, Trend Micro fournit les modèles de rapport prédéfinis suivants. Remarque Accédez à l'écran Modèles de rapport pour consulter les modèles prédéfinis de Trend Micro. TABLEAU A-14. Modèles prédéfinis de Control Manager 5 MODÈLE Résumé sur la détection de violation de contenu TM DESCRIPTION Indique les informations suivantes : Détections de violations de contenu classées par jour (graphique en ligne) Stratégie en matière du décompte de violations classées par jour (graphique en ligne) Décompte de violations expéditeur/utilisateurs classées par jour (graphique en ligne) Décompte de destinataires classés par jour (graphique en ligne) 25 principales violations de stratégies (graphique en barres) Résumé sur la stratégie en matière de violation de contenu (tableau en grille) 25 principaux expéditeurs/utilisateurs violés (graphique en barres) Résumé sur les expéditeurs/utilisateurs de violation de contenu (tableau en grille) Résumé sur le résultat de l'action (graphique circulaire) A-75

296 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration MODÈLE État de connexion/ composant des produits gérés par TM DESCRIPTION Indique les informations suivantes : État de la connexion du serveur/de l'appliance (graphique circulaire) État de la connexion client (graphique circulaire) État de la mise à jour du fichier de signatures/de la règle de l'appliance/du serveur (graphique circulaire) État de la mise à jour du fichier de signatures client/de la règle (graphique circulaire) État de la mise à jour du moteur de scan de l'appliance/du serveur (graphique circulaire) État de le mise à jour du moteur de scan client (graphique circulaire) Fichier de signature/résumé de la règle pour serveurs/ Appliances (tableau en grille) Fichier de signature/résumé de la règle pour les clients (tableau en grille) Résumé du moteur de scan pour serveurs/appliances (tableau en grille) Résumé du moteur de scan pour clients (tableau en grille) Résumé sur l'ensemble des menaces TM Indique les informations suivantes : Résumé sur l'analyse des risques de sécurité de l'ensemble du réseau (tableau en grille) Résumé sur les limites de protection du réseau (tableau en grille) Informations sur l'analyse des points d'entrée des risques de sécurité (tableau en grille) Informations sur l'analyse des destinations des risques de sécurité (tableau en grille) Informations sur l'analyse des sources des risques de sécurité (tableau en grille) A-76

297 Présentation de Trend Micro Control Manager MODÈLE Résumé sur la détection de pourriel TM DESCRIPTION Indique les informations suivantes : Détections de pourriels classées par jour (graphique en ligne) Décompte de domaines destinataires classés par jour (graphique en ligne) Décompte de destinataires classés par jour (graphique en ligne) 25 principaux domaines destinataires (graphique en barres) Résumé de l'ensemble des violations de pourriels (tableau en grille) 25 principaux destinataires de pourriel (graphique en barres) Résumé des destinataires de pourriels (tableau en grille) A-77

298 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration MODÈLE Résumé sur la détection de programmes espions/ grayware TM DESCRIPTION Indique les informations suivantes : Détections de programmes espions/graywares classées par jour (graphique en ligne) Décompte de programmes espions/graywares uniques classées par jour (graphique en ligne) Décompte des sources de programmes espions/ graywares classées par jour (graphique en ligne) Décompte des destinations de programmes espions/ graywares classées par jour (graphique en ligne) 25 principaux programmes espions/graywares (graphique en barres) Résumé de l'ensemble des violations de programmes espions/graywares (tableau en grille) 25 principales sources de programmes espions/ graywares (graphique en barres) Résumé des sources de programmes espions/ graywares (tableau en grille) 25 principales destinations de programmes espions/ graywares (graphique en barres) Résumé des destinations de programmes espions/ graywares (tableau en grille) Résumé sur le résultat de l'action (graphique circulaire) Résumé de l'action/du résultat des programmes espions/graywares (tableau en grille) A-78

