Guide d'installation de Symantec Endpoint Protection et Symantec Network Access Control
Guide d'installation de Symantec Endpoint Protection et de Symantec Network Access Control Le logiciel décrit dans ce guide est fourni dans le cadre d'un contrat de licence et ne peut être utilisé qu'en conformité avec les termes de ce contrat. Documentation version 11.00.06.00.00 Mentions légales Copyright 2010 Symantec Corporation. Tous droits réservés. Symantec, le logo Symantec, Bloodhound, Confidence Online, Digital Immune System, LiveUpdate, Norton, Sygate et TruScan sont des marques commerciales ou des marques déposées de Symantec Corporation ou de ses filiales aux Etats-Unis et dans d'autres pays. Les autres noms sont des marques commerciales de leurs détenteurs respectifs. Ce produit Symantec peut contenir le logiciel tiers pour lequel Symantec est tenu de fournir une attribution à tierce partie ("Programmes tiers"). Certains de ces logiciels sont mis à disposition en licence logicielle libre ou avec des licences gratuites. Le Contrat de licence accompagnant le logiciel ne modifie en aucun cas vos droits et vos obligations en vertu de ces licences. Pour plus d'informations sur les logiciels tiers, reportez-vous à l'annexe consacrée aux mentions légales sur les logiciel tiers ou au fichier LisezMoi TPIP accompagnant ce produit. Le produit décrit dans ce document est distribué aux termes d'une licence limitant son utilisation, sa copie, sa distribution et sa décompilation/ingénierie inverse. Ce document ne peut, en tout ou partie, être reproduit sous aucune forme et par aucun moyen sans l'autorisation préalable écrite de Symantec Corporation et de ses détenteurs de licence éventuels. LA DOCUMENTATION EST FOURNIE "EN L'ETAT" ET TOUTE GARANTIE OU CONDITION D'AUCUNE SORTE, EXPRESSE OU IMPLICITE, Y COMPRIS, SANS QUE CELA SOIT LIMITATIF, LES GARANTIES OU CONDITIONS IMPLICITES DE QUALITE MARCHANDE, D'ADEQUATION A UN USAGE PARTICULIER OU DE RESPECT DES DROITS DE PROPRIETE INTELLECTUELLE EST REFUTEE, EXCEPTE DANS LA MESURE OU DE TELLES EXCLUSIONS SERAIENT TENUES POUR LEGALEMENT NON VALIDES. SYMANTEC CORPORATION NE PEUT ETRE TENUE POUR RESPONSABLE DES DOMMAGES DIRECTS OU INDIRECTS RELATIFS AU CONTENU OU A L'UTILISATION DE LA PRESENTE DOCUMENTATION. LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION PEUVENT ETRE MODIFIEES SANS PREAVIS. Le Logiciel sous licence est considéré comme logiciel informatique commercial conformément aux définitions de la section FAR 12.212 et soumis à des droits restreints tels que définis dans la section FAR 52.227.19 "Commercial Computer Licensed Software - Restricted Rights" et DFARS 227.7202 "Rights in Commercial Computer Licensed Software or Commercial Computer Licensed Software Documentation" tels qu'applicable, et à tous règlements qui les remplaceraient. Toute utilisation, modification, reproduction, publication, exécution, présentation ou communication du Logiciel sous licence et de la documentation par le
gouvernement des Etats-Unis ne peut se faire que conformément aux conditions du présent contrat. Symantec Corporation 350 Ellis Street Mountain View, CA 94043 http://www.symantec.fr
Support technique Contacter le support technique Le support technique de Symantec se compose de centres de support répartis dans le monde entier. Le rôle principal du support technique est de réagir à des requêtes spécifiques sur les caractéristiques et la fonctionnalité des produits. Le groupe de support technique contribue également à la création de contenu pour notre base de données en ligne. Il travaille en collaboration avec les autres domaines fonctionnels de Symantec pour répondre à vos questions aussi rapidement que possible, par exemple avec l'ingénierie de produit et Symantec Security Response pour fournir des services d'alerte et des mises à jour de définitions de virus. Les offres de support de Symantec englobent : un éventail d'options de support pour un volume flexible de services adapté aux sociétés de toute taille ; support téléphonique et/ou par le Web pour des répondes rapides et des informations actuelles ; garantie de mise à niveau par des mises à niveau logicielles ; prise en charge achetée sur une base des heures ouvrables régionales ou 24 heures sur 24 et 7 jours sur 7 ; offres de la meilleure qualité de service qui incluent des services de gestion des comptes. Pour plus d'informations sur les programmes de maintenance de Symantec, vous pouvez visiter notre site Web en accédant à l'url suivante : http://www.symantec.com/fr/fr/business/support/ Les clients avec un contrat de support en cours peuvent accéder aux informations de support technique sur l'url suivante : http://www.symantec.com/fr/fr/business/support/ Avant de contacter le support technique, vérifiez que votre système répond à la configuration requise indiquée dans la documentation du produit. Veuillez en outre vous tenir à proximité de l'ordinateur sur lequel le problème se pose, au cas où il serait nécessaire de répliquer le problème. Lorsque vous contactez le support technique, veillez à avoir sous la main les informations suivantes : Niveau de version du produit Informations concernant le matériel
Licence et enregistrement Mémoire disponible, espace disque et informations sur la carte réseau Système d'exploitation Niveau de correctif logiciel et de version Topologie du réseau Routeur, passerelle et informations sur l'adresse IP Description du problème : Messages d'erreur et fichiers journaux Tentatives de dépannage effectuées avant de contacter Symantec Modifications récentes apportées à la configuration logicielle et au réseau Si votre produit Symantec requiert un enregistrement ou une clé de licence, accédez à notre page Web de support technique à l'url suivante : http://www.symantec.com/fr/fr/business/support/ Service client Les informations du service client sont disponibles en accédant à l'url suivante : http://www.symantec.com/fr/fr/business/support/ Le service client est fournit son aide pour les questions non techniques, telles que les types suivants de problèmes : questions concernant l'octroi et le numéro de licence ; mises à jour des données fournies à l'enregistrement du produit, telles que l'adresse ou le nom ; informations générales sur le produit (fonctions, langues disponibles, distributeurs locaux) ; dernières informations sur les mises à jour et les mises à niveau du produit ; Informations sur l'assurance et les contrats de support de mise à niveau informations sur les Programmes d'achats Symantec ; conseil sur les options du support technique Symantec ; questions non techniques préalables à la vente ; problèmes liés aux CD-ROM ou aux manuels.
Ressources de contrat de support Si vous voulez entrer en contact avec Symantec concernant un contrat de support existant, veuillez contactez l'équipe administrative de contrat de support pour votre région comme suit : Asie Pacifique et Japon Europe, Moyen-Orient et Afrique Amérique du Nord et Amérique latine customercare_apac@symantec.com semea@symantec.com supportsolutions@symantec.com Services d'entreprise supplémentaires Symantec offre une gamme complète de services qui vous permettent d'optimiser l'investissement effectué dans les produits Symantec et de développer vos connaissances, expertise et compréhension globale, pour une gestion proactive des risques commerciaux. Les services aux entreprises disponibles sont les suivants : Services gérés Services de conseil Services de formation Les services gérés suppriment la charge que représente la gestion et le contrôle des périphériques et des événements de sécurité, assurant l'intervention rapide face aux menaces réelles. Les services de conseil Symantec fournissent une expertise technique sur site de Symantec et de ses partenaires approuvés. Ils offrent une série d'options préemballées et personnalisables comportant des fonctions d'évaluation, de conception, de mise en œuvre, de surveillance et de gestion. Chaque service a pour objectif d'établir et de maintenir l'intégrité et la disponibilité de vos ressources informatiques. Les services de formation fournissent un ensemble complet de formation technique, d'éducation de sécurité, de certification de sécurité et de programmes de communication de connaissance. Pour accéder à plus d'informations sur les services destinés aux entreprises, visitez s'il vous plaît notre site Web sur l'url suivante : http://www.symantec.com/fr/fr/business/services/ Sélectionnez votre pays ou langue dans le sommaire du site.
Table des matières Support technique... 4 Section 1 Chapitre 1 Présentation, conditions requises et planification... 15 Présentation de Symantec Endpoint Protection et de Symantec Network Access Control... 17 A propos de Symantec Endpoint Protection... 17 A propos de Symantec Network Access Control... 18 A propos de Symantec Protection Center... 19 Composants de Symantec Endpoint Protection et Symantec Network Access Control... 19 Fonctions principales de Symantec Endpoint Protection et Symantec Network Access Control... 23 Ressources du support technique... 24 Chapitre 2 Spécifications système et pour l'installation... 25 Configuration système requise... 25 Configuration système requise pour la console Symantec Endpoint Protection Manager et la base de données intégrée... 26 Configuration système requise pour Symantec Endpoint Protection Manager et la console... 30 Configuration requise pour la console distante de Symantec Endpoint Protection... 32 Configuration système requise pour Symantec Protection Center et la console Web Symantec Endpoint Protection Manager... 35 Configurations requises pour le logiciel client Symantec Endpoint Protection... 35 Configurations requises pour le logiciel client Symantec Network Access Control... 39 Configuration requise pour le client Symantec AntiVirus pour Linux... 41
8 Table des matières Configuration système requise pour la console de quarantaine... 42 Configuration système requise pour le serveur de quarantaine centralisée... 43 Conditions requises pour l'internationalisation... 44 A propos de la prise en charge VMware... 46 A propos de prise en charge de Microsoft Virtual Server... 48 A propos de la compatibilité de Symantec Endpoint Protection Manager avec d'autres produits... 48 Chapitre 3 Planification de l'installation... 49 A propos du choix d'un type de base de données... 49 A propos des pare-feu et des ports de communication client... 50 A propos de la désactivation et de la modification des pare-feu Windows... 54 A propos des pare-feux Windows et Symantec... 54 A propos de la désactivation du pare-feu Windows... 55 A propos de la modification du pare-feu de Windows Vista, Windows Server 2008 et Windows 7... 55 A propos de la préparation des ordinateurs Windows pour le déploiement distant... 56 A propos de la préparation d'un serveur Windows Server 2003 pour l'installation via une connexion Remote Desktop... 57 Préparer vos ordinateurs client pour l'installation... 57 Redémarrages de l'ordinateur requis lors de l'installation ou de la migration... 58 Section 2 Installation... 59 Chapitre 4 Installer et configurer Symantec Endpoint Protection Manager... 61 Installation initiale du produit... 62 A propos des paramètres de la base de données intégrée... 65 Installation et configuration de Symantec Endpoint Protection Manager avec une base de données intégrée... 66 A propos des paramètres de configuration de SQL Server... 70 A propos des modes d'authentification de base de données de SQL Server... 75 Installation et configuration de Symantec Endpoint Protection Manager avec une base de données SQL Server... 76
Table des matières 9 A propos de l'installation d'instances multiples de Symantec Endpoint Protection Manager... 79 Consoles supplémentaires Symantec Endpoint Protection Manager en cours d'exécution... 80 A propos du basculement et de la répartition de charge... 82 A propos de l'installation et de la configuration de Symantec Endpoint Protection Manager pour le basculement ou la répartition de charge... 84 Installation d'un serveur de gestion pour le basculement ou la répartition de charge... 84 Configuration du basculement et de la répartition de charge pour Symantec Endpoint Protection Manager... 86 Mettre à niveau de la base de données intégrée vers une base de données SQL Server... 87 Sauvegarde du keystore et des fichiers server.xml... 89 Sauvegarde de la base de données intégrée... 89 Installation d'une instance de Microsoft SQL 2000, 2005 ou 2008... 90 Désinstallation de Symantec Endpoint Protection Manager avec une base de données intégrée... 90 Réinstallation de Symantec Endpoint Protection Manager avec une base de données Microsoft SQL... 91 Restauration du fichier keystore Java original... 91 Reconfiguration de Symantec Endpoint Protection Manager avec une base de données SQL Server... 92 A propos de l'installation et la configuration de Symantec Endpoint Protection Manager pour la réplication... 94 Installation de Symantec Endpoint Protection Manager pour la réplication... 95 Configuration de Symantec Endpoint Protection Manager pour la réplication... 96 A propos de la désinstallation de Symantec Endpoint Protection Manager... 97 Chapitre 5 Installation du logiciel client Symantec... 99 A propos du logiciel d'installation de client Symantec... 100 A propos de l'installation des composants de protection sur le client... 100 A propos du déploiement des clients 32 bits et 64 bits... 101 Configuration et déploiement du logiciel client sur des ordinateurs Windows... 102
10 Table des matières Exportation des packages d'installation client pour des ordinateurs Mac... 104 A propos du déploiement des packages d'installation client Mac... 105 A propos de l'installation d'un logiciel client non géré sur des ordinateurs Windows... 106 Installation d'un logiciel client non géré sur des ordinateurs Windows à l'aide du disque de produit... 106 A propos du déploiement d'un logiciel client non géré sur des ordinateurs Windows à l'aide de la console... 109 A propos du déploiement d'un logiciel client non géré sur des ordinateurs Windows à l'aide de l'assistant de déploiement... 109 Création des packages d'installation client... 109 A propos du déploiement du logiciel client sur des ordinateurs Windows à partir d'un lecteur mappé... 111 Déploiement du logiciel client sur des ordinateurs Windows à l'aide de l'assistant de déploiement... 111 Déploiement du logiciel client avec Rechercher les ordinateurs non gérés... 112 Importer une liste d'ordinateurs à partir d'un fichier texte... 114 A propos de l'installation et du déploiement du logiciel client avec Altiris... 115 Options d'installation tierce... 115 A propos de l'installation de clients avec des logiciels tiers... 116 A propos de la personnalisation des fichiers d'installation avec les options.msi... 116 A propos de l'installation des clients avec Microsoft SMS 2003... 116 A propos de l'installation de clients avec Active Directory Group Policy Object... 118 Désinstaller le logiciel client avec l'objet Politique de groupe Active Directory... 125 Démarrage du client Symantec Endpoint Protection... 126 A propos de la désinstallation du client Symantec Endpoint Protection... 127 Désinstaller le logiciel client sur Windows Server 2008 Server Core... 127
Table des matières 11 Chapitre 6 Installation de Quarantaine et des serveurs LiveUpdate... 129 A propos de l'installation et de la configuration de la quarantaine centralisée... 129 Installation de la console de quarantaine... 130 Installation du serveur de quarantaine... 130 Configurer des groupes pour utiliser la quarantaine centralisée... 132 A propos de l'utilisation d'un serveur Symantec LiveUpdate... 133 Section 3 Migration et mise à niveau... 137 Chapitre 7 Chapitre 8 Mettre à niveau vers la dernière version de maintenance... 139 Mise à niveau vers une nouvelle version de Symantec Endpoint Protection ou Symantec Network Access Control... 140 Sauvegarder la base de données.... 141 Migration vers Microsoft SQL Server 2008 à partir d'une version précédente... 142 Désactiver la réplication avant de mettre à niveau ou de migrer... 143 Arrêt du service de Symantec Endpoint Protection Manager... 143 Mise à niveau de Symantec Endpoint Protection Manager... 144 Activer la réplication après une migration ou une mise à niveau... 145 A propos de la mise à niveau du logiciel client... 146 Mettre à niveau des clients en utilisant AutoUpgrade... 147 Mettre à jour le logiciel client avec la politique de paramètres LiveUpdate... 148 A propos de la mise à niveau de Symantec Endpoint Protection ou Symantec Network Access Control... 149 A propos de la mise à niveau des clients Symantec Endpoint Protection avec Symantec Network Access Control... 150 A propos de la mise à niveau des clients Symantec Network Access Control avec Symantec Endpoint Protection... 150 Migration de Symantec AntiVirus et de Symantec Client Security... 151 Migration à partir de Symantec AntiVirus et de Symantec Client Security... 152 Chemins de migration pris en charge et non pris en charge... 155 Migrations prises en charge... 155
12 Table des matières Migrations bloquées... 155 Migrations non prises en charge... 156 Migrations prises en charge et non prises en charge pour le client Mac... 156 A propos de la migration de la quarantaine centralisée... 157 Préparer les installations héritées en vue de la migration... 157 Préparation des installations héritées de Windows... 158 A propos de la préparation des installations héritées Symantec 10.x/3.x... 161 A propos de la migration et la non préservation de serveur, des groupes de clients et des paramètres... 163 A propos de la migration de groupes et de paramètres depuis Symantec System Center... 164 A propos des paramètres qui n'effectuent pas de migration... 167 A propos des packages et du déploiement... 167 A propos des packages d'installation client générés pendant la migration... 168 Exporter et formater une liste de noms d'ordinateurs client à migrer... 169 A propos de l'ouverture des ports de communication pour la migration... 171 A propos de la préparation des ordinateurs client pour la migration... 172 Effectuer une migration des paramètres de serveur et de groupe de clients... 172 Migration depuis Symantec AntiVirus for Macintosh... 174 A propos de la vérification des mises à jour de vos politiques migrées... 175 A propos de la migration de clients non gérés... 175 A propos de la migration de clients non gérés avec le disque de produit... 176 Migrer les clients autonomes avec des packages exportés... 177 A propos des fonctions nouvelles et mises à jour pour les administrateurs hérités... 178 Chapitre 9 Migration du logiciel hérité Symantec Sygate... 183 A propos de la migration vers Symantec Endpoint Protection 11.x... 183 A propos de la migration du serveur Symantec Sygate et du logiciel de gestion... 184 A propos de la migration du logiciel client Symantec Sygate hérité... 185
Table des matières 13 A propos de la migration vers Symantec Network Access Control 11.x... 187 A propos de la migration du logiciel de serveur Symantec Sygate hérité... 187 A propos de la migration du logiciel client Symantec Sygate hérité... 187 A propos des mises à niveau d'enforcer... 188 Scénarios de migration de serveur... 188 Migrer une instance d'installation qui utilise un serveur de gestion... 189 Migrer une instance d'installation qui utilise une base de données Microsoft SQL et plusieurs serveurs de gestion... 189 Migrer une instance d'installation qui utilise plusieurs bases de données et serveurs de gestion intégrés... 190 Migrer une instance d'installation qui utilise plusieurs bases de données et serveurs de gestion SQL... 191 A propos des scénarios de migration des serveurs de gestion... 192 Migration d'un serveur de gestion... 192 Arrêter les serveurs avant la migration de répartition de charge et de basculement... 194 Désactiver la réplication avant migration... 194 Activer la réplication après la migration... 195 A propos des changements de l'interface utilisateur et des fonctionnalités de la console survenant après la migration... 196 Migrer des consoles de gestion à distance... 197 A propos de la configuration des politiques ayant effectué une migration et nouvelles politiques... 198 A propos de la suppression des protections par mot de passe client des paramètres de groupe... 198 Migrer le logiciel client Symantec Sygate hérité... 199 Section 4 Annexes... 201 Annexe A Fonctions et propriétés d'installation de Symantec Endpoint Protection... 203 A propos des fonctions et propriétés d'installation... 203 A propos de la configuration de Setaid.ini... 204 A propos de la configuration des chaînes de commande MSI... 205 Fonctions du client Symantec Endpoint Protection... 206 Propriétés d'installation du client Symantec Endpoint Protection... 208 Paramètres de Windows Installer... 208
14 Table des matières Propriétés du Centre de sécurité Windows... 210 A propos de l'utilisation du fichier journal pour rechercher les erreurs... 211 Identification du point d'échec d'une installation... 212 Exemples de ligne de commande pour l'installation du client... 212 Annexe B Reprise après incident... 215 Préparation à la reprise après incident... 215 Effectuer la reprise après incident... 217 Restauration de Symantec Endpoint Protection Manager... 218 Restaurer le certificat de serveur... 218 Restauration des communications client... 219 Restaurer les communications client avec une sauvegarde de base de données... 220 Restaurer les communications client sans sauvegarde de base de données... 221 Index... 223
Section 1 Présentation, conditions requises et planification Chapitre 1. Présentation de Symantec Endpoint Protection et de Symantec Network Access Control Chapitre 2. Spécifications système et pour l'installation Chapitre 3. Planification de l'installation
16
Chapitre 1 Présentation de Symantec Endpoint Protection et de Symantec Network Access Control Ce chapitre traite des sujets suivants : A propos de Symantec Endpoint Protection A propos de Symantec Network Access Control A propos de Symantec Protection Center Composants de Symantec Endpoint Protection et Symantec Network Access Control Fonctions principales de Symantec Endpoint Protection et Symantec Network Access Control Ressources du support technique A propos de Symantec Endpoint Protection Symantec Endpoint Protection combine la protection antivirus à la protection contre les menaces avancée pour sécuriser proactivement vos ordinateurs contre les menaces connues ou inconnues. Symantec Endpoint Protection protège contre les logiciels malveillants tels que les virus, les vers, les chevaux de Troie, les spyware et les logiciels publicitaires. Il assure la protection contre même les attaques les plus sophistiquées qui éludent
18 Présentation de Symantec Endpoint Protection et de Symantec Network Access Control A propos de Symantec Network Access Control des mesures de sécurité traditionnelles telles que des rootkits, des attaques "Zero Day" et les spywares qui mutent. Symantec Endpoint Protection vous permet également de mettre à jour le contrôle des applications et des périphériques. Symantec Endpoint Protection fournit à vos terminaux des couches multiples de protection. Votre logiciel Symantec peut inclure Symantec Network Access Control. Symantec Network Access Control utilise également Symantec Endpoint Protection Manager pour installer et gérer Symantec Endpoint Protection et Symantec Network Access Control. Symantec Network Access Control garantit que les clients sont conformes avec les politiques de sécurité de votre société avant qu'ils soient autorisés à accéder à votre réseau. Symantec Endpoint Protection et Symantec Network Access Control travaillent ensemble mais sont vendus séparément. Se reporter à "A propos de Symantec Network Access Control" à la page 18. Se reporter à "Composants de Symantec Endpoint Protection et Symantec Network Access Control" à la page 19. A propos de Symantec Network Access Control Symantec Network Access Control s'assure que les ordinateurs client d'une entreprise sont conformes aux politiques de sécurité de l'entreprise avant que les ordinateurs soient autorisés d'accéder au réseau. Symantec Network Access Control utilise une politique d'intégrité de l'hôte et un Symantec Enforcer facultatif pour découvrir et évaluer les ordinateurs conformes. Les clients non conformes sont dirigés vers un serveur de correction. Le serveur de correction télécharge le logiciel nécessaire, les correctifs, les mises à jour des définitions, etc. pour rendre l'ordinateur client conforme. Symantec Network Access Control contrôle également des terminaux client en continu pour les changements d'états de conformité. Symantec Network Access Control est un produit compagnon de Symantec Endpoint Protection. Les deux produits incluent Symantec Endpoint Protection Manager, qui fournit l'infrastructure permettant d'installer et de gérer les clients Symantec Endpoint Protection et Symantec Network Access Control. Le client Symantec Endpoint Protection protège les terminaux contre deux menaces connues et contre les menaces jamais découvertes. Se reporter à "A propos de Symantec Endpoint Protection" à la page 17. Se reporter à "Composants de Symantec Endpoint Protection et Symantec Network Access Control" à la page 19. Pour plus d'informations sur le boîtier Enforcer, consultez le Guide de mise en oeuvre de Symantec Network Access Control Enforcement.
Présentation de Symantec Endpoint Protection et de Symantec Network Access Control A propos de Symantec Protection Center 19 A propos de Symantec Protection Center Symantec Protection Center est une console Web qui vous permet d'intégrer la gestion de vos produits de sécurité Symantec dans un environnement unique. Protection Center inclut un tableau de bord centralisé qui rend compte de la sécurité globale de votre réseau selon les produits intégrés. Les produits pris en charge sont intégrés à Protection Center au cours d'un processus d'enregistrement. Une fois vos produits enregistrés, connectez-vous au Protection Center pour les gérer tous. Les produits doivent être installés et configurés séparément avant de pouvoir être enregistrés. Les produits enregistrés, ou intégrés, fonctionnent toujours indépendamment de Protection Center. Vous pouvez gérer les produits ensemble, dans Protection Center ou séparément, dans les différentes consoles de produits. Les produits intégrés peuvent être achetés séparément ou en tant qu'éléments d'une suite. Seul Symantec Endpoint Protection inclut Symantec Protection Center. Les produits suivants peuvent être intégrés à Protection Center : Symantec Endpoint Protection Symantec Critical System Protection Symantec Web Gateway Symantec Brightmail Gateway Symantec Data Loss Prevention Symantec IT Analytics Les produits et les versions de produits pris en charge par Symantec Protection Center peuvent évoluer au fil du temps. Pour obtenir les dernières informations concernant les produits pris en charge, consultez le site Web de support technique Symantec. Se reporter à "Configuration système requise pour Symantec Protection Center et la console Web Symantec Endpoint Protection Manager" à la page 35. Composants de Symantec Endpoint Protection et Symantec Network Access Control Tableau 1-1 liste les composants du produit' et décrit leurs fonctions.
20 Présentation de Symantec Endpoint Protection et de Symantec Network Access Control Composants de Symantec Endpoint Protection et Symantec Network Access Control Tableau 1-1 Composant Composants de produit Description Symantec Endpoint Protection Manager Symantec Endpoint Protection Manager est un serveur de gestion des ordinateurs client qui se connectent à votre réseau d'entreprise. Symantec Endpoint Protection Manager comprend le logiciel suivant : Le logiciel de console coordonne et gère les politiques de sécurité et les ordinateurs client. Le logiciel serveur fournit une communication protégée à et des ordinateurs client et de la console. Base de données La base de données qui enregistre des politiques de sécurité et des événements. La base de données est installée sur l'ordinateur qui héberge Symantec Endpoint Protection Manager. Client Symantec Endpoint Protection Le client Symantec Endpoint Protection protège les ordinateurs avec des analyses antivirus et antispyware, un pare-feu, un système de prévention des intrusions, et d'autres technologies de protection. Il s'exécute sur les serveurs, les ordinateurs de bureau et les ordinateurs portables que vous voulez protéger. Pour plus d'informations, consultez le Guide client de Symantec Endpoint Protection et Symantec Network Access Control. Le client Symantec Endpoint Protection Mac protège les ordinateurs avec des analyses antivirus et antispyware. Client Symantec Network Access Control Le client Symantec Network Access Control Mac applique la conformité des politiques de sécurité sur les ordinateurs client en utilisant des vérifications de l'intégrité de l'hôte et des fonctions d'auto-application. Le client signale son état de conformité d'intégrité de l'hôte à Symantec Enforcer. Pour plus d'informations, consultez le Guide de mise en oeuvre de Symantec Network Access Control Enforcement. Pour plus d'informations, consultez le Guide client de Symantec Endpoint Protection et Symantec Network Access Control.
Présentation de Symantec Endpoint Protection et de Symantec Network Access Control Composants de Symantec Endpoint Protection et Symantec Network Access Control 21 Composant Symantec Protection Center Description Symantec Protection Center est installé quand vous installez Symantec Endpoint Protection Manager. Protection Center vous permet d'intégrer des consoles de gestion à partir de plusieurs produits de sécurité Symantec dans un environnement de gestion unique. Se reporter à "A propos de Symantec Protection Center" à la page 19. Symantec Enforcer (facultatif) Un module d'application Enforcer s'assure que les clients qui essayent de se connecter au réseau soient conformes aux politiques de sécurité configurées. Vous pouvez restreindre les ordinateurs non conformes à des segments de réseau spécifiques en vue de la correction et pouvez interdire complètement l'accès aux ordinateurs non conformes. Symantec Network Access Control fournit les types de modules d'application Enforcer suivants : Le boîtier Enforcer, qui est un boîtier matériel sur lequel vous installez une de plusieurs images de boîtier de Symantec Enforcer. Les modules d'application Integrated Enforcers, qui sont les composants logiciels qui interagissent avec un serveur DHCP et un serveur Windows NPS de Microsoft. Clients Symantec Network Access Control à la demande pour Windows et Macintosh (facultatifs) Pour plus d'informations, consultez le Guide de mise en oeuvre de Symantec Network Access Control Enforcement. Les clients à la demande sont les clients temporaires que vous fournissez aux utilisateurs lorsqu'ils n'ont pas accès au réseau parce qu'ils ne disposent pas du logiciel qui est conforme à votre politique de sécurité. Serveur LiveUpdate (facultatif) Le serveur LiveUpdate télécharge des définitions, des signatures et des mises à jour de produit d'un serveur Symantec LiveUpdate et distribue les mises à jour aux ordinateurs client. Pour de plus amples informations, consultez le Guide de l'utilisateur de Symantec LiveUpdate Administrator.
22 Présentation de Symantec Endpoint Protection et de Symantec Network Access Control Composants de Symantec Endpoint Protection et Symantec Network Access Control Composant Quarantaine centralisée (facultative) Description La quarantaine centralisée reçoit les fichiers suspects et les éléments infectés non réparés des clients de Symantec Endpoint Protection. La quarantaine centralisée transfère un échantillon à Symantec Security Response, qui analyse l'échantillon. Si une menace est nouvelle, Symantec Security Response produit des mises à jour de sécurité. Pour plus d'informations, consultez le Guide de mise en oeuvre de Symantec Central Quarantine. Figure 1-1 Les composants de produit dans un réseau Ordinateur exécutant le client Symantec Endpoint Protection ou le client Symantec Network Access Control, connectés via un tunnel VPN Internet Pare-feu Réseau Ethernet local Symantec Endpoint Protection Manager, avec le client Symantec Endpoint Protection ou le client Symantec Network Access Control installé Ordinateurs exécutant le client Symantec Endpoint Protection ou le client Symantec Network Access Control Se reporter à "A propos de Symantec Endpoint Protection" à la page 17. Se reporter à "A propos de Symantec Network Access Control" à la page 18. Se reporter à "Fonctions principales de Symantec Endpoint Protection et Symantec Network Access Control" à la page 23.
Présentation de Symantec Endpoint Protection et de Symantec Network Access Control Fonctions principales de Symantec Endpoint Protection et Symantec Network Access Control 23 Fonctions principales de Symantec Endpoint Protection et Symantec Network Access Control Tableau 1-2 Fonction Fonctions de clé de produit Description Protection au niveau de l'entreprise Le produit fournit les fonctions suivantes : Analyses d'ordinateur client pour des virus et des menaces de sécurité. Détection et réparation des effets des virus, des vers, des chevaux de Troie, des spyware, des logiciels publicitaires et des rootkits connus. Analyse des processus pour les anomalies de comportement pour détecter les virus connus et inconnus et les risques de sécurité. Prévention de l'accès des utilisateurs non autorisés aux ordinateurs et réseaux qui se connectent à Internet. Nettoyage, suppression et mise en quarantaine des fichiers infectés. Détection automatique et blocage des attaques réseau. Gestion Les fonctions suivantes sont incluses : Configuration d'origine pour entreprises de toutes tailles. La console de Symantec Protection Center vous permet d'intégrer plus d'une console de gestion de produit Symantec dans un environnement unique. Se reporter à "A propos de Symantec Protection Center" à la page 19. L'unique console Symantec Endpoint Protection Manager fournit une vue du déploiement client entier. Symantec Endpoint Protection Manager cordonne la communication entre la console et le client et la consignation d'événements. Comptes administrateur qui permettent d'accéder à la console. Téléchargements de LiveUpdate des dernières définitions de virus et mises à jour de produit. Migration Les fonctions suivantes sont incluses : Paramètres de groupe et de politique pour le logiciel Symantec hérité. Mises à niveau d'ordinateur client à l'aide de l'assistant d'installation client.
24 Présentation de Symantec Endpoint Protection et de Symantec Network Access Control Ressources du support technique Fonction Application client Description Les fonctions suivantes sont incluses : S'assure qu'un ordinateur client est correctement protégé et conforme avant qu'il soit autorisé à se connecter au réseau d'entreprise. Résout les ordinateurs non conformes. Se reporter à "A propos de Symantec Endpoint Protection" à la page 17. Se reporter à "A propos de Symantec Network Access Control" à la page 18. Ressources du support technique Tableau 1-3 répertorie les sites Web de Symantec sur lesquels vous pouvez trouver plus d'informations. Tableau 1-3 Sites Web de Symantec Types d'informations Symantec Endpoint Protection version d'évaluation Base de connaissances publique Versions Adresse Web http://www.symantec.com/fr/fr/business/products/downloads/ http://www.symantec.com/business/support/overview.jsp?pid=54619 http://www.symantec.com/business/support/overview.jsp?pid=52788 Mise à jour des manuels et de la documentation Options de contact Notes de version et informations supplémentaires après la publication Informations sur les virus et autres menaces et mises à jour Informations sur les produits et les mises à jour Forums de Symantec Endpoint Protection Formation technique en ligne gratuite http://www.symantec.com/fr/fr/security_response/ http://www.symantec.com/fr/fr/business/ http://www.symantec.com/connect/security/forums http://www.symantec.com/connect/security/forums/network-access-control http://www.symantec.com/education/endpointsecurity
Chapitre 2 Spécifications système et pour l'installation Ce chapitre traite des sujets suivants : Configuration système requise Conditions requises pour l'internationalisation A propos de la prise en charge VMware A propos de prise en charge de Microsoft Virtual Server A propos de la compatibilité de Symantec Endpoint Protection Manager avec d'autres produits Configuration système requise Avant de commencer l'installation de Symantec Endpoint Protection Manager vous devez examiner la configuration système requise et les paramètres d'installation. Vérifiez que les ordinateurs que vous prévoyez d'utiliser répondent aux exigences et sont configurés pour la communication entre le serveur de gestion et les clients. Les logiciels Symantec nécessitent des protocoles, des systèmes d'exploitation et leurs Service Packs, des logiciels et des matériels spécifiques. Tous les ordinateurs sur lesquels vous installez le logiciel Symantec doivent avoir au moins la configuration système recommandée correspondant au système d'exploitation utilisé. Remarque : L'installation dans ou à partir des noms de répertoires contenant des caractères à deux octets n'est pas prise en charge.
26 Spécifications système et pour l'installation Configuration système requise Se reporter à "Configuration système requise pour la console Symantec Endpoint Protection Manager et la base de données intégrée" à la page 26. Se reporter à "Configuration système requise pour Symantec Endpoint Protection Manager et la console" à la page 30. Se reporter à "Configuration requise pour la console distante de Symantec Endpoint Protection" à la page 32. Se reporter à "Configurations requises pour le logiciel client Symantec Endpoint Protection" à la page 35. Se reporter à "Configurations requises pour le logiciel client Symantec Network Access Control" à la page 39. Se reporter à "Configuration requise pour le client Symantec AntiVirus pour Linux" à la page 41. Se reporter à "Configuration système requise pour la console de quarantaine" à la page 42. Se reporter à "Configuration système requise pour le serveur de quarantaine centralisée" à la page 43. Configuration système requise pour la console Symantec Endpoint Protection Manager et la base de données intégrée La console est installée avec Symantec Endpoint Protection Manager.
Spécifications système et pour l'installation Configuration système requise 27 Composant Tableau 2-1 32 bits Configuration système requise pour Symantec Endpoint Protection Manager et la base de données intégrée 64 bits Processeur Intel Pentium III 1 GHz pour la plupart des systèmes Les vitesses de processeur suivantes sont prises en charge : 2 GHz pour Small Business Server 2008 Premium Edition 2.5 GHz pour Essential Business Server 2008 Premium Edition 1 GHz sous x64 fonctionne uniquement avec les processeurs suivants : Intel Xeon avec prise en charge Intel EM64T Intel Pentium IV avec prise en charge EM64T AMD 64 bits Opteron AMD 64 bits Athlon Remarque : Itanium n'est pas pris en charge.
28 Spécifications système et pour l'installation Configuration système requise Composant Système d'exploitation 32 bits Les systèmes d'exploitation suivants sont pris en charge : 64 bits Les systèmes d'exploitation suivants sont pris en charge : Windows 2000 Server/Advanced Server/Datacenter Server avec Service Pack 3 ou une version ultérieure Windows XP Professional avec Service Pack 1 ou version ultérieure Remarque : Windows XP prend en charge un nombre limité d'utilisateurs simultanés si les clients sont en mode "push" (transfert). Utilisez le mode "pull" (extraction) sur les serveurs Windows XP pour jusqu'à 100 clients. Pour plus d'informations, recherchez Symantec Endpoint Protection Manager 11.x communication troubleshooting sur le site Web de support de Symantec. Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Storage Edition/Web Edition Windows Small Business Server 2000/Windows Small Business Server 2003 Windows Server 2008 Standard/Windows Server 2008 Enterprise/Windows Server 2008 Datacenter/Windows Web Server 2008 (tous les Service Packs pris en charge) Windows XP Professionnel avec Service Pack 1 ou version ultérieure Remarque : Windows XP prend en charge un nombre limité d'utilisateurs simultanés si les clients sont en mode "push" (transfert). Utilisez le mode "pull" (extraction) sur les serveurs Windows XP pour jusqu'à 100 clients. Pour plus d'informations, recherchez Symantec Endpoint Protection Manager 11.x communication troubleshooting sur le site Web de support de Symantec. Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Storage Edition Windows Server 2008 Standard/Windows Server 2008 Enterprise/Windows Server 2008 Datacenter/Windows Web Server 2008 (R2 tous les Service Packs pris en charge) Windows Essential Business Server 2008 Standard Edition/Windows Small Business Server 2008 Premium Edition (R2 et tous les Service Packs sont pris en charge) Windows Small Business Server 2008 Standard Edition/Windows Small Business Server 2008 Premium Edition (R2 et tous les Service Packs sont pris en charge) Remarque : Si vous utilisez des services Microsoft Microsoft Clustering pour le serveur Symantec Endpoint Protection Manager, vous devez installer Symantec Endpoint Protection Manager sur le volume local.
Spécifications système et pour l'installation Configuration système requise 29 Composant Mémoire 32 bits RAM 1 Go minimum (2-4 Go recommandés) pour la plupart des systèmes 64 bits Les quantités de RAM suivantes sont requises : RAM 1 Go minimum (2-4 Go recommandés) pour la plupart des systèmes 4 Go minimum de RAM pour toutes les éditions de Windows Small Business Server 2008 et Windows Essential Business Server 2008 Disque dur Affichage Base de données 4 Go pour le serveur, plus 4 Go supplémentaire pour la base de données de la plupart des systèmes Adaptateur et moniteur vidéo VGA (640x480) ou résolution supérieure Symantec Endpoint Protection Manager comprend une base de données intégrée. Vous pouvez également décider d'utiliser l'une des versions suivantes de Microsoft SQL Server : Microsoft SQL Server 2000 avec Service Pack 4 ou version ultérieure Microsoft SQL Server 2005 avec Service Pack 2 Microsoft SQL Server 2008 Remarque : Microsoft SQL Server est facultatif. L'espace disque suivant est nécessaire : 4 Go pour le serveur, plus 4 Go supplémentaire pour la base de données de la plupart des systèmes Small Business Server 2008 : 60 Go pour le serveur Essential Business Server 2008 : 45 Go pour le serveur Adaptateur et moniteur vidéo VGA (640x480) ou résolution supérieure Symantec Endpoint Protection Manager comprend une base de données intégrée. Vous pouvez également décider d'utiliser l'une des versions suivantes de Microsoft SQL Server : Microsoft SQL Server 2000 avec Service Pack 3 ou version ultérieure Microsoft SQL Server 2005 avec Service Pack 2 Microsoft SQL Server 2008 Remarque : Microsoft SQL Server est facultatif. Autres spécifications Les autres spécifications suivantes doivent être satisfaites : Les autres spécifications suivantes doivent être satisfaites : Serveur Internet Information Services version 5.0 ou ultérieure, avec services World Wide Web Internet Explorer 6.0 ou version ultérieure Serveur Internet Information Services version 5.1 ou ultérieure, avec services World Wide Web Internet Explorer 6.0 ou version ultérieure Adresse IP statique (recommandée) Adresse IP statique (recommandée)
30 Spécifications système et pour l'installation Configuration système requise Configuration système requise pour Symantec Endpoint Protection Manager et la console Le gestionnaire et la console sont installés sur tous les serveurs configurés en tant que sites supplémentaires sur le réseau. Ces sites supplémentaires incluent tout site que vous ajoutez, tel qu'un partenaire de réplication ou un site supplémentaire pour le basculement ou la répartition de charge. Composant Tableau 2-2 32 bits Configuration système requise pour Symantec Endpoint Protection Manager et la console 64 bits Processeur Intel Pentium III 1 GHz pour la plupart des systèmes Les vitesses de processeur suivantes sont prises en charge : 2 GHz pour Small Business Server 2008 Premium Edition 2.5 GHz pour Essential Business Server 2008 Premium Edition 1 GHz sous x64 fonctionne uniquement avec les processeurs suivants : Intel Xeon avec prise en charge Intel EM64T Intel Pentium IV avec prise en charge EM64T AMD 64 bits Opteron AMD 64 bits Athlon Remarque : Itanium n'est pas pris en charge.
Spécifications système et pour l'installation Configuration système requise 31 Composant Système d'exploitation 32 bits Les systèmes d'exploitation suivants sont pris en charge : Windows 2000 Professional/Server/Advanced Server/Datacenter Server avec Service Pack 3 ou une version ultérieure Windows XP Professionnel avec Service Pack 1 ou version ultérieure Remarque : Windows XP prend en charge un nombre limité d'utilisateurs simultanés si les clients sont en mode "push" (transfert). Utilisez le mode "pull" (extraction) sur les serveurs Windows XP pour jusqu'à 100 clients. Pour plus d'informations, recherchez Symantec Endpoint Protection Manager 11.x communication troubleshooting sur le site Web de support de Symantec. Windows Small Business Server 2000/ Windows Small Business Server 2003 Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Storage Edition/Web Edition Windows Server 2008 Standard/Windows Server 2008 Enterprise/Windows Server 2008 Datacenter (tous les Service Packs sont pris en charge) 64 bits Les systèmes d'exploitation suivants sont pris en charge : Windows XP Professionnel avec Service Pack 1 ou version ultérieure Remarque : Windows XP prend en charge un nombre limité d'utilisateurs simultanés si les clients sont en mode "push" (transfert). Utilisez le mode "pull" (extraction) sur les serveurs Windows XP pour jusqu'à 100 clients. Pour plus d'informations, recherchez Symantec Endpoint Protection Manager 11.x communication troubleshooting sur le site Web de support de Symantec. Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Storage Edition Windows Server 2008 Standard/Windows Server 2008 Enterprise/Windows Server 2008 Datacenter (R2 et tous les Service Packs sont pris en charge) Windows Essential Business Server 2008 Standard Edition/Windows Small Business Server 2008 Premium Edition (R2 et tous les Service Packs sont pris en charge) Windows Small Business Server 2008 Standard Edition/Windows Small Business Server 2008 Premium Edition (R2 et tous les Service Packs sont pris en charge) Remarque : Si vous utilisez des services Microsoft Microsoft Clustering pour le serveur Symantec Endpoint Protection Manager, vous devez installer Symantec Endpoint Protection Manager sur le volume local.
32 Spécifications système et pour l'installation Configuration système requise Composant Mémoire 32 bits RAM 1 Go minimum (2-4 Go recommandés) pour la plupart des systèmes 64 bits Les quantités de RAM suivantes sont requises : RAM 1 Go minimum (2-4 Go recommandés) pour la plupart des systèmes 4 Go minimum de RAM pour toutes les éditions de Windows Small Business Server 2008 et Windows Essential Business Server 2008 Disque dur 4 Go pour la plupart des systèmes L'espace disque suivant est nécessaire : 4 Go pour la plupart des systèmes Small Business Server 2008 : 60 Go Essential Business Server 2008 : 45 Go Affichage Autres spécifications XGA (1024x768) ou adaptateur vidéo et écran de haute résolution Les autres spécifications suivantes doivent être remplies : XGA (1024x768) ou adaptateur vidéo et écran de haute résolution Les autres spécifications suivantes doivent être remplies : Serveur Internet Information Services version 5.0 ou version ultérieure, avec services World Wide Web Si vous utilisez Internet Information Services 7.0 ou une version ultérieure (Windows 7, Windows Server 2008), CGI, ASP.net et IIS 6.0 Management Compatibility doivent également être installés. Internet Explorer 6.0 ou version ultérieure Serveur Internet Information Services version 5.1 ou version ultérieure, avec services World Wide Web Si vous utilisez Internet Information Services 7.0 ou une version ultérieure (Windows 7, Windows Server 2008), CGI, ASP.net et IIS 6.0 Management Compatibility doivent également être installés. Internet Explorer 6.0 ou version ultérieure Adresse IP statique (recommandée) Adresse IP statique (recommandée) Configuration requise pour la console distante de Symantec Endpoint Protection La console distante de Symantec Endpoint Protection nécessite une configuration moins stricte. Cette configuration est décrite dans le tableau suivant.
Spécifications système et pour l'installation Configuration système requise 33 Composant Tableau 2-3 32 bits Configuration requise pour la console distante de Symantec Endpoint Protection 64 bits Processeur Intel Pentium III 1 GHz pour la plupart des systèmes Les vitesses de processeur suivantes sont prises en charge : 2 GHz pour Small Business Server 2008 Premium Edition 2.5 GHz pour Essential Business Server 2008 Premium Edition 1 GHz sous x64 fonctionne uniquement avec les processeurs suivants : Intel Xeon avec prise en charge Intel EM64T Intel Pentium IV avec prise en charge EM64T AMD 64 bits Opteron AMD 64 bits Athlon Remarque : Itanium n'est pas pris en charge.
34 Spécifications système et pour l'installation Configuration système requise Composant Système d'exploitation Mémoire Disque dur Affichage Navigateur 32 bits Les systèmes d'exploitation suivants sont pris en charge : Windows 2000 Professional/Server/Advanced Server/Datacenter Server avec Service Pack 3 ou une version ultérieure Windows XP Professionnel avec Service Pack 1 ou version ultérieure Remarque : Windows XP prend en charge un nombre limité d'utilisateurs simultanés si les clients sont en mode "push" (transfert). Utilisez le mode "pull" (extraction) sur les serveurs Windows XP pour jusqu'à 100 clients. Pour plus d'informations, recherchez Symantec Endpoint Protection Manager 11.x communication troubleshooting sur le site Web de support de Symantec. Windows Vista (toutes les versions x86) Windows 7 (toutes les versions x86) Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Storage Edition/Web Edition Windows Server 2008 Standard/Windows Server 2008 Enterprise/Windows Server 2008 Datacenter/Windows Web Server 2008 (tous les Service Packs sont pris en charge) Windows Small Business Server 2000/Windows Small Business Server 2003 512 Mo de RAM minimum (1-2 Go recommandés) pour la plupart des systèmes 15 Mo Adaptateur et moniteur vidéo VGA (640x480) ou résolution supérieure Internet Explorer 6.0 ou version ultérieure 64 bits Les systèmes d'exploitation suivants sont pris en charge : Windows XP Professionnel avec Service Pack 1 ou version ultérieure Remarque : Windows XP prend en charge un nombre limité d'utilisateurs simultanés si les clients sont en mode "push" (transfert). Utilisez le mode "pull" (extraction) sur les serveurs Windows XP pour jusqu'à 100 clients. Pour plus d'informations, recherchez Symantec Endpoint Protection Manager 11.x communication troubleshooting sur le site Web de support de Symantec. Windows Vista (toutes les versions x64) Windows 7 (toutes les versions x64) Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Storage Edition Windows Server 2008 Standard/Windows Server 2008 Enterprise/Windows Server 2008 Datacenter/Windows Web Server 2008, Windows Server 2008 (R2 tous les Service Packs sont pris en charge) Windows Essential Business Server 2008 Standard Edition/Windows Small Business Server 2008 Premium Edition (R2 et tous les Service Packs sont pris en charge) Windows Small Business Server 2008 Standard Edition/Windows Small Business Server 2008 Premium Edition (R2 et tous les Service Packs sont pris en charge) 512 Mo de RAM minimum (1-2 Go recommandés) pour la plupart des systèmes 15 Mo Adaptateur et moniteur vidéo VGA (640x480) ou résolution supérieure Internet Explorer 6.0 ou une version ultérieure
Spécifications système et pour l'installation Configuration système requise 35 Configuration système requise pour Symantec Protection Center et la console Web Symantec Endpoint Protection Manager Pour enregistrer Symantec Endpoint Protection Manager avec Symantec Protection Center, vous devez utiliser un compte Symantec Endpoint Protection Manager qui dispose de droits de création de rapports. Tableau 2-4 Configuration système requise pour Symantec Protection Center et la console Web Symantec Endpoint Protection Manager Composant Navigateur Paramètres du navigateur Condition Internet Explorer 7 ou version ultérieure Configuration de sécurité améliorée désactivée Internet Explorer 8 : exécuté en mode Compatibilité Affichage Moniteur et adaptateur vidéo SXGA (1280X1024) ou résolution supérieure Remarque : Les résolutions inférieures peuvent nécessiter de faire défiler l'écran pour le voir en entier. Configurations requises pour le logiciel client Symantec Endpoint Protection Pour installer le logiciel client sur des ordinateurs Windows, vous devez disposer de droits d'administrateur sur l'ordinateur ou sur le domaine Windows et ouvrir une session en tant qu'administrateur. Le programme d'installation du logiciel Symantec lance un deuxième programme d'installation sur l'ordinateur pour créer et démarrer des services et pour modifier le registre de Windows. Pour installer le logiciel client sur des ordinateurs Mac, vous pouvez utiliser Symantec Endpoint Protection Manager uniquement pour configurer les packages d'installation client. Ensuite, vous distribuez les packages à l'aide d'un autre mécanisme.
