Aide : Page 2 à 3 : AudiParc Recommandations IMPORTANTES Page 4 : AudiParc Objectifs Page 5 : AudiParc Principe de fonctionnement Page 6 à 8 : AudiParc Installation Déployement Page 9 à 13 : AudiParc Utilisation Administration Page 9 : Page 9 et 10 : Utilisation Module Administration Page 11 à 13 : Station personnalisation du suivi
Avant l utilisation des différents modules AudiParc 1) vous devez mettre à jour les fonctions WSH et WMI pour les systèmes antérieurs à XP et 2003. WSH W98 & WMe: Wmi W98 & WMe : Wmi NT4 : http://tr.equasys.free.fr/audit/instfiles/scr56fr.exe http://tr.equasys.free.fr/audit/instfiles/wmi9x.exe http://tr.equasys.free.fr/audit/instfiles/wmint4.exe 2) FERMER toutes les fenêtres Internet Explorer et modifier la configuration IE6 comme suit : 3) Pour certain Antivirus-FireWall il est préférable de désactiver provisoirement le moniteur temps réel et éventuellement exclure du scan les extension VBS (Kaspersky) 4) Lancer AudiParc http://tr.equasys.free.fr et exécuter le module souhaité. En raison des sécurités des stations XP les fenêtres suivantes vont s afficher!
TOUJOURS CHOISIR «OUVRIR» TOUJOURS CHOISIR «Exécuter» TOUJOURS CHOISIR «Débloquer» et/ou «Toujours Autoriser» 5) Le blocage des scripts et leurs «Autorisations» peut parfois nécessiter de relancer le module une nouvelle fois!
Objectif 1 Centraliser un ensemble d informations utiles de différents parcs Informatiques clients. AudiParc utilise une base MySql, ce qui permet une centralisation sécurisée des informations et un accès de toutes personnes habilités d un poste quelconque connecté à Internet. Informations collectées : IP Public du site, Date d installation, Installation Lan ou Monoposte, Nom de l entreprise ou du site, Téléphone du site, Compte Administrateur, Mot passe Administrateur, Email du contact site, FAI, Compte connexion Fai, Mot passe Cnx Fai, Compte Mail Fai, Mot passe Mail, Contact Suivi, 10 périphériques réseau, Modèle, @IP, S/N, Compte d accès, Mot passe (Routeur, Copieur ), 8 Logiciels, extensions garantie sous contrat de renouvellement (Produit, Nbr utilsateurs, S/N, Date d expiration, Contact renouvellement), Observations. Objectif- 2 L audit complet des stations, de manière automatique et transparente. Audit du hardware, des périphériques, des séquences de démarrage, des services et des applications installées sur la station. Compatible avec Windows 98, Me, NT4, 2000, XP et 2003. Objectif- 3 Suivi pour maintenance préventive, avec analyses des performances Disques, Mémoires et réseau, suivi des espaces Disques, Mémoires et Processeurs utilisés, rapport d erreurs NTFS, Services et Applications. Déclenchement d alerte selon les seuils configurés et rapport par Email au contact suivi lorsqu un incident est détecté. Suivi du traitement des incidents. Possibilité d activer ou non le suivi et exclusion de plages horaires. Compatibilité Windows XP, 2003, partielle avec Windows 2000. Objectif- 4 Possibilité pour les Administrateurs d agir à distance sur les stations clients. Modifier les réglages de suivi, demander un nouvel Audit, afficher un message sur la station, exécuter une action spécifique sur la station Résultat de l action demandée par Email et(ou) fichier joint. Objectif- 5 Suivi des logiciels ou options sous contrat de renouvellement et alerte par Email au contact renouvellement 30 jours avant expiration. Suivi des Emails par Accusé de Réception. Objectif- 6 Centralisation sécurisée sur Internet des différents outils AudiParc pour un accès simple quelque soit le lieu et le site. Interface d administration simple et bonne visibilité de l ensemble des informations collectées. Possibilité de rapport d impression et export CSV. Objectif- 7 Audit ponctuel sans accès de la base de données pour maintenance et diagnostique de station sur ou hors site. Rapport d impression et export CSV. Objectif- 8 Utilisation minimum des ressources de la station client du module résident Client AudiParc pour ne pas altérer les performances système.