299 Présentation de Trend Micro Control Manager MODÈLE Résumé sur la détection des menaces suspectes TM DESCRIPTION Indique les informations suivantes : Détections de menaces suspectes classées par jour (graphique en ligne) Décompte des règles violées classées par jour (graphique en ligne) Décompte d'expéditeurs classés par jour (graphique en ligne) Décompte de destinataires classés par jour (graphique en ligne) Décompte d'adresses IP source classées par jour (graphique en ligne) Décompte d'adresses IP de destination classées par jour (graphique en ligne) 25 principaux expéditeurs (graphique en barres) 25 principaux destinataires (graphique en barres) Résumé des expéditeurs de menaces suspectes (tableau en grille) Résumé sur le destinataire des menaces suspectes les plus dangereuses (tableau en grille) 25 principales adresses IP sources (graphique en barres) 25 principales adresses IP de destination (graphique en barres) Résumé sur la source de menace suspecte (tableau en grille) Résumé sur la destination la plus dangereuse de menace suspecte (tableau en grille) 25 principaux noms de protocole (graphique en barres) Résumé sur la détection de protocole de menace dangereuse (tableau en grille) Résumé sur l'ensemble des menaces suspectes (tableau en grille) A-79

300 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration MODÈLE Résumé sur la détection des virus/programmes malveillants TM DESCRIPTION Indique les informations suivantes : Détections de virus/programmes malveillants classées par jour (graphique en ligne) Décompte de virus/programmes malveillants uniques classés par jour (graphique en ligne) Décompte de destinations d'infections classées par jour (graphique en ligne) 25 principaux programmes malveillants/virus (graphique en barres) Résumé de l'ensemble des virus/programmes malveillants (tableau en grille) 25 principales sources d'infection (graphique en barres) Résumé sur les sources d'infections de virus/ programmes malveillants (tableau en grille) 25 principales destinations d'infection (graphique en barres) Résumé sur les destinations d'infections de virus/ programmes malveillants (tableau en grille) Résumé sur le résultat de l'action (graphique circulaire) Résumé de l'action/du résultat des virus/programmes malveillants (tableau en grille) A-80

301 Présentation de Trend Micro Control Manager MODÈLE Résumé sur la détection de violation de sécurité Web TM DESCRIPTION Indique les informations suivantes : Détections de violations Web classées par jour (graphique en ligne) Stratégie en matière du décompte de violations classées par jour (graphique en ligne) Décompte de violations client classées par jour (graphique en ligne) Décompte de violations d'url classées par jour (graphique en ligne) 25 principales violations de stratégies (graphique en barres) Résumé de l'ensemble des violations Web (tableau en grille) 25 principaux clients en situation de violation (graphique en barres) Résumé sur l'adresse IP du client en situation de violation de sécurité Web (tableau en grille) 25 principales URL en situation de violation (graphique en barres) Résumé des URL en situation de violation de sécurité Web (tableau en grille) Résumé sur le type de filtre/blocage (graphique circulaire) Définition des modèles de Control Manager 3 Control Manager a ajouté 87 modèles de rapport prégénérés répartis en six catégories : Résumé exécutif, passerelle, serveur de messagerie, serveur, poste de travail, produits pour réseau, et prévention contre la perte de données. A-81

302 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Remarque Dans Control Manager 3.5, les programmes espions/graywares ne sont plus considérés comme des virus. Cette modification influe sur le décompte des virus effectué dans tous les rapports d'origine relatifs aux virus. La génération du rapport peut demander quelques secondes, selon le volume de son contenu. Dès que Control Manager a fini de créer un rapport, l écran se réactualise et le lien Afficher correspondant au rapport devient disponible. Utilisez la liste Catégorie de rapport de l'écran de Control Manager pour passer en revue les six catégories de rapport répertoriées ci-dessous : TABLEAU A-15. Rapports de la catégorie Résumé exécutif et types de rapports RAPPORTS RÉSUMÉ EXÉCUTIF Rapports de détection des programmes espions/graywares TYPES DE RAPPORTS Programmes espions/graywares détectés Programmes espions/graywares le plus souvent détectés (10, 25, 50, 100) Liste des programmes espions/ graywares détectés pour toutes les entités Rapports de détection de virus Virus détectés Virus le plus souvent détectés (10, 25, 50, 100) Liste des infections virales pour toutes les entités A-82

