epolicy Orchestrator version 3.5 Guide de référence rapide /KUGU LQWT FG RTQFWKVU /KUGU LQWT FG HKEJKGTU  3ERVEUR DE BASE DE DONNÏES 3ITE DE TÏLÏCHARGEMENT DE -C!FEE 1 2 4.OTIFICATION DES MENACES 2ÏFÏRENTIEL MAÔTRE ET SERVEUR E0OLICY /RCHESTRATOR 6 5 #APTEUR DE DÏTECTION DES SYSTÒMES NON FIABLES #APTEUR DE DÏTECTION DES SYSTÒMES NON FIABLES /KUGU LQWT FG UVTCVÃIKGU 'XÃPGOGPVU FG OGPCEGU 2ÏFÏRENTIEL DE MISE Ì JOUR /KUGU LQWT FG RTQFWKVU /KUGU LQWT FG HKEJKGTU  3 #ONSOLES DISTANTES 2ÏFÏRENTIEL DE MISE Ì JOUR /KUGU LQWT FG RTQFWKVU /KUGU LQWT FG HKEJKGTU  7 3YSTÒMES GÏRÏS AVEC AGENTS 3YSTÒMES GÏRÏS AVEC AGENTS Gestion évolutive de la sécurité des systèmes à l échelle de l entreprise 1 Serveur epolicy Orchestrator Pièce centrale de votre environnement 2 Référentiel maître L emplacement de stockage centralisé des mises à 3 Consoles distantes Les consoles distantes permettent d accéder au géré, le serveur epolicy Orchestrator assure la distribution des stratégies de sécurité, le contrôle des mises à jour, le traitement des événements et l exécution des tâches pour l ensemble des systèmes gérés. jour et des signatures McAfee. Les référentiels de mise à jour fournissent aux systèmes gérés les mises à jour et les signatures spécifiées par l utilisateur depuis le référentiel maître. serveur epolicy Orchestrator ainsi qu aux rapports à partir d un autre système, afin de configurer des stratégies, de créer ou de modifier des tâches ou encore d exécuter des rapports. Notification des menaces Grâce à epolicy Orchestrator, vous pouvez être averti immédiatement d événements liés à la conformité et à la présence d une menace au sein de votre environnement par e-mail, pager, SMS ou via une interruption SNMP. Voir à ce propos la section Notification d événements spécifiques dans l environnement. 5 Référentiel de mise à jour Les référentiels de mise à jour sont distribués au sein de l environnement et permettent aux systèmes gérés d accéder facilement aux fichiers DAT, aux mises à jour et aux installations de produits à extraire. Suivant la configuration de votre réseau, vous serez peut-être amené à définir des référentiels distribués sur des serveurs HTTP ou FTP ou sur un partage UNC, voire à créer un référentiel de mise à jour sur chaque sous-réseau en convertissant un agent en référentiel SuperAgent. Pour plus d informations, voir la section Tenue à jour de vos systèmes. 6 Capteur de détection des systèmes non fiables Installé sur un système au sein de chaque sous-réseau, le capteur signale la présence des systèmes non fiables qui rejoignent l environnement et peut lancer une action automatique à entreprendre, par exemple, le déploiement d un agent sur ces nouveaux systèmes détectés. Voir la section Détection automatique des systèmes non fiables sur le réseau. 4 mcafee.com 6 7 Agent epolicy Orchestrator L agent sert d intermédiaire pour la transmission des informations et l application des stratégies entre le serveur epolicy Orchestrator et chaque système géré. Chaque agent extrait les mises à jour, assure la mise en œuvre des tâches, applique les stratégies et transfère les événements pour le système sur lequel il est déployé.