AudiParc Principe de fonctionnement Thierry Renard 05-2006 Serveur ou poste Il héberge les modules d intégration d audits à la base de donnée, le suivi des renouvellements des logiciels sous licence et la gestion des alertes des stations clients. Site Master (distributeur) Contact Renouvellement (Peut être différent pour chaque site, entreprise et produit) Accusé de réception pour prise en compte du renouvellement des contrats de licence. Notification au contact Renouvellement de l expiration des produits sous licence Evolution et suivi d une alerte client via Email Notification au contact Suivi des alertes des stations clients Insertion et Suivi des Alertes clients Insertion ou MàJ Audits clients Récupération des Alertes Stations Clients Récupération des Audits Stations Clients Station en test Audit ponctuel sans insertion dans la base de donnée Edition de rapport et export CSV Contact Suivi (Le contact Suivi peut être différent pour chaque site ou entreprise) Station(s) Administration Accessible de tous postes connectés sur Internet. Accès sécurisé. Aucune installation en locale Consultation, MàJ des informations clients et des paramètres de suivi des stations AudiParc Base de Données sécurisée MySQL Internet Dépose de demande pour un nouvel Audit d une station spécifique Paramétrage et réglage du suivi des stations clients Dépose de demande d action spécifique sur une station client. (Reboot, Message ) Client AudiParc : Audit initial, suivi de la station si activé et action spécifique à la demande de l administrateur AudiParc AudiParc Site FTP clients Client AudiParc Client AudiParc Site client(x) Client AudiParc Station isolée Installation du site client via Internet (Protégé par mot de passe) Déploiement du module client Audit automatique par Login Script ou stratégie de groupe. Mise à jour automatique du client via Internet. Fonctionnement avec Firewall XP Activation ou non du suivi station et possibilité de différents réglages des éléments suivis. Utilisation des ressources machine minime. Site client(1) AudiParc Thierry Renard 05-2006
Procédure d installation : IMPORTANT! Vous devez au préalable désactiver le moniteur temps réel de votre antivirus, de votre antispyware!!! Dans les propriétés avancées de votre Explorer Internet, section «Sécurité» cocher «Autoriser le contenu actif à s exécuter dans les fichiers sur la zone Ordinateur local.» «Autoriser le logiciel à s exécuter ou à s installer même si la signature n est pas valide.» Sur un réseau installer à partir d un serveur ou d une station (XP) ayant le Partage Fichier actif. 1) Dans IE exécuter le lien suivant : http://tr.equasys.free.fr et choisir «Installer» 2) Saisir le Nom d utilisateur autorisé et le mot de passe 3) Cliquez sur le bouton «Installation» 4) A la question «Voulez-vous ouvrir ou enregistrer ce fichier» choisir OUVRIR 5) Puis choisir EXECUTER à la fenêtre suivante
6) Patienter, puis saisir les informations du site lorsque la fenêtre principale d installation apparaît. (Eviter les accents et caractères spéciaux) Le champ «Entreprise» est obligatoire. Le champ «Contact Suivi» est l adresse Email du technicien qui recevra les alertes d incidents si le suivi est activé pour les stations de ce site. Le champ «Contact renouvellement» est l adresse Email du commercial ou du responsable informatique de ce site pour le produit sélectionné. (Sauf le nom d Entreprise, les autres champs sont modifiables ultérieurement dans le module d Administration). 7) Valider une fois les informations saisies. Le module d installation va créer un dossier partagé «Audit» sur le poste (Considéré comme poste principal de ce site, il est donc conseillé de faire cette installation à partir d un serveur si il en existe un sur le site). Dans ce dossier seront présents le module client AudiParc, le fichier «entreprise.txt» et le module de déploiement des clients du réseau «instclt.vbs». Puis l audit sera fait automatique sur le serveur ou station de l installation. Une clé de registre «Run» sera configurée pour le démarrage du client audit au lancement de Windows. Si pendant l installation le SP2 ou votre antivirus/firewall vous demande d accepter les scripts VBS choisir «Toujours Autoriser».
8) A la fin de l installation une fenêtre d informations vous proposera de télécharger les correctifs WMI et WSH pour mise à jour des systèmes anciens (W98, WinMe, NT4, W2k). Si sur votre réseau vous disposez de ces systèmes télécharger ces correctifs dans le dossier partagé «Audit». Vous devrez installer ces correctifs sur les stations en W98, WinMe, NT4 et W2k AVANT le déploiement du client AudiParc. 9) Installation et déploiement sur les stations du réseau. Vous avez plusieurs méthodes possibles : vous pouvez exécuter au moins un fois des stations le module «Instclt.vbs» se trouvant sur le partage réseau du serveur «Audit». Ajouter la commande «\\votreserveur\audit\instclt.vbs» dans une stratégie de groupe (Domaine Active Directory) d ouverture de session des utilisateurs du domaine ou d une unité d organisation particulière. Ajouter la commande «\\VotreServeur\audit\instclt.vbs» dans le profil d ouverture de session des utilisateurs du réseau. Lors de la première installation, il est souhaitable de vérifier sur chaque station ou de prévenir les utilisateurs (XP SP2, Firwall, Antivirus ) qu ils devront autoriser les scripts AudiParc sur leur station et choisir «Toujours Autoriser» pour un bon fonctionnement ultérieur. Le module instclt.vbs vérifie si l installation de la station a déjà été effectué, si ce n est pas le cas il configure le lancement automatique dans la base de registre et exécute le client AudiParc. Stratégie de Groupe. Script d ouverture de session utilisateur.