303 Présentation de Trend Micro Control Manager RAPPORTS RÉSUMÉ EXÉCUTIF TYPES DE RAPPORTS Rapports comparatifs Programmes espions/graywares classés par (jour, semaine, mois) Virus classés par (jour, semaine, mois) Services Damage Cleanup classés par (jour, semaine, mois) Pourriel classé par (jour, semaine, mois) Rapports sur les failles Évaluation du niveau de risque pour l'ordinateur Évaluation des failles Infections le plus souvent nettoyées (10, 25, 50, 100) Failles potentielles les plus dangereuses (10, 25, 50, 100) Classement des failles selon le niveau de risque TABLEAU A-16. Rapports de la catégorie Produits pour passerelles et types de rapports RAPPORTS PRODUITS POUR PASSERELLES Rapports de détection des programmes espions/graywares TYPES DE RAPPORTS Programmes espions/graywares détectés Programmes espions/graywares le plus souvent détectés (10, 25, 50, 100) Rapports de détection de virus Virus détectés Virus le plus souvent détectés (10, 25, 50, 100) A-83

304 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration RAPPORTS PRODUITS POUR PASSERELLES TYPES DE RAPPORTS Rapports comparatifs Programmes espions/graywares classés par (jour, semaine, mois) Pourriel classé par (jour, semaine, mois) Virus classés par (jour, semaine, mois) Rapports sur le taux de déploiement Résumé détaillé Résumé de base Résumé détaillé sur le taux d'échec Taux de déploiement OPS pour IMSS TABLEAU A-17. Rapports de la catégorie Produits pour serveurs de messagerie et types de rapports RAPPORTS PRODUITS POUR SERVEURS DE MESSAGERIE Rapports de détection des programmes espions/graywares TYPES DE RAPPORTS Programmes espions/graywares détectés Programmes espions/graywares le plus souvent détectés (10, 25, 50, 100) Rapports de détection de virus Virus détectés Principaux expéditeurs de courrier électronique infecté (10, 25, 50, 100) Virus le plus souvent détectés (10, 25, 50, 100) Rapports comparatifs Programmes espions/graywares classés par (jour, semaine, mois) Virus classés par (jour, semaine, mois) A-84

305 Présentation de Trend Micro Control Manager RAPPORTS PRODUITS POUR SERVEURS DE MESSAGERIE TYPES DE RAPPORTS Rapports sur le taux de déploiement Résumé détaillé Résumé de base Résumé détaillé sur le taux d'échec TABLEAU A-18. Rapports de la catégorie Produits pour réseaux et types de rapports RAPPORTS PRODUITS BASÉS SUR SERVEUR Rapports de détection des programmes espions/graywares TYPES DE RAPPORTS Programmes espions/graywares détectés Programmes espions/graywares le plus souvent détectés (10, 25, 50, 100) Rapports de détection de virus Virus détectés Virus le plus souvent détectés (10, 25, 50, 100) Rapports comparatifs Programmes espions/graywares classés par (jour, semaine, mois) Virus classés par (jour, semaine, mois) Rapports sur le taux de déploiement Résumé détaillé Résumé de base Résumé détaillé sur le taux d'échec A-85

306 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration TABLEAU A-19. Rapports de la catégorie Produits pour postes de travail et types de rapports RAPPORTS PRODUITS POUR POSTES DE TRAVAIL Rapports de détection des programmes espions/graywares TYPES DE RAPPORTS Programmes espions/graywares détectés Programmes espions/graywares le plus souvent détectés (10,25,50,100) Rapports de détection de virus Virus détectés Virus le plus souvent détectés (10,25,50,100) Rapports d informations d OfficeScan Résumé détaillé Résumé de base Rapport d enregistrement du produit OfficeScan État d'enregistrement Rapports comparatifs Programmes espions/graywares classés par (jour, semaine, mois) Virus classés par (jour, semaine, mois) Rapports de déploiement d OfficeScan Résumé détaillé Résumé de base Résumé détaillé sur les taux d'échec Rapports d OfficeScan Damage Cleanup Services Résumé détaillé Infections le plus souvent nettoyées (10, 25, 50, 100) A-86

307 Présentation de Trend Micro Control Manager TABLEAU A-20. Rapports Produits pour réseaux et types de rapports RAPPORTS PRODUITS POUR RÉSEAUX TYPES DE RAPPORTS Rapports de Network VirusWall Rapport de violations de stratégies classées par (jour, semaine, mois) Clients victimes de violation le plus souvent détectés (10, 25, 50, 100) Rapport de violations de service classées par (jour, semaine, mois) Rapports de Trend Micro Total Discovery Appliance Rapport sur le résumé des incidents, classés par (jour, semaine, mois) Clients exposés à des risques importants (10, 25, 50, 100) Rapport de résumé des risques connus et inconnus A-87