Détection automatique des systèmes non fiables sur le réseau Le succès de l application des stratégies et, donc, la réduction des risques encourus par l entreprise reposent sur la connaissance de tous les systèmes connectés au réseau. La fonctionnalité Détection des systèmes non fiables permet aux administrateurs epolicy Orchestrator de détecter des systèmes encore inconnus ou non gérés dès qu ils se connectent à leur réseau local. Le module de détection des systèmes non fiables effectue une écoute passive sur chaque sous-réseau afin d identifier les systèmes non gérés. Les administrateurs peuvent ainsi améliorer sensiblement la conformité des équipements à la politique de sécurité de l entreprise et réduire le nombre de sources de propagation de menaces ou de cibles d infection potentielles. A l aide de capteurs distribués, epolicy Orchestrator surveille constamment, en temps réel, la connexion de nouveaux systèmes au réseau local. Selon l état non fiable ou géré attribué à ces systèmes, epolicy Orchestrator peut fournir diverses réponses manuelles ou automatiques. Vérification de l état de vos systèmes 1 Dans le volet de la console, cliquez sur Détection des systèmes non fiables. 2 Sélectionnez l onglet Ordinateurs dans le volet de détails. 3 Pour afficher une vue d ensemble des systèmes ou sous-réseaux et leur état respectif, cliquez sur Synthèse. 4 Pour afficher la liste de tous les systèmes ainsi que leur état, cliquez sur Liste. Réponses automatiques en cas de détection d un système Les réponses automatiques s appuient sur des conditions prédéfinies qui, lorsqu elles se vérifient, déclenchent une action spécifiée. Voici quelques-unes des conditions pouvant être précisées : Adresse Adresse MAC ou IP. Nom Nom NetBIOS ou DNS. Informations sur le système d exploitation Plate-forme, famille de produits ou version du système d exploitation. Heure de détection Heure de la première ou de la dernière détection. Type non fiable Par exemple : géré, sans agent, avec agent inactif ou avec agent étranger. Etat Par exemple : exception, inactif, non fiable ou géré. Nom convivial Nom d un système (DNS, NetBIOS, IP ou MAC). Cette condition permet de distinguer un système spécifique pour une action précise. Elle est utile dans le cas, par exemple, où vous voulez distribuer un agent et appliquer une stratégie sur tous les systèmes se connectant à votre environnement, sauf si le système est géré par un autre serveur epolicy Orchestrator. Voici une liste non exhaustive des actions pouvant être appliquées : Envoyer un e-mail Envoie un e-mail aux destinataires sélectionnés pour les avertir que l événement s est produit. Ajouter à l arborescence epo Ajoute le système dans le Répertoire epolicy Orchestrator. Distribuer l agent epo Distribue l agent sur le système. Marquer pour action Identifie le système comme nécessitant une intervention manuelle de la part de l administrateur. Marquer comme exception Indique que le système ne nécessite aucune action. Détection automatique des systèmes non fiables La nouvelle fonctionnalité Détection des systèmes non fiables vous permet de configurer diverses réponses automatiques à adresser aux systèmes non fiables : Identifier et signaler les systèmes non gérés lorsqu ils se connectent sur le réseau Déployer un agent sur le système et appliquer les stratégies Placer le système, désormais géré, dans un site au sein du Répertoire Avertir les utilisateurs concernés des événements qui se sont produits Exécuter une ligne de commande prédéfinie
Assurance de la conformité des systèmes connectés au réseau Initialement commercialisé en février 2004 en tant que produit autonome, System Compliance Profiler est à présent intégré à epolicy Orchestrator 3.5. Il permet aux administrateurs d évaluer rapidement la présence de patchs de sécurité Microsoft et d applications ou de fichiers spécifiés. La gestion des profils est basée sur des règles (personnalisées par l administrateur ou modèles téléchargés depuis le site de McAfee) qui définissent la recherche d un fichier, d un service, d une clé de Registre ou d un numéro de patch Microsoft spécifique. System Compliance Profiler dispose également d une fonction d authentification