Guide produit. McAfee epolicy Orchestrator Logiciel

Transcription

1 Guide produit McAfee epolicy Orchestrator Logiciel

2 COPYRIGHT Copyright 2013 McAfee, Inc. Copie sans autorisation interdite. DROITS DE MARQUES McAfee, le logo McAfee, McAfee Active Protection, McAfee AppPrism, McAfee Artemis, McAfee CleanBoot, McAfee DeepSAFE, epolicy Orchestrator, McAfee epo, McAfee EMM, McAfee Enterprise Mobility Management, Foundscore, Foundstone, McAfee NetPrism, McAfee Policy Enforcer, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, SmartFilter, McAfee Stinger, McAfee Total Protection, TrustedSource, VirusScan, WaveSecure et WormTraq sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc. ou de ses filiales aux Etats Unis et dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs. INFORMATIONS DE LICENCE Accord de licence À L'ATTENTION DE TOUS LES UTILISATEURS : VEUILLEZ LIRE ATTENTIVEMENT L'ACCORD LÉGAL APPROPRIÉ CORRESPONDANT À LA LICENCE QUE VOUS AVEZ ACHETÉE, QUI DÉFINIT LES CONDITIONS GÉNÉRALES D'UTILISATION DU LOGICIEL SOUS LICENCE. SI VOUS NE CONNAISSEZ PAS LE TYPE DE LICENCE QUE VOUS AVEZ ACQUIS, CONSULTEZ LES DOCUMENTS DE VENTE, D'ATTRIBUTION DE LICENCE OU LE BON DE COMMANDE QUI ACCOMPAGNENT LE LOGICIEL OU QUE VOUS AVEZ REÇUS SÉPARÉMENT LORS DE L'ACHAT (SOUS LA FORME D'UN LIVRET, D'UN FICHIER SUR LE CD- ROM DU PRODUIT OU D'UN FICHIER DISPONIBLE SUR LE SITE WEB À PARTIR DUQUEL VOUS AVEZ TÉLÉCHARGÉ LE PACKAGE LOGICIEL). SI VOUS N'ACCEPTEZ PAS TOUTES LES DISPOSITIONS DE CET ACCORD, NE PROCÉDEZ PAS À L'INSTALLATION DU LOGICIEL. LE CAS ÉCHÉANT, VOUS POUVEZ RETOURNER LE PRODUIT À MCAFEE OU À VOTRE REVENDEUR AFIN D'EN OBTENIR LE REMBOURSEMENT INTÉGRAL. 2 McAfee epolicy Orchestrator Logiciel Guide produit

3 Sommaire Présentation du logiciel McAfee epolicy Orchestrator 1 Protection des réseaux avec le logiciel epolicy Orchestrator 13 Avantages du logiciel epolicy Orchestrator Présentation des composants Fonctionnement du logiciel Utilisation de l'interface epolicy Orchestrator 17 Navigation dans l'interface Utilisation du menu de navigation epolicy Orchestrator Personnalisation de la barre de navigation Catégories de paramètres serveur Utilisation des listes et des tableaux Filtrage d'une liste Recherche d'éléments de liste spécifiques Sélection des cases à cocher des lignes de tableau Configuration du serveur epolicy Orchestrator 3 Planification de la configuration d'epolicy Orchestrator 25 Eléments à prendre en compte concernant l'évolutivité Quand utiliser plusieurs serveurs McAfee epo Quand utiliser plusieurs gestionnaires d'agents distants Protocole IP dans un environnement managé Configuration de votre serveur McAfee epo 29 Présentation de la configuration du serveur Fonctionnalités essentielles Configuration des fonctionnalités essentielles Utilisation d'un serveur proxy Saisie du numéro de licence Tâches de post-configuration Comptes d'utilisateur et ensembles d'autorisations 35 Comptes d'utilisateur Types de comptes d'utilisateur Gestion des comptes d'utilisateur Création d'un message de connexion personnalisé Configuration de la connexion d'utilisateurs Active Directory Authentification par certificat client Modalités d'utilisation de l'authentification par certificat client Configuration d'epolicy Orchestrator pour l'authentification par certificat client Modification de l'authentification par certificat du serveur epolicy Orchestrator Désactivation de l'authentification par certificat client du serveur epolicy Orchestrator McAfee epolicy Orchestrator Logiciel Guide produit 3

4 Sommaire Configuration des utilisateurs pour l'authentification par certificat Mise à jour du fichier de liste de révocation de certificats Problèmes liés à l'authentification par certificat client Certificats SSL Création d'un certificat autosigné avec OpenSSL Autres commandes OpenSSL utiles Conversion d'un fichier PVK existant en fichier PEM Ensembles d'autorisations Interactions entre utilisateurs, groupes et ensembles d'autorisations Utilisation des ensembles d'autorisations Référentiels 59 Présentation des types de référentiels Types de référentiels distribués Branches de référentiels et leurs fonctions Fichier de liste de référentiels et utilisations possibles Interactions entre les référentiels Configuration initiale des référentiels Gestion des sites sources et de secours Création de sites sources Réattribution des rôles de site source et site de secours Modification de sites sources et de secours Suppression des sites sources ou désactivation des sites de secours Vérification de l'accès au site source Configuration des paramètres de proxy Configuration des paramètres de proxy pour McAfee Agent Configuration des paramètres de proxy pour les menaces de sécurité McAfee Labs Configuration des paramètres pour les mises à jour globales Utilisation de SuperAgents en tant que référentiels distribués Création de référentiels distribués SuperAgents Réplication des packages dans les référentiels SuperAgents Suppression de référentiels distribués SuperAgents Création et configuration de référentiels sur des serveurs FTP ou HTTP et des partages UNC Création d'un dossier Ajout du référentiel distribué à epolicy Orchestrator Pour éviter la réplication des packages sélectionnés Désactivation de la réplication de packages sélectionnés Activation du partage de dossier pour les référentiels HTTP et UNC Modification de référentiels distribués Suppression de référentiels distribués Utilisation de référentiels distribués locaux non managés Utilisation des fichiers de liste de référentiels Exportation du fichier de liste de référentiels SiteList.xml Exportation de la liste de référentiels à des fins de sauvegarde ou de partage avec d'autres serveurs Importation de référentiels distribués depuis le fichier de liste de référentiels Importation de sites sources à partir du fichier SiteMgr.xml Modification des informations d'identification sur plusieurs référentiels distribués Serveurs enregistrés 79 Enregistrement de serveurs McAfee epo Enregistrement de serveurs LDAP Enregistrement de serveurs SNMP Enregistrement d'un serveur de base de données Partage d'objets entre serveurs Exportation d'objets à partir d'epolicy Orchestrator McAfee epolicy Orchestrator Logiciel Guide produit

5 Sommaire Importation d'éléments dans epolicy Orchestrator Exportation et importation entre serveurs et versions de McAfee epo Exportation d'objets et de données à partir de votre serveur epolicy Orchestrator Gestionnaires d'agents 95 Fonctionnement des gestionnaires d'agents Priorité et groupes de gestionnaires Gestion des gestionnaires d'agents Affectation d'agents McAfee Agent aux gestionnaires d'agents Gestion des affectations de gestionnaire d'agents Création de groupes de gestionnaires d'agents Gestion des groupes de gestionnaires d'agents Déplacement d'agents entre gestionnaires d'agents Gestion de la sécurité du réseau 9 Arborescence des systèmes 105 Structure de l'arborescence des systèmes Eléments à prendre en compte lors de la planification de l'arborescence des systèmes Accès octroyé aux administrateurs Limites de l'environnement et impact sur l'organisation des systèmes Sous-réseaux et intervalles d'adresses IP Systèmes d'exploitation et logiciels Marqueurs et systèmes présentant des caractéristiques similaires Synchronisation avec Active Directory ou des domaines NT Synchronisation avec Active Directory Synchronisation avec des domaines NT Tri par critères Impact des paramètres sur le tri Critères de tri par adresse IP Critères de tri par marqueurs Tri et ordre des groupes Groupes de collecte Marqueurs Création de marqueurs au moyen du générateur de marqueurs Application planifiée de marqueurs par critères Exclusion de systèmes du marquage automatique Application de marqueurs à des systèmes sélectionnés Application automatique de marqueurs par critères à tous les systèmes correspondants Ajout d'un système dans l'arborescence des systèmes lors du tri Activation du tri de l'arborescence des systèmes sur le serveur Création et alimentation des groupes de l'arborescence des systèmes Création manuelle de groupes Ajout manuel de systèmes à un groupe existant Exportation de systèmes depuis l'arborescence des systèmes Importation de systèmes à partir d'un fichier texte Tri des systèmes dans des groupes avec critères Importation de conteneurs Active Directory Importation de domaines NT vers un groupe existant Planification de la synchronisation de l'arborescence des systèmes Mise à jour manuelle d'un groupe synchronisé avec un domaine NT Déplacement de systèmes au sein de l'arborescence des systèmes Transfert de systèmes entre serveurs Communication agent-serveur 135 Fonctionnement de la communication agent-serveur McAfee epolicy Orchestrator Logiciel Guide produit 5

6 Sommaire Intervalle de communication agent-serveur Gestion des interruptions de la communication agent-serveur Appels de réactivation et tâches Fonctionnement des SuperAgents SuperAgents et appels de réactivation de diffusion Conversion des agents en SuperAgents Mise en cache par le SuperAgent et interruptions de communication Hiérarchie de SuperAgents Fonction de relais de l'agent Communication par le biais de serveurs relais Activation de la fonction de relais Collecte des statistiques de McAfee Agent Désactivation de la fonction de relais Réponse aux événements de stratégie Exécution immédiate de tâches client Identification des agents inactifs Propriétés du système Windows et des produits communiquées par l'agent Requêtes fournies par McAfee Agent Autorisation de la mise en cache des informations d'identification pour le déploiement de l'agent. 151 Changement des ports de communication de l'agent Affichage des propriétés de l'agent et du produit Clés de sécurité Description et fonctionnement des clés de sécurité Paire de clés du référentiel maître Clés publiques d'autres référentiels Gestion des clés de référentiel Clés de communication sécurisée agent-serveur Sauvegarde et restauration des clés Gestionnaire de logiciels 163 Présentation du gestionnaire de logiciels Archivage, mise à jour et suppression de logiciels à l'aide du gestionnaire de logiciels Vérification de la compatibilité des produits Reconfiguration du téléchargement de la liste de compatibilité des produits Déploiement de produits 169 Choix de la méthode de déploiement de produits Avantages des projets de déploiement de produits Explications relatives à la page Déploiement de produits Affichage des journaux d'audit des déploiements de produits Déploiement de produits à l'aide d'un projet de déploiement de produits Surveillance et modification des projets de déploiement Gestion des stratégies 177 Stratégies et mise en œuvre de stratégies Attribution de stratégies Création et gestion de stratégies Création d'une stratégie depuis le catalogue de stratégies Gestion d'une stratégie existante à partir de la page Catalogue de stratégies Contrôle de la visibilité des stratégies des produits non pris en charge Configuration initiale des stratégies Gestion des stratégies Configuration de stratégies d'agent pour l'emploi d'un référentiel distribué Modification des propriétaires d'une stratégie Déplacement de stratégies entre serveurs McAfee epo Affectation d'une stratégie à un groupe de l'arborescence des systèmes McAfee epolicy Orchestrator Logiciel Guide produit

7 Sommaire Affectation d'une stratégie à un système managé Affectation d'une stratégie à des systèmes dans un groupe de l'arborescence des systèmes Mise en œuvre de stratégies associées à un produit sur un groupe de l'arborescence des systèmes Mise en œuvre de stratégies associées à un produit sur un système Copie d'affectations de stratégie Règles d'affectation de stratégie Priorité des règles d'affectation de stratégie Présentation des affectations de stratégie basée sur l'utilisateur Présentation des affectations de stratégie basée sur le système Utilisation de marqueurs pour affecter des stratégies basées sur le système Création de règles d'affectation de stratégie Gestion des règles d'affectation de stratégie Création de requêtes Gestion des stratégies Affichage des informations des stratégies Affichage des groupes et systèmes auxquels une stratégie est affectée Afficher les paramètres de stratégie Affichage du propriétaire d'une stratégie Affichage des affectations pour lesquelles la mise en œuvre des stratégies est désactivée. 197 Affichage des stratégies affectées à un groupe Affichage des stratégies affectées à un système spécifique Affichage de l'héritage des stratégies d'un groupe Affichage et réinitialisation des héritages bloqués Comparaison de stratégies Partage de stratégies entre serveurs McAfee epo Distribution d'une stratégie à plusieurs serveurs McAfee epo Enregistrement des serveurs pour le partage des stratégies Désignation des stratégies à partager Planification des tâches serveur pour le partage des stratégies Tâches client et serveur 203 Configuration initiale des tâches Tâches client Fonctionnement du catalogue de tâches client Tâches de déploiement Utilisation de la tâche Déploiement de produits pour l'installation de produits sur des systèmes managés Tâches de mise à jour Gestion des tâches client Tâches serveur Mise à jour globale Déploiement automatique de packages de mise à jour à l'aide de la mise à jour globale Tâches d'extraction Tâches de réplication Sélection de référentiels Syntaxe cron admise pour la planification d'une tâche serveur Affichage des informations sur les tâches d'extraction et de réplication dans le journal des tâches serveur Configuration de Product Improvement Program Gestion manuelle des packages et des mises à jour 223 Gestion de produits au travers des extensions Archivage manuel de packages Suppression de packages de fichiers DAT ou de moteur du référentiel maître Déplacement manuel de packages de moteur et de fichiers DAT d'une branche à une autre Archivage manuel de packages de mise à jour de fichiers DAT, Extra.DAT et de moteur McAfee epolicy Orchestrator Logiciel Guide produit 7

8 Sommaire 16 Evénements et réponses 227 Utilisation des réponses automatiques Interaction entre la fonctionnalité Réponses automatiques et l'arborescence des systèmes Limitation, agrégation et regroupement Règles par défaut Planification des réponses Configuration initiale des réponses Définition des modalités de transmission des événements Définition des événements à transmettre immédiatement Définition des événements à transmettre Configuration de la fonction Réponses automatiques Affectation d'ensembles d'autorisations pour les notifications Affectation d'autorisations pour la fonction Réponses automatiques Gestion des serveurs SNMP Définition des événements à transmettre au serveur Choix d'un intervalle pour les événements de notification epo Création et modification des règles de réponse automatique Description de la règle Définition de filtres pour la règle Définition de seuils pour les règles Configuration de l'action déclenchée par les règles de réponse automatique Menaces de sécurité McAfee Labs 241 Informations sur les menaces fournies par McAfee Labs Utilisation des menaces de sécurité McAfee Labs Configuration de la fréquence de mise à jour des menaces de sécurité McAfee Labs Affichage des notifications de menaces Suppression de notifications de menace Surveillance et génération de rapports sur l'état de sécurité de votre réseau 18 Tableaux de bord 247 Configuration initiale des tableaux de bord Utilisation des tableaux de bord Gestion des tableaux de bord Exportation et importation des tableaux de bord Utilisation des moniteurs de tableau de bord Gestion des moniteurs de tableau de bord Déplacement et redimensionnement des moniteurs de tableau de bord Tableaux de bord par défaut et moniteurs associés Spécification des tableaux de bord par défaut et des intervalles d'actualisation des tableaux de bord Requêtes et rapports 257 Autorisations sur les requêtes et les rapports Requêtes Générateur de requêtes Configuration initiale des requêtes et des rapports Utilisation des requêtes Gestion des requêtes personnalisées Exécution d'une requête Exécution d'une requête suivant une planification Création d'un groupe de requêtes Déplacement d'une requête vers un autre groupe Exportation et importation de requêtes McAfee epolicy Orchestrator Logiciel Guide produit

9 Sommaire Exportation des résultats d'une requête dans d'autres formats Requêtes avec données cumulées multiserveurs Création d'une tâche serveur Données cumulées Création d'une requête pour définir la conformité Génération d'événements de conformité Présentation des rapports Structure d'un rapport Utilisation des rapports Création d'un rapport Modification d'un rapport existant Affichage de la sortie d'un rapport Regroupement des rapports Exécution de rapports Exécution d'un rapport à l'aide d'une tâche serveur Exportation et importation de rapports Configuration du modèle et de l'emplacement des rapports exportés Suppression de rapports Configuration d'internet Explorer 8 pour accepter automatiquement les téléchargements de McAfee epo Utilisation des serveurs de base de données Utilisation des serveurs de base de données Modification d'un enregistrement de base de données Suppression d'une base de données enregistrée Problèmes et tickets 283 Description et fonctionnement des problèmes Utilisation des problèmes Création manuelle de problèmes de base Configuration des réponses pour déclencher la création automatique de problèmes Gestion des problèmes Purge des problèmes fermés Purge manuelle des problèmes fermés Purge des problèmes fermés suivant une planification Description et fonctionnement des tickets Méthodes d'ajout de tickets aux problèmes Affectation de problèmes avec ticket à des utilisateurs Fermeture des tickets et des problèmes avec ticket Avantages de l'ajout de commentaires aux problèmes avec ticket Réouverture des tickets Synchronisation d'un problème avec ticket Intégration avec les serveurs de gestion des tickets Impact de la suppression d'un serveur de gestion des tickets enregistré Champs obligatoires pour la mise en correspondance Exemples de correspondances Utilisation des tickets Ajout de tickets aux problèmes Synchronisation de problèmes avec ticket Synchronisation planifiée des problèmes avec ticket Utilisation des serveurs de gestion des tickets Installation des extensions pour le serveur de gestion des tickets Enregistrement et mise en correspondance d'un serveur de gestion des tickets Configuration des correspondances de champs Mise à niveau d'un serveur de gestion des tickets enregistré Fichiers journaux de McAfee epolicy Orchestrator 303 Journal d'audit McAfee epolicy Orchestrator Logiciel Guide produit 9

10 Sommaire Affichage et purge du journal d'audit Planification de la purge du journal d'audit Journal des tâches serveur Gestion du journal des tâches serveur Journal des événements de menace Consultation et purge du journal des événements de menace Planification de la purge du journal des événements de menace Reprise sur sinistre 309 Présentation de la reprise sur sinistre Composants de la reprise sur sinistre Fonctionnement de la reprise sur sinistre Présentation de l'instantané pour la reprise sur sinistre et de la sauvegarde Présentation de l'installation de restauration du serveur McAfee epo Configuration d'un instantané et restauration de la base de données SQL Configuration de la tâche serveur Instantané de serveur pour reprise sur sinistre Création d'un instantané Utilisation de Microsoft SQL pour sauvegarder et restaurer une base de données Paramètres serveur Reprise sur sinistre Configuration des paramètres serveur pour la reprise sur sinistre A Maintenance des bases de données epolicy Orchestrator 325 Eléments à prendre en compte pour un plan de maintenance SQL Sélection d'un mode de récupération de base de données SQL Défragmentation des données des tables Création d'un plan de maintenance SQL Modification des informations de connexion au serveur SQL Server B Etablissement d'une connexion à la console distante 333 C Questions fréquentes (FAQ) 335 Questions sur la gestion des stratégies Questions sur les événements et les réponses Index McAfee epolicy Orchestrator Logiciel Guide produit

11 Présentation du logiciel McAfee epolicy Orchestrator Familiarisez vous avec les composants d'epolicy Orchestrator et leur fonctionnement pour améliorer la sécurité des systèmes de votre réseau. Chapitre 1 Chapitre 2 Protection des réseaux avec le logiciel epolicy Orchestrator Utilisation de l'interface epolicy Orchestrator McAfee epolicy Orchestrator Logiciel Guide produit 11

12 Présentation du logiciel McAfee epolicy Orchestrator 12 McAfee epolicy Orchestrator Logiciel Guide produit

13 1 Protection 1 des réseaux avec le logiciel epolicy Orchestrator Le logiciel epolicy Orchestrator est un composant clé de la plate forme McAfee Security Management, qui offre une gestion unifiée de la sécurisation des postes clients, du réseau et des données. Réduisez les temps de réponse aux incidents, renforcez la protection et simplifiez la gestion des risques et de la sécurité avec les fonctionnalités d'automatisation d'epolicy Orchestrator et une visibilité de bout en bout sur le réseau. Sommaire Avantages du logiciel epolicy Orchestrator Présentation des composants Fonctionnement du logiciel Avantages du logiciel epolicy Orchestrator Le logiciel epolicy Orchestrator est une plate forme de gestion évolutive et extensible qui centralise la gestion et la mise en œuvre des stratégies relatives à vos produits de sécurité et aux systèmes sur lesquels ils sont installés. Il propose également des fonctionnalités complètes de déploiement de produits et de génération de rapports, par l'intermédiaire d'un point de contrôle unique. En utilisant un serveur epolicy Orchestrator, vous pouvez : déployer des produits de sécurité, des patches et des Service Pack sur les systèmes de votre réseau ; gérer les produits de sécurité hôte et réseau déployés sur vos systèmes par le biais de la mise en œuvre de stratégies de sécurité, de tâches client et de tâches serveur ; mettre à jour les fichiers de définition de détection (DAT), les moteurs antivirus et d'autres contenus de sécurité requis par vos logiciels de sécurisation afin de garantir la protection de vos systèmes managés. Présentation des composants Le logiciel epolicy Orchestrator comprend les composants suivants. Serveur McAfee epo Pièce centrale de votre environnement managé, le serveur assure la distribution des stratégies de sécurité et des tâches, le contrôle des mises à jour et le traitement des événements pour l'ensemble des systèmes managés. Base de données Il s'agit du dispositif de stockage central de toutes les données créées et utilisées par epolicy Orchestrator. La base de données peut être située au choix soit sur votre serveur McAfee epo, soit sur un système séparé, selon les besoins spécifiques de votre entreprise. McAfee epolicy Orchestrator Logiciel Guide produit 13

14 1 Protection des réseaux avec le logiciel epolicy Orchestrator Fonctionnement du logiciel McAfee Agent L'agent sert d'intermédiaire pour la transmission des informations et la mise en œuvre des stratégies entre le serveur epolicy Orchestrator et chaque système managé. L'agent extrait les mises à jour, assure la mise en œuvre des tâches et des stratégies, et transfère les événements pour le système managé. Il utilise un canal de données sécurisé séparé pour transmettre des données au serveur. Vous pouvez également configurer McAfee Agent en un SuperAgent. Référentiel maître Situé sur le serveur McAfee, le référentiel maître est l'emplacement de stockage central de toutes les mises à jour et signatures epolicy Orchestrator. C'est lui qui extrait les mises à jour et les signatures spécifiées par l'utilisateur à partir des sites sources de McAfee ou définis par l'utilisateur. Référentiels distribués Il s'agit des points d'accès locaux, placés de manière stratégique dans votre environnement, qui permettent aux agents de recevoir les signatures, les mises à jour et les installations de produits, tout en préservant autant que possible la bande passante du réseau. Suivant la configuration de votre réseau particulier, vous serez peut être amené à mettre en place des référentiels distribués sur des serveurs HTTP, des serveurs FTP ou des partages UNC, ou encore à créer des référentiels SuperAgents. Gestionnaires d'agents distants Il s'agit d'un serveur que vous pouvez installer à différents endroits du réseau afin d'améliorer la gestion de la communication des agents, l'équilibrage de la charge et la mise à jour des produits. Les gestionnaires d'agents distants sont composés d'un serveur Apache et d'un analyseur d'événements. Dans le cadre d'infrastructures réseau très étendues ou très complexes, leur utilisation vous donne un plus grand contrôle sur les communications agent serveur. Serveurs enregistrés Permettent d'enregistrer d'autres serveurs auprès de votre serveur epolicy Orchestrator. Les types de serveurs enregistrés sont les suivants : Serveur LDAP Permet l'utilisation des règles d'affectation de stratégie et l'activation de la création automatique de comptes d'utilisateur. Serveur SNMP Permet la réception des interruptions SNMP. Indiquez les détails du serveur SNMP pour qu'epolicy Orchestrator sache où envoyer les interruptions. Serveur de base de données Permet d'améliorer les outils de rapports avancés fournis avec le logiciel epolicy Orchestrator. Serveur de gestion des tickets Vous devez configurer un serveur de gestion des tickets enregistré afin d'associer des tickets à des problèmes. Le système exécutant l'extension de gestion des tickets doit être en mesure de résoudre l'adresse du système Service Desk. Il se peut que vous n'ayez besoin que de certains de ces composants, suivant les besoins de votre entreprise et le degré de complexité de votre réseau. Fonctionnement du logiciel Le logiciel McAfee epo est conçu pour être extrêmement flexible. Il peut être configuré de nombreuses façons pour répondre à vos besoins uniques. Le logiciel respecte le modèle client serveur classique, dans lequel un système client (système) appelle le serveur pour obtenir des instructions. Pour faciliter cet appel au serveur, McAfee Agent est déployé sur chaque système du réseau. Une fois qu'un agent est déployé sur un système, le système peut être managé par votre serveur epolicy Orchestrator. La communication sécurisée entre le serveur et le 14 McAfee epolicy Orchestrator Logiciel Guide produit

15 Protection des réseaux avec le logiciel epolicy Orchestrator Fonctionnement du logiciel 1 système managé est le lien qui relie tous les composants de votre logiciel epolicy Orchestrator. La figure ci dessous montre un exemple de la manière dont le serveur epolicy Orchestrator et les composants sont interconnectés dans votre environnement réseau sécurisé. 1 Le serveur epolicy Orchestrator se connecte au serveur de mise à jour de McAfee pour en extraire les derniers contenus de sécurité. 2 La base de données epolicy Orchestrator stocke toutes les données concernant les systèmes managés sur votre réseau, notamment : Propriétés système Informations sur les stratégies Structure des répertoires Toutes autres données pertinentes dont votre serveur a besoin pour maintenir vos systèmes à jour McAfee epolicy Orchestrator Logiciel Guide produit 15

16 1 Protection des réseaux avec le logiciel epolicy Orchestrator Fonctionnement du logiciel 3 McAfee Agent est déployé sur vos systèmes pour faciliter les éléments suivants : Mise en œuvre des stratégies Déploiements de produits et de mises à jour Génération de rapports sur vos systèmes managés 4 La communication sécurisée agent serveur s'effectue à intervalles réguliers entre vos systèmes et le serveur. Si des gestionnaires d'agents distants sont installés sur votre réseau, les agents communiquent avec le serveur à travers leurs gestionnaires d'agents affectés. 5 Les utilisateurs se connectent à la console epolicy Orchestrator pour effectuer des tâches de gestion de la sécurité, par exemple pour exécuter des requêtes générant des rapports sur l'état de la sécurité, ou pour manipuler les stratégies de sécurité des logiciels managés. 6 Le serveur de mise à jour de McAfee héberge les derniers contenus de sécurité afin que le serveur epolicy Orchestrator puisse extraire le contenu à intervalles planifiés. 7 Des référentiels distribués placés sur l'ensemble du réseau hébergent le contenu de sécurité localement, afin que les agents puissent recevoir les mises à jour plus rapidement. 8 Les gestionnaires d'agents distants permettent au réseau de gérer un plus grand nombre d'agents avec un seul serveur epolicy Orchestrator. 9 Les serveurs de gestion des tickets se connectent au serveur epolicy Orchestrator pour aider à gérer les problèmes et les tickets. 10 Les notifications de réponses automatiques sont envoyées aux administrateurs de la sécurité pour les avertir qu'un événement s'est produit. 16 McAfee epolicy Orchestrator Logiciel Guide produit

17 2 2 Utilisation de l'interface epolicy Orchestrator Connectez vous à l'interface d'epolicy Orchestrator pour configurer votre serveur McAfee epo et pour gérer et contrôler la sécurité de votre réseau. Sommaire Navigation dans l'interface Utilisation des listes et des tableaux Navigation dans l'interface L'interface epolicy Orchestrator emploie un modèle de navigation par menus, avec une barre de favoris personnalisable pour assurer un accès rapide aux fonctions souvent utilisées. Les sections de menu représentent les fonctionnalités de haut niveau du serveur epolicy Orchestrator. A mesure que vous ajoutez des produits managés à votre serveur, les pages d'interface associées sont ajoutées à une catégorie existante ou une nouvelle catégorie est créée dans le menu. Utilisation du menu de navigation epolicy Orchestrator Ouvrez le Menu d'epolicy Orchestrator pour naviguer dans l'interface epolicy Orchestrator. Le Menu utilise des catégories représentant les différentes fonctions et fonctionnalités de votre serveur McAfee epo. Chaque catégorie contient la liste des pages de fonctionnalités principales, associées à une icône unique. Sélectionnez une catégorie dans le Menu pour afficher et naviguer dans les pages principales qui composent cette fonctionnalité. McAfee epolicy Orchestrator Logiciel Guide produit 17

18 2 Utilisation de l'interface epolicy Orchestrator Navigation dans l'interface Personnalisation de la barre de navigation Personnalisez la barre de navigation pour disposer d'un accès rapide aux fonctions que vous utilisez le plus souvent. Vous pouvez décider quelles icônes afficher dans la barre de navigation en faisant glisser n'importe quel élément du menu vers cette barre ou en enlevant un élément de celle ci. Sur les systèmes dotés d'une résolution d'écran 1024 x 768, la barre de navigation peut afficher six icônes. Si vous placez plus de six icônes dans la barre de navigation, un menu de dépassement est créé dans la partie droite de la barre. Cliquez sur la flèche vers le bas pour accéder aux éléments du menu qui ne sont pas affichés dans la barre de navigation. Les icônes affichées dans la barre de navigation sont enregistrées en tant que préférences utilisateur. Par conséquent, la barre de navigation personnalisée de chaque utilisateur est toujours affichée, quelle que soit la console qu'il utilise pour se connecter au serveur. Catégories de paramètres serveur Voici les catégories de paramètres serveur disponibles par défaut dans le logiciel epolicy Orchestrator. Lorsque vous ajoutez un logiciel supplémentaire à McAfee epo, des paramètres serveur propres au produit sont ajoutés à la liste des catégories de paramètres serveur. Pour obtenir des informations sur les paramètres serveur liés à un produit, consultez la documentation du produit. Vous pouvez modifier les paramètres serveur depuis l'interface en accédant à la page Paramètres serveur de la section Configuration de l'interface d'epolicy Orchestrator. 18 McAfee epolicy Orchestrator Logiciel Guide produit

19 Utilisation de l'interface epolicy Orchestrator Navigation dans l'interface 2 Tableau 2-1 Catégories de paramètres serveur par défaut et descriptions Catégorie de paramètres serveur Groupes Active Directory Connexion d'utilisateurs Active Directory Informations d'identification pour le déploiement de l'agent Authentification par certificat Tableaux de bord Reprise sur sinistre Serveur de messagerie Filtrage des événements Notifications d'événements Mise à jour globale Clé de licence Message de connexion Maintenance des stratégies Ports Impression et exportation Liste de compatibilité des produits Product Improvement Program Paramètres de proxy Clés de sécurité Certificat de serveur Description Spécifie le serveur LDAP à utiliser pour chaque domaine. Spécifie si les membres des groupes Active Directory mappés peuvent se connecter au serveur à l'aide de leurs informations d'identification Active Directory une fois que la fonctionnalité de connexion des utilisateurs Active Directory a été totalement configurée. Spécifie si les utilisateurs sont autorisés à mettre en cache les informations d'identification pour le déploiement de l'agent. Spécifie si l'authentification par certificat est activée et si les paramètres et configurations nécessaires pour l'autorité de certification sont utilisés. Spécifie le tableau de bord actif par défaut qui est attribué aux comptes des nouveaux utilisateurs au moment de la création du compte, ainsi que la fréquence d'actualisation par défaut (5 minutes) pour les moniteurs de tableau de bord. Active et définit l'expression secrète de chiffrement de la banque de clés pour la reprise sur sinistre. Spécifie le serveur de messagerie utilisé par epolicy Orchestrator pour envoyer des e mails. Spécifie les événements que l'agent transmet. Spécifie l'intervalle auquel les événements de notification epolicy Orchestrator doivent être envoyés à la fonction Réponses automatiques. Spécifie si la mise à jour globale est activée et suivant quelles modalités. Spécifie la clé de licence utilisée pour enregistrer ce logiciel epolicy Orchestrator. Spécifie le message de connexion affiché, le cas échéant, aux utilisateurs de votre environnement lorsqu'ils accèdent à l'écran de connexion de la console epolicy Orchestrator. Indique si les stratégies destinées aux produits non pris en charge sont visibles ou masquées. Ce paramètre n'est nécessaire que dans le cas où epolicy Orchestrator a été mis à niveau à partir d'une version précédente. Spécifie les ports utilisés par le serveur lorsqu'il communique avec les agents et la base de données. Configure le mode d'exportation des informations vers d'autres formats, ainsi que le modèle des exportations PDF. Définit également l'emplacement par défaut des fichiers exportés. Spécifie si la liste de compatibilité des produits est automatiquement téléchargée et affiche les extensions de produit incompatibles. Spécifie si McAfee peut collecter des données de manière proactive et périodique depuis les systèmes clients managés par le serveur McAfee epo. Spécifie le type de paramètres de proxy configurés pour votre serveur McAfee epo. Définit et gère les clés de communication agent serveur sécurisées, ainsi que les clés de référentiels. Spécifie le certificat de serveur que votre serveur McAfee epo utilise pour la communication HTTPS avec les navigateurs. McAfee epolicy Orchestrator Logiciel Guide produit 19

20 2 Utilisation de l'interface epolicy Orchestrator Utilisation des listes et des tableaux Tableau 2-1 Catégories de paramètres serveur par défaut et descriptions (suite) Catégorie de paramètres serveur Evaluation de logiciels Sites sources Détails de configuration du système Tri de l'arborescence des systèmes Session utilisateur Description Spécifie les informations fournies requises pour permettre l'archivage et le déploiement de versions d'évaluation de logiciels à partir du gestionnaire de logiciels. Spécifie à quels sites sources votre serveur se connecte pour les mises à jour, ainsi que les sites à utiliser comme sites de secours. Spécifie les requêtes et les propriétés système affichées dans la page Systèmes : Détails pour vos systèmes managés. Précise si le tri de l'arborescence des systèmes est activé dans votre environnement et suivant quelles modalités. Spécifie la durée pendant laquelle un utilisateur peut être inactif avant que le système ne le déconnecte. Utilisation des listes et des tableaux Utilisez les fonctionnalités de recherche et de filtrage d'epolicy Orchestrator pour trier les données des tableaux. Filtrage d'une liste Les listes de l'interface epolicy Orchestrator contiennent de nombreuses informations. Utilisez les filtres prédéfinis ou personnalisés et la sélection des lignes pour restreindre une liste aux éléments pertinents. Tous les filtres ne sont pas nécessairement disponibles pour toutes les listes. Dans la barre située en haut de la liste, sélectionnez le filtre prédéfini ou personnalisé que vous souhaitez utiliser pour réduire la liste. Seuls les éléments remplissant les critères du filtre sont affichés. Sélectionnez les cases à cocher en regard des éléments qui vous intéressent, puis sélectionnez la case à cocher Afficher les lignes sélectionnées. Seules les lignes sélectionnées sont affichées. Recherche d'éléments de liste spécifiques Utilisez le filtre Recherche rapide pour trouver des éléments dans une grande liste. Les noms des requêtes par défaut peuvent être traduits en fonction de votre région. Lorsque vous communiquez avec des utilisateurs parlant d'autres langues, rappelez vous que les noms de requête peuvent être différents. 1 Entrez vos termes de recherche dans le champ Recherche rapide. 2 Cliquez sur Appliquer. 20 McAfee epolicy Orchestrator Logiciel Guide produit

21 Utilisation de l'interface epolicy Orchestrator Utilisation des listes et des tableaux 2 Seuls les éléments contenant les termes que vous avez saisis dans le champ Recherche rapide sont affichés. Cliquez sur Effacer pour supprimer le filtre et afficher tous les éléments de la liste. Sélection des cases à cocher des lignes de tableau L'interface utilisateur epolicy Orchestrator comporte des actions de sélection de lignes de tableau spéciales et des raccourcis vous permettant de sélectionner les cases à cocher des lignes de tableau en cliquant ou en appuyant sur la touche Maj et en cliquant. Sur certaines pages de résultats dans l'interface utilisateur epolicy Orchestrator, une case à cocher est affichée en regard de chaque élément du tableau. Ces cases à cocher vous permettent de sélectionner des lignes individuellement, des lignes en tant que groupe ou toutes les lignes du tableau. Ce tableau indique les raccourcis clavier utilisés pour sélectionner les cases à cocher des lignes de tableau. Pour sélectionner Action Lignes individuelles Groupe de lignes Cliquer sur les lignes individuelles. Cliquer sur une case à cocher, maintenir la touche Maj enfoncée et cliquer sur la dernière case à cocher du groupe. Résultat Sélectionne chaque ligne individuelle de manière indépendante. La sélection de la première et de la dernière ligne crée un groupe avec les lignes sélectionnées. L'utilisation de Maj + clic pour sélectionner plus de lignes d'un tableau peut entraîner un pic d'utilisation du processeur et déclencher un message d'erreur de script. Toutes les lignes Cliquer sur la case à cocher du haut, dans les en têtes du tableau. Sélectionne toutes les lignes du tableau. McAfee epolicy Orchestrator Logiciel Guide produit 21

22 2 Utilisation de l'interface epolicy Orchestrator Utilisation des listes et des tableaux 22 McAfee epolicy Orchestrator Logiciel Guide produit

23 Configuration du serveur epolicy Orchestrator La configuration de votre serveur epolicy Orchestrator est la première étape de la gestion de la sécurité de votre réseau. Chapitre 3 Chapitre 4 Chapitre 5 Chapitre 6 Chapitre 7 Chapitre 8 Planification de la configuration d'epolicy Orchestrator Configuration de votre serveur McAfee epo Comptes d'utilisateur et ensembles d'autorisations Référentiels Serveurs enregistrés Gestionnaires d'agents McAfee epolicy Orchestrator Logiciel Guide produit 23

24 Configuration du serveur epolicy Orchestrator 24 McAfee epolicy Orchestrator Logiciel Guide produit

25 3 3 Planification de la configuration d'epolicy Orchestrator Pour utiliser efficacement le serveur epolicy Orchestrator, vous devez créer un plan complet propre à votre environnement. L'organisation de l'infrastructure de serveur et les procédures de configuration nécessaires dépendent des besoins particuliers de votre environnement réseau. L'analyse préalable de ces éléments permet d'être opérationnel plus rapidement. Sommaire Eléments à prendre en compte concernant l'évolutivité Protocole IP dans un environnement managé Eléments à prendre en compte concernant l'évolutivité L'évolution de votre environnement sera gérée différemment selon que vous utilisez plusieurs serveurs epolicy Orchestrator, plusieurs gestionnaires d'agents distants, ou les deux. Avec le logiciel epolicy Orchestrator, vous pouvez faire évoluer votre réseau verticalement ou horizontalement. Evolutivité verticale Ajouter et mettre à jour avec du matériel plus puissant et plus rapide afin de gérer des déploiements de plus en plus étendus. Faire évoluer votre infrastructure de serveur epolicy Orchestrator verticalement consiste à mettre à jour votre matériel serveur et à utiliser plusieurs serveurs epolicy Orchestrator dans votre réseau, chacun disposant de sa propre base de données. Evolutivité horizontale Augmenter la taille de déploiement qu'un unique serveur epolicy Orchestrator peut gérer. Faire évoluer votre serveur horizontalement consiste à installer plusieurs gestionnaires d'agents distants, chacun dépendant d'une seule base de données. McAfee epolicy Orchestrator Logiciel Guide produit 25

26 3 Planification de la configuration d'epolicy Orchestrator Eléments à prendre en compte concernant l'évolutivité Quand utiliser plusieurs serveurs McAfee epo Selon la taille et la structure de votre organisation, vous devrez peut être utiliser plusieurs serveurs McAfee epo. Il est par exemple judicieux d'utiliser plusieurs serveurs dans les cas suivants : Vous voulez maintenir des bases de données séparées pour des unités distinctes au sein de votre organisation. Vous avez besoin d'infrastructures informatiques, de groupes administratifs ou d'environnements de test séparés. Votre organisation est distribuée sur une zone géographique étendue et utilise une connexion réseau avec une bande passante relativement faible, comme une connexion WAN, VPN ou d'autres types de connexions lentes reliant en règle générale les sites distants. Pour plus d'informations sur les besoins en bande passante, reportez vous au document Guide de dimensionnement du matériel et d'utilisation de la bande passante pour McAfee epolicy Orchestrator. L'utilisation de plusieurs serveurs sur votre réseau nécessite que vous mainteniez une base de données séparée pour chaque serveur. Vous pouvez cumuler les informations de chaque serveur sur votre serveur et votre base de données McAfee epo principaux. Quand utiliser plusieurs gestionnaires d'agents distants L'utilisation de plusieurs gestionnaires d'agents distants peut vous aider à gérer des déploiements importants sans ajouter des serveurs McAfee epo supplémentaires à votre environnement. Le gestionnaire d'agents est le composant du serveur epo chargé de gérer les demandes des agents. Chaque installation de serveur McAfee epo comprend un gestionnaire d'agents par défaut. Vous pourriez souhaiter utiliser plusieurs gestionnaires d'agents distants dans certains cas, notamment : Vous voulez permettre aux agents de choisir entre plusieurs périphériques physiques, afin qu'ils puissent continuer à appeler et à recevoir des stratégies, des tâches et des mises à jour de produits, même en cas d'indisponibilité du serveur d'applications, et vous ne voulez pas installer votre serveur epolicy Orchestrator en cluster. Votre infrastructure epolicy Orchestrator existante doit être étendue pour gérer plus d'agents, plus de produits ou une charge plus importante causée par des intervalles de communication agent serveur plus fréquents. Vous voulez utiliser votre serveur epolicy Orchestrator pour gérer des segments de réseau déconnectés, tels que des systèmes utilisant la traduction des adresses réseau (NAT, Network Address Translation) ou situés sur un réseau externe. Ceci est fonctionnel tant que le gestionnaire d'agents dispose d'une connexion à large bande passante vers la base de données epolicy Orchestrator. 26 McAfee epolicy Orchestrator Logiciel Guide produit

27 Planification de la configuration d'epolicy Orchestrator Protocole IP dans un environnement managé 3 L'utilisation de plusieurs gestionnaires d'agents permet une plus grande évolutivité et moins de complexité dans la gestion de déploiements importants. Toutefois, les gestionnaires d'agents nécessitant une connexion réseau très rapide, il n'est pas recommandé de les utiliser dans certains cas, par exemple : Pour remplacer des référentiels distribués. Les référentiels distribués sont des partages de fichiers locaux conçus pour maintenir le trafic de communication de l'agent au niveau local. Si les gestionnaires d'agents comportent des fonctionnalités de référentiel intégrées, ils nécessitent une communication permanente avec votre base de données epolicy Orchestrator, et par conséquent, consomment un volume considérable de bande passante. Pour améliorer la réplication de référentiels à travers une connexion de réseau étendu (WAN). La communication permanente vers la base de données requise par la réplication de référentiels peut saturer la connexion du réseau étendu. Pour connecter un segment de réseau déconnecté disposant d'une connectivité faible ou irrégulière vers la base de données epolicy Orchestrator. Protocole IP dans un environnement managé Le logiciel epolicy Orchestrator est compatible avec les deux versions du protocole IP (Internet Protocol), IPv4 et IPv6. Les serveurs epolicy Orchestrator offrent trois modes de fonctionnement : IPv4 uniquement Prend en charge le format d'adresse IPv4 uniquement. IPv6 uniquement Prend en charge le format d'adresse IPv6 uniquement. Mode mixte Prend en charge les deux formats d'adresse, IPv4 et IPv6. Le mode de fonctionnement de votre serveur epolicy Orchestrator dépend de la configuration de votre réseau. Si votre réseau est configuré pour n'utiliser que les adresses IPv4, par exemple, votre serveur fonctionnera en mode IPv4 uniquement. De même, si votre réseau est configuré pour utiliser les adresses IPv4 et IPv6, votre serveur fonctionnera en mode mixte. Jusqu'à ce qu'ipv6 soit installé et activé, votre serveur epolicy Orchestrator ne gère que les adresses IPv4. Une fois IPv6 activé, il fonctionne dans le mode dans lequel il est configuré. Avec IPv6, lorsque le serveur McAfee epo communique avec un gestionnaire d'agents ou Rogue System Sensor, les propriétés liées aux adresses, telles que les adresses IP et les adresses ou masques de sous réseau, sont reportées au format IPv6. Les propriétés liées à IPv6 sont affichées sous la forme étendue et sont mises entre crochets lorsqu'elles sont transmises entre le client et le serveur epolicy Orchestrator ou affichées dans l'interface utilisateur ou dans un fichier journal. Par exemple, 3FFE:85B:1F1F::A9:1234 est affiché de la manière suivante : [3FFE:085B:1F1F: 0000:0000:0000:00A9:1234]. Aucune modification des adresses IPv6 n'est requise lorsqu'elles sont configurées pour des sources FTP ou HTTP. Cependant, lors de la configuration d'une adresse littérale IPv6 pour une source UNC, vous devez utiliser le format littéral IPv6 de Microsoft. Consultez la documentation Microsoft pour de plus amples informations. McAfee epolicy Orchestrator Logiciel Guide produit 27

28 3 Planification de la configuration d'epolicy Orchestrator Protocole IP dans un environnement managé 28 McAfee epolicy Orchestrator Logiciel Guide produit

29 4 Configuration 4 de votre serveur McAfee epo Soyez opérationnel rapidement en configurant les fonctionnalités essentielles de votre serveur McAfee epo. Sommaire Présentation de la configuration du serveur Fonctionnalités essentielles Configuration des fonctionnalités essentielles Utilisation d'un serveur proxy Saisie du numéro de licence Tâches de post-configuration Présentation de la configuration du serveur La configuration de votre serveur epolicy Orchestrator doit s'effectuer en fonction des besoins spécifiques de votre environnement. Nous présentons ici les principales tâches de configuration à effectuer en vue de l'utilisation de votre serveur epolicy Orchestrator. Chaque étape fait l'objet d'un chapitre ou d'une section distincte dans ce guide produit. Vous y trouverez les informations détaillées nécessaires à la bonne compréhension des fonctionnalités du logiciel, ainsi que les différentes procédures à suivre pour les mettre en œuvre et les utiliser. Selon la taille et la complexité de votre réseau, vous n'aurez peut être pas à configurer toutes les fonctionnalités disponibles. Présentation des procédures Il s'agit d'un bref aperçu des étapes à suivre pour configurer votre serveur. De nombreux éléments représentent des ensembles de fonctionnalités ou des domaines fonctionnels propres au logiciel epolicy Orchestrator : 1 Configuration des fonctionnalités essentielles Le logiciel epolicy Orchestrator comporte des fonctionnalités essentielles indispensables à son bon fonctionnement. Utilisez l'outil Configuration assistée pour configurer les fonctionnalités essentielles de votre serveur McAfee epo. 2 Configuration des paramètres serveur généraux Les paramètres serveur de ce groupe affectent des fonctionnalités qu'il n'est pas nécessaire de modifier pour que votre serveur fonctionne correctement. Vous pouvez cependant personnaliser certains aspects du fonctionnement de votre serveur. McAfee epolicy Orchestrator Logiciel Guide produit 29