Utilisation du client AudiParc. Le module client effectue l audit matériel, des applications installées, des services et des options de démarrage de programme de la station lors du premier lancement. Le module est résident en mémoire, totalement transparent pour l utilisateur, il se charge au démarrage de la station (Run) et s exécute depuis le dossier partagé du «serveur» du réseau. Dans le cas d une installation monoposte il est copié dans le dossier local «c:\repaudit». Sur la station un dossier «c:\repaudit» est créé, et des fichiers d informations sont également créés entreprise.txt : information sur l entreprise cltaudit.log : fichier de log du client AudiParc de la station suivi.log : fichier d erreurs détectés sur la station (Si suivi activé) savcpt.log : fichier compteur pour le suivi sav.inf : fichier configuration du suivi audit.ok : fichier flag pour vérification de l audit station 3 fichiers.evt correspondant à la sauvegarde des jnx d événements de la station L utilisation des ressources machine du client AudiParc est minime, par défaut tous les 60mns, le module vérifie qu un nouvel audit n a pas été demandé par l administrateur ou le technicien habilité, il vérifie qu aucune «action» spécifique ne lui a été demandé, il vérifie si le suivi a été activé/désactivé, si la configuration du suivi est modifiée. Ensuite si le suivi est activé, il va effectuer les analyses configurées. Si une analyse configurée est vue 3 fois de suite comme négative, une alerte est alors émise vers le contact suivi pour cette entreprise. Utilisation du module Administration AudiParc Dans le module d administration, l administrateur, le technicien habilité pourront afficher les informations des entreprises, consulter les audits des stations et personnaliser le suivi pour chaque station présente dans la base de données AudiParc.
Une fois l entreprise (société) sélectionnée, validez pour afficher les informations et mettre à jour la liste des stations (Ordinateur) de cette entreprise. Quand les informations sont affichées, vous pouvez apporter des modifications et ajouter de nouvelles informations si nécessaire. Si des modifications ou/et ajouts d informations sont faites, PENSEZ à cliquer sur le bouton «MaJ Informations société» pour ces modifications soient prises en compte dans la base de données AudiParc. Dans le menu «Nom de l ordinateur :» sélectionner la station que vous souhaitez consulter et cliquer sur le bouton «Valider», les informations d audit de la station sont alors consultables, ainsi que la personnalisation du suivi.
Personnalisation du suivi d une station Actions : Menu comportant une liste d actions que l administrateur ou le technicien habilité peuvent demander d être exécuté sur la station (Ex : Nouvel Audit, Message à l écran, ). Une seule action peut être demandée à la fois, par défaut si le suivi n est pas activé, le module client peut effectuer une action toutes les 60mns. Si le suivi est activé, le module client pourra effectuer une action selon le délai configuré dans l option «Délai d analyse». (Ex : si le Délai d analyse est à 15 minutes, une action pourra s effectuer tous les 15 minutes environs). Activation du suivi : Permet activer ou non le suivi sur la station actuellement sélectionnée. Si le suivi n est pas activé, l ensemble des analyses ne seront pas effectuées. Toutefois les actions du menu «Actions» restent fonctionnelles. Contact Suivi : Délai d analyse : Adresse Email du contact technique qui recevra les alertes si les analyses détectent un problème (Une alerte est émise si une analyse est négative à la suite de trois séquences d analyses consécutives et si le contact n a pas encore été alerté de ce problème). Le contact suivi est unique pour une entreprise ou un site dans la base AudiParc. Dans l exemple ci-dessus «technicien@fai.fr» est le contact suivi pour toutes les stations de la société «Lastinos» Délai en minutes (10, 12, 15, 20 par défaut, 30, 45 et 60mns) d inactivité du module client entre deux séquences d analyse. Si le délai est fixé à 15 minutes comme dans l exemple ci-dessus, l ensemble des analyses sélectionnées se feront toutes les 15 minutes, ainsi que les actions spécifiques demandées à la station. Utilisation d accès disques : Analyse des files d attentes d accès disques. Une taille trop importante des files d attentes disques peut être dû à une opération ponctuelle demandant