des patchs (faisant appel aux codes de hachage MD5), qui garantit l intégrité absolue des patchs de sécurité Microsoft et évite ainsi toute usurpation d identité à ce niveau («patch spoofing»). Le degré d importance de la conformité est défini par l administrateur et peut être facilement surveillé grâce à des rapports de conformité graphiques détaillés. epolicy Orchestrator 3.5 est la première version d epolicy Orchestrator à intégrer System Compliance Profiler. Ce dernier a d ailleurs fait l objet de diverses améliorations, tant au niveau de l efficacité de l administration que de la convivialité, parmi lesquelles : Précision accrue grâce à une détection des redémarrages Interface utilisateur plus performante dans le cas de jeux de règles volumineux Rassemblement et tri des modèles personnalisés Règles System Compliance Profiler System Compliance Profiler utilise des règles pour déterminer la conformité des systèmes dans votre environnement. epolicy Orchestrator est livré avec plusieurs règles par défaut, mais vous pouvez en ajouter d autres ou personnaliser les règles existantes et la manière dont elles sont organisées. Ces règles peuvent en outre être facilement activées ou désactivées. Les groupes de règles suivants sont disponibles par défaut : Règles des patchs de sécurité Vérifient la conformité des systèmes en ce qui concerne les patchs Microsoft présents. Si vous souhaitez consulter ces règles, les activer ou les désactiver, voire en créer de nouvelles, cliquez sur le Répertoire dans l arborescence de la console, puis sélectionnez System Compliance Profiler Règles dans l onglet Stratégies situé dans le volet de détails supérieur. Sélection de règles System Compliance Profiler Affichage des résultats System Compliance Profiler Vous pouvez consulter les résultats des analyses System Compliance Profiler à l aide de la fonctionnalité de génération de rapports d epolicy Orchestrator. Ainsi, cinq modèles de rapport spécifiques à System Compliance Profiler sont livrés avec epolicy Orchestrator 3.5 : Synthèse sur l historique par gravité Synthèse de compatibilité/non-compatibilité Ordinateurs non conformes par nom d ordinateur Synthèse de non-conformité par groupe Synthèse de non-conformité par gravité Vous pouvez créer une règle dans la fonctionnalité Notifications epolicy Orchestrator pour qu un message soit envoyé lorsque System Compliance Profiler constate un problème de conformité. Rapport System Compliance Profiler Règles d infection Recherchent la présence de programmes malveillants («malware») sur vos systèmes. Règles des applications Identifient les systèmes sur lesquels des applications spécifiques ne sont pas installées (par exemple, Microsoft Internet Explorer 6 ou Office XP). Règles diverses Recherchent les systèmes sur lesquels sont installés des programmes spécifiques de messagerie instantanée ou de partage de fichiers peer-to-peer.
Notification d événements spécifiques dans l environnement Il est essentiel pour les professionnels de la sécurité de disposer d informations instantanées et proactives, en particulier lorsqu ils doivent contrôler la conformité des systèmes et les activités liées aux menaces. epolicy Orchestrator 3.5 comprend des fonctionnalités intégrées d alertes et de notification concernant la conformité, les menaces et les systèmes non fiables dans l environnement. Les administrateurs peuvent définir des seuils qui, lorsqu ils sont franchis, déclenchent l envoi d alertes critiques à des destinataires désignés par e-mail, SMS, pager ou via une interruption SNMP. Ces notifications ont trait à l activité des menaces, aux niveaux de conformité de la protection antivirus et aux connexions de systèmes non fiables. Les administrateurs peuvent également activer l exécution de commandes spécifiques de manière proactive (par exemple, RUN.EXE) lorsque les conditions d une règle sont remplies. Ces règles permettent d associer des événements spécifiques, mais aussi de définir le volume et la fréquence des événements reçus nécessaires au déclenchement des règles. Par exemple, vous pouvez définir une règle de telle sorte que les administrateurs soient avertis lorsque 1 000 événements de détection de virus se produisent