30 4 Configuration de votre serveur McAfee epo Fonctionnalités essentielles 3 Création de comptes d'utilisateur Les comptes d'utilisateur permettent aux utilisateurs d'accéder au serveur. 4 Configuration des ensembles d'autorisations Les ensembles d'autorisations accordent des droits et des accès aux fonctionnalités d'epolicy Orchestrator. 5 Configuration des paramètres serveur et des fonctionnalités avancés Votre serveur epolicy Orchestrator fournit des fonctions et fonctionnalités avancées vous permettant d'automatiser la gestion de la sécurité de votre réseau. 6 Configuration de composants supplémentaires Les composants supplémentaires tels que les référentiels distribués, les serveurs enregistrés et les gestionnaires d'agents sont requis pour utiliser un grand nombre des fonctionnalités avancées de votre logiciel epolicy Orchestrator. Fonctionnalités essentielles Plusieurs fonctionnalités du serveur McAfee epo sont essentielles à son fonctionnement et doivent être configurées avant que vous puissiez déployer et gérer des logiciels de sécurité sur les systèmes de votre réseau. Les fonctionnalités essentielles du serveur McAfee epo sont : Le gestionnaire de logiciels Permet d'archiver des logiciels de sécurité nouveaux et mis à jour dans le serveur epolicy Orchestrator et dans le référentiel maître à partir de la console. L'arborescence des systèmes Contient tous les systèmes managés par le serveur epolicy Orchestrator. Le catalogue de stratégies Section de l'interface où vous configurez les stratégies destinées à contrôler les logiciels de sécurité déployés sur vos systèmes managés. Le catalogue de tâches client Section de l'interface où vous créez, affectez et planifiez les tâches client pour automatiser les tâches qui s'exécutent sur vos systèmes managés. McAfee Agent Permet la gestion d'un système sur votre réseau. Une fois déployé, l'agent communique l'état et toutes les données associées entre le serveur et le système managé. Il représente le moyen par lequel les logiciels de sécurité sont déployés, les stratégies sont mises en œuvre et les tâches sont affectées. McAfee Agent est un logiciel indépendant nécessaire pour que le serveur epolicy Orchestrator gère les systèmes sur votre réseau. McAfee Agent est archivé automatiquement dans votre référentiel maître lors de l'installation initiale du logiciel McAfee epo. Cette version du logiciel comprend l'outil Configuration assistée d'epolicy Orchestrator. Cet outil est conçu pour vous aider à configurer ces fonctionnalités essentielles et à vous familiariser avec l'interface d'epolicy Orchestrator. L'outil Configuration assistée vous aide à réaliser les étapes requises pour : 1 extraire les logiciels de sécurité McAfee archivés dans le référentiel maître afin de les déployer sur les systèmes de votre réseau ; 2 ajouter vos systèmes dans l'arborescence des systèmes d'epolicy Orchestrator afin de les gérer ; 3 créer et affecter au moins une stratégie de sécurité à mettre en œuvre sur vos systèmes managés ; 4 planifier une tâche client de mise à jour pour maintenir vos logiciels de sécurité actualisés ; 5 déployer les logiciels de sécurité sur les systèmes managés. 30 McAfee epolicy Orchestrator Logiciel Guide produit

31 Configuration de votre serveur McAfee epo Configuration des fonctionnalités essentielles 4 L'utilisation de la configuration assistée n'est pas obligatoire. Vous pouvez effectuer chacune de ces étapes manuellement. Si vous choisissez une exécution manuelle, McAfee recommande tout de même de réaliser les diverses procédures de configuration dans un ordre similaire. Quelle que soit la méthode que vous choisissez pour configurer ces fonctionnalités, vous pouvez continuer à modifier et à affiner la configuration de votre serveur à l'aide de l'outil Configuration assistée ou en parcourant directement chaque page à partir du menu McAfee epo. Configuration des fonctionnalités essentielles Utilisez l'outil Configuration assistée pour parcourir les pages destinées à configurer les fonctionnalités essentielles. Exécutez chacune des étapes décrites dans la procédure ci dessous pour réaliser les tâches suivantes : Sélectionner les logiciels de sécurité à déployer sur les systèmes de votre réseau. Sélectionner les systèmes de votre réseau à gérer avec votre serveur McAfee epo et les ajouter à l'arborescence des systèmes. Configurer une stratégie par défaut à affecter et à mettre en œuvre sur vos systèmes managés. Planifier une tâche de mise à jour de produit afin de garantir que vos systèmes managés disposent des dernières mises à jour. Déployer les logiciels de sécurité sur vos systèmes managés. Vous n'êtes pas obligé d'effectuer chaque étape et vous pouvez y revenir aussi souvent que vous le souhaitez. Toutefois, McAfee conseille d'utiliser cet outil de configuration comme un Assistant et de réaliser les différentes étapes dans l'ordre proposé. Cela vous permettra de vous familiariser avec les différentes pages de l'interface qui contrôlent ces fonctionnalités et de pouvoir les utiliser sans l'outil de configuration par la suite. 1 Dans la console epolicy Orchestrator, cliquez sur Menu Rapports Tableaux de bord, puis sélectionnez Configuration assistée dans la liste déroulante Tableau de bord et cliquez sur Démarrer. 2 Vérifiez la présentation et les instructions relatives à la configuration assistée, puis cliquez sur Démarrer. 3 La page Sélection des logiciels s'affiche. Pour réaliser cette étape, procédez comme suit : a Sous la catégorie de produits Logiciels non archivés, cliquez sur Sous licence ou Evaluation pour afficher les produits disponibles. b c d Dans le tableau Logiciels, sélectionnez le produit à archiver. La description du produit et tous les composants disponibles sont affichés dans le tableau qui figure dessous. Cliquez sur Tout archiver pour archiver les extensions de produit dans votre serveur epolicy Orchestrator et les packages de produit dans votre référentiel maître. Cliquez sur Suivant en haut de l'écran lorsque vous avez terminé d'archiver les logiciels et que vous êtes prêt à passer à l'étape suivante. McAfee epolicy Orchestrator Logiciel Guide produit 31

32 4 Configuration de votre serveur McAfee epo Configuration des fonctionnalités essentielles 4 La page Sélection de systèmes s'affiche. Pour réaliser cette étape, procédez comme suit : a Sélectionnez dans l'arborescence des systèmes le groupe auquel vous souhaitez ajouter vos systèmes. Si vous n'avez pas défini de groupes personnalisés, sélectionnez Mon organisation, puis cliquez sur Suivant. La boîte de dialogue Ajout des systèmes s'affiche. b Sélectionnez la méthode à utiliser pour ajouter les systèmes à l'arborescence des systèmes : Méthode d'ajout des systèmes Synchronisation avec AD Manuelle Objectif Synchroniser votre serveur epolicy Orchestrator avec votre serveur Active Directory ou contrôleur de domaine. Si vous utilisez l'un ou l'autre dans l'environnement, la synchronisation avec Active Directory constitue la méthode la plus rapide pour ajouter les systèmes à l'arborescence. Ajouter manuellement les systèmes à l'arborescence des systèmes en indiquant les noms ou en recherchant une liste de systèmes par domaine. 1 Dans la boîte de dialogue Synchronisation avec AD, sélectionnez le type de synchronisation à utiliser et spécifiez les paramètres appropriés. 2 Cliquez sur Synchroniser et enregistrer pour passer à l'étape suivante. 1 Dans la page Nouveaux systèmes, cliquez sur Parcourir pour ajouter des systèmes individuels à partir d'un domaine et cliquez sur OK, ou entrez les noms des systèmes dans le champ Systèmes cibles. 2 Cliquez sur Ajouter des systèmes pour passer à l'étape suivante. 5 La page Configuration de stratégie s'affiche. Pour réaliser cette étape, procédez comme suit : Option à sélectionner Accepter les valeurs par défaut Configurer la stratégie Objectif Utiliser les paramètres de la stratégie My Default pour les logiciels à déployer et continuer la configuration. Spécifier des paramètres de stratégie personnalisés pour chaque logiciel que vous archivez. Cette étape est terminée. 1 Dans la boîte de dialogue Configuration de stratégie, cliquez sur OK. 2 Sélectionnez un produit dans la Liste des produits et cliquez sur My Default pour modifier les paramètres de stratégie par défaut. 3 Cliquez sur Suivant pour passer à l'étape suivante. 6 La page Mise à jour des logiciels s'affiche. Pour réaliser cette étape, procédez comme suit : 32 McAfee epolicy Orchestrator Logiciel Guide produit

33 Configuration de votre serveur McAfee epo Utilisation d'un serveur proxy 4 Option à sélectionner Créer une tâche par défaut Définir la planification de la tâche Objectif Créer automatiquement une tâche client de mise à jour de produit par défaut qui s'exécute tous les jours à minuit. Configurer manuellement la planification de votre tâche client de mise à jour de produit. Cette étape est terminée. 1 A l'aide du Générateur d'affectations de tâche client, spécifiez un Produit et le Nom de la tâche pour la tâche de mise à jour de produit. Ne modifiez pas le Type de tâche. Le Type de tâche doit être Mise à jour de produit 2 Configurez les options Verrouiller l'héritage de tâche et Marqueurs, puis cliquez sur Suivant. 3 Définissez la planification de la tâche de mise à jour, puis cliquez sur Suivant. 4 Passez en revue les données, puis cliquez sur Enregistrer. 7 La page Déploiement de logiciels s'affiche. Pour réaliser cette étape, procédez comme suit : a Dans l'arborescence des systèmes, sélectionnez l'emplacement contenant les systèmes sur lesquels vous souhaitez déployer les logiciels, puis cliquez sur Suivant. La boîte de dialogue Déploiement de logiciels s'ouvre. Cliquez sur OK pour poursuivre. b Définissez les paramètres du déploiement de McAfee Agent, puis cliquez sur Déployer. Cliquez sur Passer le déploiement d'agent si vous souhaitez effectuer cette opération ultérieurement. Toutefois, il est nécessaire de déployer les agents avant de déployer vos autres logiciels de sécurité. c La boîte de dialogue Déploiement de logiciels s'ouvre. Sélectionnez les packages de logiciels à déployer sur vos systèmes managés, puis cliquez sur Déployer. La boîte de dialogue Synthèse de la configuration s'ouvre. La configuration est terminée. Cliquez sur Terminer pour fermer l'outil Configuration assistée. Utilisation d'un serveur proxy Si vous utilisez un serveur proxy dans votre environnement réseau, vous devez spécifier les paramètres de proxy dans les paramètres serveur d'epolicy Orchestrator. 1 Cliquez sur Menu Configuration Paramètres serveur, sélectionnez Paramètres de proxy dans les Catégories de paramètres, puis cliquez sur Modifier. 2 Sélectionnez Configurer manuellement les paramètres de proxy, indiquez les informations de configuration spécifiques que votre serveur proxy utilise pour chaque ensemble d'options, puis cliquez sur Enregistrer. McAfee epolicy Orchestrator Logiciel Guide produit 33

34 4 Configuration de votre serveur McAfee epo Saisie du numéro de licence Saisie du numéro de licence Votre clé de licence vous donne droit à une installation complète du logiciel et alimente le gestionnaire de logiciels epolicy Orchestrator avec les logiciels McAfee sous licence détenus par votre entreprise. Sans clé de licence, votre logiciel s'exécute en mode d'évaluation. Une fois la période d'évaluation expirée, le logiciel ne fonctionne plus. Vous pouvez ajouter une clé de licence à tout moment pendant ou après la période d'évaluation. 1 Cliquez sur Menu Configuration Paramètres serveur, sélectionnez Clé de licence dans les Catégories de paramètres, puis cliquez sur Modifier. 2 Entrez la Clé de licence et cliquez sur Enregistrer. Tâches de post-configuration Après avoir configuré les fonctionnalités essentielles de votre serveur McAfee epo, réalisez les tâches de post configuration suivantes, le cas échéant. Créez les comptes d'utilisateur et les ensembles d'autorisations. Configurez la connexion d'utilisateurs Active Directory. Configurez l'authentification par certificat. Gérez les clés de sécurité. Configurez les sites sources et les sites de secours. Configurez les référentiels. Configurez les serveurs enregistrés. Déterminez les événements à transmettre au serveur. Configurez les paramètres pour la reprise sur sinistre. 34 McAfee epolicy Orchestrator Logiciel Guide produit

35 5 Comptes 5 d'utilisateur et ensembles d'autorisations Chaque compte d'utilisateur est associé à un ou plusieurs ensembles d'autorisations, lesquels définissent les actions autorisées de l'utilisateur dans le logiciel. Sommaire Comptes d'utilisateur Authentification par certificat client Ensembles d'autorisations Comptes d'utilisateur Les comptes d'utilisateur vous permettent de contrôler la manière dont les utilisateurs accèdent au logiciel et l'utilisent. Quelle que soit la taille de l'installation epolicy Orchestrator, vous devez obligatoirement spécifier et contrôler l'accès des utilisateurs aux différentes parties du système. Sommaire Types de comptes d'utilisateur Gestion des comptes d'utilisateur Création d'un message de connexion personnalisé Configuration de la connexion d'utilisateurs Active Directory Types de comptes d'utilisateur Il existe deux types d'utilisateurs : les administrateurs et les utilisateurs, dotés d'autorisations restreintes. Les comptes d'utilisateur peuvent être créés et gérés de différentes façons. Vous créez des comptes d'utilisateur manuellement, puis vous affectez un ensemble d'autorisations approprié à chaque compte. Vous configurez le serveur epolicy Orchestrator de manière à autoriser les utilisateurs à se connecter en utilisant l'authentification Windows. Permettre aux utilisateurs de se connecter avec leurs informations d'identification Windows constitue une fonctionnalité avancée, qui nécessite la configuration et la définition de plusieurs paramètres et composants. Pour plus d'informations sur cette option, reportez vous à la section Gestion des utilisateurs epolicy Orchestrator à l'aide d'active Directory. Même si les comptes d'utilisateur et les ensembles d'autorisations sont étroitement liés, ils sont créés et configurés à l'aide d'étapes différentes. Pour plus d'informations sur les ensembles d'autorisations, reportez vous à la section Configuration des ensembles d'autorisations. McAfee epolicy Orchestrator Logiciel Guide produit 35

36 5 Comptes d'utilisateur et ensembles d'autorisations Comptes d'utilisateur Gestion des comptes d'utilisateur Vous pouvez créer, modifier et supprimer des comptes d'utilisateur manuellement à partir de la page Gestion des utilisateurs. McAfee recommande de désactiver l'etat de connexion d'un compte plutôt que de le supprimer, du moins jusqu'à ce que vous ayez l'assurance que toutes les informations importantes associées au compte ont été transférées à d'autres utilisateurs. 1 Cliquez sur Menu Gestion des utilisateurs Utilisateurs pour afficher la page Gestion des utilisateurs. 2 Sélectionnez l'une des actions suivantes. Action Créer un utilisateur. Etapes Cliquez sur Nouvel utilisateur pour afficher la page Nouvel utilisateur. 1 Entrez un nom d'utilisateur. 2 Sélectionnez si l'état de connexion de ce compte doit être activé ou désactivé. Si ce compte est destiné à un utilisateur qui ne fait pas encore partie de l'organisation, il peut être souhaitable de le désactiver. 3 Indiquez si ce nouveau compte utilise l'authentification McAfee epo, l'authentification Windows ou l'authentification par certificat. Entrez les informations d'identification requises, ou recherchez et sélectionnez le certificat. 4 Vous pouvez également spécifier le nom complet de l'utilisateur, son adresse e mail, son numéro de téléphone et une description dans la zone de texte Remarques. 5 Précisez si l'utilisateur doit être un administrateur ou sélectionnez les ensembles d'autorisations appropriés. 6 Cliquez sur Enregistrer pour revenir à l onglet Utilisateurs. Le nouvel utilisateur apparaît dans la liste Utilisateurs de la page Gestion des utilisateurs. Modifier un utilisateur. Dans la liste Utilisateurs, sélectionnez l'utilisateur à modifier, puis cliquez sur Actions Modifier pour afficher la page Modifier l'utilisateur. 1 Modifiez le compte comme il convient. 2 Cliquez sur Enregistrer. Les modifications apportées à l'utilisateur apparaissent dans la liste Utilisateurs de la page Gestion des utilisateurs. Supprimer un utilisateur. Dans la liste Utilisateurs, sélectionnez l'utilisateur à supprimer, puis cliquez sur Actions Supprimer. Une boîte de dialogue de confirmation apparaît. Cliquez sur OK. L'utilisateur disparaît de la liste Utilisateurs de la page Gestion des utilisateurs. Création d'un message de connexion personnalisé Créez et affichez un message de connexion personnalisé qui sera affiché sur la page de connexion. Votre message peut être écrit en texte simple ou au format HTML. Si vous créez un message au format HTML, vous êtes responsable de la mise en forme et de l'ajout de caractères d'échappement. 36 McAfee epolicy Orchestrator Logiciel Guide produit

37 Comptes d'utilisateur et ensembles d'autorisations Comptes d'utilisateur 5 1 Cliquez sur Menu Configuration Paramètres serveur, sélectionnez Message de connexion dans les Catégories de paramètres, puis cliquez sur Modifier. 2 Sélectionnez Afficher un message de connexion personnalisé, puis entrez votre message et cliquez sur Enregistrer. Configuration de la connexion d'utilisateurs Active Directory Vous pouvez réduire la surcharge liée à cette gestion des comptes et des accès d'utilisateurs en configurant la connexion d'utilisateurs Active Directory. Sommaire Gestion des utilisateurs epolicy Orchestrator à l'aide d'active Directory Stratégies d'authentification et d'autorisation Windows Configuration de l'authentification et de l'autorisation Windows Gestion des utilisateurs epolicy Orchestrator à l'aide d'active Directory Vous pouvez utiliser des informations d'identification pré existantes et authentifiées par Windows pour créer automatiquement des utilisateurs epolicy Orchestrator et leur affecter des autorisations. Cette opération s'effectue par la mise en correspondance (mappage) des ensembles d'autorisations epolicy Orchestrator avec les groupes Active Directory dans votre environnement. Cette fonctionnalité permet de réduire la charge de gestion si votre organisation compte un grand nombre d'utilisateurs epolicy Orchestrator. Vous devez suivre les procédures suivantes pour effectuer la configuration : Configurer l'authentification utilisateur. Enregistrer les serveurs LDAP. Affecter des ensembles d'autorisations au groupe Active Directory. Authentification utilisateur Les utilisateurs epolicy Orchestrator peuvent être authentifiés au moyen de l'authentification par mot de passe epolicy Orchestrator ou de l'authentification Windows. Si vous utilisez l'authentification Windows, vous pouvez spécifier si les utilisateurs sont authentifiés : par rapport au domaine auquel appartient votre serveur McAfee epo (par défaut) ; par rapport à une liste d'un ou de plusieurs contrôleurs de domaine ; par rapport à une liste d'un ou de plusieurs noms de domaine DNS ; en utilisant un serveur WINS pour rechercher le contrôleur de domaine adéquat. Si vous utilisez des contrôleurs de domaine, des noms de domaine DNS ou un serveur WINS, vous devez configurer les paramètres serveur d'authentification Windows. Serveurs LDAP enregistrés Vous devez enregistrer des serveurs LDAP sur votre serveur McAfee epo pour que des ensembles d'autorisations puissent être affectés dynamiquement aux utilisateurs Windows. Les ensembles d'autorisations affectés dynamiquement sont affectés aux utilisateurs en fonction de leur appartenance à des groupes Active Directory. Les utilisateurs approuvés via des approbations externes unidirectionnelles ne sont pas pris en charge. McAfee epolicy Orchestrator Logiciel Guide produit 37

38 5 Comptes d'utilisateur et ensembles d'autorisations Comptes d'utilisateur Le compte d'utilisateur utilisé pour enregistrer le serveur LDAP dans epolicy Orchestrator doit être approuvé via une approbation transitive bidirectionnelle ou doit être physiquement présent dans le domaine auquel le serveur LDAP appartient. Autorisation Windows Les paramètres serveur pour l'autorisation Windows spécifient le serveur Active Directory utilisé par epolicy Orchestrator pour collecter les informations sur les utilisateurs et les groupes d'un domaine spécifique. Vous pouvez spécifier plusieurs contrôleurs de domaine et serveurs Active Directory. Ces paramètres serveur prennent en charge l'affectation dynamique d'ensembles d'autorisations aux utilisateurs qui fournissent des informations d'identification Windows lorsqu'ils se connectent. epolicy Orchestrator peut affecter dynamiquement des ensembles d'autorisations aux utilisateurs qui recourent à l'authentification Windows même si la fonction de connexion d'utilisateurs Active Directory n'est pas activée. Affectation d'autorisations Vous devez affecter au moins un ensemble d'autorisations à un groupe Active Directory autre que le groupe principal de l'utilisateur. L'affectation dynamique d'ensembles d'autorisations au groupe principal de l'utilisateur n'est pas prise en charge. Par conséquent, seules les autorisations manuellement affectées à l'utilisateur individuel sont appliquées. Le groupe principal par défaut est «Utilisateurs du domaine». Connexion d'utilisateurs Active Directory Une fois la configuration décrite dans les étapes précédentes effectuée, vous pouvez activer le paramètre serveur Création automatique d'utilisateurs. Celui ci permet de créer des enregistrements utilisateurs automatiquement lorsque les conditions suivantes sont remplies : Les utilisateurs fournissent des informations d'identification valides, au format <domaine\nom>. Par exemple, un utilisateur dont le nom d'utilisateur Windows est «jdupont1» et qui est membre du domaine Windows «fra» indiquera comme informations d'identification : «fra\jdupont» suivi de son mot de passe. Un serveur Active Directory contenant des informations à propos de cet utilisateur a été enregistré dans epolicy Orchestrator. L'utilisateur est membre d'au moins un groupe local de domaine ou groupe global de domaine, mappé à un ensemble d'autorisations epolicy Orchestrator. Stratégies d'authentification et d'autorisation Windows Vous pouvez adopter différentes approches lorsque vous envisagez l'enregistrement des serveurs LDAP. Prenez le temps de planifier votre stratégie d'enregistrement de serveurs. Cela vous aidera à trouver la solution optimale dès la première tentative et réduira les problèmes d'authentification des utilisateurs. Idéalement, il s'agit d'une procédure à effectuer une seule fois, et à modifier uniquement en cas de changement de la topologie générale de votre réseau. Une fois les serveurs enregistrés et l'authentification Windows configurée, il n'est normalement pas nécessaire de modifier ces paramètres très souvent. Authentification ou autorisation L'authentification revient à vérifier l'identité de l'utilisateur. Il s'agit de mettre en correspondance les informations d'identification fournies par l'utilisateur avec des informations que le système croit être authentiques. Cela peut être un compte serveur d'epolicy Orchestrator, des informations 38 McAfee epolicy Orchestrator Logiciel Guide produit

39 Comptes d'utilisateur et ensembles d'autorisations Comptes d'utilisateur 5 d'identification Active Directory ou un certificat. Si vous souhaitez utiliser l'authentification Windows, vous devrez examiner comment les domaines (ou les serveurs) contenant vos comptes d'utilisateur sont organisés. L'autorisation joue un rôle une fois les informations d'identification vérifiées. C'est à ce moment là que sont appliqués les ensembles d'autorisations, déterminant ce que l'utilisateur a le droit de faire au sein du système. En utilisant l'authentification Windows, vous pouvez déterminer les opérations que les utilisateurs de différents domaines sont autorisés à effectuer. Pour ce faire, les ensembles d'autorisations sont reliés à des groupes faisant partie de ces domaines. Topologie réseau des comptes d'utilisateur La charge de travail qui sera nécessaire pour configurer entièrement l'authentification et l'autorisation Windows dépend de la topologie de votre réseau et de la répartition des comptes d'utilisateur au sein de ce dernier. Si les informations d'identification de vos utilisateurs potentiels sont toutes contenues dans un petit ensemble de domaines (ou de serveurs) lui même étant dans une arborescence de domaine unique, il suffit d'enregistrer la racine de cette arborescence. Si les comptes d'utilisateur sont répartis plus largement, vous devrez enregistrer plusieurs serveurs ou domaines. Déterminez le nombre minimal de sous arbres de domaines (ou de serveurs) dont vous avez besoin et enregistrez les racines de ces arborescences. Essayez de les enregistrer dans l'ordre dans lequel ils seront utilisés le plus souvent. Comme le processus d'authentification parcourt la liste des domaines (ou des serveurs) dans l'ordre dans lequel ils sont répertoriés, indiquer les domaines les plus fréquemment utilisés en haut de la liste améliorera les performances moyennes de l'authentification. Structure d'autorisation Pour que les utilisateurs puissent se connecter à un serveur epolicy Orchestrator à l'aide de l'authentification Windows, un ensemble d'autorisations doit être lié au groupe Active Directory dont leur compte est membre sur leur domaine. Lorsque vous décidez de la manière dont les ensembles d'autorisations doivent être affectés, gardez à l'esprit les considérations suivantes : Les ensembles d'autorisations peuvent être affectés à plusieurs groupes Active Directory. Les ensembles d'autorisations peuvent être affectés dynamiquement uniquement à un groupe Active Directory complet. Ils ne peuvent pas être affectés à certains utilisateurs seulement au sein d'un groupe. Si vous devez affecter des autorisations spéciales à un utilisateur particulier, vous devez créer un groupe Active Directory contenant uniquement cet utilisateur pour ce faire. Configuration de l'authentification et de l'autorisation Windows Ces procédures vous aident à configurer la connexion des utilisateurs Active Directory. s Activation de l'authentification Windows sur le serveur McAfee epo, page 40 Pour pouvoir utiliser l'authentification Windows plus avancée, il est nécessaire de préparer le serveur au préalable. Configuration de l'authentification Windows, page 40 Il existe de nombreuses façons d'utiliser des informations d'identification de comptes Windows au sein d'epolicy Orchestrator. Configuration de l'autorisation Windows, page 41 Pour les utilisateurs qui souhaitent se connecter à un serveur epolicy Orchestrator à l'aide de l'authentification Windows, un ensemble d'autorisations doit être affecté à l'un de leurs groupes Active Directory. McAfee epolicy Orchestrator Logiciel Guide produit 39

40 5 Comptes d'utilisateur et ensembles d'autorisations Comptes d'utilisateur Activation de l'authentification Windows sur le serveur McAfee epo Pour pouvoir utiliser l'authentification Windows plus avancée, il est nécessaire de préparer le serveur au préalable. Pour activer la page Authentification Windows accessible via les paramètres serveur, vous devez d'abord arrêter le service epolicy Orchestrator. Cette procédure doit être exécutée sur le serveur McAfee epo lui même. 1 A partir de la console du serveur, sélectionnez Démarrer Paramètres Panneau de configuration Outils d'administration. 2 Sélectionnez Services. 3 Dans la fenêtre Services, cliquez avec le bouton droit sur Serveur d'applications McAfee epolicy Orchestrator et sélectionnez Arrêter. 4 Renommez le fichier Winauth.dll en Winauth.bak. Dans une installation par défaut, ce fichier se trouve dans le répertoire C:\Program Files\McAfee \epolicy Orchestrator\Server\bin. 5 Redémarrez le serveur. A la prochaine ouverture de la page Paramètres serveur, une option Authentification Windows sera affichée. Configuration de l'authentification Windows Il existe de nombreuses façons d'utiliser des informations d'identification de comptes Windows au sein d'epolicy Orchestrator. Avant de commencer Vous devez avoir préparé votre serveur au préalable pour l'authentification Windows. La manière de configurer ces paramètres dépend de plusieurs facteurs : Souhaitez vous utiliser plusieurs contrôleurs de domaine? Vos utilisateurs dépendent ils de plusieurs domaines? Souhaitez vous utiliser un serveur WINS pour rechercher le domaine utilisé pour l'authentification de vos utilisateurs? Sans configuration spéciale, les utilisateurs peuvent s'authentifier à l'aide des informations d'identification Windows pour le domaine auquel le serveur McAfee epo est rattaché, ou pour tout domaine disposant d'une relation d'approbation bidirectionnelle avec le domaine du serveur McAfee epo. Si certains utilisateurs dépendent de domaines qui ne satisfont pas à ces critères, configurez l'authentification Windows. 1 Cliquez sur Menu Configuration Paramètres serveur, puis sélectionnez Authentification Windows dans la liste des Catégories de paramètres. 2 Cliquez sur Modifier. 40 McAfee epolicy Orchestrator Logiciel Guide produit

41 Comptes d'utilisateur et ensembles d'autorisations Authentification par certificat client 5 3 Indiquez si vous souhaitez utiliser un ou plusieurs domaines, un ou plusieurs contrôleurs de domaine ou un serveur WINS. Les domaines doivent être indiqués au format DNS. (Par exemple, domaineinterne.com.) Les contrôleurs de domaine et les serveurs WINS doivent avoir des noms de domaine complets. (Par exemple, dc.domaineinterne.com.) Vous pouvez spécifier plusieurs domaines ou contrôleurs de domaine, mais un seul serveur WINS. Cliquez sur + pour ajouter d'autres domaines ou contrôleurs de domaine à la liste. 4 Une fois les serveurs ajoutés, cliquez sur Enregistrer. Si vous indiquez des domaines ou des contrôleurs de domaine, le serveur McAfee epo essaiera d'authentifier les utilisateurs auprès les serveurs dans l'ordre dans lequel ils sont répertoriés. Le premier serveur de la liste est utilisé, puis les suivants jusqu'à ce que l'utilisateur soit authentifié. Configuration de l'autorisation Windows Pour les utilisateurs qui souhaitent se connecter à un serveur epolicy Orchestrator à l'aide de l'authentification Windows, un ensemble d'autorisations doit être affecté à l'un de leurs groupes Active Directory. 1 Cliquez sur Menu Gestion des utilisateurs Ensembles d'autorisations. 2 Choisissez un ensemble d'autorisations existant dans la liste des Ensembles d'autorisations et cliquez sur Modifier dans la section Nom et utilisateurs, ou cliquez sur Actions Nouveau. 3 Sélectionnez les utilisateurs individuels auxquels l'ensemble d'autorisations s'applique. 4 Sélectionnez un Nom de serveur dans la liste et cliquez sur Ajouter. 5 Dans le navigateur LDAP, parcourez l'arborescence et sélectionnez les groupes auxquels cet ensemble d'autorisations s'applique. La sélection d'un élément dans le volet Parcourir affiche les membres de cet élément dans le volet Groupes. Vous pouvez sélectionner autant de groupes que nécessaire qui recevront dynamiquement l'ensemble d'autorisations. Vous ne pouvez ajouter des membres que d'un seul élément à la fois. Pour en ajouter davantage, répétez les étapes 4 et 5. 6 Cliquez sur Enregistrer. L'ensemble d'autorisations sera désormais appliqué à tous les utilisateurs des groupes spécifiés se connectant au serveur à l'aide de l'authentification Windows. Authentification par certificat client Les clients peuvent utiliser un certificat numérique comme informations d'identification pour l'authentification lorsqu'ils se connectent à un serveur McAfee epo. Sommaire Modalités d'utilisation de l'authentification par certificat client Configuration d'epolicy Orchestrator pour l'authentification par certificat client Modification de l'authentification par certificat du serveur epolicy Orchestrator Désactivation de l'authentification par certificat client du serveur epolicy Orchestrator Configuration des utilisateurs pour l'authentification par certificat McAfee epolicy Orchestrator Logiciel Guide produit 41

42 5 Comptes d'utilisateur et ensembles d'autorisations Authentification par certificat client Mise à jour du fichier de liste de révocation de certificats Problèmes liés à l'authentification par certificat client Certificats SSL Création d'un certificat autosigné avec OpenSSL Autres commandes OpenSSL utiles Conversion d'un fichier PVK existant en fichier PEM Modalités d'utilisation de l'authentification par certificat client L'authentification par certificat client est la méthode la plus sécurisée disponible. Toutefois, elle ne convient pas à tous les environnements. L'authentification par certificat client est une extension de l'authentification par clé publique. Elle emploie elle aussi des clés publiques, mais diffère en cela que vous ne devez autoriser qu'une seule entité de confiance, appelée autorité de certification. Les certificats sont des documents numériques associant des informations d'identité et des clés publiques, signés numériquement par l'autorité de certification qui vérifie si les informations sont correctes. Avantages de l'authentification par certificat L'authentification par certificat offre plusieurs avantages par rapport à l'authentification par mot de passe : Les certificats ont une durée de vie prédéfinie. Par conséquent, les autorisations d'un utilisateur sont régulièrement et automatiquement vérifiées au moment de l'expiration de son certificat. Si l'accès d'un utilisateur doit être suspendu ou révoqué, le certificat peut être ajouté à une liste de révocation de certificats qui est vérifiée à chaque tentative de connexion afin d'empêcher tout accès non autorisé. L'authentification par certificat offre une gestion plus simple et une évolutivité plus élevée que les autres formes d'authentification, surtout dans les grandes entreprises ou institutions, dans la mesure où seul un petit nombre d'autorités de certification (généralement une seule) doit être autorisé. Inconvénients de l'authentification par certificat L'authentification par certificat ne convient pas à tous les types d'environnement. Cette méthode comporte certains inconvénients, dont les suivants : Elle exige une infrastructure de clés publiques. Le niveau de sécurité supplémentaire conféré par cette méthode ne vaut pas toujours le surcoût qu'elle génère. Elle implique une charge de travail supplémentaire pour gérer les certificats par rapport à l'authentification par mot de passe. Configuration d'epolicy Orchestrator pour l'authentification par certificat client Avant que les utilisateurs puissent utiliser l'authentification par certificat pour se connecter, epolicy Orchestrator doit être configuré de la manière appropriée. Avant de commencer Vous devez être en possession d'un certificat signé au format P7B, PKCS12, DER ou PEM. 1 Cliquez sur Menu Configuration Paramètres serveur. 2 Sélectionnez Authentification par certificat et cliquez sur Modifier. 42 McAfee epolicy Orchestrator Logiciel Guide produit

43 Comptes d'utilisateur et ensembles d'autorisations Authentification par certificat client 5 3 Sélectionnez Activer l'authentification par certificat. 4 Cliquez sur Parcourir en regard de Certificat issu d'une autorité de certification pour client (P7B, PEM). 5 Accédez au fichier de certificat voulu, sélectionnez le, puis cliquez sur OK. 6 Si vous possédez un Fichier de liste de révocation de certificats, cliquez sur Parcourir en regard de cette zone modifiable, accédez au fichier requis puis cliquez sur OK. 7 Cliquez sur Enregistrer pour enregistrer toutes les modifications. 8 Redémarrez epolicy Orchestrator pour activer l'authentification par certificat. Modification de l'authentification par certificat du serveur epolicy Orchestrator Les serveurs ont besoin de certificats pour les connexions SSL, qui offrent une sécurité supérieure à celle des sessions HTTP standard. Avant de commencer Pour charger un certificat signé, vous devez avoir préalablement obtenu un certificat de serveur auprès d'une autorité de certification. Il est possible de créer des certificats autosignés au lieu d'utiliser des certificats signés par des sources externes, bien que cela implique un risque un peu plus élevé. Cette procédure permet d'effectuer la configuration initiale de l'authentification par certificat ou de modifier une configuration existante à l'aide d'un certificat mis à jour. 1 Cliquez sur Menu Configuration Paramètres serveur. 2 Sélectionnez Authentification par certificat et cliquez sur Modifier. 3 Sélectionnez Activer l'authentification par certificat. 4 Cliquez sur Parcourir en regard de Certificat client issu d'une autorité de certification. Accédez au fichier de certificat voulu, sélectionnez le, puis cliquez sur OK. Une fois le fichier appliqué, l'invite se change en Remplacer le certificat issu d'une autorité de certification actif. 5 Si vous avez fourni un fichier de certificat PKCS12, entrez un mot de passe. 6 Si vous souhaitez fournir un fichier de liste de révocation de certificats, cliquez sur Parcourir en regard de Fichier de liste de révocation de certificats (PEM). Accédez au fichier de liste de révocation de certificats, sélectionnez le, puis cliquez sur OK. La liste de révocation de certificats doit être au format PEM. 7 Le cas échéant, sélectionnez des paramètres avancés. 8 Cliquez sur Enregistrer pour enregistrer toutes les modifications. 9 Redémarrez le serveur pour prendre en compte les modifications apportées aux paramètres d'authentification par certificat. McAfee epolicy Orchestrator Logiciel Guide produit 43

44 5 Comptes d'utilisateur et ensembles d'autorisations Authentification par certificat client Désactivation de l'authentification par certificat client du serveur epolicy Orchestrator Les certificats de serveur peuvent et doivent être désactivés lorsqu'ils ne sont plus utilisés. Avant de commencer Le serveur doit déjà être configuré pour l'authentification par certificat client avant de pouvoir désactiver des certificats de serveur. Une fois qu'un certificat de serveur est chargé, vous pouvez uniquement le désactiver, pas le supprimer. 1 Pour accéder à la page Paramètres serveur, cliquez sur Menu Configuration Paramètres serveur. 2 Sélectionnez Authentification par certificat et cliquez sur Modifier. 3 Désélectionnez Activer l'authentification par certificat, puis cliquez sur Enregistrer. Les paramètres serveur ont été modifiés mais vous devez redémarrer le serveur afin que la modification de la configuration prenne effet. Configuration des utilisateurs pour l'authentification par certificat L'authentification par certificat doit être configurée pour les utilisateurs avant qu'ils ne puissent s'authentifier avec leur certificat numérique. Les certificats utilisés pour l'authentification des utilisateurs sont généralement achetés en même temps qu'une carte à puce ou un dispositif similaire. Le logiciel fourni avec le matériel de la carte à puce permet d'extraire le fichier de certificat. Il s'agit le plus souvent du fichier de certificat chargé dans cette procédure. 1 Cliquez sur Menu Gestion des utilisateurs Utilisateurs. 2 Sélectionnez un utilisateur et cliquez sur Actions Modifier. 3 Sélectionnez Modifier l'authentification ou les informations d'identification, puis Authentification par certificat. 4 Utilisez l'une des méthodes suivantes pour fournir les informations d'identification. Copiez le champ du nom unique à partir du fichier de certificat et collez le dans la zone modifiable Champ du nom unique du sujet du certificat personnel. Chargez le fichier de certificat signé à l'aide du certificat de l'autorité de certification qui a été chargé à la section Configuration d'epolicy Orchestrator pour l'authentification par certificat. Cliquez sur Parcourir, localisez le fichier de certificat sur votre ordinateur, sélectionnez le puis cliquez sur OK. Les certificats d'utilisateur peuvent être codés au format PEM ou DER. Le format de certificat n'a en soi aucune importance pour autant qu'il soit compatible avec le format X.509 ou PKCS12. 5 Cliquez sur Enregistrer pour enregistrer les modifications apportées à la configuration de l'utilisateur. Le système vérifie les informations du certificat fournies et génère un avertissement si elles ne sont pas valides. Dès ce moment, lorsque l'utilisateur tentera de se connecter à epolicy Orchestrator à 44 McAfee epolicy Orchestrator Logiciel Guide produit

45 Comptes d'utilisateur et ensembles d'autorisations Authentification par certificat client 5 partir d'un navigateur auquel son certificat a été ajouté, le formulaire de connexion s'affichera en grisé et l'utilisateur sera immédiatement authentifié. Mise à jour du fichier de liste de révocation de certificats Vous pouvez mettre à jour le fichier de liste de révocation de certificats installé sur votre serveur McAfee epo pour bloquer l'accès à epolicy Orchestrator de certains utilisateurs spécifiques. Avant de commencer Vous devez déjà disposer d'un fichier de liste de révocation de certificats au format ZIP ou PEM. Le fichier de liste de révocation de certificats contient la liste des utilisateurs epolicy Orchestrator révoqués et l'état de leur certificat numérique. Il répertorie les certificats révoqués, la ou les raisons de la révocation, les dates d'émission des certificats et l'entité émettrice. Lorsqu'un utilisateur tente d'accéder au serveur McAfee epo, le système vérifie le fichier de liste de révocation de certificats et octroie ou non l'accès à cet utilisateur. 1 Cliquez sur Menu Configuration Paramètres du serveur. 2 Sélectionnez Authentification par certificat et cliquez sur Modifier. 3 Pour mettre à jour le Fichier de liste de révocation de certificats, cliquez sur Parcourir en regard de cette zone modifiable, accédez au fichier requis puis cliquez sur OK. 4 Cliquez sur Enregistrer pour enregistrer toutes les modifications. 5 Redémarrez epolicy Orchestrator pour activer l'authentification par certificat. Vous pouvez également utiliser la ligne de commande curl pour mettre à jour le fichier de liste de révocation de certificats. Par exemple, saisissez ce qui suit dans la ligne de commande curl : Pour exécuter des commandes curl à partir de la ligne de commande, curl doit être installé et vous devez disposer d'un accès à distance au serveur McAfee epo. Consultez le Guide de création de scripts de McAfee epolicy Orchestrator pour les détails sur le téléchargement de curl et d'autres exemples. curl k cert <cert_admin>.pem key <clé_admin>.pem remote/console.cert.updatecrl.do F crlfile=@<liste_rev_certif>.zip Dans cette commande : <cert_admin> Nom du fichier.pem du certificat client administrateur <clé_admin> Nom du fichier.pem de la clé privée du client administrateur <localhost>:<port> Nom du serveur McAfee epo et numéro du port de communication <liste_rev_certif> Nom du fichier de liste de révocation de certificats.pem ou.zip Le nouveau fichier de liste de révocation de certificats est à présent vérifié chaque fois d'un utilisateur accède au serveur McAfee epo pour confirmer que le certificat d'authentification n'a pas été révoqué. Problèmes liés à l'authentification par certificat client La plupart des problèmes d'authentification au moyen de certificats sont dus à un petit nombre de causes. Si un utilisateur ne peut pas se connecter à epolicy Orchestrator avec son certificat, tentez de résoudre le problème en vérifiant ce qui suit : McAfee epolicy Orchestrator Logiciel Guide produit 45

46 5 Comptes d'utilisateur et ensembles d'autorisations Authentification par certificat client L'utilisateur n'a pas été désactivé. Le certificat n'est pas expiré ou n'a pas été révoqué. Le certificat est signé par l'autorité de certification correcte. Le champ du nom unique est correct dans la page de configuration de l'utilisateur. Le navigateur fournit le certificat approprié. Consultez le journal d'audit pour examiner les messages d'authentification. Certificats SSL Le navigateur pris en charge par McAfee epo affiche un message d'avertissement concernant le certificat SSL d'un serveur dans le cas où il ne peut pas vérifier que le certificat est valide ou signé par une source digne de confiance. Par défaut, le serveur McAfee epo utilise un certificat autosigné pour la communication SSL avec le navigateur web. Ce dernier, par défaut, n'approuve pas le certificat, ce qui entraîne l'affichage d'un message d'avertissement à chaque fois que vous consultez la console McAfee epo. Pour que ce message n'apparaisse plus, vous devez effectuer l'une des opérations suivantes : Ajoutez le certificat du serveur McAfee epo à l'ensemble des certificats approuvés utilisés par le navigateur. Cette opération doit être effectuée pour chaque navigateur qui interagit avec McAfee epo. Si le certificat du navigateur est modifié, vous devez ajouter à nouveau le certificat du serveur McAfee epo, car celui ci ne correspondra plus à celui qui est utilisé par le navigateur. Remplacez le certificat par défaut du serveur McAfee epo par un certificat valide signé par une autorité de certification approuvée par le navigateur. Il s'agit de la meilleure option. En effet, le certificat étant signé par une autorité de certification de confiance, vous ne devez pas l'ajouter à tous les navigateurs web de votre organisation. Si le nom d'hôte du serveur change, vous pouvez remplacer le certificat de serveur par un autre, signé lui aussi par une autorité de certification approuvée. Pour remplacer le certificat du serveur McAfee epo, vous devez préalablement obtenir un certificat, de préférence signé par une autorité de certification approuvée. Vous devez également obtenir la clé privée du certificat ainsi que son mot de passe, le cas échéant. Vous pouvez ensuite utiliser tous ces fichiers pour remplacer le certificat du serveur. Pour plus d'informations concernant le remplacement des certificats de serveur, consultez la rubrique Description et fonctionnement des clés de sécurité. Le navigateur de McAfee epo s'attend à ce que les fichiers liés soient aux formats suivants : Certificat de serveur : P7B ou PEM Clé privée : PEM Si le certificat de serveur et la clé privée ne sont pas enregistrés dans l'un de ces formats, ils doivent être convertis à l'un des formats pris en charge avant de pouvoir être utilisés en remplacement du certificat de serveur. Remplacement du certificat de serveur Vous pouvez spécifier le certificat de serveur et la clé privée utilisés par epolicy Orchestrator à l'aide des paramètres serveur. 46 McAfee epolicy Orchestrator Logiciel Guide produit

47 Comptes d'utilisateur et ensembles d'autorisations Authentification par certificat client 5 1 Cliquez sur Menu Configuration Paramètres serveur, puis sur Certificat de serveur dans la liste des Catégories de paramètres. 2 Cliquez sur Modifier. La page Certificat de serveur : Modifier s'affiche. 3 Recherchez le fichier de certificat de serveur et cliquez sur Ouvrir. 4 Recherchez le fichier de clé privée et cliquez sur Ouvrir. 5 Si nécessaire, tapez le mot de passe de la clé privée. 6 Cliquez sur Enregistrer. Après l'application du nouveau certificat et de la nouvelle clé privée, vous devez redémarrer epolicy Orchestrator pour que les modifications soient prises en compte. Installation d'un certificat de sécurité approuvé pour le navigateur McAfee epo Vous pouvez installer un certificat de sécurité approuvé pour le navigateur McAfee epo, afin d'éviter que le message d'avertissement concernant le certificat de serveur n'apparaisse à chaque connexion. s Installation du certificat de sécurité lors de l'utilisation d'internet Explorer, page 47 Vous pouvez installer le certificat de sécurité lorsque vous utilisez une version prise en charge d'internet Explorer pour que la boîte de dialogue d'avertissement correspondante ne s'affiche pas à chaque connexion. Installation du certificat de sécurité lors de l'utilisation de Firefox 3.5 ou version ultérieure, page 48 Vous pouvez installer le certificat de sécurité lorsque vous utilisez Firefox 3.5 ou version ultérieure, pour que la boîte de dialogue d'avertissement correspondante ne s'affiche pas à chaque connexion. Installation du certificat de sécurité lors de l'utilisation d'internet Explorer Vous pouvez installer le certificat de sécurité lorsque vous utilisez une version prise en charge d'internet Explorer pour que la boîte de dialogue d'avertissement correspondante ne s'affiche pas à chaque connexion. 1 A partir de votre navigateur, démarrez epolicy Orchestrator. La page Erreur de certificat : navigation bloquée s'affiche. 2 Cliquez sur Poursuivre avec ce site Web (non recommandé) pour ouvrir la page de connexion. La barre d'adresse est rouge, indiquant que le navigateur ne peut pas vérifier le certificat de sécurité. 3 A droite de la barre d'adresse, cliquez sur Erreur de certificat pour afficher le message d'avertissement concernant le certificat non valide. 4 Au bas du message d'avertissement, cliquez sur Afficher les certificats pour ouvrir la boîte de dialogue Certificat. Ne cliquez pas sur Installer le certificat dans l'onglet Général. Cela provoquerait l'échec de la procédure. McAfee epolicy Orchestrator Logiciel Guide produit 47

48 5 Comptes d'utilisateur et ensembles d'autorisations Authentification par certificat client 5 Sélectionnez l'onglet Chemin d'accès de certification, puis Orion_CA_<nom_serveur> et cliquez sur Afficher le certificat. L'onglet Général d'une nouvelle boîte de dialogue Certificat s'ouvre, affichant les Informations sur le certificat. 6 Cliquez sur Installer le certificat pour ouvrir l'assistant Importation de certificat. 7 Cliquez sur Suivant pour spécifier l'emplacement du certificat. 8 Sélectionnez Placer tous les certificats dans le magasin suivant, puis cliquez sur Parcourir pour sélectionner un emplacement. 9 Dans la liste, sélectionnez le dossier Autorités de certification racines de confiance, cliquez sur OK, puis sur Suivant. 10 Cliquez sur Terminer. Dans le message d'avertissement de sécurité qui apparaît, cliquez sur Oui. 11 Fermez le navigateur. 12 Modifiez la cible du raccourci du bureau epolicy Orchestrator afin d'utiliser le nom NetBIOS du serveur epolicy Orchestrator au lieu de «localhost». 13 Redémarrez epolicy Orchestrator. Désormais, vous n'êtes plus invité à accepter le certificat lorsque vous vous connectez à epolicy Orchestrator. Installation du certificat de sécurité lors de l'utilisation de Firefox 3.5 ou version ultérieure Vous pouvez installer le certificat de sécurité lorsque vous utilisez Firefox 3.5 ou version ultérieure, pour que la boîte de dialogue d'avertissement correspondante ne s'affiche pas à chaque connexion. 1 A partir de votre navigateur, démarrez epolicy Orchestrator. La page Echec de la connexion sécurisée s'affiche. 2 Cliquez sur Ou vous pouvez ajouter une exception au bas de la page. Le bouton Ajouter une exception est désormais affiché. 3 Cliquez sur Ajouter une exception. La boîte de dialogue Ajout d'une exception de sécurité apparaît. 4 Cliquez sur Obtenir le certificat. L'information Etat du certificat est renseignée et le bouton Confirmer l'exception de sécurité est activé. 5 Assurez vous que Conserver cette exception de façon permanente est activé, puis cliquez sur Confirmer l'exception de sécurité. Désormais, vous n'êtes plus invité à accepter le certificat lorsque vous vous connectez à epolicy Orchestrator. Création d'un certificat autosigné avec OpenSSL Il arrivera parfois que vous ne souhaitiez pas, ou que nous ne puissiez pas attendre qu'un certificat soit authentifié par une autorité de certification. Pendant un test initial ou pour des systèmes utilisés 48 McAfee epolicy Orchestrator Logiciel Guide produit