36 Spécifications système et pour l'installation Configuration système requise Composant Tableau 2-5 32 bits Configurations requises pour le logiciel client Symantec Endpoint Protection 64 bits Processeur Intel Pentium III 1 GHz pour la plupart des systèmes Les vitesses de processeur suivantes sont prises en charge : 2 GHz pour Small Business Server 2008 Premium Edition 2.5 GHz pour Essential Business Server 2008 Premium Edition 1 GHz sous x64 fonctionne uniquement avec les processeurs suivants : Intel Xeon avec prise en charge Intel EM64T Intel Pentium IV avec prise en charge EM64T AMD 64 bits Opteron AMD 64 bits Athlon Remarque : Itanium n'est pas pris en charge.
Spécifications système et pour l'installation Configuration système requise 37 Composant Système d'exploitation 32 bits Les systèmes d'exploitation suivants sont pris en charge : Mac OS X 10.4-10.6 Windows 2000 Professional/Server/Advanced Server/Datacenter Server with Service Pack 3 ou une version ultérieure Windows XP Professional/XP intégré avec Service Pack 1 ou version ultérieure Remarque : Windows XP prend en charge un nombre limité d'utilisateurs simultanés si les clients sont en mode "push" (transfert). Utilisez le mode "pull" (extraction) sur les serveurs Windows XP pour jusqu'à 100 clients. Pour plus d'informations, recherchez Symantec Endpoint Protection Manager 11.x communication troubleshooting sur le site Web de support de Symantec. Windows Server 2003 R2, Standard Edition/Enterprise Edition/Datacenter Edition/Storage Edition/Web Edition Windows Server 2003 avec le Service Pack 1, Standard Edition/Enterprise Edition/Datacenter Edition/Storage Edition/Web Edition Windows Server 2003 avec SP2, Standard Edition/Enterprise Edition/Datacenter Edition/Storage Edition/Web Edition Windows Vista (toutes les versions x86 et les Service Packs) Windows 7 (toutes les versions x86) Windows Fundamentals for Legacy PCs Windows Server 2008 Standard/Windows Server 2008 Enterprise/Windows Server 2008 Datacenter/Windows Web Server 2008 (tous les Service Packs pris en charge) Les principales installations sont prises en charge. Windows Small Business Server 2000/Windows Small Business Server 2003 64 bits Les systèmes d'exploitation suivants sont pris en charge : Mac OS X -- N/A Windows XP Professionnel avec Service Pack 1 ou version ultérieure Remarque : Windows XP prend en charge un nombre limité d'utilisateurs simultanés si les clients sont en mode "push" (transfert). Utilisez le mode "pull" (extraction) sur les serveurs Windows XP pour jusqu'à 100 clients. Pour plus d'informations, recherchez Symantec Endpoint Protection Manager 11.x communication troubleshooting sur le site Web de support de Symantec. Windows Server 2003 R2, Standard Edition/Enterprise Edition/Datacenter Edition/Storage Edition Windows Server 2003 avec le Service Pack 1, Standard Edition/Enterprise Edition/Datacenter Edition/Storage Edition Windows Server 2003 avec SP2, Standard Edition/Enterprise Edition/Datacenter Edition/Storage Edition Windows Vista (toutes les versions x64 et les Service Packs) Windows 7 (toutes les versions x64) Windows Server 2008 Standard/Windows Server 2008 Enterprise/Windows Server 2008 Datacenter/Windows Web Server 2008 (R2 tous les Service Packs pris en charge) Les principales installations sont prises en charge. Windows Essential Business Server 2008 Standard Edition/Windows Small Business Server 2008 Premium Edition (R2 et tous les Service Packs sont pris en charge) Windows Small Business Server 2008 Standard Edition/Windows Small Business Server 2008 Premium Edition (R2 et tous les Service Packs sont pris en charge)
38 Spécifications système et pour l'installation Configuration système requise Composant Mémoire 32 bits Les quantités de RAM suivantes sont requises : 64 bits Les quantités de RAM suivantes sont requises : 256 Mo de RAM (512 Mo recommandé) pour Mac OS X 10.4 512 Mo pour Mac OS X 10.5 1 Go pour Mac OS X 10.6 256 Mo de RAM minimum, (1 Go recommandé) pour Windows XP, Windows XP Embedded et Windows Fundamentals for Legacy PCs 1 Go de RAM minimum (2-4 Go recommandé) pour Windows Vista, Windows 7, Windows Server 2003 (toutes les éditions) et Windows Server 2008 (toutes les éditions) RAM 1 Go minimum (2-4 Go recommandés) pour la plupart des systèmes 4 Go minimum de RAM pour toutes les éditions de Windows Small Business Server 2008 et Windows Essential Business Server 2008 Disque dur Affichage Autres spécifications 300 Mo pour Mac 600 Mo pour Windows Adaptateur et moniteur vidéo VGA (640x480) ou résolution supérieure Internet Explorer 6.0 ou version ultérieure Les clients Terminal Server qui se connectent à un ordinateur avec protection antivirus ont les spécifications supplémentaires suivantes : 700 Mo pour Windows XGA (1 024x768) ou adaptateur vidéo et écran de résolution supérieure Internet Explorer 6.0 ou version ultérieure Client Microsoft Terminal Server RDP (Remote Desktop Protocol) Citrix Metaframe (ICA) client 1.8 ou version ultérieure si vous utilisez un serveur Citrix Metaframe sur Terminal Server Remarque : L'Assistant de déploiement ne vérifie pas si Internet Explorer 6.0 ou version ultérieure est installé sur les ordinateurs en cas de nécessité. Si les ordinateurs cibles ne sont pas dotés de la version correcte d'internet Explorer, l'installation échoue sans vous en informer.
Spécifications système et pour l'installation Configuration système requise 39 Configurations requises pour le logiciel client Symantec Network Access Control Pour installer le logiciel client Symantec, vous devez avoir des droits d'administrateur sur l'ordinateur ou sur le domaine Windows et ouvrir une session en tant qu'administrateur. Le programme d'installation du logiciel Symantec lance un deuxième programme d'installation sur l'ordinateur pour créer et démarrer des services et pour modifier le registre de Windows. Composant Tableau 2-6 32 bits Configurations requises pour le logiciel client Symantec Network Access Control 64 bits Processeur Intel Pentium III 1 GHz pour la plupart des systèmes Les vitesses de processeur suivantes sont prises en charge : 2 GHz pour Small Business Server 2008 Premium Edition 2,5 GHz pour Essential Business Server 2008 Premium Edition 1 GHz sous x64 fonctionne seulement avec les processeurs suivants : Intel Xeon avec prise en charge Intel EM64T Intel Pentium IV avec prise en charge EM64T AMD 64 bits Opteron AMD 64 bits Athlon Remarque : Itanium n'est pas pris en charge.
40 Spécifications système et pour l'installation Configuration système requise Composant Système d'exploitation 32 bits Les systèmes d'exploitation suivants sont pris en charge : Windows 2000 Professional/Server/Advanced Server/Datacenter Server with Service Pack 3 ou une version ultérieure Windows XP Professional/XP intégré avec Service Pack 1 ou version ultérieure Remarque : Windows XP prend en charge un nombre limité d'utilisateurs simultanés si les clients sont en mode "transfert" (push). Utilisez le mode "extraction" (pull) sur les serveurs Windows XP pour jusqu'à 100 clients. Pour plus d'informations, recherchez Symantec Endpoint Protection Manager 11.x communication troubleshooting sur le site Web de support de Symantec. Windows Server 2003 R2, Standard Edition/Enterprise Edition/Datacenter Edition/Storage Edition/Web Edition Windows Server 2003 avec le Service Pack 1, Standard Edition/Enterprise Edition/Datacenter Edition/Storage Edition/Web Edition Windows Server 2003 avec SP2, Standard Edition/Enterprise Edition/Datacenter Edition/Storage Edition/Web Edition Windows Vista (toutes les versions x86 et les Service Packs) Windows 7 (toutes les versions x86) Windows Server 2008 Standard/Windows Server 2008 Enterprise/Windows Server 2008 Datacenter/Windows Web Server 2008 (tous les Service Packs pris en charge) Les principales installations sont prises en charge. Windows Small Business Server 2000/Windows Small Business Server 2003 64 bits Les systèmes d'exploitation suivants sont pris en charge : Windows XP Professional avec Service Pack 1 ou version ultérieure Remarque : Windows XP prend en charge un nombre limité d'utilisateurs simultanés si les clients sont en mode "transfert" (push). Utilisez le mode "extraction" (pull) sur les serveurs Windows XP pour jusqu'à 100 clients. Pour plus d'informations, recherchez Symantec Endpoint Protection Manager 11.x communication troubleshooting sur le site Web de support de Symantec. Windows Server 2003 R2, Standard Edition/Enterprise Edition/Datacenter Edition/Storage Edition/Web Edition Windows Server 2003 avec le Service Pack 1, Standard Edition/Enterprise Edition/Datacenter Edition/Storage Edition/Web Edition Windows Server 2003 avec SP2, Standard Edition/Enterprise Edition/Datacenter Edition/Storage Edition/Web Edition Windows Vista (toutes les versions x64 et les Service Packs) Windows 7 (toutes les versions x64) Windows Server 2008 Standard/Windows Server 2008 Enterprise/Windows Server 2008 Datacenter/Windows Web Server 2008 (R2 tous les Service Packs pris en charge) Les principales installations sont prises en charge. Windows Essential Business Server 2008 Standard Edition/Windows Small Business Server 2008 Premium Edition (R2 et tous les Service Packs sont pris en charge) Windows Small Business Server 2008 Standard Edition/Windows Small Business Server 2008 Premium Edition (R2 et tous les Service Packs sont pris en charge)
Spécifications système et pour l'installation Configuration système requise 41 Composant Mémoire 32 bits Les quantités de RAM suivantes sont requises : 64 bits Les quantités de RAM suivantes sont requises : 256 Mo de RAM muinimum (1 Go recommandé) pour Windows XP et Windows Fundamentals for Legacy PCs 1 Go de RAM minimum (2-4 Go recommandé) pour Windows Vista, Windows 7, Windows Server 2003 (toutes les éditions) et Windows Server 2008 (toutes les éditions) RAM 1 Go minimum (2-4 Go recommandés) pour la plupart des systèmes RAM 4 Go minimum pour toutes les éditions de Windows Small Business Server 2008 et Windows Essential Business Server 2008 Disque dur Affichage Autres spécifications 240 Mo (client Symantec Network Access Control seulement) 600 Mo (client Symantec Network Access Control et client Symantec Endpoint Protection) Adaptateur et moniteur vidéo VGA (640x480) ou résolution supérieure XGA (1 024x768) ou adaptateur vidéo et écran de résolution supérieure Internet Explorer 6.0 ou version ultérieure Les clients Terminal Server qui se connectent à un ordinateur avec protection antivirus ont les spécifications supplémentaires suivantes : 220 MG (client Symantec Network Access Control seulement) 700 Mo (client Symantec Network Access Control et client Symantec Endpoint Protection) XGA (1 024x768) ou adaptateur vidéo et écran de résolution supérieure Internet Explorer 6.0 ou version ultérieure Client Microsoft Terminal Server RDP (Remote Desktop Protocol) Citrix Metaframe (ICA) client 1.8 ou ultérieur si vous utilisez un serveur Citrix Metaframe sur Terminal Server Remarque : L'assistant de déploiement ne vérifie pas si Internet Explorer 6.0 ou version ultérieure est installé sur les ordinateurs en cas de nécessité. Si les ordinateurs cibles ne sont pas dotés de la version correcte d'internet Explorer, l'installation échoue sans vous en informer. Configuration requise pour le client Symantec AntiVirus pour Linux Vous pouvez installer le client Symantec AntiVirus pour Linux sur des clients non gérés dans un environnement qui contient Symantec Endpoint Protection. Le
42 Spécifications système et pour l'installation Configuration système requise client Symantec AntiVirus pour Linux comprend une protection antivirus en temps réel des fichiers par des analyses Auto Protect et des analyses de système de fichiers manuelles et planifiées. Les systèmes d'exploitation suivants sont pris en charge : Red Hat Enterprise Linux 3.x, 4.x, 5.x SuSE Linux Enterprise (serveur/bureau) 9.x, 10.x Novell Open Enterprise Server (OES/OES2) Ubuntu 7.x, 8.x, 9.x Debian 4.x, 5.x Fedora 11.x, 12.x VMWare ESX 2.5.x, 3.x Pour plus d'informations sur la configuration système requise, l'installation sous Linux et l'interface de ligne de commande, consultez le Guide de mise en œuvre de Symantec AntiVirus pour Linux. Pour plus d'informations sur l'utilisation du client Symantec AntiVirus sous Linux, consultez le Guide client de Symantec AntiVirus pour Linux. Les guides se trouvent dans les dossiers de documentation du CD contenant le logiciel client Symantec AntiVirus pour Linux. Le Guide de mise en oeuvre de Symantec AntiVirus pour Linux est également disponible à l'emplacement suivant : ftp://ftp.symantec.com/public/english_us_canada/products/symantec_antivirus/ symantec_antivirus_corp/10.1/manuals/sav_linux_impl.pdf. Configuration système requise pour la console de quarantaine La configuration requise pour la console de quarantaine est la suivante. Tableau 2-7 Configuration système requise pour la console de quarantaine Composant Processeur 32 bits 600 mhz Intel Pentium III
Spécifications système et pour l'installation Configuration système requise 43 Composant Système d'exploitation 32 bits Les systèmes d'exploitation suivants sont pris en charge : Windows 2000 Professional/Server/Advanced Server/Datacenter Server avec Service Pack 3 ou une version ultérieure Windows XP Professional avec Service Pack 1 ou version ultérieure Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Web Edition Windows Vista (x86) Home Basic Edition/Home Premium Edition/Business Edition/Enterprise Edition/Ultimate Edition Windows 7 (x86) Windows Server 2008 Standard Edition/Enterprise Edition/Datacenter Edition/Web Edition (versions de base et complète) Mémoire Disque dur Affichage Autres spécifications 64 Mo de RAM 35 Mo XGA (1 024x768) ou adaptateur vidéo et écran de résolution supérieure Les autres spécifications suivantes doivent être satisfaites : Internet Explorer 5.5 Service Pack 2 ou ultérieur Microsoft Management Console 1.2 ou ultérieur Si MMC n'est pas installé, vous aurez besoin de 3 Mo d'espace disque disponible (10 Mo pendant l'installation) Remarque concernant les systèmes d'exploitation La console de quarantaine n'a pas été testée sur les systèmes d'exploitation 64 bits. Configuration système requise pour le serveur de quarantaine centralisée La configuration requise pour le serveur de quarantaine centralisée est la suivante. Composant Tableau 2-8 32 bits Configuration système requise pour le serveur de quarantaine centralisée 64 bits Processeur 600 mhz Intel Pentium III Non testé
44 Spécifications système et pour l'installation Conditions requises pour l'internationalisation Composant Système d'exploitation Mémoire Disque dur Affichage 32 bits Les systèmes d'exploitation suivants sont pris en charge : Windows 2000 Professional/Server/Advanced Server/Datacenter Server avec Service Pack 3 ou une version ultérieure Windows XP Professional avec Service pack 1 ou version ultérieure Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Web Edition Windows Vista (x86) Home Basic Edition/Home Premium Edition/Business Edition/Enterprise Edition/Ultimate Edition 128 Mo de RAM 40 Mo, 500 Mo à 4 Go recommandé pour les éléments en quarantaine et 250 Mo de fichier d'échange XGA (1 024x768) ou adaptateur vidéo et écran de résolution supérieure 64 bits Non testé Non testé Non testé Non testé Autres spécifications Internet Explorer 5.5 Service Pack 2 ou ultérieur Non testé Conditions requises pour l'internationalisation Certaines restrictions s'appliquent lorsque vous installez Symantec Endpoint Protection Manager dans un environnement non anglais ou de langues mixtes. Utilisez les directives d'internationalisation (I18N) suivantes lorsque vous planifiez votre installation.
Spécifications système et pour l'installation Conditions requises pour l'internationalisation 45 Tableau 2-9 Composants Directives d'internationalisation Conditions requises Noms d'ordinateur, noms de domaine, noms de serveur et noms de groupe de travail Les caractères non anglais sont pris en charge avec les restrictions suivantes : La fonction Rechercher les ordinateurs autonomes peut ne pas fonctionner pour les noms qui utilisent un jeu de caractères à deux octets ou un jeu de caractères high-ascii. Ces noms incluent des noms d'hôte, des noms de domaine et des noms d'utilisateur. Se reporter à "Déploiement du logiciel client avec Rechercher les ordinateurs non gérés" à la page 112. Les noms de jeu de caractères à deux octets ou les noms du jeu de caractères high-ascii peuvent ne pas s'afficher correctement sur la console Symantec Endpoint Protection Manager ou sur l'interface utilisateur client. Les noms d'hôte longs utilisant des jeux de caractères à deux octets ou en ASCII étendu ne peuvent pas dépasser la longueur autorisée par NetBIOS. Si les caractères du nom d'hôte dépassent la longueur que NetBIOS autorise, les pages Accueil, Ecrans et Rapports ne s'affichent pas sur la console Symantec Endpoint Protection Manager. Un ordinateur client dont le nom contient un caractère à deux octets ou en ASCII étendu ne pourra pas agir comme Fournisseur de mise à jour groupée.
46 Spécifications système et pour l'installation A propos de la prise en charge VMware Composants Caractères anglais Conditions requises Des caractères anglais sont requis dans les situations suivantes : Pour déployer un package client vers un ordinateur distant. Pour définir le dossier de données du serveur sur la page de l'assistant de configuration du serveur de gestion. Pour définir le chemin d'installation de Symantec Endpoint Protection Manager. Pour définir les informations d'identification quand vous déployez le client vers un ordinateur distant. Pour définir un nom de groupe. Vous pouvez créer un package client pour les groupes dont les noms contiennent des caractères non anglais. Cependant, vous risquez de ne pas pouvoir déployer le package client en utilisant l'assistant de déploiement quand le nom de groupe contient des caractères non anglais. Pour transférer des caractères non anglais aux ordinateurs client. Quelques caractères non anglais qui sont générés du côté serveur peuvent ne pas s'afficher correctement sur l'interface utilisateur client. Par exemple, un nom d'emplacement utilisant un jeu de caractères à deux octets ne s'affiche pas correctement sur les ordinateurs client dont le nom utilise un jeu de caractères qui n'est pas à deux octets. Boîte de dialogue d'ordinateur client Informations utilisateur Activation de la prise en charge I18N dans SQL 2000 Les caractères codés sur deux octets ou ASCII étendu ne doivent pas être utilisés en fournissant le commentaire dans la boîte de dialogue Informations utilisateur sur l'ordinateur client une fois le package exporté installé. Les environnements à deux octets, ASCII étendu ou en plusieurs langues utilisant une base de données SQL 2000 doivent activer le traitement par lots. Vous pouvez activer la prise en charge I18n dans SQL 2000. Sur Symantec Endpoint Protection Manager, ouvrez le fichier suivant : c:\...\symantec Endpoint Protection Manager\tomcat\etc\conf.properties. Modifiez alors le fichier pour ajouter la ligne suivante : scm.log.batchmode=1. Enregistrez et fermez le fichier. Redémarrez le service Symantec Endpoint Protection Manager. A propos de la prise en charge VMware Le logiciel Symantec est pris en charge sur VMware.
Spécifications système et pour l'installation A propos de la prise en charge VMware 47 Tableau 2-10 Prise en charge VMware logiciel Symantec prise en charge VMware Symantec Endpoint Protection Manager, console et composants de base de données Le serveur de gestion est pris en charge sur les versions suivantes de VMware : VMware WS 5.0 (workstation) ou version ultérieure VMware GSX 3.2 (entreprise) ou version ultérieure VMware ESX 2.5 ou version ultérieure VMware VMotion Le serveur de gestion est pris en charge sur les systèmes d'exploitation invités VMware suivants : Windows 2000 Professional/Server/Advanced Server avec Service pack 3 ou version ultérieure (console uniquement) Editions Windows Server 2003 Editions Windows Server 2003 x64 Windows XP Home Edition/Professionnel (console uniquement) Windows XP Professionnel x64 Edition (console uniquement) Windows Server 2008 SP2, R2, Small Business Server/Essential Business Server 2008 Windows Vista Editions x86 et x64 Symantec Endpoint Protection et clients Symantec Network Access Control Les composants client sont pris en charge sur les versions suivantes de VMware : VMware WS 5.0 (workstation) ou version ultérieure VMware GSX 3.2 (entreprise) ou version ultérieure VMware ESX 2.5 ou version ultérieure VMware VMotion Les composants client sont pris en charge sur les systèmes d'exploitation invités suivants sous VMware : Windows 2000 Professional/Server/Advanced Server Windows Server 2003, éditions x86 et x64 Windows Server 2008, éditions x86 et x64 Windows XP Professional/Home Edition XP Professional x64 Edition Windows Vista Editions x86 et x64
48 Spécifications système et pour l'installation A propos de prise en charge de Microsoft Virtual Server A propos de prise en charge de Microsoft Virtual Server Le logiciel Symantec est pris en charge sur les Microsoft Virtual Servers suivants : Microsoft Virtual Server 2005 Windows Server 2008 Hyper-v A propos de la compatibilité de Symantec Endpoint Protection Manager avec d'autres produits Certains produits peuvent entraîner des conflits avec Symantec Endpoint Protection lorsqu'ils sont installés sur le même serveur. Vous devez configurer l'installation de Symantec Endpoint Protection Manager si le même serveur contient un ou plusieurs des produits suivants : Symantec Backup Exec 10, 10D ou 11D Symantec Brightmail Symantec Enterprise Vault Symantec Ghost Solution Suite 2.0 Symantec Mail Security for Exchange Symantec NetBackup Microsoft Outlook Web Access Microsoft SharePoint Microsoft Windows Update Services Dans la plupart des cas, des modifications de port sont requises pour permettre à ces programmes de s'exécuter simultanément avec Symantec Endpoint Protection. Pour plus d'informations sur les changements de configuration, consultez Adressage des problèmes de compatibilités de Symantec Endpoint Protection
Chapitre 3 Planification de l'installation Ce chapitre traite des sujets suivants : A propos du choix d'un type de base de données A propos des pare-feu et des ports de communication client A propos de la désactivation et de la modification des pare-feu Windows A propos de la préparation des ordinateurs Windows pour le déploiement distant A propos de la préparation d'un serveur Windows Server 2003 pour l'installation via une connexion Remote Desktop Préparer vos ordinateurs client pour l'installation Redémarrages de l'ordinateur requis lors de l'installation ou de la migration A propos du choix d'un type de base de données Symantec Endpoint Protection Manager utilise une base de données pour stocker des informations sur des clients et des paramètres. La base de données est créée en tant qu'élément du processus de configuration. Vous devez décider de quel type utiliser avant d'installer le serveur de gestion. Vous ne pouvez pas utiliser la console jusqu'à ce que vous ayez configuré le serveur de gestion pour utiliser une base de données.
50 Planification de l'installation A propos des pare-feu et des ports de communication client Tableau 3-1 Types de base de données que Symantec Endpoint Protection Manager utilise Type de base de données Base de données intégrée Description La base de données intégrée est incluse avec Symantec Endpoint Protection Manager. Les fichiers de bases de données intégrées sont inclus avec les fichiers d'installation contenus sur le disque de produit. La base de données intégrée est la plus facile à installer et à configurer et prend en charge jusqu'à 5.000 clients. Se reporter à "A propos des paramètres de la base de données intégrée" à la page 65. Base de données de Microsoft SQL Server Vous devez installer Microsoft SQL Server avant d'installer Symantec Endpoint Protection Manager. Vous devez envisager d'acheter et d'installer Microsoft SQL Server pour les raisons suivantes : Vous devez prendre en charge plus de 5.000 clients. Chaque serveur de gestion qui utilise Microsoft SQL Server peut prendre en charge jusqu'à 50.000 clients. Si votre société dispose de plus de 50.000 clients, vous pouvez installer un autre serveur de gestion. Vous voulez prendre en charge le basculement et la répartition de charge. Se reporter à "A propos du basculement et de la répartition de charge" à la page 82. Si vous créez une base de données de Microsoft SQL Server, vous devez d'abord installer une instance de Microsoft SQL Server et la configurez pour la communication avec le serveur de gestion. Si vous prévoyez d'installer des serveurs de gestion supplémentaires pour la réplication, vous devez utiliser une base de données SQL Server pour le serveur de gestion. Se reporter à "A propos des paramètres de configuration de SQL Server" à la page 70. A propos des pare-feu et des ports de communication client Si votre Symantec Endpoint Protection Manager et vos clients utilise un logiciel pare-feu, ouvrez certains ports de sorte que la communication entre le serveur
Planification de l'installation A propos des pare-feu et des ports de communication client 51 de gestion et les clients soit possible. Vous pouvez également autoriser l'application Rtvscan.exe sur tous les ordinateurs à envoyer et recevoir le trafic par vos pare-feu. Le serveur de gestion distant et les outils d'installation du serveur nécessitent l'ouverture du port TCP 139. Tableau 3-2 Ports pour l'installation et les communications des clients et des serveurs Fonction Déploiement de l'assistant de déploiement Fonction Rechercher les ordinateurs autonomes Communication du fournisseur de mise à jour de groupe Composant Serveur de gestion et client Serveur de gestion et client Serveur de gestion et fournisseur de mises à jour groupées Fournisseur de mises à jour groupées et clients Protocole et port TCP 139 et 445 sur les serveurs de gestion et les clients UDP 137 et 138 sur les serveurs de gestion et les clients Ports TCP temporaires sur les serveurs de gestion et les clients TCP 139 et 445 sur les serveurs de gestion Ports TCP temporaires sur des clients TCP 2967 sur tous les périphériques Remarque : Ce port est le port par défaut, il peut être modifié.
52 Planification de l'installation A propos des pare-feu et des ports de communication client Fonction Communications générales Communications générales Communication de réplication Installation de la console distante Symantec Endpoint Protection Manager Composant Serveur de gestion et client Console de serveur de gestion distante et serveur de gestion Site à site entre les serveurs de base de données Serveur de gestion et console de serveur de gestion distante Protocole et port Installation de SEPM avec le site Web par défaut, TCP 80 sur des serveurs de gestion Installation de SEPM avec un site Web personnalisé, TCP 8014 sur des serveurs de gestion, qui est le paramètre par défaut et qui peut être modifié Ports TCP temporaires sur des clients Remarque : Le port 80 peut également être modifié en TCP 443 (HTTPS). Le serveur de gestion écoute sur le port TCP 8005 Tomcat par défaut. TCP 8443 sur les serveurs de gestion Ports TCP temporaires et TCP 9090 sur des consoles Remarque : Ce numéro de port est configurable. TCP 8443 entre les serveurs de base de données TCP 9090 sur des serveurs de gestion à distance Ports TCP temporaires sur les consoles distantes Remarque : Ce numéro de port est configurable.
Planification de l'installation A propos des pare-feu et des ports de communication client 53 Fonction Communication externe de base de données Communication du module d'application Enforcer de Symantec Network Access Control Assistant de migration et de déploiement LiveUpdate Composant Serveurs Microsoft SQL distants et serveur de gestion Serveur de gestion et Enforcer Symantec Endpoint Protection Manager et serveurs de gestion Symantec hérités Client et serveur LiveUpdate Protocole et port TCP 1433 sur les serveurs Microsoft SQL distants Ports TCP temporaires sur les serveurs de gestion Remarque : Le port 1433 est le port par défaut. TCP 1812 sur les serveurs de gestion Ports TCP temporaires sur des boîtiers Enforcer Remarque : Les serveurs Radius utilisent également le port 1812, par conséquent, ne peuvent pas installer Symantec Endpoint Protection Manager sur le même serveur. Ce port n'est configurable sur Symantec Endpoint Protection Manager. Authentification client par Enforcer sur UDP 39.999 TCP 139, TCP 445, ports TCP temporaires et UDP 137 sur les serveurs de gestion TCP 139, TCP 445, ports TCP temporaires et UDP 137 sur les serveurs de gestion Symantec hérités Ports TCP temporaires sur des clients TCP 80 sur des serveurs LiveUpdate
54 Planification de l'installation A propos de la désactivation et de la modification des pare-feu Windows A propos de la désactivation et de la modification des pare-feu Windows La plupart des versions de Windows contiennent un pare-feu qui peut empêcher certains types de communications de produit Symantec. Si ces pare-feu sont activés, il se peut que vous ne puissiez installer le logiciel client à distance avec les outils d'installation et de déploiement distants. Si des ordinateurs du réseau exécutent ces systèmes d'exploitation, vous devez configurer les pare-feu pour autoriser ces communications. Les versions de Windows qui ne comprennent pas de pare-feu sont Windows XP sans Service Pack 2 ou version ultérieure et Windows 2000. Pour utiliser les pare-feu Windows, vous devez les configurer pour prendre en charge les communications en ouvrant les ports ou en spécifiant qu'il s'agit de programmes approuvés. Avant d'installer le logiciel client à distance, vous devez autoriser le trafic en provenance des ports TCP 1024-5000 vers des ports TCP 139 et 445 sur les clients. Grâce à l'inspection "stateful", le trafic généré en retour est routé automatiquement. Vous devez également permettre aux clients de recevoir le trafic des ports TCP 1024-5000 du serveur sur le port TCP 139. Et vous devez permettre aux clients d'envoyer le trafic du port TCP 139 aux ports TCP 1024-5000 sur les serveurs. Les communications héritées nécessitent l'ouverture du port UDP 2967 sur tous les ordinateurs. Se reporter à "A propos des pare-feux Windows et Symantec" à la page 54. Se reporter à "A propos de la désactivation du pare-feu Windows" à la page 55. Se reporter à "A propos de la modification du pare-feu de Windows Vista, Windows Server 2008 et Windows 7" à la page 55. A propos des pare-feux Windows et Symantec Si vous installez le pare-feu Symantec, le programme d'installation désactive automatiquement les pare-feu Windows qui sont activés. Si vous n'installez pas le pare-feu Symantec, le programme d'installation ne désactive pas les pare-feu Windows. Les pare-feu qui s'exécutent sur Windows Vista, Windows Server 2008 ou Windows 7 prennent en charge IPv4 et IPv6. Le pare-feu Symantec prend en charge IPv4 uniquement. La règle de base par défaut du pare-feu Symantec contient néanmoins une règle qui bloque tout le trafic IPv6.
Planification de l'installation A propos de la désactivation et de la modification des pare-feu Windows 55 Avertissement : Ne supprimez pas la règle qui bloque IPv6. Ne modifiez pas son action de filtre de Bloquer à Autoriser. Cette règle est créée pour le protocole ethernet. Lorsque vous affichez les services pour une règle puis ajoutez un service, vous avez accès au protocole Ethernet. Vous pouvez ensuite sélectionner le type de protocole IPv6 pour le protocole Ethernet. A propos de la désactivation du pare-feu Windows La plupart des versions de Windows incluent un pare-feu appelé pare-feu Windows. Ce pare-feu peut gêner l'installation distante et les communications entre les serveurs de gestion et les clients. Vous n'êtes pas appelé à désactiver le pare-feu Windows si vous pouvez créer et configurer des règles afin d'ouvrir les ports appropriés autorisant le déploiement. Si vous ne pouvez pas créer et configurer des règles de filtrage, désactivez le pare-feu Windows avant de déployer le logiciel client à distance. Remarque : Dans Windows XP avec Service Pack 1, le Pare-feu Windows est appelé Pare-feu de connexion Internet. Une fois le logiciel client installé, vous pouvez désactiver le Pare-feu Windows. En outre, le pare-feu Windows s'exécutant sur Windows Server 2008 Server Core est désactivé à l'aide de la commande netsh. Se reporter à "A propos des pare-feu et des ports de communication client" à la page 50. A propos de la modification du pare-feu de Windows Vista, Windows Server 2008 et Windows 7 Windows Vista, Windows Server 2008 et Windows 7contiennent un pare-feu activé par défaut. Si le pare-feu est activé, il peut être difficile d'installer le logiciel client à distance à partir de la console Symantec Endpoint Protection Manager et d'autres outils d'installation à distance. Vous devez configurer le Pare-feu Windows pour permettre aux composants de communiquer les uns avec les autres. Vous devez configurer le Pare-feu Windows avant d'installer le logiciel client. Vous pouvez également le désactiver temporairement sur les clients avant de déployer le logiciel client.
56 Planification de l'installation A propos de la préparation des ordinateurs Windows pour le déploiement distant Vous devez configurer le pare-feu Windows pour permettre le partage de fichier et d'imprimantes avant d'installer le logiciel client sur Windows Vista, Windows Server 2008 et Windows 7. Remarque : L'installation du client modifie automatiquement le Pare-feu Windows pendant l'installation sous Windows Vista pour permettre à des processus spécifiques d'accéder à votre réseau et à Internet. Aucune autre modification de votre part n'est nécessaire. A propos de la préparation des ordinateurs Windows pour le déploiement distant Vous pouvez devoir modifier certains paramètres pour le système d'exploitation des ordinateurs client vers lesquels vous voulez déployer le logiciel client. Tableau 3-3 Paramètres de configuration du système d'exploitation client pour le déploiement distant Système d'exploitation client Windows XP dans un groupe de travail Configuration requise Désactivez le partage de fichiers simple. Le partage de fichiers simple peut empêcher le déploiement du logiciel client. Windows Vista, Windows Server 2008 et Windows 7 Désactivez l'assistant de partage de fichiers. Activez la détection réseau à l'aide du centre de réseau et de partage. Vérifiez que votre compte a des droits d'utilisateur étendus. Windows Vista, Windows Server 2008 et Windows 7 d'un domaine Active Directory Le compte utilisé pour déployer le logiciel client doit être un administrateur de domaine avec des privilèges étendus sur l'ordinateur client.
Planification de l'installation A propos de la préparation d'un serveur Windows Server 2003 pour l'installation via une connexion Remote Desktop 57 A propos de la préparation d'un serveur Windows Server 2003 pour l'installation via une connexion Remote Desktop Symantec Endpoint Protection Manager requiert l'accès au registre système pour l'installation et le fonctionnement normal. Pour installer le logiciel en utilisant une connexion Remote Desktop, vous devez configurer le serveur auquel vous vous connectez pour permettre le contrôle à distance. Vous pouvez alors vous connecter au serveur à partir d'un ordinateur distant en utilisant une session de console distante ou vous pouvez dupliquer la session de console. Pour plus d'informations sur le bureau à distance et les services de terminal, reportez-vous à la documentation de Windows. Préparer vos ordinateurs client pour l'installation Avant d'installer le logiciel client sur vos ordinateurs, vous devez d'abord déterminer l'état de ces ordinateurs. Tableau 3-4 affiche les conditions que vous devez évaluer avant de commencer le processus d'installation du logiciel client : Tableau 3-4 Tâches Tâches de préparation des ordinateurs client à l'installation Description Supprimer les virus et les risques avant d'installer ou mettre à niveau les ordinateurs client. Certaines menaces peuvent directement gêner l'installation ou le fonctionnement du logiciel client. Pour les ordinateurs sur lesquels aucun antivirus n'est installé, vous pouvez effectuer une analyse à partir de Symantec Security Response. Si la recherche de virus détecte un virus, elle vous dirige vers des instructions de nettoyage manuel dans l'encyclopédie des virus, si elles sont disponibles. La fonction de recherche de virus est accessible sur le site Web de Symantec Security Response à l'adresse suivante : http://www.symantec.com/fr/fr/security_response/
58 Planification de l'installation Redémarrages de l'ordinateur requis lors de l'installation ou de la migration Tâches Description Déterminer si le logiciel de sécurité tiers est installé sur les ordinateurs. Le logiciel de sécurité tiers inclut d'autres logiciels antivirus ou logiciels anti-publicitaires et les antispyware. Ces programmes peuvent affecter la performance et l'efficacité du logiciel client. Symantec déconseille d'exécuter deux programmes antivirus sur un même ordinateur. De même, il peut être problématique d'exécuter deux programmes contre les logiciels publicitaires ou les logiciels espions et deux programmes de pare-feu. Cette recommandation est importante si les deux programmes assurent la protection en temps réel. Ces deux programmes peuvent créer un conflit de ressources et vider les ressources de l'ordinateur lorsque les programmes tentent d'analyser et réparer les mêmes fichiers. Déployer le logiciel client dans un environnement d'évaluation. L'environnement d'évaluation peut être un réseau d'ordinateurs indépendants conçu d'après votre environnement de production. Ou le réseau d'évaluation peut être constitué d'un petit groupe d'ordinateurs de votre réseau de production réelle. Se reporter à "Configuration et déploiement du logiciel client sur des ordinateurs Windows" à la page 102. Redémarrages de l'ordinateur requis lors de l'installation ou de la migration Dans certains cas, l'ordinateur sur lequel vous installez le logiciel Symantec Endpoint Protection doit être redémarré pour terminer l'installation. Un redémarrage de l'ordinateur est requis dans les scénarios suivants : Tous les ordinateurs client qui n'exécutent pas MSI 3.1. La mise à niveau d'installations client MSI vers 3.1 si 3.1 ne s'exécute pas sur des ordinateurs client et que cette mise à niveau requiert un redémarrage. Logiciel d'installation client Symantec Endpoint Protection qui installe la protection contre les menaces réseau et le pare-feu. Les migrations de serveur de Symantec Sygate Enterprise Protection.
Section 2 Installation Chapitre 4. Installer et configurer Symantec Endpoint Protection Manager Chapitre 5. Installation du logiciel client Symantec Chapitre 6. Installation de Quarantaine et des serveurs LiveUpdate
60
Chapitre 4 Installer et configurer Symantec Endpoint Protection Manager Ce chapitre traite des sujets suivants : Installation initiale du produit A propos des paramètres de la base de données intégrée Installation et configuration de Symantec Endpoint Protection Manager avec une base de données intégrée A propos des paramètres de configuration de SQL Server A propos des modes d'authentification de base de données de SQL Server Installation et configuration de Symantec Endpoint Protection Manager avec une base de données SQL Server A propos de l'installation d'instances multiples de Symantec Endpoint Protection Manager Consoles supplémentaires Symantec Endpoint Protection Manager en cours d'exécution A propos du basculement et de la répartition de charge A propos de l'installation et de la configuration de Symantec Endpoint Protection Manager pour le basculement ou la répartition de charge Mettre à niveau de la base de données intégrée vers une base de données SQL Server
62 Installer et configurer Symantec Endpoint Protection Manager Installation initiale du produit A propos de l'installation et la configuration de Symantec Endpoint Protection Manager pour la réplication A propos de la désinstallation de Symantec Endpoint Protection Manager Installation initiale du produit Vous pouvez utiliser les étapes principales suivantes pour installer le produit sur un ordinateur sur lequel une version n'est pas déjà installée. Tableau 4-1 Processus d'installation du produit Etape Etape 1 Etape 2 Etape 3 Action Vérifiez le système et les conditions d'installation Prévoyez et préparez l'installation Installer Symantec Endpoint Protection Manager Description Confirmez que votre réseau et les ordinateurs que vous prévoyez d'utiliser répondent aux exigences d'installation et d'exploitation du logiciel. Se reporter à "Configuration système requise" à la page 25. Décidez quel type de base de données utiliser, planifiez votre déploiement et préparez les ordinateurs client. Se reporter à "A propos du basculement et de la répartition de charge" à la page 82. Se reporter à "A propos de la préparation des ordinateurs Windows pour le déploiement distant" à la page 56. Se reporter à "Préparer vos ordinateurs client pour l'installation" à la page 57. Exécutez le programme d'installation à partir du disque de produit. Le programme installe d'abord le logiciel du serveur de gestion. Il configure ensuite le serveur de gestion et crée la base de données. Suivez la procédure qui correspond au type de base de données que vous sélectionnez. Se reporter à "Installation et configuration de Symantec Endpoint Protection Manager avec une base de données intégrée" à la page 66. Se reporter à "Installation et configuration de Symantec Endpoint Protection Manager avec une base de données SQL Server" à la page 76.
Installer et configurer Symantec Endpoint Protection Manager Installation initiale du produit 63 Etape Etape 4 Action Créez et déployez un package d'installation client Description
64 Installer et configurer Symantec Endpoint Protection Manager Installation initiale du produit Etape Action Description Après avoir configuré la base de données, un messgae vous demande si vous voulez exécuter l'assistant de migration et de déploiement. Cet assistant crée, puis distribue un package d'installation par défaut du logiciel client. Alternativement, vous pouvez : Utiliser l'assistant de migration et de déploiement du menu Démarrer à tout moment. Créer et déployer le logiciel client ultérieurement en utilisant l'utilitaire Rechercher les ordinateurs autonomes dans la console. Se reporter à "Déploiement du logiciel client avec Rechercher les ordinateurs non gérés" à la page 112. Si vous installez pour un environnement de test vous pouvez créer et installer les packages de logiciel client par défaut. Ces clients sont attribués au groupe par défaut et utilisent les politiques par défaut. S'il y a un grand nombre d'ordinateurs dans votre environnement de production, vous pouvez commencer par créer des politiques de sécurité personnalisées. Vous pouvez ensuite créer des packages d'installation client avant d'effectuer le déploiement vers les clients. Remarque : Si cette installation est un déploiement de mise à niveau à partir de Symantec Endpoint Protection, il est inutile de redéployer le client. L'installation de Symantec Network Access Control active les fonctions de Symantec Network Access Control sur le client sans déploiement supplémentaire. Se reporter à "A propos du logiciel d'installation de client Symantec" à la page 100. Se reporter à "Configuration et déploiement du logiciel client sur des ordinateurs Windows" à la page 102. Se reporter à "Création des packages d'installation client" à la page 109. Se reporter à "Déploiement du logiciel client sur des ordinateurs Windows à l'aide de l'assistant de déploiement" à la page 111. Se reporter à "Exportation des packages d'installation client pour des ordinateurs Mac" à la page 104. Se reporter à "A propos du déploiement des packages
Installer et configurer Symantec Endpoint Protection Manager A propos des paramètres de la base de données intégrée 65 Etape Action Description d'installation client Mac" à la page 105. A propos des paramètres de la base de données intégrée Vous pouvez spécifier les valeurs suivantes lorsque vous configurez Symantec Endpoint Protection Manager pour utiliser une base de données intégrée. Se reporter à "Installation et configuration de Symantec Endpoint Protection Manager avec une base de données intégrée" à la page 66. Paramètre Tableau 4-2 Par défaut Paramètres de la base de données intégrée Description Sélectionner les options de configuration de site Web IIS Utiliser le site Web personnalisé Créer un site Web personnalisé Crée un serveur Symantec Web indépendant pour Symantec Endpoint Protection Manager. Port TCP Port utilisé pour un site Web personnalisé. Vérifiez que le port utilisé n'est pas bloqué par un pare-feu. Utiliser le site Web par défaut Installe l'application Symantec Endpoint Protection IIS Web dans le site Web IIS par défaut. Le site fonctionne avec d'autres applications Web installées dans le site Web. Nom du serveur Port du serveur Port de la console Web Dossier de données de serveur Nom du site nom de l'hôte local 8443 9090 \\Program Files\Symantec Endpoint Protection Manager\data Site nom d'hôte local Nom de l'ordinateur qui exécute Symantec Endpoint Protection Manager. Numéro du port TCP que Symantec Endpoint Protection Manager écoute. Port HTTP utilisé pour les connexions à la console distante. Répertoire dans lequel Symantec Endpoint Protection Manager place les fichiers de données y compris les sauvegardes, les journaux répliqués et d'autres fichiers. L'installateur crée ce répertoire s'il n'existe pas. Nom du site du conteneur le plus élevé sous lequel toutes les fonctions sont configurées et s'exécutent avec Symantec Endpoint Protection Manager.
66 Installer et configurer Symantec Endpoint Protection Manager Installation et configuration de Symantec Endpoint Protection Manager avec une base de données intégrée Paramètre Mot de passe de chiffrement Nom d'utilisateur Mot de passe Adresse électronique (facultatif) Par défaut Aucun admin Aucun Aucun Description Le mot de passe qui chiffre la communication entre Symantec Endpoint Protection Manager, les clients et d'éventuels périphériques matériels Enforcer. Le mot de passe peut comporter 1-32 caractères alphanumériques et il est obligatoire. Quand le serveur est configuré en mode simple, le mot de passe de chiffrement est identique au mot de passe configuré pour le compte administrateur. Documentez ce mot de passe et conservez-le en lieu sûr. Vous ne pouvez pas modifier ou récupérer le mot de passe après avoir créé la base de données. Vous devez également entrer ce mot de passe pour la reprise après incident si vous n'avez pas de base de données sauvegardée à restaurer. Se reporter à "Préparation à la reprise après incident" à la page 215. Nom d'utilisateur par défaut utilisé pour la connexion à la console Symantec Endpoint Protection Manager pour la première fois. (non configurable) Mot de passe spécifié pour le compte d'administrateur pendant la configuration du serveur. Les notifications système sont envoyées à l'adresse électronique spécifiée. Installation et configuration de Symantec Endpoint Protection Manager avec une base de données intégrée L'installation avec la base de données intégrée est la méthode la plus facile d'installer Symantec Endpoint Protection Manager. La base de données intégrée prend en charge jusqu'à 5 000 clients. Si vous choisissez de configurer le serveur de gestion en mode simple, la base de données intégrée est sélectionnée automatiquement. L'installation de Symantec Endpoint Protection Manager comprend trois parties : La première partie installe le serveur de gestion et la console.