de fort accès disques (Sauvegarde, installation d application ), d une application défaillante, d un sous système disque défaillant ou sous évalué. Espaces disques libre : Pourcentage d espace de volume disque libre que l on souhaite avant de recevoir une alerte. (10, 15 par défaut, 20 ou 25%) Par exemple dans le cas cidessus, le contact suivi recevra une alerte si il reste moins de 15% d espace libre sur un des volumes disques de la station. Seuil d utilisation Processeur : Pourcentage d utilisation processeur qui ne doit pas être dépassé sur la station. (85 par défaut, 80 ou 75%) Par exemple une utilisation de 80 à 85% du processeur peut être due à une opération ponctuelle (Sauvegarde ), une application défaillante ou une machine sous évaluée (Evolution de la machine ou passage en multi processeur) Pourcentage mémoire libre : Pourcentage mémoire Ram libre que l on souhaite avant de recevoir une alerte. (10 par défaut, 15, 20 ou 25%) Par exemple dans le cas ci-dessus, le contact suivi recevra une alerte si il reste moins de 10% de mémoire Ram libre sur la station. Analyse Interface réseau : Analyse de l utilisation réseau. Une utilisation trop importante de l interface réseau ou un nombre d erreur trop important peuvent être dus à une opération ponctuelle demandant de fort accès réseau (transferts, téléchargements ), d une défaillante du câblage, du matériel actif, d un interface réseau défaillant ou sous évalué (Evolution en 100Mb, 1Gb...) Erreur Système : Erreurs système détectées depuis les 14 derniers jours au niveau des journaux d événements de la station. Le seuil d alerte peut être configuré supérieur à 1 erreur jusqu'à supérieur à 4. Dans l exemple ci-dessus si plus d une erreur système est détecté dans une période de 14 jours une alerte est émise au contact suivi. (Erreur Système grave ID 1003 une opération système incomplète..) Suite à une màj système défaillante, l installation d un utilitaire, d une application instable ou d une défaillance matériel Ce type d erreur nécessite une attention particulière car le système peut être fortement instable et totalement planter Erreurs Disques NTFS : Erreurs NTFS sur les volumes disques détectées depuis les 14 derniers jours au niveau des journaux d événements de la station. Le seuil d alerte peut être configuré supérieur à 1 erreur jusqu'à supérieur à 4. Dans l exemple cidessus si plus d une erreur NTFS est détecté dans une période de 14 jours une alerte est émise au contact suivi. Ce type d erreur nécessite une attention particulière car cela peut présager une défaillance disque Conflits adresse IP : Conflits d adresse IP détectés depuis les 14 derniers jours au niveau des journaux d événements de la station. Si un conflit est détecté une alerte est émise au contact suivi. Services en erreurs : Services ayant générés une erreur au démarrage depuis les 14 derniers jours au niveau des journaux d événements de la station. Le seuil d alerte peut être configuré supérieur à 1 erreur jusqu'à supérieur à 4. Dans l exemple ci-dessus si plus d une erreur Service est détectée dans une période de 14 jours une alerte est émise au contact suivi. Ce type d erreur peut expliquer des
disfonctionnements de certaines fonctions de la station, de la présence d un virus, de pilotes instables et de la nécessité de mise à jour système Erreur Application Hang : Blocage (plantage) d applications détecté depuis les 14 derniers jours au niveau des journaux d événements de la station. Le seuil d alerte peut être configuré supérieur à 1 erreur jusqu'à supérieur à 2. Dans l exemple ci-dessus si plus d un blocage d application est détecté dans une période de 14 jours une alerte est émise au contact suivi. La mise à jour de correctifs est certainement nécessaire pour un bon fonctionnement. Application Error : Erreurs d applications détectées depuis les 14 derniers jours au niveau des journaux d événements de la station. Le seuil d alerte peut être configuré supérieur à 3, 6, 9 et 12 erreurs. Dans l exemple ci-dessus si plus de trois erreurs d applications sont détectées dans une période de 14 jours une alerte est émise au contact suivi. La mise à jour de correctifs est certainement nécessaire pour un bon fonctionnement. Plage d analyse exclu : Afin d éviter des alertes intempestives en raison d opération programmée de type sauvegarde, analyse antivirus, update pouvant fausser les résultats d analyses ( Accès disques, Interface réseau, Processeur ), le client AudiParc peut exclure une plage horaire de l analyse. Le format est hh:mn:ss Dans l exemple ci-dessus les analyses n auront pas lieu entre (Début) 14 :00 :00 (14 heures) et (Fin) 15 :00 :00 (15 heures) Pour activer/désactiver le suivi, mettre à jour les informations et/ou valider une action du menu «Actions :» il suffit de valider le bouton «MAJ des Informations du PC». Les informations seront alors mises à jour dans la base de données AudiParc et envoyées à destination de la station. Consultation de l audit de la station. A l aide de l ascenseur de la fenêtre visualisez l ensemble des informations d audit