49 Comptes d'utilisateur et ensembles d'autorisations Authentification par certificat client 5 sur des réseaux internes, un certificat autosigné peut offrir la sécurité et les fonctionnalités de base nécessaires. Avant de commencer Pour créer un certificat autosigné, vous devez installer le logiciel OpenSSL pour Windows. OpenSSL est disponible sur le site : Pour créer un certificat autosigné en vue de l'utiliser avec votre serveur McAfee epo, utilisez le logiciel OpenSSL pour Windows. Il existe de nombreux outils que vous pouvez utiliser pour créer un certificat autosigné. La procédure décrite ci dessous emploie le logiciel OpenSSL. La structure de fichiers utilisée dans la procédure est la suivante : OpenSSL ne crée par ces dossiers par défaut. Ils sont utilisés dans ces exemples et peuvent être créés pour vous aider à trouver les fichiers de sortie. C:\ssl\ Dossier d'installation d'openssl. C:\ssl\certs\ Utilisé pour stocker les certificats créés. C:\ssl\keys\ Utilisé pour créer les clés créées. C:\ssl\requests\ Utilisé pour stocker les demandes de certification créées. 1 Pour générer la clé de certificat initiale, saisissez ce qui suit dans la ligne de commande : C:\ssl\bin>openssl genrsa des3 out C:/ssl/keys/ca.key 1024 L'écran suivant s'affiche. McAfee epolicy Orchestrator Logiciel Guide produit 49

50 5 Comptes d'utilisateur et ensembles d'autorisations Authentification par certificat client 2 Entrez une expression secrète à la première invite de commande et confirmez la à la deuxième invite. Notez l'expression secrète que vous avez entrée. Vous en aurez besoin ultérieurement. Le fichier nommé ca.key est généré et stocké dans le dossier C:\ssl\keys\. La clé ressemble à l'exemple suivant. 3 Pour autosigner la clé de certificat que vous avez créée, saisissez ce qui suit dans la ligne de commande : openssl req new x509 days 365 key C:/ssl/keys/ca.key out C:/ssl/certs/ca.cer L'écran suivant s'affiche. Entrez les informations requises aux invites de commande suivantes : Country Name (2 letter code) [AU]: State or Province Name (full name) [Some State]: Locality Name (eg, city) []: Organization Name (eg, company) [Internet Widgits Pty Ltd]: 50 McAfee epolicy Orchestrator Logiciel Guide produit

51 Comptes d'utilisateur et ensembles d'autorisations Authentification par certificat client 5 Organizational Unit Name (eg, section) []: Common Name (eg, YOUR name) []: A cette invite de commande, saisissez le nom de votre serveur, par exemple le nom de votre serveur McAfee epo. Address []: Le fichier nommé ca.cer est généré et stocké dans le dossier C:\ssl\certs\. Le certificat autosigné ressemble à l'exemple suivant. Si vous souhaitez qu'une société tierce, par exemple, VeriSign ou Microsoft Windows Enterprise Certificate Authority, crée un certificat signé pour epolicy Orchestrator, consultez l'article de la base de connaissances KB Pour charger et gérer le certificat sur le serveur epolicy Orchestrator, consultez la section Configuration d'epolicy Orchestrator pour l'authentification par certificat. Autres commandes OpenSSL utiles Vous pouvez utiliser d'autres commandes OpenSSL pour extraire et combiner les clés dans des certificats PKCS12 générés et pour convertir un fichier PEM de clé privée protégé par mot de passe, en fichier non protégé par mot de passe. Commandes à utiliser avec les certificats PKCS12 Utilisez les commandes suivantes pour créer un certificat PKCS12 avec à la fois le certificat et la clé dans un seul fichier. Description Créez un certificat et une clé dans un seul fichier. Exportez la version PKCS12 du certificat. Format de commande OpenSSL openssl req x509 nodes days 365 newkey rsa:1024 config chemin\openssl.cnf keyout chemin\pkcs12example.pem out chemin\pkcs12example.pem openssl pkcs12 export out chemin\pkcs12example.pfx in chemin\pkcs12example.pem name "chaîne_nom_utilisateur" Utilisez les commandes suivantes pour séparer le certificat et la clé d'un certificat PKCS12 dans lequel ils sont combinés. McAfee epolicy Orchestrator Logiciel Guide produit 51

52 5 Comptes d'utilisateur et ensembles d'autorisations Ensembles d'autorisations Description Extrait la clé.pem du fichier.pfx. Supprime le mot de passe de la clé. Format de commande OpenSSL openssl pkcs12 in pkcs12examplekey.pfx out pkcs12examplekey.pem openssl rsa in pkcs12examplekey.pem out pkcs12examplekeynopw.pem epolicy Orchestrator peut alors utiliser le fichier pkcs12examplecert.pem comme certificat et le fichier pkcs12examplekey.pem comme clé (ou le fichier pkcs12examplekeynopw.pem comme clé sans mot de passe). Commande de conversion d'un fichier PEM de clé privée protégé par mot de passe Pour convertir un fichier PEM de clé privée protégé par mot de passe en fichier non protégé par mot de passe, utilisez la commande suivante : openssl rsa in C:\ssl\keys\key.pem out C:\ssl\keys\keyNoPassword.pem Dans l'exemple précédent, «C:\ssl\keys» est le chemin d'accès en entrée et en sortie pour les noms de fichiers «key.pem» et «keynopassword.pem». Conversion d'un fichier PVK existant en fichier PEM Le navigateur epolicy Orchestrator prend en charge les clés privées codées au format PEM. Cela comprend à la fois les clés privées protégées et non protégées par mot de passe. Vous pouvez convertir une clé au format PVK en format PEM à l'aide d'openssl. Avant de commencer Pour convertir le fichier au format PVK, installez le logiciel OpenSSL pour Windows. Ce produit est disponible sur le site : A l'aide du logiciel OpenSSL pour Windows, convertissez votre certificat au format PVK en format PEM. 1 Pour convertir un fichier PVK créé précédemment en fichier PEM, saisissez la commande suivante à partir de la ligne de commande : openssl rsa inform PVK outform PEM in C:\ssl\keys\myPrivateKey.pvk out C:\ssl \keys\myprivatekey.pem passin pass:p@$$w0rd passout pass:p@$$w0rd Dans cet exemple, les arguments «passin» et «passout» sont facultatifs. 2 Si vous y êtes invité, saisissez le mot de passe utilisé lors de la création du fichier PVK. Dans l'exemple précédent, si l'argument «passout» n'est pas utilisé, la nouvelle clé créée au format PEM n'est pas protégée par mot de passe. Ensembles d'autorisations Les ensembles d'autorisations contrôlent le niveau d'accès des utilisateurs aux fonctionnalités du logiciel. Quelle que soit la taille de l'installation epolicy Orchestrator, vous devez obligatoirement spécifier et contrôler l'accès des utilisateurs aux différentes parties du système. 52 McAfee epolicy Orchestrator Logiciel Guide produit

53 Comptes d'utilisateur et ensembles d'autorisations Ensembles d'autorisations 5 Sommaire Interactions entre utilisateurs, groupes et ensembles d'autorisations Utilisation des ensembles d'autorisations Interactions entre utilisateurs, groupes et ensembles d'autorisations L'accès aux éléments d'epolicy Orchestrator est contrôlé par les interactions entre les utilisateurs, les groupes et les ensembles d'autorisations. Utilisateurs Les utilisateurs sont généralement classés en deux grandes catégories. Il s'agit soit d'administrateurs bénéficiant de droits complets sur l'ensemble du système, soit d'utilisateurs normaux. Les utilisateurs normaux peuvent être affectés de plusieurs ensembles d'autorisations qui définissent leur niveau d'accès à epolicy Orchestrator. Les comptes d'utilisateur peuvent être créés et gérés de différentes façons. Vous créez des comptes d'utilisateur manuellement, puis vous affectez un ensemble d'autorisations approprié à chaque compte. Vous configurez le serveur epolicy Orchestrator de manière à autoriser les utilisateurs à se connecter en utilisant l'authentification Windows. Permettre aux utilisateurs de se connecter avec leurs informations d'identification Windows constitue une fonctionnalité avancée, qui nécessite la configuration et la définition de plusieurs paramètres et composants. Pour plus d'informations sur cette option, reportez vous à la section Gestion des utilisateurs epolicy Orchestrator à l'aide d'active Directory. Même si les comptes d'utilisateur et les ensembles d'autorisations sont étroitement liés, ils sont créés et configurés à l'aide d'étapes différentes. Pour plus d'informations sur les ensembles d'autorisations, reportez vous à la section Gestion des ensembles d'autorisations. Administrateurs Les administrateurs disposent d'autorisations en écriture et en lecture, ainsi que de droits sur toutes les opérations. Lors de l'installation du serveur, un compte d'administrateur est créé automatiquement. Par défaut, le nom d'utilisateur pour ce compte est admin. Si la valeur par défaut est modifiée pendant l'installation, ce compte est nommé en conséquence. Vous pouvez créer des comptes d'administrateur supplémentaires pour les utilisateurs qui requièrent les droits d'administrateur. Autorisations exclusivement réservées aux administrateurs : Créer, modifier et supprimer des sites sources et de secours. Modifier les paramètres serveur. Ajouter et supprimer des comptes d'utilisateur. Ajouter, supprimer et affecter des ensembles d'autorisations. Importer des événements dans les bases de données epolicy Orchestrator et limiter le nombre d'événements qui y sont stockés. McAfee epolicy Orchestrator Logiciel Guide produit 53

54 5 Comptes d'utilisateur et ensembles d'autorisations Ensembles d'autorisations Groupes Les requêtes et les rapports sont affectés à des groupes. Chaque groupe peut être privé (réservé à un seul utilisateur), public (ou partagé) globalement ou partagé par un ou plusieurs ensembles d'autorisations. Ensembles d'autorisations Un profil d'accès particulier est défini au sein d'un ensemble d'autorisations. Il s'agit généralement d'une combinaison de plusieurs niveaux d'accès à diverses parties d'epolicy Orchestrator. Par exemple, un seul ensemble d'autorisations peut permettre de lire le journal d'audit, d'utiliser des tableaux de bord publics et partagés et de créer ou de modifier des rapports ou requêtes publics. Les ensembles d'autorisations peuvent être affectés à des utilisateurs individuels ou, si vous utilisez Active Directory, à tous les utilisateurs de serveurs Active Directory spécifiques. Utilisation des ensembles d'autorisations Vous pouvez contrôler les accès des utilisateurs ainsi que créer et modifier des ensembles d'autorisations depuis la page Ensembles d'autorisations. s Gestion des ensembles d'autorisations, page 54 Vous pouvez contrôler les accès des utilisateurs ainsi que créer, modifier, exporter et importer des ensembles d'autorisations depuis la page Ensembles d'autorisations. Exportation et importation des ensembles d'autorisations, page 56 Dès que vous avez terminé de définir vos ensembles d'autorisations, la solution la plus rapide pour les faire migrer vers d'autres serveurs McAfee epo consiste à les exporter sur d'autres serveurs. Gestion des ensembles d'autorisations Vous pouvez contrôler les accès des utilisateurs ainsi que créer, modifier, exporter et importer des ensembles d'autorisations depuis la page Ensembles d'autorisations. Dès que vous avez terminé de définir vos ensembles d'autorisations, la solution la plus rapide pour les faire migrer vers d'autres serveurs epolicy Orchestrator consiste à les exporter puis à les importer sur d'autres serveurs. 1 Pour ouvrir la page Ensemble d'autorisations, cliquez sur Menu Gestion des utilisateurs Ensembles d'autorisations. 2 Sélectionnez l'une des actions suivantes. 54 McAfee epolicy Orchestrator Logiciel Guide produit

55 Comptes d'utilisateur et ensembles d'autorisations Ensembles d'autorisations 5 Action Créer un ensemble d'autorisations. Etapes 1 Cliquez sur Actions Nouveau. 2 Attribuez un nom au nouvel ensemble d'autorisations. epolicy Orchestrator ne vous permet pas d'utiliser un nom qui existe déjà. Chaque nom d'ensemble d'autorisations doit être unique. 3 Si vous souhaitez affecter immédiatement des utilisateurs spécifiques à cet ensemble d'autorisations, sélectionnez leurs noms dans la section Utilisateurs. 4 Si vous possédez un groupe d'utilisateurs Active Directory dont tous les utilisateurs doivent être associés à cet ensemble d'autorisations, sélectionnez le serveur dans la liste Nom du serveur et cliquez sur Ajouter. 5 Si vous avez ajouté des serveurs Active Directory que vous souhaitez supprimer, sélectionnez les dans la zone de liste Active Directory et cliquez sur Supprimer. 6 Cliquez sur Enregistrer pour créer l'ensemble d'autorisations. A ce stade, vous avez créé l'ensemble d'autorisations sans lui avoir encore affecté d'autorisations. Modifier un ensemble d'autorisations existant. 1 Sélectionnez l'ensemble d'autorisations à modifier. Les détails sont affichés dans le volet de droite. Si vous venez de créer un ensemble d'autorisations, ce dernier est déjà sélectionné. 2 Pour sélectionner une catégorie d'autorisations à modifier, cliquez sur Modifier sur la ligne de cette catégorie. Les options relatives à la catégorie d'autorisations sélectionnée s'affichent. 3 Modifiez les autorisations comme il convient, puis cliquez sur Enregistrer. Les modifications apportées à l'ensemble d'autorisations sont validées dans la base de données. Il n'est pas nécessaire de cliquer sur Enregistrer lorsque vous avez fini de modifier l'ensemble d'autorisations. Les modifications sont enregistrées automatiquement lorsque vous modifiez chaque catégorie individuelle. Les modifications apportées sont immédiatement répercutées dans le système et sont propagées au reste du réseau en fonction de votre configuration de stratégies. Dupliquer un ensemble d'autorisations. 1 Sélectionnez un ensemble d'autorisations à dupliquer dans la liste Ensembles d'autorisations, puis cliquez sur Actions Dupliquer. 2 Attribuez un nom à l'ensemble d'autorisations dupliqué. Par défaut, epolicy Orchestrator ajoute (copie) au nom existant. epolicy Orchestrator ne vous permet pas d'utiliser un nom qui existe déjà. Chaque nom d'ensemble d'autorisations doit être unique. 3 Cliquez sur OK. L'ensemble d'autorisations a été dupliqué mais l'ensemble initial reste sélectionné dans la liste Ensembles d'autorisations. McAfee epolicy Orchestrator Logiciel Guide produit 55

56 5 Comptes d'utilisateur et ensembles d'autorisations Ensembles d'autorisations Action Supprimer un ensemble d'autorisations. Exporter des ensembles d'autorisations. Etapes 1 Sélectionnez l'ensemble d'autorisations à supprimer dans la liste Ensembles d'autorisations. Les détails sont affichés dans le volet de droite. 2 Cliquez sur Actions Supprimer, puis sur OK dans le volet Action. L'ensemble d'autorisations n'apparaît plus dans la liste Ensembles d'autorisations. 1 Sélectionnez le ou les ensembles d'autorisations que vous souhaitez exporter. 2 Cliquez sur Actions sur les ensembles d'autorisations Tout exporter. Le serveur McAfee epo envoie un fichier XML à votre navigateur. L'étape suivante de la procédure dépend des paramètres du navigateur. Par défaut, la plupart des navigateurs vous invitent à enregistrer le fichier. Le fichier XML contient uniquement les rôles pour lesquels un niveau d'autorisation quelconque a été défini. Si, par exemple, un ensemble d'autorisations ne comprend aucune autorisation pour les requêtes et les rapports, aucune entrée n'apparaît dans le fichier. Importer des ensembles d'autorisations. 1 Sélectionnez le ou les ensembles d'autorisations que vous souhaitez importer. 2 Cliquez sur Parcourir pour atteindre et sélectionner le fichier XML contenant l'ensemble d'autorisations à importer. 3 Précisez si vous souhaitez conserver le même nom à l'ensemble d'autorisations que vous allez importer en sélectionnant l'option adéquate. Cliquez sur OK. Si epolicy Orchestrator ne peut pas localiser un ensemble d'autorisations valide au sein du fichier indiqué, un message d'erreur s'affiche et le processus d'importation est interrompu. L'ensemble d'autorisations est ajouté au serveur et s'affiche dans la liste Ensembles d'autorisations. Exportation et importation des ensembles d'autorisations Dès que vous avez terminé de définir vos ensembles d'autorisations, la solution la plus rapide pour les faire migrer vers d'autres serveurs McAfee epo consiste à les exporter sur d'autres serveurs. 1 Pour ouvrir la page Ensemble d'autorisations, cliquez sur Menu Gestion des utilisateurs Ensembles d'autorisations. 2 Sélectionnez l'une des actions suivantes. 56 McAfee epolicy Orchestrator Logiciel Guide produit

57 Comptes d'utilisateur et ensembles d'autorisations Ensembles d'autorisations 5 Action Exporter des ensembles d'autorisations. Etapes 1 Sélectionnez le ou les ensembles d'autorisations que vous souhaitez exporter. 2 Cliquez sur Actions sur les ensembles d'autorisations Tout exporter. Le serveur McAfee epo envoie un fichier XML à votre navigateur. L'étape suivante de la procédure dépend des paramètres du navigateur. Par défaut, la plupart des navigateurs vous invitent à enregistrer le fichier. Le fichier XML contient uniquement les rôles pour lesquels un niveau d'autorisation quelconque a été défini. Si, par exemple, un ensemble d'autorisations ne comprend aucune autorisation pour les requêtes et les rapports, aucune entrée n'apparaît dans le fichier. Importer des ensembles d'autorisations. 1 Sélectionnez le ou les ensembles d'autorisations que vous souhaitez importer. 2 Cliquez sur Parcourir pour atteindre et sélectionner le fichier XML contenant l'ensemble d'autorisations à importer. 3 Précisez si vous souhaitez conserver le même nom à l'ensemble d'autorisations que vous allez importer en sélectionnant l'option adéquate. Cliquez sur OK. Si epolicy Orchestrator ne peut pas localiser un ensemble d'autorisations valide au sein du fichier indiqué, un message d'erreur s'affiche et le processus d'importation est interrompu. L'ensemble d'autorisations est ajouté au serveur et s'affiche dans la liste Ensembles d'autorisations. McAfee epolicy Orchestrator Logiciel Guide produit 57

58 5 Comptes d'utilisateur et ensembles d'autorisations Ensembles d'autorisations 58 McAfee epolicy Orchestrator Logiciel Guide produit

59 6 Référentiels Les référentiels hébergent les packages des logiciels de sécurité et les mises à jour à distribuer à vos systèmes managés. Un logiciel de sécurité n'est efficace que s'il bénéficie des dernières mises à jour. Par exemple, si vos fichiers DAT sont obsolètes, même le meilleur logiciel antivirus ne sera pas en mesure de détecter les nouvelles menaces. Il est donc essentiel de mettre au point une stratégie de mise à jour à toute épreuve, pour que votre logiciel de sécurité soit, à tout moment, parfaitement actualisé. L'architecture d'epolicy Orchestrator, structurée autour de référentiels, offre une grande souplesse. Ainsi, le déploiement et la mise à jour des logiciels s'effectuent avec autant de simplicité et d'automatisation que le permet votre environnement. Une fois l'infrastructure de référentiels configurée, créez des tâches de mise à jour qui déterminent comment, où et quand les logiciels sont mis à jour. Sommaire Présentation des types de référentiels Interactions entre les référentiels Configuration initiale des référentiels Gestion des sites sources et de secours Vérification de l'accès au site source Configuration des paramètres pour les mises à jour globales Utilisation de SuperAgents en tant que référentiels distribués Création et configuration de référentiels sur des serveurs FTP ou HTTP et des partages UNC Utilisation de référentiels distribués locaux non managés Utilisation des fichiers de liste de référentiels Modification des informations d'identification sur plusieurs référentiels distribués Présentation des types de référentiels Pour la distribution des produits et mises à jour au sein de votre réseau, le logiciel epolicy Orchestrator propose différents types de référentiels qui créent une infrastructure de mise à jour fiable. La grande souplesse de ces référentiels facilite la mise au point d'une stratégie de mise à jour garantissant la tenue à jour de vos systèmes. Référentiel maître Le référentiel maître conserve les dernières versions des logiciels de sécurité et des mises à jour pour votre environnement. Il constitue la source de référence pour le reste de votre environnement. Par défaut, epolicy Orchestrator utilise les paramètres de proxy de Microsoft Internet Explorer. McAfee epolicy Orchestrator Logiciel Guide produit 59

60 6 Référentiels Présentation des types de référentiels Référentiels distribués Les référentiels distribués hébergent des copies du contenu du référentiel maître. Il est souhaitable d'employer des référentiels distribués, en veillant à les placer de manière judicieuse sur le réseau, afin de garantir la mise à jour des systèmes managés aux moments où le trafic réseau est limité (plus particulièrement si les connexions sont lentes). Lors de la mise à jour du référentiel maître, epolicy Orchestrator réplique le contenu vers les référentiels distribués. La réplication peut être exécutée selon plusieurs méthodes : Automatiquement, lorsque des packages de types spécifiés sont archivés dans le référentiel maître, et que la fonction de mise à jour globale est activée Selon une planification récurrente, au moyen de tâches de réplication Manuellement, via une tâche Répliquer maintenant Une organisation importante peut comporter plusieurs emplacements reliés par des connexions offrant une bande passante limitée. Le recours à des référentiels distribués permet de limiter le trafic de mise à jour, ce qui est utile sur les connexions à faible bande passante ou pour les sites distants comportant un grand nombre de systèmes clients. Vous pouvez par exemple créer un référentiel distribué dans un emplacement distant et configurer les systèmes s'y trouvant pour qu'ils soient mis à jour à partir de ce référentiel précis. De cette façon, les mises à jour sont transmises une seule fois via la connexion lente, c'est à dire lors de leur copie dans le référentiel distribué : elles ne doivent pas être envoyées vers chacun des systèmes de l'emplacement distant. Si la mise à jour globale est activée, les référentiels distribués mettent automatiquement à jour les systèmes managés dès que les mises à jour et packages sélectionnés sont archivés dans le référentiel maître. Les tâches de mise à jour ne sont pas nécessaires. Cependant, si vous souhaitez effectuer des mises à jour automatiques, vous devez configurer des SuperAgents dans l'environnement. Vous devez néanmoins toujours créer et configurer les référentiels et les tâches de mise à jour. Si les référentiels distribués sont configurés pour répliquer uniquement les packages sélectionnés, un package archivé récemment est répliqué par défaut. Pour éviter cela, vous pouvez désélectionner ce package pour chaque référentiel distribué ou désactiver la tâche de réplication avant l'archivage du package. Pour plus d'informations, consultez les sections Pour éviter la réplication des packages sélectionnés et Désactivation de la réplication des packages sélectionnés. Ne configurez pas les référentiels distribués de manière à ce qu'ils fassent référence au même répertoire que votre référentiel principal. Sinon, les fichiers présents sur le référentiel maître seront verrouillés par les utilisateurs du référentiel distribué, ce qui peut entraîner l'échec des extractions et archivages de packages et rendre le référentiel maître inutilisable. Site source Le site source fournit toutes les mises à jour pour le référentiel maître. Le site source par défaut est le site de mise à jour McAfeeHttp, mais il est possible de le modifier, voire d'en configurer plusieurs si nécessaire. McAfee conseille d'utiliser les sites de mise à jour McAfeeHttp ou McAfeeFtp en tant que sites sources. Les sites sources ne sont pas obligatoires. Vous pouvez télécharger les mises à jour manuellement et les archiver dans votre référentiel maître. Toutefois, l'utilisation d'un site source permet d'automatiser ce processus. McAfee publie régulièrement des mises à jour de logiciels sur ces sites. Des fichiers DAT, par exemple, sont mis à disposition tous les jours. Actualisez votre référentiel maître à l'aide des dernières mises à jour dès qu'elles sont disponibles. 60 McAfee epolicy Orchestrator Logiciel Guide produit

61 Référentiels Présentation des types de référentiels 6 Les tâches d'extraction copient le contenu d'un site source vers le référentiel maître. Les sites de mise à jour de McAfee contiennent des mises à jour pour le moteur d'analyse et pour les fichiers de signatures (DAT) ainsi que certains packs de langues. Vous devez archiver manuellement tous les autres packages et mises à jour dans le référentiel maître, y compris les Service Packs et les patchs. Site de secours Le site de secours est un site source activé en tant que site «de repli», à partir duquel les systèmes managés peuvent récupérer des mises à jour lorsqu'ils ne parviennent pas à accéder aux référentiels qu'ils utilisent habituellement. Par exemple, une panne réseau ou une attaque virale peut entraver l'accès à l'infrastructure de mise à jour standard. Dans de telles situations, le site de secours permet aux systèmes managés de rester à jour. Le site de secours par défaut est le site de mise à jour McAfeeHttp. Vous ne pouvez activer qu'un seul site de secours. Si des systèmes managés utilisent un serveur proxy pour accéder à Internet, vous devez également configurer les paramètres de stratégie d'agent afin que ces systèmes emploient des serveurs proxys pour accéder au site de secours. Types de référentiels distribués Le logiciel epolicy Orchestrator prend en charge quatre types de référentiels distribués. Analysez soigneusement votre environnement et ses besoins pour déterminer le type de référentiel distribué qui convient. Précisons que vous n'êtes pas limité à un seul type. Dès lors, en fonction du réseau, il est parfois préférable de recourir à plusieurs types de référentiels, plutôt qu'à un seul. Référentiels SuperAgents Utilisez des systèmes hébergeant des SuperAgents en tant que référentiels distribués. Les référentiels SuperAgents présentent plusieurs avantages par rapport aux autres types de référentiels distribués : Des emplacements de dossier sont créés automatiquement sur le système hôte avant l'ajout du référentiel à la liste de référentiels. Un référentiel SuperAgent n'exige pas des informations d'identification de réplication ou de mise à jour supplémentaires. Les autorisations de compte sont créées lorsque l'agent est converti en SuperAgent. Même si la fonctionnalité d'appel de réactivation de diffusion du SuperAgent nécessite la présence d'un SuperAgent dans chaque segment de diffusion, elle n'est pas requise en soi pour que le référentiel SuperAgent fonctionne. Les systèmes managés ont seulement besoin d'avoir accès au système hébergeant le référentiel. Référentiels FTP Un serveur FTP peut héberger un référentiel distribué. Utilisez un logiciel de serveur FTP, tel que Microsoft Internet Information Services (IIS), pour créer un nouvel emplacement de dossier et de site pour le référentiel distribué. Pour plus d'informations, consultez la documentation de votre serveur web. Référentiels HTTP Un serveur HTTP peut héberger un référentiel distribué. Utilisez un logiciel de serveur HTTP, tel que Microsoft Internet Information Services (IIS), pour créer un nouvel emplacement de dossier et de site pour le référentiel distribué. Pour plus d'informations, consultez la documentation de votre serveur web. McAfee epolicy Orchestrator Logiciel Guide produit 61

62 6 Référentiels Présentation des types de référentiels Référentiels de partage UNC Vous pouvez créer un dossier partagé UNC pour héberger un référentiel distribué sur un serveur existant. Assurez vous que le dossier est en partage sur le réseau afin que le serveur McAfee epo puisse y copier des fichiers et que les agents puissent y accéder pour les mises à jour. Les autorisations adéquates doivent être définies pour permettre l'accès au dossier. Référentiels non managés Si vous n'êtes pas en mesure d'employer des référentiels distribués managés, l'administrateur epolicy Orchestrator peut créer des référentiels distribués qui ne sont pas managés par epolicy Orchestrator et en assurer la maintenance. Si un référentiel distribué n'est pas managé par epolicy Orchestrator, il incombe à l'administrateur local de mettre à jour manuellement les fichiers distribués. Une fois le référentiel distribué créé, utilisez epolicy Orchestrator pour configurer les systèmes managés d'un groupe spécifique de l'arborescence des systèmes pour qu'ils soient mis à jour à partir de ce référentiel. Pour plus d'informations sur la configuration des systèmes non managés, consultez la section Activation de l'agent sur des produits McAfee non managés. McAfee recommande de gérer tous les référentiels distribués via epolicy Orchestrator. L'emploi de référentiels distribués managés et la régularité de la mise à jour globale ou des tâches de réplication planifiées garantissent la parfaite tenue à jour de votre environnement managé. Ne recourez à des référentiels distribués non managés que si la structure de votre organisation ou de votre réseau vous y oblige. Branches de référentiels et leurs fonctions Dans epolicy Orchestrator, trois branches de référentiel permettent de conserver dans votre référentiel maître et dans vos référentiels distribués jusqu'à trois versions de tous les packages. Ces branches sont nommées Actuels, Précédents et Evaluation. Par défaut, epolicy Orchestrator utilise uniquement la branche Actuels. Vous pouvez spécifier la branche de destination au moment où vous ajoutez des packages à votre référentiel maître. Vous pouvez également préciser la branche à utiliser lorsque vous exécutez ou planifiez des tâches de mise à jour et de déploiement, ce qui permet le cas échéant de distribuer différentes versions à des segments distincts de votre réseau. Les tâches de mise à jour peuvent extraire les mises à jour de n'importe quelle branche du référentiel, mais vous devez sélectionner une branche différente de la branche Actuels lors de l'archivage des packages dans le référentiel maître. Vous n'aurez pas la possibilité de choisir une autre branche si seule la branche Actuels est configurée. Vous devez configurer l'utilisation des branches Evaluation et Précédents pour des packages autres que les mises à jour dans les paramètres serveur relatifs aux packages de référentiel. L'agent version 3.6 ou antérieure peut extraire des packages de type mise à jour uniquement des branches Evaluation et Précédents. Branche Actuels Il s'agit de la branche de référentiel principale pour les packages et mises à jour les plus récents. Si la prise en charge des autres branches n'a pas été activée, les packages de déploiement de produits peuvent uniquement être ajoutés à la branche Actuels. 62 McAfee epolicy Orchestrator Logiciel Guide produit

63 Référentiels Présentation des types de référentiels 6 Branche Evaluation Vous pouvez décider de tester les nouvelles mises à jour de fichiers DAT et de moteur sur un petit nombre de segments du réseau ou de systèmes, avant de les déployer dans toute l'organisation. Spécifiez la branche Evaluation lors de l'archivage de nouveaux fichiers DAT et de moteur dans le référentiel maître, puis déployez les sur un nombre réduit de systèmes de test. Après avoir surveillé le fonctionnement de ces systèmes pendant plusieurs heures, vous pouvez ajouter les nouveaux fichiers mis à l'essai à la branche Actuels, pour les déployer ensuite dans l'organisation tout entière. Branche Précédents La branche Précédents permet d'enregistrer et de stocker des fichiers DAT et de moteur précédents, avant d'ajouter les nouveaux fichiers à la branche Actuels. Ainsi, en cas de problème avec les nouveaux fichiers DAT et de moteur dans votre environnement, vous disposez d'une copie de la version précédente, que vous pouvez redéployer sur vos systèmes en cas de besoin. epolicy Orchestrator enregistre uniquement la version qui précède directement la nouvelle version de chaque type de fichier. Vous pouvez alimenter la branche Précédents en sélectionnant Déplacer le package existant vers la branche Précédents lorsque vous ajoutez des nouveaux packages au référentiel maître. L'option est disponible lorsque vous extrayez des mises à jour d'un site source et lorsque vous archivez manuellement des packages dans la branche Actuels. Fichier de liste de référentiels et utilisations possibles La liste de référentiels (fichiers SiteList.xml et SiteMgr.xml) répertorie les noms de tous les référentiels managés. Elle contient l'emplacement et les informations d'identification réseau chiffrées nécessaires aux systèmes managés pour qu'ils puissent sélectionner le référentiel requis et en extraire les mises à jour. Le serveur envoie la liste de référentiels à l'agent au cours de la communication agent serveur. Le cas échéant, vous pouvez exporter la liste de référentiels vers des fichiers externes (SiteList.xml ou SiteMgr.xml). Le fichier SiteList.xml est utile dans le cas suivant : Pour effectuer une importation vers un agent lors de l'installation Le fichier SiteMgr.xml est utile dans les cas suivants : Pour sauvegarder et restaurer les référentiels distribués et les sites sources au cas où vous devriez réinstaller le serveur Pour importer les référentiels distribués et sites sources à partir d'une installation précédente du logiciel epolicy Orchestrator McAfee epolicy Orchestrator Logiciel Guide produit 63

64 6 Référentiels Interactions entre les référentiels Interactions entre les référentiels Les référentiels sont conçus pour interagir dans l'environnement afin que vos systèmes managés reçoivent les logiciels et les mises à jour. Selon la taille et la répartition géographique du réseau, des référentiels distribués peuvent être nécessaires. Figure 6-1 Distribution de packages aux systèmes au moyen des sites et des référentiels 1 Le référentiel maître extrait régulièrement des fichiers DAT et de mise à jour de moteur à partir du site source. 2 Le référentiel maître réplique les packages vers les référentiels distribués au sein du réseau. 3 Les systèmes managés du réseau reçoivent leurs mises à jour d'un référentiel distribué. S'ils ne parviennent pas à accéder aux référentiels distribués ou au référentiel maître, ils extraient les mises à jour du site de secours. Configuration initiale des référentiels Suivez les étapes générales décrites ci dessous lorsque vous créez des référentiels pour la première fois. 1 Déterminez les types de référentiels à utiliser et leurs emplacements. 2 Créez et remplissez vos référentiels. Gestion des sites sources et de secours Vous pouvez modifier les sites sources et de secours à partir des Paramètres serveur. Vous pouvez alors par exemple changer leurs paramètres, les supprimer ou modifier leur statut en tant que site source ou site de secours. Vous devez être un administrateur ou disposer des autorisations appropriées pour définir, modifier ou supprimer des sites sources ou de secours. McAfee recommande l'utilisation des sites sources et de secours par défaut. Cependant, vous pouvez au besoin en créer de nouveaux. 64 McAfee epolicy Orchestrator Logiciel Guide produit

65 Référentiels Gestion des sites sources et de secours 6 Création de sites sources Créez un site source à partir de la page Paramètres serveur. 1 Cliquez sur Menu Configuration Paramètres serveur, puis sélectionnez Sites sources. 2 Cliquez sur Ajouter un site source. L'Assistant Générateur de sites sources s'affiche. 3 Dans la page Description, entrez un nom de référentiel unique et sélectionnez HTTP, UNC ou FTP, puis cliquez sur Suivant. 4 Dans la page Serveur, indiquez l'adresse web et le port du site, puis cliquez sur Suivant. Type de serveur HTTP ou FTP : Dans la liste déroulante URL, sélectionnez Nom DNS, IPv4 ou IPv6 comme type d'adresse serveur, puis indiquez l'adresse. Option Nom DNS IPv4 IPv6 Définition Indique le nom DNS du serveur. Indique l'adresse IPv4 du serveur. Indique l'adresse IPv6 du serveur. Entrez le numéro de port du serveur : par défaut, 21 pour FTP et 80 pour HTTP. Type de serveur UNC : Entrez le chemin du répertoire réseau où se trouve le référentiel. Utilisez le format suivant : \ \<ORDINATEUR>\<CHEMIN>. 5 Dans la page Informations d'identification, indiquez les informations d'identification pour le téléchargement qui sont utilisées par les systèmes managés pour se connecter à ce référentiel. Utilisez des informations d'identification disposant d'autorisations en lecture seule sur le serveur HTTP, le serveur FTP ou le partage UNC qui héberge le référentiel. Type de serveur HTTP ou FTP : Sélectionnez Anonyme pour utiliser un compte d'utilisateur anonyme. Sélectionnez Authentification FTP ou Authentification HTTP (si le serveur nécessite une authentification), puis entrez les informations du compte d'utilisateur. Type de serveur UNC : Entrez le domaine et les informations du compte d'utilisateur. 6 Cliquez sur Tester les informations d'identification. Après quelques secondes, un message de confirmation s'affiche, indiquant que les systèmes peuvent accéder au site à l'aide des informations d'authentification spécifiées. Si les informations d'identification sont incorrectes, vérifiez les éléments suivants : Nom d'utilisateur et mot de passe URL ou chemin d'accès indiqué dans la page précédente de l'assistant Site HTTP, FTP ou UNC spécifié au niveau du système 7 Cliquez sur Suivant. 8 Passez en revue la page Synthèse, puis cliquez sur Enregistrer pour ajouter le site à la liste. McAfee epolicy Orchestrator Logiciel Guide produit 65

66 6 Référentiels Gestion des sites sources et de secours Réattribution des rôles de site source et site de secours Utilisez les paramètres serveur pour changer les sites sources et de secours. Selon la configuration de votre réseau, vous pouvez souhaiter réattribuer les sites sources et de secours si vous pensez que la mise à jour via HTTP fonctionne mieux que via FTP, ou l'inverse. 1 Cliquez sur Menu Configuration Paramètres serveur. 2 Sélectionnez Sites sources, puis cliquez sur Modifier. La page Sites sources : Modifier s'affiche. 3 Dans la liste, identifiez le site à convertir en site de secours, puis cliquez sur Activer la fonction de secours. Modification de sites sources et de secours Utilisez les paramètres serveur pour modifier les paramètres des sites sources ou de secours, tels que l'adresse URL, le numéro de port et les informations d'identification pour l'authentification destinée au téléchargement. 1 Cliquez sur Menu Configuration Paramètres serveur. 2 Sélectionnez Sites sources, puis cliquez sur Modifier. La page Sites sources : Modifier s'affiche. 3 Identifiez le site dans la liste, puis cliquez sur son nom. L'Assistant Générateur de sites sources s'affiche. 4 Modifiez les paramètres des différentes pages de l'assistant comme il convient, puis cliquez sur Enregistrer. Suppression des sites sources ou désactivation des sites de secours Si un site source ou de secours n'est plus utilisé, supprimez ou désactivez le. 1 Cliquez sur Menu Configuration Paramètres serveur. 2 Sélectionnez Sites sources, puis cliquez sur Modifier. La page Sites sources : Modifier s'affiche. 3 Cliquez sur Supprimer en regard du site source requis. La boîte de dialogue Supprimer le site source apparaît. 4 Cliquez sur OK. Le site est supprimé de la page Sites sources. 66 McAfee epolicy Orchestrator Logiciel Guide produit

67 Référentiels Vérification de l'accès au site source 6 Vérification de l'accès au site source Vous devez vous assurer que le référentiel maître epolicy Orchestrator, les systèmes managés, ainsi que le moniteur de tableau de bord Menaces de sécurité McAfee Labs peuvent avoir accès à Internet lorsqu'ils utilisent les sites McAfeeHttp et McAfeeFtp en tant que sites sources et de secours. Cette section décrit les étapes nécessaires à la configuration du référentiel maître epolicy Orchestrator, de McAfee Agent et du service Menaces de sécurité McAfee Labs, en vue de la connexion directe ou via un proxy au site de téléchargement. Par défaut, l'option Ne pas utiliser de proxy est sélectionnée. Configuration des paramètres de proxy Configurez les paramètres de proxy dans le but d'extraire les fichiers DAT pour la mise à jour des référentiels et de mettre à jour les menaces de sécurité McAfee Labs. 1 Cliquez sur Menu Configuration Paramètres serveur. La page Paramètres serveur s'affiche. 2 Dans la liste des catégories de paramètres, sélectionnez Paramètres de proxy, puis cliquez sur Modifier. La page Paramètres de proxy : Modifier s'affiche. 3 Sélectionnez Configurer manuellement les paramètres de proxy. 4 En regard de Paramètres de serveur proxy, indiquez s'il faut utiliser un seul serveur proxy pour toutes les communications ou des serveurs proxys différents pour les protocoles HTTP et FTP. Indiquez ensuite soit l'adresse IP, soit le nom de domaine complet du serveur proxy, ainsi que le numéro de Port. Si vous utilisez les sites sources et de secours par défaut ou si vous configurez un autre site source HTTP et un autre site de secours FTP, définissez ici les informations d'authentification de serveur proxy HTTP et FTP. 5 En regard de Authentification de proxy, configurez les paramètres comme il convient, selon que les mises à jour sont extraites d'un référentiel HTTP ou FTP, ou des deux. 6 En regard d'exclusions, activez l'option Ignorer les adresses locales, puis spécifiez les référentiels distribués auxquels le serveur peut se connecter directement. Pour cela, indiquez les adresses IP ou les noms de domaine complets de ces systèmes, séparés par un point virgule (;). 7 Cliquez sur Enregistrer. Configuration des paramètres de proxy pour McAfee Agent Configurez les paramètres de proxy que McAfee Agent utilise pour se connecter au site de téléchargement. 1 Cliquez sur Menu Stratégie Catalogue de stratégies, puis dans la liste Produit, cliquez sur McAfee Agent et dans la liste Catégorie, sélectionnez Référentiel. La liste des agents configurés pour le serveur McAfee epo s'affiche. 2 Sur la ligne My Default, cliquez sur Modifier les paramètres. La page Modifier les paramètres de l'agent My Default s'affiche. McAfee epolicy Orchestrator Logiciel Guide produit 67

68 6 Référentiels Vérification de l'accès au site source 3 Cliquez sur l'onglet Proxy. La page Paramètres de proxy s'affiche. 4 Sélectionnez Utiliser les paramètres d'internet Explorer (Windows uniquement) pour des systèmes Windows, ainsi que Permettre à l'utilisateur de configurer des paramètres de proxy si nécessaire. Il existe diverses méthodes permettant de configurer Internet Explorer pour une utilisation avec des proxys. McAfee fournit les instructions nécessaires à la configuration et à l'utilisation des produits McAfee uniquement, mais pas d'instructions relatives aux produits autres que McAfee. Pour plus d'informations sur la configuration des paramètres de proxy, consultez l'aide d'internet Explorer, ainsi que la page 5 Sélectionnez Configurer manuellement les paramètres de proxy pour configurer les paramètres de proxy de l'agent manuellement. 6 Indiquez l'adresse IP ou le nom complet du domaine et le numéro de port du serveur source HTTP ou FTP à partir duquel l'agent doit extraire les mises à jour. Sélectionnez Utiliser ces paramètres pour tous les types de proxy si vous souhaitez utiliser ces paramètres par défaut pour tous les types de proxy. 7 Sélectionnez Spécifier des exceptions pour désigner les systèmes ne nécessitant pas de proxy. Utilisez un point virgule pour séparer les exceptions. 8 Sélectionnez Utiliser l'authentification proxy HTTP ou Utiliser l'authentification proxy FTP, puis entrez le nom d'utilisateur et les informations d'identification. 9 Cliquez sur Enregistrer. Configuration des paramètres de proxy pour les menaces de sécurité McAfee Labs Si vous n'utilisez pas les paramètres serveur epolicy Orchestrator par défaut, configurez les paramètres de proxy pour les menaces de sécurité McAfee Labs. 1 Cliquez sur Menu Configuration Paramètres serveur. 2 Sélectionnez Paramètres de proxy et cliquez sur Modifier. La page Paramètres de proxy : Modifier s'affiche. 3 Sélectionnez Configurer manuellement les paramètres de proxy. 4 En regard de Paramètres de serveur proxy, indiquez s'il faut utiliser un seul serveur proxy pour toutes les communications ou des serveurs proxys différents pour les protocoles HTTP et FTP. Indiquez ensuite soit l'adresse IP, soit le nom de domaine complet du serveur proxy, ainsi que le numéro de Port. Si vous utilisez les sites sources et de secours par défaut ou si vous configurez un autre site source HTTP et un autre site de secours FTP, définissez ici les informations d'authentification de serveur proxy HTTP et FTP. 5 En regard de Authentification de proxy, configurez les paramètres comme il convient, selon que les mises à jour sont extraites d'un référentiel HTTP ou FTP, ou des deux. 68 McAfee epolicy Orchestrator Logiciel Guide produit

69 Référentiels Configuration des paramètres pour les mises à jour globales 6 6 En regard d'exclusions, activez l'option Ignorer les adresses locales, puis spécifiez les référentiels distribués auxquels le serveur peut se connecter directement. Pour cela, indiquez les adresses IP ou les noms de domaine complets de ces systèmes, séparés par un point virgule (;). 7 Cliquez sur Enregistrer. Configuration des paramètres pour les mises à jour globales Les mises à jour globales automatisent la réplication de référentiels dans votre réseau. Vous pouvez utiliser les paramètres serveur Mise à jour globale pour configurer le contenu distribué aux référentiels lors d'une mise à jour globale. Par défaut, les mises à jour globales sont désactivées. Toutefois, McAfee recommande de les activer et de les utiliser dans le cadre de votre stratégie de mise à jour. Vous pouvez indiquer un intervalle d'exécution aléatoire et des types de package à distribuer lors de la mise à jour. L'intervalle d'exécution aléatoire spécifie la période lors de laquelle tous les systèmes sont mis à jour. Les systèmes sont mis à jour aléatoirement au cours de l'intervalle spécifié. 1 Cliquez sur Menu Configuration Paramètres serveur, sélectionnez Mise à jour globale dans les Catégories de paramètres, puis cliquez sur Modifier. 2 Définissez l'état sur Activé et indiquez un Intervalle d'exécution aléatoire entre 0 et minutes. 3 Indiquez les Types de packages à inclure dans les mises à jour globales : Tous les packages Sélectionnez cette option pour inclure toutes les signatures et tous les moteurs, ainsi que tous les patchs et Service Packs. Packages sélectionnés Sélectionnez cette option pour limiter les signatures et les moteurs de même que les patchs et les Service Packs inclus dans la mise à jour globale. En cas d'utilisation de la mise à jour globale, McAfee recommande de planifier une tâche d'extraction régulière (pour mettre à jour le référentiel maître) qui s'exécute à un moment où le trafic réseau est faible. Bien que la mise à jour globale soit nettement plus rapide que les autres méthodes, elle accroît le trafic réseau pendant la mise à jour. Pour plus d'informations concernant l'exécution de mises à jour globales, consultez la section Mise à jour globale dans la section Déploiement de produits et de mises à jour. Utilisation de SuperAgents en tant que référentiels distribués Créez et configurez des référentiels distribués sur des systèmes hébergeant des SuperAgents. Les SuperAgents peuvent réduire le trafic réseau. Un agent doit faire partie d'un domaine Windows pour être converti en SuperAgent. Création de référentiels distribués SuperAgents Pour créer un référentiel SuperAgent, le système souhaité doit comporter un agent McAfee epo installé et en cours d'exécution. McAfee recommande d'utiliser les référentiels SuperAgents en association avec la mise à jour globale. La procédure suppose que vous connaissez l'emplacement des systèmes concernés dans l'arborescence des systèmes. McAfee recommande de créer un marqueur SuperAgent afin de pouvoir localiser facilement les systèmes à l'aide de la page Catalogue de marqueurs ou en exécutant une requête. McAfee epolicy Orchestrator Logiciel Guide produit 69

70 6 Référentiels Utilisation de SuperAgents en tant que référentiels distribués 1 Dans la console epo, cliquez sur Menu Stratégie Catalogue de stratégies, puis sélectionnez McAfee Agent dans la liste Produit et Général dans la liste Catégorie. La liste des stratégies de la catégorie Général pouvant être utilisées sur votre serveur epolicy Orchestrator s'affiche. 2 Créez une nouvelle stratégie, dupliquez une stratégie existante ou ouvrez une stratégie déjà appliquée à des systèmes hébergeant un SuperAgent et devant héberger des référentiels SuperAgent. 3 Dans l'onglet Général, vérifiez que l'option Convertir les agents en SuperAgents (Windows uniquement) est sélectionnée. 4 Sélectionnez Utiliser des systèmes exécutant des SuperAgents en tant que référentiels distribués, puis tapez le chemin d'accès du dossier pour le référentiel. Il s'agit de l'emplacement où le référentiel maître copie les mises à jour lors de la réplication. Vous pouvez utiliser des variables Windows standard, telles que <PROGRAM_FILES_DIR>. Tous les fichiers requis à partir du système de l'agent sont fournis depuis cet emplacement à l'aide du serveur web HTTP intégré de l'agent. 5 Cliquez sur Enregistrer. 6 Affectez cette stratégie à chaque système qui devra accueillir un référentiel SuperAgent. La prochaine fois que l'agent appelle le serveur, la nouvelle stratégie sera extraite. Si vous ne souhaitez pas attendre le prochain intervalle de communication agent serveur, vous pouvez envoyer un appel de réactivation de l'agent aux systèmes. Après la création du référentiel distribué, le dossier spécifié est créé sur le système s'il n'existait pas encore. En outre, l'emplacement réseau est ajouté au fichier de liste de référentiels (SiteList.xml). Les systèmes de l'environnement managé peuvent alors accéder au site pour obtenir les mises à jour. Réplication des packages dans les référentiels SuperAgents Choisissez quels packages de référentiel seront répliqués vers des référentiels distribués. 1 Cliquez sur Menu Logiciels Référentiels distribués. Une liste répertoriant tous les référentiels distribués s'affiche. 2 Recherchez et cliquez sur le référentiel SuperAgent souhaité. L'Assistant Générateur de référentiels distribués s'affiche. 3 Dans la page Types de packages, sélectionnez les types de packages requis. Assurez vous que tous les packages requis par les systèmes managés utilisant ce référentiel sont sélectionnés. Les systèmes managés accèdent à un seul référentiel pour tous les packages. La tâche n'aboutit pas pour les systèmes dont le type de package attendu n'est pas présent. Grâce à cette fonctionnalité, vous êtes assuré que les packages utilisés par un nombre réduit de systèmes ne sont pas répliqués dans l'ensemble de l'environnement. 4 Cliquez sur Enregistrer. 70 McAfee epolicy Orchestrator Logiciel Guide produit