Installer et configurer Symantec Endpoint Protection Manager Installation et configuration de Symantec Endpoint Protection Manager avec une base de données intégrée 67 La deuxième partie configure le serveur de gestion et crée la base de données. La troisième partie crée et déploie le logiciel client vers les ordinateurs client. Vous pouvez déployer le logiciel client pendant l'installation du serveur de gestion ou plus tard. Vous devez déployer le logiciel client sur l'ordinateur qui exécute le serveur de gestion. Chaque partie se compose d'un assistant. Lorsque l'assistant de chaque partie se termine, une invite vous demande si vous voulez continuer avec l'assistant suivant. Pour installer Symantec Endpoint Protection Manager 1 Insérez le disque de produit dans le lecteur et démarrez l'installation. Pour les produits téléchargés, ouvrez le dossier CD1 et cliquez deux fois sur Setup.exe. 2 Dans la page d'accueil, effectuez l'une des opérations suivantes : Pour installer Symantec Endpoint Protection, cliquez sur Installer Symantec Endpoint Protection Manager. Pour installer Symantec Network Access Control, cliquez sur Installer SymantecNetworkAccessControl, puis sur InstallerSymantecEndpoint Protection Manager. 3 Dans la page d'accueil de l'assistant d'installation, cliquez sur Suivant. Un contrôle est effectué pour vérifier si l'ordinateur possède la configuration requise minimum. Si tel n'est pas le cas, un message indique quelle ressource ne répond pas aux exigences minimum. Vous pouvez cliquer sur Oui pour poursuivre l'installation Symantec Endpoint Protection Manager, mais la performance peut être compromise. 4 Dans la page Contrat de licence, cochez J'accepte les termes du contrat de licence, puis cliquez sur Suivant. 5 Dans la page Dossier cible, acceptez ou modifiez le répertoire d'installation, puis cliquez sur Suivant. 6 Dans la page Sélectionner le site Web, effectuez l'une des opérations suivantes : Pour configurer le site Web IIS de Symantec Endpoint Protection Manager comme seul serveur Web sur cet ordinateur, cochez Créer un site Web personnalisé, puis acceptez ou modifiez le Port TCP. Remarque : Ce paramètre est recommandé pour la plupart des installations car il n'engendrera probablement pas de conflit avec d'autres programmes.
68 Installer et configurer Symantec Endpoint Protection Manager Installation et configuration de Symantec Endpoint Protection Manager avec une base de données intégrée Pour permettre au serveur Web IIS de Symantec Endpoint Protection Manager de s'exécuter avec d'autres sites Web sur cet ordinateur, cochez Utiliser le site Web par défaut. 7 Cliquez sur Suivant. 8 Cliquez sur Prêt à installer le programme, cliquez sur Installer. 9 Quand l'installation se termine et que la page Assistantd'installationterminé apparaît, cliquez sur Terminer. Attendez que la page Assistant de configuration de serveur de gestion apparaisse. Cela peut prendre plusieurs secondes. Si vous êtes invité à redémarrer l'ordinateur, redémarrez l'ordinateur et ouvrez une session. L'assistant s'affiche automatiquement pour permettre de continuer. 10 Suivez les étapes correspondant au mode de configuration que vous sélectionnez : Simple ou Avancé. Configuration de Symantec Endpoint Protection Manager avec une base de données intégrée en mode simple 1 Dans la page Assistant de configuration de serveur de gestion, sélectionnez Simple, puis cliquez sur Suivant. 2 Spécifiez et validez un mot de passe de 6 caractères ou plus. Vous pouvez également spécifier l'adresse électronique de l'administrateur. Le mot de passe est le mot de passe du compte administrateur permettant de se connecter à la console Symantec Endpoint Protection Manager. Le mot de passe est également utilisé comme mot de passe de chiffrement nécessaire pour la récupération d'urgence et, si vous installez Symantec Network Access Control, pour ajouter des modules d'application Enforcer. Après l'installation, le mot de passe de chiffrement ne change pas, même si le mot de passe du compte d'admin est modifié. Conservez ce mot de passe pour l'installation de Symantec Endpoint Protection dans votre environnement de production. 3 Cliquez sur Suivant. 4 Dans la page de Collecte de données, effectuez l'une des opérations suivantes : Cochez cette case pour permettre à Symantec Endpoint Protection d'envoyer des informations concernant l'utilisation de ce produit à Symantec. Décochez cette case pour refuser d'envoyer les informations concernant l'utilisation de ce produit à Symantec.
Installer et configurer Symantec Endpoint Protection Manager Installation et configuration de Symantec Endpoint Protection Manager avec une base de données intégrée 69 5 La page du récapitulatif de la configuration affiche les valeurs utilisées pour l'installation de Symantec Endpoint Protection Manager. Vous pouvez imprimer une copie des paramètres à conserver pour vos enregistrements ou cliquer sur Suivant. Attendez que l'installation crée la base de données, ce qui peut prendre plusieurs minutes. 6 Dans la page Assistant de configuration de serveur de gestion terminé, effectuez l'une des opérations suivantes : Pour déployer le logiciel client avec Assistant de migration et de déploiement, cliquez sur Oui, puis cliquez sur Terminer. Pour se connecter à la console Symantec Endpoint Protection Manager, puis déployer le logiciel client, cliquez sur Non, puis sur Terminer. Pour configurer Symantec Endpoint Protection Manager avec une base de données intégrée en mode avancé 1 Dans la page Assistant de configuration de serveur de gestion, sélectionnez Avancé, puis cliquez sur Suivant. 2 Sélectionnez le nombre de clients que vous voulez que ce serveur gère, puis cliquez sur Suivant. Cette sélection s'affiche uniquement lorsque vous installez Symantec Endpoint Protection Manager pour la première fois sur cet ordinateur. 3 Cochez la case Installer mon premier site, puis cliquez sur Suivant. 4 Dans la page des informations du serveur, acceptez ou modifiez les valeurs par défaut, puis cliquez sur Suivant. 5 Dans la page de nom du site, dans la zone Nom du site, acceptez ou modifiez le nom par défaut, puis cliquez sur Suivant. 6 Dans la page de mot de passe de chiffrement, saisissez et confirmez un mot de passe, puis cliquez sur Suivant. Consignez ce mot de passe et conservez-le en lieu sûr. Il est impossible de modifier ou de récupérer le mot de passe après avoir créé la base de données. Vous devez également entrer ce mot de passe pour la reprise après incident si vous n'avez pas de base de données sauvegardée à restaurer. Après l'installation de Symantec Endpoint Protection Manager et une fois que vous êtes familier avec les tâches d'administration, sécurisez les fichiers de chiffrement dont vous avez besoin pour la récupération des données en cas d incident. 7 Dans la page de type de base de données, sélectionnez Base de données intégrée, puis cliquez sur Suivant.
70 Installer et configurer Symantec Endpoint Protection Manager A propos des paramètres de configuration de SQL Server 8 Dans la page de compte administrateur système, saisissez et confirmez un mot de passe de 6 caractères ou plus. Vous pouvez également spécifier l'adresse électronique de l'administrateur. Cliquez sur Suivant. Utilisez le nom d'utilisateur et le mot de passe définis ici pour se connecter à la console pour la première fois. Attendez que l'installation crée la base de données, ce qui peut prendre plusieurs minutes. 9 Dans la page Assistant de configuration de serveur de gestion terminé, effectuez l'une des opérations suivantes : Pour déployer le logiciel client avec Assistant de migration et de déploiement, cliquez sur Oui, puis cliquez sur Terminer. Pour vous connecter d'abord à la console Symantec Endpoint Protection Manager, puis déployer le logiciel client, cliquez sur Non, puis sur Terminer. Se reporter à "Configuration et déploiement du logiciel client sur des ordinateurs Windows" à la page 102. A propos des paramètres de configuration de SQL Server Si vous installez Symantec Endpoint Protection Manager avec une base de données de Microsoft SQL Server, des critères de configuration spécifiques sont requis pour SQL Server. Vous pouvez installer Symantec Endpoint Protection Manager avec une base de données locale ou une base de données distante. Se reporter à "Installation et configuration de Symantec Endpoint Protection Manager avec une base de données SQL Server" à la page 76. Avant de créer la base de données, il est recommandé d'installer une nouvelle instance de SQL Server respectant la configuration recommandée par Symantec pour l'installation et la configuration. Vous pouvez installer une base de données dans une instance existante, mais cette instance doit être configurée correctement, sinon l'installation de votre base de données échoue. Si vous sélectionnez une collecte SQL sensible à la casse, l'installation échoue. Avertissement : Symantec Endpoint Protection Manager s'authentifie à Microsoft SQL Server avec un nom d'utilisateur et un mot de passe de propriétaire de base de données en texte clair. Pour maximiser la posture de sécurité des communications distantes de Microsoft SQL Server, placez les deux serveurs dans un sous-réseau sécurisé.
Installer et configurer Symantec Endpoint Protection Manager A propos des paramètres de configuration de SQL Server 71 Tableau 4-3 Paramètres de configuration requis pour SQL Server Paramètre de configuration Nom d'instance Condition d'installation N'utilisez pas le nom par défaut. Créez un nom tel que SEPM. Par défaut, une base de données Sem5 est créée dans l'instance SQL Server lorsque vous installez Symantec Endpoint Protection Manager. L'instance par défaut est sans nom. Elle est prise en charge, mais peut entraîner une confusion si vous installez des instances multiples sur un ordinateur. Configuration d'authentification Mode mixte ou mode d'authentification Windows Se reporter à "A propos des modes d'authentification de base de données de SQL Server" à la page 75. mot de passe SA Protocole activé Adresses IP pour TCP/IP (SQL Server 2005 et 2008 uniquement) Numéros de port TCP/IP pour IP1, IP2 et IPALL (SQL Server 2005 et 2008 uniquement) Définissez ce mot de passe lorsque vous définissez l'authentification en mode mixte. TCP/IP Activer IP1 et IP2 Définissez les ports TCP dynamiques à vider et spécifiez un numéro de port TCP. Le port par défaut est en général 1433. Vous spécifiez ce numéro de port lorsque vous créez la base de données. La base de données Symantec Endpoint Protection Manager ne prend pas en charge des ports dynamiques. Connexions à distance (SQL Server 2005 et 2008 uniquement) Doit être activé. Le protocole TCP/IP doit également être spécifié. Si votre base de données se trouve sur un serveur distant, vous devez également installer des composants client SQL Server sur l'ordinateur qui exécute Symantec Endpoint Protection Manager. Pendant l'installation de Symantec Endpoint Protection Manager, vous prenez des décisions sur les valeurs de base de données à définir. Vous devez déterminer ces valeurs avant de commencer l'installation.
72 Installer et configurer Symantec Endpoint Protection Manager A propos des paramètres de configuration de SQL Server Paramètre Tableau 4-4 Par défaut Paramètres de la base de données SQL Server Description Sélectionner les options de configuration de site Web IIS Utiliser le site Web par défaut Utiliser le site Web par défaut Installe l'application Symantec Endpoint Protection IIS Web dans le site Web IIS par défaut. Le site fonctionne avec toute autre application Web installée dans le site Web. Port TCP Le port utilisé par le site Web créé. Créer un site Web personnalisé Crée un serveur Symantec Web indépendant pour Symantec Endpoint Protection Manager. Nom du serveur Port du serveur Port de la console Web Dossier de données de serveur Nom du site Mot de passe de chiffrement nom de l'hôte local 8443 9090 C:\Program Files\Symantec Endpoint Protection Manager\data Site nom d'hôte local Aucun(e) Nom de l'ordinateur qui exécute Symantec Endpoint Protection Manager. Numéro de port sur lequel le serveur de gestion écoute. Le port HTTP utilisé pour des connexions de console distante. Répertoire dans lequel Symantec Endpoint Protection Manager place les fichiers de données y compris les sauvegardes, la réplication et d'autres fichiers Symantec Endpoint Protection Manager. L'installateur crée ce répertoire s'il n'existe pas. Nom du site du conteneur le plus élevé sous lequel toutes les fonctions sont configurées et s'exécutent avec Symantec Endpoint Protection Manager. Le mot de passe qui chiffre la communication entre Symantec Endpoint Protection Manager, les clients et des périphériques matériels Enforcer facultatifs. Le mot de passe peut comporter 1-32 caractères alphanumériques et il est obligatoire. Documentez ce mot de passe et conservez-le en lieu sûr. Il est impossible de modifier ou de récupérer le mot de passe après avoir créé la base de données. Vous devez également entrer ce mot de passe pour la reprise après incident si vous n'avez pas de base de données sauvegardée à restaurer. Se reporter à "Préparation à la reprise après incident" à la page 215.
Installer et configurer Symantec Endpoint Protection Manager A propos des paramètres de configuration de SQL Server 73 Paramètre Serveur de base de données Port du serveur SQL Nom de la base de données Utilisateur Mot de passe Par défaut nom de l'hôte local 1433 sem5 sem5 Aucun(e) Description Nom de Microsoft SQL Server et nom d'instance facultative. Si le serveur de base de données a été installé avec l'instance par défaut, donc sans nom, tapez le nom d'hôte ou l''adresse IP de l'hôte. Si le serveur de base de données a été installé avec une instance nommée, tapez nom d'hôte\nom_instance ou adresse IP\nom_instance. L'utilisation du nom d'hôte ne fonctionne que lorsque DNS a été configuré correctement. Si vous installez sur un serveur de base de données distant, vous devez d'abord installer les composants client de SQL Server sur l'ordinateur qui exécute Symantec Endpoint Protection Manager. Le port utilisé pour envoyer et recevoir le trafic SQL Server. Le port 0, utilisé pour spécifier un port aléatoire et négocié, n'est pas pris en charge. Nom de la base de données créée. Nom du compte utilisateur créé pour la base de données. Ce compte utilisateur a un niveau d'accès standard en lecture et en écriture. Le nom peut être une combinaison de valeurs alphanumériques et des caractères spéciaux ~#%_+= :./. Les caractères spéciaux `!@$^&*()-{}[]\\<;>,? ne sont pas autorisés. Les noms suivants sont également interdits : sysadmin, server admin, setupadmin, securityadmin, processadmin, dbcreator, diskadmin, bulkadmin. Mot de passe à associer au compte utilisateur de la base de données. Le nom peut être une combinaison de valeurs alphanumériques et de caractères spéciaux ~#%_+= :./. Les caractères spéciaux `!@$^&*()-{}[]\\<;>,? ne sont pas autorisés.
74 Installer et configurer Symantec Endpoint Protection Manager A propos des paramètres de configuration de SQL Server Paramètre Dossier Client SQL Utilisateur Administrateur de base de données Mot de passe de l'administrateur de base de données Par défaut SQL Server 2000 : C:\Program Files\Microsoft SQL Server\80\Tools\Binn SQL Server 2005 : C:\Program Files\Microsoft SQL Server\90\Tools\Binn SQL Server 2008 : C:\Program Files\Microsoft SQL Server\100\Tools\Binn Aucun(e) Aucun(e) Description Emplacement du répertoire utilitaire SQL Client local qui contient bcp.exe. Nom du compte administrateur du serveur de base de données, qui est typiquement SA. Nom du mot de passe associé au compte utilisateur de l'administrateur de base de données. Dossier des données de la base de données Automatiquement détecté après avoir cliqué sur Par défaut SQL Server 2000 : C:\Program Files\Microsoft SQL Server\MSSQL\Data SQL Server 2005 : C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Data SQL Server 2008 : C:\Program Files\Microsoft SQL Server\ MSSQL10.MSSQLSERVER\ MSSQL\Data Emplacement du répertoire de données SQL Server. Si vous effectuez l'installation sur un serveur distant, l'identifiant du volume doit correspondre à l'identifiant du serveur distant. Si vous installez vers une instance nommée sur SQL Server 2000, le nom d'instance est ajouté à MSSQL avec le signe dollar. Par exemple, \MSSQL$nom_instance\Data. Si vous installez vers une instance nommée sur SQL Server 2005, le nom d'instance est ajouté à MSSQL avec un point et un identificateur numérique. Par exemple, \MSSQL.1\nom_instance\Data. Si vous installez sur une instance SQL Server 2008 nommée, le nom d'instance est ajouté à MSSQL10. Par exemple, \MSSQL10.nom_instance\Data. Remarque : Le fait de cliquer sur Par défaut affiche le répertoire d'installation approprié, si vous avez entré le serveur de base de données et le nom de l'instance correctement. Si vous cliquez sur Par défaut et si le répertoire d'installation correct ne s'affiche pas, la création de base de données échoue.
Installer et configurer Symantec Endpoint Protection Manager A propos des modes d'authentification de base de données de SQL Server 75 Paramètre Nom de l'utilisateur admin Mot de passe Admin Adresse électronique (facultatif) Par défaut admin Aucun(e) Aucun(e) Description Nom de l'utilisateur par défaut utilisé pour la connexion à la console Symantec Endpoint Protection Manager la première fois. (non modifiable) Mot de passe spécifié pendant la configuration du serveur pour utilisation avec le nom d'utilisateur admin. Les notifications système sont envoyées à l'adresse électronique spécifiée. A propos des modes d'authentification de base de données de SQL Server Le Symantec Endpoint Protection Manager prend en charge deux modes d'authentification de base de données Microsoft SQL : Mode d'authentification Windows Mode mixte Microsoft SQL Server peut être configuré pour utiliser l'authentification Windows ou l'authentification en mode mixte. L'authentification en mode mixte permet d'utiliser les informations d'authentification de Windows ou de SQL. Lorsque SQL Server est configuré pour utiliser le mode mixte, Symantec Endpoint Protection Manager peut être défini pour utiliser l'authentification Windows ou l'authentification en mode mixte. Lorsque SQL Server est configuré pour utiliser le mode Authentification Windows, Symantec Endpoint Protection Manager doit également être configuré pour utiliser le mode Authentification Windows. Pour les connexions de base de données distantes qui utilisent le mode d'authentification Windows, vous devez maîtriser les conditions suivantes : Pour les déploiements dans un environnement Active Directory, Symantec Endpoint Protection Manager et SQL Server doivent être situés dans le même domaine Windows. Pour les déploiements dans un environnement de groupe de travail, les informations d'authentification de compte Windows doivent être les mêmes pour les ordinateurs locaux et les ordinateurs distants. Se reporter à "A propos des paramètres de configuration de SQL Server" à la page 70.
76 Installer et configurer Symantec Endpoint Protection Manager Installation et configuration de Symantec Endpoint Protection Manager avec une base de données SQL Server Installation et configuration de Symantec Endpoint Protection Manager avec une base de données SQL Server Lorsque vous configurez Symantec Endpoint Protection Manager pour utiliser une base de données SQL Server, vous pouvez spécifier un SQL Server local ou distant. Vous pouvez installer Symantec Endpoint Protection Manager sur le même ordinateur qui exécute Microsoft SQL Server 2000, 2005 ou 2008. Vous pouvez ensuite créer la base de données Symantec Endpoint Protection Manager sur le serveur SQL local. Alternativement, vous pouvez installer Symantec Endpoint Protection Manager sur un ordinateur sur lequel Microsoft SQL Server 2000, 2005 ou 2008 n'est pas installé. Dans ce cas, vous créez Symantec Endpoint Protection Manager la base de données sur un serveur SQL distant. Dans l'un ou l'autre scénario, assurez-vous que les composants SQL Server appropriés sont correctement configurés. Remarque : Microsoft SQL Server 2000 est pris en charge sur les systèmes d'exploitation Windows en langue anglaise seulement. Remarque : Si vous créez une nouvelle base de données, SQL Server gère automatiquement la base de données avec le modèle de récupération simple et active Auto Shrink. Se reporter à "A propos des paramètres de configuration de SQL Server" à la page 70. Pour installer Symantec Endpoint Protection Manager 1 Insérez le disque de produit dans le lecteur et démarrez l'installation. 2 Dans le volet d'accueil, effectuez l'une des opérations suivantes : Pour installer Symantec Endpoint Protection, cliquez sur Installer Symantec Endpoint Protection Manager. Pour installer Symantec Network Access Control, cliquez sur Installer Symantec Network Access Control, puis cliquez sur Installer Symantec Endpoint Protection Manager.
Installer et configurer Symantec Endpoint Protection Manager Installation et configuration de Symantec Endpoint Protection Manager avec une base de données SQL Server 77 3 Sur le volet d'accueil de l'assistant d'installation, cliquez sur Suivant. Un contrôle est effectué pour vérifier si l'ordinateur possède la configuration requise minimum. Si ce n'est pas le cas, un message est affiché pour indiquer la ressource qui ne répond pas à l'exigence minimum. Vous pouvez cliquer sur Oui pour poursuivre l'installation de Symantec Endpoint Protection Manager, mais la performance peut être compromise. 4 Sur le volet Contrat de licence, cochez J'accepte les termes du contrat de licence, puis cliquez sur Suivant. 5 Sur le volet Dossier cible, acceptez ou modifiez le répertoire d'installation, puis cliquez sur Suivant. 6 Sur le volet Sélectionner le site Web, effectuez l'une des opérations suivantes : Pour configurer le site Web IIS de Symantec Endpoint Protection Manager comme seul serveur Web sur cet ordinateur, cochez l'option Créer un site Web personnalisé. Validez ou modifiez le nombre de ports TCP affiché. Pour permettre au serveur Web IIS de Symantec Endpoint Protection Manager de s'exécuter avec d'autres sites Web sur cet ordinateur, cochez Utiliser le site Web par défaut. 7 Cliquez sur Next. 8 Cliquez sur Prêt pour l'installation, cliquez sur Installer. 9 Lorsque l'installation est terminée et que l'assistant de fin d'installation s'affiche, cliquez sur Terminer. Le panneau de l'assistant de configuration du serveur peut prendre jusqu'à 15 secondes pour s'afficher. Si vous êtes invité à redémarrer l'ordinateur, redémarrez l'ordinateur. Quand vous ouvrez une session, le panneau d'assistant de configuration du serveur s'affiche automatiquement. Pour configurer Symantec Endpoint Protection Manager à utiliser une base de données Microsoft SQL Server 1 Dans le volet Assistant de configuration du serveur de gestion, sélectionnez Avancé, puis cliquez sur Suivant. 2 Sélectionnez le nombre de clients que vous voulez que le serveur gère, puis cliquez sur Suivant. 3 Cliquez sur Installer mon premier site, puis cliquez sur Suivant. 4 Sur le volet Informations du serveur, acceptez ou modifiez les valeurs par défaut, puis cliquez sur Suivant. 5 Dans le volet Informations sur le site, dans la zone Nom du site, acceptez ou modifiez le nom par défaut, puis cliquez sur Suivant.
78 Installer et configurer Symantec Endpoint Protection Manager Installation et configuration de Symantec Endpoint Protection Manager avec une base de données SQL Server 6 Dans le volet Créer un mot de passe de chiffrement, tapez un mot de passe dans les zones Créer un mot de passe de chiffrement, puis cliquez sur Suivant. Documentez ce mot de passe et conservez-le en lieu sûr. Vous ne pouvez pas modifier ou récupérer le mot de passe après que vous créiez la base de données. Vous devez également entrer ce mot de passe pour la reprise après incident si vous n'avez pas de base de données sauvegardée à restaurer. 7 Dans le volet Sélection du type de base de données, sélectionnez Microsoft SQL Server, puis cliquez sur Suivant. 8 Effectuez l'une des opérations suivantes : Si la base de données n'existe pas, sélectionnez Créer une base de données (recommandé). Si la base de données existe, sélectionnez Utiliser une base de données existante. Une base de données existante doit définir des groupes de fichier PRIMARY, FG_CONTENT, FG_LOGINFO, FG_RPTINFO et FG_INDEX. Le compte utilisateur pour l'accès à la base de données doit avoir les privilèges db_ddladmin, db_datareader et db_datawriter. Si ces exigences ne sont pas satisfaites, votre installation échoue. Une pratique d'excellence consiste à définir une nouvelle base de données. 9 Cliquez sur Suivant. 10 Sur le volet Informations Microsoft SQL Server, saisissez vos valeurs pour les zones de texte suivantes : Serveur de base de données Si vous avec créé une nouvelle instance, le format est nomserveur_ou_adresseip\nom_instance. Port du serveur SQL Nom de la base de données Utilisateur Mot de passe Confirmer le mot de passe (seulement à la création d'une nouvelle base de données) Dossier Client SQL Utilisateur Administrateur de base de données (uniquement à la création d'une nouvelle base de données) Mot de passe Administrateur de base de données (uniquement à la création d'une nouvelle base de données)
Installer et configurer Symantec Endpoint Protection Manager A propos de l'installation d'instances multiples de Symantec Endpoint Protection Manager 79 Dossier des données de la base de données 11 Cliquez sur Suivant. 12 Spécifiez et validez un mot de passe pour le compte admin Symantec Endpoint Protection Manager. Vous pouvez également spécifier l'adresse électronique de l'administrateur. 13 Cliquez sur Suivant. 14 Dans l'invite de boîte de dialogue Avertissement, lisez pour comprendre les informations d'avertissement sur les communications en texte clair, puis cliquez sur OK. 15 Sur le volet Configurationterminée, effectuez l'une des opérations suivantes : Pour déployer le logiciel client avec l'assistant de migration et de déploiement et l'assistant de déploiement, cliquez sur Oui. Se reporter à "Déploiement du logiciel client sur des ordinateurs Windows à l'aide de l'assistant de déploiement" à la page 111. Pour se connecter d'abord à la console Symantec Endpoint Protection Manager, puis déployer ensuite le logiciel client, cliquez sur Non. Après avoir installé Symantec Endpoint Protection Manager et maîtrisé les tâches d'administration, vous devez sécuriser vos fichiers cryptographiques. Ces fichiers permettent une reprise après sinistre. Vous devez également documenter le mot de passe de chiffrement que vous avez saisi pendant l'installation de Symantec Endpoint Protection Manager. Se reporter à "Préparation à la reprise après incident" à la page 215. A propos de l'installation d'instances multiples de Symantec Endpoint Protection Manager Se reporter à "A propos du choix d'un type de base de données" à la page 49. Se reporter à "Installation et configuration de Symantec Endpoint Protection Manager avec une base de données intégrée" à la page 66. Se reporter à "Installation et configuration de Symantec Endpoint Protection Manager avec une base de données SQL Server" à la page 76. Si le réseau qui prend en charge votre entreprise est petit et situé dans un emplacement géographique, vous devez installer un seul Symantec Endpoint Protection Manager. Si votre réseau est géographiquement dispersé, vous pouvez devoir installer des serveurs de gestion supplémentaires pour la répartition de charge et la distribution de bande passante. Si votre réseau est très grand, vous pouvez installer des sites supplémentaires avec les bases de données
80 Installer et configurer Symantec Endpoint Protection Manager Consoles supplémentaires Symantec Endpoint Protection Manager en cours d'exécution supplémentaires et les configurer pour partager des données avec la réplication. Pour fournir la redondance supplémentaire, vous pouvez installer des sites supplémentaires pour la prise en charge du basculement.. Se reporter à "Consoles supplémentaires Symantec Endpoint Protection Manager en cours d'exécution" à la page 80. Consoles supplémentaires Symantec Endpoint Protection Manager en cours d'exécution Vous pouvez exécuter les consoles supplémentaires Symantec Endpoint Protection Manager sur d'autres ordinateurs. Ces consoles vous permettent d'ouvrir une session Symantec Endpoint Protection Manager à distance pour gérer Symantec Endpoint Protection. Exécuter l'une des consoles suivantes : La console Web Cette console requiert Internet Explorer 7 ou Internet Explorer 8, avec la configuration de sécurité renforcée désactivée. La console distante Cette console requiert le logiciel Java Runtime. Si votre ordinateur ne dispose pas de la version correcte de Java Runtime, elle s'installe automatiquement. Il se peut que vous deviez régler vos paramètres Internet Explorer pour qu'activex et Java autorisent l'installation. Si vous êtes habitué à effectuer l'administration distante sur des systèmes hérités à l'aide de la console distante de Java, ne changez rien à la procédure. Si vous n'êtes pas familier avec l'administration distante de Symantec Endpoint Protection, la console Web est recommandée. Se reporter à "A propos de l'installation d'instances multiples de Symantec Endpoint Protection Manager" à la page 79. Remarque : Si vous exportez des packages d'installation client à partir d'une console distante, les packages sont enregistrés sur l'ordinateur sur lequel la console s'exécute.
Installer et configurer Symantec Endpoint Protection Manager Consoles supplémentaires Symantec Endpoint Protection Manager en cours d'exécution 81 Exécution de la console distante 1 Dans l'ordinateur qui vous sert à exécuter la console distante, démarrez Internet Explorer. 2 Dans la barre d'adresses, saisissez http://nom_ordinateur:9090. où nom_ordinateur est le nom de domaine ou l'adresse IP de l'ordinateur sur lequel Symantec Endpoint Protection Manager est installé. 3 Cliquez sur le lien pour télécharger et installer la console distante Symantec Endpoint Protection Manager. Si nécessaire, suivez les instructions à l'écran pour télécharger et installer Java Runtime Environment. 4 Dans la boîte de dialogue Avertissement de sécurité, cliquez sur Exécuter. 5 Dans la boîte de dialogue Créer un raccourci, cliquez sur Oui. Cliquez sur Configurer pour ouvrir la boîte de dialogue Java. 6 Dans l'invite de connexion, saisissez un nom d'utilisateur et un mot de passe pour Symantec Endpoint Protection Manager, puis cliquez sur Connexion. Exécution de la console Web 1 Dans l'ordinateur qui vous sert à exécuter la console distante, démarrez Internet Explorer. 2 Dans la barre d'adresses, saisissez http://nom_ordinateur:9090. où nom_ordinateur est le nom de domaine ou l'adresse IP de l'ordinateur sur lequel Symantec Endpoint Protection Manager est installé. Si Symantec Endpoint Protection Manager est installé sur cet ordinateur, cliquez sur Démarrer > Tous les programmes > Symantec Endpoint Protection Manager > Symantec Endpoint Protection Manager Accès Web.
82 Installer et configurer Symantec Endpoint Protection Manager A propos du basculement et de la répartition de charge 3 Cliquez sur le lien pour lancer la console Web Symantec Endpoint Protection Manager. Si l'avertissement de certificat de sécurité de page Web apparaît, cliquez sur Poursuivre sur ce site Web (non recommandé) et ajoutez le certificat auto-signé à Internet Explorer. Ce message signifie qu'internet Explorer n'identifie pas le site comme sécurisé. Internet Explorer se base sur des certificats de sécurité pour déterminer si un site est sécurisé. Pour obtenir des instructions sur l'ajout d'un certificat de sécurité à Internet Explorer, consultez l'article de la Base de données du support technique de Symantec, How to add the self-signed certificate for Symantec Protection Center or Symantec Endpoint Protection Manager to Internet Explorer. 4 Dans l'invite de connexion, saisissez un nom d'utilisateur et un mot de passe pour Symantec Endpoint Protection Manager, puis cliquez sur Connexion. A propos du basculement et de la répartition de charge Vous pouvez installer deux ou plusieurs serveurs de gestion qui communiquent avec un Microsoft SQL Server et les configurer pour qu'ils basculent ou équilibrent la charge. La configuration du basculement a pour effet qu'un serveur reprend la charge des communications client si un autre serveur tombe en panne. La configuration de répartition de charge répartit la charge des communications client entre les serveurs et met automatiquement en œuvre le basculement si l'un des serveurs tombe en panne. Se reporter à "A propos de l'installation et de la configuration de Symantec Endpoint Protection Manager pour le basculement ou la répartition de charge" à la page 84.
Installer et configurer Symantec Endpoint Protection Manager A propos du basculement et de la répartition de charge 83 Figure 4-1 Basculement et répartition de charge Clients 1 2 Symantec Endpoint Protection Manager Symantec Endpoint Protection Manager Microsoft SQL Server Remarque : Cette illustration affiche des composants sur différents sous-réseaux. Les serveurs de gestion et les serveurs de base de données peuvent se trouver dans les mêmes sous-réseaux. Sur l'illustration, les serveurs sont identifiés par les nombres 1 et 2, ce qui indique une configuration à basculement. Dans une configuration à basculement, tous les clients envoient et reçoivent du trafic depuis le serveur 1. Si le serveur 1 vient à se déconnecter, tous les clients envoient et reçoivent du trafic depuis le serveur 2 jusqu'à ce que le serveur 1 soit à nouveau connecté. La base de données est illustrée comme installation distante, mais elle peut également être installée sur un ordinateur qui exécute Symantec Endpoint Protection Manager.
84 Installer et configurer Symantec Endpoint Protection Manager A propos de l'installation et de la configuration de Symantec Endpoint Protection Manager pour le basculement ou la répartition de charge A propos de l'installation et de la configuration de Symantec Endpoint Protection Manager pour le basculement ou la répartition de charge Les configurations de basculement et de répartition de charge sont prises en charge uniquement dans les installations Microsoft SQL Server. Les configurations de basculement permettent de maintenir la communication lorsque les clients ne peuvent pas communiquer avec un Symantec Endpoint Protection Manager. La répartition de charge permet de distribuer la gestion des clients entre des serveurs de gestion. Vous pouvez configurer le basculement et la répartition de charge en affectant des priorités aux serveurs de gestion dans la liste les présentant. Se reporter à "A propos du basculement et de la répartition de charge" à la page 82. La répartition de charge se produit entre les serveurs dont la priorité est 1 dans la liste de serveurs de gestion. Si plusieurs serveurs ont une priorité de 1, les clients choisissent de manière aléatoire l'un d'entre eux et établissent la communication avec ce dernier. Si tous les serveurs dont la priorité est 1 échouent, les clients se connectent à l'aide du serveur dont la priorité est 2. Remarque : La console de gestion est installée quand vous installez un serveur pour le basculement ou la répartition de charge. L'installation et la configuration des serveurs pour le basculement et la répartition de charge est un processus en deux parties. Premièrement, installez un Symantec Endpoint Protection Manager sur un ordinateur et ajoutez le à un site existant. Deuxièmement, connectez-vous à la console Symantec Endpoint Protection Manager pour configurer le nouveau Symantec Endpoint Protection Manager. Se reporter à "Installation d'un serveur de gestion pour le basculement ou la répartition de charge" à la page 84. Se reporter à "Configuration du basculement et de la répartition de charge pour Symantec Endpoint Protection Manager" à la page 86. Installation d'un serveur de gestion pour le basculement ou la répartition de charge Les installations de basculement et de répartition de charge sont prises en charge uniquement lorsque Symantec Endpoint Protection Manager d'origine utilise Microsoft SQL Server. Les fichiers client natifs de SQL Server doivent également être installés sur l'ordinateur sur lequel vous installez un site pour le basculement ou la répartition de charge.
Installer et configurer Symantec Endpoint Protection Manager A propos de l'installation et de la configuration de Symantec Endpoint Protection Manager pour le basculement ou la répartition de charge 85 Se reporter à "A propos du basculement et de la répartition de charge" à la page 82. Vous n'installez pas des serveurs pour le basculement ou la répartition de charge lorsque le premier site Symantec Endpoint Protection Manager est configuré pour utiliser la base de données intégrée. Pour installer un serveur de gestion pour le basculement ou la répartition de charge 1 Installez Symantec Endpoint Protection Manager. 2 Dans le volet Assistant de configuration du serveur de gestion, sélectionnez Avancé, puis cliquez sur Suivant. 3 Sélectionnez le nombre de clients que vous voulez que ce serveur gère, puis cliquez sur Suivant. Cochez la case Installer un serveur de gestion supplémentaire sur un site existant, puis cliquez sur Suivant. 4 Sur le volet Informations du serveur, acceptez ou modifiez les valeurs par défaut puis cliquez sur Suivant. 5 Dans la boîte de dialogue Informations sur Microsoft SQL Server, entrez les valeurs du serveur distant dans les zones de texte suivantes : Serveur de base de données\nom_instance Port du serveur SQL Nom de la base de données Utilisateur Mot de passe Dossier client SQL (sur l'ordinateur local) Si cette zone n'affiche pas automatiquement le chemin correct, l'utilitaire Microsoft SQL Client n'est pas installé ou n'a pas été correctement installé. 6 Cliquez sur Suivant. 7 Spécifiez et validez un mot de passe pour le compte admin Symantec Endpoint Protection Manager. Vous pouvez également spécifier l'adresse électronique de l'administrateur. 8 Cliquez sur Suivant. 9 Dans l'invite Avertissement, lisez et comprenez le message textuel et cliquez sur OK. 10 Dans le panneau Serveur de gestion terminé, cliquez sur Terminer.
86 Installer et configurer Symantec Endpoint Protection Manager A propos de l'installation et de la configuration de Symantec Endpoint Protection Manager pour le basculement ou la répartition de charge Configuration du basculement et de la répartition de charge pour Symantec Endpoint Protection Manager Par défaut, les serveurs de gestion reçoivent la même priorité une fois configurés pour le basculement et la répartition de charge. Pour modifier la priorité par défaut après l'installation, vous pouvez y procéder à travers la console Symantec Endpoint Protection Manager. Le basculement et la répartition de charge peuvent être configurés seulement quand un site inclut plus d'un serveur de gestion. Se reporter à "A propos du basculement et de la répartition de charge" à la page 82. Pour configurer le basculement et la répartition de charge pour Symantec Endpoint Protection Manager 1 Dans la console Symantec Endpoint Protection Manager, cliquez sur Politiques. 2 Dans le volet Afficher les politiques, à droite de Composants de politique, cliquez sur la flèche orientée vers le haut pour qu'elle se transforme en flèche orientée vers le bas, puis cliquez sur Listes de serveurs de gestion. 3 Dans le volet Tâches, cliquez sur Ajouter une liste de serveurs de gestion. 4 Dans la boîte de dialogue Listes de serveurs de gestion, sous Serveurs de gestion, cliquez Ajouter > Nouvelle priorité une fois par priorité que vous voulez ajouter. 5 Sous Serveurs de gestion, cliquez sur Priorité 1. 6 Cliquez sur Ajouter > Nouveau serveur. 7 Dans la boîte de dialogue Ajout d'un serveur de gestion, dans la zone Adresse du serveur, entrez le nom de domaine entièrement qualifié ou l'adresse IP d'un Symantec Endpoint Protection Manager. Si vous entrez une adresse IP, assurez-vous qu'elle est statique et que tous les clients peuvent résoudre cette adresse IP. 8 Cliquez sur OK. 9 Effectuez l'une des opérations suivantes : Pour configurer la répartition de charge avec l'autre serveur, cliquez sur Priority 1. Pour configurer le basculement avec l'autre serveur, cliquez sur Priority 2. 10 Cliquez sur Ajouter > Nouveau serveur.
Installer et configurer Symantec Endpoint Protection Manager Mettre à niveau de la base de données intégrée vers une base de données SQL Server 87 11 Dans la boîte de dialogue Ajout d'un serveur de gestion, dans la zone Adresse du serveur, entrez le nom de domaine entièrement qualifié ou l'adresse IP d'un Symantec Endpoint Protection Manager. Si vous entrez une adresse IP, assurez-vous qu'elle est statique et que tous les clients peuvent la résoudre. 12 Cliquez sur OK. 13 Modifiez en option la priorité d'un serveur pour régler la configuration de la répartition de charge ou du basculement. Sélectionnez un serveur puis faites l'une des opérations suivantes : Cliquez sur Vers le haut. Cliquez sur Vers le bas. 14 Dans la boîte de dialogue de listes de serveur de gestion, cliquez sur OK. Vous devez ensuite appliquer la liste des serveurs de gestion à un groupe. Pour appliquer la liste des serveurs de gestion 1 Dans le volet Listes de serveurs de gestion, sous Listes de serveurs de gestion, sous Nom, mettez en évidence la liste de serveurs de gestion que vous avez créée. 2 Dans le volet inférieur gauche Tâches, cliquez sur Attribuer la liste. 3 Dans la boîte de dialogue Appliquer la liste des serveurs de gestion, vérifiez les groupes auxquels appliquer la liste. 4 Cliquez sur Assigner. 5 Dans la boîte de dialogue Attribuer la liste des serveurs de gestion, cliquez sur Oui. Mettre à niveau de la base de données intégrée vers une base de données SQL Server Si vous utilisez une base de données intégrée, vous pouvez décider de la mettre à niveau vers une base de données SQL Server. Certaines fonctions, telles que la réplication, sont disponibles uniquement lorsque Symantec Endpoint Protection Manager est configuré pour utiliser une base de données SQL Server. La mise à niveau d'une base de données intégrée à une base de données SQL Server peut également faciliter la conversion d'un déploiement test en réseau de production. Les paragraphes suivants récapitulent le processus et les procédures que vous devez suivre :
88 Installer et configurer Symantec Endpoint Protection Manager Mettre à niveau de la base de données intégrée vers une base de données SQL Server Sauvegardez le fichier de certificat Java keystore et le fichier server.xml et déplacez ou copiez les fichiers à partir du répertoire \Symantec\Symantec Endpoint Protection Manager\. Se reporter à "Sauvegarde du keystore et des fichiers server.xml" à la page 89. Sauvegardez la base de données intégrée et déplacez ou copiez le fichier.zip de sauvegarde vers un nouvel emplacement. Le chemin d'accès par défaut est C:\Program Files\Symantec\Symantec Endpoint Protection Manager\data\backup. Se reporter à "Sauvegarde de la base de données intégrée" à la page 89. Installez une instance SQL Server 2000, SQL Server 2005 ou SQL Server 2008. Se reporter à "A propos des paramètres de configuration de SQL Server" à la page 70. Désinstallez Symantec Endpoint Protection Manager et la base de données intégrée en utilisant l'option Modifier la désinstallation. Se reporter à "Désinstallation de Symantec Endpoint Protection Manager avec une base de données intégrée" à la page 90. Reconfigurez Symantec Endpoint Protection Manager à l'aide d'une base de données SQL Server. Vous devez réinstaller Symantec Endpoint Protection Manager sur le même ordinateur ou sur un ordinateur avec l'adresse IP et le nom d'hôte d'origine. Restaurez le certificat Java keystore. Se reporter à "Restauration du fichier keystore Java original" à la page 91. Reconfigurez Symantec Endpoint Protection Manager avec la base de données SQL Server. Se reporter à "Reconfiguration de Symantec Endpoint Protection Manager avec une base de données SQL Server" à la page 92. Remarque : Effectuez ces procédures de mise à niveau sur des ordinateurs de test avant de les effectuer sur des ordinateurs de production. Avertissement : Ne tentez pas d'effectuer cette mise à niveau sans créer ou sans être en possession d'un fichier de reprise après incident bien formé. Ne tentez pas d'effectuer cette mise à niveau sans avoir sauvegardé le mot de passe keystore, le fichier server.xml et la base de données hors du répertoire \Symantec\Symantec Endpoint Protection Manager\. Ces fichiers sont supprimés pendant le processus de désinstallation. Se reporter à "Préparation à la reprise après incident" à la page 215.
Installer et configurer Symantec Endpoint Protection Manager Mettre à niveau de la base de données intégrée vers une base de données SQL Server 89 Sauvegarde du keystore et des fichiers server.xml Si vous ne pouvez pas effectuer une reprise après incident, vous devez copier ou déplacer le keystore et les fichiers.xml du server avant de désinstaller Symantec Endpoint Protection Manager. Le processus de désinstallation supprime ces fichiers de leur emplacement initial. Se reporter à "Préparation à la reprise après incident" à la page 215. Pour sauvegarder les fichiers keystore et server.xml Déplacez ou copiez tous les fichiers du répertoire suivant vers un répertoire qui ne se trouve pas sous \Symantec\Symantec Endpoint Protection Manager\ \Symantec\Symantec Endpoint Protection Manager\Server Private Key Backup\ Les fichiers sont nommés keystore_date.jks et server_date.xml Sauvegarde de la base de données intégrée Effectuez une sauvegarde de la base de données intégrée existante pour l'utiliser pour des mises à niveau de système et la protection contre la perte de données. Par exemple, vous pouvez restaurer cette base de données sur Microsoft SQL Server après avoir reconfiguré le serveur de gestion pendant une mise à niveau. Pour sauvegarder la base de données intégrée 1 Sur l'ordinateur qui exécute la base de données intégrée, cliquez sur Démarrer > Programmes > Symantec Endpoint Protection Manager > Sauvegarde et restauration de la base de données. 2 Dans la boîte de dialogue Database Backup and Restore, cliquez sur Sauvegarder. Cette sauvegarde peut prendre plusieurs minutes. Les fichiers de sauvegarde sont des fichiers.zip enregistrés dans \\Program Files\Symantec\Symantec Endpoint Protection Manager\data\backup\. 3 Cliquez sur OK. 4 Quand la sauvegarde est terminée, cliquez sur Quitter. 5 Déplacez ou copiez le fichier de sauvegarde vers un emplacement différent qui n'est pas un sous-dossier du dossier d'installation \Symantec\Symantec Endpoint Protection Manager. Si vous ne déplacez pas ou ne copiez pas le fichier de sauvegarde, la mise à niveau échoue parce que le fichier de sauvegarde est supprimé quand l'application est désinstallée.
90 Installer et configurer Symantec Endpoint Protection Manager Mettre à niveau de la base de données intégrée vers une base de données SQL Server Installation d'une instance de Microsoft SQL 2000, 2005 ou 2008 Vous pouvez installer Microsoft SQL Server 2000, 2005 ou 2008 avec l'authentification Windows ou l'authentification SQL. Vous devez connaître quel port votre serveur utilise pour des communications réseau. Vous devez entrer ce numéro de port lorsque vous réinstallez Symantec Endpoint Protection Manager avec une base de données Microsoft SQL Server. Pour installer une instance de Microsoft SQL Server 2000, 2005 ou 2008 Installez et configurez une instance de Microsoft SQL Server sur l'ordinateur qui exécute le Symantec Endpoint Protection Manager et la base de données intégrée ou sur un ordinateur différent. Se reporter à "A propos des paramètres de configuration de SQL Server" à la page 70. Se reporter à "A propos des modes d'authentification de base de données de SQL Server" à la page 75. Se reporter à "Installation et configuration de Symantec Endpoint Protection Manager avec une base de données SQL Server" à la page 76. Désinstallation de Symantec Endpoint Protection Manager avec une base de données intégrée Utilisez l'utilitaire Ajout/Suppression de programmes Windows pour désinstaller Symantec Endpoint Protection Manager. Désinstallation de Symantec Endpoint Protection Manager avec une base de données intégrée 1 Cliquez sur Démarrer > Paramètres > Panneau de contrôle > Ajout/Suppression de programmes. 2 Dans la boîte de dialogue Ajout/Suppression de programmes, cliquez sur Symantec Endpoint Protection Manager > Modifier. 3 Dans l'écran d'accueil, cliquez sur Suivant. 4 Dans le volet Maintenance de programme, cochez l'option Supprimer, puis cliquez sur Suivant. 5 Dans le volet Supprimer, cochez l'option Supprimer la base de données lors de la désinstallation, puis cliquez sur Suivant. 6 Dans le volet Supprimer le programme, cliquez sur Supprimer. Si un message d'erreur s'affiche sur l'accès au fichier, redémarrez l'ordinateur et répétez cette procédure sans vous connecter à Symantec Endpoint Protection Manager.