308 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration TABLEAU A-21. Rapports de prévention contre la perte de données et types de rapport RAPPORTS DE PRÉVENTION CONTRE LA PERTE DE DONNÉES Sources principales d'incidents de prévention contre la perte de données TYPES DE RAPPORTS Incidents par expéditeur (10, 20, 30, 40, 50) Incidents par nom d'hôte (10, 20, 30, 40, 50) Incidents par destinataire (10, 20, 30, 40, 50) Incidents par adresse IP source (10, 20, 30, 40, 50) Incidents par URL (10, 20, 30, 40, 50) Incidents par utilisateur (10, 20, 30, 40, 50) Principales correspondances de modèles (10, 20, 30, 40, 50) Répartition des incidents par canal Tendances des incidents, groupés par (jour, semaine, mois) Incidents par canal, classés par (jour, semaine, mois) A-88

309 Présentation de Trend Micro Control Manager RAPPORTS DE PRÉVENTION CONTRE LA PERTE DE DONNÉES TYPES DE RAPPORTS Augmentation significative des incidents Augmentation significative des incidents (%) par canal (10, 20, 30, 40, 50) Augmentation significative des incidents par canal (10, 20, 30, 40, 50) Augmentation significative des incidents (%) par expéditeur (10, 20, 30, 40, 50) Augmentation significative des incidents par expéditeur (10, 20, 30, 40, 50) Augmentation significative des incidents (%) par nom d'hôte (10, 20, 30, 40, 50) Augmentation significative des incidents par nom d'hôte (10, 20, 30, 40, 50) Augmentation significative des incidents (%) par utilisateur (10, 20, 30, 40, 50) Augmentation significative des incidents par utilisateur (10, 20, 30, 40, 50) Augmentation significative des incidents (%) par adresse IP source (10, 20, 30, 40, 50) Augmentation significative des incidents par adresse IP source (10, 20, 30, 40, 50) Augmentation significative des incidents (%) par modèle (10, 20, 30, 40, 50) Augmentation significative des incidents par modèle (10, 20, 30, 40, 50) A-89

310 Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration Ajout de rapports à usage unique Control Manager prend en charge la génération de rapports à usage unique depuis les modèles de rapport de Control Manager 3 et 5. Les utilisateurs doivent créer des modèles de rapport de Control manager 5 tandis que les modèles de rapport de Control Manager 3 ont été créés par Trend Micro. Le processus de création d'un rapport à usage unique est similaire pour tous les types de rapport et comprend les étapes suivantes : 1. Accédez à l'écran Ajouter un rapport à usage unique et sélectionnez le type de rapport. 2. Spécifiez le ou les produits à partir desquels les données du rapport seront générées. 3. Spécifiez la date à laquelle le ou les produits ont généré les données. 4. Spécifiez le destinataire du rapport. Étape 1 : Accédez à l'écran Ajouter un rapport à usage unique et sélectionnez le type de rapport. Procédure 1. Accédez à l'écran Rapport > Rapport à usage unique. L'écran Rapports à usage unique apparaît. 2. Cliquez sur Ajouter. L'écran Ajouter un rapport à usage unique > Étape 1 : Sommaire apparaît. A-90

311 Présentation de Trend Micro Control Manager 3. Tapez un nom pour le rapport dans le champ Nom, sous Détails des rapports. 4. Tapez une description pour le rapport dans le champ Description, sous Détails des rapports. 5. Sélectionnez le modèle de Control Manager pour générer le rapport : Modèles de rapport de Control Manager 5 : a. Sélectionnez le modèle de Control Manager 5 pour générer le rapport. Si les rapports existants ne répondent pas à vos attentes, créez-en un nouveau à partir de l'écran Modèles de rapport. Modèles de rapport de Control Manager 3 : a. Cliquez sur Control Manager 3 sous Contenu des rapports. Les modèles de Control Manager 3 apparaissent dans la zone de travail de droite, sous Contenu des rapports. b. Sélectionnez la catégorie de rapport sur laquelle baser le rapport. c. Sélectionnez les données du modèle de Control Manager 3 sur lesquelles baser le modèle. 6. Sélectionnez le format de génération du rapport. Formats de rapport de Control Manager 5 : A-91