71 Référentiels Création et configuration de référentiels sur des serveurs FTP ou HTTP et des partages UNC 6 Suppression de référentiels distribués SuperAgents Supprimez des référentiels distribués SuperAgents du système hôte et de la liste de référentiels (SiteList.xml). La nouvelle configuration prend effet lors de la communication agent serveur suivante. 1 Dans la console epolicy Orchestrator, cliquez sur Menu Stratégie Catalogue de stratégies, puis cliquez sur le nom de la stratégie de SuperAgent à modifier. 2 Dans l'onglet Général, désactivez l'option Utiliser des systèmes exécutant des SuperAgents en tant que référentiels distribués, puis cliquez sur Enregistrer. Pour ne supprimer qu'un nombre limité de référentiels distribués SuperAgents existants, dupliquez la stratégie McAfee Agent affectée aux systèmes concernés et désactivez l'option Utiliser des systèmes exécutant des SuperAgents en tant que référentiels distribués avant de l'enregistrer. Affectez cette nouvelle stratégie comme il convient. Le référentiel SuperAgent est supprimé et effacé de la liste de référentiels. Toutefois, l'agent joue toujours le rôle de SuperAgent tant que l'option Convertir les agents en SuperAgents reste activée. Les agents qui n'ont pas reçu de nouveau fichier SiteList après la modification de la stratégie continuent à mettre à jour à partir du SuperAgent supprimé. Création et configuration de référentiels sur des serveurs FTP ou HTTP et des partages UNC Vous pouvez héberger des référentiels distribués sur des serveurs FTP ou HTTP, ou des partages UNC existants. Bien qu'un serveur dédié ne soit pas requis, le système doit être assez robuste pour gérer la charge lorsque vos systèmes managés se connectent pour obtenir des mises à jour. Création d'un dossier Créez le dossier dans lequel résidera le contenu du référentiel sur le système du référentiel distribué. Des processus différents sont utilisés selon qu'il s'agit de référentiels de partage UNC et de référentiels FTP ou HTTP. Pour les référentiels utilisant un partage UNC, créez le dossier sur le système et activez le partage. Dans le cas de référentiels FTP ou HTTP, utilisez votre logiciel de serveur FTP ou HTTP existant, tel que Microsoft Internet Information Services (IIS), pour créer un nouvel emplacement de dossier et de site. Pour plus d'informations, consultez la documentation de votre serveur web. Ajout du référentiel distribué à epolicy Orchestrator Ajoutez une entrée à la liste de référentiels et indiquez le dossier que le nouveau référentiel distribué utilise. Ne configurez pas les référentiels distribués de manière à ce qu'ils fassent référence au même répertoire que votre référentiel principal. Sinon, les fichiers présents sur le référentiel maître seront verrouillés par les utilisateurs du référentiel distribué, ce qui peut entraîner l'échec des extractions et archivages de packages et rendre le référentiel maître inutilisable. McAfee epolicy Orchestrator Logiciel Guide produit 71

72 6 Référentiels Création et configuration de référentiels sur des serveurs FTP ou HTTP et des partages UNC 1 Cliquez sur Menu Logiciels Référentiels distribués, puis cliquez sur Actions Nouveau référentiel. L'Assistant Générateur de référentiels distribués s'affiche. 2 Dans la page Description, entrez un nom unique et sélectionnez HTTP, UNC ou FTP, puis cliquez sur Suivant. Ce nom ne doit pas nécessairement correspondre au nom du système qui héberge le référentiel. 3 Sur la page Serveur, configurez l'un des types de serveur suivants : Type de serveur HTTP Dans la liste déroulante URL, sélectionnez Nom DNS, IPv4 ou IPv6 comme type d'adresse serveur, puis indiquez l'adresse. Option Nom DNS IPv4 IPv6 Définition Indique le nom DNS du serveur. Indique l'adresse IPv4 du serveur. Indique l'adresse IPv6 du serveur. Entrez le numéro de port du serveur : le port HTTP par défaut est 80. Spécifiez le chemin UNC de réplication pour votre dossier HTTP. Type de serveur UNC Entrez le chemin du répertoire réseau où se trouve le référentiel. Utilisez le format suivant : \ \<ORDINATEUR>\<CHEMIN>. Type de serveur FTP Dans la liste déroulante URL, sélectionnez Nom DNS, IPv4 ou IPv6 comme type d'adresse serveur, puis indiquez l'adresse. Option Nom DNS IPv4 IPv6 Définition Indique le nom DNS du serveur. Indique l'adresse IPv4 du serveur. Indique l'adresse IPv6 du serveur. Entrez le numéro de port du serveur : le port FTP par défaut est Cliquez sur Suivant. 5 Dans la page Informations d'identification : a Indiquez les informations d'identification pour le téléchargement. Utilisez des informations d'identification disposant d'autorisations en lecture seule sur le serveur HTTP, le serveur FTP ou le partage UNC qui héberge le référentiel. Type de serveur HTTP ou FTP : Sélectionnez Anonyme pour utiliser un compte d'utilisateur anonyme. Sélectionnez Authentification FTP ou Authentification HTTP (si le serveur nécessite une authentification), puis entrez les informations du compte d'utilisateur. 72 McAfee epolicy Orchestrator Logiciel Guide produit

73 Référentiels Création et configuration de référentiels sur des serveurs FTP ou HTTP et des partages UNC 6 Type de serveur UNC : Sélectionnez Utiliser les informations d'identification du compte connecté pour utiliser les informations d'identification de l'utilisateur dont la connexion est en cours. Sélectionnez Indiquez les informations d'identification de téléchargement, puis entrez le domaine et les informations du compte d'utilisateur. b Cliquez sur Tester les informations d'identification. Après quelques secondes, un message de confirmation s'affiche, indiquant que les systèmes peuvent accéder au site à l'aide des informations d'authentification spécifiées. Si les informations d'identification sont incorrectes, vérifiez les éléments suivants : Nom d'utilisateur et mot de passe URL ou chemin d'accès indiqué dans la page précédente de l'assistant Site HTTP, FTP ou UNC spécifié au niveau du système 6 Entrez les Informations d'identification de réplication. Le serveur utilise ces informations d'identification lors de la réplication des fichiers DAT, des fichiers de moteur ou d'autres mises à jour de produit à partir du référentiel maître vers le référentiel distribué. Ces informations d'identification doivent disposer d'autorisations en lecture et en écriture pour le référentiel distribué. Pour FTP, entrez les informations du compte d'utilisateur. Pour HTTP ou UNC, entrez le domaine et les informations du compte d'utilisateur. Cliquez sur Tester les informations d'identification. Après quelques secondes, un message de confirmation s'affiche, indiquant que les systèmes peuvent accéder au site à l'aide des informations d'authentification spécifiées. Si les informations d'identification sont incorrectes, vérifiez les éléments suivants : Nom d'utilisateur et mot de passe URL ou chemin d'accès indiqué dans la page précédente de l'assistant Site HTTP, FTP ou UNC spécifié au niveau du système 7 Cliquez sur Suivant. La page Types de packages s'affiche. 8 Indiquez s'il faut répliquer tous les packages ou seulement des packages sélectionnés vers ce référentiel distribué, puis cliquez sur Suivant. Si vous choisissez l'option Packages sélectionnés, sélectionnez manuellement les Signatures et moteurs et les Produits, patchs, Service Packs, etc. que vous voulez répliquer. Le cas échéant, vous pouvez choisir de Répliquer les anciens fichiers DAT. Assurez vous que tous les packages requis par les systèmes managés utilisant ce référentiel sont sélectionnés. Les systèmes managés accèdent à un seul référentiel pour tous les packages. Si un type de package requis ne se trouve pas dans le référentiel, la tâche échoue. Grâce à cette fonctionnalité, vous êtes assuré que les packages utilisés par un nombre réduit de systèmes ne sont pas répliqués dans l'ensemble de l'environnement. 9 Passez en revue la page Synthèse, puis cliquez sur Enregistrer pour ajouter le référentiel. Le logiciel epolicy Orchestrator ajoute le nouveau référentiel distribué à sa base de données. Pour éviter la réplication des packages sélectionnés Si les référentiels distribués sont configurés pour répliquer uniquement les packages sélectionnés, un package archivé récemment est répliqué par défaut. Selon vos besoins en matière de tests et de McAfee epolicy Orchestrator Logiciel Guide produit 73

74 6 Référentiels Création et configuration de référentiels sur des serveurs FTP ou HTTP et des partages UNC validation, il est possible que vous préfériez ne pas répliquer certains packages vers vos référentiels distribués. Cette procédure permet d'éviter de répliquer un package archivé récemment. 1 Cliquez sur Menu Logiciels Référentiels distribués, puis cliquez sur le référentiel souhaité. L'Assistant Générateur de référentiels distribués s'affiche. 2 Dans la page Types de packages, désélectionnez le package qui ne doit pas être répliqué. 3 Cliquez sur Enregistrer. Désactivation de la réplication de packages sélectionnés Si les référentiels distribués sont configurés pour répliquer uniquement les packages sélectionnés, un package archivé récemment est répliqué par défaut. Pour éviter cela, vous pouvez désactiver la tâche de réplication avant l'archivage du package. Cette procédure permet de désactiver la réplication avant l'archivage d'un nouveau package. 1 Cliquez sur Menu Automatisation Tâches serveur, puis sélectionnez Modifier en regard de la tâche serveur de réplication à modifier. L'assistant Générateur de tâches serveurs s'affiche. 2 Dans la page Description, définissez l'etat de planification sur Désactivé, puis cliquez sur Enregistrer. Activation du partage de dossier pour les référentiels HTTP et UNC Sur un référentiel distribué HTTP ou UNC, vous devez activer le partage de dossier sur le réseau pour que le serveur epolicy Orchestrator puisse copier des fichiers dans ce dernier. Cette opération concerne uniquement la réplication. Les systèmes managés configurés pour utiliser le référentiel distribué utilisent le protocole adéquat (HTTP, FTP ou le partage de fichiers Windows) et ne nécessitent pas le partage du dossier. 1 Sur le système managé, localisez le dossier créé à l'aide de l'explorateur Windows. 2 Cliquez avec le bouton droit sur le dossier, sélectionnez Propriétés, puis Partage. 3 Dans l'onglet Partage, sélectionnez Partager ce dossier. 4 Configurez les autorisations de partage nécessaires. Les systèmes qui sont mis à jour à partir du référentiel nécessitent uniquement un accès en lecture. Par contre, un accès en écriture doit impérativement être accordé aux comptes d'administrateur, y compris au compte utilisé par le service Serveur epolicy Orchestrator. Consultez votre documentation Microsoft Windows pour savoir comment configurer les paramètres de sécurité adéquats pour les dossiers partagés. 5 Cliquez sur OK. 74 McAfee epolicy Orchestrator Logiciel Guide produit

75 Référentiels Utilisation de référentiels distribués locaux non managés 6 Modification de référentiels distribués Modifiez les options de configuration des référentiels distribués, d'authentification et de sélection de packages à votre convenance. 1 Cliquez sur Menu Logiciels Référentiels distribués, puis cliquez sur le référentiel souhaité. L'Assistant Générateur de référentiels distribués apparaît : il affiche les paramètres du référentiel distribué. 2 Modifiez les options de configuration, d'authentification et de sélection de packages si nécessaire. 3 Cliquez sur Enregistrer. Suppression de référentiels distribués Supprimez des référentiels distribués FTP, HTTP ou UNC. Les contenus des référentiels distribués sont alors également supprimés. 1 Cliquez sur Menu Logiciels Référentiels distribués, puis cliquez sur Supprimer en regard du référentiel concerné. 2 Dans la boîte de dialogue Supprimer le référentiel, cliquez sur OK. Les packages qui se trouvent sur le système hébergeant le référentiel ne sont pas supprimés lors de la suppression de ce référentiel. Les référentiels supprimés sont enlevés de la liste des référentiels. Utilisation de référentiels distribués locaux non managés Copiez le contenu du référentiel maître dans un référentiel distribué non managé. Une fois qu'un référentiel non managé est créé, vous devez configurer manuellement les systèmes managés pour que les fichiers soient extraits du référentiel non managé. 1 Copiez l'ensemble des fichiers et sous répertoires que contient le dossier du référentiel maître à partir du serveur. Par défaut, ce dossier se trouve à l'emplacement suivant sur votre serveur : C:\Program Files \McAfee\ePO\4.6.0\DB\Software 2 Collez les fichiers et sous dossiers copiés dans votre dossier de référentiel distribué sur le système de ce dernier. McAfee epolicy Orchestrator Logiciel Guide produit 75

76 6 Référentiels Utilisation des fichiers de liste de référentiels 3 Configurez une stratégie d'agent afin que les systèmes managés utilisent le nouveau référentiel distribué non managé : a Cliquez sur Menu Stratégie Catalogue de stratégies. Ensuite, sélectionnez McAfee Agent comme Produit et Référentiel comme Catégorie. b Cliquez sur une stratégie d'agent existante ou créez en une nouvelle. L'héritage des stratégies ne peut pas être bloqué au niveau des onglets d'options qui composent une stratégie. Par conséquent, lors de l'application, veillez à ce que la stratégie soit reçue et héritée uniquement par les systèmes qui doivent utiliser le référentiel distribué non managé. c d e f g h i j k Sous l'onglet Référentiels, cliquez sur Ajouter. La fenêtre Ajouter un référentiel s'affiche. Tapez un nom dans la zone de texte Nom du référentiel. Ce nom ne doit pas nécessairement correspondre au nom du système qui héberge le référentiel. Sous Récupérer les fichiers depuis, sélectionnez le type de référentiel. Sous Configuration, entrez l'emplacement du référentiel, en utilisant la syntaxe correcte pour le type de référentiel. Entrez un numéro de port ou conservez le port par défaut. Configurez les informations d'identification pour l'authentification nécessaires. Cliquez sur OK pour ajouter le nouveau référentiel distribué à la liste. Sélectionnez le nouveau référentiel dans la liste. Le type Local indique que le référentiel n'est pas managé par le logiciel epolicy Orchestrator. Lorsqu'un référentiel non managé est sélectionné dans la Liste de référentiels, les options Modifier et Supprimer sont activées. Cliquez sur Enregistrer. La nouvelle stratégie est appliquée à tous les systèmes concernés lors de la communication agent serveur suivante. Utilisation des fichiers de liste de référentiels Vous pouvez exporter les fichiers de liste de référentiels SiteList.xml et SiteMgr.xml. Ces fichiers : SiteList.xml Utilisé par l'agent et les produits pris en charge. SiteMgr.xml Utilisé lors de la réinstallation du serveur McAfee epo, ou lors de l'importation dans d'autres serveurs McAfee epo utilisant les mêmes référentiels distribués ou les mêmes sites sources. Exportation du fichier de liste de référentiels SiteList.xml Exportez la liste de référentiels (fichier SiteList.xml), afin de pouvoir le distribuer manuellement sur des systèmes ou pour l'importer durant l'installation de produits pris en charge. 76 McAfee epolicy Orchestrator Logiciel Guide produit

77 Référentiels Utilisation des fichiers de liste de référentiels 6 1 Cliquez sur Menu Logiciels Référentiel maître, puis cliquez sur Actions Exporter la liste Sitelist. La boîte de dialogue Téléchargement de fichier s'affiche. 2 Cliquez sur Enregistrer, recherchez l'emplacement dans lequel vous souhaitez enregistrer le fichier SiteList.xml, puis cliquez sur Enregistrer. Après avoir exporté ce fichier, vous pouvez l'importer durant l'installation de produits pris en charge. Pour obtenir des instructions, reportez vous au Guide d'installation du produit concerné. Vous pouvez également distribuer la liste de référentiels aux systèmes managés, puis appliquer cette liste à l'agent. Exportation de la liste de référentiels à des fins de sauvegarde ou de partage avec d'autres serveurs Utilisez le fichier SiteMgr.xml exporté pour restaurer les référentiels distribués et les sites sources lorsque vous réinstallez le serveur McAfee epo ou lorsque vous souhaitez partager des référentiels distribués ou des sites sources avec un autre serveur McAfee epo. Vous pouvez exporter le fichier à partir des pages Référentiels distribués ou Sites sources. En revanche, lorsque vous importez ce fichier vers l'une ou l'autre page, le système importe uniquement les éléments du fichier répertoriés sur cette page. Ainsi, lorsque ce fichier est importé dans la page Référentiels distribués, seuls les référentiels distribués figurant dans le fichier sont importés. Par conséquent, si vous souhaitez importer à la fois les référentiels distribués et les sites sources, vous devez importer le fichier à deux reprises, une fois dans chaque page. 1 Cliquez sur Menu Logiciels Référentiels distribués (ou Sites sources), puis cliquez sur Actions Exporter les référentiels (ou Exporter les sites sources). La boîte de dialogue Téléchargement de fichier s'affiche. 2 Cliquez sur Enregistrer, recherchez l'emplacement dans lequel vous souhaitez enregistrer le fichier, puis cliquez sur Enregistrer. Importation de référentiels distribués depuis le fichier de liste de référentiels Importez des référentiels distribués depuis le fichier SiteMgr.xml après la réinstallation d'un serveur ou lorsque vous souhaitez qu'un serveur utilise les mêmes référentiels distribués qu'un autre serveur. 1 Cliquez sur Menu Logiciels Référentiels distribués, puis cliquez sur Actions Importer des référentiels. La page Importer des référentiels s'affiche. 2 Recherchez le fichier SiteMgr.xml exporté, puis cliquez sur OK. Le référentiel distribué est importé sur le serveur. 3 Cliquez sur OK. McAfee epolicy Orchestrator Logiciel Guide produit 77

78 6 Référentiels Modification des informations d'identification sur plusieurs référentiels distribués Les référentiels sélectionnés sont ajoutés à la liste de référentiels sur ce serveur. Importation de sites sources à partir du fichier SiteMgr.xml Après la réinstallation d'un serveur et lorsque vous souhaitez que deux serveurs utilisent les mêmes référentiels distribués, importez les sites sources à partir d'un fichier de liste de référentiels. 1 Cliquez sur Menu Configuration Paramètres serveur, puis, dans la liste Catégories de paramètres, sélectionnez Sites sources et cliquez sur Modifier. La page Sites sources : Modifier s'affiche. 2 Cliquez sur Importer. La page Importer des référentiels s'affiche. 3 Recherchez le fichier SiteMgr.xml exporté, puis cliquez sur OK. La page Importer des sites sources s'affiche. 4 Sélectionnez les sites sources à importer sur ce serveur, puis cliquez sur OK. Les sites sources sélectionnés sont ajoutés à la liste de référentiels sur ce serveur. Modification des informations d'identification sur plusieurs référentiels distribués Vous pouvez modifier les informations d'identification sur plusieurs référentiels distribués de même type. Cela peut s'avérer très utile dans des environnements hébergeant de nombreux référentiels distribués. 1 Cliquez sur Menu Référentiels distribués. La page Référentiels distribués s'affiche. 2 Cliquez sur Actions et sélectionnez Modifier les informations d'identification. La page Type de référentiel de l'assistant Modifier les informations d'identification s'ouvre. 3 Sélectionnez le type de référentiel distribué dont vous souhaitez modifier les informations d'identification, puis cliquez sur Suivant. La page Sélection de référentiels s'affiche. 4 Sélectionnez les référentiels distribués de votre choix, puis cliquez sur Suivant. La page Informations d'identification s'affiche. 5 Modifiez les informations d'identification comme il convient, puis cliquez sur Suivant. La page Synthèse s'affiche. 6 Vérifiez les informations, puis cliquez sur Enregistrer. 78 McAfee epolicy Orchestrator Logiciel Guide produit

79 7 Serveurs 7 enregistrés Vous pouvez accéder à des serveurs supplémentaires en les enregistrant auprès de votre serveur McAfee epo. Les serveurs enregistrés vous permettent d'intégrer votre logiciel avec d'autres serveurs externes. Par exemple, enregistrez un serveur LDAP pour vous connecter avec votre serveur Active Directory. McAfee epolicy Orchestrator peut communiquer avec les serveurs suivants : Autres serveurs McAfee epo Serveurs de base de données distants supplémentaires Serveurs LDAP Serveurs HTTP Serveurs de gestion des tickets Chaque type de serveur enregistré prend en charge ou complète les fonctionnalités d'epolicy Orchestrator, ainsi que d'autres produits McAfee et de différents fournisseurs. Sommaire Enregistrement de serveurs McAfee epo Enregistrement de serveurs LDAP Enregistrement de serveurs SNMP Enregistrement d'un serveur de base de données Partage d'objets entre serveurs Enregistrement de serveurs McAfee epo Enregistrez d'autres serveurs McAfee epo pour les utiliser avec votre serveur McAfee epo principal afin de collecter ou de regrouper des données. 1 Sélectionnez Menu Configuration Serveurs enregistrés, puis cliquez sur Nouveau serveur. 2 Dans le menu Type de serveur de la page Description, sélectionnez epo, spécifiez un nom unique, ainsi que des commentaires si nécessaire, puis cliquez sur Suivant. 3 Spécifiez les options décrites ci dessous pour configurer le serveur. McAfee epolicy Orchestrator Logiciel Guide produit 79

80 7 Serveurs enregistrés Enregistrement de serveurs McAfee epo Option Type d'authentification Partage de tâche client Nom de la base de données Port de la base de données Serveur de base de données Version d'epo Mot de passe Partage de stratégies Instance SQL Server Définition Permet de spécifier le type d'authentification à utiliser pour cette base de données, les options possibles étant les suivantes : Authentification Windows Authentification SQL Spécifie s'il convient d'activer ou de désactiver les tâches client pour ce serveur. Spécifie le nom de cette base de données. Spécifie le port utilisé pour cette base de données. Permet de préciser le nom de la base de données pour ce serveur. Vous pouvez spécifier une base de données à l'aide de son nom DNS ou de son adresse IP (IPv4 ou IPv6). Spécifie la version du serveur McAfee epo en cours d'enregistrement. Spécifie le mot de passe pour ce serveur. Spécifie s'il convient d'activer ou de désactiver le partage des stratégies pour ce serveur. Permet de spécifier s'il s'agit du serveur par défaut ou d'une instance spécifique, en fournissant le nom de celle ci. Vérifiez que le service Explorateur SQL Server est en cours d'exécution avant de vous connecter à une instance SQL Server spécifique en utilisant son nom d'instance. Spécifiez le numéro de port si le service Explorateur SQL Server n'est pas en cours d'exécution. Sélectionnez l'instance SQL Server par défaut et entrez le numéro de port pour vous connecter à l'instance SQL Server. Communication SSL avec le serveur de base de données Tester la connexion Transférer les systèmes Permet de spécifier si epolicy Orchestrator utilise une communication SSL (Secure Socket Layer) avec ce serveur de base de données, au moyen des options suivantes : Essayer d'utiliser SSL Toujours utiliser SSL Ne jamais utiliser SSL Vérifie la connexion pour le serveur dont vous avez fourni les détails. Spécifie s'il convient d'activer ou de désactiver la possibilité de transfert de systèmes pour ce serveur. Lorsque cette option est activée, sélectionnez l'importation automatique de la liste Sitelist ou l'importation manuelle de la liste Sitelist. Si vous choisissez Importation manuelle de la liste Sitelist, il est possible que des versions plus anciennes de McAfee Agent (version 4.0 et antérieures) ne soient pas capables de contacter leur gestionnaire d'agents. Ceci peut se produire lorsque les conditions suivantes sont réunies : Des systèmes sont transférés de ce serveur McAfee epo vers le serveur enregistré McAfee epo. Un nom de gestionnaire d'agents apparaît suivant l'ordre alphabétique avant le nom du serveur McAfee epo figurant dans la liste Sitelist fournie. Les agents plus anciens utilisent ce gestionnaire d'agents. 80 McAfee epolicy Orchestrator Logiciel Guide produit

81 Serveurs enregistrés Enregistrement de serveurs LDAP 7 Option Utiliser NTLMv2 Nom d'utilisateur Définition Le cas échéant, choisissez d'utiliser le protocole d'authentification NT LAN Manager. Sélectionnez cette option si le serveur que vous enregistrez utilise ce protocole. Spécifie le nom d'utilisateur pour ce serveur. 4 Cliquez sur Enregistrer. Enregistrement de serveurs LDAP Vous devez disposer d'un serveur LDAP (Lightweight Directory Access Protocol) enregistré pour utiliser les règles d'affectation de stratégie, pour activer l'attribution dynamique des ensembles d'autorisations et pour activer la connexion des utilisateurs Active Directory. 1 Sélectionnez Menu Configuration Serveurs enregistrés, puis Nouveau serveur. 2 Dans le menu Type de serveur de la page Description, sélectionnez Serveur LDAP, spécifiez un nom unique, ainsi que les données nécessaires, puis cliquez sur Suivant. 3 Choisissez le serveur que vous enregistrez, serveur OpenLDAP ou Active Directory, dans la liste Type de serveur LDAP. La suite des instructions suppose qu'un serveur Active Directory a été choisi. Des informations propres à OpenLDAP sont indiquées le cas échéant. 4 Choisissez si vous spécifiez un nom de domaine ou un nom de serveur spécifique dans la section Nom du serveur. Utilisez des noms de domaine DNS (par exemple domaineinterne.com) et des noms de domaine complets ou des adresses IP pour les serveurs (par exemple serveur1.domaineinterne.com ou ). L'utilisation des noms de domaine fournit un système de reprise automatique et vous permet de choisir uniquement des serveurs d'un site spécifique si vous le voulez. Les serveurs OpenLDAP ne peuvent utiliser que des noms de serveur. Ils ne peuvent pas être spécifiés par domaine. 5 Choisissez si vous voulez Utiliser le catalogue global. Cette option est désélectionnée par défaut. Sa sélection présente des avantages importants en termes de performances. Elle ne doit être sélectionnée que si le domaine enregistré est le parent de domaines locaux uniquement. Si des domaines non locaux sont inclus, la recherche des références peut entraîner du trafic réseau non local considérable, ce qui peut avoir un impact important sur les performances. L'option Utiliser le catalogue global n'est pas disponible pour les serveurs OpenLDAP. 6 Si vous avez choisi de ne pas utiliser le catalogue global, choisissez de Rechercher des références ou non. La recherche des références peut provoquer des problèmes de performances si elle entraîne du trafic réseau non local, qu'un catalogue global soit utilisé ou non. 7 Choisissez d'utiliser SSL ou non lors des communications avec ce serveur. McAfee epolicy Orchestrator Logiciel Guide produit 81

82 7 Serveurs enregistrés Enregistrement de serveurs SNMP 8 Si vous configurez un serveur OpenLDAP, entrez le Port. 9 Entrez le Nom d'utilisateur et le Mot de passe comme indiqué. Ces informations d'identification doivent correspondre à un compte d'administrateur sur le serveur. Utilisez le format domaine\nom_utilisateur sur les serveurs Active Directory et le format cn=utilisateur,dc=domaine,dc=com sur les serveurs OpenLDAP. 10 Entrez le Nom du site du serveur, ou sélectionnez le en cliquant sur Parcourir et en le recherchant. 11 Cliquez sur Tester la connexion pour vérifier la communication avec le serveur comme spécifié. Vous pouvez modifier les informations, le cas échéant. 12 Cliquez sur Enregistrer pour enregistrer le serveur. Enregistrement de serveurs SNMP Pour être en mesure de recevoir une interruption SNMP, vous devez ajouter les informations relatives au serveur SNMP dans epolicy Orchestrator pour que ce dernier sache où envoyer l'interruption. 1 Cliquez sur Menu Configuration Serveurs enregistrés, puis sur Nouveau serveur. 2 Dans le menu Type de serveur de la page Description, sélectionnez le type Serveur SNMP, entrez le nom du serveur ainsi que toute information supplémentaire nécessaire, puis cliquez sur Suivant. 3 Dans la liste déroulante URL, sélectionnez l'un des types d'adresse suivants, puis entrez l'adresse du serveur : Tableau 7-1 Définitions des options Option Nom DNS IPv4 IPv6 Définition Indique le nom DNS du serveur enregistré. Indique l'adresse IPv4 du serveur enregistré. Indique le nom DNS du serveur enregistré disposant d'une adresse IPv6. 4 Sélectionnez la version du protocole SNMP utilisée par votre serveur. Si vous sélectionnez SNMPv1 ou SNMPv2c comme version du serveur SNMP, entrez la chaîne de communauté du serveur sous Sécurité. Si vous sélectionnez SNMPv3, indiquez les détails de la Sécurité SNMPv3. 5 Cliquez sur Envoyer l'interruption de test pour tester votre configuration. 6 Cliquez sur Enregistrer. Le nouveau serveur SNMP apparaît alors dans la page Serveurs enregistrés. Enregistrement d'un serveur de base de données Avant de pouvoir extraire des données d'un serveur de base de données, vous devez d'abord l'enregistrer auprès d'epolicy Orchestrator. 82 McAfee epolicy Orchestrator Logiciel Guide produit

83 Serveurs enregistrés Partage d'objets entre serveurs 7 1 Ouvrez la page Serveurs enregistrés : sélectionnez Menu Configuration Serveurs enregistrés, puis Nouveau serveur. 2 Sélectionnez Serveur de base de données dans la liste déroulante Type de serveur, indiquez le nom du serveur et éventuellement une description, puis cliquez sur Suivant. 3 Sélectionnez un Type de base de données dans la liste déroulante des types enregistrés. Indiquez si vous souhaitez utiliser ce type de base de données par défaut. Si une base de données est déjà affectée par défaut à ce type de base de données, l'information figurera dans la ligne Actuelle base de données par défaut pour le type de base de données. 4 Entrez le Fournisseur de la base de données. A l'heure actuelle, seuls Microsoft SQL Server et MySQL sont pris en charge. 5 Spécifiez toutes les informations d'identification et les données de connexion relatives au serveur de base de données. 6 Pour vérifier si toutes les informations de connexion indiquées sont correctes, cliquez sur Tester la connexion. Un message d'état indique si le test a réussi ou échoué. 7 Cliquez sur Enregistrer. Partage d'objets entre serveurs Souvent, le moyen le plus facile et le plus rapide de répliquer un comportement d'un serveur epolicy Orchestrator vers un autre est d'exporter l'élément décrivant le comportement et de l'importer vers un autre serveur. Exportation d'objets à partir d'epolicy Orchestrator Souvent, le moyen le plus facile et rapide de répliquer un comportement d'un serveur epolicy Orchestrator vers un autre est d'exporter l'élément décrivant le comportement et de l'importer dans un autre serveur. Les éléments exportés à partir d'epolicy Orchestrator sont stockés dans des fichiers XML qui les décrivent en détail. Les objets exportés à partir d'un serveur McAfee epo sont affichés dans votre navigateur au format XML. Les paramètres de votre navigateur déterminent la manière dont les fichiers XML sont affichés et enregistrés. Contenu du fichier exporté Un fichier exporté contient généralement un élément conteneur extérieur nommé <list> pour le cas où plusieurs éléments seraient exportés. Si un seul objet est exporté, cet élément conteneur extérieur pourra être nommé d'après l'objet, par exemple, <query>. Le reste du contenu détaillé dépend du type de l'élément exporté. McAfee epolicy Orchestrator Logiciel Guide produit 83

84 7 Serveurs enregistrés Partage d'objets entre serveurs Eléments exportables Il est possible d'exporter les éléments ci dessous. Les diverses extensions installées ajouteront des éléments supplémentaires à cette liste. Consultez la documentation relative aux extensions pour plus d'informations. Tableaux de bord Tâches serveur Ensembles d'autorisations Utilisateurs Requêtes Réponses automatiques Rapports Pour les éléments ci dessous, il est possible d'exporter un tableau répertoriant leur contenu. Journal d'audit Problèmes Importation d'éléments dans epolicy Orchestrator Les éléments exportés depuis un serveur epolicy Orchestrator peuvent être importés sur un autre serveur. epolicy Orchestrator exporte les éléments au format XML. Ces fichiers XML contiennent les descriptions exactes des éléments exportés. Importation d'éléments Certaines règles sont respectées lors de l'importation d'éléments dans epolicy Orchestrator : Tous les éléments sauf les utilisateurs sont importés avec une visibilité privée par défaut. Vous pouvez appliquer d'autres autorisations pendant ou après l'importation. Si un élément portant le même nom existe déjà, la mention (importé) ou (copie) est ajoutée après le nom de l'élément importé. Les éléments importés nécessitant une extension ou un produit qui n'existent pas sur le nouveau serveur seront marqués comme non valides. epolicy Orchestrator peut importer uniquement des fichiers XML exportés par epolicy Orchestrator. Les détails propres à la manière d'importer différents types d'éléments figurent dans la documentation de chaque élément. Exportation et importation entre serveurs et versions de McAfee epo Lorsque vous déplacez les données d'un serveur epolicy Orchestrator sur un autre, certains objets peuvent être facilement exportés et importés, mais il existe des limitations pour certains autres. Ces limitations dépendent de la version du logiciel epolicy Orchestrator et du serveur cible d'importation, c'est à dire du fait que les données soient importées sur le même serveur McAfee epo ou sur un serveur différent. Les tableaux suivants répertorient les possibilités et les limitations d'epo en matière d'exportation et d'importation. 84 McAfee epolicy Orchestrator Logiciel Guide produit

85 Serveurs enregistrés Partage d'objets entre serveurs 7 Tableau 7-2 Exportation : comparaison entre serveurs McAfee epo 4.5, 4.6 et 5.0 Objet de données Affectations de gestionnaire d'agents Paramètres de gestionnaire d'agents Possibilité d'exportation à partir de McAfee epo... version 4.5 version 4.6 version 5.0 Oui Oui Oui Non Non Non N'inclut pas les affectations de gestionnaire d'agents. Réponses automatiques Oui Oui Oui Affectations de tâche client Non Oui Oui Objets tâche client Non Oui Oui Contacts Non Non Non Tableaux de bord Non Oui Oui Exceptions parmi les systèmes détectés Paramètres des systèmes détectés N'inclut pas les exceptions parmi les systèmes détectés. Oui Oui Oui Non Non Non Référentiels distribués Oui Oui Oui Informations de journalisation Non (sauf pour le cumul) Non (sauf pour le cumul) Ensembles d'autorisations Non Oui Oui Paramètres personnels Non Non Non Règles d'affectation de stratégie Oui Oui Oui Affectations de stratégie Non Oui Oui Objets stratégie Oui Oui Oui Requêtes Oui Oui Oui Fichiers exécutables enregistrés Non Non Non Serveurs enregistrés Non Non Non Rapports S.O. Oui Oui Clés de sécurité Oui Oui Oui Paramètres serveur N'inclut pas les clés de sécurité et les sites sources. Non Non Non Non (sauf pour le cumul) Tâches serveur Non Oui Oui Sites sources Oui Oui Oui Arborescence des systèmes Oui Oui Oui Catalogue de marqueurs Oui Oui Oui Synchronisation de l'arborescence des systèmes avec Active Directory Non Non Non McAfee epolicy Orchestrator Logiciel Guide produit 85

86 7 Serveurs enregistrés Partage d'objets entre serveurs Tableau 7-2 Exportation : comparaison entre serveurs McAfee epo 4.5, 4.6 et 5.0 (suite) Objet de données Possibilité d'exportation à partir de McAfee epo... version 4.5 version 4.6 version 5.0 Tri de l'arborescence des systèmes Non Non Non Options configurées par l'utilisateur Non Non Non Utilisateurs Non Non Non Tableau 7-3 Exportation à partir de McAfee epo 4.5 sur un serveur 5.0 différent Objet de données Exportable... Remarques Affectations de gestionnaire d'agents Paramètres de gestionnaire d'agents N'inclut pas les affectations de gestionnaire d'agents. à partir d'un serveur McAfee epo 4.5 sur un serveur McAfee epo 5.0 différent Oui Non L'utilisation d'identificateurs entraîne la perte des emplacements des affectations basées sur l'arborescence. Les informations du gestionnaire d'agents sélectionné sont perdues. Non S.O. Réponses automatiques Oui Non L'importation est rejetée. Affectations de tâche client Non S.O. Objets tâche client Non S.O. Contacts Non S.O. Tableaux de bord Non S.O. Exceptions parmi les systèmes détectés Paramètres des systèmes détectés N'inclut pas les exceptions parmi les systèmes détectés. Oui Non Oui S.O. Référentiels distribués Oui Oui (mais avec des limitations) Informations de journalisation Non (sauf pour le cumul) Ensembles d'autorisations Non S.O. Paramètres personnels Non S.O. Non (sauf pour le cumul) Sauf si le contenu des référentiels est identique, la liste d'exclusions peut entraîner des sélections de packages inattendues. 86 McAfee epolicy Orchestrator Logiciel Guide produit

87 Serveurs enregistrés Partage d'objets entre serveurs 7 Tableau 7-3 Exportation à partir de McAfee epo 4.5 sur un serveur 5.0 différent (suite) Objet de données Exportable... Remarques Règles d'affectation de stratégie à partir d'un serveur McAfee epo 4.5 Affectations de stratégie Non S.O. sur un serveur McAfee epo 5.0 différent Oui Non Les identificateurs uniques contenus dans les informations d'exportation et d'importation sont rejetés. Objets stratégie Oui Non La stratégie du référentiel McAfee Agent pourrait ne pas contenir les mêmes paramètres pour les serveurs McAfee epo et les gestionnaires d'agents que les anciens serveurs, les gestionnaires d'agents pourraient être absents, et il se peut que la stratégie échoue. Requêtes Fichiers exécutables enregistrés Oui (mais avec des limitations) Non Non S.O. Serveurs enregistrés Non S.O. Rapports S.O. S.O. Clés de sécurité Oui Oui Paramètres serveur N'inclut pas les clés de sécurité et les sites sources. Non S.O. Les requêtes contenant des données propres au serveur sont incorrectes après l'importation (p. ex. marqueurs, groupes ou stratégies). Tâches serveur Non S.O. Sites sources Oui Oui Arborescence des systèmes Oui (mais avec des limitations) Oui (mais avec des limitations) Le texte 'Mon organisation\' doit être supprimé de chaque ligne du fichier exporté avant l'importation. Catalogue de marqueurs Oui Non La présence de données propres au serveur dans des marqueurs spécifiques rend ceux ci indisponibles après l'importation. Synchronisation de l'arborescence des systèmes avec Active Directory Tri de l'arborescence des systèmes Non Non S.O. S.O. McAfee epolicy Orchestrator Logiciel Guide produit 87

88 7 Serveurs enregistrés Partage d'objets entre serveurs Tableau 7-3 Exportation à partir de McAfee epo 4.5 sur un serveur 5.0 différent (suite) Objet de données Exportable... Remarques Options configurées par l'utilisateur à partir d'un serveur McAfee epo 4.5 Non sur un serveur McAfee epo 5.0 différent S.O. Utilisateurs Non S.O. Tableau 7-4 Exportation à partir de McAfee epo 4.6 sur un serveur 5.0 différent Objet de données Exportable... Remarques Affectations de gestionnaire d'agents Paramètres de gestionnaire d'agents N'inclut pas les affectations de gestionnaire d'agents. à partir d'un serveur McAfee epo 4.6 sur un serveur McAfee epo 5.0 différent Oui Non L'utilisation d'identificateurs entraîne la perte des emplacements des affectations basées sur l'arborescence. Les informations du gestionnaire d'agents sélectionné sont perdues. Non S.O. Réponses automatiques Oui Non L'importation est rejetée. Affectations de tâche client Non S.O. Objets tâche client Non S.O. Contacts Non S.O. Tableaux de bord Non S.O. Exceptions parmi les systèmes détectés Paramètres des systèmes détectés N'inclut pas les exceptions parmi les systèmes détectés. Oui Non Oui S.O. Référentiels distribués Oui Oui (mais avec des limitations) Informations de journalisation Non (sauf pour le cumul) Ensembles d'autorisations Non S.O. Paramètres personnels Non S.O. Non (sauf pour le cumul) Sauf si le contenu des référentiels est identique, la liste d'exclusions peut entraîner des sélections de packages inattendues. 88 McAfee epolicy Orchestrator Logiciel Guide produit

89 Serveurs enregistrés Partage d'objets entre serveurs 7 Tableau 7-4 Exportation à partir de McAfee epo 4.6 sur un serveur 5.0 différent (suite) Objet de données Exportable... Remarques Règles d'affectation de stratégie à partir d'un serveur McAfee epo 4.6 Affectations de stratégie Non S.O. sur un serveur McAfee epo 5.0 différent Oui Non Les identificateurs uniques contenus dans les informations d'exportation et d'importation sont rejetés. Objets stratégie Oui Non La stratégie du référentiel McAfee Agent pourrait ne pas contenir les mêmes paramètres pour les serveurs McAfee epo et les gestionnaires d'agents que les anciens serveurs, les gestionnaires d'agents pourraient être absents, et il se peut que la stratégie échoue. Requêtes Fichiers exécutables enregistrés Oui (mais avec des limitations) Non Non S.O. Serveurs enregistrés Non S.O. Rapports S.O. S.O. Clés de sécurité Oui Oui Paramètres serveur N'inclut pas les clés de sécurité et les sites sources. Non S.O. Les requêtes contenant des données propres au serveur sont incorrectes après l'importation (p. ex. marqueurs, groupes ou stratégies). Tâches serveur Non S.O. Sites sources Oui Oui Arborescence des systèmes Oui (mais avec des limitations) Oui (mais avec des limitations) Le texte 'Mon organisation\' doit être supprimé de chaque ligne du fichier exporté avant l'importation. Catalogue de marqueurs Oui Non La présence de données propres au serveur dans des marqueurs rend ceux ci indisponibles après l'importation. Synchronisation de l'arborescence des systèmes avec Active Directory Tri de l'arborescence des systèmes Non Non S.O. S.O. McAfee epolicy Orchestrator Logiciel Guide produit 89

90 7 Serveurs enregistrés Partage d'objets entre serveurs Tableau 7-4 Exportation à partir de McAfee epo 4.6 sur un serveur 5.0 différent (suite) Objet de données Exportable... Remarques Options configurées par l'utilisateur à partir d'un serveur McAfee epo 4.6 Non sur un serveur McAfee epo 5.0 différent S.O. Utilisateurs Non S.O. Tableau 7-5 Exportation à partir de McAfee epo 5.0 et importation sur un serveur 5.0 différent Objet Exportable... Remarques Affectations de gestionnaire d'agents Paramètres de gestionnaire d'agents N'inclut pas les affectations de gestionnaire d'agents. à partir d'un serveur McAfee epo 5.0 sur un serveur McAfee epo 5.0 différent Oui Non L'utilisation d'identificateurs entraîne la perte des emplacements des affectations basées sur l'arborescence. Les informations du gestionnaire d'agents sélectionné sont perdues. Non S.O. Réponses automatiques Oui Non L'utilisation d'identificateurs pour les nœuds de l'arborescence des systèmes applicables entraîne une configuration incorrecte du filtre ou une erreur. Affectations de tâche client Oui Oui (mais avec des limitations) Objets tâche client Oui Oui (mais avec des limitations) Contacts Non S.O. Les tâches avec héritage bloqué sont perdues et des affectations de tâche dupliquées sont créées si les tâches sont importées avant ou après le blocage de l'héritage. Le contenu du référentiel maître doit correspondre (y compris pour la version) avec le serveur d'origine ou les sélections sont vides ou absentes. Tableaux de bord Oui Non Les requêtes contenant des données propres au serveur sont incorrectes après l'importation (p. ex. marqueurs, groupes ou stratégies). Exceptions parmi les systèmes détectés Oui Oui (mais avec des limitations) Les catégories d'exceptions ne sont pas exportées. 90 McAfee epolicy Orchestrator Logiciel Guide produit

91 Serveurs enregistrés Partage d'objets entre serveurs 7 Tableau 7-5 Exportation à partir de McAfee epo 5.0 et importation sur un serveur 5.0 différent (suite) Objet Exportable... Remarques Paramètres des systèmes détectés N'inclut pas les exceptions parmi les systèmes détectés. à partir d'un serveur McAfee epo 5.0 Non sur un serveur McAfee epo 5.0 différent S.O. Référentiels distribués Oui Non La liste des exclusions de packages est perdue après l'importation. Informations de journalisation Non (sauf pour le cumul) Non (sauf pour le cumul) Ensembles d'autorisations Oui Oui (mais avec des limitations) Paramètres personnels Non S.O. Règles d'affectation de stratégie Les ensembles d'autorisations doivent correspondre en termes de structure de l'arborescence des systèmes et de contenu de référentiel. Oui Non L'utilisation d'identificateurs entraîne l'emploi de marqueurs et de serveurs enregistrés incorrects par les serveurs. Affectations de stratégie Oui Non Les affectations multiples de stratégies à emplacements multiples au niveau d'un seul nœud ne sont pas importées correctement. Objets stratégie Oui Non La stratégie du référentiel McAfee Agent pourrait ne pas contenir les mêmes paramètres pour les serveurs McAfee epo et les gestionnaires d'agents que les anciens serveurs, les gestionnaires d'agents pourraient être absents, et il se peut que la stratégie échoue. Requêtes Fichiers exécutables enregistrés Oui (mais avec des limitations) Non Non S.O. Serveurs enregistrés Non S.O. Les requêtes contenant des données propres au serveur sont incorrectes après l'importation (p. ex. marqueurs, groupes ou stratégies). Rapports Oui Non Les requêtes contenant des données propres au serveur sont incorrectes après l'importation (p. ex. marqueurs, groupes ou stratégies). McAfee epolicy Orchestrator Logiciel Guide produit 91

92 7 Serveurs enregistrés Partage d'objets entre serveurs Tableau 7-5 Exportation à partir de McAfee epo 5.0 et importation sur un serveur 5.0 différent (suite) Objet Exportable... Remarques à partir d'un serveur McAfee epo 5.0 Clés de sécurité Oui Oui Paramètres serveur N'inclut pas les clés de sécurité et les sites sources. Non sur un serveur McAfee epo 5.0 différent S.O. Tâches serveur Oui Oui (mais avec des limitations) Sites sources Oui Oui Arborescence des systèmes Oui Oui Catalogue de marqueurs Oui Non La présence de données propres au serveur dans des marqueurs rend ceux ci indisponibles après l'importation. Synchronisation de l'arborescence des systèmes avec Active Directory Tri de l'arborescence des systèmes Options configurées par l'utilisateur Non Non Non S.O. S.O. S.O. Utilisateurs Non S.O. Tableau 7-6 Exportation et importation de tâches serveur McAfee epo 5.0 Objet tâche serveur Tâches comportant des requêtes Tâches comportant des chemins d'accès à des fichiers Exportable sur un serveur différent Oui (mais avec des limitations) Oui (mais avec des limitations) Remarques Des tâches dupliquées sont créées pour les requêtes utilisées par plusieurs tâches si elles sont importées à des moments différents. Les chemins d'accès aux fichiers doivent correspondre sur les serveurs, sinon les fichiers ne seront peut être pas écrits (p. ex. les fichiers présents sur le lecteur D du serveur d'exportation ne seront pas écrits si le serveur sur lequel ils sont importés ne comporte pas de lecteur D). Recherche de systèmes Non Les identificateurs utilisés pour les groupes et les marqueurs entraînent une non concordance. Rechercher les critères de marquage Non Les identificateurs utilisés pour les marqueurs entraînent une non concordance. Exécuter le rapport Non Les identificateurs utilisés pour les requêtes peuvent entraîner une non concordance ; les requêtes peuvent contenir des informations propres au serveur. Exécuter une requête Mettre à jour les agents Oui (mais avec des limitations) Le contenu des requêtes doit être identique, sinon la tâche perd les paramètres. 92 McAfee epolicy Orchestrator Logiciel Guide produit