Installer et configurer Symantec Endpoint Protection Manager Mettre à niveau de la base de données intégrée vers une base de données SQL Server 91 Réinstallation de Symantec Endpoint Protection Manager avec une base de données Microsoft SQL Vous devez utiliser le mot de passe de chiffrement d'origine pour réinstaller Symantec Endpoint Protection Manager avec une base de données Microsoft SQL. Ce mot de passe doit se trouver dans votre fichier de reprise après incident bien formé. S'il ne s'y trouve pas, vous devez trouver quelqu'un qui connaît le mot de passe. Réinstallation de Symantec Endpoint Protection Manager avec une base de données Microsoft SQL 1 Ouvrez votre fichier de reprise après incident bien formé. 2 Insérez le disque de produit et commencez l'installation de Symantec Endpoint Protection Manager avec une base de données Microsoft SQL Server. Se reporter à "Installation et configuration de Symantec Endpoint Protection Manager avec une base de données SQL Server" à la page 76. 3 Lorsque le volet Bienvenue sur l'assistant de configuration du serveur de gestion s'affiche, cochez l'option Installer mon premier site, puis cliquez sur Suivant. 4 Continuez l'installation et entrez les mêmes valeurs utilisées pour la base de données intégrée. Par exemple, entrez le même nom du serveur et du port utilisé pour l'installation de la base de données intégrée. Entrez le mot de passe de chiffrement utilisé pour l'installation de la base de données intégrée, etc. Ces valeurs sont requises pour régénérer correctement le fichier sylink.xml. 5 Lorsque l'installation se termine et que le volet Fin de l'assistant de configuration du serveur de gestion s'affiche, cochez Non, puis cliquez sur Terminer 6 Connectez-vous à Symantec Endpoint Protection Manager. Restauration du fichier keystore Java original Le fichier keystore contient le certificat public qui est utilisé pour sécuriser les communications. Vous utilisez le fichier keystore en tant qu'élément du processus de reprise après incident. Vous l'utilisez également lors de la mise à niveau d'une base de données intégrée à une base de données SQL Serve. Vous avez besoin du mot de passe initial de la clé privée pour restaurer ce fichier. Ce mot de passe ese trouve dans votre fichier de reprise après incident bien formé s'il a été créé au cours de l'installation initiale. Le mot de passe est également dans le fichier server_horodatage.xml.
92 Installer et configurer Symantec Endpoint Protection Manager Mettre à niveau de la base de données intégrée vers une base de données SQL Server Se reporter à "Préparation à la reprise après incident" à la page 215. Pour restaurer le fichier keystore Java original 1 Ouvrez une session sur la console, puis cliquez sur Admin. 2 Dans le volet Admin, sous Tâches, cliquez sur Serveurs. 3 Sous Afficher les serveurs, développez Site local, puis cliquez sur le nom d'ordinateur qui identifie le site local. 4 Sous Tâches, cliquez sur Gérer le certificat de serveur. 5 Dans l'écran d'accueil, cliquez sur Suivant. 6 Dans le panneau Gérer le certificat de serveur, sélectionnez Mettre à jour le certificat de serveur, puis cliquez sur Suivant. 7 Sous Sélectionner le type de certificat à importer, sélectionnez Keystore JKS, puis cliquez sur Suivant. Si vous avez mis en oeuvre l'un des autres types de certificat, sélectionnez ce type. 8 Dans le volet Keystore JKS, cliquez sur Parcourir, localisez et sélectionnez votre fichier keystore sauvegardé keystore_horodatage.jks, puis cliquez sur OK. 9 Ouvrez votre fichier texte de reprise après incident, puis sélectionnez et copiez le mot de passe keystore. 10 Activez la boîte de dialogue Keystore JKS, puis collez le mot de passe de keystore dans la zone Mot de passe de keystore et la zone Mot de passe de clé. Le seul mécanisme pris en charge pour l'opération Coller est Ctrl + V. 11 Cliquez sur Suivant. Si vous recevez un message d'erreur qui indique vous avez un fichier keystore non valide, vous avez probablement entré des mots de passe erronés. Réessayez de copier et coller le mot de passe. 12 Dans le panneau Terminé, cliquez sur Terminer. 13 Déconnectez-vous de la console. Reconfiguration de Symantec Endpoint Protection Manager avec une base de données SQL Server Vous devez connaître quel port SQL Server utilise pour les communications réseau. Entrez ce numéro de port lorsque vous configurez Symantec Endpoint Protection Manager avec une base de données SQL Server.
Installer et configurer Symantec Endpoint Protection Manager Mettre à niveau de la base de données intégrée vers une base de données SQL Server 93 Se reporter à "A propos des paramètres de configuration de SQL Server" à la page 70. Vous devez utiliser le mot de passe de chiffrement d'origine pour réinstaller Symantec Endpoint Protection Manager avec une base de données SQL Server. Ce mot de passe doit se trouver dans votre fichier bien formé de reprise après incident. S'il ne s'y trouve pas, vous devez trouver quelqu'un qui connaît le mot de passe. Pour reconfigurer Symantec Endpoint Protection Manager avec une base de données SQL Server 1 Cliquez sur Démarrer > Paramètres > Panneau de contrôle > Outils d'administration > Services. 2 Dans la fenêtre Services, dans le volet droit, cliquez avec le bouton droit de la souris sur Symantec Endpoint Protection Manager et puis cliquez sur Arrêter. 3 Cliquez sur Démarrer > Programmes > Symantec Endpoint Protection Manager > Database Backup and Restore. 4 Dans la boîte de dialogue Database Backup and Restore, cliquez sur Restaurer. 5 A l'invite, cliquez sur Oui. 6 Dans la boîte de dialogue Sélectionner un fichier de sauvegarde, indiquez et sélectionnez la base de données à restaurer, puis cliquez sur OK. 7 A l'issue de la restauration de la base de données, cliquez sur Quitter.. 8 Cliquez sur Démarrer > Programmes > Symantec Endpoint Protection Manager > Assistant Configuration du serveur de gestion. 9 Dans le panneau d'accueil, cochez Reconfigurer le serveur de gestion, puis cliquez sur Suivant. 10 Terminez la reconfiguration. Vérifiez que vos valeurs d'entrée correspondent aux valeurs que vous avez saisies lors de l'installation de Symantec Endpoint Protection Manager. Par exemple, si vous créiez une instance nommée, assurez-vous d'ajouter le nom d'instance au nom d'hôte comme dans host_name\ instance_name 11 Connectez-vous à Symantec Endpoint Protection Manager, puis cliquez sur Clients. 12 Cliquez avec le bouton droit de la souris sur chaque groupe, puis cliquez sur Exécuter la commande sur le groupe > Actualiser le contenu. Si les clients ne réagissent pas après environ une demi- heure, redémarrez les clients.
94 Installer et configurer Symantec Endpoint Protection Manager A propos de l'installation et la configuration de Symantec Endpoint Protection Manager pour la réplication A propos de l'installation et la configuration de Symantec Endpoint Protection Manager pour la réplication Les configurations de réplication sont prises en charge avec les bases de données intégrées et Microsoft SQL Server. Les configurations de réplication sont utilisées pour la redondance. Les données d'une base de données sont répliquées (reproduites) sur une autre base de données. Si une base de données échoue, vous pouvez continuer de gérer et de contrôler tous les clients car l'autre base de données contient les informations client. L'installation et la configuration des serveurs pour la réplication est un processus en deux parties. Dans un site d'installation existant, installez premièrement un nouveau Symantec Endpoint Protection Manager et une base de données pour la réplication avec un gestionnaire existant. Deuxièmement, connectez-vous à Symantec Endpoint Protection Manager et sélectionnez et planifiez les éléments à répliquer. Quand vous sélectionnez les éléments à répliquer, vous pouvez choisir des journaux et des packages. Les packages incluent également les mises à jour des définitions de virus, des composants client et du logiciel client. La taille des packages et des mises à jour peut atteindre plusieurs gigaoctets d'informations si vous téléchargez des mises à jour dans plusieurs langues. Considérez la quantité de données que vous répliquez quand vous sélectionnez ces options, ainsi que la consommation de bande passante. La taille d'un package client est généralement de 180 Mo une fois compressé. Vous pouvez installer et configurer le serveur de base de données intégré et Microsoft SQL Server pour la réplication. La configuration de réplication entraîne la reproduction des données entre les bases de données pour que les deux bases de données contiennent les mêmes informations, de préférence sur différents serveurs de base de données se trouvant sur différents ordinateurs. Si un serveur de base de données tombe en panne, vous pouvez continuer à gérer le site entier en utilisant les informations du serveur de base de données qui n'est pas tombé en panne. Remarque : Symantec Endpoint Protection Manager configure et contrôle cette réplication. Cette réplication n'est pas la réplication native de SQL Server. Dans l'illustration suivante, les serveurs de gestion gèrent leurs clients respectifs. Si l'un des serveurs se déconnecte, l'autre serveur peut néanmoins gérer les clients du serveur déconnecté.
Installer et configurer Symantec Endpoint Protection Manager A propos de l'installation et la configuration de Symantec Endpoint Protection Manager pour la réplication 95 Figure 4-2 Exemple de réplication Symantec Endpoint Protection Manager Symantec Endpoint Protection Manager Clients Clients Se reporter à "Installation de Symantec Endpoint Protection Manager pour la réplication" à la page 95. Installation de Symantec Endpoint Protection Manager pour la réplication Vous pouvez installer des serveurs pour la réplication avec les bases de données intégrées et Microsoft SQL Server. Si vous voulez installer une base de données Microsoft SQL Server pour la réplication, vous devez d'abord installer Microsoft SQL Server. Se reporter à "A propos de l'installation et la configuration de Symantec Endpoint Protection Manager pour la réplication" à la page 94. Pour installer Symantec Endpoint Protection Manager pour la réplication 1 Installez Symantec Endpoint Protection Manager. 2 Dans le volet Assistant de configuration de serveur de gestion, cliquez sur Avancé. 3 Sélectionnez le nombre de clients que vous voulez que ce serveur gère, puis cliquez sur Suivant. Ce volet s'affiche uniquement lors de l'installation de Symantec Endpoint Protection Manager sur l'ordinateur pour la première fois. 4 Cochez la case Installer un site supplémentaire, puis cliquez sur Suivant. 5 Sur le volet Informations du serveur, acceptez ou modifiez les valeurs par défaut puis cliquez sur Suivant.
96 Installer et configurer Symantec Endpoint Protection Manager A propos de l'installation et la configuration de Symantec Endpoint Protection Manager pour la réplication 6 Acceptez ou modifiez le nom dans la zone Nom du site puis cliquez sur Suivant. 7 Dans le panneau Informations de réplication, entrez les valeurs dans les zones de texte suivantes : Nom du serveur de réplication Port du serveur de réplication Nom d'administrateur Mot de passe Nom ou adresse IP de la console Symantec Endpoint Protection Manager distante La valeur par défaut est 8443. Nom de compte utilisé pour le connecter à la console avec des droits d'administrateur Fournissez un mot de passe associé au nom de l'administrateur spécifié 8 Cliquez sur Suivant. 9 Dans la boîte de dialogue Avertissement de certificat, cliquez sur Oui. 10 Dans le volet Choix du serveur de base de données, effectuez l'une des opérations suivantes, puis cliquez sur Suivant. Cochez Base de données intégrée et terminez l'installation. Se reporter à "Installation et configuration de Symantec Endpoint Protection Manager avec une base de données intégrée" à la page 66. Cochez Microsoft SQL Server et terminez l'installation. Se reporter à "Installation et configuration de Symantec Endpoint Protection Manager avec une base de données SQL Server" à la page 76. Se reporter à "Configuration de Symantec Endpoint Protection Manager pour la réplication" à la page 96. Configuration de Symantec Endpoint Protection Manager pour la réplication Utilisez la console Symantec Endpoint Protection Manager pour configurer des serveurs pour la réplication. Les informations d'authentification de connexion de l'administrateur sont utilisées sur le premier site que vous avez spécifié pour la réplication.
Installer et configurer Symantec Endpoint Protection Manager A propos de la désinstallation de Symantec Endpoint Protection Manager 97 Pour configurer Symantec Endpoint Protection Manager pour la réplication 1 Sur l'ordinateur comportant Symantec Endpoint Protection Manager comme site supplémentaire, connectez-vous à la console Symantec Endpoint Protection Manager. 2 Dans la console, cliquez sur Admin, puis sur Serveurs. 3 Dans Afficher les serveurs, développez Site local, développez Partenaire de réplication, cliquez avec le bouton droit de la souris sur Site <hôte_distant>, puis cliquez sur Modifier les propriétés. 4 Dans la boîte de dialogue Propriétés du partenaire de réplication, définissez les options que vous voulez pour les journaux, les packages et la fréquence de réplication, puis cliquez sur OK. Consultez l'aide contextuelle et le Guide d'administration pour Symantec Endpoint Protection et Symantec Network Access Control pour obtenir des détails au sujet de ces paramètres. 5 Cliquez avec le bouton droit de la souris sur Site <hôte_distant>, puis cliquez sur Répliquer maintenant. 6 Cliquez sur Oui. 7 Cliquez sur OK. A propos de la désinstallation de Symantec Endpoint Protection Manager Lors de la désinstallation de Symantec Endpoint Protection Manager, tous les composants de Symantec sont désinstallés sauf les packages d'installation client exportés. Toutefois, vous pouvez choisir de ne pas désinstaller la base de données intégrée, ainsi que les fichiers de base de données et de sauvegarde de Microsoft SQL Server. Pour toutes les installations, les fichiers de sauvegarde de la base de données se trouvent sur l'ordinateur qui exécute Symantec Endpoint Protection Manager. Utilisez la fonction Ajout/Suppression de programmes de Windows pour désinstaller Symantec Endpoint Protection Manager. Vous devez sélectionner Modifier pour avoir l'option de désinstaller la base de données. Si vous sélectionnez Supprimer, la base de données n'est pas désinstallée. Vous devez désactiver la réplication avant d'essayer de désinstaller un Symantec Endpoint Protection Manager configurée pour la réplication. Après avoir désactivé la réplication, vous pouvez redémarrer l'ordinateur à partir duquel vous voulez désinstaller Symantec Endpoint Protection Manager, puis effectuer la désinstallation.
98 Installer et configurer Symantec Endpoint Protection Manager A propos de la désinstallation de Symantec Endpoint Protection Manager Remarque : Vous devez supprimer manuellement tous les répertoires contenant les packages d'installation client exportés, y compris les répertoires créés avec l'assistant de migration et de déploiement. Vous devez également supprimer manuellement tous les fichiers et répertoires de sauvegarde, y compris ceux qui contiennent des clés privées, des certificats et des bases de données.
Chapitre 5 Installation du logiciel client Symantec Ce chapitre traite des sujets suivants : A propos du logiciel d'installation de client Symantec Configuration et déploiement du logiciel client sur des ordinateurs Windows Exportation des packages d'installation client pour des ordinateurs Mac A propos du déploiement des packages d'installation client Mac A propos de l'installation d'un logiciel client non géré sur des ordinateurs Windows Création des packages d'installation client A propos du déploiement du logiciel client sur des ordinateurs Windows à partir d'un lecteur mappé Déploiement du logiciel client sur des ordinateurs Windows à l'aide de l'assistant de déploiement Déploiement du logiciel client avec Rechercher les ordinateurs non gérés Importer une liste d'ordinateurs à partir d'un fichier texte A propos de l'installation et du déploiement du logiciel client avec Altiris Options d'installation tierce Démarrage du client Symantec Endpoint Protection A propos de la désinstallation du client Symantec Endpoint Protection
100 Installation du logiciel client Symantec A propos du logiciel d'installation de client Symantec A propos du logiciel d'installation de client Symantec Deux produits du logiciel d'installation client Symantec sont disponibles, Symantec Endpoint Protection et Symantec Network Access Control. Symantec Endpoint Protection est disponible pour les clients Windows et Mac. Se reporter à "A propos de l'installation des composants de protection sur le client" à la page 100. Se reporter à "A propos du déploiement des clients 32 bits et 64 bits" à la page 101. Remarque : Les installations Symantec Endpoint Protection sur un client Windows peuvent nécessiter jusqu'à 500 Mo d'espace disque disponible pendant l'installation, et jusqu'à 300 Mo sur un client Mac. Si cette quantité n'est pas disponible, l'installation échoue. Se reporter à "Configuration et déploiement du logiciel client sur des ordinateurs Windows" à la page 102. A propos de l'installation des composants de protection sur le client Symantec Endpoint Protection contient beaucoup de composants que vous pouvez sélectionner pour les installer ou pas. Quand vous installez Symantec Endpoint Protection, les options suivantes déterminent les composants à installer : Fichiers image mémoire Cette option est requise pour toutes les installations. Protection antivirus et antispyware Cette option installe le principal logiciel antivirus et antispyware et vous permet de sélectionner la protection antivirus pour le courrier électronique : Protection antivirus pour le courrier électronique Remarque : Pour des raisons de performances, le programme d'installation de Symantec Endpoint Protection bloque l'installation d'auto-protect pour la messagerie Internet sur les systèmes d'exploitation Microsoft Server pris en charge. Par exemple, vous ne pouvez pas installer Auto-Protect pour messagerie Internet sur un ordinateur qui exécute Windows Server 2003.
Installation du logiciel client Symantec A propos du logiciel d'installation de client Symantec 101 Remarque : Seuls la protection des fichiers Core et la protection antivirus et antispyware sont disponibles pour les clients Mac. La protection antivirus pour le courrier électronique n'est pas disponible pour les clients Mac. Protection proactive contre les menaces Cette option n'installe pas le logiciel principal, mais vous permet de sélectionner ces composants : Analyse proactive des menaces TruScan Contrôle des applications et des périphériques Protection contre les menaces réseau Cette option n'installe pas le logiciel principal, mais permet de sélectionner le pare-feu et la prévention d'intrusion. Remarque : Symantec Endpoint Protection installe également le logiciel Symantec Network Access Control, mais Symantec Network Access Control n'est pas activé. Lorsque vous mettez à jour Symantec Endpoint Protection Manager pour Symantec Network Access Control, la fonction Symantec Network Access Control du client s'affiche automatiquement dans l'interface utilisateur client. Par conséquent, si vous installez Symantec Endpoint Protection et achetez Symantec Network Access Control à une date ultérieure, vous n'avez pas besoin d'installer le logiciel client Symantec Network Access Control. Si vos ordinateurs client exécutent Symantec Network Access Control et si vous achetez le logiciel Symantec Endpoint Protection à une date ultérieure, vous devez installer le logiciel client. Vous n'avez pas besoin de désinstaller d'abord Symantec Network Access Control. A propos du déploiement des clients 32 bits et 64 bits Les groupes peuvent contenir des clients 32 bits et des clients 64 bits. Cependant, vous devez déployer les packages 32 bits et les packages 64 bits séparément vers les clients. Les clients 32 bits bloquent les packages d'installation 64 bits et les clients 64 bits bloquent les packages d'installation 32 bits en raison de la différence de versions. Si votre environnement a un mélange de clients Symantec Endpoint Protection et de clients Symantec Network Access Control, il est recommandé de grouper ces clients séparément. Par exemple, il est recommandé de ne pas placer de clients Symantec Endpoint Protection dans un groupe qui contient également des clients Symantec Network Access Control. En outre, si vous installez Symantec Endpoint Protection Manager for Symantec Network Access Control, les clients Symantec
102 Installation du logiciel client Symantec Configuration et déploiement du logiciel client sur des ordinateurs Windows Endpoint Protection prennent automatiquement en charge Symantec Network Access Control. Lorsque vous créez des packages d'installation client avec le serveur de gestion, vous pouvez spécifier un groupe devant contenir les clients. Si vous réinstallez un package de logiciel client sur des clients et si le package spécifie un groupe différent, les clients apparaissent toujours dans leur groupe initial. Ils n'apparaissent pas dans le nouveau groupe. Vous pouvez uniquement déplacer des clients vers de nouveaux groupes avec le serveur de gestion. Configuration et déploiement du logiciel client sur des ordinateurs Windows L'assistant de migration et de déploiement vous permet de configurer un package de logiciel client. L'assistant de déploiement apparaît alors éventuellement pour vous permettre de déployer le package de logiciel client sur des ordinateurs Windows. Remarque : Cette procédure vous fait sélectionner un répertoire dans lequel placer les fichiers d'installation. Vous pouvez créer ce répertoire avant de démarrer cette procédure. En outre, vous devez vous authentifier avec les informations d'authentification administratives auprès du domaine ou du groupe de travail de Windows qui contient les ordinateurs. Les ordinateurs qui exécutent des pare-feux, Windows XP, Windows Vista ou Windows Server 2008 ont des conditions spéciales. Les pare-feux doivent permettre le déploiement à distance par les ports TCP 139 et 445. En outre, désactivez le partage de fichiers simple sur les ordinateurs qui sont dans les groupes de travail et qui exécutent Windows XP. Sur Windows Vista et Windows Server 2008, vous devez activer la détection réseau. Se reporter à "A propos de la désactivation et de la modification des pare-feu Windows" à la page 54. Se reporter à "A propos de la préparation des ordinateurs Windows pour le déploiement distant" à la page 56. Vous pouvez également utiliser l'utilitaire Rechercher les ordinateurs autonomes, qui vous permet de détecter les ordinateurs client n'exécutant pas le logiciel client, puis d'installer le logiciel client sur ces ordinateurs. Se reporter à "Déploiement du logiciel client avec Rechercher les ordinateurs non gérés" à la page 112.
Installation du logiciel client Symantec Configuration et déploiement du logiciel client sur des ordinateurs Windows 103 Remarque : Vous pouvez utiliser l'assistant de migration et de déploiement pour créer un package du logiciel client pour ordinateurs Mac. Vous ne pouvez pas utiliser l'assistant de déploiement pour déployer le package. Se reporter à "Exportation des packages d'installation client pour des ordinateurs Mac" à la page 104. Pour configurer et déployer le logiciel client sur des ordinateurs Windows 1 Démarrez l'assistant de migration et de déploiement en faisant l'une des opérations suivantes : Dans le menu Démarrer de Windows, cliquez sur Démarrer>Programmes > Symantec Endpoint Protection Manager; Assistant de migration et de déploiement. Le chemin d'accès peut être différent selon la version de Windows que vous utilisez. Dans le dernier volet de l'assistant de configuration du serveur de gestion, cliquez sur Oui, puis sur Terminer. Se reporter à "Installation et configuration de Symantec Endpoint Protection Manager avec une base de données intégrée" à la page 66. 2 Dans le panneau d'accueil de l'assistant de Migration et de Déploiement, cliquez sur Suivant. 3 Dans le volet Que voulez-vous faire, cochez Déployer le client Windows, puis cliquez sur Suivant. 4 Dans le panneau suivant, sélectionnez Spécifiez le nom du nouveau groupe vers lequel vous souhaitez déployer les clients, entrez un nom de groupe dans la zone de texte et cliquez sur Suivant. Après avoir déployé le logiciel client et vous être connecté à la console, vous pouvez localiser ce groupe dans la console. 5 Dans le volet suivant, décochez les types de protection que vous ne souhaitez pas installer (Symantec Endpoint Protection uniquement), puis cliquez sur Suivant. 6 Dans le volet suivant, cochez les options d'installation que vous voulez pour les packages, les fichiers et l'interaction utilisateur. 7 Cliquez sur Parcourir, localisez et sélectionnez un répertoire dans lequel placer les fichiers d'installation et cliquez sur Ouvrir.
104 Installation du logiciel client Symantec Exportation des packages d'installation client pour des ordinateurs Mac 8 Cliquez sur Next. 9 Dans le volet suivant, cochez Oui et cliquez sur Terminer. La création et l'exportation du package d'installation pour votre groupe peuvent prendre plusieurs minutes avant que l'assistant de déploiement n'apparaisse. Pour déployer le logiciel client avec l'assistant de déploiement 1 Dans l'assistant de déploiement, sous Ordinateurs disponibles, développez les arborescences et sélectionnez les ordinateurs sur lesquels installer le logiciel client, puis cliquez sur Ajouter >. 2 Dans la boîte de dialogue Authentification du client distant, entrez un nom d'utilisateur et un mot de passe, puis cliquez sur OK. Le nom d'utilisateur et le mot de passe doivent pouvoir authentifier le domaine ou le groupe de travail Windows qui contient les ordinateurs. 3 Une fois tous les ordinateurs sélectionnés et affichés dans le volet droit, cliquez sur Terminer. Se reporter à "Démarrage du client Symantec Endpoint Protection" à la page 126. Exportation des packages d'installation client pour des ordinateurs Mac L'assistant de migration et de déploiement vous permet d'exporter un package de logiciel client pour les clients Mac. Vous devez ensuite déployer le package manuellement. Se reporter à "Configuration et déploiement du logiciel client sur des ordinateurs Windows" à la page 102. Se reporter à "A propos du déploiement des packages d'installation client Mac" à la page 105. Vous pouvez également créer et exporter des packages d'installation client pour des ordinateurs Mac depuis la page Admin de la console Symantec Endpoint Protection Manager. Se reporter à "Création des packages d'installation client" à la page 109. Pour exporter des packages d'installation client pour des ordinateurs Mac 1 Démarrez l'assistant de migration et de déploiement en effectuant l'une des opérations suivantes :
Installation du logiciel client Symantec A propos du déploiement des packages d'installation client Mac 105 Dans le menu Démarrer de Windows, cliquez sur Démarrer>Programmes > Symantec Endpoint Protection Manager; Assistant de migration et de déploiement. Le chemin d'accès peut être différent selon la version de Windows que vous utilisez. Dans le dernier volet de l'assistant de configuration du serveur de gestion, cliquez sur Oui, puis sur Terminer. Se reporter à "Installation et configuration de Symantec Endpoint Protection Manager avec une base de données intégrée" à la page 66. 2 Dans le panneau d'accueil de l'assistant de Migration et de Déploiement, cliquez sur Suivant. 3 Dans le volet Quevoulez-vousfaire, cochez Exporterlepackaged'installation client Mac, puis cliquez sur Suivant. 4 Dans le volet suivant, saisissez le nom du groupe vers lequel déployer ce package client, spécifiez l'emplacement d'enregistrement du package d'installation client, puis cliquez sur Suivant. 5 Cliquez sur Terminer. A propos du déploiement des packages d'installation client Mac Pour installer Symantec Endpoint Protection sur un client Mac, exportez le package d'installation client, puis déployez le package manuellement. Vous pouvez utiliser n'importe quelle méthode disponible sur votre réseau : envoi par courrier électronique, script, URL (ftp ou HTTP) ou logiciel tiers tel qu'apple Remote Desktop. Se reporter à "Exportation des packages d'installation client pour des ordinateurs Mac" à la page 104. Avertissement : Le package d'installation client Mac est automatiquement exporté sous forme de fichier.zip. Pour développer le package au format d'installation Apple.mpkg, vous devez utiliser l'utilitaire d'archive Mac ou la commande Ditto. Vous ne pouvez pas utiliser la commande de décompression Mac ou une application de décompression Windows. Vous pouvez également installer Symantec Endpoint Protection silencieusement sur des clients Mac en exécutant la commande suivante dans l'application Terminal de Mac :
106 Installation du logiciel client Symantec A propos de l'installation d'un logiciel client non géré sur des ordinateurs Windows /usr/sbin/installer -pkg pathtopackage -target MountPoint où pathtopackage correspond à l'emplacement du package d'installation et MountPoint à celui où placer le package sur l'ordinateur client. Vous devez être connecté en tant que root pour exécuter l'installation silencieuse. Sinon, vous pouvez ajouter sudo au début de la commande d'installation silencieuse. A propos de l'installation d'un logiciel client non géré sur des ordinateurs Windows Les clients peuvent être gérés ou non gérés.. Si vous ne voulez pas utiliser le serveur de gestion pour gérer le logiciel client, vous pouvez installer le logiciel client non géré. Cependant, l'installation du logiciel client Symantec Network Access Control non géré n'est pas recommandée. Le logiciel client non géré peut être installé des manières suivantes : En utilisant le programme d'installation sur le disque d'installation Déploiement des packages d'installation client autonomes à l'aide de Symantec Endpoint Protection Manager En utilisant l'assistant de déploiement des outils CD. Installation d'un logiciel client non géré sur des ordinateurs Windows à l'aide du disque de produit Vous pouvez installer le logiciel client Symantec Endpoint Protection non géré en utilisant le fichier Setup.exe sur le disque de produit. Le programme d'installation installe le logiciel client Symantec Endpoint Protection à l'aide d'un assistant d'installation. L'installation Server Core de Windows Server 2008 offre seulement une interface de ligne de commande. Vous pouvez cependant gérer des installations Server Core en utilisant des outils de gestion à distance. Le logiciel client peut être installé à l'aide du CD d'installation depuis un emplacement local ou un emplacement réseau partagé. Remarque : Sous Windows Vista et Windows Server 2008, vous pouvez cliquer sur Continuer pour toutes les boîtes de dialogue Contrôle de compte d'utilisateur qui apparaissent quand vous effectuez ces procédures.
Installation du logiciel client Symantec A propos de l'installation d'un logiciel client non géré sur des ordinateurs Windows 107 Pour installer un logiciel client Symantec Endpoint Protection non géré en utilisant le CD d'installation 1 Insérez le disque d'installation dans le lecteur et démarrez le programme d'installation s'il ne démarre pas automatiquement. 2 Cliquez sur Installer clientsymantec Endpoint Protection. 3 Dans l'écran d'accueil, cliquez sur Suivant. 4 Dans le volet Contrat de licence, cliquez sur J'accepte les termes du contrat de licence, puis cliquez sur Suivant. 5 Vérifiez que Ordinateur non géré est sélectionné, puis cliquez sur Suivant. Ce volet s'affiche uniquement si vous installez le logiciel client Symantec Endpoint Protection pour la première fois sur cet ordinateur. 6 Dans le volet Type d'installation, effectuez une des opérations suivantes : Cliquez sur Par défaut pour installer le logiciel client avec les options les plus courantes, puis cliquez sur Suivant. Cliquez sur Personnalisé pour choisir les composants installés et les options utilisées pour les installer, puis cliquez sur Suivant. Dans le volet Installation personnalisée, sélectionnez les fonctions que vous voulez installer et comment vous voulez les installer. Confirmez l'emplacement de l'installation ou cliquez sur Modifier pour en sélectionner un autre, puis cliquez sur Suivant. 7 Dans le volet Options de protection, cliquez sur Suivant. Vous pouvez en option désélectionner Activer Auto-Protect et Exécuter LiveUpdate à la fin de l'installation puis cliquer sur Suivant. Sous Windows Vista, vous pouvez également choisir de désactiver Windows Defender. 8 Cliquez sur Installer dans le volet Prêt pour l'installation. 9 Dans le volet Assistant terminé, cliquez sur Terminer. Si l'option Exécuter LiveUpdate est activée au cours de l'installation, LiveUpdate démarre une fois l'installation terminée. Vous pouvez être invité à redémarrer l'ordinateur.
108 Installation du logiciel client Symantec A propos de l'installation d'un logiciel client non géré sur des ordinateurs Windows Pour installer le logiciel client Symantec Network Access Control non géré en utilisant le disque de produit 1 Insérez le disque du produit dans le lecteur et démarrez le programme d'installation s'il ne démarre pas automatiquement. 2 Cliquez sur Installer Symantec Network Access Control et puis cliquez sur Installer Symantec Network Access Control. 3 Dans l'écran d'accueil, cliquez sur Suivant. 4 Dans le volet Contrat de licence, cliquez sur J'accepte les termes du contrat de licence, puis cliquez sur Suivant. 5 Dans le volet Dossier de destination, confirmez ou modifiez le dossier de destination affiché, puis cliquez sur Suivant. 6 Dans le panneau Prêt pour l'installation, cliquez sur Installer. 7 Dans le volet Assistant terminé, cliquez sur Terminer. Vous pouvez être invité à redémarrer l'ordinateur. Pour installer un logiciel client 64 bits Symantec Endpoint Protection non géré sur le Windows Server 2008 Server Core 64 bits 1 Insérez le disque de produit dans le lecteur, 2 Changez de répertoire pour le répertoire racine du disque de produit 3 Tapez cd SEPWIN64\X64, puis appuyez sur Entrée. 4 Tapez vcredist_x64.exe et appuyez sur Entrée. 5 Changez de répertoire pour le répertoire racine du disque de produit 6 Tapez Setup.exe, puis appuyez sur Entrée 7 Suivez les étapes de l'assistant d'installation pour terminer l'installation. Pour installer un logiciel client Symantec Endpoint Protection non géré sous Windows Server 2008 Server Core (tous les autres clients) 1 Insérez le disque de produit dans le lecteur, 2 Ouvrez une invite de commandes. 3 Changez de répertoire pour le répertoire racine du disque de produit 4 Tapez Setup.exe, puis appuyez sur Entrée 5 Suivez les instructions de l'assistant pour terminer l'installation.
Installation du logiciel client Symantec Création des packages d'installation client 109 A propos du déploiement d'un logiciel client non géré sur des ordinateurs Windows à l'aide de la console Vous pouvez exporter les packages d'installation du client autonome à partir de Symantec Endpoint Protection Manager. Après avoir exporté les packages autonomes, vous n'attribuez pas de packages aux groupes. Si vous attribuez les packages aux groupes, les clients du groupe apparaîtront dans la console après l'installation du logiciel. Cependant, vous ne pouvez pas gérer ces clients. A propos du déploiement d'un logiciel client non géré sur des ordinateurs Windows à l'aide de l'assistant de déploiement Vous pouvez également déployer un logiciel non géré en utilisant l'assistant de déploiement. Vous pouvez démarrer l'assistant en utilisant le fichier ClientRemote.exe. Le fichier se trouve dans le dossier Tools\PushDeploymentWizard sur le disque de produit qui contient les outils supplémentaires. Quand un message demandé de spécifier le dossier contenant le logiciel client, faites l'une des opérations suivantes : Pour déployer le client Symantec Endpoint Protection, sélectionnez le dossier SEP sur le disque de produit. Pour déployer le client Symantec Network Access Control, sélectionnez le dossier SNAC sur le disque de produit. Création des packages d'installation client Deux types de packages sont disponibles : Le package d'installation par défaut créé lors de l'installation de Symantec Endpoint Protection Manager. Un package client personnalisé créé spécialement pour un groupe un ensemble de groupes spécifique. Ce type de package d'installation contient des paramètres et des politiques de groupe personnalisés. Vous pouvez créer différents types de package : 32 bits, 64 bits ou Mac. Quand vous installez le package par défaut, les clients s'affichent dans le groupe par défaut et reçoivent les politiques par défaut. Un package personnalisé n'est en général pas attribué au groupe par défaut. Vous pouvez créer les packages d'installation client pour des groupes à tout moment. Si vous créez des politiques personnalisées qui ne changent pas régulièrement, vous pouvez créer un package d'installation client pour le groupe
110 Installation du logiciel client Symantec Création des packages d'installation client qui utilise ces politiques. Ce package peut ainsi être installé sur les ordinateurs ajoutés au groupe. Toutefois, un nouveau package d'installation client n'est pas nécessaire pour modifier des politiques. Les changements aux politiques sont automatiquement propagés aux clients du groupe auquel les politiques s'appliquent. Remarque : Les packages d'installation client devraient être déployés avec l'option silencieuse ou automatique vers les ordinateurs exécutant Microsoft Windows Serveur 2008 ou Microsoft Vista (x64). Seule l'option silencieuse doit être utilisée pour les packages d'installation déployés vers des ordinateurs exécutant Microsoft Vista (x86). Lorsqu'un déploiement silencieux est appliqué, les applications qui se connectent à Symantec Endpoint Protection, telles que Microsoft Outlook et Lotus Notes doivent être redémarrées. Remarque : Pour plus d'informations sur les packages d'installation client, voir le Guide d'administration de Symantec Endpoint Protection et de Symantec Network Access Control. Pour créer les packages d'installation client 1 Dans la console Symantec Endpoint Protection Manager, cliquez sur Admin. 2 Dans le volet Tâches, cliquez sur Installer les packages. 3 Dans le volet droit, sous Nom du package, sélectionnez le package à exporter. 4 Dans le volet inférieur gauche, sous Tâches, cliquez sur Exporter le package d'installation client. 5 Dans la boîte de dialogue Exporter le package, cliquez sur Parcourir. 6 Dans la boîte de dialogue Sélectionner le dossier d'exportation, cherchez et sélectionnez le répertoire qui contiendra le package exporté, puis cliquez sur OK. 7 Dans la boîte de dialogue Exporter le package, définissez les autres options selon vos objectifs d'installation. Pour obtenir des détails au sujet des autres options de cette boîte de dialogue, cliquez sur Aide. 8 Cliquez sur OK. Pour plus d'informations, consultez le document de la base de données de support de Symantec Comment déployer Symantec Endpoint Protection vers vos ordinateurs client utilisant Assistant de migration et de déploiement?
Installation du logiciel client Symantec A propos du déploiement du logiciel client sur des ordinateurs Windows à partir d'un lecteur mappé 111 A propos du déploiement du logiciel client sur des ordinateurs Windows à partir d'un lecteur mappé Après avoir exporté un package d'installation client vers un répertoire, vous pouvez partager ce répertoire puis faire mapper le répertoire à des utilisateurs à partir des ordinateurs client. Les utilisateurs peuvent alors installer le logiciel client à partir du lecteur mappé. Se reporter à "Création des packages d'installation client" à la page 109. Remarque : Pendant l'installation du logiciel client Symantec Endpoint Protection, le lecteur mappé devient temporairement déconnecté. Cette activité est connue et prévue. Cette activité ne se produit pas quand vous installez le logiciel client Symantec Network Access Control. Déploiement du logiciel client sur des ordinateurs Windows à l'aide de l'assistant de déploiement L'assistant de déploiement s'affiche automatiquement lorsque vous utilisez l'assistant de migration et de déploiement. Vous pouvez également utiliser le menu Démarrer de Windows pour le lancer. Vous devez décider du package logiciel client à déployer avant d'exécuter l'assistant, et vous devez savoir dans quel dossier se trouve le package. Vous devez le localiser pendant le déploiement. Pour déployer le logiciel client avec l'assistant Déploiement en mode 'push' 1 Démarrez l'assistant de migration et de déploiement en effectuant l'une des opérations suivantes : Dans le menu Démarrer de Windows, cliquez sur Démarrer>Programmes > Symantec Endpoint Protection Manager; Assistant de migration et de déploiement. Le chemin d'accès peut être différent selon la version de Windows que vous utilisez. Dans le dernier volet de l'assistant de configuration du serveur de gestion, cliquez sur Oui, puis sur Terminer. 2 Dans l'écran d'accueil, cliquez sur Suivant. 3 Cliquez sur Déployer le client (Symantec Endpoint Protection uniquement), puis cliquez sur Suivant. 4 Cliquez sur Sélectionnez le package d'installation client existant à déployer, puis cliquez sur Terminer.
112 Installation du logiciel client Symantec Déploiement du logiciel client avec Rechercher les ordinateurs non gérés 5 Dans le volet Assistant de déploiement, cliquez sur Parcourir, accédez au dossier contenant le package d'installation à déployer pour le sélectionner, puis cliquez sur OK. 6 Dans le volet Sélection d'ordinateurs, sous Ordinateurs disponibles, sélectionnez les ordinateurs sur lesquels vous voulez installer le logiciel client. Sinon, vous pouvez importer un groupe de travail ou un domaine d'ordinateurs et également un fichier texte contenant une liste d'ordinateurs. Se reporter à "Importer une liste d'ordinateurs à partir d'un fichier texte" à la page 114. 7 Cliquez sur Ajouter. 8 Dans la boîte de dialogue Authentification du client distant, tapez un nom d'utilisateur et un mot de passe, puis cliquez sur OK. Le nom d'utilisateur et le mot de passe doivent pouvoir s'authentifier auprès du domaine ou du groupe de travail Windows qui contient les ordinateurs. 9 Une fois tous les ordinateurs sélectionnés et affichés dans le volet droit, cliquez sur Terminer. Déploiement du logiciel client avec Rechercher les ordinateurs non gérés Vous pouvez déployer le logiciel client en utilisant Rechercher les ordinateurs non gérés dans la console de Symantec Endpoint Protection Manager. L'utilitaire vous permet de découvrir les ordinateurs client qui n'exécutent pas le logiciel client et d'installer le logiciel client sur ces ordinateurs. Remarque : Vous pouvez uniquement utiliser cet utilitaire pour détecter des ordinateurs clients Windows. Les ordinateurs clients Mac sont répertoriés dans l'utilitaire comme Inconnu et les packages d'installation client Mac doivent être déployés séparément. Se reporter à "Exportation des packages d'installation client pour des ordinateurs Mac" à la page 104.
Installation du logiciel client Symantec Déploiement du logiciel client avec Rechercher les ordinateurs non gérés 113 Remarque : Cet utilitaire place les ordinateurs non gérés dans la catégorie inconnue si les niveaux d'authentification de LAN Manager sont incompatibles avec les six niveaux d'authentification définis. Symantec recommande le niveau Envoyer une réponse NTLM 2 seulement. La politique à modifier est sous le niveau d'authentification du Paramètres de politique locale > Paramètres de sécurité > Politiques locales > Options de sécurité> [Sécurité du réseau] Manager de réseau local. En outre, cet utilitaire ne reconnaît pas correctement les systèmes d'exploitation Windows 2000 une fois exécuté à partir d'une installation par défaut de Windows Server 2003. Pour contourner cette limitation, vous pouvez exécuter le service Symantec Endpoint Protection Manager dans le volet Services en tant que service d'administrateur et non en tant que service système. Avertissement : Cet utilitaire détecte et affiche une série de périphériques de gestion de réseau dans l'onglet ordinateurs inconnus. Par exemple, cet utilitaire détecte des interfaces de routeur et les place dans l'onglet ordinateurs inconnus. Soyez prudent lorsque vous déployez le logiciel client vers des périphériques qui apparaissent dans l'onglet ordinateurs non gérés. Vérifiez que ces périphériques sont des cibles valides pour le déploiement du logiciel client. Vous pouvez également déployer le logiciel client en utilisant l'assistant de déploiement. Se reporter à "Déploiement du logiciel client sur des ordinateurs Windows à l'aide de l'assistant de déploiement" à la page 111. Pour déployer le logiciel client en utilisant Rechercher les ordinateurs non gérés 1 Dans la Console Symantec Endpoint Protection Manager, cliquez sur Clients. 2 Dans le volet Tâches, cliquez sur Rechercher les ordinateurs non gérés. 3 Dans la fenêtre Rechercher les ordinateurs non gérés, sous Rechercher par, cochez Plage d'adresses IP et entrez les adresses IP de l'intervalle à parcourir. L'analyse d'une plage de 100 adresses IP qui n'existent pas dure approximativement 5,5 minutes. Eventuellement, spécifiez un nom d'ordinateur. 4 Sous Informations d'ouverture de session, remplissez les zones de texte Nom d'utilisateur, Mot de passe et Domaine-Groupe de travail avec les informations d'authentification de connexion qui autorisent l'administration et l'installation. 5 Cliquez sur Rechercher maintenant. 6 Sur les onglets Ordinateurs inconnus ou Ordinateurs non gérés, effectuez l'une des opérations suivantes :
114 Installation du logiciel client Symantec Importer une liste d'ordinateurs à partir d'un fichier texte Cochez chaque ordinateur sur lequel vous voulez installer le logiciel client. Cliquez sur Sélectionner tout. 7 Sous Installation, sélectionnez le package d'installation, l'option d'installation et les fonctions que vous voulez installer. 8 Pour effectuer l'installation sur un groupe autre que le groupe par défaut, cliquez sur Modifier, sélectionnez un groupe différent, puis cliquez sur OK. 9 Quand vous êtes prêt à installer le logiciel client, cliquez sur Démarrer l'installation. Importer une liste d'ordinateurs à partir d'un fichier texte Au lieu de sélectionner des ordinateurs Windows pendant l'installation de l'assistant de déploiement, vous pouvez importer une liste d'ordinateurs Windows à partir d'un fichier texte. Vous pouvez créer un fichier texte qui contient la liste des adresses IP des ordinateurs à inclure. Vous pouvez importer ce fichier texte pendant l'exécution de l'assistant de déploiement puis déployer le logiciel client vers les ordinateurs spécifiés. Le fichier texte utilisé doit contenir chaque adresse IP sur une ligne séparée. Vous pouvez transformer en commentaires les lignes des adresses IP à ne pas importer en utilisant un point-virgule (;) ou deux points (:). Par exemple, vous pouvez vouloir supprimer temporairement des adresses sur un sous-réseau qui est indisponible pendant le déploiement. Remarque : L'utilisation d'un fichier texte n'est pas recommandée pour les adresses IP attribuées par DHCP. Pour importater un fichier texte contenant les ordinateurs à installer 1 Utilisez un éditeur de texte tel que le Bloc-notes pour créer un fichier texte. 2 Dans l'écran Sélection des ordinateurs, cliquez sur Sélectionner. 3 Dans la boîte de dialogue Détails du client, cliquez sur Importer.