93 Serveurs enregistrés Partage d'objets entre serveurs 7 Tableau 7-6 Exportation et importation de tâches serveur McAfee epo 5.0 (suite) Objet tâche serveur Exécuter une requête Exécuter la tâche client maintenant Exécuter une requête Déplacer les systèmes Exécuter une requête Exclure le marqueur Exécuter une requête Exceptions parmi les systèmes détectés Exécuter une requête Déployer McAfee Agent Exécuter une requête Effacer le marqueur Exécuter une requête Affecter une stratégie Exécuter une requête Appliquer le marqueur Exécuter une requête Ajouter à l'arborescence des systèmes Exportable sur un serveur différent Non Non Non Oui (mais avec des limitations) Non Non Non Non Non Remarques Les identificateurs utilisés entraînent probablement une non concordance. Les identificateurs utilisés entraînent probablement une non concordance. Les identificateurs utilisés entraînent probablement une non concordance. Les identificateurs utilisés pour la sélection de catégorie entraînent probablement une non concordance. Les données propres aux gestionnaires d'agents peuvent ne pas être disponible sur le serveur cible de l'importation. Le mot de passe n'est pas conservé dans le fichier exporté. Les identificateurs utilisés entraînent probablement une non concordance. Les identificateurs utilisés entraînent probablement une non concordance et l'échec de la tâche, bien que la stratégie ait été importée par une tâche. Les identificateurs utilisés entraînent probablement une non concordance. Les identificateurs utilisés entraînent probablement une non concordance. Cumul Non Dans le cas de serveurs enregistrés sélectifs, des identificateurs sont utilisés et peuvent ne pas correspondre. Les propriétés de filtrage peuvent être propres au serveur (stratégies appliquées). Réplication de référentiel Oui (mais avec des limitations) Le contenu des référentiels doit être identique, sinon la tâche perd les paramètres. Extraction du référentiel Non L'identificateur utilisé pour le site source peut poser problème. Le contenu des référentiels doit être identique, sinon la tâche perd les paramètres. Purger X Oui (mais avec des limitations) En cas d'utilisation d'une requête de purge, l'identificateur utilisé entraîne probablement une non concordance entre serveurs. Exporter les requêtes Non Les requêtes peuvent contenir des données propres au serveur, ce qui les rend incorrectes après l'importation. Modifier la branche du package Synchronisation avec Active Directory Oui (mais avec des limitations) Non Le contenu des packages doit être identique, sinon la tâche perd les paramètres. L'identificateur utilisé pour l'emplacement, même si la structure de l'arborescence est importée, entraîne probablement une non concordance. McAfee epolicy Orchestrator Logiciel Guide produit 93

94 7 Serveurs enregistrés Partage d'objets entre serveurs Exportation d'objets et de données à partir de votre serveur epolicy Orchestrator Les objets et les données exportés peuvent être utilisés pour sauvegarder des données importantes, tout comme pour restaurer ou configurer des serveurs epolicy Orchestrator dans votre environnement. La plupart des objets et des données utilisés par votre serveur peuvent être exportés ou téléchargés pour consultation, transformation ou importation dans d'autres serveurs ou applications. Le tableau suivant répertorie les divers éléments exploitables. L'exportation aux formats HTML et PDF permet de consulter les résultats dans un format d'affichage convivial, tandis que les formats CSV ou XML permettent d'utiliser et de manipuler les données dans d'autres applications. Type d'objet Exportable Importable Format d'exportation Réponses automatiques X X XML Objets tâche client X X XML Tableaux de bord X X XML Exceptions parmi les systèmes détectés X X txt Définitions d'ensemble d'autorisations X X XML Objets stratégie X X XML Affectations de stratégie X X XML Définitions de requête X X XML Données de requête X multiples Rapports X X XML Référentiels X X XML Tâches serveur X X XML Listes de sites X X XML Sous réseaux (sous forme de liste) X X TXT Systèmes (sous forme de liste, à partir de l'arborescence des systèmes) X X TXT Tableaux (sous forme de rapport ou de liste) X multiples Marqueurs X X XML 1 Dans la page affichant les objets ou les données, cliquez sur Actions et sélectionnez l'option souhaitée. Par exemple, lors de l'exportation d'un tableau, sélectionnez Exporter le tableau, puis cliquez sur Suivant. 2 Lors de l'exportation de contenu pouvant être téléchargé dans plusieurs formats, tel que des données de requête, une page Exporter comportant des options de configuration s'ouvre. Indiquez vos préférences et cliquez sur Exporter. 3 Lors de l'exportation d'objets ou de définitions, tels que des objets ou des définitions de tâche client, un des événements suivants se produit : Une boîte de dialogue s'ouvre pour vous permettre d'ouvrir ou d'enregistrer le fichier. Une page Exporter contenant un lien vers le fichier s'ouvre. Cliquez avec le bouton gauche sur le lien pour afficher le fichier dans votre navigateur. Cliquez avec le bouton droit de la souris sur le lien pour enregistrer le fichier. 94 McAfee epolicy Orchestrator Logiciel Guide produit

95 8 Gestionnaires 8 d'agents Les gestionnaires d'agents transfèrent les communications entre les agents et votre serveur McAfee epo. Chaque serveur McAfee epo contient un gestionnaire d'agents maître. Des gestionnaires d'agents supplémentaires peuvent être installés sur divers systèmes de votre réseau. Ces gestionnaires d'agents supplémentaires offrent divers avantages. Il est possible de gérer un plus grand nombre de produits et de systèmes managés par l'intermédiaire d'un unique serveur epolicy Orchestrator logique, dans des situations où le processeur du serveur de base de données n'est pas surchargé. Une telle configuration assure une communication avec tolérance aux pannes et équilibrage de charge avec un grand nombre d'agents, y compris les agents dispersés au sein d'une vaste zone géographique. Sommaire Fonctionnement des gestionnaires d'agents Priorité et groupes de gestionnaires Gestion des gestionnaires d'agents Fonctionnement des gestionnaires d'agents Les gestionnaires d'agents distribuent le trafic réseau généré par les communications agent serveur en affectant des systèmes managés, ou des groupes de systèmes managés, à un gestionnaire d'agents spécifique. Une fois affecté, un système managé communique avec son gestionnaire d'agents au lieu du serveur McAfee epo principal. Le gestionnaire fournit les mises à jour des fichiers Sitelist, des stratégies et des règles d'affectation de stratégie de la même façon que le serveur McAfee epo. Il met également en cache le contenu du référentiel maître afin que les agents puissent extraire des packages de mise à jour de produits, des fichiers DAT et d'autres informations nécessaires. Lorsqu'un agent communique avec son gestionnaire, dans le cas où celui ci ne dispose pas des mises à jour requises, le gestionnaire les extrait du référentiel désigné et les met en cache, tout en les transférant à l'agent. Le graphique Systèmes par gestionnaire d'agents affiche tous les gestionnaires d'agents installés et le nombre d'agents managés par chaque gestionnaire. Lorsqu'un gestionnaire d'agents est désinstallé, il n'apparaît pas sur ce graphique. Si une règle d'affectation de gestionnaire d'agents affecte de manière exclusive des agents à un gestionnaire d'agents et si ce dernier est désinstallé, il apparaît dans le graphique comme Gestionnaire d'agents désinstallé accompagné du nombre d'agents qui essaient encore de le contacter. McAfee epolicy Orchestrator Logiciel Guide produit 95

96 8 Gestionnaires d'agents Priorité et groupes de gestionnaires Si les gestionnaires d'agents ne sont pas installés correctement, le message Gestionnaire d'agents désinstallé s'affiche pour indiquer que le gestionnaire ne parvient pas à communiquer avec des agents. Cliquez sur la liste pour afficher les agents qui ne peuvent pas communiquer avec le gestionnaire. Présence de plusieurs gestionnaires d'agents Plusieurs gestionnaires d'agents peuvent coexister dans votre réseau. Il se peut par exemple que ce réseau comporte un grand nombre de systèmes managés situés dans plusieurs pays ou régions. Dans tous les cas, vous pouvez organiser plus efficacement vos systèmes managés en affectant des groupes distincts à différents gestionnaires. Priorité et groupes de gestionnaires Lorsque vous utilisez plusieurs gestionnaires d'agents dans votre réseau, groupez les et affectez leur une priorité afin de préserver la connectivité du réseau. Groupes de gestionnaires Lorsque vous disposez de plusieurs gestionnaires d'agents dans votre réseau, vous pouvez créer des groupes de gestionnaires. Vous pouvez également appliquer une priorité aux gestionnaires d'un groupe. La priorité indique aux agents le gestionnaire avec lequel ils doivent communiquer en premier. Si le gestionnaire affecté de la priorité la plus élevée n'est pas disponible, l'agent tente de communiquer avec le gestionnaire suivant dans la liste. Ces informations de priorité figurent dans la liste de référentiels (fichier Sitelist.xml) de chaque agent. Lorsque vous modifiez les affectations de gestionnaire, ce fichier est mis à jour au cours du processus de communication agent serveur. Après avoir reçu les affectations, l'agent attend la prochaine communication normale planifiée pour les implémenter. Pour mettre immédiatement l'agent à jour, vous pouvez exécuter un appel de réactivation de l'agent. Vous pouvez personnaliser le regroupement des gestionnaires et l'affectation des priorités en fonction des besoins spécifiques de votre environnement. A titre d'exemple, voici deux scénarios souvent utilisés pour grouper les gestionnaires : Utilisation de plusieurs gestionnaires pour équilibrage de la charge Vous disposez peut être d'un grand nombre de systèmes managés dans votre réseau, raison pour laquelle vous souhaitez distribuer la charge des communications agent serveur et des mises en œuvre des stratégies. Vous pouvez configurer la liste de gestionnaires afin que les agents sélectionnent aléatoirement le gestionnaire avec lequel ils vont communiquer. Configuration d'un plan de secours garantissant la communication agent serveur Vos systèmes sont peut être distribués sur une zone géographique étendue. En affectant une priorité aux différents gestionnaires dispersés dans la zone, vous pouvez spécifier les gestionnaires avec lesquels l'agent doit communiquer et dans quel ordre il doit le faire. Les systèmes managés du réseau restent à jour grâce à la création d'une communication de secours pour l'agent, de la même façon que les référentiels de secours garantissent la disponibilité des nouvelles mises à jour pour les agents. Si le gestionnaire possédant la priorité la plus élevée n'est pas disponible, l'agent tente de communiquer avec le gestionnaire suivant par ordre de priorité. En plus d'affecter une priorité au sein des gestionnaires d'un même groupe, vous pouvez également définir la priorité d'affectation pour plusieurs groupes. Ce mécanisme de redondance supplémentaire garantit que les agents de votre environnement recevront bien les informations critiques nécessaires. 96 McAfee epolicy Orchestrator Logiciel Guide produit

97 Gestionnaires d'agents Gestion des gestionnaires d'agents 8 Fichiers Sitelist L'agent utilise les fichiers Sitelist.xml et Sitelist.info pour déterminer le gestionnaire avec lequel il communique. Chaque fois que les affectations et la priorité des gestionnaires sont mises à jour, ces fichiers sont mis à jour sur le système managé. Une fois ces fichiers mis à jour, l'agent implémente la nouvelle affectation ou priorité lors de la prochaine communication agent serveur planifiée. Gestion des gestionnaires d'agents Configurez des gestionnaires d'agents sur votre réseau et affectez leur des agents McAfee Agent. s Affectation d'agents McAfee Agent aux gestionnaires d'agents, page 97 Affectez des agents à des gestionnaires d'agents spécifiques. Vous pouvez affecter des systèmes individuellement, par groupe et par sous réseau. Gestion des affectations de gestionnaire d'agents, page 98 Réalisez les tâches habituelles de gestion des affectations de gestionnaire d'agents. Création de groupes de gestionnaires d'agents, page 99 Les groupes de gestionnaires simplifient la gestion des gestionnaires lorsqu'ils sont nombreux sur le réseau et peuvent jouer un rôle dans la stratégie de secours. Gestion des groupes de gestionnaires d'agents, page 99 Réalisez les tâches habituelles de gestion des groupes de gestionnaires d'agents. Déplacement d'agents entre gestionnaires d'agents, page 100 Affectez des agents à des gestionnaires d'agents spécifiques. Vous pouvez affecter des systèmes à l'aide des règles d'affectation de gestionnaire d'agents, de la priorité d'affectation de gestionnaire d'agents ou individuellement, par l'intermédiaire de l'arborescence des systèmes. Affectation d'agents McAfee Agent aux gestionnaires d'agents Affectez des agents à des gestionnaires d'agents spécifiques. Vous pouvez affecter des systèmes individuellement, par groupe et par sous réseau. Les affectations de gestionnaire peuvent spécifier un gestionnaire individuel ou une liste de gestionnaires à utiliser. La liste que vous définissez peut comprendre des gestionnaires individuels ou des groupes de gestionnaires. 1 Cliquez sur Menu Configuration Gestionnaires d'agents, puis cliquez sur Actions Nouvelle affectation. 2 Indiquez un nom unique pour cette affectation. 3 Spécifiez les agents pour cette affectation à l'aide de l'une ou des deux options Critères de l'agent suivantes : Recherchez un Emplacement dans l'arborescence des systèmes. Entrez une adresse IP, un intervalle d'adresses IP ou un masque de sous réseau de systèmes managés dans le champ Sous réseau de l'agent. McAfee epolicy Orchestrator Logiciel Guide produit 97

98 8 Gestionnaires d'agents Gestion des gestionnaires d'agents 4 Précisez la Priorité des gestionnaires en sélectionnant l'une des deux options suivantes : Utiliser tous les gestionnaires d'agents Les agents sélectionnent aléatoirement le gestionnaire avec lequel ils vont communiquer. Utilisez la liste de gestionnaires personnalisée Lorsque vous utilisez une liste de gestionnaires personnalisée, sélectionnez le gestionnaire ou groupe de gestionnaires dans le menu déroulant. Lorsque vous optez pour une liste de gestionnaires personnalisée, utilisez + et pour ajouter d'autres gestionnaires ou en supprimer. (Un gestionnaire d'agents peut être inclus dans plusieurs groupes.) Utilisez la poignée Glisser déposer pour modifier la priorité des gestionnaires. La priorité détermine le gestionnaire avec lequel les agents tenteront de communiquer en premier. Gestion des affectations de gestionnaire d'agents Réalisez les tâches habituelles de gestion des affectations de gestionnaire d'agents. Pour effectuer ces actions, cliquez sur Menu Configuration Gestionnaires d'agents, puis dans Règles d'affectation de gestionnaire, cliquez sur Actions. Opération Suppression d'une affectation de gestionnaire Modification d'une affectation de gestionnaire Cliquez sur Supprimer dans la ligne de l'affectation sélectionnée. Cliquez sur Modifier dans la ligne de l'affectation sélectionnée. Dans la page Affectation de gestionnaire d'agents qui s'affiche, vous pouvez spécifier les éléments suivants : Nom de l'affectation Nom unique identifiant cette affectation de gestionnaire. Critères de l'agent Systèmes inclus dans cette affectation. Vous pouvez ajouter et supprimer des groupes dans l'arborescence des systèmes ou modifier la liste des systèmes dans la zone de texte. Priorité des gestionnaires Précisez si vous souhaitez utiliser tous les gestionnaires d'agents ou une liste de gestionnaires personnalisée. Les agents sélectionnent aléatoirement le gestionnaire avec lequel ils communiquent lorsque l'option Utiliser tous les gestionnaires d'agents est sélectionnée. Utilisez la poignée Glisser déposer pour modifier rapidement la priorité des gestionnaires dans votre liste de gestionnaires personnalisée. Exportation d'affectations de gestionnaire Importation d'affectations de gestionnaire Modification de la priorité des affectations de gestionnaire Affichage de la synthèse des informations relatives à l'affectation d'un gestionnaire Cliquez sur Exporter. Dans la page Télécharger les affectations de gestionnaire d'agents qui s'affiche, vous pouvez consulter ou télécharger le fichier AgentHandlerAssignments.xml. Cliquez sur Importer. Dans la boîte de dialogue Importer les affectations de gestionnaire d'agents qui s'affiche, vous pouvez accéder à un fichier AgentHandlerAssignments.xml préalablement téléchargé. Cliquez sur Modifier la priorité. Dans la page Affectation de gestionnaire d'agents Modifier la priorité qui s'affiche, vous pouvez modifier la priorité de l'affectation de gestionnaire à l'aide de la poignée Glisser déposer. Cliquez sur > dans la ligne de l'affectation sélectionnée. 98 McAfee epolicy Orchestrator Logiciel Guide produit

99 Gestionnaires d'agents Gestion des gestionnaires d'agents 8 Création de groupes de gestionnaires d'agents Les groupes de gestionnaires simplifient la gestion des gestionnaires lorsqu'ils sont nombreux sur le réseau et peuvent jouer un rôle dans la stratégie de secours. 1 Cliquez sur Menu Configuration Gestionnaires d'agents, puis dans Groupes de gestionnaires, cliquez sur Nouveau groupe. La page Ajouter/modifier un groupe s'affiche. 2 Spécifiez le nom du groupe, ainsi que les informations relatives aux Gestionnaires inclus : Cliquez sur Utiliser l'équilibreur de charge pour utiliser un équilibreur de charge tiers, puis complétez les champs Nom DNS virtuel et Adresse IP virtuelle. (Les deux champs sont obligatoires.) Cliquez sur Utiliser la liste de gestionnaires personnalisée pour spécifier les gestionnaires d'agents inclus dans ce groupe. Lorsque vous utilisez une liste de gestionnaires personnalisée, sélectionnez les gestionnaires dans le menu déroulant Gestionnaires inclus. Les icônes + et permettent d'ajouter d'autres gestionnaires d'agents à la liste et d'en supprimer. (Un gestionnaire d'agents peut être inclus dans plusieurs groupes.) Utilisez la poignée Glisser déposer pour modifier la priorité des gestionnaires. La priorité détermine le gestionnaire avec lequel les agents tenteront de communiquer en premier. 3 Cliquez sur Enregistrer. Gestion des groupes de gestionnaires d'agents Réalisez les tâches habituelles de gestion des groupes de gestionnaires d'agents. Pour effectuer ces actions, cliquez sur Menu Configuration Gestionnaires d'agents, puis sur le moniteur Groupes de gestionnaires. Opération Suppression d'un groupe de gestionnaires Modification d'un groupe de gestionnaires Cliquez sur Supprimer dans la ligne du groupe sélectionné. Cliquez sur le groupe de gestionnaires. Dans la page Ajouter/modifier un groupe qui s'affiche, vous pouvez spécifier les éléments suivants : Nom DNS virtuel Nom unique identifiant ce groupe de gestionnaires. Adresse IP virtuelle Adresse IP associée au groupe. Gestionnaires inclus Précisez si vous souhaitez utiliser un équilibreur de charge tiers ou une liste de gestionnaires personnalisée. Utilisez une liste de gestionnaires personnalisée pour les gestionnaires d'agents avec lesquels les agents affectés à ce groupe doivent communiquer, et dans quel ordre ils doivent le faire. Activation ou désactivation d'un groupe de gestionnaires Cliquez sur Activer ou Désactiver dans la ligne du groupe sélectionné. McAfee epolicy Orchestrator Logiciel Guide produit 99

100 8 Gestionnaires d'agents Gestion des gestionnaires d'agents Déplacement d'agents entre gestionnaires d'agents Affectez des agents à des gestionnaires d'agents spécifiques. Vous pouvez affecter des systèmes à l'aide des règles d'affectation de gestionnaire d'agents, de la priorité d'affectation de gestionnaire d'agents ou individuellement, par l'intermédiaire de l'arborescence des systèmes. Les affectations de gestionnaire peuvent spécifier un gestionnaire individuel ou une liste de gestionnaires à utiliser. La liste que vous définissez peut comprendre des gestionnaires individuels ou des groupes de gestionnaires. s Regroupement des agents par affectations de gestionnaire d'agents, page 100 Créez des affectations de gestionnaire d'agents pour regrouper des agents McAfee Agent. Regroupement des agents par priorité d'affectation, page 101 Regroupez les agents et affectez les à un gestionnaire d'agents qui utilise les priorités d'affectation. Regroupement des agents à l'aide de l'arborescence des systèmes, page 102 Regroupez les agents et affectez les à un gestionnaire d'agents à l'aide de l'arborescence des systèmes. Regroupement des agents par affectations de gestionnaire d'agents Créez des affectations de gestionnaire d'agents pour regrouper des agents McAfee Agent. Les affectations de gestionnaire peuvent spécifier un gestionnaire individuel ou une liste de gestionnaires à utiliser. La liste que vous définissez peut comprendre des gestionnaires individuels ou des groupes de gestionnaires. Lorsque vous affectez des agents à des gestionnaires d'agents, tenez compte de la proximité géographique pour éviter tout trafic réseau inutile. 1 Cliquez sur Menu Configuration Gestionnaires d'agents, puis cliquez sur la règle d'affectation de gestionnaire requise. La page Affectation de gestionnaire d'agents s'affiche. Si la seule affectation de la liste est Règle d'affectation par défaut, vous devez créer une nouvelle affectation. 2 Indiquez un nom dans la zone Nom de l'affectation. 3 Vous pouvez configurer les Critères de l'agent en fonction d'emplacements dans l'arborescence des systèmes, par sous réseau de l'agent ou individuellement à l'aide d'une des méthodes suivantes : Emplacements dans l'arborescence des systèmes Sélectionnez le groupe dans Emplacement dans l'arborescence des systèmes. Vous pouvez rechercher et sélectionner d'autres groupes dans Sélectionner le groupe de l'arborescence des systèmes, en utilisant + et pour ajouter et supprimer les groupes affichés. Sous réseau de l'agent Dans la zone de texte, entrez les adresses IP, les intervalles d'adresses ou les masques de sous réseau. Individuellement Dans la zone de texte, entrez l'adresse IPv4 ou IPv6 pour un système spécifique. 100 McAfee epolicy Orchestrator Logiciel Guide produit

101 Gestionnaires d'agents Gestion des gestionnaires d'agents 8 4 En ce qui concerne l'option Priorité des gestionnaires, vous pouvez sélectionner Utiliser tous les gestionnaires d'agents ou Utiliser la liste de gestionnaires personnalisée. Cliquez sur Utiliser la liste de gestionnaires personnalisée, puis modifiez le gestionnaire en utilisant l'une des méthodes suivantes : Modifiez le gestionnaire associé en ajoutant un autre gestionnaire à la liste et en supprimant le gestionnaire précédemment associé. Ajoutez d'autres gestionnaires à la liste et définissez la priorité utilisée par l'agent pour communiquer avec les gestionnaires. Lorsque vous optez pour une liste de gestionnaires personnalisée, utilisez + et pour ajouter d'autres gestionnaires à la liste et en supprimer. (Un gestionnaire d'agents peut être inclus dans plusieurs groupes.) Utilisez la poignée Glisser déposer pour modifier la priorité des gestionnaires. La priorité détermine le gestionnaire avec lequel les agents tenteront de communiquer en premier. 5 Cliquez sur Enregistrer. Regroupement des agents par priorité d'affectation Regroupez les agents et affectez les à un gestionnaire d'agents qui utilise les priorités d'affectation. Les affectations de gestionnaire peuvent spécifier un gestionnaire individuel ou une liste de gestionnaires à utiliser. La liste que vous définissez peut comprendre des gestionnaires individuels ou des groupes de gestionnaires. Cette liste définit l'ordre dans lequel les agents tentent de communiquer à l'aide d'un gestionnaire d'agents particulier. Lorsque vous affectez des systèmes à des gestionnaires d'agents, tenez compte de la proximité géographique pour éviter tout trafic réseau inutile. 1 Cliquez sur Menu Configuration Gestionnaires d'agents. La page Gestionnaire d'agents s'affiche. Si la seule affectation de la liste est Règle d'affectation par défaut, vous devez créer une nouvelle affectation. 2 Modifiez les affectations en suivant la procédure décrite à la section Regroupement des agents par règles d'affectation. 3 Si nécessaire, cliquez sur Actions Modifier la priorité pour modifier la priorité ou la hiérarchie des affectations. Le déplacement d'une affectation à un niveau de priorité inférieur crée une hiérarchie, dans laquelle l'affectation de priorité moins haute est en réalité incluse dans la plus haute. 4 Pour modifier la priorité d'une affectation, affichée dans la colonne Priorité à gauche, effectuez l'une des opérations suivantes : Utilisez la fonction glisser déposer Vous pouvez déplacer l'affectation vers le haut ou vers le bas dans la colonne Priorité en utilisant la poignée Glisser déposer. Cliquez sur Déplacer en première position Dans les actions rapides, cliquez sur Déplacer en première position pour déplacer automatiquement l'affectation sélectionnée au niveau de priorité le plus élevé. 5 Lorsque les priorités des affectations sont correctement configurées, cliquez sur Enregistrer. McAfee epolicy Orchestrator Logiciel Guide produit 101

102 8 Gestionnaires d'agents Gestion des gestionnaires d'agents Regroupement des agents à l'aide de l'arborescence des systèmes Regroupez les agents et affectez les à un gestionnaire d'agents à l'aide de l'arborescence des systèmes. Les affectations de gestionnaire peuvent spécifier un gestionnaire individuel ou une liste de gestionnaires à utiliser. La liste que vous définissez peut comprendre des gestionnaires individuels ou des groupes de gestionnaires. Lorsque vous affectez des systèmes à des gestionnaires d'agents, tenez compte de la proximité géographique pour éviter tout trafic réseau inutile. 1 Cliquez sur Menu Systèmes Arborescence des systèmes Systèmes. 2 Dans la colonne Arborescence des systèmes, accédez au système ou au groupe que vous souhaitez déplacer. 3 Utilisez la poignée Glisser déposer pour déplacer des systèmes à partir du groupe de systèmes actuellement configuré vers le groupe cible. 4 Cliquez sur OK. 102 McAfee epolicy Orchestrator Logiciel Guide produit

103 Gestion de la sécurité du réseau Pour protéger votre entreprise contre les menaces, il est essentiel de maintenir vos produits McAfee à jour en leur appliquant les derniers contenus de sécurité. Le serveur McAfee epo vous permet de le faire pour tous les systèmes de votre réseau. Chapitre 9 Chapitre 10 Chapitre 11 Chapitre 12 Chapitre 13 Chapitre 14 Chapitre 15 Chapitre 16 Chapitre 17 Arborescence des systèmes Communication agent-serveur Gestionnaire de logiciels Déploiement de produits Gestion des stratégies Tâches client et serveur Gestion manuelle des packages et des mises à jour Evénements et réponses Menaces de sécurité McAfee Labs McAfee epolicy Orchestrator Logiciel Guide produit 103

104 Gestion de la sécurité du réseau 104 McAfee epolicy Orchestrator Logiciel Guide produit

105 9 Arborescence 9 des systèmes L'arborescence des systèmes est une représentation graphique de l'organisation de votre réseau managé. Utilisez le logiciel epolicy Orchestrator pour automatiser et personnaliser l'organisation des systèmes. La structure organisationnelle que vous mettez en place affecte la façon dont les stratégies de sécurité sont héritées et mises en œuvre au sein de votre environnement. Vous pouvez organiser votre arborescence des systèmes en utilisant l'une des méthodes suivantes : Synchronisation automatique avec votre serveur Active Directory ou domaine NT Tri par critères appliqués aux systèmes automatiquement ou manuellement Organisation manuelle à partir de la console (glisser déposer) Sommaire Structure de l'arborescence des systèmes Eléments à prendre en compte lors de la planification de l'arborescence des systèmes Synchronisation avec Active Directory ou des domaines NT Tri par critères Marqueurs Ajout d'un système dans l'arborescence des systèmes lors du tri Activation du tri de l'arborescence des systèmes sur le serveur Création et alimentation des groupes de l'arborescence des systèmes Déplacement de systèmes au sein de l'arborescence des systèmes Transfert de systèmes entre serveurs Structure de l'arborescence des systèmes L'arborescence des systèmes est une structure hiérarchique qui organise les systèmes de votre réseau dans des groupes et des sous groupes. La structure par défaut de l'arborescence des systèmes comprend deux groupes : Mon organisation La racine de l'arborescence des systèmes. Lost&Found (Collecteur) Le groupe de collecte pour tous les systèmes qui ne sont pas, ou qui n'ont pas pu être, ajoutés à d'autres groupes dans l'arborescence des systèmes. Groupe Mon organisation Le groupe Mon organisation, la racine de votre arborescence des systèmes, contient tous les systèmes ajoutés ou détectés sur votre réseau (manuellement ou automatiquement). Jusqu'à ce que vous créiez votre propre structure, tous les systèmes sont ajoutés dans le groupe Lost&Found. McAfee epolicy Orchestrator Logiciel Guide produit 105

106 9 Arborescence des systèmes Structure de l'arborescence des systèmes Le groupe Mon organisation présente les caractéristiques suivantes : Il ne peut pas être supprimé. Il ne peut pas être renommé. Groupe Lost&Found (Collecteur) Le groupe Lost&Found est un sous groupe du groupe Mon organisation. En fonction des méthodes que vous spécifiez pour la création et la gestion de l'arborescence des systèmes, le serveur se base sur différentes caractéristiques pour déterminer où placer les systèmes : le groupe Lost&Found comprend les systèmes pour lesquels aucun emplacement n'a pu être déterminé. Ce groupe présente les caractéristiques suivantes : Il ne peut pas être supprimé. Il ne peut pas être renommé. S'agissant d'un groupe de collecte, il est impossible de modifier ses critères de tri (bien que vous puissiez définir des critères de tri pour les sous groupes créés au sein de ce groupe). Il apparaît toujours en dernière position dans la liste et n'est pas classé par ordre alphabétique avec les autres groupes. Les utilisateurs doivent disposer des autorisations requises sur le groupe Lost&Found pour visualiser son contenu. Lorsqu'un système est trié dans le groupe Lost&Found, il est placé dans un sous groupe dont le nom représente le domaine du système. Si ce groupe n'existe pas, le système en crée un. Si vous supprimez des systèmes de l'arborescence des systèmes, veillez à sélectionner l'option permettant de supprimer leurs agents. Si les agents ne sont pas supprimés, les systèmes supprimés réapparaissent dans le groupe Lost&Found car l'agent communique toujours avec le serveur. Groupes de l'arborescence des systèmes Les groupes de l'arborescence des systèmes représentent un ensemble de systèmes. La décision de constituer des groupes contenant des systèmes donnés dépend des besoins particuliers de votre réseau et de vos activités. Vous pouvez regrouper les systèmes en fonction du type d'ordinateur (p. ex. ordinateurs portables, serveurs ou postes de travail), selon la zone géographique (p. ex. Amérique du Nord ou Europe), par frontière départementale (p. ex. Finance ou Développement) ou selon tout autre critère spécifique à vos besoins. Les groupes présentent les caractéristiques suivantes : Ils sont créés par un administrateur ou un utilisateur bénéficiant des autorisations appropriées. Ils peuvent inclure des systèmes et d'autres groupes (sous groupes). Ils sont administrés par un administrateur ou un utilisateur bénéficiant des autorisations appropriées. En regroupant des systèmes présentant des propriétés ou des exigences similaires, vous pouvez centraliser la gestion des stratégies en un point unique pour plusieurs systèmes, au lieu de définir des stratégies pour chacun d'eux séparément. Pendant l'étape de planification, il est important de déterminer la meilleure manière d'organiser les systèmes en groupes avant d'entamer la création de l'arborescence des systèmes. 106 McAfee epolicy Orchestrator Logiciel Guide produit

107 Arborescence des systèmes Eléments à prendre en compte lors de la planification de l'arborescence des systèmes 9 Héritage L'héritage est une propriété essentielle qui facilite l'administration des stratégies et des tâches. Au sein de la hiérarchie de l'arborescence des systèmes, elle permet aux groupes enfants d'hériter des stratégies définies au niveau de leurs groupes parents. Par exemple : Dans l'arborescence des systèmes, les groupes des niveaux inférieurs héritent des stratégies définies au niveau de Mon organisation. Les sous groupes et les systèmes individuels d'un groupe héritent des stratégies définies pour le groupe. Par défaut, l'héritage est activé pour tous les groupes et systèmes individuels ajoutés à l'arborescence des systèmes. Cette mesure permet de limiter le nombre d'emplacements où vous devez définir les stratégies et planifier des tâches client. Toutefois, pour permettre la personnalisation, il est possible de bloquer l'héritage (en appliquant une nouvelle stratégie) à n'importe quel emplacement de l'arborescence des systèmes, à condition que l'utilisateur dispose des autorisations appropriées. Vous pouvez aussi verrouiller les affectations de stratégie afin de conserver l'héritage. Eléments à prendre en compte lors de la planification de l'arborescence des systèmes Une organisation rigoureuse et efficace de l'arborescence des systèmes peut en faciliter la maintenance. Chaque environnement a ses particularités, qu'elles soient stratégiques, administratives ou qu'elles aient trait à la gestion de réseau, et celles ci peuvent influencer la structure à donner à l'arborescence des systèmes. Planifiez la structure de l'arborescence des systèmes avant de la créer et de l'étoffer. En effet, il est préférable de créer l'arborescence des systèmes en une seule opération, surtout en présence d'un réseau de grande taille. McAfee recommande de planifier l'arborescence des systèmes avant de commencer l'implémentation du logiciel McAfee epo. En effet, chaque réseau est unique et, en tant que tel, il requiert des stratégies propres, voire une gestion particulière. Quelles que soient les méthodes adoptées pour la création et l'alimentation de l'arborescence des systèmes, lorsque vous en planifiez l'organisation, il est impératif de prendre en compte votre environnement spécifique. Accès octroyé aux administrateurs Lorsque vous planifiez l'organisation de votre arborescence des systèmes, prenez en compte les impératifs et contraintes liés à l'accès des utilisateurs responsables de la gestion des systèmes. Il se peut qu'au sein de votre organisation, l'administration du réseau soit décentralisée et que plusieurs administrateurs se partagent la responsabilité des diverses parties du réseau. Pour des raisons de sécurité, il n'existe peut être pas de compte d'administrateur donnant accès à l'ensemble du réseau. Dans ce cas de figure, il est possible que vous ne puissiez pas définir des stratégies et déployer des agents en utilisant un seul compte d'administrateur. Au lieu de cela, vous devrez peut être organiser votre arborescence des systèmes en groupes en fonction des différentes attributions, et créer des comptes et des ensembles d'autorisations spécifiques. McAfee epolicy Orchestrator Logiciel Guide produit 107

108 9 Arborescence des systèmes Eléments à prendre en compte lors de la planification de l'arborescence des systèmes Prenez en compte les éléments suivants : Qui est chargé de gérer quels systèmes? Qui doit avoir accès aux informations relatives aux systèmes? A qui faut il refuser l'accès aux systèmes et aux informations les concernant? Ces questions ont une incidence tant sur l'organisation de l'arborescence des systèmes, que sur les ensembles d'autorisations créés et appliqués aux comptes d'utilisateur. Limites de l'environnement et impact sur l'organisation des systèmes La façon dont vous organisez les systèmes à gérer dépend des limites existant au sein de votre réseau. Ces limites influencent la structure de l'arborescence des systèmes d'une toute autre façon qu'elles entrent en ligne de compte pour le choix de la topologie de votre réseau. McAfee recommande d'évaluer ces limites du réseau et de l'organisation, avant de déterminer si elles doivent être prises en compte lors de la définition de la structure à donner à l'arborescence des systèmes. Limites topologiques Votre réseau est déjà défini par des domaines NT ou des conteneurs Active Directory. Plus un environnement réseau est bien organisé, plus il sera simple de créer et de gérer l'arborescence des systèmes, avec les fonctionnalités de synchronisation. Limites géographiques La gestion de la sécurité doit être le résultat d'un subtil dosage entre protection et performances. Organisez votre arborescence des systèmes de manière à utiliser de façon optimale la bande passante limitée du réseau. Etudiez la manière dont le serveur va devoir se connecter à toutes les parties de votre réseau. Accordez une attention soutenue aux emplacements distants, souvent reliés par des connexions de réseau étendu (WAN) ou de réseau privé virtuel (VPN), plus lentes que les connexions de réseau local (LAN). Il peut être préférable de configurer des stratégies de mise à jour et de communication agent serveur différentes pour ces sites distants, afin de réduire le trafic réseau sur les connexions moins performantes. Le regroupement des systèmes selon un premier critère géographique procure plusieurs avantages en termes de définition des stratégies : Vous pouvez configurer des stratégies de mise à jour pour un groupe de sorte que tous ses systèmes soient mis à jour à partir d'un ou de plusieurs référentiels distribués situés à proximité. Vous pouvez planifier l'exécution des tâches client à des périodes plus propices selon l'emplacement du site. Limites politiques Les réseaux de grande taille sont souvent divisés en fonction des utilisateurs ou groupes responsables de la gestion de zones différentes du réseau. Ces démarcations ne coïncident pas toujours avec les limites topologiques ou géographiques. La structure que vous allez donner à l'arborescence des systèmes peut varier en fonction des personnes qui doivent pouvoir accéder à ses segments et les gérer. 108 McAfee epolicy Orchestrator Logiciel Guide produit

109 Arborescence des systèmes Synchronisation avec Active Directory ou des domaines NT 9 Limites fonctionnelles Le découpage de certains réseaux s'inspire parfois des rôles affectés à leurs utilisateurs ou groupes, par exemple les ventes ou l'ingénierie. Même si le réseau n'est pas partagé suivant des limites fonctionnelles, il peut être nécessaire d'organiser les segments de l'arborescence des systèmes suivant les fonctions existant au sein de l'organisation, lorsque différents groupes doivent se voir appliquer des stratégies distinctes. Une division pourrait utiliser des logiciels particuliers qui exigent des stratégies de sécurité spécifiques. Par exemple, il est possible de rassembler les serveurs de messagerie Exchange dans un groupe, pour ensuite y associer des exclusions spécifiques pour l'analyse à l'accès effectuée par McAfee VirusScan Enterprise. Sous-réseaux et intervalles d'adresses IP Souvent, les unités d'organisation d'un réseau utilisent des sous réseaux ou des intervalles d'adresses IP spécifiques. Vous pouvez donc créer un groupe dédié à un emplacement géographique particulier et lui affecter des filtres IP. De plus, si votre réseau n'est pas dispersé géographiquement, vous pouvez vous servir des emplacements réseau, par exemple les adresses IP, en guise de critère de regroupement principal. Lorsque cela est possible, pensez à utiliser des critères de tri basés sur l'adresse IP pour automatiser la création et la maintenance de l'arborescence des systèmes. Définissez des critères qui se fondent sur des masques de sous réseaux IP ou sur des intervalles d'adresses IP afin de créer les groupes pertinents au sein de l'arborescence des systèmes. L'emploi de tels filtres permet d'alimenter automatiquement les parties voulues de l'arborescence des systèmes avec les systèmes appropriés. Systèmes d'exploitation et logiciels Pensez à regrouper les systèmes dotés des mêmes systèmes d'exploitation, afin de faciliter la gestion des produits et stratégies axés sur les systèmes d'exploitation. Si votre réseau comporte des anciens systèmes, vous pouvez créer un groupe les réunissant afin d'y déployer et d'y gérer les produits de sécurité de manière distincte. En outre, en attribuant à ces systèmes un marqueur correspondant, il est possible de les trier automatiquement dans un groupe. Marqueurs et systèmes présentant des caractéristiques similaires Vous pouvez utiliser des marqueurs pour trier automatiquement les systèmes dans des groupes. Les marqueurs identifient des systèmes présentant des caractéristiques similaires. Si vous pouvez organiser certains groupes par caractéristiques, vous pouvez créer et affecter des marqueurs sur la base de ces critères, et employer ensuite ces marqueurs comme critères de tri des groupes. De cette façon, les systèmes sont automatiquement placés dans les groupes appropriés. Lorsque c'est possible, pensez à utiliser des critères de tri par marqueurs pour alimenter automatiquement les groupes avec les systèmes qui conviennent. Synchronisation avec Active Directory ou des domaines NT Le logiciel epolicy Orchestrator peut être intégré avec Active Directory et avec des domaines NT qui serviront de sources à l'ajout de systèmes, tout comme il peut utiliser Active Directory comme source pour créer la structure de l'arborescence des systèmes. McAfee epolicy Orchestrator Logiciel Guide produit 109

110 9 Arborescence des systèmes Synchronisation avec Active Directory ou des domaines NT Synchronisation avec Active Directory Si votre réseau exploite Active Directory, vous pouvez créer, remplir et gérer votre arborescence des systèmes, totalement ou en partie, en utilisant la synchronisation avec Active Directory. Une fois ces paramètres définis, l'arborescence des systèmes est mise à jour avec les nouveaux systèmes (et sous conteneurs) ajoutés à Active Directory. L'intégration avec Active Directory vous permet d'effectuer les tâches suivantes : Synchroniser votre arborescence avec la structure Active Directory, en important les systèmes et les sous conteneurs Active Directory (en tant que groupes de l'arborescence des systèmes), et conserver cet état parfaitement synchronisé au fil du temps. Lors de chaque synchronisation, tant les systèmes individuels que la structure dans son ensemble sont mis à jour dans l'arborescence des systèmes, pour reproduire les systèmes et la structure Active Directory. Importer des systèmes du conteneur Active Directory (et de ses sous conteneurs) sous la forme d'une liste non hiérarchique dans le groupe synchronisé. Choisir l'action à effectuer en présence de systèmes en double. Utiliser la description des systèmes, importée à partir d'active Directory avec les systèmes. Dans les versions précédentes d'epolicy Orchestrator, les deux tâches suivantes étaient possibles : Importation Active Directory et Découverte Active Directory. A présent, vous pouvez utiliser les processus suivants pour intégrer l'arborescence des systèmes avec la structure des systèmes Active Directory : 1 Configurer les paramètres de synchronisation pour chaque groupe représentant un point de mappage dans l'arborescence des systèmes. Au niveau d'un même emplacement, vous pouvez configurer les actions suivantes : Déployer des agents sur les systèmes découverts. Supprimer des systèmes de l'arborescence des systèmes epo lorsque ceux ci sont supprimés d'active Directory. Autoriser ou interdire les entrées en double de systèmes existant ailleurs dans l'arborescence des systèmes. 2 Utiliser l'action Synchroniser maintenant pour importer les systèmes Active Directory (et éventuellement la structure) dans l'arborescence des systèmes, en fonction des paramètres de synchronisation. 3 Utiliser une tâche serveur Synchronisation avec Active Directory/domaines NT pour synchroniser régulièrement les systèmes (et éventuellement la structure Active Directory) avec l'arborescence des systèmes en fonction des paramètres de synchronisation. 110 McAfee epolicy Orchestrator Logiciel Guide produit

111 Arborescence des systèmes Synchronisation avec Active Directory ou des domaines NT 9 Types de synchronisation avec Active Directory Il existe deux types de synchronisation avec Active Directory : l'une concerne les systèmes uniquement, l'autre, les systèmes et la structure. Votre choix dépend du niveau d'intégration souhaité avec Active Directory. Dans tous les cas, vous pouvez contrôler la synchronisation de différentes manières : Déployer automatiquement des agents sur des systèmes récemment ajoutés à epolicy Orchestrator. Il peut être préférable de ne pas sélectionner cette option lors de la synchronisation initiale, si vous importez un grand nombre de systèmes et que vous disposez d'une bande passante limitée. La taille du fichier MSI de l'agent est d'environ 6 Mo. Toutefois, il se peut que vous souhaitiez déployer les agents automatiquement sur tous les nouveaux systèmes découverts dans Active Directory au cours des synchronisations ultérieures. Supprimer les systèmes d'epolicy Orchestrator (et supprimer leurs agents) lorsqu'ils sont supprimés d'active Directory. Empêcher l'ajout de systèmes au groupe si ceux ci sont déjà présents ailleurs dans l'arborescence des systèmes. Cela permet d'éviter les doublons lorsqu'un système se retrouve dans un autre emplacement à la suite d'un déplacement manuel ou d'un tri. Exclure certains conteneurs Active Directory de la synchronisation. Ces conteneurs et leurs systèmes ne sont pas pris en compte lors de la synchronisation. Systèmes et structure Lorsque vous sélectionnez ce type de synchronisation, les modifications apportées à la structure Active Directory seront répercutées sur la structure de votre arborescence des systèmes lors de la synchronisation suivante. Lorsque des systèmes ou des conteneurs sont ajoutés, déplacés ou supprimés au sein d'active Directory, ils le sont également dans les emplacements correspondants de l'arborescence des systèmes. Quand utiliser ce type de synchronisation Optez pour ce type de synchronisation pour vous assurer que l'arborescence des systèmes (ou certaines parties de celle ci) reproduit fidèlement votre structure Active Directory. Si l'organisation d'active Directory répond à vos besoins en matière de gestion de la sécurité et si vous souhaitez que l'arborescence des systèmes soit calquée sur la structure Active Directory mappée, utilisez ce type de synchronisation pour les synchronisations suivantes. Systèmes uniquement Utilisez ce type de synchronisation pour importer des systèmes à partir d'un conteneur Active Directory (y compris ceux figurant dans les sous conteneurs non exclus), sous la forme d'une liste non hiérarchique, vers un groupe mappé de l'arborescence des systèmes. Vous pouvez ensuite déplacer ces systèmes vers les emplacements appropriés dans l'arborescence des systèmes, en affectant des critères de tri aux groupes. Si vous optez pour ce type de synchronisation, veillez à choisir l'option en vertu de laquelle les systèmes ne sont pas ajoutés s'ils existent ailleurs dans l'arborescence des systèmes. Vous éviterez ainsi la présence de systèmes en double dans l'arborescence. Quand utiliser ce type de synchronisation Sélectionnez ce type de synchronisation lorsque vous souhaitez utiliser Active Directory comme source habituelle de systèmes pour epolicy Orchestrator. Soyez toutefois conscient que les besoins spécifiques d'une organisation en matière de gestion de la sécurité ne coïncident pas avec l'organisation des conteneurs et des systèmes dans Active Directory. McAfee epolicy Orchestrator Logiciel Guide produit 111

112 9 Arborescence des systèmes Tri par critères Synchronisation avec des domaines NT Il est possible d'alimenter l'arborescence des systèmes en utilisant les domaines NT comme sources. Lorsque vous synchronisez un groupe avec un domaine NT, tous les systèmes du domaine sont placés dans le groupe sous la forme d'une liste non hiérarchique. Vous pouvez gérer ces systèmes dans ce groupe unique ou créer des sous groupes pour bénéficier d'une organisation plus granulaire et mieux adaptée à vos besoins. Utilisez une méthode, telle que le tri automatique, pour remplir automatiquement ces sous groupes. Si vous déplacez des systèmes vers d'autres groupes ou sous groupes de l'arborescence des systèmes, veillez à choisir l'option pertinente, pour éviter d'ajouter à nouveau des systèmes qui existent déjà à d'autres emplacements de l'arborescence. Vous éviterez ainsi la présence de systèmes en double dans l'arborescence. Contrairement à la synchronisation avec Active Directory, la synchronisation avec des domaines NT synchronise uniquement les noms des systèmes et non leur description. Tri par critères Comme dans les anciennes versions d'epolicy Orchestrator, vous pouvez utiliser les adresses IP pour trier automatiquement les systèmes managés dans des groupes spécifiques. Vous pouvez également créer des critères de tri en fonction de marqueurs, qui sont similaires à des étiquettes affectées aux systèmes. Vous pouvez utiliser l'une ou l'autre méthode, ou les deux, pour placer les systèmes à l'emplacement qui convient dans l'arborescence des systèmes. Il suffit que les systèmes répondent à un seul des critères de tri d'un groupe pour être placés dans le groupe. Après avoir créé des groupes et défini vos critères de tri, exécutez une action Essai de tri pour vérifier si les critères et l'ordre de tri donnent les résultats escomptés. Dès que vous avez ajouté des critères de tri à vos groupes, vous pouvez exécuter l'action Trier maintenant. Cette action déplace automatiquement les systèmes sélectionnés dans le groupe approprié. Les systèmes qui ne correspondent aux critères de tri d'aucun groupe sont déplacés dans le groupe Lost&Found (Collecteur). Les nouveaux systèmes qui communiquent pour la première fois avec le serveur sont automatiquement ajoutés au groupe approprié. Cependant, si vous définissez des critères de tri après la communication agent serveur initiale, vous devez exécuter l'action Trier maintenant sur ces systèmes pour les déplacer immédiatement vers le groupe correct, ou bien attendre jusqu'à la prochaine communication agent serveur. Etat de tri des systèmes Vous pouvez activer ou désactiver le tri de l'arborescence des systèmes sur n'importe quel système ou ensemble de systèmes. Si vous désactivez le tri sur un système, ce dernier est exclu des actions de tri, sauf lors de l'exécution d'une action Essai de tri. Lors de l'exécution d'une telle action, l'état de tri du système ou de l'ensemble de systèmes est pris en compte, et ce système ou cet ensemble de systèmes peut être déplacé ou trié à partir de la page Essai de tri. Paramètres de tri de l'arborescence des systèmes sur le serveur McAfee epo Pour que le tri puisse avoir lieu, l'option doit être activée sur le serveur et sur les systèmes. Par défaut, le tri des systèmes n'intervient qu'une seule fois. Par conséquent, les systèmes sont triés lors de la première communication agent serveur (ou lors des suivantes dans le cas où des modifications sont apportées aux systèmes existants) et ne sont plus triés ultérieurement. 112 McAfee epolicy Orchestrator Logiciel Guide produit

113 Arborescence des systèmes Tri par critères 9 Essai de tri des systèmes Cette option permet de visualiser la manière dont les systèmes seraient placés lors d'une action de tri. La page Essai de tri affiche les systèmes ainsi que les chemins d'accès aux emplacements vers lesquels ils seraient déplacés. Cette page n'indique pas l'état de tri des systèmes. Toutefois, vous pouvez y sélectionner des systèmes (même ceux pour lesquels le tri est désactivé) et cliquer sur Déplacer les systèmes pour déplacer ces systèmes dans les emplacements identifiés. Impact des paramètres sur le tri Pour configurer les modalités du tri, vous avez le choix entre trois paramètres serveur. En outre, vous pouvez déterminer si un système donné doit être trié, en activant ou en désactivant le tri de l'arborescence des systèmes sur celui ci. Paramètres sur le serveur Trois paramètres sont configurables au niveau du serveur : Désactiver le tri de l'arborescence des systèmes Si le tri par critères ne répond pas à vos besoins en matière de gestion de la sécurité et si vous souhaitez utiliser d'autres fonctionnalités de l'arborescence des systèmes pour organiser vos systèmes (la synchronisation avec Active Directory par exemple), activez cette option pour empêcher d'autres utilisateurs McAfee epo de configurer accidentellement des critères de tri sur des groupes et de déplacer des systèmes à des emplacements inappropriés. Trier les systèmes lors de chaque communication agent serveur Les systèmes sont retriés à chaque communication agent serveur. Lorsque vous modifiez les critères de tri au niveau des groupes, les systèmes sont déplacés vers le nouveau groupe à la prochaine communication agent serveur. Trier une seule fois les systèmes Les systèmes sont triés lors de la communication agent serveur suivante et marqués pour ne plus jamais être triés par la suite tant que cette option est activée. Vous pouvez toujours trier un tel système en le sélectionnant et en cliquant sur Trier maintenant. Paramètres sur les systèmes Vous pouvez activer ou désactiver le tri de l'arborescence des systèmes sur n'importe quel système. Si l'option est désactivée sur un système précis, ce dernier ne sera pas trié, quelle que soit l'action de tri effectuée. L'exécution de l'action Essai de tri triera cependant ce système. En revanche, si l'option est activée sur un système, ce système est toujours trié par l'action manuelle Trier maintenant. Il peut également l'être au moment de la communication agent serveur, en fonction des paramètres de tri de l'arborescence des systèmes qui sont sélectionnés au niveau du serveur. Critères de tri par adresse IP Dans bon nombre de réseaux, les informations de sous réseau et d'adresse IP reflètent des distinctions organisationnelles, telles que l'emplacement géographique ou la fonction au sein de l'entreprise. Si l'affectation des adresses IP coïncide avec vos besoins, envisagez de les employer pour créer et gérer certaines parties ou l'ensemble de votre structure de l'arborescence des systèmes, en définissant des critères de tri par adresse IP pour ces groupes. Cette fonctionnalité a été modifiée dans cette version d'epolicy Orchestrator, pour permettre de définir aléatoirement des critères de tri par adresse IP au sein de l'arborescence. Il n'est plus nécessaire de s'assurer que les critères de tri par adresse IP du groupe enfant constituent un sous ensemble des McAfee epolicy Orchestrator Logiciel Guide produit 113

114 9 Arborescence des systèmes Marqueurs critères associés au groupe parent, pour autant qu'aucun critère ne soit affecté au groupe parent. Une fois ces critères configurés, vous pouvez trier les systèmes à chaque communication agent serveur ou uniquement lors de l'exécution manuelle d'une action de tri. Les critères de tri par adresse IP ne doivent pas pouvoir s'appliquer à plusieurs groupes. Chaque masque de sous réseau ou intervalle d'adresses IP défini dans les critères de tri d'un groupe doit couvrir un seul ensemble d'adresses IP. Si ces critères se chevauchent, le groupe de destination de ces systèmes dépendra de l'ordre des sous groupes spécifié dans l'onglet Arborescence des systèmes Détails sur le groupe. Dans cet onglet, vous pouvez vérifier le chevauchement d'adresses IP à l'aide de l'action Contrôler l'intégrité IP. Critères de tri par marqueurs En plus d'utiliser les informations d'adresse IP pour trier les systèmes dans le groupe approprié, vous pouvez également définir des critères de tri en fonction des marqueurs attribués aux systèmes. Il est possible d'utiliser à la fois les marqueurs et l'adresse IP comme critères de tri. Tri et ordre des groupes Pour bénéficier d'une gestion encore plus souple de l'arborescence des systèmes, vous pouvez configurer l'ordre des sous groupes d'un groupe, ainsi que l'ordre en fonction duquel ils sont pris en compte pour l'ajout d'un système dans l'arborescence lors du tri. Dans le cas où plusieurs sous groupes possèdent les mêmes critères de tri, la modification de cet ordre peut influer sur l'emplacement de destination d'un système dans l'arborescence des systèmes. En outre, si vous utilisez des groupes de collecte, ils doivent toujours figurer en fin de liste. Groupes de collecte Les groupes de collecte sont des groupes dont les critères de tri sont définis sur Tous les autres dans la page Critères de tri du groupe. Seuls les sous groupes situés à la fin de l'ordre de tri peuvent être des groupes de collecte. Ces groupes comprennent tous les systèmes triés dans le groupe parent mais n'ayant pas pu être placés dans les homologues du groupe de collecte. Marqueurs Sommaire Création de marqueurs au moyen du générateur de marqueurs Application planifiée de marqueurs par critères Exclusion de systèmes du marquage automatique Application de marqueurs à des systèmes sélectionnés Application automatique de marqueurs par critères à tous les systèmes correspondants Création de marqueurs au moyen du générateur de marqueurs Utilisez l'assistant Générateur de marqueurs pour créer rapidement des marqueurs. Les marqueurs peuvent utiliser des critères à comparer sur chaque système : Automatiquement lors de la communication agent serveur Lors de l'exécution de l'action Rechercher les critères de marquage Manuellement, en exécutant l'action Appliquer le marqueur sur des systèmes sélectionnés (indépendamment des critères) 114 McAfee epolicy Orchestrator Logiciel Guide produit

115 Arborescence des systèmes Marqueurs 9 Les marqueurs sans critères peuvent être uniquement appliqués manuellement à des systèmes sélectionnés. 1 Cliquez sur Menu Systèmes Catalogue de marqueurs, puis cliquez sur Actions sur les marqueurs Nouveau marqueur. L'Assistant Générateur de marqueurs s'ouvre. 2 Dans la page Description, entrez un nom et une description pour le marqueur puis cliquez sur Suivant. La page Critères s'affiche. 3 Sélectionnez et configurez les critères requis, puis cliquez sur Suivant. La page Evaluation s'affiche. Pour appliquer automatiquement le marqueur, vous devez configurer des critères pour celui ci. 4 Indiquez si les systèmes doivent être comparés aux critères du marqueur uniquement lors de l'exécution de l'action Rechercher les critères de marquage, ou également à chaque communication agent serveur. Cliquez ensuite sur Suivant. La page Aperçu s'affiche. Ces options ne sont pas disponibles si aucun critère n'a été configuré. Lorsque des systèmes sont comparés aux critères d'un marqueur, ce dernier est appliqué aux systèmes qui correspondent aux critères et n'ont pas été exclus du marqueur. 5 Vérifiez les informations indiquées sur la page, puis cliquez sur Enregistrer. Si le marqueur possède des critères, cette page affiche le nombre de systèmes qui recevront ce marqueur lors de la mise en correspondance. Le marqueur est ajouté à la liste des marqueurs de la page Catalogue de marqueurs. Application planifiée de marqueurs par critères Planifiez une tâche périodique permettant d'appliquer un marqueur à tous les systèmes correspondant aux critères définis pour celui ci. 1 Cliquez sur Menu Automatisation Tâches serveur, puis sur Actions Nouvelle tâche. La page Générateur de tâches serveur s'affiche. 2 Dans la page Description, entrez un nom et une description pour la tâche, indiquez si celle ci doit être activée après avoir été créée, puis cliquez sur Suivant. La page Actions s'affiche. 3 Sélectionnez l'action Rechercher les critères de marquage dans la liste déroulante, puis sélectionnez un marqueur dans la liste déroulante Marqueur. 4 Précisez s'il faut réinitialiser les systèmes exclus et marqués manuellement. Réinitialiser manuellement les systèmes exclus et marqués permet de supprimer le marqueur des systèmes qui ne correspondent pas aux critères et d'appliquer le marqueur aux systèmes répondant aux critères mais exclus de l'application du marqueur. 5 Cliquez sur Suivant pour ouvrir la page Planification. 6 Planifiez la tâche aux moments de votre choix, puis cliquez sur Suivant. 7 Contrôlez les paramètres de la tâche, puis cliquez sur Enregistrer. McAfee epolicy Orchestrator Logiciel Guide produit 115

116 9 Arborescence des systèmes Marqueurs La tâche serveur est ajoutée à la liste de la page Tâches serveur. Si vous avez choisi d'activer la tâche dans l'assistant Générateur de tâches serveur, elle s'exécutera aux date et heure planifiées suivantes. Exclusion de systèmes du marquage automatique Excluez des systèmes lors de l'application de marqueurs spécifiques. Une autre solution consiste à utiliser une requête pour extraire les noms des systèmes concernés, avant d'exclure les marqueurs requis de ces systèmes à partir des résultats de la requête. 1 Cliquez sur Menu Systèmes Arborescence des systèmes Systèmes, puis sélectionnez le groupe contenant les systèmes dans l'arborescence des systèmes. 2 Sélectionnez un ou plusieurs systèmes dans le tableau Systèmes, puis cliquez sur Actions Marqueur Exclure le marqueur. 3 Dans la boîte de dialogue Exclure le marqueur, sélectionnez le marqueur à exclure des systèmes sélectionnés dans la liste déroulante, puis cliquez sur OK. 4 Contrôlez les systèmes exclus du marqueur : a Cliquez sur Menu Systèmes Catalogue de marqueurs, puis sélectionnez le marqueur requis dans la liste des marqueurs. b c En regard de Systèmes avec marqueur dans le volet de détails, cliquez sur le lien permettant d'accéder à la liste des systèmes exclus du marquage par critères. La page Systèmes exclus du marqueur s'affiche. Assurez vous que les systèmes requis figurent dans la liste. Application de marqueurs à des systèmes sélectionnés Appliquez un marqueur manuellement à des systèmes sélectionnés dans l'arborescence des systèmes. 1 Cliquez sur Menu Systèmes Arborescence des systèmes Systèmes, puis sélectionnez le groupe contenant le système souhaité. 2 Sélectionnez les systèmes voulus, puis cliquez sur Actions Marqueur Appliquer le marqueur. 3 Dans la boîte de dialogue Appliquer le marqueur, sélectionnez le marqueur à appliquer aux systèmes sélectionnés dans la liste déroulante, puis cliquez sur OK. 4 Vérifiez que les marqueurs ont été appliqués : a Cliquez sur Menu Systèmes Catalogue de marqueurs, puis sélectionnez le marqueur requis dans la liste des marqueurs. b c A côté de Systèmes avec marqueur dans le volet de détails, cliquez sur le lien permettant d'accéder à la liste des systèmes marqués manuellement. La page Systèmes avec marqueur appliqué manuellement s'affiche. Vérifiez que les systèmes souhaités sont répertoriés dans la liste. 116 McAfee epolicy Orchestrator Logiciel Guide produit

117 Arborescence des systèmes Marqueurs 9 Application automatique de marqueurs par critères à tous les systèmes correspondants Ces procédures permettent d'appliquer automatiquement des marqueurs à tous les systèmes répondant aux critères définis pour ces marqueurs. s Application de marqueurs par critères à tous les systèmes correspondants, page 117 Appliquez un marqueur par critère à tous les systèmes non exclus qui répondent aux critères spécifiés. Application planifiée de marqueurs par critères, page 115 Planifiez une tâche périodique permettant d'appliquer un marqueur à tous les systèmes correspondant aux critères définis pour celui ci. Application de marqueurs par critères à tous les systèmes correspondants Appliquez un marqueur par critère à tous les systèmes non exclus qui répondent aux critères spécifiés. 1 Cliquez sur Menu Systèmes Catalogue de marqueurs, puis sélectionnez un marqueur dans la liste des marqueurs. 2 Cliquez sur Actions Rechercher les critères de marquage. 3 Dans le volet Action, précisez s'il faut réinitialiser les systèmes exclus et marqués manuellement. Réinitialiser manuellement les systèmes exclus et marqués supprime le marqueur des systèmes qui ne correspondent pas aux critères et applique le marqueur aux systèmes répondant aux critères mais exclus de l'application du marqueur. 4 Cliquez sur OK. 5 Vérifiez que le marqueur a été appliqué aux systèmes : a Cliquez sur Menu Systèmes Catalogue de marqueurs, puis sélectionnez le marqueur requis dans la liste des marqueurs. b c A côté de Systèmes avec marqueur dans le volet de détails, cliquez sur le lien permettant d'accéder à la liste des systèmes marqués sur la base de critères. La page Systèmes avec marqueur appliqué en fonction de critères s'affiche. Vérifiez que les systèmes souhaités sont répertoriés dans la liste. Le marqueur est appliqué à tous les systèmes répondant aux critères. Application planifiée de marqueurs par critères Planifiez une tâche périodique permettant d'appliquer un marqueur à tous les systèmes correspondant aux critères définis pour celui ci. 1 Cliquez sur Menu Automatisation Tâches serveur, puis sur Actions Nouvelle tâche. La page Générateur de tâches serveur s'affiche. 2 Dans la page Description, entrez un nom et une description pour la tâche, indiquez si celle ci doit être activée après avoir été créée, puis cliquez sur Suivant. La page Actions s'affiche. McAfee epolicy Orchestrator Logiciel Guide produit 117

118 9 Arborescence des systèmes Ajout d'un système dans l'arborescence des systèmes lors du tri 3 Sélectionnez l'action Rechercher les critères de marquage dans la liste déroulante, puis sélectionnez un marqueur dans la liste déroulante Marqueur. 4 Précisez s'il faut réinitialiser les systèmes exclus et marqués manuellement. Réinitialiser manuellement les systèmes exclus et marqués permet de supprimer le marqueur des systèmes qui ne correspondent pas aux critères et d'appliquer le marqueur aux systèmes répondant aux critères mais exclus de l'application du marqueur. 5 Cliquez sur Suivant pour ouvrir la page Planification. 6 Planifiez la tâche aux moments de votre choix, puis cliquez sur Suivant. 7 Contrôlez les paramètres de la tâche, puis cliquez sur Enregistrer. La tâche serveur est ajoutée à la liste de la page Tâches serveur. Si vous avez choisi d'activer la tâche dans l'assistant Générateur de tâches serveur, elle s'exécutera aux date et heure planifiées suivantes. Ajout d'un système dans l'arborescence des systèmes lors du tri Lorsque l'agent communique avec le serveur pour la première fois, ce dernier utilise un algorithme pour placer le système dans l'arborescence des systèmes. Lorsqu'il ne trouve pas d'emplacement adéquat pour un système, il place ce dernier dans le groupe Lost&Found (Collecteur). A chaque communication agent serveur, le serveur tente de localiser le système dans l'arborescence des systèmes à l'aide du GUID de l'agent. (Seuls les systèmes dont l'agent a déjà appelé le serveur une première fois ont un GUID d'agent dans la base de données.) S'il trouve un système correspondant, il le laisse à son emplacement existant. S'il ne trouve pas de système correspondant, le serveur utilise un algorithme pour trier les systèmes dans les groupes appropriés. Les systèmes peuvent être triés dans n'importe quel groupe basé sur des critères dans l'arborescence des systèmes, quelle que soit sa profondeur dans la structure, pour autant qu'aucun des groupes parents dans le chemin d'accès ne présente des critères non correspondants. Les groupes parents d'un sous groupe basé sur des critères doivent soit n'avoir aucun critère, soit présenter des critères correspondants. L'ordre de tri attribué à chaque sous groupe (défini dans l'onglet Détails sur le groupe) détermine l'ordre des sous groupes suivi par le serveur pour rechercher un groupe correspondant aux critères. 1 En l'absence d'un GUID d'agent (l'agent du système n'a encore jamais appelé), le serveur recherche un système du même nom dans un groupe portant le même nom que le domaine du système. S'il le trouve, le système est placé dans ce groupe. Cette situation peut se produire après la première synchronisation avec des domaines NT ou Active Directory, ou encore lorsque vous avez ajouté manuellement des systèmes à l'arborescence des systèmes. 2 Si le serveur ne trouve aucun système correspondant, il recherche un groupe portant le même nom que le domaine dont provient le système. S'il ne trouve aucun groupe de ce nom, il crée un nouveau groupe sous le groupe Lost&Found et y place le système. 3 Les propriétés sont mises à jour pour le système. 4 Le serveur applique au système tous les marqueurs par des critères si le serveur est configuré pour appliquer les critères de tri à chaque communication agent serveur. 118 McAfee epolicy Orchestrator Logiciel Guide produit

119 Arborescence des systèmes Activation du tri de l'arborescence des systèmes sur le serveur 9 5 La suite des opérations varie selon que le tri de l'arborescence des systèmes est activé ou désactivé tant sur le serveur que sur le système. Si le tri de l'arborescence des systèmes est désactivé soit sur le serveur, soit sur le système, le système reste à son emplacement actuel. Si le tri de l'arborescence des systèmes est activé sur le serveur et sur le système, le système est déplacé en fonction des critères de tri définis dans les groupes de l'arborescence des systèmes. L'option de tri de l'arborescence des systèmes est désactivée par défaut sur les systèmes ajoutés par la synchronisation avec des domaines NT ou Active Directory. Par conséquent, ceux ci ne sont pas triés lors de la première communication agent serveur. 6 Le serveur examine les critères de tri de tous les groupes de niveau supérieur en fonction de leur ordre de tri, spécifié dans l'onglet Détails sur le groupe du groupe Mon organisation. Le système est placé dans le premier groupe possédant des critères correspondants ou dans le premier groupe de collecte pris en compte. Dès qu'il est trié dans un groupe, le serveur examine tous ses sous groupes pour identifier ceux qui présentent des critères correspondants, suivant leur ordre de tri indiqué dans l'onglet Détails sur le groupe. Il continue de la sorte jusqu'à ce qu'il n'y ait plus de sous groupe avec des critères correspondant au système, puis il place ce dernier dans le dernier groupe possédant des critères correspondants qu'il a trouvé. 7 Si le serveur ne trouve aucun groupe de niveau supérieur de ce type, il examine les sous groupes des groupes de niveau supérieur (sans critères de tri), en fonction de leur tri. 8 S'il ne trouve aucun groupe de deuxième niveau de ce type, il examine les sous groupes de troisième niveau avec critères parmi les groupes sans restriction de deuxième niveau envisagés. Les sous groupes des groupes sans critères correspondants ne sont pas pris en compte. Un groupe doit posséder des critères correspondants ou être un groupe sans critères pour que ses sous groupes soient pris en compte par le serveur. 9 Le serveur continue de descendre dans l'arborescence des systèmes jusqu'à ce qu'un système soit trié dans un groupe. Si le paramètre de tri de l'arborescence des systèmes sur le serveur est configuré pour n'exécuter un tri qu'à la première communication agent serveur, un indicateur est activé sur le système. Cet indicateur signifie que le système ne peut plus être trié à la prochaine communication à moins que le paramètre serveur soit modifié pour autoriser le tri à chaque communication agent serveur. 10 Si le serveur ne peut trier le système dans aucun groupe, il le place dans le groupe Lost&Found, ou plus exactement dans un sous groupe de ce dernier affecté du même nom que le domaine du système. Activation du tri de l'arborescence des systèmes sur le serveur Pour que les systèmes soient triés, le tri de l'arborescence des systèmes doit être activé tant sur le serveur que sur les systèmes concernés. McAfee epolicy Orchestrator Logiciel Guide produit 119

120 9 Arborescence des systèmes Création et alimentation des groupes de l'arborescence des systèmes 1 Cliquez sur Menu Configuration Paramètres serveur, puis dans la liste Catégories de paramètres, sélectionnez Tri de l'arborescence des systèmes et cliquez sur Modifier. 2 Indiquez si vous souhaitez trier les systèmes uniquement lors de la première communication agent serveur ou à chaque communication. Si vous avez choisi d'effectuer uniquement un tri lors de la première communication agent serveur, tous les systèmes pour lesquels le tri est activé seront triés lors de la prochaine communication de leur agent avec le serveur et ne le seront plus jamais tant que cette option est sélectionnée. En revanche, il est possible de retrier les systèmes manuellement en exécutant l'action Trier maintenant ou en modifiant ce paramètre afin d'activer le tri à chaque communication agent serveur. Dans ce dernier cas, tous les systèmes sur lesquels le tri est activé seront triés lors de toutes les communications suivantes de leur agent avec le serveur, tant que cette option est sélectionnée. Création et alimentation des groupes de l'arborescence des systèmes Dans l'arborescence des systèmes, créez des groupes dans lesquels vous pouvez ajouter des systèmes, soit en précisant les noms NetBIOS de chaque système séparément, soit en important les systèmes directement à partir du réseau. Vous pouvez également alimenter des groupes via la fonction glisser déposer en faisant glisser les systèmes sélectionnés puis en les déposant dans un groupe. La fonction glisser déposer vous permet aussi de déplacer des groupes et des sous groupes au sein de l'arborescence des systèmes. Il n'existe pas de règle universelle pour l'organisation d'une arborescence des systèmes. Chaque réseau est unique, il dispose d'une structure unique, c'est pourquoi la structure de votre arborescence des systèmes le sera tout autant. Bien qu'il soit peu probable que vous adoptiez toutes les méthodes proposées pour créer l'arborescence des systèmes, vous pouvez recourir à plusieurs d'entre elles. Par exemple, si Active Directory est mis en œuvre dans votre réseau, il peut être intéressant d'importer vos conteneurs Active Directory plutôt que vos domaines NT. Si l'organisation des domaines NT ou Active Directory n'est pas indiquée pour la gestion de la sécurité, vous pouvez créer votre structure d'arborescence des systèmes dans un simple fichier texte, que vous importerez ensuite dans votre arborescence. Si votre réseau est relativement petit, vous pouvez créer manuellement votre arborescence des systèmes et y ajouter chaque système individuellement. 120 McAfee epolicy Orchestrator Logiciel Guide produit

121 Arborescence des systèmes Création et alimentation des groupes de l'arborescence des systèmes 9 s Création manuelle de groupes, page 121 Créez manuellement des sous groupes de l'arborescence des systèmes. Vous pouvez ajouter des systèmes aux groupes, soit en précisant les noms NetBIOS de chaque système séparément, soit en important des systèmes directement à partir du réseau. Ajout manuel de systèmes à un groupe existant, page 122 Importez des systèmes de votre Voisinage réseau vers des groupes. Vous pouvez également importer un domaine réseau ou un conteneur Active Directory. Exportation de systèmes depuis l'arborescence des systèmes, page 123 Exportez une liste de systèmes de l'arborescence vers un fichier.txt en vue de leur utilisation ultérieure. Procédez à l'exportation au niveau du groupe ou du sous groupe en conservant l'organisation de l'arborescence des systèmes. Importation de systèmes à partir d'un fichier texte, page 123 Créez un fichier texte répertoriant des systèmes et des groupes à importer dans l'arborescence des systèmes. Tri des systèmes dans des groupes avec critères, page 124 Configurez et implémentez le tri pour grouper les systèmes. Pour que les systèmes soient triés dans des groupes, le tri doit être activé sur le serveur et les systèmes concernés. En outre, vous devez avoir configuré des critères de tri ainsi que l'ordre de tri des groupes. Importation de conteneurs Active Directory, page 126 Importez des systèmes depuis des conteneurs Active Directory directement dans votre arborescence des systèmes, en mettant en correspondance les conteneurs Active Directory sources avec les groupes de l'arborescence des systèmes. Importation de domaines NT vers un groupe existant, page 128 Importez des systèmes d'un domaine NT vers un groupe que vous avez créé manuellement. Planification de la synchronisation de l'arborescence des systèmes, page 130 Planifiez une tâche serveur qui met à jour l'arborescence des systèmes avec les modifications apportées au niveau du domaine ou du conteneur Active Directory mappé. Mise à jour manuelle d'un groupe synchronisé avec un domaine NT, page 131 Mettez à jour un groupe synchronisé pour lui appliquer les modifications apportées au domaine NT associé. Création manuelle de groupes Créez manuellement des sous groupes de l'arborescence des systèmes. Vous pouvez ajouter des systèmes aux groupes, soit en précisant les noms NetBIOS de chaque système séparément, soit en important des systèmes directement à partir du réseau. 1 Dans l'arborescence des systèmes, sélectionnez le groupe dans lequel vous souhaitez créer un sous groupe, puis : Dans la page Détails sur le groupe (Menu Systèmes Arborescence des systèmes Détails sur le groupe), cliquez sur Actions Nouveau sous groupe. Dans la page Arborescence des systèmes (Menu Systèmes Arborescence des systèmes), cliquez sur Actions sur les systèmes Nouveau sous groupe. 2 La boîte de dialogue Nouveau sous groupe s'affiche. Vous pouvez créer plusieurs sous groupes à la fois. McAfee epolicy Orchestrator Logiciel Guide produit 121

122 9 Arborescence des systèmes Création et alimentation des groupes de l'arborescence des systèmes 3 Tapez le nom de votre choix, puis cliquez sur OK. Le nouveau groupe apparaît dans l'arborescence des systèmes. 4 Le cas échéant, répétez l'opération jusqu'à ce que vous soyez prêt à ajouter les systèmes requis aux groupes. Pour ajouter les systèmes à l'arborescence des systèmes et vous assurer qu'ils sont placés dans les groupes requis, procédez comme suit : Indiquez implicitement les noms des systèmes en les tapant. Importez les systèmes à partir de domaines NT ou de conteneurs Active Directory. Vous pouvez synchroniser périodiquement un domaine ou un conteneur avec un groupe pour simplifier la maintenance. Définissez des critères de tri par marqueurs ou par adresse IP sur les groupes. Lorsque les agents installés sur des systèmes répondant aux critères d'adresse IP ou de marqueurs communiquent avec le serveur, ces systèmes sont automatiquement placés dans le groupe approprié. Ajout manuel de systèmes à un groupe existant Importez des systèmes de votre Voisinage réseau vers des groupes. Vous pouvez également importer un domaine réseau ou un conteneur Active Directory. 1 Cliquez sur Menu Systèmes Arborescence des systèmes, puis dans le menu Actions sur les systèmes cliquez sur Nouveaux systèmes. La page Nouveaux systèmes s'affiche. 2 Précisez si vous souhaitez déployer l'agent sur les nouveaux systèmes et si les systèmes doivent être ajoutés au groupe sélectionné ou à un groupe en fonction de critères de tri. 3 En regard de Systèmes cibles, tapez les noms NetBIOS des systèmes dans la zone de texte, séparés par des virgules, des espaces ou des sauts de ligne. Vous pouvez également cliquer sur Parcourir pour sélectionner les systèmes. 4 Si vous sélectionnez l'option Distribuer les agents et ajouter les systèmes au groupe actif, vous pouvez activer le tri automatique de l'arborescence des systèmes. Sélectionnez cette option pour appliquer les critères de tri à ces systèmes. Spécifiez les options suivantes : Option Version de l'agent Chemin d'accès de l'installation Informations d'identification pour l'installation de l'agent Nombre de tentatives Intervalle entre les tentatives Abandonner après Distribuer l'agent avec Action Sélectionnez la version de l'agent à déployer. Configurez le chemin d'installation de l'agent ou acceptez le chemin indiqué par défaut. Entrez des informations d'identification valides pour installer l'agent. Entrez un nombre entier, en utilisant la valeur zéro (0) pour effectuer constamment de nouvelles tentatives. Entrez le nombre de secondes entre chaque tentative. Entrez le nombre de minutes avant l'abandon de la connexion. Sélectionnez soit un gestionnaire d'agents spécifique, soit tous les gestionnaires d'agents. 5 Cliquez sur OK. 122 McAfee epolicy Orchestrator Logiciel Guide produit

123 Arborescence des systèmes Création et alimentation des groupes de l'arborescence des systèmes 9 Exportation de systèmes depuis l'arborescence des systèmes Exportez une liste de systèmes de l'arborescence vers un fichier.txt en vue de leur utilisation ultérieure. Procédez à l'exportation au niveau du groupe ou du sous groupe en conservant l'organisation de l'arborescence des systèmes. Il peut être utile de posséder une liste des systèmes de l'arborescence des systèmes. Vous pouvez importer cette liste sur votre serveur McAfee epo afin de restaurer rapidement votre organisation et votre structure précédentes. La procédure ne supprime pas les systèmes de l'arborescence des systèmes. Elle crée en fait un fichier.txt qui contient les noms et la structure des systèmes de votre arborescence. 1 Cliquez sur Menu Systèmes Arborescence des systèmes. La page Arborescence des systèmes s'ouvre. 2 Sélectionnez le groupe ou le sous groupe contenant les systèmes à exporter, puis cliquez sur Actions sur les systèmes Exporter les systèmes. La page Exporter les systèmes s'affiche. 3 Faites votre choix parmi les options suivantes : Tous les systèmes de ce groupe Exporte les systèmes du Groupe source spécifié mais n'exporte pas les systèmes répertoriés dans les sous groupes imbriqués sous ce niveau. Tous les systèmes de ce groupe et ses sous groupes Exporte tous les systèmes situés à ce niveau et aux niveaux inférieurs. 4 Cliquez sur OK. La page Exporter s'affiche. Vous pouvez cliquer sur le lien systèmes pour consulter la liste de systèmes ou cliquer avec le bouton droit pour enregistrer une copie du fichier ExportSystems.txt. Importation de systèmes à partir d'un fichier texte Créez un fichier texte répertoriant des systèmes et des groupes à importer dans l'arborescence des systèmes. s Création d'un fichier texte de groupes et de systèmes, page 123 Créez un fichier texte contenant les noms NetBIOS des systèmes de votre réseau que vous souhaitez importer dans un groupe. Vous pouvez importer une liste de systèmes non hiérarchique ou organiser les systèmes en groupes. Importation de systèmes et de groupes à partir d'un fichier texte, page 124 Importez, dans l'arborescence, des systèmes ou des groupes de systèmes à partir d'un fichier texte que vous avez créé et enregistré. Création d'un fichier texte de groupes et de systèmes Créez un fichier texte contenant les noms NetBIOS des systèmes de votre réseau que vous souhaitez importer dans un groupe. Vous pouvez importer une liste de systèmes non hiérarchique ou organiser les systèmes en groupes. Définissez les groupes et leurs systèmes en entrant les noms des groupes et des systèmes dans un fichier texte. Ensuite, importez ces informations dans epolicy Orchestrator. Dans le cas de grands réseaux, utilisez des utilitaires réseau (tels que NETDOM.EXE, fourni dans le Kit de ressources Microsoft Windows) pour générer des fichiers texte contenant la liste exhaustive des systèmes présents dans votre réseau. Une fois le fichier texte créé, modifiez le manuellement pour créer des groupes de systèmes, puis importez l'intégralité de la structure dans l'arborescence des systèmes. McAfee epolicy Orchestrator Logiciel Guide produit 123

124 9 Arborescence des systèmes Création et alimentation des groupes de l'arborescence des systèmes Indépendamment de la manière dont vous générez le fichier texte, vous devez toujours respecter la syntaxe requise avant de l'importer. 1 Chaque système doit figurer sur une ligne séparée. Pour distribuer les systèmes dans des groupes, saisissez le nom du groupe suivi d'une barre oblique inverse (\), puis indiquez en dessous les systèmes qui doivent en faire partie, sur des lignes séparées. GroupeA\système1 GroupeA\système2 GroupeA\GroupeB\système3 GroupeC\GroupeD 2 Vérifiez les noms des groupes et des systèmes ainsi que la syntaxe du fichier texte avant d'enregistrer ce dernier dans un dossier temporaire sur votre serveur. Importation de systèmes et de groupes à partir d'un fichier texte Importez, dans l'arborescence, des systèmes ou des groupes de systèmes à partir d'un fichier texte que vous avez créé et enregistré. 1 Cliquez sur Menu Systèmes Arborescence des systèmes, puis cliquez sur Actions sur les systèmes et sélectionnez Nouveaux systèmes. La page Nouveaux systèmes s'affiche. 2 Sélectionnez Importer des systèmes à partir d'un fichier texte dans le groupe sélectionné, mais ne pas distribuer les agents. 3 Sélectionnez ce que le fichier d'importation contient : Systèmes et structure de l'arborescence des systèmes Systèmes uniquement (liste non hiérarchique) 4 Cliquez sur Parcourir pour sélectionner le fichier texte. 5 Sélectionnez l'action à appliquer aux systèmes existant ailleurs dans l'arborescence des systèmes. 6 Cliquez sur OK. Les systèmes sont importés dans le groupe sélectionné de l'arborescence des systèmes. Si, dans le fichier texte, les systèmes sont répartis en groupes, le serveur crée les groupes et y importe les systèmes. Tri des systèmes dans des groupes avec critères Configurez et implémentez le tri pour grouper les systèmes. Pour que les systèmes soient triés dans des groupes, le tri doit être activé sur le serveur et les systèmes concernés. En outre, vous devez avoir configuré des critères de tri ainsi que l'ordre de tri des groupes. 124 McAfee epolicy Orchestrator Logiciel Guide produit

125 Arborescence des systèmes Création et alimentation des groupes de l'arborescence des systèmes 9 s Ajout de critères de tri à des groupes, page 125 Les critères de tri des groupes de l'arborescence des systèmes peuvent être basés sur les informations d'adresse IP ou les marqueurs. Activation du tri de l'arborescence des systèmes sur le serveur, page 119 Pour que les systèmes soient triés, le tri de l'arborescence des systèmes doit être activé tant sur le serveur que sur les systèmes concernés. Activation ou désactivation du tri de l'arborescence des systèmes sur les systèmes, page 126 L'état de tri d'un système détermine s'il peut être trié dans un groupe basé sur des critères. Tri manuel des systèmes, page 126 Triez des systèmes sélectionnés dans des groupes dont le tri par critères est activé. Ajout de critères de tri à des groupes Les critères de tri des groupes de l'arborescence des systèmes peuvent être basés sur les informations d'adresse IP ou les marqueurs. 1 Cliquez sur Menu Systèmes Arborescence des systèmes Détails sur le groupe, puis sélectionnez le groupe dans l'arborescence des systèmes. 2 En regard de Critères de tri, cliquez sur Modifier. La page Critères de tri pour le groupe sélectionné s'affiche. 3 Sélectionnez l'option Systèmes correspondant à l'un des critères ci dessous pour afficher le choix de critères. Bien que vous puissiez définir plusieurs critères de tri pour le groupe, il suffit qu'un système corresponde à un seul critère pour être placé dans le groupe. 4 Configurez le critère. Plusieurs options sont possibles : Adresses IP Utilisez cette zone de texte pour définir un intervalle d'adresses IP ou un masque de sous réseau comme critère de tri. Tout système dont l'adresse en fait partie est trié dans ce groupe. Marqueurs Ajoutez des marqueurs spécifiques pour que les systèmes ayant ces marqueurs qui sont placés dans le groupe parent soient triés dans ce groupe. 5 Répétez l'opération jusqu'à ce que les critères de tri requis soient configurés pour le groupe, puis cliquez sur Enregistrer. Activation du tri de l'arborescence des systèmes sur le serveur Pour que les systèmes soient triés, le tri de l'arborescence des systèmes doit être activé tant sur le serveur que sur les systèmes concernés. 1 Cliquez sur Menu Configuration Paramètres serveur, puis dans la liste Catégories de paramètres, sélectionnez Tri de l'arborescence des systèmes et cliquez sur Modifier. 2 Indiquez si vous souhaitez trier les systèmes uniquement lors de la première communication agent serveur ou à chaque communication. McAfee epolicy Orchestrator Logiciel Guide produit 125

126 9 Arborescence des systèmes Création et alimentation des groupes de l'arborescence des systèmes Si vous avez choisi d'effectuer uniquement un tri lors de la première communication agent serveur, tous les systèmes pour lesquels le tri est activé seront triés lors de la prochaine communication de leur agent avec le serveur et ne le seront plus jamais tant que cette option est sélectionnée. En revanche, il est possible de retrier les systèmes manuellement en exécutant l'action Trier maintenant ou en modifiant ce paramètre afin d'activer le tri à chaque communication agent serveur. Dans ce dernier cas, tous les systèmes sur lesquels le tri est activé seront triés lors de toutes les communications suivantes de leur agent avec le serveur, tant que cette option est sélectionnée. Activation ou désactivation du tri de l'arborescence des systèmes sur les systèmes L'état de tri d'un système détermine s'il peut être trié dans un groupe basé sur des critères. Vous pouvez modifier l'état de tri des systèmes dans n'importe quelle liste de systèmes (par exemple dans les résultats d'une requête), ou encore automatiquement dans les résultats d'une requête planifiée. 1 Cliquez sur Menu Systèmes Arborescence des systèmes Systèmes, puis sélectionnez les systèmes souhaités. 2 Cliquez sur Actions Gestion de répertoire Modifier l'état de tri, puis choisissez d'activer ou de désactiver le tri de l'arborescence des systèmes sur les systèmes sélectionnés. 3 Dans la boîte de dialogue Modifier l'état de tri, choisissez d'activer ou de désactiver le tri de l'arborescence des systèmes sur les systèmes sélectionnés. En fonction du paramètre de tri de l'arborescence des systèmes défini sur le serveur, ces systèmes seront triés lors de la prochaine communication agent serveur. Sinon, ils peuvent uniquement être triés par l'action Trier maintenant. Tri manuel des systèmes Triez des systèmes sélectionnés dans des groupes dont le tri par critères est activé. 1 Cliquez sur Menu Systèmes Arborescence des systèmes Systèmes, puis sélectionnez le groupe contenant les systèmes requis. 2 Sélectionnez les systèmes, puis cliquez sur Actions Gestion de répertoire Trier maintenant. La boîte de dialogue Trier maintenant s'affiche. Pour obtenir un aperçu des résultats avant le tri effectif, cliquez sur Essai de tri. (Toutefois, si vous déplacez des systèmes à partir de la page Essai de tri, l'ensemble des systèmes sont triés, que le tri de l'arborescence des systèmes soit activé ou non.) 3 Cliquez sur OK pour trier les systèmes. Importation de conteneurs Active Directory Importez des systèmes depuis des conteneurs Active Directory directement dans votre arborescence des systèmes, en mettant en correspondance les conteneurs Active Directory sources avec les groupes de l'arborescence des systèmes. La mise en correspondance des conteneurs Active Directory avec les groupes vous permet ce qui suit : 126 McAfee epolicy Orchestrator Logiciel Guide produit

127 Arborescence des systèmes Création et alimentation des groupes de l'arborescence des systèmes 9 Synchroniser la structure de l'arborescence des systèmes avec la structure Active Directory. De cette façon, lorsque des conteneurs sont ajoutés ou supprimés dans Active Directory, le groupe correspondant l'est aussi dans l'arborescence des systèmes. Supprimer des systèmes de l'arborescence des systèmes lorsque ceux ci sont supprimés d'active Directory. Eviter la création d'entrées en double pour les systèmes qui existent déjà dans d'autres groupes de l'arborescence des systèmes. 1 Cliquez sur Menu Systèmes Arborescence des systèmes Détails sur le groupe, puis sélectionnez le groupe de votre choix dans l'arborescence des systèmes. Il doit s'agir du groupe auquel vous souhaitez mapper un conteneur Active Directory. Vous ne pouvez pas synchroniser le groupe Lost&Found (Collecteur) de l'arborescence des systèmes. 2 En regard de Type de synchronisation, cliquez sur Modifier. La page Paramètres de synchronisation pour le groupe sélectionné s'affiche. 3 En regard de Type de synchronisation, sélectionnez Active Directory. Les options de synchronisation avec Active Directory s'affichent. 4 Sélectionnez le type de synchronisation avec Active Directory à exécuter entre ce groupe et le conteneur Active Directory requis (et ses sous conteneurs) : Systèmes et structure de conteneurs Sélectionnez cette option si vous souhaitez que ce groupe reproduise fidèlement la structure Active Directory. Au moment de la synchronisation, la structure de l'arborescence des systèmes sous ce groupe est modifiée afin de refléter celle du conteneur Active Directory auquel elle est mappée. Lorsque des conteneurs sont ajoutés ou supprimés au sein d'active Directory, ils le sont également dans l'arborescence des systèmes. Lorsque des systèmes sont ajoutés, déplacés ou supprimés au sein d'active Directory, ils le sont également dans l'arborescence des systèmes. Systèmes uniquement (liste non hiérarchique) Sélectionnez cette option si vous souhaitez ajouter uniquement les systèmes du conteneur Active Directory (et des sous conteneurs non exclus) à ce groupe (et uniquement à lui). Aucun sous groupe n'est créé lors de la reproduction fidèle de la structure Active Directory. 5 Indiquez si une entrée en double doit être créée pour un système qui existe déjà dans un autre groupe de l'arborescence des systèmes. McAfee déconseille de sélectionner cette option, surtout si vous utilisez uniquement la synchronisation avec Active Directory comme point de départ de la gestion de la sécurité et que vous exploitez d'autres fonctionnalités de gestion de l'arborescence des systèmes (par exemple, le tri par marqueur) pour bénéficier d'un contrôle plus fin de la structure sous le point de mappage. 6 Dans Domaine Active Directory, vous pouvez : entrer le nom complet de votre domaine Active Directory ; le sélectionner dans une liste de serveurs LDAP déjà enregistrés. 7 En regard de Conteneur, cliquez sur Ajouter et sélectionnez un conteneur source dans la boîte de dialogue Sélectionner un conteneur Active Directory, puis cliquez sur OK. 8 Pour exclure des sous conteneurs spécifiques, cliquez sur Ajouter en regard de l'option Exceptions, puis sélectionnez un sous conteneur à exclure avant de cliquer sur OK. McAfee epolicy Orchestrator Logiciel Guide produit 127

128 9 Arborescence des systèmes Création et alimentation des groupes de l'arborescence des systèmes 9 Précisez si vous souhaitez déployer les agents automatiquement sur les nouveaux systèmes. Si c'est le cas, pensez à configurer les paramètres de déploiement. McAfee recommande de ne pas déployer l'agent lors de l'importation initiale s'il s'agit d'un conteneur de grande taille. Le déploiement du package de l'agent de 3,62 Mo vers un grand nombre de systèmes simultanément peut provoquer une surcharge de trafic réseau. Ainsi, il est préférable d'importer en premier lieu le conteneur et de déployer l'agent sur des groupes de systèmes lors d'une seconde phase. Pensez à revenir à cette page par la suite et à sélectionner cette option après le déploiement initial des agents. De cette façon, l'agent sera installé automatiquement sur tous les nouveaux systèmes ajoutés à Active Directory. 10 Précisez si vous souhaitez supprimer les systèmes de l'arborescence des systèmes lorsque ceux ci sont supprimés d'active Directory. Le cas échéant, vous pouvez choisir de supprimer les agents des systèmes supprimés. 11 Pour synchroniser immédiatement le groupe avec Active Directory, cliquez sur Synchroniser maintenant. La sélection de Synchroniser maintenant enregistre toutes les modifications apportées aux paramètres de synchronisation avant de synchroniser le groupe. Si une règle de notification de synchronisation avec Active Directory est activée, un événement est généré pour chaque système ajouté ou supprimé. (Ces événements apparaissent dans le journal d'audit et peuvent faire l'objet de requêtes.) Si vous avez déployé des agents sur les systèmes ajoutés, le déploiement commence sur chaque système ajouté. Lorsque la synchronisation est terminée, la date et l'heure de la Dernière synchronisation sont mises à jour. Notez toutefois qu'il s'agit de la date et de l'heure de la fin de la synchronisation et non de la fin du déploiement des agents. Une autre solution consiste à planifier une tâche serveur Synchronisation avec Active Directory/ domaines NT pour la synchronisation initiale. Cette option est utile si vous déployez des agents sur les nouveaux systèmes lors de la première synchronisation, pour éviter de surcharger la bande passante. 12 Au terme de la synchronisation, examinez les résultats dans l'arborescence des systèmes. Dès que les systèmes sont importés, déployez les agents sur ceux ci si vous n'avez pas choisi de le faire automatiquement. Pensez aussi à configurer une tâche serveur Synchronisation avec Active Directory/domaines NT récurrente, afin que votre arborescence des systèmes reste à jour lorsque des modifications structurelles ou des ajouts de systèmes sont effectués au niveau des conteneurs Active Directory. Importation de domaines NT vers un groupe existant Importez des systèmes d'un domaine NT vers un groupe que vous avez créé manuellement. Il est possible d'alimenter automatiquement des groupes en synchronisant des domaines NT complets avec des groupes spécifiés. Il s'agit d'un moyen aisé d'ajouter en une seule opération tous les systèmes de votre réseau dans l'arborescence des systèmes, sous la forme d'une liste non hiérarchique sans description des systèmes. Si le domaine est très vaste, vous pouvez créer des sous groupes afin de simplifier la gestion des stratégies ou l'organisation de l'arborescence des systèmes. Pour ce faire, commencez par importer le domaine dans un groupe de votre arborescence des systèmes, puis créez manuellement des sous groupes logiques. Pour gérer des stratégies communes à plusieurs domaines, importez chaque domaine dans un sous groupe du même groupe. Vous pourrez ensuite appliquer au groupe des stratégies dont chacun des sous groupes héritera. 128 McAfee epolicy Orchestrator Logiciel Guide produit

129 Arborescence des systèmes Création et alimentation des groupes de l'arborescence des systèmes 9 Lorsque vous utilisez cette méthode : Définissez des critères de tri par adresse IP ou par marqueurs au niveau des sous groupes, afin de trier automatiquement les systèmes importés. Planifiez l'exécution périodique d'une tâche serveur Synchronisation avec Active Directory/ domaines NT pour simplifier la maintenance. 1 Cliquez sur Menu Systèmes Arborescence des systèmes Détails sur le groupe, puis sélectionnez ou créez le groupe dans l'arborescence des systèmes. 2 En regard de Type de synchronisation, cliquez sur Modifier. La page Paramètres de synchronisation pour le groupe sélectionné s'affiche. 3 En regard de Type de synchronisation, sélectionnez Domaine NT. Les paramètres de synchronisation avec des domaines s'affichent. 4 En regard de Systèmes existant ailleurs dans l'arborescence des systèmes, sélectionnez l'action à appliquer aux systèmes ajoutés pendant la synchronisation qui existent déjà dans un autre groupe de l'arborescence des systèmes. McAfee déconseille de sélectionner l'option Ajouter les systèmes au groupe synchronisé et les laisser à leur emplacement actuel dans l'arborescence des systèmes, surtout si vous utilisez uniquement la synchronisation avec des domaines NT comme point de départ de la gestion de la sécurité et que vous exploitez d'autres fonctionnalités de gestion de l'arborescence des systèmes (par exemple, le tri par marqueurs) pour bénéficier d'un contrôle plus fin de la structure sous le point de mappage. 5 En regard de Domaine, cliquez sur Parcourir et sélectionnez le domaine NT à mapper à ce groupe, puis cliquez sur OK. Vous pouvez également entrer directement le nom du domaine dans la zone de texte. N'indiquez pas le nom de domaine complet dans ce champ mais le nom de domaine simple. 6 Précisez si vous souhaitez déployer les agents automatiquement sur les nouveaux systèmes. Si c'est le cas, pensez à configurer les paramètres de déploiement. McAfee recommande de ne pas déployer l'agent lors de l'importation initiale si le domaine est de taille importante. Le déploiement du package de l'agent de 3,62 Mo vers un grand nombre de systèmes simultanément peut provoquer une surcharge de trafic réseau. Ainsi, il est préférable d'importer en premier lieu le domaine et de déployer l'agent sur des groupes de systèmes plus petits lors d'une seconde phase. Toutefois, lorsque vous avez terminé de déployer les agents, il peut être intéressant de revenir dans cette page et de sélectionner l'option une fois le déploiement initial terminé. De cette façon, l'agent sera installé automatiquement sur tous les nouveaux systèmes ajoutés au groupe ou à ses sous groupes par la synchronisation avec des domaines. 7 Précisez si vous souhaitez supprimer les systèmes de l'arborescence des systèmes lorsque ceux ci sont supprimés du domaine NT. Vous pouvez, le cas échéant, choisir de supprimer les agents des systèmes supprimés. McAfee epolicy Orchestrator Logiciel Guide produit 129