Installation du logiciel client Symantec A propos de l'installation et du déploiement du logiciel client avec Altiris 115 4 Localisez le fichier texte contenant les adresses IP à importer et cliquez deux fois dessus. Pendant le processus d'authentification, vous pouvez être amené à fournir un nom d'utilisateur et un mot de passe pour les ordinateurs exigeant une authentification. Le programme d'installation recherche également des conditions d'erreur. Vous êtes invité à consulter ces informations pour chaque ordinateur ou à les consigner dans un fichier journal pour consultation ultérieure. 5 Terminez l'installation. A propos de l'installation et du déploiement du logiciel client avec Altiris Vous pouvez installer et déployer le logiciel client Symantec sur des ordinateurs Windows en utilisant le logiciel d'altiris,qui fait maintenant partie de Symantec. Altiris fournit un composant gratuit et intégré pour Symantec Endpoint Protection qui offre des fonctions d'installation par défaut, la gestion client intégrée et la notification à haut niveau. Le logiciel d'altiris permet à des organismes de technologie informatique de gérer, sécuriser et entretenir des ressources hétérogènes. Il prend également en charge la livraison de logiciel, la gestion des correctifs et beaucoup d'autres fonctions de gestion. Le logiciel d'altiris aide les services d'alignement informatique à piloter les objectifs de l'entreprise, à fournir la sécurité prête pour l'audit, à automatiser les tâches et à réduire le coût et la complexité de la gestion. Pour plus d'informations à propos du composant intégré pour Symantec Endpoint Protection, consultez le document de la base de données de support de Symantec, Symantec Endpoint Protection Integration Component 6.0 Release Notes. Pour plus d'informations sur Altiris, rendez-vous à l'adresse suivante : http://www.altiris.com Pour télécharger le composant d'intégration pour Symantec Endpoint Protection ou d'autres solutions Altiris, rendez-vous à l'adresse suivante : http://www.altiris.com/download.aspx Options d'installation tierce Le logiciel client Symantec prend en charge l'installation utilisant des outils tiers pour déployer le logiciel client. Cette prise en charge nécessite cependant une connaissance avancée de Windows ou des outils d'administration tiers. Ces options
116 Installation du logiciel client Symantec Options d'installation tierce avancées sont particulièrement utiles pour installer le logiciel client Symantec sur des réseaux de grande taille. Se reporter à "A propos de l'installation de clients avec des logiciels tiers" à la page 116. Se reporter à "A propos de la personnalisation des fichiers d'installation avec les options.msi" à la page 116. Se reporter à "A propos de l'installation des clients avec Microsoft SMS 2003" à la page 116. Se reporter à "A propos de l'installation de clients avec Active Directory Group Policy Object" à la page 118. A propos de l'installation de clients avec des logiciels tiers Vous pouvez installer des clients Symantec avec divers logiciels d'éditeurs tiers, notamment Microsoft Active Directory, Tivoli, Microsoft Systems Management Server (SMS) et Novell ZENworks. Les seuls produits tiers testés et pris en charge sont Novell ZENworks, Microsoft Active Directory et Microsoft SMS. A propos de la personnalisation des fichiers d'installation avec les options.msi Les paquets d'installation du logiciel client Symantec sont des fichiers Windows Installer (.msi) entièrement configurables et déployés à l'aide des options standard de Windows Installer. Vous pouvez utiliser des outils de gestion d'environnement prenant en charge le déploiement.msi, comme Active Directory ou Tivoli, pour installer des clients sur votre réseau. Se reporter à "A propos de la configuration des chaînes de commande MSI" à la page 205. A propos de l'installation des clients avec Microsoft SMS 2003 Les administrateurs système peuvent utiliser Microsoft Systems Management Server (SMS) pour installer le logiciel client Symantec. Nous supposons que les administrateurs système qui utilisent SMS ont précédemment installé un logiciel avec SMS. En conséquence, nous supposons que vous n'avez pas besoin d'informations détaillées sur l'installation du logiciel client Symantec avec SMS. Le logiciel d'installation client Symantec requiert l'exécution de Microsoft Installer 3.1 sur les ordinateurs client avant l'installation. Ce logiciel est automatiquement installé s'il n'est pas sur les ordinateurs client, mais seulement quand vous vous déployez avec un unique exécutable setup.exe. Ce
Installation du logiciel client Symantec Options d'installation tierce 117 logiciel n'est pas automatiquement installé si vous déployez avec le fichier MSI. Les ordinateurs qui exécutent Windows Server 2003 avec Service Pack 2 et Windows Vista incluent Microsoft Installer 3.1 ou une version ultérieure. Au besoin, déployez d'abord WindowsInstaller-x86.exe qui est contenu dans les répertoires d'installation SEP et SNAC sur le CD-ROM d'installation. La mise à niveau vers MSI 3.1 requiert également un redémarrage de l'ordinateur. Remarque : Cette remarque concerne les versions 2.0 et antérieures de SMS. Si vous utilisez le SMS, désactivez la fonction Afficher l'icône d'état sur la barre d'outils pour toute activité du système sur les clients dans le Contrôleur de programmes publiés. Dans certains cas, Setup.exe peut imposer de mettre à jour un fichier partagé utilisé par le Contrôleur de programmes publiés. Si le fichier est en cours d'utilisation, l'installation échouera. Pour créer et distribuer le logiciel client Symantec avec SMS 2003, vous effectuez typiquement les tâches suivantes : Créez un package d'installation logicielle avec Symantec Endpoint Protection Manager qui contient le logiciel et les politiques à installer sur les ordinateurs client. En complément, ce package d'installation de logiciel doit contenir un fichier nommé Sylink.xml, qui identifie le serveur qui gère les clients. Créez un répertoire source et copiez les fichiers d'installation de client Symantec dans ce répertoire source. Par exemple, vous créerez un répertoire source qui contient les fichiers d'installation pour le logiciel client Symantec. Créez un package, nommez-le et identifiez le répertoire source en tant qu'élément du package. Configurez la boîte de dialogue de programme pour le package pour spécifier l'exécutable qui démarre l'installation et spécifiez éventuellement MSI avec des paramètres. Distribuez le logiciel à des collections spécifiques avec diffusion. Avertissement : Vous devez inclure un fichier Sylink.xml dans les packages d'installation client que vous avez créés à l'aide des fichiers du disque de produit. Vous devez inclure un fichier Sylink.xml créé après l'installation et l'utilisation de Symantec Endpoint Protection Manager. Le fichier Sylink.xml identifie le serveur de gestion auquel les clients s'adressent. Si vous n'incluez pas ce fichier, le client est installé en tant que client non géré. En conséquence, tous les clients sont installés avec des paramètres par défaut et ne communiquent pas avec un serveur de gestion.
118 Installation du logiciel client Symantec Options d'installation tierce Pour plus d'informations sur l'utilisation de SMS, consultez la documentation de Microsoft Systems Management Server. A propos de l'installation de clients avec Active Directory Group Policy Object Vous pouvez installer le logiciel client en utilisant Windows 2000/2003 Active Directory Group Policy Object. Les procédures pour installer le logiciel client avec Active Directory Group Policy Object supposent que vous avez installé ce logiciel et utilisez Windows 2003 Active Directory. Le logiciel d'installation nécessite que les ordinateurs client contiennent et puissent exécuter Windows Installer 3.1 ou version ultérieure. Les ordinateurs client satisfont cette condition s'ils exécutent Windows XP avec Service Pack 2 et versions ultérieures, Windows Server 2003 avec Service Pack 1 et versions ultérieures ou Windows Vista. Si les ordinateurs client ne remplissent pas cette exigence, toutes les autres méthodes d'installation installent automatiquement Windows Installer 3.1 en le démarrant à partir des fichiers d'installation. Pour des raisons de sécurité, Windows Group Policy Object ne permet pas le démarrage du fichier exécutable WindowsInstaller*.exe à partir des fichiers d'installation. Par conséquent, avant d'installer le logiciel client Symantec, vous devez exécuter ce fichier sur les ordinateurs qui ne contiennent pas et n'exécutent pas Windows Installer 3.1. Vous pouvez exécuter ce fichier avec un script de démarrage d'ordinateur. Si vous utilisez un GPO en tant que méthode d'installation, vous devez décider comment mettre à jour les ordinateurs client qui n'exécutent pas Windows Installer 3.1. L'installation du client Symantec utilise les fichiers.msi standard de Windows Installer. En conséquence, vous pouvez personnaliser l'installation du client avec des propriétés.msi. Se reporter à "A propos de la personnalisation des fichiers d'installation avec les options.msi" à la page 116. Enfin, vérifiez que votre serveur DNS est configuré correctement. L'installation correcte est requise parce qu'active Directory se fonde sur votre serveur DNS pour les communications entre les ordinateurs. Pour tester l'installation, exécutez une commande ping sur l'ordinateur Windows Active Directory, puis exécutez une commande ping dans la direction opposée. Utilisez le nom de domaine entièrement qualifié. L'utilisation du simple nom d'ordinateur n'appelle pas une nouvelle recherche DNS. Utilisez le format suivant : ping nomordinateur.nomdomaineentièrementqualifié.com
Installation du logiciel client Symantec Options d'installation tierce 119 Tableau 5-1 Etape Etape 1 Etapes d'installation du logiciel client à l'aide de Active Directory Group Policy Object Opération Créez l'image d'installation administrative. Se reporter à "Création de l'image d'installation administrative" à la page 119. Etape 2 Copiez Sylink.xml vers les fichiers d'installation. Se reporter à "Copier un fichier Sylink.xml vers les fichiers d'installation" à la page 120. Etape 3 Définissez l'image d'installation administrative. Se reporter à "Présentation des fichiers d'installation" à la page 121. Etape 4 Créez une distribution logicielle GPO. Vous devez également tester l'installation de GPO avec un nombre restreint d'ordinateurs avant le déploiement de production. Si le DNS n'est pas configuré correctement, les installations de GPO peuvent prendre une heure ou plus. Se reporter à "Créer une distribution logicielle GPO" à la page 121. Etape 5 Créez un script de démarrage de Windows Installer 3.1. Se reporter à "Créer un script de démarrage de Windows Installer" à la page 123. Etape 6 Ajoutez des ordinateurs à l'unité organisationnelle. Se reporter à "Ajouter des ordinateurs à une unité organisationnelle et au logiciel d'installation" à la page 125. Se reporter à "Désinstaller le logiciel client avec l'objet Politique de groupe Active Directory" à la page 125. Création de l'image d'installation administrative Les installations d'objet de politique de groupe qui utilisent Windows Installer 3.0 et antérieur requièrent des images administratives des fichiers d'installation client. Cette image n'est pas une condition pour les installations 3.1 et postérieures et est facultative. Si vous ne créez pas d'image d'administration, vous devez encore copier le contenu du dossier SEP du CD sur votre ordinateur. Se reporter à "A propos de l'installation de clients avec Active Directory Group Policy Object" à la page 118.
120 Installation du logiciel client Symantec Options d'installation tierce Pour créer l'image d'installation administrative 1 Copiez le contenu du dossier SEP du CD sur votre ordinateur. 2 A partir d'une invite de commandes, allez dans le dossier SEP et saisissez msiexec /a "Symantec AntiVirus.msi". 3 Dans l'écran d'accueil, cliquez sur Suivant. 4 Dans l'écran Emplacement réseau, saisissez l'emplacement dans lequel vous voulez créer l'image d'installation administrative, puis cliquez sur Installer. 5 Cliquez sur Terminer. Copier un fichier Sylink.xml vers les fichiers d'installation Lorsque vous installez Symantec Endpoint Protection Manager, l'installation crée un fichier nommé Sylink.xml. Les clients Symantec Endpoint Protection lisent le contenu de ce fichier pour connaître le serveur de gestion qui gère le client. Si vous ne copiez pas ce fichier vers les fichiers d'installation avant d'installer le logiciel client, les clients sont installés comme non pris gérés. Vous devez créer au moins un nouveau groupe avec la console de gestion avant de copier le fichier. Si vous ne le faites pas, le fichier Sylink.xml fera s'afficher les clients dans le groupe par défaut. Remarque : Les packages exportés avec la console Symantec Endpoint Protection Manager incluent un fichier Sylink.xml. Se reporter à "A propos de l'installation de clients avec Active Directory Group Policy Object" à la page 118. Pour copier le fichier Sylink.xml vers les fichiers d'installation 1 Si vous n'avez pas procédé ainsi, installez un Symantec Endpoint Protection Manager. 2 Recherchez un fichier Sylink.xml dans l'un des dossiers d'outbox. Par défaut, ces dossiers se trouvent dans \\Program Files\Symantec\Symantec Endpoint Protection Manager\data\outbox\agent\uid\ où uid représente le nom unique du dossier de package, par exemple 8F171749C0A85C820163FBAA230DBF18. Vous pouvez devoir ouvrir et lire les fichiers Sylink.xml dans les différents fichiers uid avec un éditeur de texte pour trouver le fichier désiré. 3 Au besoin, copiez Sylink.xml sur un support amovible. 4 Copiez Sylink.xml en utilisant l'une des procédures suivantes :
Installation du logiciel client Symantec Options d'installation tierce 121 Si vous avez créé une image de fichier d'installation administrative, remplacez le fichier Sylink.xml dans le dossier. \répertoire_d'installation\program Files\Symantec Endpoint Protection Manager\. Si vous n'avez pas créé une image de fichier d'installation administrative, copiez le dossier SEP sur le disque de produit vers un dossier de votre ordinateur. Ensuite, pour créer un client géré, copiez le fichier Sylink.xml dans ce dossier cible. Présentation des fichiers d'installation Vous pouvez organiser les fichiers d'installation pour le déploiement. Pour ce faire, partagez le dossier qui contient les fichiers d'installation client. Assignez des permissions aux utilisateurs qui se connectent aux clients vers lesquels vous voulez déployer le package. Se reporter à "A propos de l'installation de clients avec Active Directory Group Policy Object" à la page 118. Pour présenter les fichiers d'installation 1 Au besoin, copiez le dossier qui contient les fichiers d'installation client vers un dossier partagé. 2 Cliquez avec le bouton droit de la souris sur le dossier et cliquez sur Partage et sécurité. 3 Dans la boîte de dialogue Propriétés, dans l'onglet Partage, cochez Partager ce dossier et cliquez sur Permissions. 4 Dans la boîte de dialogue Permissions, sous Noms de groupe ou d'utilisateur, cliquez sur Tous et cliquez sur Supprimer. 5 Cliquez sur Ajouter. 6 Sous Entrer les noms des objets à sélectionner, saisissez les utilisateurs authentifiés (Authenticated Users) et cliquez sur Vérifier les noms. 7 Tapez Ordinateurs de domaine, cliquez sur Vérifier les noms et cliquez sur OK. 8 Dans la boîte de dialogue Permissions, cliquez sur Appliquer et cliquez sur OK. Créer une distribution logicielle GPO La procédure suppose que vous avez installé la console de gestion des politiques de groupe Microsoft avec le Service Pack 1 ou une version ultérieure. La procédure suppose également que des ordinateurs appartiennent au groupe d'ordinateurs
122 Installation du logiciel client Symantec Options d'installation tierce ou à un autre groupe pour lequel vous voulez installer le logiciel client. Vous pouvez faire glisser ces ordinateurs dans un nouveau groupe que vous créez. Remarque : Si le contrôle de compte d'utilisateur (UAC) est activé, vous devez activer Toujours installer avec des droits élevés pour que la Configuration de l'ordinateur et la Configuration utilisateur installent le logiciel client Symantec avec un GPO. Vous définissez ces options pour permettre à tous les utilisateurs Windows d'installer le logiciel client Symantec. Se reporter à "A propos de l'installation de clients avec Active Directory Group Policy Object" à la page 118. Pour créer un package GPO 1 Dans la barre des tâches de Windows, cliquez sur Démarrer > Programmes > Outils d'administration > Gestion des politiques de groupe. 2 Dans la fenêtre Utilisateurs et ordinateurs Active Directory, dans l'arborescence de console, cliquez avec le bouton droit de la souris sur le domaine, puis cliquez sur Utilisateurs et ordinateurs Active Directory. 3 Dans la fenêtre Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit de la souris sur Domaine, puis cliquez sur Nouveau > Unité organisationnelle. 4 Dans la boîte de dialogue Nouvel objet, dans la zone Nom, tapez le nom de l'unité organisationnelle et cliquez sur OK. 5 Dans la fenêtre Utilisateurs et ordinateurs Active Directory, cliquez sur Fichier > Quitter. 6 Dans la fenêtre Gestion des politiques de groupe, dans l'arborescence de console, cliquez avec le bouton droit de la souris sur l'unité organisationnelle que vous avez créée, puis cliquez sur Créer et lier un GPO. Vous devrez peut-être actualiser le domaine pour que la nouvelle unité organisationnelle apparaisse. 7 Dans la boîte de dialogue Nouveau GPO, dans la zone Nom, tapez le nom de l'objet GPO et cliquez sur OK. 8 Dans le volet droit, cliquez avec le bouton droit de la souris sur le GPO que vous avez créé, puis cliquez sur Edition. 9 Dans la fenêtre de l'éditeur d'objet de politique de groupe, dans le volet gauche, sous Configuration de l'ordinateur, développez Paramètres du logiciel. 10 Cliquez avec le bouton droit de la souris sur l'option d'installation logicielle, puis cliquez sur Nouveau > Package.
Installation du logiciel client Symantec Options d'installation tierce 123 11 Dans la boîte de dialogue Ouvrir, tapez le chemin d'accès, selon la convention d'affectation des noms (UNC), qui pointe vers le package MSI et le contient. Utilisez le format illustré par l'exemple suivant : \\nom serveur\shareddir\symantec AntiVirus.msi 12 Cliquez sur Ouvrir. 13 Dans la boîte de dialogue Déployer le logiciel, cliquez sur Assigné, puis sur OK. Le package apparaît dans le volet droit de la fenêtre de l'éditeur d'objet de stratégie de groupe si vous choisissez l'option d'installation logicielle. Pour configurer des modèles pour le package 1 Dans la fenêtre de l'éditeur d'objet de politique de groupe, dans l'arborescence de console, affichez et activez les paramètres suivants : Configuration ordinateur > Modèles d'administration > Système > Connexion > Toujours attendre le réseau au démarrage et à la connexion de l'ordinateur Configuration ordinateur > Modèles d'administration > Système > Politique de groupe > Traitement de politique d'installation de logiciels Configuration utilisateur > Modèles d'administration > Composants Windows > Windows Installer> Toujours installer avec des droits élevés 2 Fermez la fenêtre de l'éditeur d'objet de politique de groupe. 3 Dans la fenêtre Gestion des politiques de groupe, dans le volet gauche, cliquez avec le bouton droit de la souris sur le GPO que vous avez modifié, puis cliquez sur Appliqué. 4 Dans le volet droit, sous Filtrage de sécurité, cliquez sur Ajouter. 5 Dans la boîte de dialogue, sous Entrer le nom d'objet à sélectionner, saisissez les ordinateurs du domaine (Domain Computers) et cliquez sur OK. Créer un script de démarrage de Windows Installer Vous devez installer Windows Installer sur les ordinateurs qui contiennent et exécutent des versions précédentes de Windows Installer. Vous pouvez afficher des versions de Windows Installer en exécutant msiexec/? dans une invite de commandes. Windows Installer 3.1 est requis pour le package d'installation de GPO. Vous êtes libre de choisir le mode d'installation de Windows Installer sur des ordinateurs.
124 Installation du logiciel client Symantec Options d'installation tierce Remarque : Les utilisateurs restreints ne peuvent pas exécuter Windows Installer, tout comme les utilisateurs restreints avec des privilèges étendus. Des utilisateurs restreints sont définis avec la politique de sécurité locale. Une manière d'installer Windows Installer consiste à employer un script de démarrage d'ordinateur GPO. Les scripts de démarrage s'exécutent avant les fichiers d'installation.msi du GPO au redémarrage d'ordinateurs. Si vous procédez ainsi, n'oubliez pas que le script de démarrage s'exécute et réinstalle Windows Installer à chaque redémarrage de l'ordinateur. Si vous l'installez en mode silencieux, cependant, les utilisateurs doivent patienter quelques instants avant que l'écran de connexion n'apparaisse. Le logiciel client Symantec n'est installé qu'une seule fois avec un GPO. Se reporter à "A propos de l'installation de clients avec Active Directory Group Policy Object" à la page 118. Pour installer Windows Installer 3.1 1 Dans la fenêtre Gestion des politiques de groupe, dans l'arborescence de console, développez l'unité organisationnelle, cliquez avec le bouton droit de la souris sur le package, puis cliquez sur Edition. 2 Dans la fenêtre de l'éditeur d'objet de politique de groupe, dans l'arborescence de console, développez Configurationdel'ordinateur>ParamètresWindows, puis cliquez sur Scripts (Démarrage/arrêt). 3 Dans le volet droit, cliquez deux fois sur Démarrage. 4 Dans la boîte de dialogue Propriétés de démarrage, cliquez sur Afficher les fichiers. 5 Dans une nouvelle fenêtre, copiez le fichier WindowsInstaller-893803-x86.exe du dossier de fichier d'installation )GPO sur la fenêtre et le dossier Démarrage. 6 Affichez à nouveau la boîte de dialogue Propriétés de démarrage, puis cliquez sur Ajouter. 7 Dans la boîte de dialogue Ajouter un script, cliquez sur Parcourir. 8 Dans la boîte de dialogue Parcourir, sélectionnez le fichier exécutable de Windows Installer, puis cliquez sur Ouvrir. 9 Dans la boîte de dialogue Ajouter un script, dans la zone Paramètres de script, tapez /quiet /norestart et cliquez sur OK. 10 Dans la boîte de dialogue Propriétés de démarrage, cliquez sur OK. 11 Quittez la fenêtre du gestionnaire d'objets de politique de groupe.
Installation du logiciel client Symantec Options d'installation tierce 125 Ajouter des ordinateurs à une unité organisationnelle et au logiciel d'installation Vous pouvez ajouter des ordinateurs à une unité organisationnelle. Lorsque les ordinateurs redémarrent, l'installation du logiciel client commence. Lorsque des utilisateurs se connectent aux ordinateurs, l'installation du logiciel client se termine. La mise à jour des politiques de groupe, cependant, n'est pas instantanée et la propagation de la politique peut donc prendre du temps. La procédure, cependant, contient les commandes que vous pouvez exécuter sur les ordinateurs client pour mettre à jour la politique à la demande. Se reporter à "A propos de l'installation de clients avec Active Directory Group Policy Object" à la page 118. Pour ajouter des ordinateurs à l'unité organisationnelle et installer le logiciel 1 Dans la barre des tâches de Windows, cliquez sur Démarrer > Programmes > Outils d'administration > Utilisateurs et ordinateurs Active Directory. 2 Dans la fenêtre Utilisateurs et ordinateurs Active Directory, dans l'arborescence de console, localisez un ou plusieurs ordinateurs à ajouter à l'unité organisationnelle que vous avez créée pour l'installation du GPO. Les ordinateurs apparaissent d'abord dans l'unité organisationnelle des ordinateurs. 3 Glissez-déposez les ordinateurs dans l'unité organisationnelle que vous avez créée pour l'installation. 4 Fermez la fenêtre Utilisateurs et ordinateurs Active Directory. 5 Pour appliquer rapidement les modifications aux ordinateurs client (à des fins de test), ouvrez une invite de commande sur ces ordinateurs. 6 Tapez une des commandes suivantes et appuyez sur Entrée. Sur les ordinateurs qui exécutent Windows 2000, tapez secedit /refreshpolicy machine_policy. Sur les ordinateurs qui exécutent Windows XP ou une version ultérieure, tapez gpupdate. 7 Cliquez sur OK. Désinstaller le logiciel client avec l'objet Politique de groupe Active Directory Vous pouvez également désinstaller le logiciel client que vous avez installé avec Active Directory.
126 Installation du logiciel client Symantec Démarrage du client Symantec Endpoint Protection Pour désinstaller le logiciel client avec Active Directory Group Policy Object 1 Dans la barre des tâches de Windows, cliquez sur Démarrer > Programmes > Outils d'administration > Gestion des politiques de groupe. La version de Windows que vous utilisez peut afficher Tous les programmes au lieu de Programmes dans le menu Démarrer. 2 Dans la fenêtre Gestion des politiques de groupe, dans l'arborescence de la console, développez le domaine, développez Configuration de l'ordinateur, développez Paramètres du logiciel, cliquez avec le bouton droit de la souris sur Installation du logiciel, puis cliquez sur Propriétés. 3 Dans l'onglet Avancé, cochez Désinstaller cette application quand elle sort du champ de la gestion, puis cliquez sur OK. 4 Dans le volet droit, cliquez avec le bouton droit de la souris sur le package logiciel, puis cliquez sur Supprimer. 5 Dans la boîte de dialogue Supprimer le logiciel, cochez la case Désinstaller immédiatement le logiciel des utilisateurs et des ordinateurs et cliquez sur OK. 6 Fermez la fenêtre de l'éditeur d'objet de politique de groupe, puis la fenêtre Gestion des politiques de groupe. Le logiciel est désinstallé au redémarrage des ordinateurs client. Démarrage du client Symantec Endpoint Protection Vous pouvez démarrer l'interface utilisateur client sur les clients gérés et non gérés en utilisant le menu Démarrer de Windows. Vous pouvez également cliquer deux fois sur l'icône dans la barre des tâches Windows. L'installation Server Core de Windows Server 2008 offre seulement une interface de ligne de commande. Vous pouvez démarrer l'interface utilisateur client manuellement en exécutant le fichier SymCorpUI.exe stocké dans le dossier d'installation de Symantec Endpoint Protection. Pour démarrer le client Symantec Endpoint Protection Effectuez l'une des opérations suivantes : Dans le menu Démarrer de Windows, cliquez sur Démarrer > Tous les programmes > Symantec Endpoint Protection > Symantec Endpoint Protection. Dans le menu Démarrer de Windows, cliquez sur Démarrer > Tous les programmes > Symantec Network Access Control > Symantec Network Access Control.
Installation du logiciel client Symantec A propos de la désinstallation du client Symantec Endpoint Protection 127 Dans la zone de notification de la barre des tâches Windows, cliquez deux fois sur l'icône Symantec Endpoint Protection ou Symantec Network Access Control. Pour démarrer le client Symantec Endpoint Protection sur Windows Server 2008 Server Core 1 A l'invite de commande, effectuez l'une des opérations suivantes : Sur les serveurs 32 bits de Windows Server 2008 Core Server, exécutez la commande suivante : cd C:\Program Files\Symantec\Symantec Endpoint Protection Manager Sur les serveurs 64 bits de Windows Server 2008 Core Server, exécutez la commande suivante : cd C:\Program Files (x86)\symantec\symantec Endpoint Protection Manager 2 Exécutez la commande suivante : symcorpui A propos de la désinstallation du client Symantec Endpoint Protection Vous pouvez désinstaller le logiciel client avec l'utilitaire Windows Add and Remove. Si vous désinstallez le logiciel client Symantec Endpoint Protection qui exécute une politique bloquant des périphériques matériels, les périphériques restent bloqués après la désinstallation du logiciel. Pour débloquer les périphériques, utilisez le Gestionnaire de périphériques Windows. Désinstaller le logiciel client sur Windows Server 2008 Server Core L'installation Server Core de Windows Server 2008 offre seulement une interface de ligne de commande. Vous pouvez cependant gérer des installations Server Core en utilisant des outils de gestion à distance. Pour désinstaller le logiciel client sous Windows Server 2008 Server Core 1 Démarrez l'éditeur du registre en utilisant la commande Regedit. 2 Naviguez vers la clé suivante : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall
128 Installation du logiciel client Symantec A propos de la désinstallation du client Symantec Endpoint Protection 3 Sélectionnez et copiez le nom de la clé {chaîne-désinstallation} pour Symantec Endpoint Protection. 4 A une invite de commande, exécutez la commande suivante : msiexec.exe /x {chaîne_désinstallation}
Chapitre 6 Installation de Quarantaine et des serveurs LiveUpdate Ce chapitre traite des sujets suivants : A propos de l'installation et de la configuration de la quarantaine centralisée A propos de l'utilisation d'un serveur Symantec LiveUpdate A propos de l'installation et de la configuration de la quarantaine centralisée Le serveur de quarantaine reçoit les soumissions de virus et de risques de sécurité en provenance des clients Symantec Endpoint Protection et les transfère à Symantec. La console de quarantaine vous permet de gérer le serveur de quarantaine et ces soumissions. Si votre réseau nécessite un emplacement centralisé pour tous les fichiers mis en quarantaine, vous pouvez installer la quarantaine centralisée. La quarantaine centralisée est constituée du serveur de quarantaine et de la console de quarantaine. Le serveur de quarantaine et la console de quarantaine peuvent être installés sur le même ordinateur Windows ou sur des postes différents pris en charge. Remarque : Si vous installez le serveur de quarantaine ou la console de quarantaine depuis les dossiers d'installation individuels du CD, exécutez Setup.exe plutôt que le fichier.msi. L'emploi de Setup.exe garantit que tous les fichiers requis par Windows Installer sont installés sur l'ordinateur cible avant l'exécution du package d'installation.msi.
130 Installation de Quarantaine et des serveurs LiveUpdate A propos de l'installation et de la configuration de la quarantaine centralisée Pour plus d'informations, consultez le Guide de mise en œuvre de Quarantaine centralisée Symantec sur le disque de produit. L'installation de la quarantaine centralisée comprend les tâches suivantes dans l'ordre suivant : Installation de la console de quarantaine Installation du serveur de quarantaine Configurer des groupes pour utiliser la quarantaine centralisée Remarque : Vous installez d'abord la console de quarantaine puis le serveur de quarantaine. Vous redémarrez ensuite le serveur de quarantaine. Installation de la console de quarantaine La console de quarantaine vous permet de gérer des soumissions au serveur de quarantaine. Se reporter à "A propos de l'installation et de la configuration de la quarantaine centralisée" à la page 129. Pour installer la console de quarantaine 1 Sur l'ordinateur comportant la console Symantec Endpoint Protection Manager, insérez le CD d'installation dans le lecteur de CD-ROM. Si votre ordinateur n'est pas configuré pour exécuter les CD automatiquement, vous devez exécuter Setup.exe manuellement. 2 Dans l'écran principal, cliquez sur Installer d'autres outils d'administration > Installer la console de quarantaine centralisée. 3 Suivez les instructions affichées pour terminer l'installation. Installation du serveur de quarantaine Le serveur de quarantaine reçoit les transmissions de virus. Le serveur de quarantaine requiert un redémarrage après installation. Se reporter à "A propos de l'installation et de la configuration de la quarantaine centralisée" à la page 129.
Installation de Quarantaine et des serveurs LiveUpdate A propos de l'installation et de la configuration de la quarantaine centralisée 131 Pour installer le serveur de quarantaine : 1 Sur l'ordinateur sur lequel vous voulez installer le serveur de quarantaine, insérez le CDROM d'installation dans le lecteur de CD-ROM. Si votre ordinateur n'est pas configuré pour exécuter les CD automatiquement, vous devez exécuter Setup.exe manuellement. 2 Cliquez sur Installer d'autres outils d'administration > Installer le serveur de quarantaine centralisée. 3 Dans l'écran d'accueil, cliquez sur Suivant. 4 Dans le volet Contrat de licence, cliquez sur J'accepte les termes du contrat de licence, puis cliquez sur Suivant. 5 Dans le volet Dossier de destination, effectuez l'une des opérations suivantes : Pour accepter le dossier de destination par défaut, cliquez sur Suivant. Pour changer de dossier de destination, cliquez sur Changer, spécifiez un nouveau dossier cible, cliquez sur OK, puis cliquez sur Suivant. 6 Dans le panneau Type d'installation, sélectionnez ce qui suit : Basé sur Internet (recommandé), puis cliquez sur Suivant. L'option de courrier électronique n'est plus prise en charge. 7 Dans le volet Espace disque maximal, saisissez la quantité d'espace disque à réserver sur le serveur pour les éléments envoyés par les clients à la quarantaine centralisée, puis cliquez sur Suivant. 8 Dans la fenêtre des informations de contact, saisissez le nom de votre société, votre ID de contact/numéro de compte Symantec et les informations de contact, puis cliquez sur Suivant. 9 Dans l'écran Communications Web, changez si nécessaire l'adresse de la passerelle, puis cliquez sur Suivant. Par défaut, le champ du nom de la passerelle est rempli avec l'adresse de la passerelle. 10 Dans le panneau Configuration des alertes, cochez Activer les alertes pour utiliser AMS, puis cliquez sur Suivant. 11 Dans l'écran Prêt pour l'installation, cliquez sur Installer, puis suivez les instructions affichées à l'écran pour terminer l'installation. 12 Notez l'adresse IP ou le nom d'hôte de l'ordinateur sur lequel vous avez installé le serveur de quarantaine et le numéro de port. Ces informations seront nécessaires lors de la configuration des programmes clients qui transmettent des éléments à la quarantaine centralisée.
132 Installation de Quarantaine et des serveurs LiveUpdate A propos de l'installation et de la configuration de la quarantaine centralisée Configurer des groupes pour utiliser la quarantaine centralisée Pour configurer les communications réseau de la quarantaine centralisée, vous devez spécifier le port sur lequel le serveur de quarantaine écoute. Vous devez également créer et appliquer une politique antivirus et antispyware qui spécifie l'ordinateur et le port du serveur de quarantaine. Configurez le port d'écoute du serveur de quarantaine avec Symantec Quarantine Console et créez la politique avec la console Symantec Endpoint Protection Manager. Remarque : L'interface utilisateur de la console de quarantaine vous permet de sélectionner le protocole IP ou le protocole SPX et de spécifier le numéro de port à configurer. Ce protocole IP et le numéro de port sont TCP. Ne sélectionnez pas SPX. Le numéro de port TCP que vous entrez n'est pas celui qui apparaît pour le port d'écoute du serveur une fois affiché avec des outils comme netstat -a. Par exemple, si vous entrez le numéro de port 33, netstat -a affiche le port TCP 8448. Les nombres hexadécimaux et les nombres décimaux se convertissent de manière incorrecte et s'intervertissent. Pour plus d'informations, consultez : Le serveur de quarantaine semble utiliser un port différent de celui qui est configuré Se reporter à "A propos de l'installation et de la configuration de la quarantaine centralisée" à la page 129. Pour configurer le serveur de quarantaine 1 Dans le volet gauche de la console de quarantaine centralisée Symantec, dans l'arborescence de la console, cliquez avec le bouton droit de la souris sur Quarantaine centralisée Symantec, puis cliquez sur Propriétés. 2 Dans l'onglet Général, sous Protocoles, cochez Surveillance sous IP. SPX n'est plus pris en charge. 3 Dans la zone Ecouter sur le port IP, entrez le numéro de port sur lequel pour écouter des soumissions client. Ce numéro de port est TCP/IP. N'entrez pas un numéro de port bien connu d'iana sans faire la recherche pour consulter si elle est utilisée dans votre réseau. Par exemple, n'entrez pas le numéro de port 21 parce qu'il est réservé pour les communications FTP. 4 Cliquez sur OK. Pour configurer une politique antivirus et antispyware 1 Dans la console Symantec Endpoint Protection Manager, cliquez sur Politiques. 2 Dans le volet Afficher les politiques, cliquez sur Antivirus et antispyware.
Installation de Quarantaine et des serveurs LiveUpdate A propos de l'utilisation d'un serveur Symantec LiveUpdate 133 3 Dans le volet Tâches, cliquez sur Ajouter une politique antivirus et antispyware... Vous pouvez également modifier une politique existante. 4 Dans la fenêtre Politique antivirus et antispyware, dans le volet gauche, cliquez sur Transmissions. 5 Sous Eléments en quarantaine, sélectionnez Permettre aux ordinateurs client de transmettre automatiquement les éléments en quarantaine à un serveur de quarantaine. 6 Dans la zone Nom du serveur, entrez le nom de domaine entièrement qualifié ou l'adresse IP du serveur de quarantaine. 7 Dans la zone Numéro de port, acceptez ou modifiez le numéro de port par défaut. 8 Dans la zone Réessayer, acceptez ou modifiez l'intervalle entre tentatives à utiliser quand les communications entre le client et le serveur de quarantaine échouent. 9 Cliquez sur OK. 10 Sur la boîte de dialogue d'avertissement Assigner la politique, cliquez sur Oui. 11 Sélectionnez les groupes pour la politique, puis cliquez sur Assigner. 12 Cliquez sur Oui pour confirmer les modifications de politique. A propos de l'utilisation d'un serveur Symantec LiveUpdate LiveUpdate est l'utilitaire qui met à jour des ordinateurs client avec des définitions de virus, des signatures de détection d'intrusion, des correctifs de produit, etc. Dans les environnements non gérés, LiveUpdate est typiquement configuré sur les ordinateurs client pour se connecter directement aux serveurs Symantec LiveUpdate. Dans les environnements gérés des petits et moyens réseaux, LiveUpdate sur les ordinateurs client est typiquement configuré pour se connecter à un Symantec Endpoint Protection Manager. Dans les grands réseaux gérés, il peut être très important d'économiser la bande passante par l'intermédiaire de passerelles Internet. Quand ces questions sont importantes, vous pouvez installer et configurer un ou plusieurs serveurs LiveUpdate pour télécharger les mises à jour. Vous pouvez ensuite distribuer les mises à jour aux serveurs de gestion ou directement aux clients.
134 Installation de Quarantaine et des serveurs LiveUpdate A propos de l'utilisation d'un serveur Symantec LiveUpdate Figure 6-1 Architectures de distribution de LiveUpdate Symantec LiveUpdate Serveur LiveUpdate Serveur LiveUpdate Serveur LiveUpdate Serveur de gestion Groupe de clients Serveur proxy LiveUpdate Groupe de clients Groupe de clients L'architecture de gauche est la plus simple à mettre en oeuvre. Pour la mettre en œuvre, vous modifiez un paramètre pour le site de gestion. Il est un peu plus difficile de mettre en œuvre l'architecture au centre. Pour la mettre en œuvre, vous modifiez un paramètre pour le site de gestion et vous modifiez la politique LiveUpdate appliquée au groupe. L'architecture à droite est la plus difficile à mettre en œuvre avec l'ajout du serveur proxy LiveUpdate.
Installation de Quarantaine et des serveurs LiveUpdate A propos de l'utilisation d'un serveur Symantec LiveUpdate 135 Pour plus d'informations sur l'implémentation des architectures LiveUpdate, consultez le Guide d'administration de Symantec Endpoint Protection et Symantec Network Access Control. Pour les procédures de configuration les plus récentes d'un serveur LiveUpdate, reportez-vous au Guide de prise en main de Symantec LiveUpdate Administrator dans le dossier de documentation du disque de produit
136 Installation de Quarantaine et des serveurs LiveUpdate A propos de l'utilisation d'un serveur Symantec LiveUpdate
Section 3 Migration et mise à niveau Chapitre 7. Mettre à niveau vers la dernière version de maintenance Chapitre 8. Migration de Symantec AntiVirus et de Symantec Client Security Chapitre 9. Migration du logiciel hérité Symantec Sygate
138
Chapitre 7 Mettre à niveau vers la dernière version de maintenance Ce chapitre traite des sujets suivants : Mise à niveau vers une nouvelle version de Symantec Endpoint Protection ou Symantec Network Access Control Sauvegarder la base de données. Migration vers Microsoft SQL Server 2008 à partir d'une version précédente Désactiver la réplication avant de mettre à niveau ou de migrer Arrêt du service de Symantec Endpoint Protection Manager Mise à niveau de Symantec Endpoint Protection Manager Activer la réplication après une migration ou une mise à niveau A propos de la mise à niveau du logiciel client Mettre à niveau des clients en utilisant AutoUpgrade Mettre à jour le logiciel client avec la politique de paramètres LiveUpdate A propos de la mise à niveau de Symantec Endpoint Protection ou Symantec Network Access Control
140 Mettre à niveau vers la dernière version de maintenance Mise à niveau vers une nouvelle version de Symantec Endpoint Protection ou Symantec Network Access Control Mise à niveau vers une nouvelle version de Symantec Endpoint Protection ou Symantec Network Access Control Vous pouvez mettre à niveau vers la dernière version de maintenance de Symantec Endpoint Protection ou Symantec Network Access Control. Avant d'installer une nouvelle version du logiciel, vous devez effectuer certaines tâches en tant qu'élément de votre plan de mise à niveau pour assurer une mise à niveau réussie. Les informations de cette section sont spécifiques à la mise à niveau du logiciel dans les environnements où une version de Symantec Endpoint Protection ou Symantec Network Access Control 11.x est déjà installée. Tableau 7-1 Processus de mise à niveau vers la dernière version de maintenance Etape Etape 1 Etape 2 Etape 3 Etape 4 Opération Sauvegarder la base de données Désactiver la réplication Arrêtez le service de Symantec Endpoint Protection Manager. Mettre à niveau le logiciel Symantec Endpoint Protection Manager Description Sauvegardez la base de données que Symantec Endpoint Protection Manager utilise pour garantir l'intégrité des informations client. Se reporter à "Sauvegarder la base de données." à la page 141. Désactivez la réplication sur tous les sites qui sont configurés comme partenaires de réplication. Ceci évite toute tentative de mettre à jour la base de données pendant l'installation. Se reporter à "Désactiver la réplication avant de mettre à niveau ou de migrer" à la page 143. Le service de Symantec Endpoint Protection Manager doit être arrêté pendant l'installation. Se reporter à "Arrêt du service de Symantec Endpoint Protection Manager" à la page 143. Installez la nouvelle version de Symantec Endpoint Protection Manager sur tous les sites de votre réseau. La version existante est détectée automatiquement et tous les paramètres sont enregistrés pendant la mise à niveau. Se reporter à "Mise à niveau de Symantec Endpoint Protection Manager" à la page 144.
Mettre à niveau vers la dernière version de maintenance Sauvegarder la base de données. 141 Etape Etape 5 Etape 6 Opération Activer la réplication après la mise à niveau Mettre à niveau le logiciel client Symantec Description Activez la réplication quand l'installation est terminée pour restaurer votre configuration. Se reporter à "Activer la réplication après une migration ou une mise à niveau" à la page 145. Mettez à niveau votre logiciel client vers la dernière version. Se reporter à "A propos de la mise à niveau du logiciel client" à la page 146. Sauvegarder la base de données. Avant d'effectuer la mise à niveau, sauvegardez la base de données. Se reporter à "Mise à niveau vers une nouvelle version de Symantec Endpoint Protection ou Symantec Network Access Control" à la page 140. Avertissement : Lorsque vous restaurez une sauvegarde de base de données, vous devez utiliser la même version de Symantec Endpoint Protection Manager utilisée pour créer la sauvegarde. Remarque : Le chemin d'accès dans le menu Démarrer de Windows utilisé dans cette section peut varier selon la version de Windows que vous utilisez. Pour sauvegarder la base de données 1 Dans le menu Démarrer de Windows, cliquez sur Démarrer > Programmes > Symantec Endpoint Protection Manager > Sauvegarde et restauration de la base de données. 2 Dans la boîte de dialogue Database Backup and Restore, cliquez sur Sauvegarder. 3 Lorsque le message d'invite s'affiche, cliquez sur Oui. 4 Une fois la sauvegarde terminée, cliquez sur OK. Cette sauvegarde peut prendre plusieurs minutes. Les fichiers de sauvegarde sont des fichiers.zip enregistrés dans \\Program Files\Symantec\Symantec Endpoint Protection Manager\data\backup\. 5 Dans la boîte de dialogue Database Backup and Restore, cliquez sur Quitter.
142 Mettre à niveau vers la dernière version de maintenance Migration vers Microsoft SQL Server 2008 à partir d'une version précédente Migration vers Microsoft SQL Server 2008 à partir d'une version précédente Vous devez reconfigurer Symantec Endpoint Protection Manager après avoir migré vers SQL Server 2008 à partir d'une version précédente de SQL Server. Pour reconfigurer Symantec Endpoint Protection Manager après migration vers Microsoft SQL 2008 1 Cliquez sur Démarrer > Tous les programmes > Symantec Endpoint Protection Manager > Assistant de configuration du serveur de gestion. 2 Dans le panneau d'accueil, cochez l'option Reconfigurerleserveurdegestion, puis cliquez sur Suivant. 3 Assurez-vous que les informations suivantes sont retenues de l'installation Symantec Endpoint Protection Manager précédente : Nom du serveur Port du serveur Port de la console Web Dossier de données de serveur 4 Cliquez sur Suivant. 5 Sur le volet de sélection du Type de base de données, cliquez sur Microsoft SQL Server, puis cliquez sur Suivant. 6 Assurez-vous que les paramètres de base de données suivants sont corrects : Serveur de base de données Port du serveur SQL Nom de base de données Authentification Se reporter à "A propos des modes d'authentification de base de données de SQL Server" à la page 75. Utilisateur et mot de passe 7 Dans la boîte de dialogue Dossier SQL Client, saisissez l'emplacement du dossier SQL Client. Le dossier SQL Client se trouve généralement dans l'un des emplacements suivants : SQL 2000 : C:\Program Files\Microsoft SQL\Server\80\Tools\Binn SQL 2005 : C:\Program Files\Microsoft SQL\Server\90\Tools\Binn
Mettre à niveau vers la dernière version de maintenance Désactiver la réplication avant de mettre à niveau ou de migrer 143 SQL 2008 : C:\Program Files\Microsoft SQL\Server\100\Tools\Binn 8 Cliquez sur Suivant, puis complétez l'assistant sans d'autres modifications. Se reporter à "Mise à niveau vers une nouvelle version de Symantec Endpoint Protection ou Symantec Network Access Control" à la page 140. Désactiver la réplication avant de mettre à niveau ou de migrer Si votre site utilise la réplication, vous devez désactiver la réplication avant de mettre à niveau Symantec Endpoint Protection Manager. Vous devez désactiver la réplication sur chaque site configuré en tant que partenaire de réplication. Se reporter à "Mise à niveau vers une nouvelle version de Symantec Endpoint Protection ou Symantec Network Access Control" à la page 140. Pour désactiver la réplication 1 Connectez-vous à la console Symantec Endpoint Protection Manager. 2 Sur l'onglet Serveurs, dans le volet de gauche, développez Site local, puis développez Partenaires de réplication. 3 Cliquez avec le bouton droit de la souris sur chaque site répertorié dans Partenaires de réplication, puis cliquez sur Supprimer. 4 A l'invite Supprimer un partenaire, cliquez sur Oui. 5 Déconnectez-vous de la console et répétez cette procédure pour tous les sites qui répliquent des données. Arrêt du service de Symantec Endpoint Protection Manager Avant de procéder à la mise à niveau, vous devez manuellement arrêter le service Symantec Endpoint Protection Manager sur chaque serveur de gestion de votre site. Après la mise à niveau, le service démarre automatiquement. Avertissement : Vous devez arrêter le service Symantec Endpoint Protection Manager avant d'effectuer cette procédure ou vous corrompez l'installation existante de Symantec Endpoint Protection Manager. Se reporter à "Mise à niveau vers une nouvelle version de Symantec Endpoint Protection ou Symantec Network Access Control" à la page 140.
144 Mettre à niveau vers la dernière version de maintenance Mise à niveau de Symantec Endpoint Protection Manager Pour arrêter le service Symantec Endpoint Protection Manager 1 Cliquez sur Démarrer > Paramètres > Panneau de configuration > Outils d'administration > Services. 2 Dans la fenêtre Services, sous Nom, défilez vers et cliquez avec le bouton droit de la souris sur Symantec Endpoint Protection Manager. 3 Cliquez sur Arrêter. 4 Fermez la fenêtre Services. Avertissement : Fermez la fenêtre Services, sionon la mise à niveau risque d'échouer. 5 Répétez cette procédure pour toutes les installations de Symantec Endpoint Protection Manager. Mise à niveau de Symantec Endpoint Protection Manager Vous devez mettre à niveau Symantec Endpoint Protection Manager qui est défini comme site primaire. Vous devez également mettre à niveau le logiciel sur tous les serveurs que vous prévoyez de configurer en tant que sites supplémentaires, tels que des partenaires de réplication. Se reporter à "Mise à niveau vers une nouvelle version de Symantec Endpoint Protection ou Symantec Network Access Control" à la page 140. Pour mettre à niveau Symantec Endpoint Protection Manager 1 Dans le serveur à mettre à niveau, insérez un des disques de produit suivants et démarrez l'installation : Symantec Endpoint Protection Symantec Network Access Control 2 Effectuez l'une des opérations suivantes : Dans le volet Symantec Endpoint Protection, cliquez sur Installer Symantec Endpoint Protection Manager. Dans le volet Symantec Network Access Control, cliquez sur Installer Symantec Network Access Control, puis cliquer sur Installer Symantec Endpoint Protection Manager. 3 Dans l'écran d'accueil, cliquez sur Suivant.
Mettre à niveau vers la dernière version de maintenance Activer la réplication après une migration ou une mise à niveau 145 4 Dans le volet Contrat de licence, cliquez sur J'accepte les termes du contrat de licence, puis cliquez sur Suivant. 5 Cliquez sur Installer dans le volet Prêt pour l'installation. Dans le volet Assistant d'installation terminé, cliquez sur Terminer. L'assistant de mise à niveau du serveur de gestion démarre. 6 Dans l'écran d'accueil de l'assistant de mise à niveau du serveur de gestion, cliquez sur Suivant. 7 Dans le panneau Informations, cliquez sur Continuer. 8 Une fois la mise à niveau terminée, cliquez sur Suivant. 9 Dans le panneau Mise à niveau réussie, cliquez sur Terminer. 10 Supprimez les fichiers temporaires d'internet Explorer pour vous assurer que les fichiers mis à jour sont utilisés quand vous vous connectez à la console. Activer la réplication après une migration ou une mise à niveau Après une migration ou une mise à niveau des serveurs qui utilisaient la réplication, vous devez activer la réplication. Après la migration, ajoutez un partenaire de réplication pour activer la réplication. Vous devez uniquement ajouter des partenaires de réplication sur l'ordinateur sur lequel vous avez d'abord installé le serveur de gestion. Les partenaires de réplication apparaissent automatiquement sur les autres serveurs de gestion. Se reporter à "Mise à niveau vers une nouvelle version de Symantec Endpoint Protection ou Symantec Network Access Control" à la page 140. Pour activer la réplication après la migration ou la mise à niveau 1 Connectez-vous à la console Symantec Endpoint Protection Manager si vous n'êtes pas connecté. 2 Sur l'onglet Serveurs, dans le volet gauche, développez Site local, puis Partenaires de réplication. 3 Cliquez avec le bouton droit de la souris sur chaque site répertorié dans Partenaires de réplication, puis cliquez sur Ajouter un partenaire. 4 Dans le panneau Ajouter un partenaire de réplication, cliquez sur Suivant. 5 Dans le panneau Informations sur le site distant, entrez les informations d'identification relatives au partenaire de réplication et les informations d'authentification, puis cliquez sur Suivant.