130 9 Arborescence des systèmes Création et alimentation des groupes de l'arborescence des systèmes 8 Pour synchroniser immédiatement le groupe avec le domaine, cliquez sur Synchroniser maintenant, puis attendez que les systèmes du domaine soient ajoutés au groupe. La sélection de Synchroniser maintenant enregistre les modifications apportées aux paramètres de synchronisation avant de synchroniser le groupe. Si une règle de notification de synchronisation avec des domaines NT est activée, un événement est généré pour chaque système ajouté ou supprimé. (Ces événements apparaissent dans le journal d'audit et peuvent faire l'objet de requêtes.) Si vous avez choisi de déployer des agents sur les systèmes ajoutés, le déploiement commence sur chaque système ajouté. Au terme de la synchronisation, la date et l'heure de la sont mises à jour. Notez qu'il s'agit de la date et de l'heure de la fin de la synchronisation et non de la fin du déploiement des agents. Dernière synchronisation 9 Pour synchroniser manuellement le groupe avec le domaine, cliquez sur Comparer et mettre à jour. La page Comparer et mettre à jour manuellement s'affiche. La sélection de Comparer et mettre à jour enregistre toutes les modifications apportées aux paramètres de synchronisation. a b Si vous avez l'intention de supprimer des systèmes du groupe dans cette page, précisez si vous souhaitez également supprimer leurs agents lors de leur suppression. Sélectionnez les systèmes à ajouter et à supprimer du groupe, puis cliquez sur Mettre à jour le groupe pour ajouter les systèmes sélectionnés. La page Paramètres de synchronisation s'affiche. 10 Cliquez sur Enregistrer, puis consultez les résultats dans l'arborescence des systèmes si vous avez cliqué sur Synchroniser maintenant ou Mettre à jour le groupe. Dès que les systèmes sont ajoutés à l'arborescence des systèmes, déployez des agents sur ceux ci si vous n'avez pas opté pour le déploiement d'agents dans le cadre de la synchronisation. Pensez à configurer une tâche serveur Synchronisation avec Active Directory/domaines NT récurrente, afin que ce groupe reste à jour lorsque de nouveaux systèmes sont ajoutés au domaine NT. Planification de la synchronisation de l'arborescence des systèmes Planifiez une tâche serveur qui met à jour l'arborescence des systèmes avec les modifications apportées au niveau du domaine ou du conteneur Active Directory mappé. Selon les paramètres de synchronisation définis pour un groupe, cette tâche permet d'effectuer les opérations suivantes : Ajouter des nouveaux systèmes du réseau au groupe spécifié. Ajouter des groupes correspondants lors de la création de nouveaux conteneurs Active Directory. Supprimer les groupes correspondants lors de la suppression de conteneurs Active Directory. Déployer des agents sur les systèmes récemment ajoutés. Supprimer des systèmes qui ne font plus partie du domaine ou du conteneur. Appliquer aux nouveaux systèmes les stratégies et les tâches spécifiques du site ou du groupe. Empêcher ou autoriser les entrées en double de systèmes qui existent déjà dans l'arborescence des systèmes, mais que vous avez déplacés ailleurs. L'agent ne peut pas être déployé sur tous les systèmes d'exploitation de cette manière. Il peut être nécessaire de le distribuer manuellement sur certains systèmes. 130 McAfee epolicy Orchestrator Logiciel Guide produit

131 Arborescence des systèmes Création et alimentation des groupes de l'arborescence des systèmes 9 1 Cliquez sur Menu Automatisation Tâches serveur, puis cliquez sur Actions Nouvelle tâche. Le Générateur de tâches serveur s'ouvre. 2 Dans la page Description, attribuez un nom à la tâche et précisez si elle doit être activée dès sa création, puis cliquez sur Suivant. La page Actions s'affiche. 3 Dans la liste déroulante, sélectionnez Synchronisation avec Active Directory/domaines NT. 4 Indiquez si vous souhaitez synchroniser tous les groupes ou uniquement des groupes sélectionnés. Si vous choisissez de ne synchroniser que quelques groupes, cliquez sur Sélectionner les groupes synchronisés et sélectionnez les groupes appropriés. 5 Cliquez sur Suivant. La page Planification s'affiche. 6 Planifiez la tâche, puis cliquez sur Suivant. La page Synthèse s'affiche. 7 Contrôlez les paramètres de la tâche, puis cliquez sur Enregistrer. La tâche s'exécutera à l'heure planifiée. Vous pouvez également l'exécuter immédiatement en cliquant sur Exécuter en regard de la tâche dans la page Tâches serveur. Mise à jour manuelle d'un groupe synchronisé avec un domaine NT Mettez à jour un groupe synchronisé pour lui appliquer les modifications apportées au domaine NT associé. La mise à jour comprend les modifications suivantes : Elle ajoute les systèmes faisant actuellement partie du domaine. Elle supprime de l'arborescence des systèmes, les systèmes qui ne font plus partie du domaine. Elle désinstalle les agents de tous les systèmes qui n'appartiennent plus au domaine spécifié. 1 Cliquez sur Menu Systèmes Arborescence des systèmes Détails sur le groupe, puis sélectionnez le groupe mappé au domaine NT. 2 En regard de Type de synchronisation, cliquez sur Modifier. La page Paramètres de synchronisation s'affiche. 3 Sélectionnez Domaine NT, puis cliquez sur Comparer et mettre à jour au bas de la page. La page Comparer et mettre à jour manuellement s'affiche. 4 Si vous supprimez des systèmes du groupe, précisez si leurs agents doivent aussi être supprimés. 5 Cliquez sur Ajouter tout ou sur Ajouter pour importer les systèmes du domaine réseau vers le groupe sélectionné. Pour supprimer des systèmes du groupe sélectionné, cliquez sur Supprimer tout ou Supprimer. 6 Lorsque vous avez terminé, cliquez sur Mettre à jour le groupe. McAfee epolicy Orchestrator Logiciel Guide produit 131

132 9 Arborescence des systèmes Déplacement de systèmes au sein de l'arborescence des systèmes Déplacement de systèmes au sein de l'arborescence des systèmes Déplacez des systèmes d'un groupe à un autre au sein de l'arborescence des systèmes. Vous pouvez déplacer des systèmes à partir de n'importe quelle page affichant une liste de systèmes, notamment les résultats d'une requête. En plus des étapes décrites ci dessous, vous pouvez également glisser déplacer des systèmes à partir du tableau des systèmes vers n'importe quel groupe de l'arborescence des systèmes. Même si vous possédez une arborescence des systèmes parfaitement organisée reflétant fidèlement la hiérarchie de votre réseau et que vous la synchronisez régulièrement au moyen de tâches et d'outils automatisés, il peut arriver que vous deviez déplacer des systèmes manuellement entre des groupes. Ainsi, vous devrez réaffecter périodiquement les systèmes au départ du groupe Collecteur. 1 Cliquez sur Menu Systèmes Arborescence des systèmes Systèmes, puis parcourez l'arborescence pour sélectionner les systèmes voulus. 2 Cliquez sur Actions Gestion de répertoire Déplacer les systèmes. La page Sélectionner le nouveau groupe s'affiche. 3 Précisez si le tri de l'arborescence des systèmes doit être activé ou désactivé sur les systèmes sélectionnés lorsqu'ils sont déplacés. 4 Sélectionnez le groupe dans lequel placer les systèmes, puis cliquez sur OK. Transfert de systèmes entre serveurs Avant de pouvoir transférer des systèmes entre serveurs McAfee epo, vous devez configurer la clé de communication sécurisée agent serveur. Avant de commencer Configurez les éléments suivants avant de transférer des systèmes entre serveurs McAfee epo : Echangez la clé de communication sécurisée agent serveur entre les serveurs. Les étapes suivantes conviennent pour un transfert bidirectionnel. Si vous voulez activer seulement des transferts unidirectionnels, il n'est pas nécessaire d'importer la clé du serveur cible sur le serveur principal. 1 Exportez la clé de communication agent serveur à partir des deux serveurs. 2 Importez la clé de communication sécurisée agent serveur du serveur A sur le serveur B. 3 Importez la clé de communication sécurisée agent serveur du serveur B sur le serveur A. Enregistrez le serveur sur le lequel vous souhaitez transférer le système. Assurez vous d'activer Transférer les systèmes dans la page Détails de l'assistant Générateur de serveurs enregistrés. 132 McAfee epolicy Orchestrator Logiciel Guide produit

133 Arborescence des systèmes Transfert de systèmes entre serveurs 9 1 Cliquez sur Menu Systèmes Arborescence des systèmes, puis sélectionnez les systèmes que vous voulez transférer. 2 Cliquez sur Actions Agent Transférer les systèmes. La boîte de dialogue Transférer les systèmes s'affiche. 3 Sélectionnez le serveur voulu dans la liste déroulante et cliquez sur OK. Une fois le système managé sélectionné pour le transfert, deux communications agent serveur doivent avoir lieu pour que le système soit affiché dans l'arborescence des systèmes du serveur cible. Le temps nécessaire à l'exécution de ces deux communications agent serveur varie en fonction de votre configuration. L'intervalle de communication agent serveur est d'une heure par défaut. McAfee epolicy Orchestrator Logiciel Guide produit 133

134 9 Arborescence des systèmes Transfert de systèmes entre serveurs 134 McAfee epolicy Orchestrator Logiciel Guide produit

135 10 Communication agent-serveur L'interface epolicy Orchestrator comporte des pages permettant de configurer les tâches et les stratégies McAfee Agent et de consulter les propriétés système, les propriétés de l'agent et d'autres informations sur les produits McAfee. Sommaire Fonctionnement de la communication agent-serveur Fonctionnement des SuperAgents Fonction de relais de l'agent Réponse aux événements de stratégie Exécution immédiate de tâches client Identification des agents inactifs Propriétés du système Windows et des produits communiquées par l'agent Requêtes fournies par McAfee Agent Autorisation de la mise en cache des informations d'identification pour le déploiement de l'agent Changement des ports de communication de l'agent Affichage des propriétés de l'agent et du produit Clés de sécurité Fonctionnement de la communication agent-serveur L'agent doit contacter un serveur epolicy Orchestrator ou un gestionnaire d'agents régulièrement pour vérifier que tous les paramètres sont à jour, envoyer des événements, etc. Ces communications sont appelées communications agent serveur. Lors de chaque communication agent serveur, l'agent collecte ses propriétés système actuelles, de même que les événements qui n'ont pas encore été transmis, et les envoie au serveur. Le serveur envoie à l'agent les stratégies et les tâches nouvelles ou ayant été modifiées, ainsi que la liste de référentiels si celle ci a subi des changements depuis la dernière communication agent serveur. L'agent met en œuvre les nouvelles stratégies localement sur le système managé et applique les éventuelles modifications apportées au niveau des tâches ou des référentiels. Le serveur epolicy Orchestrator utilise le protocole réseau standard TLS (Transport Layer Security) pour les transmissions réseau sécurisées. Lors de la première l'installation de l'agent, ce dernier appelle le serveur dans un délai de six secondes, le moment étant choisi de manière aléatoire au cours de cet intervalle. Par la suite, il appelle lorsque l'une des situations suivantes se présente : L'intervalle de communication agent serveur (ASCI) est écoulé. Des appels de réactivation de l'agent sont émis par McAfee epo ou par des gestionnaires d'agents. Une tâche de réactivation planifiée est exécutée sur les systèmes clients. McAfee epolicy Orchestrator Logiciel Guide produit 135

136 10 Communication agent-serveur Fonctionnement de la communication agent-serveur Une communication est établie manuellement par le système managé. Des appels de réactivation de l'agent sont émis par le serveur epolicy Orchestrator. Intervalle de communication agent-serveur L'intervalle de communication agent serveur détermine la fréquence à laquelle McAfee Agent contacte le serveur McAfee epo. Vous pouvez configurer l'intervalle de communication agent serveur dans l'onglet Général de la page de stratégie McAfee Agent. La valeur par défaut du paramètre est de 60 minutes, ce qui signifie que l'agent contacte le serveur une fois par heure. Au moment de décider si vous allez modifier l'intervalle, prenez en compte le fait que l'agent exécute les actions suivantes à chaque intervalle : Il collecte et envoie ses propriétés. Il envoie les événements non prioritaires qui sont survenus depuis la dernière communication agent serveur. Il met en œuvre des stratégies. Le gestionnaire d'agents ou le serveur epolicy Orchestrator envoie les nouvelles stratégies et tâches au client. Cette action peut déclencher d'autres actions consommatrices de ressources. Les opérations précitées ne suffisent pas à surcharger un ordinateur, mais un certain nombre de facteurs peuvent entraîner une sollicitation assez forte du réseau, des serveurs McAfee epo ou des gestionnaires d'agents, notamment : De nombreux systèmes managés par epolicy Orchestrator Les besoins contraignants de votre organisation en matière de réponse aux menaces L'emplacement physique ou réseau fortement distribué des clients par rapport aux serveurs ou aux gestionnaires d'agents Une bande passante disponible réduite En règle générale, si votre environnement présente ces facteurs, il est préférable d'opter pour une communication agent serveur moins fréquente. Pour les clients assurant des fonctions stratégiques, en revanche, il est sans doute conseillé de définir un intervalle de communication plus court. Gestion des interruptions de la communication agent-serveur La gestion des interruptions permet de résoudre des problèmes qui empêchent un système de se connecter à un serveur McAfee epo. Les interruptions de communication peuvent se produire pour de nombreuses raisons ; l'algorithme de communication agent serveur est donc conçu pour tenter de rétablir cette communication en cas d'échec de la première tentative. McAfee Agent essaie d'appliquer les méthodes de connexion suivantes six fois ou jusqu'à ce qu'une réponse parmi une série de réponses soit renvoyée. 1 Adresse IP 2 Nom de domaine complet 3 NetBIOS L'agent essaie successivement ces trois méthodes de connexion dans cet ordre et avec un maximum de six tentatives, pour un total de 18 tentatives de connexion. Il ne s'écoule pas de délai entre les tentatives de connexion. L'agent arrête ce cycle lorsque l'une des tentatives de connexion renvoie un des résultats suivants : 136 McAfee epolicy Orchestrator Logiciel Guide produit

137 Communication agent-serveur Fonctionnement de la communication agent-serveur 10 Aucune erreur Echec du téléchargement Echec du chargement Agent en cours d'arrêt Transfert annulé Serveur occupé (code d'état du serveur McAfee epo) Chargement réussi (code d'état du serveur McAfee epo) Agent nécessitant de nouvelles clés Aucun package à recevoir (code d'état du serveur McAfee epo) Agent devant régénérer le GUID (code d'état du serveur McAfee epo) Si un autre résultat est renvoyé (tel que le refus de la connexion, l'échec de la connexion, le délai d'expiration de la connexion dépassé ou d'autres erreurs), l'agent réessaie immédiatement en utilisant la méthode de connexion de la liste jusqu'à l'approche du prochain intervalle de communication argent serveur. Appels de réactivation et tâches Un appel de réactivation de McAfee Agent déclenche une communication agent serveur immédiate, sans attendre l'expiration de l'intervalle de communication agent serveur actuel. La tâche client de réactivation de l'agent est uniquement prise en charge sur les plates formes Windows. Utilisez les actions de l'arborescence des systèmes pour réactiver les agents sur des systèmes d'exploitation Unix et Macintosh. Un appel de réactivation peut être émis de deux manières : Manuellement à partir du serveur Il s'agit de l'approche la plus répandue, qui nécessite que le port de communication de réactivation de l'agent soit ouvert. Planifiée par l'administrateur Cette approche est utile lorsque la communication agent serveur manuelle est désactivée par une stratégie. L'administrateur peut créer et déployer une tâche de réactivation, qui réactive l'agent et établit une communication agent serveur. Vous pouvez émettre un appel de réactivation pour les raisons suivantes : Vous apportez une modification à une stratégie qui doit être immédiatement mise en œuvre, sans attendre l'expiration de l'intervalle de communication agent serveur planifié. Vous avez créé une nouvelle tâche que vous souhaitez exécuter immédiatement. L'action Exécuter la tâche maintenant crée une tâche puis l'affecte aux systèmes clients spécifiés et envoie des appels de réactivation. Une requête a généré un rapport indiquant qu'un client n'est pas conforme et vous voulez tester l'état de ce client dans le cadre d'une procédure de dépannage. Si vous avez converti un agent particulier sur un système Windows en SuperAgent, celui ci peut émettre des appels de réactivation vers des segments de diffusion réseau désignés. Les SuperAgents répartissent l'impact sur la bande passante des appels de réactivation. Envoi d'appels de réactivation manuels à des systèmes individuels L'envoi manuel d'un appel de réactivation de l'agent ou du SuperAgent à des systèmes de l'arborescence des systèmes est utile lorsque vous modifiez des stratégies et que vous souhaitez voir les agents McAfee epolicy Orchestrator Logiciel Guide produit 137

138 10 Communication agent-serveur Fonctionnement de la communication agent-serveur contacter le serveur afin d'envoyer ou de recevoir les informations mises à jour avant la prochaine communication agent serveur. 1 Cliquez sur Menu Systèmes Arborescence des systèmes, puis sélectionnez le groupe contenant les systèmes cibles. 2 Sélectionnez les systèmes dans la liste, puis cliquez sur Actions Agent Réactiver les agents. 3 Assurez vous que les systèmes que vous avez sélectionnés figurent dans la section Systèmes cibles. 4 En regard de Type d'appel de réactivation, sélectionnez Appel de réactivation de l'agent ou Appel de réactivation du SuperAgent, le cas échéant. 5 Acceptez l'intervalle d'exécution aléatoire par défaut (0 minute) ou entrez une autre valeur comprise entre 0 et 60 minutes. Prenez en compte le nombre de systèmes censés recevoir immédiatement l'appel de réactivation par rapport à la bande passante disponible. Si vous entrez la valeur 0, les agents répondent immédiatement. 6 Pour envoyer les propriétés de produit incrémentielles à la suite de l'appel de réactivation, désélectionnez l'option Obtenir les propriétés de produit complètes. Par défaut, la stratégie est configurée pour l'envoi des propriétés complètes. 7 Pour mettre à jour toutes les stratégies et tâches au cours de cet appel de réactivation, sélectionnez Forcer la mise à jour complète des stratégies et des tâches. 8 Définissez les valeurs des options Nombre de tentatives, Intervalle entre les tentatives et Abandonner après pour cet appel de réactivation, si vous ne souhaitez pas conserver les valeurs par défaut. 9 Précisez si vous souhaitez réactiver l'agent en utilisant Tous les gestionnaires d'agents ou le Dernier gestionnaire d'agents connecté. 10 Cliquez sur OK pour envoyer l'appel de réactivation de l'agent ou du SuperAgent. Envoi d'appels de réactivation manuels à un groupe Un appel de réactivation de l'agent ou du SuperAgent peut être envoyé à un groupe complet de l'arborescence des systèmes à l'aide d'une seule tâche. Cela s'avère utile lorsque vous avez modifié des stratégies et que vous souhaitez voir les agents contacter le serveur afin d'envoyer ou de recevoir les informations mises à jour avant la prochaine communication agent serveur. 1 Cliquez sur Menu Systèmes Arborescence des systèmes. 2 Sélectionnez le groupe cible à partir de l'arborescence des systèmes et cliquez sur l'onglet Détails sur le groupe. 3 Sélectionnez Actions Réactiver les agents. 4 Vérifiez que le groupe sélectionné s'affiche en regard de Groupe cible. 5 Sélectionnez comme destination de l'appel de réactivation de l'agent Tous les systèmes de ce groupe ou Tous les systèmes de ce groupe et ses sous groupes. 6 En regard de Type, sélectionnez Appel de réactivation de l'agent ou Appel de réactivation du SuperAgent. 138 McAfee epolicy Orchestrator Logiciel Guide produit

139 Communication agent-serveur Fonctionnement des SuperAgents 10 7 Acceptez l'intervalle d'exécution aléatoire par défaut (0 minute) ou entrez une autre valeur comprise entre 0 et 60 minutes. Si vous entrez la valeur 0, les agents répondent immédiatement. 8 Pour envoyer les propriétés de produit minimales à la suite de l'appel de réactivation, désélectionnez l'option Obtenir les propriétés de produit complètes. Par défaut, la stratégie est configurée pour l'envoi des propriétés complètes. 9 Pour mettre à jour toutes les stratégies et tâches au cours de cet appel de réactivation, sélectionnez Forcer la mise à jour complète des stratégies et des tâches. 10 Cliquez sur OK pour envoyer l'appel de réactivation de l'agent ou du SuperAgent. Fonctionnement des SuperAgents Un SuperAgent est un agent qui joue le rôle d'intermédiaire entre le serveur McAfee epo et les autres agents présents sur le même segment de diffusion du réseau. Seuls les agents Windows peuvent être convertis en SuperAgents. Le SuperAgent met en cache les informations reçues d'un serveur epolicy Orchestrator, du référentiel maître ou d'un référentiel distribué en miroir et les distribue aux agents présents sur son sous réseau. La fonctionnalité de mise en cache différée permet de ne récupérer les données à partir du serveur epolicy Orchestrator que sur demande d'un nœud agent local. La création d'une hiérarchie de SuperAgents et la mise en cache différée permettent d'économiser davantage de bande passante et de réduire le trafic sur le réseau étendu. Les SuperAgents diffusent également des appels de réactivation à d'autres agents du même sous réseau. Le SuperAgent reçoit un appel de réactivation du serveur epolicy Orchestrator, puis réactive les agents dans son sous réseau. Il n'est alors pas nécessaire d'envoyer des appels de réactivation ordinaires à chaque agent sur le réseau ni d'envoyer une tâche de réactivation d'agent à chaque ordinateur. SuperAgents et appels de réactivation de diffusion Utilisez des appels de réactivation de l'agent pour établir la communication agent serveur et envisagez de convertir un agent en SuperAgent sur chaque segment de diffusion réseau. Les SuperAgents répartissent la bande passante liée aux appels de réactivation simultanés. Au lieu d'envoyer des appels de réactivation à chacun des agents, le serveur émet des appels de réactivation aux SuperAgents du segment sélectionné dans l'arborescence des systèmes. La procédure est la suivante : 1 Le serveur envoie un appel de réactivation à tous les SuperAgents. 2 Les SuperAgents diffusent un appel de réactivation à tous les agents du même segment de diffusion. 3 Tous les agents notifiés (agents ordinaires notifiés par un SuperAgent et tous les SuperAgents) échangent des données avec le serveur epolicy Orchestrator ou le gestionnaire d'agents. Lorsque vous envoyez un appel de réactivation du SuperAgent, les agents qui ne disposent pas d'un SuperAgent actif sur leur segment de diffusion ne reçoivent pas de demande de communication avec le serveur. McAfee epolicy Orchestrator Logiciel Guide produit 139

140 10 Communication agent-serveur Fonctionnement des SuperAgents Conseils sur le déploiement des SuperAgents Pour déployer un nombre suffisant de SuperAgents dans les emplacements corrects, commencez par identifier les segments de diffusion dans votre environnement, puis sélectionnez un système dans chaque segment (un serveur, de préférence) sur lequel héberger le SuperAgent. Si vous utilisez des SuperAgents, assurez vous que tous les agents sont affectés à un SuperAgent. Les appels de réactivation d'agent et de SuperAgent utilisent les mêmes canaux sécurisés. Vérifiez que les ports suivants ne sont pas bloqués par un pare feu sur le client : Le port de communication de réactivation de l'agent (8081 par défaut) Le port de communication de diffusion de l'agent (8082 par défaut) Conversion des agents en SuperAgents Au cours de la mise à jour globale, lorsque le SuperAgent reçoit une mise à jour du serveur epolicy Orchestrator, il envoie des appels de réactivation à tous les agents de son réseau. Configurez les paramètres de stratégie de SuperAgent pour convertir un agent en SuperAgent. 1 Cliquez sur Menu Systèmes Arborescence des systèmes Systèmes, puis sélectionnez un groupe sous l'arborescence des systèmes. Tous les systèmes de ce groupe s'affichent dans le volet de détails. 2 Sélectionnez un système, puis cliquez sur Actions Agent Modifier les stratégies sur un seul système. La page Affectation de stratégie pour ce système s'affiche. 3 Dans la liste déroulante Produit, sélectionnez McAfee Agent. Les catégories de stratégies sous McAfee Agent s'affichent avec la stratégie affectée du système. 4 Si la stratégie est héritée, sélectionnez Bloquer l'héritage et affecter la stratégie et les paramètres ci dessous. 5 Dans la liste déroulante Stratégie affectée, sélectionnez la stratégie générale souhaitée. A partir de cet endroit, vous pouvez également modifier les paramètres de la stratégie sélectionnée ou en créer une nouvelle. 6 Indiquez si vous voulez verrouiller l'héritage des stratégies afin d'empêcher qu'un système héritant de cette stratégie reçoive l'affectation d'une autre stratégie. 7 Dans l'onglet SuperAgent, sélectionnez Convertir les agents en SuperAgents pour activer la diffusion des appels de réactivation. 8 Cliquez sur Enregistrer. 9 Envoyez un appel de réactivation de l'agent. 140 McAfee epolicy Orchestrator Logiciel Guide produit

141 Communication agent-serveur Fonctionnement des SuperAgents 10 Mise en cache par le SuperAgent et interruptions de communication Le SuperAgent met en cache le contenu de son référentiel d'une manière spécifiquement conçue pour réduire l'utilisation du réseau étendu (WAN). Si un agent a été converti en SuperAgent, il peut mettre en cache le contenu du serveur McAfee epo, du référentiel distribué ou d'autres SuperAgents pour le distribuer localement à d'autres agents, réduisant ainsi l'utilisation de la bande passante du réseau étendu. Pour cela, vous devez Activer la mise en cache différée dans la page des options de stratégie McAfee Agent SuperAgent accessible à partir de Menu Stratégie Catalogue de stratégies. Les SuperAgents ne peuvent pas mettre en cache le contenu provenant des référentiels McAfee HTTP ou FTP. Fonctionnement du cache Lorsqu'un système client demande du contenu pour la première fois, le SuperAgent affecté à ce système met en cache ce contenu. A partir de ce moment, le cache est mis à jour chaque fois qu'une nouvelle version du package demandé est disponible dans le référentiel maître. Lorsqu'une structure hiérarchique de SuperAgent est créée, le SuperAgent enfant reçoit la mise à jour de contenu requise depuis la mémoire cache de son parent. Le SuperAgent ne stocke que le contenu demandé par les agents qui lui sont affectés, car il n'extrait pas de contenu depuis les référentiels sans demande de la part d'un client. Ceci réduit le trafic entre le SuperAgent et les référentiels. Lorsque le SuperAgent récupère du contenu depuis le référentiel, les demandes des systèmes clients pour ce contenu sont suspendues. Le SuperAgent doit avoir accès au référentiel. A défaut, les agents recevant des mises à jour du SuperAgent ne reçoivent jamais de nouveau contenu. Vérifiez que la stratégie du SuperAgent comporte l'accès au référentiel. Les agents configurés pour utiliser le SuperAgent en tant que référentiel reçoivent le contenu mis en cache dans le SuperAgent et non directement du serveur McAfee epo. Cela améliore les performances système de l'agent en conservant la majeure partie du trafic local pour le SuperAgent et ses clients. Si le SuperAgent est reconfiguré pour utiliser un nouveau référentiel, le cache est mis à jour pour refléter le nouveau référentiel. Purge du cache Les SuperAgents purgent le contenu de leur cache dans deux situations. Si l'intervalle de vérification de nouveau contenu dans les référentiels s'est écoulé depuis la dernière demande de mise à jour, le SuperAgent télécharge les mises à jour à partir du référentiel maître, les traite et purge entièrement le cache si du nouveau contenu est disponible. Lors d'une mise à jour globale, les SuperAgents reçoivent un appel de réactivation qui purge tout le contenu du cache. Les SuperAgents sont purgés par défaut toutes les 30 minutes. Lorsque le SuperAgent purge le cache, il supprime tous les fichiers de son référentiel qui ne sont pas répertoriés dans le fichier Replica.log. Ceci inclut tout fichier personnel que vous auriez pu placer dans ce dossier. La mise en cache du SuperAgent parallèlement à la réplication des référentiels n'est pas recommandée. McAfee epolicy Orchestrator Logiciel Guide produit 141

142 10 Communication agent-serveur Fonctionnement des SuperAgents Gestion des interruptions de communication Lorsqu'un SuperAgent reçoit une demande de contenu qui peut être obsolète, le SuperAgent tente de contacter le serveur McAfee epo pour vérifier si du nouveau contenu est disponible. Si la tentative de connexion échoue, le SuperAgent distribue le contenu à partir de son propre référentiel. Ceci permet de garantir que le demandeur reçoit du contenu, même obsolète. La fonction de mise en cache du SuperAgent ne peut pas être utilisée en même temps que la fonction de mise à jour globale. Ces deux options remplissent la même fonction dans l'environnement managé, à savoir la mise à jour des référentiels distribués. Toutefois, elles ne sont pas complémentaires. Utilisez la mise en cache du SuperAgent lorsque vous cherchez essentiellement à limiter l'utilisation de la bande passante. Utilisez la mise à jour globale lorsque votre objectif premier est la mise à jour rapide des systèmes de l'entreprise. Hiérarchie de SuperAgents Une hiérarchie de SuperAgents peut desservir des agents dans le même réseau avec une utilisation minimale du trafic réseau. Un SuperAgent met en cache les mises à jour de contenu à partir du serveur epolicy Orchestrator ou d'un référentiel distribué, et les distribue aux agents sur le réseau en réduisant le trafic sur le réseau étendu. Il est toujours idéal de disposer de plusieurs SuperAgents pour équilibrer la charge réseau. Assurez vous d'activer la fonctionnalité de mise en cache différée avant de configurer la hiérarchie de SuperAgents. Organisation des SuperAgents en hiérarchie Les stratégies générales et de référentiel peuvent être modifiées pour activer et définir une hiérarchie de SuperAgents. 1 Cliquez sur Menu Stratégie Catalogue de stratégies. Ensuite, sélectionnez McAfee Agent dans le menu déroulant Produit et Général dans le menu déroulant Catégorie. 2 Cliquez sur la stratégie My Default pour commencer à modifier la stratégie. Si vous souhaitez créer une stratégie, cliquez sur Actions Nouvelle stratégie. La stratégie McAfee Default ne peut pas être modifiée. 3 Dans l'onglet SuperAgent, sélectionnez Convertir les agents en SuperAgents pour convertir l'agent en SuperAgent et mettre à jour son référentiel avec le contenu le plus récent. 4 Sélectionnez Utiliser des systèmes exécutant des SuperAgents en tant que référentiels distribués pour utiliser les systèmes hébergeant des SuperAgents comme référentiels de mise à jour pour les systèmes du segment de diffusion, puis indiquez le Chemin d'accès du référentiel. 5 Sélectionnez Activer la mise en cache différée pour permettre aux SuperAgents de mettre en cache le contenu envoyé par le serveur McAfee epo dès réception. 6 Cliquez sur Enregistrer. La page Catalogue de stratégies répertorie les stratégies générales. 7 Changez la Catégorie en Référentiel, puis cliquez sur la stratégie My Default pour la modifier. Si vous souhaitez créer une stratégie, cliquez sur Actions Nouvelle stratégie. 8 Dans l'onglet Référentiels, sélectionnez Utiliser l'ordre de la liste de référentiels. 142 McAfee epolicy Orchestrator Logiciel Guide produit

143 Communication agent-serveur Fonctionnement des SuperAgents 10 9 Cliquez sur Autoriser automatiquement les clients à accéder à des référentiels nouvellement ajoutés pour ajouter de nouveaux référentiels SuperAgents à la liste, puis cliquez sur Déplacer en première position pour organiser les SuperAgents en hiérarchie. Organisez la hiérarchie de référentiels de manière à ce que le SuperAgent parent figure toujours en haut de la liste de référentiels. 10 Cliquez sur Enregistrer. Après la configuration de la hiérarchie de SuperAgents, vous pouvez créer et exécuter la tâche Statistiques de McAfee Agent pour générer un rapport sur les économies de bande passante. Consultez la section Collecte des statistiques de McAfee Agent pour plus de détails. Création d'une hiérarchie de SuperAgents Vous pouvez utiliser la stratégie Référentiel pour créer la hiérarchie. Il est recommandé de mettre en place une hiérarchie de SuperAgents à trois niveaux sur votre réseau. La création d'une hiérarchie de SuperAgents évite le téléchargement à répétition de mises à jour de contenu à partir du serveur epolicy Orchestrator ou du référentiel distribué. Par exemple, sur un réseau client comportant deux SuperAgents (SuperAgent 1 et SuperAgent 2) et un référentiel distribué, configurez la hiérarchie de manière à ce que les systèmes clients reçoivent les mises à jour de contenu du SuperAgent 1. Le SuperAgent 1 reçoit et met en cache les mises à jour du SuperAgent 2, puis le SuperAgent 2 reçoit et met en cache les mises à jour du référentiel distribué. Les SuperAgents ne peuvent pas mettre en cache le contenu provenant des référentiels McAfee HTTP ou FTP. Lors de la création d'une hiérarchie, veillez à ce que cette dernière ne forme pas une boucle de SuperAgents. Par exemple, SuperAgent 1 est configuré pour extraire les mises à jour de SuperAgent 2, SuperAgent 2 est configuré pour extraire les mises à jour de SuperAgent 3, et SuperAgent 3 est à son tour configuré pour extraire les mises à jour de SuperAgent 1. Pour garantir que le SuperAgent parent contient les mises à jour de contenu les plus récentes, la diffusion des appels de réactivation du SuperAgent doit être activée. Consultez la section Activation de la diffusion des appels de réactivation du SuperAgent pour plus de détails. Si les SuperAgents ne proposent pas aux agents les dernières mises à jour de contenu, l'agent rejette la mise à jour de contenu reçue du SuperAgent et passe au référentiel suivant configuré dans la stratégie. McAfee epolicy Orchestrator Logiciel Guide produit 143

144 10 Communication agent-serveur Fonction de relais de l'agent Fonction de relais de l'agent Si la configuration de votre réseau bloque les communications entre McAfee Agent et le serveur McAfee epo, l'agent ne peut pas recevoir les mises à jour de contenu et les stratégies ni envoyer des événements. La fonction de relais peut être activée sur les agents qui disposent d'une connectivité directe au serveur epolicy Orchestrator ou aux gestionnaires d'agent, afin d'établir une communication entre les systèmes clients et le serveur McAfee epo. Vous pouvez configurer plusieurs agents en tant que serveur relais pour équilibrer la charge du réseau. Vous pouvez activer la fonction de relais sur McAfee Agent 4.8 ou version ultérieure. Le serveur epolicy Orchestrator peut uniquement initier une communication (pour l'affichage des journaux de l'agent par exemple) avec un agent directement connecté. La fonction de relais n'est pas prise en charge sur les systèmes AIX. Communication par le biais de serveurs relais Activer la fonction de relais sur votre réseau convertit un agent en serveur relais. Un agent doté de la fonction de relais peut accéder au serveur epolicy Orchestrator ou au référentiel distribué. Si un agent ne parvient pas à se connecter au serveur epolicy Orchestrator ou au gestionnaire d'agents directement, il diffuse un message pour identifier un agent doté de la fonction de relais sur le réseau. Les serveurs relais répondent au message et l'agent établit une connexion avec le premier serveur qui répond. Si un agent ne parvient pas à se connecter au serveur epolicy Orchestrator ou au gestionnaire d'agents directement, il tente de se connecter au premier serveur relais qui a répondu au message d'identification. L'agent identifie les serveurs relais sur le réseau lors de chaque intervalle de communication agent serveur et met en cache les détails des cinq premiers serveurs relais uniques qui ont répondu au message de demande d'identification. Si le serveur relais actuel ne parvient pas à se connecter avec le serveur epolicy Orchestrator ou ne dispose pas de la mise à jour de contenu requise, l'agent se connecte au prochain serveur relais disponible dans son cache. Les agents ont besoin du protocole UDP (User Datagram Protocol) pour identifier les serveurs relais présents sur le réseau. Le serveur relais se connecte uniquement au serveur epolicy Orchestrator ou aux référentiels distribués répertoriés dans son fichier SiteList.xml. McAfee vous recommande d'inclure le fichier SiteList.xml du serveur relais en tant qu'ensemble global des listes Sitelist de tous les agents configurés pour se connecter via ce relais. Sur un système client Windows, une fois que la fonction de relais est activée par la stratégie, un nouveau service MfeServiceMgr.exe est installé. Ce service peut être démarré ou arrêté pour contrôler la fonction de relais sur le système client. Une fois que l'agent a terminé de charger ou de télécharger du contenu depuis le serveur epolicy Orchestrator, le serveur relais déconnecte l'agent et le serveur epolicy Orchestrator. 144 McAfee epolicy Orchestrator Logiciel Guide produit

145 Communication agent-serveur Fonction de relais de l'agent 10 Activation de la fonction de relais Vous pouvez configurer et affecter des stratégies pour activer la fonction de relais sur un agent. Si vous activez un système autre que Windows comme serveur relais, veillez à ajouter manuellement une exception pour le processus cmamesh et le port gestionnaire de services vers iptables et ip6tables. 1 Cliquez sur Menu Systèmes Arborescence des systèmes Systèmes, puis sélectionnez un groupe sous l'arborescence des systèmes. Tous les systèmes de ce groupe s'affichent dans le volet de détails. 2 Sélectionnez un système, puis cliquez sur Actions Agent Modifier les stratégies sur un seul système. La page Affectation de stratégie pour ce système s'affiche. 3 Dans la liste déroulante Produit, sélectionnez McAfee Agent. Les catégories de stratégies sous McAfee Agent s'affichent avec la stratégie affectée du système. 4 Si la stratégie est héritée, sélectionnez Bloquer l'héritage et affecter la stratégie et les paramètres ci dessous. 5 Dans la liste déroulante Stratégie affectée, sélectionnez la stratégie générale souhaitée. A partir de cet endroit, vous pouvez également modifier les paramètres de la stratégie sélectionnée ou en créer une nouvelle. 6 Indiquez si vous voulez verrouiller l'héritage des stratégies afin d'empêcher qu'un système héritant de cette stratégie reçoive l'affectation d'une autre stratégie. 7 Dans l'onglet SuperAgent, sélectionnez l'option Activer le service de relais pour activer la fonction de relais. Assurez vous de configurer le Port gestionnaire de services sur McAfee recommande l'activation de la fonction de relais au sein du réseau de l'entreprise. Les serveurs relais ne peuvent pas se connecter aux serveurs epolicy Orchestrator à l'aide de paramètres de proxy. 8 Cliquez sur Enregistrer. 9 Envoyez un appel de réactivation de l'agent. Après la première communication agent serveur, l'état du service de relais est mis à jour dans la page Propriétés de McAfee Agent ou dans l'interface utilisateur McTray sur le système client. Sur les systèmes clients Windows, le fichier journal SvcMgr_<nom système>.log est enregistré dans C:\ProgramData\McAfee\Common Framework\DB. Collecte des statistiques de McAfee Agent Vous pouvez exécuter la tâche client Statistiques de McAfee Agent sur les nœuds managés pour collecter les statistiques du serveur relais et de la hiérarchie de SuperAgents. McAfee epolicy Orchestrator Logiciel Guide produit 145

146 10 Communication agent-serveur Fonction de relais de l'agent 1 Cliquez sur Menu Systèmes Arborescence des systèmes Systèmes, puis sélectionnez un groupe sous l'arborescence des systèmes. Tous les systèmes de ce groupe s'affichent dans le volet de détails. 2 Sélectionnez un système, puis cliquez sur Actions Agent Modifier les tâches sur un seul système. Les tâches client affectées pour ce système s'affichent. 3 Cliquez sur Actions Nouvelle affectation de tâche client. La page Générateur d'affectations de tâche client s'affiche. 4 Dans la liste des produits, sélectionnez McAfee Agent, puis Statistiques de McAfee Agent comme Type de tâche. 5 Cliquez sur Créer une tâche. La page Nouvelle tâche client s'affiche. 6 Sélectionnez les options requises, puis cliquez sur Enregistrer. Options Définition Statistiques de serveur relais Collecte les statistiques suivantes auprès des systèmes clients : Nombre de connexions ayant échoué à partir des serveurs relais vers le serveur epolicy Orchestrator ou les référentiels distribués Nombre de connexions rejetées par le serveur relais une fois le nombre maximal de connexions autorisées atteint Statistiques de mise à jour hiérarchique avec SuperAgent Collecte les informations sur la bande passante économisée par l'utilisation de la hiérarchie de SuperAgents. Une fois la tâche déployée sur le système client et l'état reporté à epolicy Orchestrator, les statistiques sont remises à 0. Désactivation de la fonction de relais Vous pouvez utiliser la stratégie générale pour désactiver les services de relais sur l'agent. 1 Cliquez sur Menu Systèmes Arborescence des systèmes Systèmes, puis sélectionnez un groupe sous l'arborescence des systèmes. Tous les systèmes de ce groupe s'affichent dans le volet de détails. 2 Sélectionnez le système sur lequel la fonction de relais était activée, puis cliquez sur Actions Agent Modifier les stratégies sur un seul système. La page Affectation de stratégie pour ce système s'affiche. 3 Dans la liste déroulante Produit, sélectionnez McAfee Agent. Les catégories de stratégies sous McAfee Agent s'affichent avec la stratégie affectée du système. 4 Dans la liste déroulante Stratégie affectée, sélectionnez la stratégie Général mise en œuvre sur le système client. 5 Dans l'onglet SuperAgent, désélectionnez l'option Activer le service de relais pour désactiver la fonction de relais sur le système client. 6 Cliquez sur Enregistrer. 7 Envoyez un appel de réactivation de l'agent. 146 McAfee epolicy Orchestrator Logiciel Guide produit

147 Communication agent-serveur Réponse aux événements de stratégie 10 Réponse aux événements de stratégie Vous pouvez définir une réponse automatique dans epolicy Orchestrator, filtrée de manière à ne montrer que les événements liés aux stratégies. 1 Cliquez sur Menu Automatisation Réponses automatiques pour ouvrir la page Réponses automatiques. 2 Cliquez sur Actions Nouvelle réponse. 3 Entrez le Nom de la réponse et une éventuelle Description. 4 Sélectionnez Evénements de notification epo comme Groupe d'événements, et Client, Menace ou Serveur comme Type d'événement. 5 Cliquez sur Activé pour activer la réponse, puis cliquez sur Suivant. 6 Dans les Propriétés disponibles, sélectionnez Description de l'événement. 7 Cliquez sur... dans la ligne Description de l'événement et choisissez une des options suivantes dans la liste : Option L'agent n'a réussi à collecter des propriétés pour aucun des produits individuels L'agent n'a réussi à mettre en œuvre des stratégies pour aucun des produits individuels Définition Cet événement est généré et transmis lors du premier échec de collecte de propriétés. Un événement de réussite ultérieur n'est pas généré. Chaque produit individuel en échec génère un événement distinct. Cet événement est généré et transmis lors du premier échec de mise en œuvre de stratégies. Un événement de réussite ultérieur n'est pas généré. Chaque produit individuel en échec génère un événement distinct. 8 Indiquez les autres informations pour le filtre comme il convient, puis cliquez sur Suivant. 9 Sélectionnez les options Agrégation, Regroupement et Limitation souhaitées. 10 Choisissez un type d'action, indiquez le comportement souhaité selon le type d'action, puis cliquez sur Suivant. 11 Passez en revue la synthèse du comportement de la réponse. Si cela vous convient, cliquez sur Enregistrer. Une réponse automatique est à présent créée. Elle effectuera l'action décrite lorsqu'un événement de stratégie se produit. Exécution immédiate de tâches client Quand epolicy Orchestrator 4.6 ou version ultérieure communique avec McAfee Agent 4.6 ou version ultérieure, vous pouvez exécuter immédiatement des tâches client en utilisant la fonctionnalité d'exécution immédiate de tâches. McAfee Agent place les tâches dans une file d'attente lorsque leur exécution est planifiée au lieu de les exécuter immédiatement. Si une tâche peut être placée dans la file d'attente immédiatement, elle ne s'exécutera que si aucune autre tâche n'est devant elle dans la file. Les tâches créées au cours de la McAfee epolicy Orchestrator Logiciel Guide produit 147

148 10 Communication agent-serveur Identification des agents inactifs procédure Exécuter une tâche client maintenant sont exécutées et la tâche est supprimée du client une fois terminée. La fonctionnalité Exécuter une tâche client maintenant est prise en charge uniquement sur les systèmes clients Windows. 1 Cliquez sur Menu Systèmes Arborescence des systèmes. 2 Sélectionnez un ou plusieurs systèmes sur lesquels exécuter une tâche. 3 Cliquez sur Actions Agent Exécuter une tâche client maintenant. 4 Sélectionnez McAfee Agent comme Produit puis le Type de tâche. 5 Pour exécuter une tâche existante, cliquez sur le Nom de la tâche puis sur Exécuter la tâche maintenant. 6 Pour définir une nouvelle tâche, cliquez sur Nouvelle tâche. a Entrez les informations qui correspondent à la tâche que vous créez. Si vous créez une tâche McAfee Agent de type Déploiement de produits ou Mise à jour de produit au cours de cette procédure, une des options disponibles est Exécuter à chaque mise en œuvre de stratégies. Cette option n'a aucun effet car la tâche est supprimée une fois terminée. La page Etat d'exécution de la tâche client s'ouvre et affiche l'état de toutes les tâches en cours d'exécution. Lorsque les tâches sont terminées, les résultats peuvent être consultés dans le journal d'audit et le journal des tâches serveur. Identification des agents inactifs Un agent inactif est un agent qui n'a pas communiqué avec le serveur McAfee epo pendant une période spécifiée par l'utilisateur. Certains agents peuvent devenir inactifs ou être désinstallés par des utilisateurs. Dans d'autres cas, le système hébergeant l'agent peut avoir été supprimé du réseau. McAfee recommande de rechercher régulièrement (une fois par semaine) les systèmes hébergeant des agents inactifs. 1 Cliquez sur Menu Rapports Requêtes et rapports. 2 Dans la liste Groupes, sélectionnez le groupe partagé McAfee Agent. 3 Cliquez sur Exécuter dans la ligne Agents inactifs pour lancer la requête. Cette requête est configurée par défaut pour répertorier les systèmes qui n'ont pas communiqué avec le serveur McAfee epo au cours du mois écoulé. Vous pouvez spécifier des heures, des jours, des semaines, des trimestres ou des années. Lorsque des agents inactifs sont détectés, passez en revue leurs journaux d'activités pour déceler des problèmes pouvant interférer avec la communication agent serveur. Les résultats de la requête vous permettent d'entreprendre des actions diverses sur les systèmes identifiés, telles que leur envoyer une requête ping ou un appel de réactivation de l'agent, les supprimer et redéployer un agent sur ceux ci. 148 McAfee epolicy Orchestrator Logiciel Guide produit

149 Communication agent-serveur Propriétés du système Windows et des produits communiquées par l'agent 10 Propriétés du système Windows et des produits communiquées par l'agent L'agent communique les propriétés système des rapports à epolicy Orchestrator à partir de ses systèmes managés. Ces propriétés varient selon le système d'exploitation. La liste ci dessous se rapporte à un environnement Windows. Propriétés de système Cette liste décrit les données système communiquées à epolicy Orchestrator par les systèmes d'exploitation de vos postes. Vérifiez les paramètres de votre système avant de conclure à une erreur dans les propriétés système signalées. GUID de l'agent Numéro de série du processeur Vitesse du processeur (MHz) Type de processeur Propriétés personnalisées 1 4 Type de communication Langue par défaut Description Nom DNS Nom de domaine Marqueurs exclus Espace disque disponible Mémoire disponible Espace disque disponible sur le système Produits installés Adresse IP Adresse IPX Est un système d'exploitation 64 bits Dernière erreur de séquence Est un ordinateur portable Dernière communication Adresse MAC Etat managé Type de gestion Nombre de processeurs Système d'exploitation Numéro de build du SE Identificateur OEM du SE Plate forme du SE Version de Service Pack du SE Type de SE Version du SE Erreurs de séquence Clé serveur Adresse de sous réseau Masque de sous réseau Description du système Emplacement du système Nom du système Tri de l'arborescence des systèmes Marqueurs Fuseau horaire A transférer Espace disque total Mémoire physique totale Espace disque utilisé Nom d'utilisateur Vdi Propriétés de l'agent Chaque produit McAfee définit les propriétés à communiquer à epolicy Orchestrator, ainsi que celles qui font partie d'un ensemble de propriétés minimales. Cette liste répertorie les types de données produit qui sont ainsi communiquées à epolicy Orchestrator par les logiciels McAfee installés sur votre système. Si vous constatez des erreurs dans les valeurs transmises, vérifiez les paramètres des produits avant de conclure à une erreur dans la communication de ces valeurs. McAfee epolicy Orchestrator Logiciel Guide produit 149

150 10 Communication agent-serveur Requêtes fournies par McAfee Agent GUID de l'agent Hachage de la clé de communication sécurisée agent serveur Intervalle de communication agent serveur Appel de réactivation de l'agent Port de communication de réactivation de l'agent Nœud du cluster Etat du service du cluster Nom du cluster Hôte de cluster Nœuds membres du cluster Chemin du lecteur quorum du cluster Adresse IP du cluster Version des fichiers DAT Version du moteur Forcer le redémarrage automatique après Version de HotFix/patch Chemin d'installation Langue Etat de la dernière mise en œuvre de stratégie Etat de la dernière collecte de propriétés Statut de licence Message d'invite à l'utilisateur quand un redémarrage est nécessaire Intervalle de mise en œuvre des stratégies Version de produit Version de plug in Exécution immédiate prise en charge Service Pack Afficher l'icône McAfee dans la barre d'état système SuperAgent en tant que service de relais Fonctionnalité SuperAgent Référentiel SuperAgent Répertoire du référentiel SuperAgent Port de communication de réactivation du SuperAgent Requêtes fournies par McAfee Agent McAfee Agent ajoute plusieurs requêtes standard à votre environnement epolicy Orchestrator. Les requêtes suivantes sont installées dans le groupe partagé McAfee Agent. Tableau 10-1 Requêtes fournies par McAfee Agent Requête Synthèse des communications des agents Etat des gestionnaires d'agents Description Graphique à secteurs des systèmes managés indiquant si les agents ont communiqué avec le serveur McAfee epo au cours des dernières 24 heures. Graphique à secteurs affichant l'état de la communication des gestionnaires d'agents au cours de la dernière heure. Statistiques de l'agent Graphique à barres affichant les statistiques de l'agent suivantes : Nombre de connexions vers les serveurs relais ayant échoué Nombre de tentatives de connexion au serveur relais une fois le nombre maximal de connexions autorisées atteint Informations sur la bande passante économisée par l'utilisation de la hiérarchie de SuperAgents Synthèse des versions de l'agent Agents inactifs Graphique à secteurs indiquant les agents installés sur les systèmes managés, ordonnés par numéro de version. Tableau répertoriant tous les systèmes managés dont les agents n'ont pas communiqué au cours du dernier mois. 150 McAfee epolicy Orchestrator Logiciel Guide produit

151 Communication agent-serveur Autorisation de la mise en cache des informations d'identification pour le déploiement de l'agent 10 Tableau 10-1 Requêtes fournies par McAfee Agent (suite) Requête Nœuds managés associés à des échecs de mise en œuvre de stratégies pour des produits individuels Nœuds managés associés à des échecs de collecte des propriétés pour des produits individuels Référentiels et pourcentage d'utilisation Utilisation des référentiels en fonction des extractions de fichiers DAT et de moteur Systèmes par gestionnaire d'agents Description Graphique à barres indiquant le nombre maximal de nœuds managés (spécifié dans l'assistant Générateur de requêtes) associés à au moins un échec de mise en œuvre de stratégies. Vous pouvez vérifier les échecs de mise en œuvre de stratégies pour des produits individuels sur le serveur McAfee epo 5.0 ou version ultérieure. Graphique à barres indiquant le nombre maximal de nœuds managés (spécifié dans l'assistant Générateur de requêtes) associés à au moins un échec de collecte des propriétés. Vous pouvez vérifier les échecs de collecte de propriété pour des produits individuels sur le serveur McAfee epo 5.0 ou version ultérieure. Graphique à secteurs indiquant l'utilisation de référentiels individuels en pourcentage par rapport à tous les référentiels. Graphique à barres empilées indiquant le nombre d'extractions de fichiers DAT et de moteur effectuées par référentiel. Graphique à secteurs indiquant le nombre de systèmes managés par gestionnaire d'agents. Autorisation de la mise en cache des informations d'identification pour le déploiement de l'agent Les administrateurs doivent fournir des informations d'identification pour déployer des agents à partir du serveur epolicy Orchestrator sur des systèmes de votre réseau. Vous pouvez choisir d'autoriser ou non la mise en cache des informations d'identification pour le déploiement de l'agent pour chaque utilisateur. Une fois les informations d'identification d'un utilisateur mises en cache, cet utilisateur peut déployer des agents sans avoir à les préciser à nouveau. Les informations d'identification sont mises en cache pour chaque utilisateur. Par conséquent, un utilisateur qui n'a pas fourni précédemment ses informations d'identification ne peut pas déployer des agents sans d'abord fournir ces dernières. 1 Cliquez sur Menu Configuration Paramètres serveur, sélectionnez Informations d'identification pour le déploiement de l'agent dans les Catégories de paramètres, puis cliquez sur Modifier. 2 Activez la case à cocher autorisant la mise en cache des informations d'identification pour le déploiement de l'agent. McAfee epolicy Orchestrator Logiciel Guide produit 151

152 10 Communication agent-serveur Changement des ports de communication de l'agent Changement des ports de communication de l'agent Vous pouvez changer certains des ports utilisés pour la communication de l'agent sur votre serveur epolicy Orchestrator. Il est possible de modifier les paramètres des ports de communication de l'agent suivants : Port sécurisé de communication agent serveur Port de communication de réactivation de l'agent Port de communication de diffusion de l'agent 1 Cliquez sur Menu Configuration Paramètres serveur, sélectionnez Ports dans les Catégories de paramètres, puis cliquez sur Modifier. 2 Choisissez si vous voulez activer le port 443 en tant que port sécurisé pour les communications agent serveur, entrez les ports à utiliser pour les appels de réactivation de l'agent et les diffusions de l'agent, puis cliquez sur Enregistrer. Affichage des propriétés de l'agent et du produit Une tâche de dépannage courante consiste à vérifier que les modifications apportées aux stratégies correspondent aux propriétés extraites d'un système. 1 Cliquez sur Menu Systèmes Arborescence des systèmes. 2 Dans l'onglet Systèmes, cliquez sur la ligne correspondant au système que vous voulez examiner. Les informations concernant les propriétés du système, des produits installés et de l'agent s'affichent. Le bandeau situé en haut de la page des informations sur le système contient les fenêtres Synthèse, Propriétés et Evénements de menace. Il affiche également les onglets Propriétés système, Produits, Evénements de menace, McAfee Agent, Rogue System Detection et Eléments liés. Clés de sécurité Les clés de sécurité servent à vérifier et à authentifier les communications et le contenu au sein de votre environnement managé par epolicy Orchestrator. Sommaire Description et fonctionnement des clés de sécurité Paire de clés du référentiel maître Clés publiques d'autres référentiels Gestion des clés de référentiel Clés de communication sécurisée agent-serveur Sauvegarde et restauration des clés 152 McAfee epolicy Orchestrator Logiciel Guide produit

153 Communication agent-serveur Clés de sécurité 10 Description et fonctionnement des clés de sécurité Le serveur epolicy Orchestrator se sert de trois paires de clés de sécurité. Les trois paires de clés de sécurité sont utilisées pour : authentifier la communication agent serveur ; vérifier le contenu des référentiels locaux ; vérifier le contenu des référentiels distants. La clé secrète de chaque paire signe les messages ou les packages à la source, tandis que la clé publique de la paire vérifie ceux ci au niveau de la cible. Clés de communication sécurisée agent serveur La première fois que l'agent communique avec le serveur, il envoie sa clé publique au serveur. Après quoi, le serveur utilise la clé publique de l'agent pour vérifier les messages signés avec la clé secrète de l'agent. Le serveur utilise sa propre clé secrète pour signer les messages qu'il envoie à l'agent. L'agent utilise la clé publique du serveur pour vérifier les messages du serveur. Vous pouvez posséder plusieurs paires de clés de communication sécurisée, mais une seule d'entre elles peut être désignée comme clé maître. Lorsque la tâche client de mise à jour des clés de l'agent est exécutée (McAfee epo Agent Key Updater), les agents utilisant différentes clés publiques reçoivent la clé publique actuellement employée. Quelle que soit la version mise à niveau (4.5 ou 4.6), les clés existantes sont migrées vers votre serveur McAfee epo 5.0. Paires de clés du référentiel maître local La clé secrète du référentiel signe le package avant que ce dernier ne soit archivé dans le référentiel. La clé publique du référentiel vérifie le contenu des packages dans le référentiel maître et dans le référentiel distribué. L'agent extrait le nouveau contenu disponible chaque fois que la tâche de mise à jour client est exécutée. Cette paire de clés est unique pour chaque serveur. En exportant et en important les clés d'un serveur à l'autre, vous pouvez utiliser la même paire de clés dans un environnement hébergeant plusieurs serveurs. Autres paires de clés de référentiel La clé secrète d'une source approuvée signe son contenu lors de la publication de ce contenu dans son référentiel distant. Parmi les sources approuvées figurent le site de téléchargement McAfee et le référentiel McAfee Security Innovation Alliance (SIA). Si cette clé est supprimée, vous ne pouvez pas exécuter une tâche d'extraction, même si vous importez une clé d'un autre serveur. Avant de remplacer ou de supprimer cette clé, pensez à la sauvegarder dans un emplacement sûr. La clé publique de l'agent vérifie le contenu extrait du référentiel distant. McAfee epolicy Orchestrator Logiciel Guide produit 153

154 10 Communication agent-serveur Clés de sécurité Paire de clés du référentiel maître La clé privée du référentiel maître signe tout le contenu non signé dans le référentiel maître. Cette clé est une fonctionnalité des agents de la version 4.0 ou des versions ultérieures. Les agents de la version 4.0 ou ultérieure utilisent la clé publique pour vérifier le contenu de référentiel provenant du référentiel maître du serveur McAfee epo. Si le contenu n'est pas signé ou s'il est signé avec une clé privée de référentiel inconnue, le contenu téléchargé n'est pas considéré comme valide et il est supprimé. Cette paire de clés est unique pour chaque installation de serveur. Toutefois, en exportant et en important les clés, vous pouvez utiliser la même paire de clés dans un environnement hébergeant plusieurs serveurs. Cette mesure de secours permet de garantir la connexion des agents à l'un des référentiels maîtres lorsque l'un d'eux est inaccessible. Clés publiques d'autres référentiels Les clés autres que la paire de clés maître sont des clés publiques utilisées par les agents pour vérifier le contenu d'autres référentiels maîtres de votre environnement ou de sites sources McAfee. Chaque agent qui rend compte à ce serveur utilise les clés de la liste Clés publiques d'autres référentiels pour vérifier le contenu provenant d'autres serveurs McAfee epo de votre organisation ou de sources McAfee. Si un agent télécharge du contenu émanant d'une source pour laquelle il ne dispose pas de la clé publique appropriée, il supprime ce contenu. Ces clés constituent une nouvelle fonctionnalité d'epo et seuls les agents de la version 4.0 ou d'une version ultérieure peuvent utiliser les nouveaux protocoles. Gestion des clés de référentiel Vous pouvez utiliser ces procédures pour gérer les clés de référentiel. s Utilisation d'une même paire de clés de référentiel maître pour tous les serveurs, page 154 Vous pouvez vous assurer que tous les agents et serveurs McAfee epo utilisent la même paire de clés de référentiel maître dans un environnement multiserveur en utilisant les paramètres serveur. Utilisation des clés de référentiel maître dans des environnements multiserveurs, page 155 Vous pouvez veiller à ce que les agents utilisent le contenu émanant de n'importe quel serveur McAfee epo de votre environnement à l'aide des Paramètres serveur. Utilisation d'une même paire de clés de référentiel maître pour tous les serveurs Vous pouvez vous assurer que tous les agents et serveurs McAfee epo utilisent la même paire de clés de référentiel maître dans un environnement multiserveur en utilisant les paramètres serveur. Cela consiste, dans un premier temps, à exporter la paire de clés que tous les serveurs doivent utiliser, puis à l'importer vers tous les autres serveurs de votre environnement. 1 Cliquez sur Menu Configuration Paramètres serveur, sélectionnez Clés de sécurité dans la liste Catégories de paramètres, puis cliquez sur Modifier. La page Clés de sécurité : Modifier s'affiche. 2 En regard de Paire de clés du référentiel maître local, cliquez sur Exporter la paire de clés. 3 Cliquez sur OK. La boîte de dialogue Téléchargement de fichier s'affiche. 154 McAfee epolicy Orchestrator Logiciel Guide produit

155 Communication agent-serveur Clés de sécurité 10 4 Cliquez sur Enregistrer, accédez à un emplacement accessible par les autres serveurs et dans lequel vous allez enregistrer le fichier ZIP contenant les fichiers de clés de communication sécurisée, puis cliquez sur Enregistrer. 5 En regard de l'option Importer et sauvegarder des clés, cliquez sur Importer. 6 Accédez au fichier ZIP contenant les fichiers de clés du référentiel maître exportés, puis cliquez sur Suivant. 7 Assurez vous qu'il s'agit bien des clés à importer, puis cliquez sur Enregistrer. La paire de clés du référentiel maître importé remplace la paire de clés existante sur ce serveur. Les agents commencent à utiliser la nouvelle paire de clés dès la fin de leur tâche de mise à jour suivante. Une fois la paire de clés du référentiel maître modifiée, il faut attendre la prochaine communication sécurisée agent serveur pour que l'agent utilise la nouvelle clé. Utilisation des clés de référentiel maître dans des environnements multiserveurs Vous pouvez veiller à ce que les agents utilisent le contenu émanant de n'importe quel serveur McAfee epo de votre environnement à l'aide des Paramètres serveur. Le serveur signe tout le contenu non signé qui est archivé dans le référentiel avec la clé privée du référentiel maître. Les agents utilisent les clés publiques de référentiel pour valider le contenu extrait des référentiels de votre organisation ou de sites sources McAfee. La paire de clés du référentiel maître est unique pour chaque installation d'epolicy Orchestrator. Si vous utilisez plusieurs serveurs, chacun utilise une clé différente. Si vos agents sont autorisés à télécharger du contenu qui provient de différents référentiels maîtres, vous devez faire en sorte que ce contenu soit reconnu comme étant valide par ces agents. Pour ce faire, deux options sont possibles : Utilisez la même paire de clés de référentiel maître pour tous les serveurs et agents. Configurez les agents afin qu'ils reconnaissent toutes les clés publiques de référentiel utilisées dans votre environnement. La procédure suivante permet d'exporter la paire de clés d'un serveur McAfee epo vers un serveur McAfee epo cible, sur lequel la nouvelle paire de clés est ensuite importée pour remplacer la paire existante. 1 A partir du serveur McAfee epo hébergeant la paire de clés du référentiel maître, cliquez sur Menu Configuration Paramètres serveur, sélectionnez Clés de sécurité dans la liste Catégories de paramètres, puis cliquez sur Modifier. La page Clés de sécurité : Modifier s'affiche. 2 En regard de Paire de clés du référentiel maître local, cliquez sur Exporter la paire de clés. 3 Cliquez sur OK. La boîte de dialogue Téléchargement de fichier s'affiche. 4 Cliquez sur Enregistrer, puis accédez à l'emplacement du serveur McAfee epo cible dans lequel il faut enregistrer le fichier ZIP. 5 Le cas échéant, modifiez le nom du fichier, puis cliquez sur Enregistrer. McAfee epolicy Orchestrator Logiciel Guide produit 155

156 10 Communication agent-serveur Clés de sécurité 6 A partir du serveur McAfee epo cible sur lequel vous voulez charger la paire de clés du référentiel maître, cliquez sur Menu Configuration Paramètres serveur, sélectionnez Clés de sécurité dans la liste Catégories de paramètres, puis cliquez sur Modifier. La page Clés de sécurité : Modifier s'affiche. 7 En regard de l'option Importer et sauvegarder des clés, cliquez sur Importer. 8 En regard de Sélectionner un fichier, accédez au fichier de la paire de clés maître enregistrée, sélectionnez le puis cliquez sur Suivant. 9 Si les informations de synthèse semblent correctes, cliquez sur Enregistrer. La nouvelle paire de clés maître est répertoriée dans la liste en regard de Clés de communication sécurisée agent serveur. 10 Dans la liste, sélectionnez le fichier importé lors des étapes précédentes et cliquez sur Convertir en maître. La paire de clés maître existante est remplacée par la nouvelle paire de clés que vous venez d'importer. 11 Cliquez sur Enregistrer pour terminer la procédure. Clés de communication sécurisée agent-serveur Les agents utilisent des clés de communication sécurisée agent serveur pour communiquer en toute sécurité avec le serveur. Vous pouvez configurer n'importe quelle paire de clés de communication sécurisée agent serveur en tant que paire de clés maître, qui est celle actuellement attribuée à tous les agents déployés. Les agents utilisant d'autres clés de la liste Clés de communication sécurisée agent serveur n'adopteront pas la nouvelle paire de clés maître, sauf si une tâche client de mise à jour des clés de l'agent est planifiée et exécutée. Il est important de s'assurer que tous les agents utilisent bien la nouvelle paire de clés maître avant de supprimer les anciennes. Les agents Windows antérieurs à la version 4.0 ne sont pas pris en charge. Utilisation des clés de communication sécurisée agent-serveur Ces procédures permettent d'utiliser et de gérer les clés de communication sécurisée agent serveur. 156 McAfee epolicy Orchestrator Logiciel Guide produit

157 Communication agent-serveur Clés de sécurité 10 s Gestion des clés de communication sécurisée agent-serveur, page 157 Vous pouvez générer, exporter, importer et supprimer des clés de communication sécurisée agent serveur à partir de la page Paramètres serveur. Affichage des systèmes qui utilisent une paire de clés de communication sécurisée agentserveur, page 159 Vous pouvez afficher les systèmes dont les agents utilisent une paire de clés de communication sécurisée agent serveur spécifique dans la liste Clés de communication sécurisée agent serveur. Utilisation de la même paire de clés de communication sécurisée agent-serveur pour tous les serveurs et agents, page 160 Vous devez vous assurer que tous les agents et serveurs McAfee epo utilisent la même paire de clés de communication sécurisée agent serveur. Utilisation d'une paire de clés de communication sécurisée agent-serveur différente sur chaque serveur McAfee epo, page 160 Vous pouvez utiliser une paire de clés de communication sécurisée agent serveur différente pour chaque serveur McAfee epo, dans le but de garantir que tous les agents peuvent communiquer avec les serveurs McAfee epo requis, dans un environnement où chaque serveur doit posséder une paire de clés unique. Gestion des clés de communication sécurisée agent-serveur Vous pouvez générer, exporter, importer et supprimer des clés de communication sécurisée agent serveur à partir de la page Paramètres serveur. 1 Cliquez sur Menu Configuration Paramètres serveur et sélectionnez Clés de sécurité dans la liste Catégories de paramètres. La page Clés de sécurité : Modifier s'affiche. 2 Sélectionnez l'une des actions suivantes. McAfee epolicy Orchestrator Logiciel Guide produit 157

158 10 Communication agent-serveur Clés de sécurité Action Générer et utiliser de nouvelles paires de clés de communication sécurisée agent serveur. Etapes Ces étapes permettent de générer des paires de clés de communication sécurisée agent serveur. 1 En regard de la liste Clés de communication sécurisée agent serveur, cliquez sur Nouvelle clé. Dans la boîte de dialogue, entrez le nom de la clé de sécurité. 2 Si vous voulez que les agents existants utilisent la nouvelle clé, sélectionnez la dans la liste, puis cliquez sur Convertir en maître. Les agents commencent à utiliser la nouvelle clé dès la fin de leur tâche de mise à jour suivante. Si le serveur gère des agents version 4.6, vérifiez que la version 4.6 du package de mise à jour des clés de l'agent (Agent Key Updater) est archivée dans le référentiel maître. Pour les installations de grande taille, la génération et l'utilisation de nouvelles paires de clés maîtres doivent être réservées au seul cas où vous avez des raisons valables de le faire. McAfee recommande d'effectuer cette procédure par étapes afin d'en surveiller étroitement la progression. 3 Lorsqu'aucun agent n'utilise plus l'ancienne clé, supprimez la. Dans la liste des clés, à la droite de chaque clé figure le nombre d'agents qui l'utilisent actuellement. 4 Sauvegardez toutes les clés. Exporter des clés de communication sécurisée agent serveur. Ces étapes permettent d'exporter des clés de communication sécurisée agent serveur à partir d'un serveur McAfee epo vers un autre serveur McAfee epo, afin que les agents puissent accéder à ce nouveau serveur McAfee epo. 1 Dans la liste Clés de communication sécurisée agent serveur, sélectionnez une clé, puis cliquez sur Exporter. La boîte de dialogue Exporter la clé de communication sécurisée agent serveur s'ouvre. 2 Cliquez sur OK. Votre navigateur vous invite à télécharger le fichier sr<nomserveur>.zip dans l'emplacement spécifié. Selon le navigateur Internet que vous utilisez, ce fichier pourra être automatiquement enregistré à l'emplacement par défaut que vous avez spécifié pour les téléchargements. Importer des clés de communication sécurisée agent serveur. Cette procédure permet d'importer des clés de communication sécurisée agent serveur préalablement exportées à partir d'un autre serveur McAfee epo. Elle permet à des agents de ce dernier serveur d'accéder au serveur McAfee epo sur lequel les clés sont importées. 1 Cliquez sur Importer. La page Importer des clés s'affiche. 2 Accédez à la clé à l'emplacement où vous l'avez enregistrée (sur le Bureau, par défaut). Sélectionnez la, puis cliquez sur Ouvrir. 3 Cliquez sur Suivant puis passez en revue les informations indiquées dans la page Importer des clés. 4 Cliquez sur Enregistrer. 158 McAfee epolicy Orchestrator Logiciel Guide produit

159 Communication agent-serveur Clés de sécurité 10 Action Convertir en maître une paire de clés de communication sécurisée agent serveur. Etapes Cette procédure vous permet de modifier la paire de clés désignée comme paire maître dans la liste Clés de communication sécurisée agent serveur. Appliquez la après avoir importé ou généré une nouvelle paire de clés. 1 Dans la liste Clés de communication sécurisée agent serveur, sélectionnez une clé, puis cliquez sur Convertir en maître. 2 Créez une tâche de mise à jour pour les agents, à exécuter immédiatement, afin que les agents soient mis à jour au cours de la communication agent serveur suivante. Assurez vous que le package de mise à jour des clés de l'agent (Agent Key Updater) est archivé dans le référentiel maître et a été répliqué dans tous les référentiels distribués managés par epolicy Orchestrator. Les agents commencent à utiliser la nouvelle paire de clés dès la fin de leur tâche de mise à jour suivante. A tout moment, vous pouvez vérifier les agents qui utilisent les diverses paires de clés de communication sécurisée agent serveur répertoriées dans la liste. 3 Sauvegardez toutes les clés. Supprimer des clés de communication sécurisée agent serveur. Ne supprimez pas les clés actuellement utilisées par des agents. En effet, ces agents ne pourraient plus communiquer avec le serveur. 1 Dans la liste Clés de communication sécurisée agent serveur, sélectionnez la clé à supprimer, puis cliquez sur Supprimer. La boîte de dialogue Supprimer la clé s'affiche. 2 Cliquez sur OK pour supprimer la paire de clés du serveur. Affichage des systèmes qui utilisent une paire de clés de communication sécurisée agent-serveur Vous pouvez afficher les systèmes dont les agents utilisent une paire de clés de communication sécurisée agent serveur spécifique dans la liste Clés de communication sécurisée agent serveur. Après avoir converti une paire de clés spécifique en maître, vous souhaitez peut être afficher les systèmes qui utilisent toujours la paire de clés précédente. Ne supprimez pas une paire de clés avant d'être certain qu'aucun agent ne l'utilise. 1 Cliquez sur Menu Configuration Paramètres serveur, sélectionnez Clés de sécurité dans la liste Catégories de paramètres, puis cliquez sur Modifier. La page Clés de sécurité : Modifier s'affiche. 2 Dans la liste Clés de communication sécurisée agent serveur, sélectionnez une clé, puis cliquez sur Afficher les agents. La page Systèmes utilisant cette clé apparaît. Cette page répertorie tous les systèmes dont les agents utilisent la clé sélectionnée. McAfee epolicy Orchestrator Logiciel Guide produit 159

160 10 Communication agent-serveur Clés de sécurité Utilisation de la même paire de clés de communication sécurisée agent-serveur pour tous les serveurs et agents Vous devez vous assurer que tous les agents et serveurs McAfee epo utilisent la même paire de clés de communication sécurisée agent serveur. Si votre environnement comporte un grand nombre de systèmes managés, McAfee recommande d'effectuer ces opérations par étapes afin de surveiller les mises à jour des agents. La procédure décrite ci dessous permet à tous les agents et serveurs McAfee epo d'utiliser la même paire de clés de communication sécurisée agent serveur. 1 Créez une tâche de mise à jour de l'agent. 2 Exportez les clés requises depuis le serveur McAfee epo sélectionné. 3 Importez les clés exportées vers tous les autres serveurs. 4 Convertissez la clé importée en clé maître sur tous les serveurs. 5 Effectuez deux appels de réactivation de l'agent. 6 Dès que tous les agents utilisent les nouvelles clés, supprimez les clés inutilisées. 7 Sauvegardez toutes les clés. Utilisation d'une paire de clés de communication sécurisée agent-serveur différente sur chaque serveur McAfee epo Vous pouvez utiliser une paire de clés de communication sécurisée agent serveur différente pour chaque serveur McAfee epo, dans le but de garantir que tous les agents peuvent communiquer avec les serveurs McAfee epo requis, dans un environnement où chaque serveur doit posséder une paire de clés unique. Les agents ne peuvent communiquer qu'avec un seul serveur à la fois. Le serveur McAfee epo peut avoir plusieurs clés pour communiquer avec des agents différents, mais il n'en va pas de même pour les agents. Ceux ci ne peuvent pas avoir plusieurs clés pour communiquer avec plusieurs serveurs McAfee epo. 1 Depuis chaque serveur McAfee epo de votre environnement, exportez la paire de clés de communication sécurisée agent serveur maître vers un emplacement temporaire. 2 Importez les différentes paires de clés sur chaque serveur McAfee epo. Sauvegarde et restauration des clés Sauvegardez régulièrement toutes les clés de sécurité et effectuez toujours une sauvegarde avant d'apporter une quelconque modification aux paramètres de gestion des clés. Il est également recommandé de les enregistrer dans un emplacement réseau sécurisé, de telle sorte qu'elles puissent être restaurées facilement dans l'éventualité où certaines clés situées sur le serveur McAfee epo seraient irrécupérables. 160 McAfee epolicy Orchestrator Logiciel Guide produit

161 Communication agent-serveur Clés de sécurité 10 1 Cliquez sur Menu Configuration Paramètres serveur, sélectionnez Clés de sécurité dans la liste Catégories de paramètres, puis cliquez sur Modifier. La page Clés de sécurité : Modifier s'affiche. 2 Sélectionnez l'une des actions suivantes. Action Sauvegarder toutes les clés de sécurité. Etapes 1 Cliquez ensuite sur Tout sauvegarder au bas de la page. La boîte de dialogue Sauvegarder la banque de clés s'affiche. 2 Vous pouvez soit entrer un mot de passe pour chiffrer le fichier ZIP de la banque de clés, soit cliquer sur OK pour enregistrer les fichiers sous la forme de texte non chiffré. 3 Dans la boîte de dialogue de téléchargement de fichier, cliquez sur Enregistrer pour créer un fichier ZIP de toutes les clés de sécurité. La boîte de dialogue Enregistrer sous s'affiche. 4 Accédez à l'emplacement réseau sécurisé où vous souhaitez enregistrer le fichier ZIP, puis cliquez sur Enregistrer. Restaurer les clés de sécurité. 1 Cliquez ensuite sur Tout restaurer au bas de la page. La page Restaurer les clés de sécurité s'affiche. 2 Accédez au fichier ZIP contenant les clés de sécurité, sélectionnez le puis cliquez sur Suivant. La page Synthèse de l'assistant Restaurer les clés de sécurité s'ouvre. 3 Accédez aux clés qui doivent remplacer votre clé existante, puis cliquez sur Suivant. 4 Cliquez sur Restaurer. La page Clés de sécurité : Modifier s'affiche à nouveau. 5 Accédez à l'emplacement réseau sécurisé où vous souhaitez enregistrer le fichier ZIP, puis cliquez sur Enregistrer. Restaurer les clés de sécurité à partir d'un fichier de sauvegarde. 1 Cliquez ensuite sur Tout restaurer au bas de la page. La page Restaurer les clés de sécurité s'affiche. 2 Accédez au fichier ZIP contenant les clés de sécurité, sélectionnez le puis cliquez sur Suivant. La page Synthèse de l'assistant Restaurer les clés de sécurité s'ouvre. 3 Recherchez le fichier ZIP de sauvegarde et sélectionnez le, puis cliquez sur Suivant. 4 Cliquez ensuite sur Tout restaurer au bas de la page. L'Assistant Restaurer les clés de sécurité s'ouvre. 5 Recherchez le fichier ZIP de sauvegarde et sélectionnez le, puis cliquez sur Suivant. 6 Vérifiez si les clés contenues dans le fichier sont bien celles qui doivent remplacer vos clés existantes, puis cliquez sur Tout restaurer. McAfee epolicy Orchestrator Logiciel Guide produit 161

162 10 Communication agent-serveur Clés de sécurité 162 McAfee epolicy Orchestrator Logiciel Guide produit

163 11 Gestionnaire de logiciels Utilisez le gestionnaire de logiciels pour passer en revue et acquérir des logiciels et des composants logiciels McAfee. Sommaire Présentation du gestionnaire de logiciels Archivage, mise à jour et suppression de logiciels à l'aide du gestionnaire de logiciels Vérification de la compatibilité des produits Présentation du gestionnaire de logiciels Grâce au gestionnaire de logiciels, vous n'êtes plus obligé d'accéder au site web de téléchargement de produits McAfee pour obtenir un nouveau logiciel McAfee et des mises à jour de logiciels. Vous pouvez utiliser le gestionnaire de logiciels pour télécharger les éléments suivants : Logiciels sous licence Logiciels d'évaluation Mises à jour de logiciels Documentation sur les produits Il n'est pas possible de télécharger les fichiers DAT et les moteurs à partir du gestionnaire de logiciels. Logiciels sous licence Les logiciels sous licence représentent tous les logiciels McAfee achetés par votre entreprise. Lorsque vous affichez le gestionnaire de logiciels dans la console epolicy Orchestrator, tous les logiciels sous licence de votre société qui ne sont pas encore installés sur votre serveur sont affichés dans la catégorie de produits Logiciels non archivés. Le nombre affiché en regard de chaque sous catégorie dans la liste Catégories de produits représente le nombre de produits disponibles. Logiciels d'évaluation Les logiciels d'évaluation sont des logiciels pour lesquels votre entreprise ne possède pas encore de licence. Vous pouvez installer les logiciels d'évaluation sur votre serveur, mais il se peut que les fonctionnalités offertes restent limitées tant que vous n'avez pas acheté la licence du produit. Mises à jour de logiciels Lorsqu'une nouvelle mise à jour pour le logiciel que vous utilisez est distribuée, vous pouvez utiliser le gestionnaire de logiciels pour archiver les nouveaux packages et les nouvelles extensions. Les mises à jour de logiciels disponibles sont répertoriées dans la catégorie Mises à jour disponibles. McAfee epolicy Orchestrator Logiciel Guide produit 163

164 11 Gestionnaire de logiciels Archivage, mise à jour et suppression de logiciels à l'aide du gestionnaire de logiciels Documentation sur les produits La documentation produit, nouvelle ou mise à jour, peut être obtenue par l'intermédiaire du gestionnaire de logiciels. Les extensions d'aide peuvent être installées automatiquement. La documentation au format PDF et HTML, par exemple les guides produit et les notes de distribution, peut également être téléchargée à partir du gestionnaire de logiciels. A propos des dépendances entre composants logiciels De nombreux logiciels que vous pouvez installer pour les utiliser avec votre serveur McAfee epo ont des dépendances prédéfinies par rapport à d'autres composants. Les dépendances pour les extensions de produit sont installées automatiquement. Pour tous les autres composants, vous devez vérifier la liste des dépendances à la page des informations sur le composant, et les installer au préalable. Archivage, mise à jour et suppression de logiciels à l'aide du gestionnaire de logiciels A partir du gestionnaire de logiciels, vous pouvez archiver, mettre à jour et supprimer des composants de produits managés McAfee de votre serveur. Les logiciels sous licence et les versions d'évaluation sont accessibles dans le gestionnaire de logiciels. La disponibilité des logiciels ainsi que leur catégorie, telle que Sous licence ou Evaluation, dépendent de votre clé de licence. Pour en savoir plus, contactez votre administrateur. 1 Cliquez sur Menu Logiciels Gestionnaire de logiciels. 2 Dans la liste Catégories de produits de la page Gestionnaire de logiciels, sélectionnez une des catégories suivantes, ou utilisez la zone de recherche pour trouver votre logiciel : Mises à jour disponibles Répertorie toutes les mises à jour disponibles de composants logiciels sous licence déjà installés ou archivés sur ce serveur epolicy Orchestrator. Logiciels archivés Affiche tous les logiciels (qu'ils soient Sous licence ou en version d'evaluation) installés ou archivés sur ce serveur. Si vous avez récemment ajouté la licence d'un produit et que celui ci apparaît comme Evaluation, cliquez sur Actualiser pour mettre à jour le nombre de licences et afficher le produit comme Sous licence sous Logiciels archivés. Logiciels non archivés Affiche tous les logiciels disponibles qui ne sont pas installés sur ce serveur. Logiciels (par étiquette) Affiche les logiciels par fonction, tels que décrits par les suites de produits McAfee. 3 Lorsque vous avez trouvé le logiciel correct, cliquez sur : Télécharger pour télécharger la documentation produit sur un emplacement de votre réseau. Archiver pour archiver une extension de produit ou un package sur ce serveur. 164 McAfee epolicy Orchestrator Logiciel Guide produit

165 Gestionnaire de logiciels Vérification de la compatibilité des produits 11 Mettre à jour pour mettre à jour un package ou une extension actuellement installés ou archivés sur ce serveur. Supprimer pour désinstaller un package ou une extension actuellement installés ou archivés sur ce serveur. 4 Dans la page Récapitulatif de l'archivage des logiciels, passez en revue les détails du produit et l'accord de licence utilisateur final, puis cliquez sur OK pour terminer l'opération. Vérification de la compatibilité des produits Vous pouvez configurer la fonction Vérification de la compatibilité des produits de manière à télécharger automatiquement une liste de compatibilité des produits à partir de McAfee. Cette liste répertorie les produits qui ne sont plus compatibles dans votre environnement epolicy Orchestrator. epolicy Orchestrator effectue cette vérification chaque fois que l'installation et le démarrage d'une extension risquent de placer votre serveur dans un état de vulnérabilité. Cette vérification est effectuée dans les situations suivantes : Lors d'une mise à niveau à partir d'une version précédente d'epolicy Orchestrator vers la version 5.0 ou ultérieure. Lors de l'installation d'une extension à partir du menu Extensions. Avant l'extraction d'une nouvelle extension à partir du gestionnaire de logiciels. Lors de la réception d'une nouvelle liste de compatibilité de la part de McAfee. Lors de l'exécution de l'utilitaire de migration de données. Pour plus de détails, consultez le Guide d'installation de McAfee epolicy Orchestrator Vérification de la compatibilité des produits Cette vérification de la compatibilité des produits utilise un fichier XML appelé «liste de compatibilité des produits» pour déterminer les extensions de produits dont il est avéré qu'elles ne sont pas compatibles avec une version d'epolicy Orchestrator. Une liste initiale est incluse dans le package logiciel epolicy Orchestrator téléchargé depuis le site web de McAfee. Lorsque vous exécutez le programme d'installation epolicy Orchestrator au cours d'une installation ou d'une mise à niveau, epolicy Orchestrator récupère automatiquement la liste la plus récente des extensions compatibles à partir d'une source McAfee approuvée sur Internet. Si la source Internet n'est pas disponible ou si la liste ne peut pas être vérifiée, epolicy Orchestrator utilise la dernière version disponible. Le serveur epolicy Orchestrator met à jour cette liste de compatibilité des produits (un fichier de petite taille) en arrière plan une fois par jour. Actions correctives Lorsque vous consultez la liste des extensions incompatibles depuis le programme d'installation, ou l'utilitaire de compatibilité pour la mise à niveau epolicy Orchestrator, vous êtes averti, le cas échéant, de la disponibilité d'une extension de remplacement connue. Les situations suivantes peuvent se produire lors d'une mise à niveau : McAfee epolicy Orchestrator Logiciel Guide produit 165

166 11 Gestionnaire de logiciels Vérification de la compatibilité des produits Une extension bloque la mise à niveau et doit être supprimée ou remplacée avant la poursuite de l'opération. Une extension est désactivée et vous devrez la mettre à jour une fois la mise à niveau d'epolicy Orchestrator terminée. Pour plus d'informations, reportez vous à la section Extensions bloquées ou désactivées. Désactivation des mises à jour automatiques Vous pouvez désactiver les mises à jour automatiques de la liste de compatibilité des produits pour empêcher le téléchargement d'une nouvelle liste. Le téléchargement est effectué en arrière plan, ou lorsque le contenu du gestionnaire de logiciels est actualisé. Ce paramètre peut s'avérer particulièrement utile si votre serveur McAfee epo ne dispose pas d'un accès Internet entrant. Pour plus d'informations, reportez vous à la section Modification du téléchargement de la liste de compatibilité des produits. La réactivation du paramètre de téléchargement de la liste de compatibilité des produits permet également de réactiver les mises à jour automatiques de la liste à partir du gestionnaire de logiciels. Utilisation d'une liste de compatibilité des produits téléchargée manuellement Vous pouvez utiliser une liste de compatibilité des produits téléchargée manuellement si votre serveur epolicy Orchestrator ne dispose pas d'un accès à Internet, par exemple. Vous pouvez télécharger manuellement la liste dans les situations suivantes : Lorsque vous installez epolicy Orchestrator. Pour plus d'informations, reportez vous à la section Extensions bloquées ou désactivées. Lorsque vous utilisez Paramètres serveur Liste de compatibilité des produits pour charger manuellement une liste de compatibilité des produits. Cette liste prend effet immédiatement après le chargement. Désactivez la mise à jour automatique de la liste de compatibilité des produits pour éviter de remplacer la liste téléchargée manuellement. Pour plus d'informations, reportez vous à la section Modification du téléchargement de la liste de compatibilité des produits. Cliquez sur ProductCompatibilityList.xml pour télécharger manuellement la liste. Extensions bloquées ou désactivées Si une extension est bloquée selon la liste de compatibilité des produits, elle empêche la mise à niveau du logiciel epolicy Orchestrator. Si une extension est désactivée, la mise à niveau n'est pas bloquée. Toutefois, l'extension n'est pas initialisée après la mise à niveau tant qu'une extension de remplacement connue n'est pas installée. Options de ligne de commande pour l'installation de la liste de compatibilité des produits Vous pouvez utiliser les options de ligne de commande suivantes avec la commande setup.exe pour configurer les téléchargements de la liste de compatibilité des produits. 166 McAfee epolicy Orchestrator Logiciel Guide produit

167 Gestionnaire de logiciels Vérification de la compatibilité des produits 11 Option setup.exe DISABLEPRODCOMPATUPDATE=1 setup.exe PRODCOMPATXML=<nomfichier_complet_comportant_le_chemin> Définition Désactive le téléchargement automatique de la liste de compatibilité des produits à partir du site web de McAfee. Spécifie un autre fichier de liste de compatibilité des produits. Les deux options de ligne de commande peuvent être utilisées ensemble dans une chaîne de commande. Reconfiguration du téléchargement de la liste de compatibilité des produits Vous pouvez télécharger la liste de compatibilité des produits à partir d'internet ou utiliser une liste téléchargée manuellement dans le but d'identifier les produits qui ne sont plus compatibles dans votre environnement epolicy Orchestrator. Avant de commencer Toute liste de compatibilité des produits téléchargée manuellement doit être un fichier XML valide fourni par McAfee. Toute modification apportée au fichier XML de liste de compatibilité des produits entraîne l'invalidation du fichier. 1 Cliquez sur Menu Configuration Paramètres serveur, sélectionnez Liste de compatibilité des produits dans les Catégories de paramètres, puis cliquez sur Modifier. La liste des extensions incompatibles désactivées s'affiche dans un tableau sur la première page. 2 Cliquez sur Désactivé pour arrêter les téléchargements automatiques et réguliers de la liste de compatibilité des produits de McAfee. 3 Cliquez sur Parcourir et recherchez Charger manuellement la liste de compatibilité des produits, puis cliquez sur Enregistrer. Vous avez à présent désactivé le téléchargement automatique de la liste de compatibilité des produits. Votre serveur McAfee epo utilise donc la même liste de compatibilité des produits jusqu'à ce que vous chargiez une nouvelle liste, ou jusqu'à ce que vous connectiez le serveur à Internet et activiez le téléchargement automatique. McAfee epolicy Orchestrator Logiciel Guide produit 167

168 11 Gestionnaire de logiciels Vérification de la compatibilité des produits 168 McAfee epolicy Orchestrator Logiciel Guide produit

169 12 Déploiement de produits epolicy Orchestrator simplifie le processus de déploiement de produits de sécurité sur les systèmes managés du réseau en fournissant une interface utilisateur pour configurer et planifier les déploiements. Vous pouvez déployer des produits à l'aide d'epolicy Orchestrator en suivant deux procédures : Projets de déploiement de produits (introduits dans McAfee epo version 5.0), qui simplifient le processus de déploiement et fournissent des fonctionnalités supplémentaires Tâches et objets tâche client créés et gérés individuellement (Pour plus d'informations sur cette méthode, consultez la section Tâches de déploiement dans la section Tâches client et serveur.) Sommaire Choix de la méthode de déploiement de produits Avantages des projets de déploiement de produits Explications relatives à la page Déploiement de produits Affichage des journaux d'audit des déploiements de produits Déploiement de produits à l'aide d'un projet de déploiement de produits Surveillance et modification des projets de déploiement Choix de la méthode de déploiement de produits Le choix de la méthode de déploiement de produits à suivre dépend des options de configuration déjà prises. Les projets de déploiement de produits offrent un workflow simplifié et des fonctionnalités supplémentaires pour le déploiement de produits sur vos systèmes managés epolicy Orchestrator. Toutefois, vous ne pouvez pas utiliser un projet de déploiement de produits pour agir sur ou gérer des objets tâche client et des tâches créés avec une version du logiciel antérieure à la version 5.0. Si vous souhaitez conserver et continuer à utiliser les tâches client et les objets créés sans l'aide d'un projet de déploiement de produits, utilisez la bibliothèque des objets tâche client et les interfaces d'affectation. Vous pouvez conserver ces tâches et objets existants tout en utilisant l'interface projet de déploiement de produits pour créer de nouveaux déploiements. Pour plus d'informations sur le déploiement de produits à l'aide d'objets tâche client, consultez la section Tâches de déploiement dans la section Tâches client et serveur. McAfee epolicy Orchestrator Logiciel Guide produit 169

170 12 Déploiement de produits Avantages des projets de déploiement de produits Avantages des projets de déploiement de produits Les projets de déploiement de produits simplifient le déploiement des produits de sécurité sur vos systèmes managés en réduisant le temps et la charge nécessaires à la planification et à la maintenance des déploiements au sein de votre réseau. Les projets de déploiement de produits optimisent le déploiement en regroupant un grand nombre d'étapes nécessaires à la création et à la gestion des tâches de déploiement de produits prises isolément. Ils offrent également les possibilités suivantes : Exécuter un déploiement de manière continue Vous pouvez configurer votre projet de déploiement de manière à ce que les produits soient automatiquement déployés lorsque des nouveaux systèmes répondant à vos critères sont ajoutés. Arrêter un déploiement en cours d'exécution Si, pour une raison quelconque, vous devez arrêter un déploiement déjà lancé, vous avez la possibilité de le faire. Vous pouvez ensuite poursuivre ce déploiement lorsque vous êtes prêt. Désinstaller un produit déployé précédemment Lorsqu'un projet de déploiement est terminé, si vous souhaitez désinstaller le produit associé des systèmes affectés à votre projet, sélectionnez simplement l'option Désinstaller dans la liste Action. Le tableau suivant compare les deux méthodes de déploiement de produits : les objets tâche client individuels et les projets de déploiement de produits. Tableau 12-1 Comparaison des méthodes de déploiement de produits Objets tâche client Comparaison Nom et description Identique Nom et description Collecte des logiciels produits à déployer Utilisation des marqueurs pour sélectionner les systèmes cibles Identique Améliorée dans les projets de déploiement de produits Projet de déploiement de produits Collecte des logiciels produits à déployer Sélectionner lorsque le déploiement se produit : Continu Les déploiements continus utilisent des groupes ou des marqueurs de l'arborescence des systèmes, ce qui vous permet de déplacer des systèmes dans ces groupes ou d'affecter des marqueurs aux systèmes afin que le déploiement soit appliqué à ces systèmes. Fixe Les déploiements fixes comprennent une série de systèmes définis. Les systèmes sont sélectionnés via l'arborescence des systèmes ou des tableaux de résultats de requêtes Systèmes managés. Planification du déploiement Non disponible Non disponible Similaire Nouveauté dans les projets de déploiement de produits Nouveauté dans les projets de déploiement de produits La planification simplifiée vous permet de lancer immédiatement le déploiement ou de le lancer à une heure planifiée. Surveillance de l'état du déploiement en cours, par exemple les déploiements planifiés mais non démarrés, en cours d'exécution, arrêtés, interrompus ou terminés Affichage d'un instantané historique des données relatives au nombre de systèmes destinataires du déploiement Pour les déploiements fixes uniquement 170 McAfee epolicy Orchestrator Logiciel Guide produit

171 Déploiement de produits Avantages des projets de déploiement de produits 12 Tableau 12-1 Comparaison des méthodes de déploiement de produits (suite) Objets tâche client Non disponible Non disponible Comparaison Nouveauté dans les projets de déploiement de produits Nouveauté dans les projets de déploiement de produits Projet de déploiement de produits Affichage de l'état des déploiements sur un système individuel, par exemple les systèmes installés, en attente et en échec Modification d'une affectation de déploiement existante à l'aide des fonctions suivantes : Création pour la modification d'un déploiement existant Modifier Dupliquer Supprimer Pause / Arrêter le déploiement Continuer / Reprendre le déploiement Désinstaller McAfee epolicy Orchestrator Logiciel Guide produit 171

172 12 Déploiement de produits Explications relatives à la page Déploiement de produits Explications relatives à la page Déploiement de produits La page Déploiement de produits vous permet de créer, de surveiller et de gérer vos projets de déploiement de manière centralisée. La page est divisée en deux zones principales (zones 1 et 2 dans l'image ci dessous). La zone 2 est elle même divisée en cinq zones plus petites. Figure 12-1 Explications relatives à la page Déploiement de produits Ces zones principales sont les suivantes : 1 Synthèse du déploiement Répertorie les déploiements de produits et vous permet de les filtrer par type et par état. Vous pouvez également consulter rapidement leur progression. Lorsque vous cliquez sur un déploiement, les détails le concernant s'affichent dans la zone des détails du déploiement. Une icône en forme de point d'exclamation indique soit qu'une désinstallation du déploiement est en cours, soit que le package utilisé par le déploiement a été déplacé ou supprimé. 2 Détails du déploiement Affiche les détails du déploiement sélectionné et comporte les zones suivantes : 172 McAfee epolicy Orchestrator Logiciel Guide produit