146 Mettre à niveau vers la dernière version de maintenance A propos de la mise à niveau du logiciel client 6 Dans le panneau Planifier la réplication, spécifiez la planification définissant à quel moment la réplication se produit automatiquement, puis cliquez sur Suivant. 7 Dans le panneau Réplication des fichiers journaux et des packages du client, sélectionnez les éléments à répliquer, puis cliquez sur Suivant. La réplication de package utilise de grandes quantités de trafic et d'espace disque. 8 Dans le panneau Terminer l'assistant d'ajout de partenaire de réplication, cliquez sur Terminer. 9 Répétez cette procédure pour tous les ordinateurs qui répliquent des données avec cet ordinateur. A propos de la mise à niveau du logiciel client Vous pouvez utiliser plusieurs méthodes pour mettre à niveau le logiciel client Symantec. Certaines méthodes peuvent prendre jusqu'à 30 minutes. Par conséquent, vous pouvez vouloir mettre à niveau le logiciel client quand la plupart des utilisateurs n'utilisent pas leur ordinateur. Tableau 7-2 Méthode de mise à niveau AutoUpgrade Méthodes de mise à niveau de Symantec Endpoint Protection et du logiciel client Symantec Network Access Control Description Utilisez AutoUpgrade pour mettre à jour les clients d'un ou de plusieurs groupes à partir de la console Symantec Endpoint Protection Manager. Se reporter à "Mettre à niveau des clients en utilisant AutoUpgrade" à la page 147. Politique de paramètre LiveUpdate Configurez une politique de paramètre LiveUpdate pour un groupe, pour définir un serveur LiveUpdate et permettre aux clients d'exécuter LiveUpdate. Se reporter à "Mettre à jour le logiciel client avec la politique de paramètres LiveUpdate" à la page 148. Disque de produit Utilisez le programme d'installation sur le disque de produit pour installer une nouvelle version du client.
Mettre à niveau vers la dernière version de maintenance Mettre à niveau des clients en utilisant AutoUpgrade 147 Méthode de mise à niveau Autres méthodes Description Utilisez l'une des autres méthodes prises en charge pour installer le logiciel client. Se reporter à "A propos du logiciel d'installation de client Symantec" à la page 100. Si le client Symantec Network Access Control est également installé, vous devez mettre à niveau le client Symantec Endpoint Protection et le client. Vous pouvez attribuer le package Symantec Endpoint Protection et le package Symantec Network Access Control au même groupe. Dans ce cas, assurez-vous que l'option Fonctions de mise à jour est sélectionnée. Se reporter à "Mise à niveau vers une nouvelle version de Symantec Endpoint Protection ou Symantec Network Access Control" à la page 140. Mettre à niveau des clients en utilisant AutoUpgrade Le processus AutoUpgrade permet de mettre à niveau automatiquement le logiciel client Symantec Endpoint Protection pour tous les clients présents dans un groupe. Par exemple, vous pouvez utiliser AutoUpgrade pour mettre à niveau des clients de la version MR2 à la version MR3. Vous pouvez également ajouter un package d'installation client en utilisant les fichiers d'installation client à partir du disque du produit. Vous devez tester le processus AutoUpgrade avant d'essayer de mettre à niveau un grand nombre de clients dans votre réseau de production. Si vous n'avez pas de réseau de test, vous pouvez créer un groupe de test. Vous pouvez ajouter quelques clients non critiques au groupe de test et les mettre à niveau en utilisant AutoUpgrade. Vous pouvez confirmer que la mise à niveau s'est terminée avec succès en vérifiant le numéro de version du logiciel client qui s'affiche dans la boîte de dialogue A propos de. Se reporter à "A propos de la mise à niveau du logiciel client" à la page 146. Pour mettre à niveau des clients en utilisant AutoUpgrade 1 Dans la console Symantec Endpoint Protection Manager, cliquez sur Admin. 2 Cliquez sur Installer les packages. 3 Sous Tâches, cliquez sur le Mise à niveau des groupes à l'aide d'un package. 4 Dans le panneau Bienvenue dans l'assistant de mise à niveau des groupes, cliquez sur Suivant.
148 Mettre à niveau vers la dernière version de maintenance Mettre à jour le logiciel client avec la politique de paramètres LiveUpdate 5 dans le volet Sélectionner un package d'installation client, sélectionnez le package approprié et puis cliquez sur Suivant. 6 Dans le volet Spécifier des groupes, sélectionnez les groupes qui contiennent les ordinateurs client que vous voulez mettre à niveau puis cliquez sur Suivant. 7 Dans le panneau Paramètres de mise à niveau de package, sélectionnez Télécharger depuis le serveur de gestion. Si vous le souhaitez, vous pouvez définir et sélectionner un package sur un serveur Web. 8 Cliquez sur Paramètres de mise à niveau. 9 Sur l'onglet Général, sélectionnez Conserver les fonctionnalités existantes des clients lors de la mise à jour. Vous pouvez en option ajouter ou supprimer des fonctions en mettant à niveau. 10 Désélectionnez Planification de la mise à niveau. Ceci est requis seulement en mettant à niveau des versions antérieures à MR2. 11 En option, sur l'onglet Notification, personnalisez les paramètres de notification d'utilisateur. Vous pouvez personnaliser le message affiché sur l'ordinateur client pendant la mise à niveau. 12 Pour plus d'informations sur des paramètres de planification et de notification, cliquez sur Aide. 13 Cliquez sur OK. 14 Dans l'assistant de mise à niveau des groupes, cliquez sur Suivant. 15 Cliquez sur Terminer. Mettre à jour le logiciel client avec la politique de paramètres LiveUpdate Vous pouvez mettre à jour le logiciel client Symantec automatiquement en permettant les mises à jour de produit grâce à une politique de paramètres LiveUpdate. Quand les mises à jour de produit sont autorisées, des correctifs sont installés sur les clients quand une session LiveUpdate s'exécute. La session peut être planifiée ou démarrée manuellement. Lorsque la politique est configurée pour refuser des mises à jour de produit, le logiciel client ne peut être mis à jour que manuellement à l'aide de la console Symantec Endpoint Protection Manager.
Mettre à niveau vers la dernière version de maintenance A propos de la mise à niveau de Symantec Endpoint Protection ou Symantec Network Access Control 149 Lorsque Symantec Endpoint Protection Manager télécharge et traite des mises à jour LiveUpdate, il crée un microdef de la mise à jour lors de la mise à jour d'un groupe. Le microdef s'affiche automatiquement comme un nouveau package. Le nouveau package s'affiche dans le volet Packages d'installation client. Vous pouvez ensuite sélectionner le package et mettre manuellement à jour les groupes et les emplacements avec des groupes de mise à jour dotés d'une fonction de package. Se reporter à "A propos de la mise à niveau du logiciel client" à la page 146. Pour mettre à jour le logiciel client Symantec avec la politique de paramètres LiveUpdate 1 Dans la console Symantec Endpoint Protection Manager, cliquez sur Politiques. 2 Sous Afficher les politiques, cliquez et sélectionnez LiveUpdate. 3 Dans le volet droit, dans l'onglet Paramètres LiveUpdate, cliquez sur Politique LiveUpdate. 4 Dans le volet inférieur gauche, sous Tâches, cliquez sur Modifier la politique. 5 Sous Politique LiveUpdate, cliquez sur Paramètres avancés. 6 Dans le volet Paramètres avancés, sous Paramètres de mise à jour du produit, effectuez l'une des opérations suivantes : Pour mettre à jour automatiquement le logiciel client, cochez Télécharger les mises à jour de Symantec Endpoint Protection à partir d'un serveur LiveUpdate. Pour mettre le logiciel client à niveau de façon manuelle avec la fonction Mettre les groupes à niveau à l'aide d'un package avec la console Symantec Endpoint Protection Manager, désélectionnez la case à cocher Télécharger les mises à jour de produits Symantec Endpoint Protection à partir d'un serveur LiveUpdate. 7 Cliquez sur OK, puis appliquez la politique à un groupe ou un emplacement dans un groupe. A propos de la mise à niveau de Symantec Endpoint Protection ou Symantec Network Access Control Symantec Endpoint Protection Manager prend en charge la gestion et le déploiement du logiciel client Symantec Endpoint Protection suivant : Symantec Endpoint Protection Symantec Network Access Control
150 Mettre à niveau vers la dernière version de maintenance A propos de la mise à niveau de Symantec Endpoint Protection ou Symantec Network Access Control Vous pouvez mettre à niveau Symantec Endpoint Protection avec Symantec Network Access Control. Vous pouvez également mettre à niveau Symantec Network Access Control avec Symantec Endpoint Protection. Pour ce faire, installez la nouvelle version de Symantec Endpoint Protection Manager sur chaque serveur comportant déjà Symantec Endpoint Protection Manager. Avertissement : Vous devez arrêter le service Symantec Endpoint Protection Manager avant de mettre à niveau votre installation existante de Symantec Endpoint Protection Manager. Sinon, vous pouvez corrompre votre installation existante de Symantec Endpoint Protection Manager. A propos de la mise à niveau des clients Symantec Endpoint Protection avec Symantec Network Access Control Les clients Symantec Endpoint Protection incluent Symantec Network Access Control et ne nécessitent pas de mise à niveau. Après la mise à niveau de Symantec Endpoint Protection Manager for Symantec Network Access Control, vous pouvez vous appliquer des politiques d'intégrité de l'hôte à vos clients existants. A propos de la mise à niveau des clients Symantec Network Access Control avec Symantec Endpoint Protection Vous mettez à niveau des clients Symantec Network Access Control en installant Symantec Endpoint Protection sur ces clients. L'installation détecte automatiquement le client Symantec Network Access Control, le supprime, puis installe le logiciel client Symantec Endpoint Protection. Vous pouvez déployer le logiciel client en utilisant l'une des méthodes de déploiement de client prises en charge.
Chapitre 8 Migration de Symantec AntiVirus et de Symantec Client Security Ce chapitre traite des sujets suivants : Migration à partir de Symantec AntiVirus et de Symantec Client Security Chemins de migration pris en charge et non pris en charge Préparer les installations héritées en vue de la migration A propos de la migration et la non préservation de serveur, des groupes de clients et des paramètres A propos de la migration de groupes et de paramètres depuis Symantec System Center A propos des paramètres qui n'effectuent pas de migration A propos des packages et du déploiement Effectuer une migration des paramètres de serveur et de groupe de clients Migration depuis Symantec AntiVirus for Macintosh A propos de la vérification des mises à jour de vos politiques migrées A propos de la migration de clients non gérés A propos des fonctions nouvelles et mises à jour pour les administrateurs hérités
152 Migration de Symantec AntiVirus et de Symantec Client Security Migration à partir de Symantec AntiVirus et de Symantec Client Security Migration à partir de Symantec AntiVirus et de Symantec Client Security Vous pouvez éventuellement migrer les ordinateurs qui exécutent le logiciel de protection antivirus hérité de Symantec. Pendant la migration, la base de données de Symantec Endpoint Protection Manager est peuplée avec les données de groupe et les données de la politique de l'installation héritée. Le serveur de gestion crée des packages d'installation pour les clients hérités. Vous devez tester toutes les procédures de migration dans un environnement d'essai avant de faire migrer des clients et des seveurs hérités Symantec AntiVirus et Symantec Client Security. Tableau 8-1 affiche le processus de migration des ordinateurs et des serveurs du client hérité. Tableau 8-1 Etape Etape 1 : Désinstallez les serveurs de rapport Migration des serveurs et des clients de Symantec AntiVirus et Symantec Client Security Description Désinstallez les serveurs de rapport et supprimez éventuellement les fichiers de bases de données. Se reporter à "Désinstaller et supprimer les serveurs de notification" à la page 163.
Migration de Symantec AntiVirus et de Symantec Client Security Migration à partir de Symantec AntiVirus et de Symantec Client Security 153 Etape Etape 2 : Préparez l'installation héritée Description Utilisez Symantec System Center pour configurer les paramètres du serveur de gestion et les clients qui les prépare à la migration. Les étapes suivantes permettent de préparer l'installation héritée à la migration : Désactiver les analyses planifiées. La migration peut échouer si une analyse s'exécute pendant la migration. Se reporter à "Désactiver les analyses planifiées" à la page 158. Modifier les options de purge de quarantaine. Se reporter à "Configurer Central Quarantine et les fichiers en quarantaine" à la page 158. Supprimer des historiques. Se reporter à "Supprimer des historiques" à la page 159. Désactiver LiveUpdate. Des conflits peuvent se produire si LiveUpdate s'exécute sur les ordinateurs client pendant la migration. Se reporter à "Désactiver LiveUpdate" à la page 160. Désactiver le service itinérant. La migration peut s'interrompre et s'arrêter si le service itinérant s'exécute sur les ordinateurs client. Se reporter à "Désactiver le service d'itinérance" à la page 160. Déverrouiller les groupes de serveurs. Des résultats imprévisibles peuvent se produire si les groupes de serveurs sont verrouillés. Se reporter à "Déverrouiller les groupes de serveurs" à la page 161. Désactiver la protection contre les interventions. La protection contre les interventions peut générer des résultats imprévisibles pendant la migration. Se reporter à "Désactiver la protection contre les interventions" à la page 162. Pour plus d'informations, voir la documentation du logiciel de protection antivirus hérité de Symantec. Etape 3 : Installer Symantec Endpoint Protection Manager Installez Symantec Endpoint Protection Manager avec la base de données intégrée ou une base de données SQL Server. Se reporter à "Installation et configuration de Symantec Endpoint Protection Manager avec une base de données intégrée" à la page 66. Se reporter à "Installation et configuration de Symantec Endpoint Protection Manager avec une base de données SQL Server" à la page 76.
154 Migration de Symantec AntiVirus et de Symantec Client Security Migration à partir de Symantec AntiVirus et de Symantec Client Security Etape Etape 4 : Migrer les clients et les serveurs hérités Description Prenez connaissance de la migration des groupes de serveurs hérité et groupes de clients hérités ainsi que des paramètres. Se reporter à "A propos des packages et du déploiement" à la page 167. Se reporter à "A propos de la migration de groupes et de paramètres depuis Symantec System Center" à la page 164. Se reporter à "A propos des paramètres qui n'effectuent pas de migration" à la page 167. Migrez les groupes de serveur et les groupes de clients hérités et les paramètres. Se reporter à "Effectuer une migration des paramètres de serveur et de groupe de clients" à la page 172. Etape 5 : Désinstaller le serveur de gestion hérité Etape 6. Vérifiez les données migrées Désinstallez Symantec System Center. Vérifiez et réglez éventuellement les paramètres des groupes et des politiques migrés. Dans Symantec Endpoint Protection Manager, vous pouvez vérifier que : La Politique de paramètres LiveUpdate et la Politique antivirus et antispyware du serveur de gestion et le client ont été correctement migrés. Si vous avez modifié des analyses planifiées et désactivées dans Symantec System Center, vous devez les modifier de nouveau sur leurs paramètres d'origine. Les serveurs s'affichent dans les groupes appropriés de la console Symantec Endpoint Protection Manager. Se reporter à "A propos de la vérification des mises à jour de vos politiques migrées" à la page 175. Pour plus d'informations, voir le Guide d'administration de Symantec Endpoint Protection et Symantec Network Access Control. Etape 7 : Déployer le logiciel client Installez un package d'installation client sur l'ordinateur qui a exécuté Symantec System Center. Vous pouvez utiliser l'assistant si vous ne déployez pas des packages d'installation client avec des outils tiers tels que SMS. Se reporter à "Configuration et déploiement du logiciel client sur des ordinateurs Windows" à la page 102.
Migration de Symantec AntiVirus et de Symantec Client Security Chemins de migration pris en charge et non pris en charge 155 Chemins de migration pris en charge et non pris en charge Migrations prises en charge Migrations bloquées Vous devez comprendre quelles migrations sont prises en charge, bloquées ou non prises en charge. Si vous possédez le logiciel hérité qui bloque la migration, vous devez désinstaller ce logiciel. Si vous possédez le logiciel hérité qui n'est pas pris en charge pour la migration, choisissez entre le désinstaller et ne pas le désinstaller. Par exemple, si vous exécutez Symantec AntiVirus sur des ordinateurs NetWare, vous pouvez continuer à exécuter votre logiciel hérité sur ces ordinateurs. Se reporter à "Migrations prises en charge" à la page 155. Se reporter à "Migrations bloquées" à la page 155. Se reporter à "Migrations non prises en charge" à la page 156. L'installation client détecte le logiciel suivant et fait migrer le logiciel s'il est détecté : Client Symantec AntiVirus et server 9.x et version ultérieure Client Symantec Client Security et server 2.x et version ultérieure Se reporter à "Migrations bloquées" à la page 155. Se reporter à "Migrations non prises en charge" à la page 156. Les installations client de routine vérifient l'existence des logiciels suivants et bloquent la migration s'ils sont détectés : Symantec AntiVirus client et server 8.x et version antérieure Symantec Client Security client et server 1.x Symantec Client Firewall 5.0 Symantec System Center, toutes les versions Symantec Reporting Server 10.x Confidence Online Heavy par Whole Security, toutes les versions Norton AntiVirus et Norton Internet Security, toutes les versions Vous devez premièrement désinstaller ce logiciel et ensuite installer les clients Symantec Endpoint Protection.
156 Migration de Symantec AntiVirus et de Symantec Client Security Chemins de migration pris en charge et non pris en charge Se reporter à "Migrations prises en charge" à la page 155. Se reporter à "Migrations non prises en charge" à la page 156. Migrations non prises en charge Les logiciels suivants n'ont pas subi de migration et peuvent coexister sur le même ordinateur que le logiciel client Symantec Endpoint Protection : Symantec Client Firewall Administrator, toutes les versions Serveur LiveUpdate Pour installer la dernière version du serveur LiveUpdate, désinstallez d'abord la version héritée. Les ordinateurs NetWare exécutant toute version de Symantec AntiVirus Les systèmes d'exploitation NetWare ne sont pas pris en charge par cette version. Vous pouvez continuer à protéger ces ordinateurs avec des versions héritées. Symantec AntiVirus, le client Symantec Client Security et le serveur qui s'exécute sur le matériel Itanium Le matériel Itanium n'est pas pris en charge par cette version. Continuer à protéger ces ordinateurs avec des versions héritées. Se reporter à "Migrations prises en charge" à la page 155. Se reporter à "Migrations bloquées" à la page 155. Migrations prises en charge et non prises en charge pour le client Mac Tableau 8-2 présente les produits qui peuvent être migrés vers Symantec Endpoint Protection pour le client Mac. Tableau 8-2 Chemins de migration depuis Symantec Endpoint Protection for Mac vers le client Mac Symantec Endpoint Protection Migrez de Symantec AntiVirus géré pour le client Mac Symantec AntiVirus autonome pour le client Mac Migrez vers Symantec Endpoint Protection géré pour le client Mac Symantec Endpoint Protection autonome pour le client Mac Pris en charge? Oui Oui
Migration de Symantec AntiVirus et de Symantec Client Security Préparer les installations héritées en vue de la migration 157 Migrez de Symantec AntiVirus autonome pour le client Mac Symantec AntiVirus géré pour le client Mac Norton AntiVirus pour Mac Migrez vers Symantec Endpoint Protection géré pour le client Mac Symantec Endpoint Protection autonome pour le client Mac Symantec Endpoint Protection géré ou autonome pour le client Mac Pris en charge? Oui Oui, mais les paramètres de client géré sont maintenus. Non. Le client désinstalle les produits Norton avant d'installer Symantec Endpoint Protection. Se reporter à "Migration depuis Symantec AntiVirus for Macintosh" à la page 174. A propos de la migration de la quarantaine centralisée Pour faire migrer la console et le serveur de quarantaine centralisée, vous devez désinstaller la version actuelle puis installer la nouvelle version des deux composants. Préparer les installations héritées en vue de la migration Avec Symantec System Center, vous devez modifier les paramètres des clients et des serveurs pour simplifier le processus de migration. Par exemple, si un client exécute une analyse antivirus pendant la migration, la migration est bloquée jusqu'à ce que l'analyse se termine, et la migration peut échouer. En outre, vous devez désactiver la fonction de mot de passe de désinstallation pour le logiciel client si elle est activée. Si vous ne le faites pas, les utilisateurs sont invités à entrer le mot de passe dans le mode interactif. Remarque : Si vous faites migrer des groupes et des paramètres depuis Symantec System Center, les politiques qui sont migrées pour ces groupes incluent ces modifications. Vous pouvez vouloir rétablir ces paramètres après la migration. Par exemple, vous pouvez activer les analyses planifiées. En outre, vous n'avez pas besoin de désactiver le mot de passe de désinstallation s'il est activé. La migration ignore le mot de passe.
158 Migration de Symantec AntiVirus et de Symantec Client Security Préparer les installations héritées en vue de la migration Préparation des installations héritées de Windows Ces procédures s'appliquent à toutes les installations de logiciel Windows héritées prises en charge pour la migration. Remarque : Si vous utilisez des groupes de clients qui n'héritent pas de paramètres, préparez ces groupes de la même façon que des groupes de serveurs et des serveurs de gestion. Désactiver les analyses planifiées Si une analyse est planifiée pour s'exécuter et s'exécute alors que la migration client se produit, la migration peut échouer. Il est recommandé de désactiver les analyses planifiées pendant la migration, puis de les réactiver après la migration. Se reporter à "Migration à partir de Symantec AntiVirus et de Symantec Client Security" à la page 152. Pour désactiver les analyses planifiées 1 Dans Symantec System Center, effectuez l'une des opérations suivantes : Cliquez avec le bouton droit de la souris sur un serveur de gestion. Cliquez avec le bouton droit de la souris sur un groupe de clients. 2 Cliquez sur Toutes les tâches > Symantec AntiVirus > Analyses planifiées. 3 Dans la boîte de dialogue Analyses planifiées, dans l'onglet Analyses serveur, désélectionnez toutes les analyses planifiées. 4 Dans l'onglet Analyses client, désélectionnez toutes les analyses planifiées, puis cliquez sur OK. 5 Répétez cette procédure pour tous les serveurs de gestion principaux, tous les serveurs de gestion secondaires et tous les groupes de clients. Configurer Central Quarantine et les fichiers en quarantaine Le serveur de quarantaine ne prend plus en charge les mises à jour des ordinateurs client avec les dernières définitions. Par conséquent, vous ne voulez pas qu'il mette à jour les ordinateurs client avec les dernières définitions pendant une migration. En outre, la migration des fichiers en quarantaine n'est pas nécessaire. Se reporter à "Migration à partir de Symantec AntiVirus et de Symantec Client Security" à la page 152.
Migration de Symantec AntiVirus et de Symantec Client Security Préparer les installations héritées en vue de la migration 159 Pour configurer la quarantaine centralisée et les fichiers en quarantaine 1 Dans Symantec System Center, cliquez avec le bouton droit de la souris sur un groupe de serveurs. 2 Cliquez sur Toutes les tâches > Symantec AntiVirus > Options de quarantaine. 3 Dans la boîte de dialogue Options de quarantaine, cliquez sur Options de purge. 4 Dans la boîte de dialogue Options de purge, définissez toutes les valeurs de durée sur 1 jour et toutes les valeurs de taille limite de répertoire sur 1 Mo. Cochez toutes les cases. 5 Cliquez sur OK. 6 Dans la boîte de dialogue Options de quarantaine, décochez Activer la quarantaine ou Analyser et transmettre. 7 Sous A l'arrivée de nouvelles définitions de virus, cochez Ne rien faire, puis cliquez sur OK. 8 Répétez cette procédure pour tous les groupes de serveurs s'il en existe plusieurs. Supprimer des historiques Tous les historiques sont maintenant stockés dans une base de données. La suppression des fichiers d'historique accélère le processus de migration. Se reporter à "Migration à partir de Symantec AntiVirus et de Symantec Client Security" à la page 152. Pour supprimer des historiques 1 Dans Symantec System Center, cliquez avec le bouton droit de la souris sur un groupe de serveurs. 2 Cliquez sur Touteslestâches>SymantecAntiVirus>Configurerl'historique. 3 Dans la boîte de dialogue Options d'historique, redéfinissez les valeurs Supprimer après sur 1 jour. 4 Cliquez sur OK. 5 Répétez cette procédure pour tous les groupes de serveurs s'il en existe plusieurs.
160 Migration de Symantec AntiVirus et de Symantec Client Security Préparer les installations héritées en vue de la migration Désactiver LiveUpdate Si LiveUpdate s'exécute sur des ordinateurs client pendant la migration, des conflits peuvent se produire. Par conséquent, vous devez désactiver LiveUpdate sur les ordinateurs client pendant la migration. Se reporter à "Migration à partir de Symantec AntiVirus et de Symantec Client Security" à la page 152. Pour désactiver LiveUpdate 1 Dans Symantec System Center, cliquez avec le bouton droit de la souris sur un groupe de serveurs. 2 Cliquez sur Toutes les tâches > Symantec AntiVirus > Gestionnaire de définitions de virus. 3 Dans la boîte de dialogue Gestionnaire de définitions de virus, cochez Mettre àjouruniquementleserveurprincipaldecegroupedeserveurs, puis cliquez sur Configurer. 4 Dans la boîte de dialogue Configuration des mises à jour du serveur principal, décochez Planification des mises à jour automatiques, puis cliquez sur OK. 5 Dans la boîte de dialogue Gestionnaire de définitions de virus, désélectionnez les cases suivantes :: Mettre à jour les définitions de virus depuis le serveur parent Planifier le client pour la mise à jour automatique via LiveUpdate Activer LiveUpdate permanent 6 Cochez la case Ne pas permettre au client de lancer LiveUpdate manuellement, puis cliquez sur OK. 7 Répétez cette procédure pour tous les groupes de serveurs s'il en existe plusieurs. Désactiver le service d'itinérance Si le service d'itinérance est activé sur des ordinateurs client, la migration peut se bloquer et ne jamais se terminer. Si le service itinérant est activé, vous devez le désactiver avant de lancer la migration. Remarque : Si vos clients itinérants exécutent la version 10.x de Symantec AntiVirus, déverrouillez vos groupes de serveurs avant de désactiver le service d'itinérance. Cette pratique vous permet de vous assurer que des clients itinérants sont correctement authentifiés avec des certificats à leur serveur parent.
Migration de Symantec AntiVirus et de Symantec Client Security Préparer les installations héritées en vue de la migration 161 Se reporter à "Migration à partir de Symantec AntiVirus et de Symantec Client Security" à la page 152. Pour désactiver le service d'itinérance 1 Dans Symantec System Center, cliquez avec le bouton droit de la souris sur un groupe de serveurs. 2 Cliquez sur Toutes les tâches > Symantec AntiVirus > Options d'itinérance des clients. 3 Dans la boîte de dialogue Options d'itinérance des clients, dans la zone Valider le parent toutes les minutes, saisissez 1. 4 Dans la zone Rechercher le parent le plus proche toutes les minutes, saisissez 1, puis appuyez sur OK. 5 Patientez quelques minutes. 6 Dans Symantec System Center, cliquez avec le bouton droit de la souris sur un groupe de serveurs. 7 Cliquez sur Toutes les tâches> Symantec AntiVirus >Options d'itinérance des clients. 8 Dans la boîte de dialogue Options d'itinérance des clients, décochez la case Activer l'itinérance pour les clients dotés du service Symantec AntiVirus Roaming. 9 Cliquez sur OK. A propos de la préparation des installations héritées Symantec 10.x/3.x Symantec AntiVirus 10.x et Symantec Client Security 3.x fournissent des fonctionnalités supplémentaires qui doivent être correctement configurées pour une migration réussie. Se reporter à "Déverrouiller les groupes de serveurs" à la page 161. Se reporter à "Désactiver la protection contre les interventions" à la page 162. Se reporter à "Désinstaller et supprimer les serveurs de notification" à la page 163. Déverrouiller les groupes de serveurs Si vous ne déverrouillez pas les groupes de serveurs avant migration, des résultats imprévisibles peuvent se produire. En outre, si le service itinérant est activé pour les clients, le déverrouillage du groupe de serveurs assure l'authentification correcte des clients auprès d'un serveur parent. Les clients qui s'authentifient correctement auprès d'un serveur parent sont placés dans la base de données. Les
162 Migration de Symantec AntiVirus et de Symantec Client Security Préparer les installations héritées en vue de la migration clients qui sont placés dans la base de données automatiquement apparaissent dans le groupe hérité correct dans la console après installation. Se reporter à "Migration à partir de Symantec AntiVirus et de Symantec Client Security" à la page 152. Pour déverrouiller un groupe de serveurs 1 Dans Symantec System Center, cliquez avec le bouton droit de la souris sur un groupe de serveurs verrouillé, puis cliquez sur Déverrouiller le groupe de serveurs. 2 Dans la boîte de dialogue Déverrouiller le groupe de serveurs, tapez les informations d'authentification si nécessaire, puis cliquez sur OK. Désactiver la protection contre les interventions La protection contre les interventions peut générer des résultats imprévisibles pendant la migration. Vous devez désactiver la protection contre les interventions avant de démarrer la migration. Se reporter à "Migration à partir de Symantec AntiVirus et de Symantec Client Security" à la page 152. Pour désactiver la protection contre les interventions 1 Dans Symantec System Center, cliquez avec le bouton droit de la souris sur l'un des éléments suivants :: Groupe de serveurs Serveur de gestion principal ou secondaire 2 Cliquez sur Toutes les tâches > Symantec AntiVirus > Options de protection contre les interventions serveur. 3 Dans la boîte de dialogue Option de protection contre les interventions serveur, décochez la case Activer la protection contre les interventions. 4 Cliquez sur OK. 5 Effectuez l'une des opérations suivantes : Si vous avez sélectionné un groupe de serveurs, répétez cette procédure pour tous les groupes de serveurs s'il en existe plusieurs. Si vous avez sélectionné un serveur de gestion, répétez cette procédure pour tous les serveurs de gestion de tous les groupes de serveurs.
Migration de Symantec AntiVirus et de Symantec Client Security A propos de la migration et la non préservation de serveur, des groupes de clients et des paramètres 163 Désinstaller et supprimer les serveurs de notification Si vous avez installé un ou plusieurs serveurs de notification, vous devez désinstaller ces serveurs et supprimee en option les fichiers de base de données. Vous devez également supprimer les serveurs de notiification Symantec System Center. Des informations de désinstallation du serveur de notification détaillées sont disponibles dans l'aide en ligne de Symantec System Center. Les paramètres hérités ont été enregistrés dans le registre de Windows. Tous les paramètres sont maintenant enregistrés dans une base de données avec les données de notification. Se reporter à "Migration à partir de Symantec AntiVirus et de Symantec Client Security" à la page 152. Pour désinstaller les serveurs de notification 1 Ouvrez une session sur un ordinateur qui exécute le serveur de notification. 2 Cliquez sur Démarrer > Paramètres > Panneau de contrôle > Ajout/Suppression de programmes. 3 Dans la boîte de dialogue Ajout/Suppression de programmes, cliquez sur Symantec Reporting Server, puis cliquez sur Supprimer. 4 Suivez les invites à l'écran jusqu'à ce que vous supprimiez le serveur de notification 5 Répétez cette procédure pour tous les serveurs de notification. Pour supprimer des serveurs de notification de Symantec System Center 1 Dans Symantec System Center, cliquez avec le bouton droit de la souris et développez les Rapports. 2 Cliquez avec le bouton droit de la souris sur chaque serveur de notification, puis cliquez sur Supprimer. A propos de la migration et la non préservation de serveur, des groupes de clients et des paramètres Vous n'êtes pas appelé à migrer des groupes et des paramètres des clients et des serveurs hérités de Symantec System Center à Symantec Endpoint Protection Manager. Si les opérations de la console Symantec Endpoint Protection Manager vous satisfont, vous pouvez créer et exporter un package d'installation et le déployer vers vos clients et serveurs hérités pour migration. Se reporter à "Création des packages d'installation client" à la page 109.
164 Migration de Symantec AntiVirus et de Symantec Client Security A propos de la migration de groupes et de paramètres depuis Symantec System Center Remarque : Il est recommandé de créer un ou plusieurs groupes et politiques associés pour vos clients hérités et de les migrer d'abord. Vous pouvez ensuite créer un ou plusieurs groupes et politiques associés pour vos serveurs hérités et les migrer ensuite vers les clients. Enfin, désinstallez Symantec System Center et effectuez une migration du serveur de gestion ou du client hérité qui protégeait l'ordinateur exécutant Symantec System Center. A propos de la migration de groupes et de paramètres depuis Symantec System Center Pour effectuer une migration de serveur, de groupes de clients et de paramètres de Symantec System Center à Symantec Endpoint Protection Manager, vous devez vous documenter et comprendre le mode de fonctionnement de ce processus. Par exemple, vos paramètres existants localisés dans Symantec System Center peuvent être ou ne pas être hérités des groupes de serveurs. Vous devez choisir de préserver ou non cet héritage. Les serveurs de gestion hérités primaire et secondaire possèdent des paramètres s'appliquant uniquement à ces serveurs et non pas aux clients qu'ils gèrent. Cela est dû au fait que ces serveurs peuvent nécessiter une protection différente de celle des clients qu'ils gèrent. Par exemple, ces serveurs peuvent fournir d'autres services qui peuvent nécessiter d'exclure certains types de fichiers des analyses. Symantec System Center vous permet de spécifier que tous les serveurs héritent leurs paramètres de ceux spécifiés pour le groupe de serveurs. Ou de spécifier des paramètres personnalisés pour chaque serveur. Une fois la migration des paramètres effectuée pour les serveurs de gestion, ces paramètres apparaissent dans la politique de paramètres LiveUpdate et les politiques antivirus et antispyware. Ces politiques sont appliquées aux groupes comportant des serveurs de gestion après leur migration vers un client Symantec Endpoint Protection. Lors de la migration, vous décidez si ces paramètres sont hérités du groupe de serveurs ou s'ils sont spécifiés pour chaque serveur. Les paramètres du client hérité peuvent également être hérités du groupe de serveurs ou d'un serveur de gestion. Après avoir fait migrer les paramètres pour des clients, ces paramètres apparaissent dans la politique de paramètres LiveUpdate et les politiques antivirus et antispyware. Lors de la migration, vous décidez si ces paramètres sont hérités du groupe de serveurs ou du serveur de gestion.
Migration de Symantec AntiVirus et de Symantec Client Security A propos de la migration de groupes et de paramètres depuis Symantec System Center 165 Figure 8-1 Avant et après les paramètres hérités des groupes de serveurs Symantec System Center avant migration Sélection des paramètres de migration de la politique client Tous les ordinateurs clients qui ne font pas partie d'un groupe de clients apparaissent ici Les ordinateurs clients présents dans des groupes de clients apparaissent ici Tout serveur parent migré vers un client apparaît dans Serveur Tous les ordinateurs clients de ce groupe partagent l'ensemble des politiques L'héritage de politique du groupe de clients correspond au paramètre d'héritage de Symantec System Center Le groupe de serveurs hérite des politiques de Symantec Antivirus 2 Console Symantec Endpoint Protection Manager après migration et déploiement du client Dans ce scénario, tous les serveurs de gestion dans Server_Group_1 et Server_Group_2 héritent des paramètres du groupe de serveurs dans Symantec System Center. Après avoir migré vers le client Symantec Endpoint Protection, chaque ordinateur ayant exécuté un serveur de gestion hérité s'affiche dans un groupe nommé Server. Ce groupe hérite de tous les paramètres du groupe portant le même nom que le groupe de serveurs initial. Par exemple, le serveur de gestion IDTEST99 hérite des politiques définies pour Server_Group_1.
166 Migration de Symantec AntiVirus et de Symantec Client Security A propos de la migration de groupes et de paramètres depuis Symantec System Center Dans ce scénario, tous les clients héritent des paramètres du groupe de serveurs et de n'importe quel groupe client qui pourrait les contenir. Tous les clients non contenus dans un groupe client de Symantec System Center, apparaissent maintenant dans le groupe portant le même nom que celui du groupe de serveurs initial. Figure 8-2 Avant et après les paramètres hérités des serveurs parents Sélection des paramètres de migration de la politique client Symantec System Center avant migration Tous les ordinateurs clients s'affichent dans Clients sous leur serveur parent Tout serveur parent migré vers un client apparaît dans Serveur Ce groupe n'hérite pas des politiques Le groupe de clients hérite des politiques d'zsuzsanna01 Le groupe de serveurs hérite des politiques d'zsuzsanna01 Console Symantec Endpoint Protection Manager après migration et déploiement du client Dans ce scénario, tous les serveurs de gestion dans Server_Group_1 et Server_Group_2 héritent des paramètres de chaque serveur parent dans Symantec
Migration de Symantec AntiVirus et de Symantec Client Security A propos des paramètres qui n'effectuent pas de migration 167 System Center. Après avoir migré vers le client Symantec Endpoint Protection, chaque ordinateur ayant exécuté un serveur de gestion hérité s'affiche dans un groupe nommé Server. Les groupes n'héritent d'aucun paramètre. Les nouvelles politiques sont personnalisées pour chaque ordinateur ayant exécuté un serveur de gestion hérité. Dans ce scénario, tous les clients héritent des paramètres définis pour les clients à chaque serveur parent. Si les clients sont dans des groupes de clients Symantec System Center, ils apparaissent maintenant dans le groupe Clients sous le groupe de serveurs parent dans lequel ils ont été installés la première fois. A propos des paramètres qui n'effectuent pas de migration Les paramètres de la protection contre les interventions n'effectuent pas de migration. La protection contre les interventions fait maintenant une partie des paramètres généraux pour les groupes. La protection contre les interventions n'est pas une politique qui s'applique aux emplacements. Par défaut, la protection contre les interventions est activée et protège les processus Symantec ainsi que les objets internes. Vous pouvez uniquement activer ou désactiver la protection contre les interventions. Vous n'avez pas le contrôle fin sur les processus ou les objets internes. Les paramètres déverrouillés peuvent ou ne peuvent pas effectuer une migration. Si les paramètres sont les paramètres par défaut installés à l'origine qui n'ont été jamais modifiés ou verrouillés, les paramètres n'effectuent pas de migration. Les paramètres n'effectuent pas de migration parce que les entrées de registre de Windows n'ont été jamais générées. Dans certains cas, les nouveaux paramètres par défaut de politiques de Symantec Endpoint Protection correspondent aux paramètres par défaut hérités. Dans d'autres cas, les nouveaux paramètres par défaut de politiques de Symantec Endpoint Protection ne correspondent pas aux paramètres par défaut hérités. Il est recommandé de passer en revue tous les paramètres qui apparaissent après migration dans vos politiques antivirus et antispyware et dans votre politique de paramètres LiveUpdate. A propos des packages et du déploiement Pour effectuer une migration de serveur, de groupes de clients et de paramètres de Symantec System Center à Symantec Endpoint Protection Manager, vous devez vous documenter et comprendre le mode de fonctionnement de ce processus. Par exemple, vos paramètres existants localisés dans Symantec System Center peuvent
168 Migration de Symantec AntiVirus et de Symantec Client Security A propos des packages et du déploiement être ou ne pas être hérités des groupes de serveurs. Vous devez choisir de préserver ou non cet héritage. Se reporter à "A propos des packages d'installation client générés pendant la migration" à la page 168. Se reporter à "Exporter et formater une liste de noms d'ordinateurs client à migrer" à la page 169. Se reporter à "A propos de l'ouverture des ports de communication pour la migration" à la page 171. Se reporter à "A propos de la préparation des ordinateurs client pour la migration" à la page 172. Remarque : Les ordinateurs client doivent exécuter Internet Explorer 6.0 et MSI 3.1 ou les versions ultérieures, sinon vous ne pourrez pas effectuer de migration. A propos des packages d'installation client générés pendant la migration Pour effectuer une migration, lancez l'assistant de migration et de déploiement. Lorsque vous exécutez l'assistant de migration et de déploiement, vous choisissez les serveurs de gestion et les clients pour lesquels les packages d'installation client seront créés. Remarque : Les serveurs de gestion effectuent une migration vers des clients. Après avoir installé ces packages d'installation client sur vos clients hérités, vos clients migrés s'affichent automatiquement dans le groupe approprié de la console Symantec Endpoint Protection Manager. Pendant la migration, des packages d'installation sont automatiquement générés pour plusieurs combinaisons de composants client. Par exemple, un package d'installation est généré pour toutes les fonctions Symantec Endpoint Protection. Un package d'installation est généré uniquement pour la protection antivirus et la protection antispyware et ainsi de suite. Ces packages sont créés dans un répertoire que vous spécifiez lors de la migration. Dans ce répertoire se trouvent quatre sous-répertoires contenant différents packages d'installation avec les noms suivants : Toutes les fonctionnalités client_xx-bit Fonctionnalités antivirus uniquement_xx-bit Fonctionnalités de protection contre les menaces réseau uniquement_xx-bit
Migration de Symantec AntiVirus et de Symantec Client Security A propos des packages et du déploiement 169 Fonctionnalités antivirus et de protection proactive contre les menaces uniquement_xx-bit Pour les packages d'installation 32 bits, ces packages occupent 300 Mo d'espace disque et tous les packages sont toujours générés automatiquement. Pour les packages d'installation de 64 bits, ces packages occupent plus que 300 Mo d'espace disque. Lorsque vous exécutez l'assistant de migration et de déploiement, vous indiquez si vous souhaitez ou non migrer l'ensemble des serveurs de gestion et des clients visibles dans Symantec System Center. Vous avez également la possibilité de sélectionner des serveurs de gestion individuels. Si vous décidez d'effectuer une migration des serveurs de gestion spécifiques, vous devrez créer des répertoires séparés de création de paquets pour chaque serveur de gestion ou combinaison de serveurs de gestion. Ensuite, vous pouvez déployer ces packages vers les clients hérités correspondants pour la migration. Les clients s'affichent automatiquement dans le groupe adéquat de la console Symantec Endpoint Protection Manager. Remarque : Lorsque vous migrez des groupes et des paramètres, l'assistant de migration et de déploiement stocke les ID de serveur de gestion et de client hérités dans une table de la base de données de Symantec Endpoint Protection Manager. Lorsque vous migrez des serveurs de gestion hérités et des clients vers Symantec Endpoint Protection, les clients nouvellement migrés envoient leurs ID hérités à Symantec Endpoint Protection Manager. Lorsque le manager reçoit les IDs héritées, il place les clients nouvellement migrés dans le groupe de migration approprié. Exporter et formater une liste de noms d'ordinateurs client à migrer L'outil de déploiement de paquet client fourni par Symantec recommandé est l'assistant de déploiement. Vous pouvez lancer cet outil en double-cliquant sur \Symantec Endpoint Protection\tomcat\bin\ClientRemote.exe. Eventuellement, vous pouvez lancer l'assistant de déploiement si vous utilisez l'assistant de migration et de déploiement. Remarque : Vous pouvez utiliser la méthode décrite ici que vous effectuiez ou non une migration des paramètres de Symantec System Center. Cette méthode est utile pour créer des listes de tous vos clients et serveurs hérités et importer des listes vers l'assistant de déploiement en vue du déploiement. L'Assistant de déploiement détecte automatiquement les ordinateurs Windows qui sont mis sous tension. L'Assistant vous permet alors de sélectionner les
170 Migration de Symantec AntiVirus et de Symantec Client Security A propos des packages et du déploiement ordinateurs et de déployer un paquet d'installation sélectionnable sur les ordinateurs détectés. Vous pouvez sélectionner chaque ordinateur un par un ou sélectionner le groupe de travail ou le domaine des ordinateurs. L'autre possibilité consiste à créer un fichier texte qui contient les noms ou les adresses IP de vos clients hérités. Importez alors ce fichier vers l'assistant de déploiement en vue du déploiement de paquet. Vous pouvez alors démarrer manuellement l'assistant de déploiement et déployer par étapes des paquets vers des clients. Une pratique recommandée consiste à exporter vers un fichier texte une liste des clients pour chaque serveur de gestion. Ouvrez alors cette liste dans un tableur et supprimez toutes les colonnes sauf la colonne qui contient le nom d'ordinateur ou l'adresse IP. Vous pouvez ensuite la réenregistrer en tant que fichier texte que vous pouvez importer vers l'assistant de déploiement. Cette approche vous permet d'effectuer un déploiement vers des clients par serveur de gestion en procédant à votre migration par étapes. L'inconvénient de cette approche est que l'assistant de déploiement attend environ 20 secondes pour chaque ordinateur de la liste qui n'est pas mis sous tension. L'avantage de cette approche est que vous pouvez examiner le fichier journal pour savoir quels ordinateurs n'ont pas été mis sous tension. Vous disposez ainsi d'un enregistrement des ordinateurs n'ayant pas encore été migrés. Dans les environnements compatibles DHCP, il est recommandé d'utiliser des noms d'ordinateurs plutôt que des adresses IP car ces dernières sont susceptibles de changer. Remarque : La procédure suivante indique comment utiliser Microsoft Office Excel 2003. L'utilisation d'excel n'est pas requise. Vous pouvez utiliser n'importe quel logiciel de tableur qui importe des fichiers texte. Pour exporter et formater une liste de noms d'ordinateurs client à migrer 1 Dans Symantec System Center, cliquez avec le bouton droit de la souris sur l'un des éléments suivants, puis cliquez sur Exporter la liste : Serveur de gestion principal ou secondaire Groupe de clients 2 Dans la zone Nom du fichier de la boîte de dialogue Exporter la liste, tapez le nom d'un fichier texte. 3 Dans la liste déroulante Type, sélectionnez Texte (délimité par des tabulations) (*.txt), puis cliquez sur Enregistrer.
Migration de Symantec AntiVirus et de Symantec Client Security A propos des packages et du déploiement 171 4 Importer le fichier dans Microsoft Excel comme fichier texte délimité par des tabulations. La dernière ligne du fichier texte doit être un nom d'ordinateur et pas une ligne vide. 5 Copiez les noms d'ordinateur désirés depuis la colonne client dans un nouveau fichier texte et enregistrez ce fichier. A propos de l'ouverture des ports de communication pour la migration Lorsque vous migrez des paramètres de serveur et de groupe de clients, des communications réseau se produisent entre Symantec System Center et Symantec Endpoint Protection Manager. Si ces composants s'exécutent sur des ordinateurs différents et si ces ordinateurs exécutent des pare-feu, vous devez ouvrir des ports de communications. Tableau 8-3 Ports de communication utilisés pour la migration Symantec System Center TCP 139, 445 Ports TCP éphémères UDP 137 Symantec Endpoint Protection Manager Ports TCP éphémères TCP 139 UDP 137 Lorsque vous déployez le logiciel client Symantec Endpoint Protection à l'aide de l'assistant de déploiement en mode 'push', des communications réseau se produisent entre des serveurs et des clients hérités et Symantec Endpoint Protection Manager. Si les serveurs et les clients hérités exécutent des pare-feu, vous devez ouvrir les ports de communication. Tableau 8-4 Ports utilisés pour le déploiement de logiciel client avec l'assistant de déploiement Ordinateurs client TCP 139 et 445 Ports TCP éphémères UDP 137, 138 Symantec Endpoint Protection Manager Ports TCP éphémères TCP 139 et 445 UDP 137, 138
172 Migration de Symantec AntiVirus et de Symantec Client Security Effectuer une migration des paramètres de serveur et de groupe de clients A propos de la préparation des ordinateurs client pour la migration Plusieurs fonctions du système d'exploitation Windows peuvent compromettre une migration réussie de serveur et de client. Vous devez comprendre ces fonctions et les prendre en charge convenablement. Par exemple, le partage simple de fichiers doit être désactivé pour les ordinateurs qui exécutant Windows XP et faisant partie d'un groupe de travail. S'il n'est pas désactivé, vous ne pouvez pas authentifier ces ordinateurs pour une installation distante. Les ordinateurs exécutant Windows XP et appaartenant à un domaine Windows ne requièrent pas une désactivation de cette fonction. Vous devez également comprendre que si vous installez un pare-feu Symantec, vous désactivez le pare-feu Windows. Si vous ne choisissez pas d'installer un pare-feu Symantec, vous ne désactivez pas le pare-feu Windows. En outre, vous pouvez avoir besoin d'ouvrir des ports ou de désactiver des pare-feux avant la migration. Se reporter à "A propos des pare-feu et des ports de communication client" à la page 50. Se reporter à "A propos de la désactivation et de la modification des pare-feu Windows" à la page 54. Se reporter à "A propos de la préparation des ordinateurs Windows pour le déploiement distant" à la page 56. Se reporter à "Préparer vos ordinateurs client pour l'installation" à la page 57. Effectuer une migration des paramètres de serveur et de groupe de clients Après avoir installé Symantec Endpoint Protection Manager, vous pouvez migrer votre serveur de gestion et des groupes de clients. Il n'est pas nécessaire d'effectuer une migration simultanée de tous les serveurs de groupes et groupes de clients. En outre, vous pouvez effectuer une migration des serveurs de gestion et des clients qui leur transmettent des rapports, l'un après l'autre. Remarque : Tous les ordinateurs qui n'exécutent pas MSI 3.1 subissent premièrement une migration vers MSI 3.1, avant l'installation du logiciel client. Les ordinateurs que vous ne redémarrez pas après l'installation du logiciel client sont protégés par des fonctions de protection antivirus et antispyware, mais pas par des fonctionnalités de pare-feu. Pour mettre en application les fonctionnalités de pare-feu, des ordinateurs client doivent être redémarrés.
Migration de Symantec AntiVirus et de Symantec Client Security Effectuer une migration des paramètres de serveur et de groupe de clients 173 Pour effectuer une migration des paramètres de serveur et de groupe de clients 1 Si l'assistant de migration et de déploiement est encore fermé, cliquez sur Démarrer > Programmes > Symantec Endpoint Protection Manager > Assistant de migration et de déploiement. 2 Dans le panneau d'accueil de l'assistant de Migration et de Déploiement, cliquez sur Suivant. 3 Dans le volet Que voulez-vous faire, cliquez sur Migrer à partir de Symantec AntiVirus. 4 Dans le panneau sans nom suivant, vérifiez les boutons radio indiquant votre modèle d'application de vos paramètres à vos groupes. Se reporter à "A propos de la migration de groupes et de paramètres depuis Symantec System Center" à la page 164. 5 Cliquez sur Suivant. 6 Dans le panneau sans nom suivant, effectuez l'une des opérations suivantes : Pour importer tous les paramètres de tous les serveurs de gestion et clients, cliquez sur Détection automatique de serveurs, saisissez l'adresse IP d'un ordinateur exécutant Symantec System Center, puis cliquez sur OK. Pour importer des paramètres d'un seul serveur de gestion et des clients qu'il gère, cliquez sur Ajouter un serveur, saisissez l'adresse IP d'un ordinateur exécutant un serveur de gestion. Cliquez ensuite sur OK. 7 Cliquez sur Suivant. 8 Dans le panneau sans nom suivant, cliquez sur Suivant. 9 Dans le panneau sans nom suivant, configurez les packages d'installation client à exporter. 10 Cliquez sur Options avancées de package, supprimez la coche des packages à ne pas créer, puis cliquez sur OK. 11 Cliquez sur Parcourir, localisez et sélectionnez un répertoire vers lequel les packages d'installation client doivent être exportés puis cliquez sur Ouvrir. 12 Dans le panneau sans nom suivant, cliquez sur Suivant. 13 Dans le panneau sans nom suivant, effectuez l'une des opérations suivantes : Cochez Oui, cliquez sur Terminer pour exporter les packages puis déployez les packages premièrement vers les clients, puis vers les serveurs avec l'assistant de Déploiement. Le processus d'exportation peut durer dix minutes ou plus.
174 Migration de Symantec AntiVirus et de Symantec Client Security Migration depuis Symantec AntiVirus for Macintosh Cochez Non, les créer et je les déploierai ultérieurement, cliquez sur Terminer pour exporter les packages, puis déployez manuellement les packages, d'abord sur les clients, puis sur les serveurs, à l'aide de l'exécutable ClientRemote.exe, depuis le répertoire \Symantec Endpoint Protection\tomcat\bin\. Se reporter à "Déploiement du logiciel client sur des ordinateurs Windows à l'aide de l'assistant de déploiement" à la page 111. Migration depuis Symantec AntiVirus for Macintosh Vous pouvez migrer vos groupes et vos paramètres de politique antivirus depuis Symantec Administration Console for Macintosh vers Symantec Endpoint Protection Manager. Vous pouvez les migrer en tant qu'éléments de l'installation ou exécuter Assistant de migration et de déploiement après l'installation. Cette procédure crée les packages d'installation de client Mac qui contiennent les mêmes paramètres de groupe et de politique que vous avez déployés à l'aide de Symantec AntiVirus for Macintosh. Cependant, vous devez déployer les packages client manuellement. Se reporter à "A propos du déploiement des packages d'installation client Mac" à la page 105. Se reporter à "Migrations prises en charge et non prises en charge pour le client Mac" à la page 156. Avertissement : Avant d'exécutez l'assistant de migration et de déploiement, autorisez manuellement l'accès à la base de données de Mac MySql à Symantec Endpoint Protection Manager. Effectuez ces étapes avant ou après l'installation de Symantec Endpoint Protection Manager.
Migration de Symantec AntiVirus et de Symantec Client Security A propos de la vérification des mises à jour de vos politiques migrées 175 Pour migrer depuis Symantec AntiVirus for Macintosh 1 Démarrez MySql sur le serveur à partir duquel vous exécutez Symantec Administration Console for Macintosh. Remarque : Connectez-vous au serveur en tant qu'utilisateur racine. 2 Exécutez la commande suivante : GRANT ALL ON sacm.* TO root@l'adresse IP du serveur où vous avez installé Symantec Endpoint Protection Manager IDENTIFIE PAR le mot de passe où le mot de passe peut être n'importe quel mot de passe que vous créez. 3 Démarrez Assistant de migration et de déploiement et cliquez sur Suivant. 4 Choisissez Migrer depuis Symantec AntiVirus for Macintosh, puis cliquez sur Suivant. 5 Entrez les données requises pour la base de données de Symantec Administration Console for Macintosh. Entrez le nom d'utilisateur et le mot de passe saisis dans l'étape 2. 6 Suivez les instructions à l'écran pour terminer la migration. A propos de la vérification des mises à jour de vos politiques migrées Après avoir migré les clients et serveurs, vous devez vérifier qu'ils s'affichent dans les groupes appropriés de la console Symantec Endpoint Protection Manager. Ensuite, mettez à jour la politique de paramètres LiveUpdate et les politiques antivirus et antispyware pour reprendre tout ou partie des modifications apportées aux paramètres avec Symantec System Center. Par exemple, pour démarrer le processus de migration, vous avez désactivé des analyses planifiées. Vous pouvez vouloir activer les analyses planifiées quand la migration est terminée. A propos de la migration de clients non gérés Vous avez trois options de migration des clients autonomes. Vous pouvez installer Symantec Endpoint Protection avec les fichiers d'installation et le fichier setup.exe qui se trouve dans le disque de produit. Cette option préserve les paramètres client.
176 Migration de Symantec AntiVirus et de Symantec Client Security A propos de la migration de clients non gérés Vous pouvez exporter un package à partir de la console Symantec Endpoint Protection Manager en mode autonome. Cette option ne préserve pas les paramètres client. Vous pouvez exporter un package à partir de la console Symantec Endpoint Protection Manager en mode autonome pour les fichiers non-exécutables. Vous remplacez alors serdef.dat dans ce package d'installation par un fichier vierge du même nom. Cette option préserve les paramètres client. Remarque : Microsoft Internet Explorer 6.0 ou ultérieur et MSI 3.1 ou ultérieur doivent être installés sur les ordinateurs client, sinon la migration est impossible. A propos de la migration de clients non gérés avec le disque de produit Si vous possédez des clients hérités et autonomes, vous pouvez les migrer vers Symantec Endpoint Protection et les maintenir autonomes. La migration des clients autonomes avec les fichiers CD préserve également les paramètres sur chaque client. Si vous exécutez Setup.exe, vous effectuez également une mise à jour automatique de MSI sur les clients à vers la version 3.1, ce qui est une condition requise. Lorsque vous exécutez Setup.exe pour installer Symantec Endpoint Protection sur des clients hérités et autonomes, les paramètres hérités sont conservés. Par exemple, si un utilisateur crée une analyse personnalisée à exécuter à minuit, ce paramètre est maintenu. Vous pouvez utiliser les options suivantes pour effectuer une migration des clients autonomes : Insérez le disque de produit dans le lecteur de chaque ordinateur client à migrer et installez Symantec Endpoint Protection à partir de l'interface utilisateur de l'installation. Se reporter à "Installation d'un logiciel client non géré sur des ordinateurs Windows à l'aide du disque de produit" à la page 106. Copiez les fichiers du dossier SEP sur le disque de produit vers un dossier partagé. Demandez alors aux utilisateurs des ordinateurs client de se connecter au dossier partagé et d'exécuter Setup.exe. Se reporter à "A propos du déploiement du logiciel client sur des ordinateurs Windows à partir d'un lecteur mappé " à la page 111. Déployez les fichiers contenus dans le dossier SEP sur le disque de produit en utilisant l'assistant de déploiement.
Migration de Symantec AntiVirus et de Symantec Client Security A propos de la migration de clients non gérés 177 Se reporter à "Déploiement du logiciel client sur des ordinateurs Windows à l'aide de l'assistant de déploiement" à la page 111. Déployez les fichiers contenus dans le dossier SEP sur le disque de produit en utilisant des outils de distribution tiers. Se reporter à "Options d'installation tierce" à la page 115. Migrer les clients autonomes avec des packages exportés Vous pouvez créer des packages d'installation avec la console Symantec Endpoint Protection Manager pour les clients autonomes. Ce type de package crée les clients autonomes après la migration, mais supprime et réinitialise par défaut les paramètres client hérités en de nouveaux paramètres par défaut. Vous pouvez remplacer ce paramètre par défaut en créant un nouveau fichier serdef.dat vierge dans vos fichiers exportés. Vous ne pouvez pas modifier le fichier serdef.dat si vous exportez vers un seul fichier d'installation exécutable. Pour effectuer une migration des clients autonomes avec des packages exportés et préserver les paramètres hérités 1 Sur la console Symantec Endpoint Protection Manager, cliquez sur Admin. 2 Sous Tâches, cliquez sur Packages d'installation. 3 Sous Packages d'installation client, cliquez sur le package à l'aide du bouton droit de la souris pour créer et cliquez sur Exporter le package. 4 Dans la boîte de dialogue Exporter le package, désélectionnez Créer un seul fichier EXE pour ce package (nécessaire). 5 Cliquez sur Parcourir et sélectionnez le répertoire devant contenir le package exporté. 6 Sous Paramètre de sécurité, cochez l'option Exporter un client autonome et désélectionnez Exporter les packages avec les politiques des groupes suivants :. 7 Cliquez sur OK. 8 Déployez le package vers vos clients hérités. Se reporter à "Déploiement du logiciel client sur des ordinateurs Windows à l'aide de l'assistant de déploiement" à la page 111. Pour migrer les clients autonomes avec des packages exportés et modifier les paramètres hérités en paramètres par défaut 1 Sur la console Symantec Endpoint Protection Manager, cliquez sur Admin. 2 Sous Tâches, cliquez sur Packages d'installation.
178 Migration de Symantec AntiVirus et de Symantec Client Security A propos des fonctions nouvelles et mises à jour pour les administrateurs hérités 3 Sous Packages d'installation client, cliquez sur le package à l'aide du bouton droit de la souris pour créer et cliquez sur Exporter le package. 4 Dans la boîte de dialogue Exporter package, cochez Créer un seul fichier.exe pour ce package (recommandé, mais pas nécessaire). 5 Cliquez sur Parcourir et sélectionnez le répertoire devant contenir le package exporté. 6 Sous paramètre de sécurité, cochez Exporter un client non géré. 7 Cliquez sur OK. 8 Déployez le package vers vos clients hérités. Se reporter à "Déploiement du logiciel client sur des ordinateurs Windows à l'aide de l'assistant de déploiement" à la page 111. A propos des fonctions nouvelles et mises à jour pour les administrateurs hérités Plusieurs fonctions ont été mises à jour à partir des produits de protection hérités. Tableau 8-5 Fonctions nouvelles ou mises à jour Fonction Le logiciel du serveur n'assure pas la protection de Symantec AntiVirus Description Symantec Endpoint Protection Manager n'inclut pas le logiciel client Symantec Endpoint Protection. Pour protéger les serveurs de gestion, vous devez installer le logiciel client Symantec Endpoint Protection sur le serveur. Les serveurs hérités de Symantec AntiVirus et de Symantec Client Security incluaient la protection de Symantec AntiVirus. L'interface utilisateur du logiciel client a été remodelée La console de gestion a été remodelée Les serveurs de gestion secondaire ne sont plus utilisés Fournisseurs de mise à jour de groupe L'interface utilisateur client a été remodelée. Symantec System Center n'est plus utilisé. La nouvelle console de gestion est appelée console Symantec Endpoint Protection Manager. Des serveurs de gestion hérités peuvent être installés comme serveurs secondaires qui génèrent des rapports à un serveur de gestion principal pour un groupe de serveurs. Les clients Symantec Endpoint Protection peuvent être configurés pour fournir les mises à jour de signature et de contenu aux clients d'un groupe. Quand des clients sont configurés de cette façon, ils sont appelés des fournisseurs de mise à jour de groupe. Les fournisseurs de mise à jour de groupe ne doivent pas se trouver dans le ou les groupes qu'ils mettent à jour.
Migration de Symantec AntiVirus et de Symantec Client Security A propos des fonctions nouvelles et mises à jour pour les administrateurs hérités 179 Fonction Description Les groupes de serveurs peuvent être considérés comme des sites Les opérations héritées de Symantec System Center tournaient autour des groupes de serveurs. Chaque groupe avait un serveur principal et les clients étaient finalement gérés par ce serveur principal. Symantec Endpoint Protection utilise le concept d'un site. Une instance d'installation peut contenir plusieurs sites. Quand vous installez des sites supplémentaires dans une instance d'installation, vous le faites en ne spécifiant pas une clé secrète pendant l'installation. Chaque fois que vous spécifiez une clé secrète quand vous installez un site, vous créez une nouvelle instance d'installation. Les ordinateurs des différentes instances d'installation ne communiquent pas les uns avec les autres. La détection de l'emplacement est développée Les opérations héritées prenaient en charge la détection de l'emplacement pour des opérations de pare-feu seulement. Symantec Endpoint Protection développe la prise en charge des informations sur l'emplacement au niveau du groupe. Chaque groupe peut être divisé en emplacements multiples et quand un client se trouve dans cet emplacement, des politiques peut être appliqué à cet emplacement. Les politiques contrôlent maintenant la plupart des paramètres du client Grc.dat n'est plus utilisé Quelques paramètres sont encore définis sur des groupes Les serveurs NetWare ne sont plus pris en charge Les domaines peuvent maintenant être utilisés Les opérations héritées de Symantec System Center permettent d'appliquer une série de paramètres aux groupes d'ordinateurs en utilisant des boîtes de dialogue. Les paramètres sont maintenant contrôlés avec les politiques qui peuvent être appliquées jusqu'au niveau de l'emplacement. Par exemple, deux politiques qui affectent des paramètres LiveUpdate. Une politique spécifie combien de fois LiveUpdate s'exécute et contrôle l'interaction d'utilisateur. L'autre politique spécifie le contenu qui peut être installé sur des ordinateurs client avec LiveUpdate. Les communications héritées de Symantec AntiVirus étaient régies par la présence d'un fichier Grc.dat sur les ordinateurs client, qui n'est plus utilisé. Quelques paramètres hérités de Symantec System Center sont encore appliqués au niveau de groupe. Par exemple, la définition du mot de passe de désinstallation du client s'appliquait à tous les ordinateurs d'un groupe. En outre, la nouvelle politique de contenu LiveUpdate s'applique au groupe. Les serveurs de gestion hérités NetWare ne sont plus pris en charge. N'effectuez pas une migration de serveurs de gestion hérités NetWare, mais continuez à les gérer avec le logiciel hérité. Les domaines permettent de créer des groupes globaux supplémentaires si vous souhaiter en utiliser. Cette fonction est avancée et ne doit être utilisée qu'en cas de besoin. Le domaine par défaut est dénommé Default.
180 Migration de Symantec AntiVirus et de Symantec Client Security A propos des fonctions nouvelles et mises à jour pour les administrateurs hérités Fonction Symantec Endpoint Protection inclut maintenant la prise en charge du pare-feu Le blocage du périphérique est maintenant possible Description Les produits hérités et nommés Symantec Client Security nommé ont inclus Symantec AntiVirus et Symantec Client Firewall. Symantec Endpoint Protection inclut maintenant un pare-feu et une interface utilisateur nouveaux et améliorés. Si vous voulez désactiver certains équipements sur des ordinateurs clients, vous pouvez maintenant configurer des politiques pour bloquer l'accès utilisateur à une liste d'équipements. Ces périphériques incluent des éléments comme des ports USB, des lecteurs de disquette et des modems. Ces périphériques incluent également les éléments pour lesquels vous devez être vigilant. Par exemple, vous pouvez désactiver les cartes d'interface réseau (NIC), qui désactivent des ordinateurs client des communications réseau, même avec la console Symantec Endpoint Protection Manager. La seule manière de trouver une solution à ce scénario consiste à désinstaller Symantec Endpoint Protection, puis à activer la carte d'interface réseau avec le Gestionnaire de périphériques de Windows. Symantec Client Firewall Administrator n'est plus utilisé Le basculement et la répartition de charge peuvent être mis en oeuvre pour les serveurs de gestion La réplication peut être mise en oeuvre entre les sites Alert Management Server n'est plus utilisé Les informations client sont maintenant stockées dans une base de données Symantec Client Firewall Administrator était l'outil utilisé pour créer des politiques de Symantec Client Firewall. La nouvelle console Symantec Endpoint Protection Manager intègre maintenant cette fonctionnalité par défaut. Si vous avez un grand réseau et avez besoin de pouvoir économiser la consommation de bande passante, vous pouvez configurer des serveurs de gestion supplémentaires dans une configuration à répartition de charge. Si vous avez un grand réseau et avez besoin de pouvoir configurer la redondance, vous pouvez configurer des serveurs de gestion supplémentaires dans une configuration de basculement. Si vous avez un grand réseau et avez besoin de la réplication, vous pouvez configurer des sites dans une instance d'installation pour répliquer des données. Remarque : Quand vous installez un site pour la réplication, vous ne spécifiez pas de clé secrète. Tous les sites qui sont installés avec une clé secrète ne communiquent pas les uns avec les autres. Le produit hérité incluait Alert Management Server qui prenant en charge les alertes. Le nouveau Symantec Endpoint Protection Manager inclut maintenant cette fonctionnalité par défaut. Les produits hérités stockaient les informations dans le registre de Windows. Symantec Endpoint Protection Manager enregistre maintenant toutes les informations sur les ordinateurs client dans une base de données SQL (la base de données intégrée ou une base de données Microsoft SQL).
Migration de Symantec AntiVirus et de Symantec Client Security A propos des fonctions nouvelles et mises à jour pour les administrateurs hérités 181 Fonction Fonctions améliorées de LiveUpdate Description LiveUpdate prend maintenant en charge le téléchargement et l'installation d'une grande variété de contenu comprenant des définitions, des signatures, des listes blanches pour empêcher des faux positifs, des moteurs et des mises à jour de produit.
182 Migration de Symantec AntiVirus et de Symantec Client Security A propos des fonctions nouvelles et mises à jour pour les administrateurs hérités
Chapitre 9 Migration du logiciel hérité Symantec Sygate Ce chapitre traite des sujets suivants : A propos de la migration vers Symantec Endpoint Protection 11.x A propos de la migration vers Symantec Network Access Control 11.x A propos des mises à niveau d'enforcer Scénarios de migration de serveur A propos des scénarios de migration des serveurs de gestion A propos des changements de l'interface utilisateur et des fonctionnalités de la console survenant après la migration Migrer des consoles de gestion à distance A propos de la configuration des politiques ayant effectué une migration et nouvelles politiques A propos de la suppression des protections par mot de passe client des paramètres de groupe Migrer le logiciel client Symantec Sygate hérité A propos de la migration vers Symantec Endpoint Protection 11.x Vous pouvez migrer depuis Symantec Sygate Enterprise Protection, version 5.1 ou supérieure et depuis Symantec Network Access Control, version 5.1 ou supérieure vers la version 11.x de Symantec Endpoint Protection. Aucun autre
184 Migration du logiciel hérité Symantec Sygate A propos de la migration vers Symantec Endpoint Protection 11.x logiciel Sygate hérité n'est pris en charge pour cette migration. Pour faire migrer des versions Sygate héritées plus anciennes, commencez par les faire migrer vers Symantec Sygate Enterprise Protection 5.1. Avertissement : Quand vous migrez à partir de la version 5.1, vous devez sélectionner l'option Stocker les paquets client décompressés pour fournir une meilleure performance du réseau pour les mises à niveau pour que la mise à niveau se termine avec succès. A propos de la migration du serveur Symantec Sygate et du logiciel de gestion Pour migrer d'un serveur Sygate à Symantec Endpoint Protection, installez Symantec Endpoint Protection Manager for Symantec Endpoint Protection 11.x. Le serveur et le logiciel de gestion hérités que vous pouvez migrer comprennent les produits suivants : Serveur de gestion, console et base de données Symantec Sygate Enterprise Protection 5.1 Les composants de serveur sont appelés Symantec Policy Manager et console Symantec Policy Management. Serveur de gestion, console et base de données Symantec Network Access Control 5.1 Les composants de serveur sont également appelés Symantec Policy Manager et console Symantec Policy Management. Le produit hérité Symantec Sygate Enterprise Protection 5.1 inclut toutes les fonctionnalités que le produit hérité Symantec Network Access Control 5.1 fournit. Les politiques d'intégrité de l'hôte et les fonctionnalités Enforcer constituent le sous-ensemble de fonctionnalités que Symantec Network Access Control fournit. Remarque : Les valeurs d'horodatage dans les politiques d'intégrité de l'hôte peuvent ne pas migrer correctement. Après la migration, examinez tous les paramètres d'intégrité de l'hôte configurés pour des valeurs horaires et modifiez-les au besoin. Symantec Endpoint Protection 11.x est semblable à Symantec Sygate Enterprise Protection 5.1, à une exception près. L'exception est que Symantec Endpoint Protection n'inclut pas des fonctions d'intégrité de l'hôte ou Enforcer. Si vous faites migrer les serveurs de la version 5.1 qui fournissent des fonctions d'intégrité de l'hôte ou des fonctions Enforcer, vous devez également acheter et installer Symantec Endpoint Protection Manager for Symantec Network Access Control 11.x.
Migration du logiciel hérité Symantec Sygate A propos de la migration vers Symantec Endpoint Protection 11.x 185 Installez Symantec Endpoint Protection Manager sur les serveurs migrés pour accéder de nouveau à cette fonctionnalité. Remarque : La migration de serveur migre toutes les politiques et tous les paramètres existants configurés pour les serveurs et le site. Chemins de migration de serveur pris en charge Le logiciel suivant est pris en charge pour la migration vers Symantec Endpoint Protection Manager et la console de gestion de Symantec Endpoint Protection: Symantec Policy Manager et Management Console 5.1 Pour accéder aux fonctions d'intégrité de l'hôte et du module d'application Enforcer, vous devez également installer Symantec Endpoint Protection Manager for Symantec Network Access Control 11.x. Si vous migrez depuis Symantec Policy Manager 5.1 MR7 ou MR8, les politiques antivirus sont supprimées et non migrées. Symantec Network Access Control Manager et Console 5.1 Vous pouvez migrer ce logiciel vers Symantec Endpoint Protection 11.x. Cependant, pour accéder aux fonctions d'intégrité de l'hôte et du module d'application Enforcer, installez également Symantec Endpoint Protection Manager pour Symantec Network Access Control 11.x. Chemins de migration de serveur non pris en charge Symantec Endpoint Protection Manager pour la migration vers Symantec Endpoint Protection est bloqué lorsque l'un des logiciels suivants est détecté : Sygate Policy Manager 5.0 Sygate Management Server 3.x et 4.x Security Management Server entier, toutes les versions Avant d'installer Symantec Endpoint Protection Manager for Symantec Endpoint Protection, vous devez désinstaller ce logiciel. Remarque : Si vous essayez de migrer Symantec Endpoint Protection Manager 5.1 et si l'un des logiciels non pris en charge est détecté, la migration est également bloquée. A propos de la migration du logiciel client Symantec Sygate hérité La migration a pour but d'installer Symantec Endpoint Protection 11.x.
186 Migration du logiciel hérité Symantec Sygate A propos de la migration vers Symantec Endpoint Protection 11.x Le logiciel agent hérité que vous pouvez migrer comprend les deux produits suivants : Symantec Protection Agent 5.1 Symantec Enforcement Agent 5.1 Symantec Protection Agent inclut toutes les fonctionnalités que Symantec Enforcement Agent fournit. Symantec Enforcement Agent inclut l'intégrité de l'hôte seulement. Quand vous faites migrez les clients qui exécutent Symantec Protection Agent ou Symantec Enforcement Agent, installez Symantec Endpoint Protection pour terminer la migration. Le logiciel client Symantec Endpoint Protection 11.x inclut toutes les fonctionnalités de Symantec Protection Agent et Symantec Enforcement Agent et d'autres. Si vous avez des agents Sygate Protection qui fournissent l'intégrité de l'hôte, vous n'avez pas besoin d'installer également Symantec Endpoint Protection 11.x sur ces clients. Vous devez cependant installer Symantec Endpoint Protection Manager pour Symantec Network Access Control 11.x sur les serveurs de gestion pour accéder de nouveau à cette fonctionnalité du client. Remarque : La migration d'agent fait migrer tous les paramètres existants configurés pour les clients si vous exportez le package d'installation client pour vos groupes existants. Vous pouvez alors effectuer des mises à niveau automatiques pour les clients qui appartiennent à ces groupes. Chemins de migration de client pris en charge Le logiciel suivant est pris en charge pour la migration vers Symantec Endpoint Protection : Symantec Protection Agent 5.1 Symantec Protection Agent 5.1 avec Symantec AntiVirus 9.x et ultérieur Symantec Protection Agent 5.1 avec Symantec Client Security 2.x et ultérieur Symantec Enforcement Agent 5.1 Symantec Enforcement Agent 5.1 avec Symantec AntiVirus 9.x et ultérieur Symantec Enforcement Agent 5.1 avec Symantec Client Security 2.x et ultérieur Chemins de migration de client non pris en charge La migration de client Symantec Endpoint Protection 11.x est bloquée quand l'un des logiciels suivants est détecté :
Migration du logiciel hérité Symantec Sygate A propos de la migration vers Symantec Network Access Control 11.x 187 Sygate Protection Agent 5.0 Sygate Enforcement Agent 5.0 Sygate Security Agent 3.x et 4.x Edition Security Confidence Online Enterprise complète, toutes les versions Symantec Protection Agent 5.1 et Symantec AntiVirus 7.x et 8.x Symantec Protection Agent 5.1 et Symantec Client Security 1.x Symantec Enforcement Agent 5.1 et Symantec AntiVirus 7.x et 8.x Symantec Protection Agent 5.1 et Symantec Client Security 1.x A propos de la migration vers Symantec Network Access Control 11.x Vous pouvez faire migrer Symantec Network Access Control 5.1 vers Symantec Network Access Control 11.x. Aucun autre logiciel Sygate hérité n'est pris en charge pour cette migration. Pour migrer d'autres versions, commencez par les migrer vers Symantec Sygate Enterprise Protection 5.1. A propos de la migration du logiciel de serveur Symantec Sygate hérité Le gestionnaire Symantec Network Access Control et la console de gestion 5.1 est le seul logiciel pris en charge pour la migration vers Symantec Endpoint Protection Manager et la console de gestion de Symantec Network Access Control 11.x. Symantec Endpoint Protection Manager pour la migration vers Symantec Network Access Control est bloqué lorsque l'un des logiciels suivants est détecté : Sygate Policy Manager 5.0 Sygate Management Server 3.x et 4.x Security Management Server entier, toutes les versions A propos de la migration du logiciel client Symantec Sygate hérité Symantec Enforcement Agent 5.1 est le seul logiciel pris en charge pour la migration vers Symantec Network Access Control 11.x.
188 Migration du logiciel hérité Symantec Sygate A propos des mises à niveau d'enforcer Remarque : La migration d'agent fait migrer tous les paramètres existants configurés pour les clients tant que vous exportez le package d'installation client pour vos groupes existants. Effectuez ensuite une mise à niveau automatique pour ces groupes. La migration client vers le client Symantec Network Access Control 11.x lorsque l'un des logiciels suivants est détecté : Sygate Enforcement Agent 5.0 Sygate Protection Agent 5.0 et ultérieur Sygate Security Agent 3.x et 4.x Edition Security Confidence Online Enterprise complète, toutes les versions Symantec Enforcement Agent 5.1 et Symantec AntiVirus, toutes les versions Symantec Enforcement Agent 5.1 et Symantec Client Security, toutes les versions A propos des mises à niveau d'enforcer Symantec Endpoint Protection Manager prend en charge les modules d'application Symantec Gateway Enforcer, DHCP Enforcer ou LAN Enforcer qui s'exécutent uniquement sur les boîtiers matériels de version 6100. Ces boîtiers prennent en charge les versions logicielles 5.1, 5.1.5 et 11.x. Symantec Endpoint Protection Manager prend uniquement en charge les versions logicielles 5.1.5 et 11.x. Symantec Endpoint Protection Manager ne prend pas en charge la version logicielle 5.1. De même, les versions précédentes de Symantec Enforcer fournies comme logiciel uniquement ne sont pas prises en charge. Si votre boîtier Enforcer 6100 exécute la version logicielle 5.1, vous devez mettre à niveau l'image logicielle vers la version 5.1.5 ou 11.x. Symantec recommande de flasher l'image logicielle héritée vers la version 11.x pour utiliser la dernière version. Tous les paramètres Enforcer sont enregistrés dans Symantec Endpoint Protection Server ; les paramètres Enforcer sont ainsi migrés pendant la migration de serveur. Scénarios de migration de serveur Effectuer une migration le logiciel Symantec Sygate Enterprise Protection hérité est aussi complexe que votre architecture réseau. Si vous avez un serveur de gestion hérité qui gère des clients, installez les composants de gestion sur l'ordinateur qui exécute Symantec Policy Manager 5.1. Si les serveurs hérités
Migration du logiciel hérité Symantec Sygate Scénarios de migration de serveur 189 supplémentaires exécutent la réplication, désactivent la réplication avant migration, puis activent la réplication après migration. Si des serveurs hérités supplémentaires exécutent le basculement ou la répartition de charge, désactivez le service Symantec Policy Manager sur ces ordinateurs. Faites ensuite migrer les serveurs un par un. Commencez par le serveur que vous avez installé en premier avec le fichier de licence et le secret pré-partagé. Une fois les serveurs migrés, ils gèrent automatiquement les clients hérités. Utilisez ensuite l'assistant de mise à niveau des groupes pour faire migrer les ordinateurs client vers la dernière version, ce qui constitue la méthode de migration la plus simple. Remarque : Les scénarios de serveur prennent en charge les migrations Symantec Endpoint Protection et Symantec Network Access Control. Migrer une instance d'installation qui utilise un serveur de gestion Migrer une instance d'installation qui utilise un serveur de gestion est simple car vous ne migrez qu'un seul site. Installez Symantec Endpoint Protection Manager sur l'ordinateur qui exécute Symantec Sygate Enterprise Protection. Procédez ensuite à la mise à niveau de votre logiciel client. La base de données est également migrée. Le fait que le serveur de base de données intégré, un serveur Microsoft SQL local ou un serveur Microsoft SQL distant mette à jour la base de données n'est pas important. Pour faire migrer un site qui utilise un serveur de gestion Migrez votre serveur de gestion. Se reporter à "Migration d'un serveur de gestion" à la page 192. Migrer une instance d'installation qui utilise une base de données Microsoft SQL et plusieurs serveurs de gestion Migrer une instance d'installation qui utilise une base de données et plusieurs serveurs de gestion implique les points suivants : Les serveurs de gestion sont configurés pour la répartition de charge ou le basculement. La base de données s'exécute sur Microsoft SQL Server car le basculement et la répartition de charge sont pris en charge sur Microsoft SQL Server seulement. La réplication n'est pas effectuée car il n'existe qu'une seule base de données. Toutes les instances d'installation comportent un site sur lequel vous avez d'abord installé le serveur de gestion. Un seul de ces serveurs de gestion a été installé avec
190 Migration du logiciel hérité Symantec Sygate Scénarios de migration de serveur une licence et un secret pré-partagé. Migrez ce serveur de gestion en premier. Migrez ensuite les autres serveurs de gestion qui ont été installés pour la répartition de charge et le basculement. Pour faire migrer une instance d'installation qui utilise une base de données SQL Server et plusieurs serveurs de gestion 1 Sur tous les serveurs de gestion qui n'ont pas été installés avec la licence et le secret pré-partagé, désactivez le service Symantec Policy Manager à l'aide des outils d'administration Windows. Se reporter à "Arrêter les serveurs avant la migration de répartition de charge et de basculement" à la page 194. 2 Authentifiez-vous sur et connectez-vous à l'ordinateur qui contient l'instance Symantec Policy Manager ayant été installée avec la licence et le secret pré-partagé. Ne vous connectez pas à Symantec Policy Manager. 3 Migrez le serveur de gestion. Se reporter à "Migration d'un serveur de gestion" à la page 192. 4 Migrez tous les serveurs de gestion supplémentaires un par un. Migrer une instance d'installation qui utilise plusieurs bases de données et serveurs de gestion intégrés La migration d'une instance d'installation qui utilise plusieurs bases de données et serveurs de gestion intégrés présente les implications suivantes : Aucun basculement ou aucune répartition de charge n'a lieu car la base de données intégrée ne prend pas en charge les serveurs de basculement ou de répartition de charge. Les serveurs de gestion sont configurés pour la réplication seulement car vous ne pouvez pas installer plusieurs serveurs de base de données intégrés sans les installer en tant que serveurs de réplication. Tous les sites comportent un ordinateur sur lequel vous avez d'abord installé le serveur de gestion. Un seul de ces serveurs de gestion a été installé avec une licence et un secret pré-partagé. Vous devez migrer ce serveur de gestion en premier. Migrez ensuite les autres serveurs de gestion qui ont été installés pour la réplication.
Migration du logiciel hérité Symantec Sygate Scénarios de migration de serveur 191 Pour migrer une instance d'installation qui utilise plusieurs bases de données et serveurs de gestion intégrés 1 Sur tous les serveurs de gestion, désactivez la réplication. Se reporter à "Désactiver la réplication avant migration" à la page 194. 2 Authentifiez-vous sur et connectez-vous à l'ordinateur qui contient l'instance Symantec Policy Manager ayant été installée avec la licence et le secret pré-partagé. Ne vous connectez pas à Symantec Policy Manager. 3 Migrez le serveur de gestion. Se reporter à "Migration d'un serveur de gestion" à la page 192. 4 Migrez tous les serveurs de gestion supplémentaires un par un. 5 Après avoir migré les serveurs, activez la réplication sur chacun d'entre eux. Se reporter à "Activer la réplication après la migration" à la page 195. Migrer une instance d'installation qui utilise plusieurs bases de données et serveurs de gestion SQL Migrer un site qui utilise plusieurs bases de données et serveurs de gestion SQL implique les points suivants : La réplication est configurée car elle utilise plusieurs bases de données Microsoft SQL 2000. Les serveurs de gestion peuvent être configurés pour la répartition de charge ou le basculement. Tous les sites comportent un ordinateur sur lequel vous avez d'abord installé le serveur de gestion. Un seul de ces serveurs de gestion a été installé avec une licence et un secret pré-partagé. Migrez ce serveur de gestion en premier. Migrez ensuite les autres serveurs de gestion qui ont été installés pour la réplication, la répartition de charge et le basculement. Remarque : Vous pouvez avoir une base de données intégrée qui se réplique avec la base de données Microsoft SQL. La base de données intégrée, cependant, ne prend pas en charge les serveurs de basculement et de répartition de charge.
192 Migration du logiciel hérité Symantec Sygate A propos des scénarios de migration des serveurs de gestion Pour faire migrer une instance d'installation qui utilise plusieurs bases de données et serveurs de gestion SQL 1 Sur tous les serveurs de gestion qui effectuent la réplication vers une base de données, désactivez la réplication. Se reporter à "Désactiver la réplication avant migration" à la page 194. 2 Désactivez le service Symantec Policy Manager sur tous les serveurs de gestion qui exécutent la répartition de charge et le basculement. Faites ainsi sur tous les serveurs de gestion qui n'ont pas été installés avec la licence et le secret partagé. Se reporter à "Arrêter les serveurs avant la migration de répartition de charge et de basculement" à la page 194. 3 Connectez-vous à l'ordinateur Symantec Policy Manager qui a été installé avec la licence et le secret partagé. Ne vous connectez pas à Symantec Policy Manager. 4 Migrez le serveur de gestion. Se reporter à "Migration d'un serveur de gestion" à la page 192. 5 Migrez un par un tous les serveurs de gestion supplémentaires qui effectuent le basculement et la répartition de charge. 6 Répétez les étapes précédentes jusqu'à ce que vous avez migré tous les sites. 7 Activez la réplication site par site jusqu'à ce que tous les sites effectuent de nouveau la réplication. Se reporter à "Activer la réplication après la migration" à la page 195. A propos des scénarios de migration des serveurs de gestion Vous pouvez faire migrer les serveurs de gestion, les consoles de gestion et les bases de données de gestion. Vous faites migrez les composants selon les scénarios qui conviennent à vos environnements et à vos sites. L'ordre dans lequel vous faites migrer vos composants dépend du scénario de migration que vous utilisez. Se reporter à "Scénarios de migration de serveur" à la page 188. Migration d'un serveur de gestion Vous devez faire migrer tous les serveurs de gestion avant de faire migrer les clients. Si vous effectuez la migration des serveurs de gestion dans un
Migration du logiciel hérité Symantec Sygate A propos des scénarios de migration des serveurs de gestion 193 environnement qui prend en charge la répartition de charge, le basculement ou la réplication, vous devez préparer et effectuer la migration des serveurs de gestion dans un ordre précis. Se reporter à "Scénarios de migration de serveur" à la page 188. Avertissement : Vous devez identifier et suivre votre scénario de migration, sinon votre migration échouera. Pour migrer des serveurs Symantec Sygate Enterprise Protection qui utilisent la protection Politiques d'intégrité de l'hôte ou module d'application Enforcer, installez d'abord Symantec Endpoint Protection Manager pour Symantec Endpoint Protection. Puis, répétez la procédure d'installation et installez Symantec Endpoint Protection Manager pour Symantec Network Access Control afin d'accéder à la fonctionnalité Intégrité de l'hôte et module d'application Enforcer. Pour effectuer la migration d'un serveur de gestion 1 Dans le serveur à faire migrer, insérez le disque de produit pour l'un des suivants : Symantec Endpoint Protection Symantec Network Access Control 2 Démarrez le programme d'installation et procédez comme suit : Pour installer Symantec Endpoint Protection, cliquez sur Installer Symantec Endpoint Protection Manager. Pour installer Symantec Network Access Control, cliquez sur Installer Symantec Network Access Control puis cliquer sur Installer Symantec Endpoint Protection Manager. 3 Dans l'écran d'accueil, cliquez sur Suivant. 4 Cliquez sur les invites d'installation jusqu'à ce que l'installation commence. L'installation du fichier initial prend quelques minutes. 5 Dans le volet Assistant d'installation terminé, cliquez sur Terminer. 6 Dans le panneau Bienvenue de l'assistant de mise à niveau du serveur de gestion, cliquez sur Suivant. 7 Dans l'invite Informations, cliquez sur Continuer. 8 Quand l'etat de mise à niveau du serveur réussit, cliquez sur Suivant. 9 Dans le panneau Mise à niveau réussie, cliquez sur Terminer.
194 Migration du logiciel hérité Symantec Sygate A propos des scénarios de migration des serveurs de gestion 10 Lorsque le volet de connexion de Symantec Endpoint Protection Manager s'affiche, connectez-vous à la console à l'aide des informations d'authentification de connexion héritées. 11 (Facultatif) si vous devez installer Symantec Endpoint Protection Manager pour Symantec Network Access Control, fermez Symantec Endpoint Protection Manager. Répétez ensuite cette procédure et installez Symantec Endpoint Protection Manager pour Symantec Network Access Control à partir du CD d'installation de Symantec Network Access Control. Vous ne devez pas redémarrer l'ordinateur, mais vous pourrez éventuellement constater une amélioration de la performance si vous redémarrez l'ordinateur et vous vous connectez. Arrêter les serveurs avant la migration de répartition de charge et de basculement Si vous possédez des serveurs Symantec hérités qui effectuent la répartition de charge et le basculement, vous devez arrêter le service Symantec Policy Manager sur tous les serveurs hérités. Quand vous arrêtez ce service, vous arrêtez les serveurs hérités qui essayent de mettre à jour la base de données pendant la migration. Les serveurs hérités ne doivent pas essayer de mettre à jour la base de données tant que la migration n'est pas terminée. Pour arrêter les serveurs avant la migration de répartition de charge et de basculement 1 Cliquez sur Démarrer > Paramètres > Panneau de configuration> Outils d'administration. 2 Dans la fenêtre Services, sous Nom, recherchez en faisant défiler l'affichage et cliquez avec le bouton droit de la souris sur Symantec Policy Manager. 3 Cliquez sur Arrêter. Désactiver la réplication avant migration Si vous possédez des sites Symantec hérités qui sont configurés pour la réplication, vous devez désactiver la réplication avant la migration. Vous ne voulez pas que des sites essayent de répliquer des données entre les bases de données héritées et mises à jour pendant ou après la migration. Vous devez désactiver la réplication sur chaque site répliquant des données, ce qui signifie que vous devez vous connecter et désactiver la réplication sur deux sites au minimum.
Migration du logiciel hérité Symantec Sygate A propos des scénarios de migration des serveurs de gestion 195 Pour désactiver la réplication avant migration 1 Connectez-vous à la console Symantec Policy Management si vous n'êtes pas connecté. 2 Dans l'onglet Serveurs, dans le volet de gauche, développez Site local, puis développez Partenaires de réplication. 3 Cliquez avec le bouton droit de la souris sur chaque site répertorié dans Partenaires de réplication, puis cliquez sur Supprimer. 4 A l'invite Supprimer un partenaire, cliquez sur Oui. 5 Déconnectez-vous de la console et répétez cette procédure pour tous les sites qui répliquent des données. Activer la réplication après la migration Après avoir fait migrer tous les serveurs qui utilisent la réplication, le basculement et la répartition de charge, vous devez activer la réplication. Après la migration, ajoutez un partenaire de réplication pour activer la réplication. Vous devez uniquement ajouter des partenaires de réplication sur l'ordinateur sur lequel vous avez d'abord installé le serveur de gestion. Les partenaires de réplication apparaissent automatiquement sur les autres serveurs de gestion. Pour activer la réplication après la migration 1 Connectez-vous à la console Symantec Policy Management si vous n'êtes pas connecté. 2 Dans l'onglet Serveurs, dans le volet de gauche, développez Site local, puis développez Partenaires de réplication. 3 Cliquez avec le bouton droit de la souris sur chaque site répertorié dans Partenaires de réplication, puis cliquez sur Ajouter un partenaire. 4 Dans le panneau Ajouter un partenaire de réplication, cliquez sur Suivant. 5 Dans le panneau Informations sur le site distant, entrez les informations d'identification relatives au partenaire de réplication et les informations d'authentification, puis cliquez sur Suivant. 6 Dans le panneau Planifier la réplication, spécifiez la planification définissant à quel moment la réplication se produit automatiquement, puis cliquez sur Suivant. 7 Dans le panneau Réplication des fichiers journaux et des paquets du client, sélectionnez les éléments à répliquer, puis cliquez sur Suivant. Répliquer des paquets implique généralement de gros volumes de trafic et un espace de stockage important.
196 Migration du logiciel hérité Symantec Sygate A propos des changements de l'interface utilisateur et des fonctionnalités de la console survenant après la migration 8 Dans le panneau Terminer l'assistant d'ajout de partenaire de réplication, cliquez sur Terminer. 9 Répétez cette procédure pour tous les serveurs de gestion qui répliquent des données avec ce serveur de gestion. A propos des changements de l'interface utilisateur et des fonctionnalités de la console survenant après la migration Les changements suivants de l'interface utilisateur se produisent après la migration : Le menu Programme de démarrage de Symantec Policy Manager passe à la console Symantec Endpoint Protection Manager. Le répertoire d'installation et le nom de service conservent le nom hérité de Symantec Policy Manager et ne sont pas renommés. Politiques de protection du système d'exploitation hérité devient Politiques de protection des périphériques matériels. Plusieurs types de politique nouveaux sont disponibles pour les paramètres LiveUpdate, Antivirus et AntiSpyware, et ainsi de suite. Vous ne pouvez utiliser les nouvelles politiques qu'une fois vos clients migrés. Les packages d'installation client hérités sont supprimés de la base de données de sorte qu'ils n'apparaissent pas dans la console migrée. Cependant, ces packages demeurent dans votre répertoire de packages hérités. Vous devez exporter vos nouveaux packages d'installation client vers un répertoire différent. Report Scheduler est maintenant disponible dans l'onglet Rapports au lieu de la boîte de dialogue Propriétés de site de serveur hérité. La gestion des licences a été annulée et n'est plus requise. La gestion de package est maintenant disponible dans le volet Serveurs au lieu du volet Gestionnaire de client hérité. Les composants de bibliothèque de politique tels que des listes de serveurs de gestion et les Services réseau sont maintenant disponibles sur le volet Politiques, sous les listes de politiques et sont identifiés Composants de politique. Les fonctionnalités des onglets Serveurs et Administrateurs ont été consolidées dans le volet Administration.
Migration du logiciel hérité Symantec Sygate Migrer des consoles de gestion à distance 197 La migration de serveur purge tous les packages d'installation client de la base de données. Ces packages ne sont plus pris en charge et la suppression de package n'affecte pas les clients connectés. Ceci empêche de nouveaux déploiements des packages de client hérité. Migrer des consoles de gestion à distance Pour faire migrer des consoles de gestion à distance héritées, installez les dernières consoles de gestion à distance sur les ordinateurs qui exécutent les consoles héritées. Les icônes Symantec Policy Manager héritées et le menu de démarrage de programme ne sont pas migrés. Toutefois, lorsque vous cliquez sur l'icône ou l'élément de menu, ils affichent la nouvelle invite de Symantec Endpoint Protection Manager. Quand une console de gestion à distance héritée a été installée, il se peut que l'exécutable Sun Java 1.4 ait été installé sur l'ordinateur s'il n'était pas déjà installé. Cette nouvelle version de la console de gestion à distance télécharge et installe Sun Java 1.5 sur l'ordinateur distant. Si vous n'avez besoin de l'exécution de Sun Java 1.4 pour aucune autre application, vous pouvez la supprimer via la fonction d'ajout ou de suppression de programmes de Windows. Pour faire migrer des consoles de gestion à distance 1 Sur l'ordinateur sur lequel installer la console de gestion, démarrez un navigateur Web. 2 Dans la zone URL, tapez l'un des identifiants suivants pour l'ordinateur qui exécute le gestionnaire de politique : http://nom_ordinateur: 9090 http://adresse_ip_ordinateur:9090 Le numéro de port par défaut de la console Web est 9090. Si vous avez défini un port différent lors de l'installation, remplacez 9090 par le port que vous avez défini. Vous pouvez changer le numéro de port en utilisant l'assistant de configuration du serveur de gestion. 3 Dans la fenêtre de console de gestion des politiques Symantec, cliquez sur Ici pour télécharger et installer JRE 1.5. 4 Réagissez à l'invite et suivez ses instructions pour se connecter à la console Symantec Endpoint Protection Manager.
198 Migration du logiciel hérité Symantec Sygate A propos de la configuration des politiques ayant effectué une migration et nouvelles politiques A propos de la configuration des politiques ayant effectué une migration et nouvelles politiques Si vous avez migré vers Symantec Endpoint Protection, les politiques de pare-feu migré et de prévention d'intrusion migrées contiennent vos paramètres hérités. D'autres politiques par défaut Symantec Endpoint Protection sont également attribuées. Vous devriez passer en revue les nouvelles politiques pour déterminer si les paramètres sont appropriés pour votre environnement. Si vous voulez modifier les paramètres, faites toutes les modifications qui affectent vos groupes avant de migrer des clients hérités. Par exemple, si vous décidez d'ajouter la protection antivirus et antispyware à vos clients pendant la migration, vous devriez vous familiariser avec les paramètres de politique antivirus et antispyware. Les paramètres LiveUpdate et les politiques de contenu LiveUpdate affectent Symantec Endpoint Protection et Symantec Network Access Control. En conséquence, vous devez bien vous familiariser avec ces politiques et savoir comment elles affectent vos groupes et vos emplacements avant la migration du client. Pour plus d'informations sur des politiques, voir le Guide d'administration de Symantec Endpoint Protection et Symantec Network Access Control. A propos de la suppression des protections par mot de passe client des paramètres de groupe Les paramètres Groupe effectuent la migration et incluent les paramètres de protection par mot de passe du client de groupe. Si des paramètres de groupe activent un ou plusieurs mots de passe, comme pour la désinstallation, la migration du client échoue pour certaines versions de maintenance. Le meilleur moyen est de désactiver ces mots de passe dans vos groupes migrés avec la console Symantec Endpoint Protection Manager avant de migrer le logiciel client hérité. Les paramètres de protection par mot de passe apparaissent dans les paramètres généraux de chaque groupe. Vous pouvez activer ces mots de passe après migration. Avertissement : Si vous ne désactivez pas le mot de passe de désinstallation, vous devrez peut-être entrer ce mot de passe sur chaque ordinateur client. Si vous effectuez le déploiement vers 100 clients ou plus, il se peut que vous deviez envoyer par courrier électronique le mot de passe aux utilisateurs finaux.
Migration du logiciel hérité Symantec Sygate Migrer le logiciel client Symantec Sygate hérité 199 Pour plus d'informations sur le mot de passe de protection du client, voir le Guide d'administration de Symantec Endpoint Protection et Symantec Network Access Control. Migrer le logiciel client Symantec Sygate hérité La méthode la plus simple pour faire migrer le logiciel Symantec Protection Agent et Symantec Enforcement Agent consiste à utiliser la fonction de mise à niveau automatique. Toutes les autres méthodes de déploiement de logiciel client sont prises en charge, mais la mise à niveau automatique est l'approche la plus facile. La migration peut prendre jusqu'à 30 minutes. Par conséquent, vous devez effectuer la migration quand la plupart des utilisateurs sont déconnectés de leurs ordinateurs. Remarque : Vous devez tester cette approche de migration avant de déployer la migration sur un grand nombre d'ordinateurs. Vous pouvez créer un nouveau groupe et placer un nombre restreint d'ordinateurs client dans ce groupe. Pour faire migrer le logiciel client hérité Symantec Sygate 1 Connectez-vous à la console Symantec Endpoint Protection Manager nouvellement migrée si vous n'êtes pas connecté. 2 Cliquez sur Admin > Packages d'installation. 3 Dans le volet inférieur gauche, sous Tâches, cliquez sur Mettre les groupes à niveau à l'aide d'un package. 4 Dans le panneau Bienvenue dans l'assistant de mise à niveau des groupes, cliquez sur Suivant. 5 Dans le volet Sélectionner un package d'installation client, dans le menu déroulant Sélectionnez le nouveau package d'installation client, effectuez l'une des opérations suivantes : Cliquez sur Symantec Endpoint Protection <version appropriée>. Cliquez sur Symantec Network Access Control <version appropriée>. 6 Dans le panneau Spécifiez des groupes, sélectionnez un ou plusieurs groupes contenant les ordinateurs client que vous voulez migrer, puis cliquez sur Suivant.
200 Migration du logiciel hérité Symantec Sygate Migrer le logiciel client Symantec Sygate hérité 7 Dans le panneau Paramètres de mise à niveau de package, cochez Télécharger depuis le serveur de gestion. Si vous le souhaitez, vous pouvez définir et sélectionner un package sur un serveur Web. 8 Cliquez sur Paramètres de mise à niveau. 9 Dans la boîte de dialogue Ajouter un package d'installation client, procédez comme suit : Sur l'onglet Général, spécifiez une planification pour la migration des ordinateurs client. Sur l'onglet Notification, spécifiez un message à afficher aux utilisateurs pendant la mise à niveau. Pour obtenir des détails sur les paramètres de ces onglets, cliquez sur Aide. 10 Cliquez sur OK. 11 Dans le volet Paramètres de mise à niveau du package, cliquez sur Suivant. 12 Dans le panneau Terminer l'assistant de mise à niveau client, cliquez sur Terminer.
Section 4 Annexes Annexe A. Fonctions et propriétés d'installation de Symantec Endpoint Protection Annexe B. Reprise après incident
202
Annexe A Fonctions et propriétés d'installation de Symantec Endpoint Protection Cette annexe traite des sujets suivants : A propos des fonctions et propriétés d'installation Fonctions du client Symantec Endpoint Protection Propriétés d'installation du client Symantec Endpoint Protection Paramètres de Windows Installer Propriétés du Centre de sécurité Windows A propos de l'utilisation du fichier journal pour rechercher les erreurs Identification du point d'échec d'une installation Exemples de ligne de commande pour l'installation du client A propos des fonctions et propriétés d'installation Les fonctions et les propriétés d'installation apparaissent comme des chaînes dans les fichiers texte et les lignes de commande. Les fichiers texte et les lignes de commande sont traités pendant toutes les installations de logiciel client. Les fonctions d'installation déterminent quels composants sont installés. Les propriétés d'installation déterminent quels sous-composants sont activés ou désactivés après installation. Les fonctions et les propriétés d'installation ne sont disponibles que pour le logiciel client Symantec Endpoint Protection et sont également disponibles pour le système d'exploitation Windows. Les fonctions et les propriétés
204 Fonctions et propriétés d'installation de Symantec Endpoint Protection A propos des fonctions et propriétés d'installation d'installation ne sont pas disponibles pour les installations du logiciel client Symantec Network Access Control ou de Symantec Endpoint Protection Manager. Les fonctions et les propriétés d'installation sont spécifiées de deux manières : sous forme de lignes dans le fichier Setaid.ini et de valeurs dans des commandes Windows Installer (MSI). Des commandes MSI peuvent être spécifiées dans des chaînes Windows Installer et dans vpremote.dat pour un déploiement personnalisé avec l'assistant de déploiement. Des commandes Windows Installer et le fichier Setaid.ini sont toujours traités pour toutes les installations de logiciel client. Si différentes valeurs sont spécifiées, les valeurs dans Setaid.ini ont toujours la priorité. A propos de la configuration de Setaid.ini Setaid.ini s'affiche dans tous les packages d'installation. Setaid.ini a toujours la priorité sur n'importe quel paramètre qui peut s'afficher dans une chaîne de commande MSI utilisée pour démarrer l'installation. Setaid.ini s'affiche dans le même répertoire que setup.exe. Si vous exportez vers un seul fichier.exe, vous ne pouvez pas configurer Setaid.ini. Cependant, le fichier est automatiquement configuré quand vous exportez des fichiers d'installation de client Symantec Endpoint Protection de la console. Les lignes suivantes affichent certaines des options que vous pouvez configurer dans Setaid.ini. La valeur 1 active une fonction et la valeur 0 désactive une fonction. [CUSTOM_SMC_CONFIG] InstallationLogDir= DestinationDirectory= [FEATURE_SELECTION] Core=1 SAVMain=1 EMailTools=1 OutlookSnapin=1 Pop3Smtp=0 NotesSnapin=0 PTPMain=1 DCMain=1 COHMain=1 ITPMain=1 Firewall=1
Fonctions et propriétés d'installation de Symantec Endpoint Protection A propos des fonctions et propriétés d'installation 205 Remarque : Les fonctions sont en retrait pour afficher la hiérarchie. Les fonctions ne sont pas en retrait dans le fichier Setaid.ini. Les noms de fonction dans Setaid.ini distinguent les majuscules et minuscules. Les valeurs de fonction définies sur 1 entraînent l'installation des fonctions. Les valeurs de fonction définies sur 0 n'entraînent pas l'installation des fonctions. Vous devez spécifier et installer les fonctions parentes pour installer avec succès les fonctions de client suivant les indications de l'arborescence de fonction. Se reporter à "Fonctions du client Symantec Endpoint Protection" à la page 206. Le seul cas où Setaid.ini n'est pas traité est quand vous installez le logiciel client avec les fichiers dans le répertoire de CD-ROM d'installation SAV. Vous pouvez installer ces fichiers avec des outils de distribution tiers comme SMS. Prenez connaissance des paramètres supplémentaires suivants de setaid.ini qui mappent des propriétés MSI pour l'installation client Symantec Endpoint Protection : DestinationDirectory à INSTALLDIR KeepPreviousSetting à MIGRATESETTINGS AddProgramIntoStartMenu à ADDSTARTMENUICON A propos de la configuration des chaînes de commande MSI Le logiciel d'installation de Symantec Endpoint Protection utilise les packages Windows Installer (MSI) 3.1 pour l'installation et le déploiement. Si vous utilisez la ligne de commande pour déployer un package, vous pouvez personnaliser l'installation. Vous pouvez utiliser les paramètres standard de Windows Installer et les fonctions et propriétés spécifiques à Symantec. Pour utiliser Windows Installer, des droits étendus sont requis. Si vous tentez d'effectuer l'installation sans disposer des droits appropriés, l'installation peut échouer sans avertissement. Pour la liste la plus à jour des commandes et des paramètres d'installation de Symantec, consultez le document de la base de données de support de Symantec, Ligne de commande MSI de référence pour Symantec Endpoint Protection 11.0 Remarque : La fonction de publication de Microsoft Installer n'est pas prise en charge. Les fonctions et les propriétés spécifiées de Setaid.ini sont prioritaires sur les fonctions et les propriétés spécifiées de MSI. Les noms de fonction et de propriété des commandes MSI distinguent les majuscules et les minuscules.
206 Fonctions et propriétés d'installation de Symantec Endpoint Protection Fonctions du client Symantec Endpoint Protection Fonctions du client Symantec Endpoint Protection Les fonctions de Symantec Endpoint Protection peuvent être installées en les spécifiant dans des fichiers Setaid.ini et dans des commandes MSI. La plupart des fonctions ont un rapport de type parent-enfant. Si vous voulez installer une fonction enfant qui a une fonction parente, vous devez également installer la fonction parente. Figure A-1 Rapports client de l'arborescence de fonction parent-enfant L'arborescence de fonction affiche quatre fonctions primaires répertoriées du côté gauche. La fonction principale doit toujours être spécifiée pour l'installation. Elle contient la principale fonctionnalité des communications client. Les trois autres fonctions peuvent être installées en tant que fonctions autonomes. SAVMain installe la protection antivirus et la protection antispyware, PTPMain installe la technologie d'analyse proactive des menaces TruScan et ITPMain installe la protection contre les menaces réseau. Remarque : COHMain et DCMain requièrent deux parents. COHMain est l'analyse proactive des menaces et requiert PTPMain et SAVMain. DCMain, qui est le contrôle des applications et des périphériques, requiert PTPMain et ITPMain. Pour setaid.ini et MSI, si vous spécifiez une fonction enfant, mais ne spécifiez pas la fonction parent, la fonction enfant est installée. Cependant, la fonction ne fonctionne pas parce que la fonction parente n'est pas installée. Par exemple, si vous spécifiez l'installation de la fonction pare-feu, mais ne spécifiez pas l'installation d'itpmain, le pare-feu, n'est pas installé.
Fonctions et propriétés d'installation de Symantec Endpoint Protection Fonctions du client Symantec Endpoint Protection 207 Tableau A-1 Fonctions du client Symantec Endpoint Protection Fonctionnalité Principal SAVMain SymProtectManifest EMailTools NotesSnapin OutlookSnapin Pop3Smtp PTPMain COHMain DCMain ITPMain Pare-feu Description Installez les fichiers utilisés pour les communications entre les clients et Symantec Endpoint Protection Manager. Cette fonctionnalité est requise. Installez les fichiers antispyware et antivirus de base. Installez la fonction de Protection contre les interventions. Installez les fichiers de base de la fonction Auto-Protect du courrier électronique. Installez la fonction Auto-Protect du courrier électronique pour Lotus Notes. Installez la fonction Auto-Protect du courrier électronique pour Microsoft Exchange. Installez lla fonction Auto-Protect du courrier électronique pour Internet. Installez les fichiers de base de la fonction d'analyse proactive des menaces TruScan. Installez la fonction d'analyse proactive des menaces. Installez la fonction de Contrôle de l'application et de Contrôle des périphériques. Installez les fichiers de base de la fonction de protection contre les menaces réseau. Installez la fonction pare-feu. Fonctions parentes requises aucun aucun aucun SAVMain SAVMain, EMailTools SAVMain, EMailTools SAVMain, EMailTools aucun PTPMain, SAVMain PTPMain, ITPMain aucun IPTMain
208 Fonctions et propriétés d'installation de Symantec Endpoint Protection Propriétés d'installation du client Symantec Endpoint Protection Propriétés d'installation du client Symantec Endpoint Protection Tableau A-2 Propriétés d'installation du client Symantec Endpoint Protection Propriété Description RUNLIVEUPDATE=valeur Détermine si LiveUpdate est exécuté dans le cadre de l'installation, valeur étant l'une des valeurs suivantes : 1: Exécute LiveUpdate pendant l'installation (paramètre par défaut). 0: N'exécute pas LiveUpdate pendant l'installation. ENABLEAUTOPROTECT=valeur Par défaut, tous les clients Symantec Endpoint Protection d'un groupe reçoivent les dernières versions de tout le contenu et de toutes les mises à jour du produit. Si un groupe est configuré pour obtenir des mises à jour via un serveur de gestion, les clients ne reçoivent que les mises à jour que le serveur télécharge. Si la politique de contenu LiveUpdate autorise toutes les mises à jour mais que le serveur de gestion ne télécharge pas toutes les mises à jour, les clients reçoivent uniquement ce que le serveur télécharge. Détermine si Auto-Protect est activé pour le système de fichiers à la fin de l'installation, valeur étant l'une des valeurs suivantes : 1: Active Auto-Protect après l'installation (paramètre par défaut). 0: Désactive Auto-Protect après l'installation. SYMPROTECTDISABLED=valeur Détermine si la protection contre les interventions est activée dans le cadre de l'installation, où val représente l'une des valeurs suivantes : 1: Désactive la protection contre les interventions après l'installation. 0: Active la protection contre les interventions après l'installation. (paramètre par défaut) Paramètres de Windows Installer Les packages d'installation du client Symantec Endpoint Protection Manager utilisent les paramètres standard de Windows Installer, ainsi qu'un ensemble d'extensions pour l'installation et le déploiement des lignes de commande. Consultez la documentation de Windows Installer pour plus d'informations sur les paramètres standard de Windows Installer. Vous pouvez également exécuter msiexec.exe à partir d'une ligne de commande pour consulter la liste complète des paramètres.
Fonctions et propriétés d'installation de Symantec Endpoint Protection Paramètres de Windows Installer 209 Tableau A-3 Paramètres de Windows Installer Paramètre Symantec AntiVirus.msi Description Fichier d'installation Symantec AntiVirus.msi du client Symantec Endpoint Protection Manager. Si un fichier.msi contient des espaces, vous devez encadrer le nom du fichier par des guillemets s'il est utilisé avec /I ou /x. Requis Msiexec Exécutable de Windows Installer. Requis /I "nom du fichier msi" Installez le fichier.msi spécifié. Si le nom du fichier contient des espaces, vous devez encadrer le nom du fichier par des guillemets. Si le fichier.msi ne se trouve pas dans le répertoire à partir duquel vous exécutez Msiexec, spécifiez le nom du chemin d'accès. Si le nom du chemin d'accès contient des espaces, vous devez l'encadrer par des guillemets. Par exemple, msiexec.exe /I "C : chemin d'accès à Symantec AntiVirus.msi" Requis /qn /x "nom du fichier msi" Installation mode silencieux. Remarque : Lorsqu'un déploiement silencieux est utilisé, les applications qui se connectent à Symantec Endpoint Protection, telles que Microsoft Outlook et Lotus Notes doivent être redémarrées après l'installation. Désinstalle les composants spécifiés. Facultatif /qb Installation avec une interface utilisateur de base montrant la progression de l'installation. Facultatif /l*v nom_fichier_journal INSTALLDIR=chemin Crée un fichier journal détaillé, nom de fichier journal étant le nom du fichier à générer. Facultatif Définit un chemin d'accès personnalisé sur l'ordinateur cible, chemin étant le répertoire cible spécifié. Si le chemin d'accès comporte des espaces, utilisez des guillemets. Remarque : Le répertoire par défaut est C:\Program Files\Symantec Endpoint Protection Manager Facultatif
210 Fonctions et propriétés d'installation de Symantec Endpoint Protection Propriétés du Centre de sécurité Windows Paramètre REBOOT=valeur Description Contrôle le redémarrage de l'ordinateur après l'installation, valeur étant un argument valide. Les arguments valides sont les suivants : Forcer : Impose le redémarrage de l'ordinateur. Requis pour la désinstallation. Supprimer : Evite la majorité des redémarrages. ReallySuppress : Empêche tous les redémarrages en tant qu'élément de l'installation, même une installation silencieuse. Facultatif Remarque : Utilisez ReallySuppress pour supprimer un redémarrage quand vous effectuez une désinstallation silencieuse du client Symantec Endpoint Protection. ADDLOCAL= fonctionnalité Sélectionne les fonctionnalités à installer, fonctionnalité étant un composant ou une liste de composants. Si cette propriété n'est pas utilisée, toutes les fonctions applicables sont installées par défaut et les clients de messagerie AutoProtect sont installés uniquement pour les programmes de messagerie électronique détectés. REMOVE=fonctionnalité Pour ajouter toutes les fonctions appropriées pour les installations client, utilisez la commande ALL comme dans ADDLOCAL=ALL. Se reporter à "Fonctions du client Symantec Endpoint Protection" à la page 206. Remarque : Quand vous spécifiez une nouvelle fonction à installer, vous devez inclure le nom des fonctions déjà installées que vous voulez garder. Si vous ne spécifiez pas ces fonctionnalités, Windows Installer les désinstalle. En spécifiant des fonctions existantes, vous ne remplacez pas les fonctions installées. Pour désinstaller une fonctionnalité existante, utilisez la commande REMOVE. Facultatif Désinstalle un programme précédemment installé ou une fonctionnalité spécifique du programme installé, fonctionnalité pouvant être l'un des éléments suivants : Fonctionnalité : Désinstalle la fonctionnalité ou la liste de fonctionnalités de l'ordinateur cible. ALL : Désinstalle le programme et toutes les fonctionnalités installées. ALL est l'option par défaut si une fonction n'est pas spécifiée. Facultatif Propriétés du Centre de sécurité Windows Vous pouvez personnaliser les propriétés du Centre de sécurité Windows (WSC) pendant l'installation du client Symantec Endpoint Protection. Ces propriétés s'appliquent uniquement aux clients autonomes. Symantec Endpoint Protection Manager contrôle ces propriétés pour les clients gérés.
Fonctions et propriétés d'installation de Symantec Endpoint Protection A propos de l'utilisation du fichier journal pour rechercher les erreurs 211 Tableau A-4 Propriété Propriétés du Centre de sécurité Windows Description WSCCONTROL=valeur Contrôle le Centre de sécurité Windows où valeur est l'une des valeurs suivantes : 0: Ne pas contrôler (par défaut). 1: Désactiver une fois, lors de la première détection. 2: Toujours désactiver. 3: Restaurer si désactivé. WSCAVALERT=valeur Configure des alertes antivirus pour le Centre de sécurité Windows où valeur est l'une des valeurs suivantes : 0: Activer. 1: Désactiver (par défaut). 2: Ne pas contrôler. WSCFWALERT=valeur Configure des alertes de pare-feu pour le Centre de sécurité Windows où valeur est l'une des valeurs suivantes : 0: Activer. 1: Désactiver (par défaut). 2: Ne pas contrôler. WSCAVUPTODATE=valeur DISABLEDEFENDER=valeur Configure le délai de péremption des définitions antivirus pour le Centre de sécurité Windows où valeur est l'une des valeurs suivantes : 1-90: Nombre de jours (30 par défaut). Détermine s'il faut désactiver Windows Defender pendant l'installation, où valeur est l'une des valeurs suivantes : 1: Désactive Windows Defender (paramètre par défaut). 0: Ne désactive pas Windows Defender. A propos de l'utilisation du fichier journal pour rechercher les erreurs Windows Installer et l'assistant de déploiement créent des fichiers journaux qui peuvent être utilisés pour vérifier si une installation a réussi. Les fichiers journaux répertorient les composants correctement installés et contiennent des informations détaillées sur le package d'installation. Les fichiers journaux constituent un outil de dépannage efficace dans le cas où une installation échoue.
212 Fonctions et propriétés d'installation de Symantec Endpoint Protection Identification du point d'échec d'une installation Si l'installation réussit, les fichiers journaux contiennent une entrée pour le signaler, près de la fin. Si l'installation échoue, une entrée indique que l'installation a échoué. En général, recherchez Value 3 pour trouver les échecs. Spécifiez le fichier journal et son emplacement avec le paramètre nommé /l*v <nom du fichier journal>. Le fichier journal (vpremote.log) qui est créé quand vous utilisez l'assistant de déploiement se trouve dans le répertoire \\Windows\temp. Remarque : Chaque fois que le package d'installation est exécuté, le fichier journal est remplacé par une nouvelle version. Identification du point d'échec d'une installation Le fichier journal peut vous aider à identifier le composant ou l'action responsable de l'échec d'une installation. Si vous ne pouvez pas déterminer la raison de l'échec de l'installation, conservez le fichier journal. Fournissez ce fichier au support technique de Symantec s'il vous est demandé. Pour identifier le point d'échec d'une installation 1 Dans un éditeur de texte, ouvrez le fichier journal que l'installation a généré. 2 Cherchez la ligne suivante : Value 3 L'action qui s'est produite avant la ligne contenant cette entrée est probablement à l'origine de l'échec. Les lignes qui apparaissent après cette entrée sont des composants qui ont été restaurés du fait de l'échec de l'installation. Exemples de ligne de commande pour l'installation du client Tableau A-5 Exemples de ligne de commande Tâche Ligne de commande Installez silencieusement tous les composants de client Symantec Endpoint Protection avec des paramètres par défaut dans le répertoire C:\SFN. Supprimez un redémarrage de l'ordinateur et créez un fichier journal détaillé. msiexec /I "Symantec AntiVirus.msi" INSTALLDIR=C:\SFN REBOOT=ReallySuppress /qn /l*v c:\temp\msi.log
Fonctions et propriétés d'installation de Symantec Endpoint Protection Exemples de ligne de commande pour l'installation du client 213 Tâche Installez silencieusement le client Symantec Endpoint Protection avec la protection antivirus et antispyware, ainsi que la protection contre les menaces réseau. Ligne de commande msiexec /I "Symantec AntiVirus.msi" ADDLOCAL=Core,SAVMain,EMailTools,OutlookSnapin, Pop3Smtp,ITPMain,Firewall /qn /l*v c:\temp\msi.log Créez un fichier journal détaillé. L'ordinateur doit être redémarré pour mettre en oeuvre la protection contre les menaces réseau.
214 Fonctions et propriétés d'installation de Symantec Endpoint Protection Exemples de ligne de commande pour l'installation du client
Annexe B Reprise après incident Cette annexe traite des sujets suivants : Préparation à la reprise après incident Effectuer la reprise après incident Restauration de Symantec Endpoint Protection Manager Restaurer le certificat de serveur Restauration des communications client Préparation à la reprise après incident Vous préparez la reprise après incident en collectant des fichiers et des informations pendant et après l'installation de Symantec Endpoint Protection Manager. Par exemple, vous devez documenter votre mot de passe de chiffrement pendant l'installation. Vous devez rechercher votre fichier keystore et le déplacer vers un emplacement sécurisé. Se reporter à "Effectuer la reprise après incident" à la page 217. Tableau B-1 Etapes de niveau élevé pour préparer la reprise après incident Etape Opération Description Etape 1 Sauvegardez votre base de données de façon régulière, de préférence toutes les semaines et enregistrez les sauvegardes hors - site. L'emplacement de sauvegarde du répertoire de base de données est \\Program Files\Symantec\Symantec Endpoint Protection Manager\data\backup. Le fichier de sauvegarde est nommédate_timestamp.zip.
216 Reprise après incident Préparation à la reprise après incident Etape Etape 2 Etape 3 Etape 4 Etape 5 Opération Recherchez votre fichier de keystore et votre fichier server.xml. Créez et ouvrez un fichier texte avec un éditeur de texte. Nommez le fichier Backup.txt ou un nom semblable. Ouvrez server.xml, localisez le mot de passe de keystore et storepass, copiez-le et collez-le dans le fichier texte. Laissez le fichier texte ouvert. Copiez et collez le fichier sylink.xml. Ouvrez chaque fichier sylink.xml, localisez l'iddomain, copiez-le et collez-le dans le fichier Backup.txt. Description Pendant l'installation, ces fichiers ont été sauvegardés dans le répertoire nommé \\Program Files\Symantec Endpoint Protection Manager\Server Private Key Backup. Le nom du fichier keystore est keystore_ timestamp.jks. Le keystore contient les paires de clé privées/publiques et le certificat auto-signé. Le nom de fichier server.xml est server_timestamp.xml. Vous pouvez également sauvegarder ces fichiers à partir du volet Admin de la console du serveur de gestion. Le mot de passe est utilisé pour le storepass et le keypass. Storepass protège le fichier JKS. Keypass protège la clé privée. Vous entrez ces mots de passe pour restaurer le certificat. La chaîne de mot de passe ressemble au keystorepass= " WjCUZx7kmX$qA1u1 ". Copiez et collez la chaîne qui se trouve entre les guillemets. N'incluez pas les guillemets. Si vous n'avez qu'un seul domaine, trouvez et copiez le fichier sylink.xml à partir d'un répertoire dans\\program Files\Symantec\Symantec Endpoint Protection Manager\data\outbox\agent\. Puis collez-le dans \\Program Files\Symantec\ Symantec Endpoint Protection Manager\Server Private Key Backup\. Si vous disposez de plusieurs domaines, recherchez et copiez un fichier sylink.xml sur un ordinateur client pour chaque domaine. Collez-le ensuite à l'emplacement suivant : \\Program Files\Symantec\ Symantec Endpoint Protection Manager\Server Private Key Backup. Les ID de domaine sont nécessaires si vous ne disposez pas d'une sauvegarde de la base de données. Cette ID se trouve dans le fichier sylink.xml sur les ordinateurs client dans chaque domaine. Vous ajoutez cette ID à un nouveau domaine que vous créez pour contenir vos clients existants. La chaîne dans le fichier sylink.xml ressemble à DomainId="B44AC676C08A165009ED819B746F1". Copiez et collez la chaîne qui se trouve entre les guillemets. N'incluez pas les guillemets.
Reprise après incident Effectuer la reprise après incident 217 Etape Opération Description Etape 6 Etape 7 Etape 8 Dans le fichier Backup.txt, saisissez le mot de passe de chiffrement que vous avez utilisé pendant l'installation du premier site dans votre réseau. Dans le fichier texte Backup.txt, saisissez l'adresse IP et le nom d'hôte de l'ordinateur qui exécute le serveur de gestion. Dans le fichier Backup.txt, indiquez le nom du site qui identifie le serveur de gestion. Enregistrez et fermez le fichier Backup.txt, qui contient maintenant les informations essentielles nécessaires pour la reprise après incident. Retapez cette clé lors de la réinstallation du serveur de gestion. Vous devez ressaisir la clé identique si vous n'avez pas une base de données sauvegardée à restaurer. Certes, ceci n'est pas nécessaire lorsque vous avez une base de données sauvegardée à restaurer, mais c'est une pratique recommandée. Si votre système connaît une panne matérielle grave, vous devez réinstaller le serveur de gestion sur un ordinateur possédant les mêmes adresse IP et nom d'hôte. Le nom du site n'est pas strictement nécessaire pour la réinstallation, cependant, il aide à créer une restauration cohérente. Etape 9 Copiez ces fichiers sur le support amovible et enregistrez le support dans un emplacement sécurisé, de préférence dans un coffre-fort. Après avoir sécurisé les fichiers, vous devez les supprimer de l'ordinateur qui exécute le serveur de gestion. Effectuer la reprise après incident Lorsque vous être prêt pour une reprise après incident, utilisez les étapes suivantes pour effectuer la reprise après incident. Se reporter à "Préparation à la reprise après incident" à la page 215. Tableau B-2 Etape Etape 1 Action Processus d'exécution de la reprise après incident Restaurer Symantec Endpoint Protection Manager Se reporter à "Restauration de Symantec Endpoint Protection Manager" à la page 218. Etape 2 Restaurer le certificat du serveur Se reporter à "Restaurer le certificat de serveur" à la page 218.
218 Reprise après incident Restauration de Symantec Endpoint Protection Manager Etape Etape 3 Action Restaurer les communications client La manière dont vous restaurez les communications client varie selon que vous avez ou non accès à une sauvegarde de la base de données. Se reporter à "Restauration des communications client" à la page 219. Restauration de Symantec Endpoint Protection Manager En cas de désastre, récupérez les fichiers qui ont été sécurisés après l'installation initiale. Ouvrez ensuite le fichier Backup.txt qui contient les mots de passe, les IDs de domaine, ainsi de suite. En cas de panne catastrophique du matériel, il pourrait être nécessaire de reconstruire l'ordinateur. Si vous reconstruisez l'ordinateur, vous devez lui attribuer l'adresse IP et le nom d'hôte initiaux. Ces informations devraient se trouver dans le fichier Backup.txt. Quand vous réinstallez le logiciel, utilisez le même mot de passe de chiffrement et autres paramètres que vous avez spécifiés pendant la première installation sur le serveur défaillant. Restaurer le certificat de serveur Le certificat de serveur est un keystore Java qui contient le certificat public et les paires de clé de privé-public. Vous devez entrer le mot de passe contenu dans le fichier Backup.txt. Ce mot de passe est également dans le fichier.xml initial server_timestamp. Pour restaurer le certificat de serveur 1 Ouvrez une session sur la console, puis cliquez sur Admin. 2 Dans le volet Admin, sous Tâches, cliquez sur Serveurs. 3 Sous Afficher les serveurs, agrandissez Site local, puis cliquez sur le nom d'ordinateur qui identifie le site local. 4 Sous Tâches, cliquez sur Gérer le certificat de serveur. 5 Dans l'écran d'accueil, cliquez sur Suivant. 6 Dans le panneau Gérer le certificat de serveur, cochez Mettre à jour le certificat de serveur, puis cliquez sur Suivant.
Reprise après incident Restauration des communications client 219 7 Sous Sélectionner le type de certificat à importer, cochez Keystore JKS, puis cliquez sur Suivant. Si vous avez mis en oeuvre l'un des autres types de certificat, sélectionnez ce type. 8 Dans le volet Keystore JKS, cliquez sur Parcourir, localisez et sélectionnez votre fichier keystore sauvegardé keystore_horodatage.jks, puis cliquez sur OK. 9 Ouvrez votre fichier texte de reprise après incident, puis sélectionnez et copiez le mot de passe keystore. 10 Activez la boîte de dialogue Keystore JKS, puis collez le mot de passe de keystore dans les zones de texte keystore et clé. Le seul mécanisme de collage pris en charge est Ctrl + V. 11 Cliquez sur Suivant. Si vous recevez un message d'erreur qui indique que vous avez un fichier keystore erroné, vous avez probablement saisi des mots de passe erronés. Réessayez de copier et coller le mot de passe. Ce message d'erreur est erroné. 12 Dans le panneau Terminer, cliquez sur Terminer. 13 Fermez la session de console. 14 Cliquez sur Démarrer > Paramètres > Panneau de contrôle > Outils d'administration > Services. 15 Dans la fenêtre Services, cliquez avec le bouton droit de la souris sur Symantec Endpoint Protection Manager, puis cliquez sur Arrêter. Ne fermez pas la fenêtre Services jusqu'à ce que vous ayez terminé la reprise après incident et rétabli les communications client. 16 Cliquez avec le bouton droit de la souris sur Symantec Endpoint Protection Manager, puis cliquez sur Démarrer. En arrêtant et en démarrant Symantec Endpoint Protection Manager, vous restaurez entièrement le certificat. Restauration des communications client Si vous avez accès à une sauvegarde de la base de données, vous pouvez restaurer cette base de données et reprendre les communications client. La restauration avec une sauvegarde de la base de données présente l'avantage que vos clients réapparaissent dans leurs groupes et sont soumis aux politiques initiales. Si vous n'avez pas accès à une sauvegarde de la base de données, vous pouvez néanmoins récupérer les communications avec vos clients, mais elles apparaissent dans le
220 Reprise après incident Restauration des communications client groupe Temporaire. Vous pouvez alors recréer votre groupe et votre structure de politique. Se reporter à "Restaurer les communications client avec une sauvegarde de base de données" à la page 220. Se reporter à "Restaurer les communications client sans sauvegarde de base de données" à la page 221. Restaurer les communications client avec une sauvegarde de base de données Il est impossible de restaurer une base de données sur un ordinateur qui exécute un service Symantec Endpoint Protection Manager actif. Vous devez l'arrêter et le redémarrer plusieurs fois. Avertissement : Lorsque vous restaurez une sauvegarde de base de données, vous devez utiliser la même version de du serveur de gestion utilisée pour créer la sauvegarde. Pour restaurer les communications client avec une sauvegarde de base de données 1 Si vous avez fermé la fenêtre Services, cliquez sur le Démarrer > Paramètres > Panneau de contrôle > Outils d'administration > Services. 2 Dans la fenêtre Services, cliquez avec le bouton droit de la souris sur Symantec Endpoint Protection Manager, puis cliquez sur Arrêter. Ne fermez pas la fenêtre Services jusqu'à ce que vous ayiez terminé avec cette procédure. 3 Créez le répertoire suivant : \\Program Files\Symantec\Symantec Endpoint Protection Manager\data\backup 4 Copiez votre fichier de sauvegarde de base de données dans le répertoire. Par défaut, le fichier de sauvegarde de la base de données est nommé date_timestamp.zip. 5 Cliquez sur Démarrer > Programmes > Symantec Endpoint Protection Manager > Sauvegarde et restauration de la base de données. 6 Dans la boîte de dialogue Database Backup and Restore, cliquez sur Restaurer.
Reprise après incident Restauration des communications client 221 7 Dans la boîte de dialogue Site de restauration, sélectionnez le fichier de sauvegarde que vous avez copié dans le répertoire de sauvegarde, puis cliquez sur OK. Le temps de restauration de la base de données dépend de la taille de votre base de données. 8 Lorsque l'invite Message s'affiche, cliquez sur OK. 9 Cliquez sur Quitter. 10 Cliquez sur Démarrer > Programmes > Symantec Endpoint Protection Manager > Assistant de configuration du serveur de gestion. 11 Dans le panneau d'accueil, cochez Reconfigurer le serveur de gestion puis cliquez sur Suivant. 12 Dans le panneau Informations du serveur, modifiez les valeurs d'entrée s'il est nécessaire de les faire correspondre aux entrées précédentes, puis cliquez sur Suivant. 13 Dans le panneau Choix du serveur de base de données, vérifiez que le type de base de données correspond au type précédent, puis cliquez sur Suivant. 14 Dans le panneau Informations de base de données, modifiez et insérez des valeurs d'entrée de manière à ce qu'elles correspondent aux entrées précédentes, puis cliquez sur Suivant. La configuration dure quelques minutes. 15 Dans la boîte de dialogue Configuration terminée, cliquez sur Terminer. 16 Connectez-vous à la console. 17 Cliquez avec le bouton droit de la souris sur vos groupes, puis cliquez sur Exécuter la commande sur le groupe > Actualiser le contenu. Si les clients ne réagissent pas après environ une demi- heure, redémarrez les clients. Restaurer les communications client sans sauvegarde de base de données Pour chaque domaine que vous utilisez, vous devez créer un nouveau domaine et réinsérer le même ID de domaine dans la base de données. Ces IDs de domaine se trouvent dans le fichier texte de reprise après incident, s'ils ont été saisis dans ce fichier. Le domaine par défaut est le domaine Système. Il est recommandable de créer un nom de domaine identique au nom de domaine précédent. Pour recréer le domaine par défaut, ajoutez une certaine valeur telle
222 Reprise après incident Restauration des communications client que _2 (Système_2). Une fois les domaines restaurés, vous pouvez supprimer l'ancien domaine par défaut. Nommez le nouveau domaine Système. Pour restaurer les communications client sans une sauvegarde de base de données 1 Connectez-vous à la console. 2 Dans la console, cliquez sur Admin. 3 Dans le volet Administrateur système, cliquez sur Domaines. 4 Sous Tâches, cliquez sur Ajouter domaine. 5 Cliquez sur Avancé. 6 Ouvrez votre fichier texte de reprise après incident, puis sélectionnez et copiez l'identifiant du domaine et collez-la dans la zone de l'identifiant du domaine. 7 Cliquez sur OK. 8 (Facultatif) Reprenez la procédure pour chaque domaine à récupérer. 9 Sous Tâches, cliquez sur Administrer domaine. 10 Cliquez sur Oui dans la boîte de dialogue Administrer le domaine. 11 Cliquez sur OK. 12 Redémarrez tous les ordinateurs client. Les ordinateurs s'affichent dans le groupe Temporaire. 13 (Facultatif) si vous utilisez un seul domaine, supprimez le domaine Système inutilisé et renommez le domaine nouvellement créé Système.
Index A Adresses IP et création d'un fichier texte pour l'installation 114 Assistant de déploiement importation des listes d'ordinateurs 114 ports utilisés par 171 utilisation pour la migration de produit Symantec 170 Assistant Déploiement en mode 'push' déploiement du logiciel client avec 111 B basculement et répartition de charge configuration 86 installation 84 base de données installation de la base de données intégrée 66 installation de Microsoft SQL 76 migration 142 base de données intégrée installation 66 paramètres d'installation 65 C caractères non anglais, prise en charge 44 Client Linux 41 client Mac déploiement 105 installation silencieuse 105 migrations prises en charge 156 Client Symantec AntiVirus pour Linux 41 client, installation à propos 100 configuration et déploiement pour la première fois Mac 104 Windows 102 Préparation des ordinateurs qui exécutent Windows Vista et Windows Server 2008 56 préparation des ordinateurs qui exécutent Windows XP 56 clients autonomes migration de Symantec 175 migration Symantec avec packages exportés 177 clients non gérés installation 106 Clients Symantec Endpoint Protection fonctions de MSi 206 Propriétés Msi 208 communication et ports requis 50 composants produit 19 conditions requises prise en charge des langues non anglaises 44 configuration système requise 25 à propos 25 pour la console Symantec Endpoint Protection 32 pour la console Symantec Endpoint Protection Manager et la base de données 26 pour Symantec Endpoint Protection 35 pour Symantec Endpoint Protection Manager et la console 30 Contrôle de compte d'utilisateur et préparation des ordinateurs qui exécutent Windows Vista 56 D dépannage avec Rechercher les ordinateurs non gérés 112 Contrôle de compte d'utilisateur sous Vista et GPO 121 ports à ouvrir pour les migrations Symantec héritées 171 utilisation des fichiers journaux d'installation 211 Windows XP dans le déploiement des groupes de travail 56 déploiement avec Rechercher les ordinateurs non gérés 112 client Mac 105
224 Index packages client avec l'assistant Déploiement en mode 'push' 111 packages client d'un lecteur mappé 111 désinstallation comment désinstaller la base de données 97 logiciel client 127 logiciel client avec GPO Active Directory 125 logiciel client sur Windows Server 2008 Server Core 127 Symantec Endpoint Protection Manager 97 F fichier keystore localiser pour la reprise après incident 216 I ID de domaine détection 216 remplacement 221 installation à propos des paramètres de la base de données intégrée 65 avec Active Directory Group Policy Object 118 avec une base de données Microsoft SQL Server 76 basculement et répartition de charge 84 client Mac 104 105 client via Active Directory 118 composants de protection 100 configuration requise 25 configuration réseau et système requise 25 console Symantec Endpoint Protection Manager uniquement 80 création d'un fichier texte contenant des adresses IP à importer 114 Exemples de ligne de commande MSI 212 logiciel client sur Windows Server 2008 Server Core 108 options du logiciel client non géré 106 Paramètres de configuration de Microsoft SQL Server 70 pare-feux client 50 ports de communication 50 Préparation des ordinateurs qui exécutent Windows Vista et Windows Server 2008 56 préparation des ordinateurs qui exécutent Windows XP 56 préparer des ordinateurs client à 57 Propriétés du Centre de sécurité Windows MSI 210 quarantaine centralisée 129 réplication 94 serveur avec une base de données intégrée 65 utilisation des commandes MSI 205 utiliser des produits tiers 116 via une connexion au bureau à distance 57 Installation client, packages création 109 déployer d'un lecteur mappé 111 générés lors de la migration 168 installation des clients 32 bits et 64 bits à propos 101 installation distante et port TCP 139 50 installation silencieuse client Mac 105 internationalisation conditions 44 L LiveUpdate à propos de l'utilisation d'un serveur 133 architectures réseau qui le prennent en charge 133 logiciel client Symantec Sygate hérité à propos de la migration 185 M microdefs à propos de 148 Microsoft Active Directory configurer des modèles 123 création de l'image d'installation administrative 119 installer le logiciel client avec Group Policy Object 118 utilisation pour le déploiement client 116 Microsoft SMS déploiement de fichiers de définition de package 116 utilisation pour le déploiement client 116 Microsoft SQL Server mise à niveau vers 87 paramètres de configuration de base de données 70 Microsoft Virtual Server prise en charge 48
Index 225 migration chemins d'accès Symantec Sygate non pris en charge 185 chemins d'accès Symantec Sygate pris en charge 185 client Mac 156 clients autonomes 175 clients autonomes avec packages exportés 177 consoles de gestion à distance Symantec Sygate 197 effectuer une migration du serveur et des groupes de clients Symantec 172 exportation d'une liste de noms d'ordinateurs client hérités à migrer 169 groupes et paramètres 152 itinéraires pris en charge et non pris en charge 155 logiciel client Symantec Sygate hérité 185, 199 logiciels Symantec Sygate hérités 183 modules d'application Enforcer 188 ports à ouvrir sur les ordinateurs client 171 préparation des installations de produits Symantec héritées 157 préparation des ordinateurs client Symantec pour 172 préparer les installations héritées Symantec 10.x/3.x 161 Procédures de serveur de gestion Symantec Sygate 192 Quarantaine centralisée 157 Scénarios Symantec Sygate 188 Serveur Symantec, groupes de clients et paramètres 163 164 Symantec AntiVirus et Symantec Client Security 152 Symantec AntiVirus pour Macintosh 174 Symantec Network Access Control 5.1 187 utilisation des fichiers CD 176 Migration de Symantec Enforcement Agent 5.1 187 migration de Symantec Network Access Control 5.1 187 migrations bloquées 155 mise à niveau vers une base de données SQL Server 87 mises à niveau d'enforcer 188 MSI exemples de ligne de commande 212 Msi fonctions et propriétés 203 installation en utilisant des paramètres de ligne de commande 205 priorité de traitement avec setaid.ini 204 MSP lorsque vous l'utilisez pour mettre à jour le logiciel client 148 N Novell ZENworks 116 O Outil de déploiement de client Rechercher les ordinateurs non gérés 112 outils de déploiement tiers 116 P packages d'installation client 32 bits et 64 bits 101 déploiement avec l'assistant Déploiement en mode 'push' 111 Pare-feu Windows désactiver 55 Pare-feu Windows Vista 55 Pare-feux Windows et pare-feux Symantec 54 utilisation 54 ports conditions requises pour l'installation 50 conditions requises pour les communications 50 Préparation de Windows Vista 56 produit à propos de 17 composants 19 fonctions principales 23 Q Quarantaine centralisée configuration de serveurs et de clients 132 installation 129 R redémarrages d'ordinateur 58 répartition de charge 80 repli 80 réplication 80 configuration 94, 96
226 Index reprise après incident à propos du processus 217 préparation à 215 restauration des communications client 219 restauration du certificat de serveur 218 restauration du serveur de gestion 218 restauration de certificat de serveur 218 créer un script de démarrage 123 fonctions et propriétés 203 paramètres 208 S serdef.dat 175, 177 serveurs Web utilisés par Symantec Endpoint Protection Manager 79 setaid.ini configurer 204 priorité de traitement avec des fonctions et des propriétés MSI 204 Sylink.xml 216 conversion d'un client en un client géré 120 Symantec Administration Console for Macintosh préparation à la migration de produit 174 Symantec Endpoint Protection mise à niveau vers 149 Symantec Endpoint Protection Manager serveurs Web utilisés par 79 Symantec Network Access Control mise à niveau vers 149 Symantec Protection Center. Se reporter à Protection Center Symantec System Center préparer les paramètres pour les migrations de produit 10.x/3.x 161 préparer les paramètres pour toutes les migrations de produits hérités 158 système, configuration requise pour la console de quarantaine 42 pour le serveur de quarantaine centralisée 43 pour Symantec Network Access Control 39 pour VMware 46 T Tivoli 116 V VMware 46 W Windows Installer commandes 205