en 60 minutes, ou encore chaque fois qu une tâche de réplication ou d extraction échoue. Création d une règle de notification d événements Même si plusieurs règles par défaut sont définies dans epolicy Orchestrator, vous pouvez en créer de nouvelles pendant la configuration de la fonctionnalité Notifications. Dans l arborescence de la console, sélectionnez Notifications puis l onglet Règles et cliquez sur Ajouter une règle pour démarrer l Assistant Ajout ou modification d une règle de notification. Cet Assistant vous permet de créer des règles qui envoient des messages de notification lorsqu elles sont déclenchées par des événements spécifiés au préalable. L Assistant comporte les cinq étapes suivantes : Description de la règle Cette page vous permet de nommer et de décrire la règle, de définir le site ou le groupe auquel cette règle s applique et de sélectionner la priorité de la règle afin de définir un indicateur adéquat sur les messages. Définition des filtres Cette page vous permet de sélectionner les catégories d événements qui déclenchent la règle. Ces catégories peuvent d ailleurs, si vous le souhaitez, être spécifiées par produit. Vous pouvez également indiquer si la règle s applique à des systèmes d exploitation pour postes de travail ou serveurs, ou les deux. Définition des seuils Cette page vous permet d indiquer les options d agrégation et de limitation relatives à la règle. Les options d agrégation permettent de spécifier le moment où la règle est déclenchée. Vous pouvez, par exemple, définir l envoi d un message de notification si le nombre d ordinateurs concernés dépasse un nombre donné, ou si le nombre d événements reçus au cours d une période définie dépasse un certain seuil. La limitation permet quant à elle de définir un intervalle au cours duquel vous ne souhaitez pas recevoir plus d un message de notification pour le type d événement spécifié dans la règle. Le recours à l agrégation et à la limitation permet d économiser de la bande passante et d éviter d encombrer vos boîtes aux lettres avec des messages superflus. Par exemple, vous pouvez configurer une règle de détection de virus afin d envoyer une notification si le nombre d ordinateurs infectés est au moins égal à 500, ou si le nombre d événements atteint 1 000, le premier des deux seuils dépassé en une heure déclenchant la règle. Vous pouvez également préciser que cette règle doit envoyer au maximum un message toutes les cinq heures. Création des notifications Cette page vous permet de préciser les messages à envoyer, leur type et leurs destinataires. Vous pouvez également spécifier d éventuelles commandes externes à exécuter en cas de déclenchement de la règle. Affichage de la synthèse Cette page affiche la synthèse de la configuration de la règle. C est à ce stade que vous pouvez choisir d activer ou non la règle. Affichage d une synthèse ou d une liste de toutes les notifications La fonctionnalité Notifications epolicy Orchestrator conserve un journal des messages de notification générés, que vous pouvez consulter sous la forme d une synthèse ou d une liste. Quelle que soit la vue choisie, vous pouvez à tout moment décider de trier les informations en fonction de divers éléments. Par exemple, dans la vue de synthèse, vous pouvez trier les informations affichées par produit, catégorie, priorité ou nom de règle. De même, les informations disponibles dans la liste des notifications peuvent être filtrées suivant divers critères, tels que les systèmes, les contrôleurs de domaine, etc. Pour afficher le journal des notifications : 1 Sélectionnez Notifications dans l arborescence de la console. 2 Sélectionnez l onglet Journal dans le volet de détails. 3 Cliquez au choix sur Synthèse ou sur Liste. 4 Sélectionnez l heure, le site ou la catégorie en fonction desquels vous souhaitez limiter l affichage des notifications dans le journal.
Intégration d Active Directory à la gestion du Répertoire La détection des systèmes et l efficacité de l administration sont deux objectifs de premier ordre d epolicy Orchestrator 3.5. Aussi, les entreprises qui ont investi dans Microsoft Active Directory seront tout particulièrement sensibles au fait qu epolicy Orchestrator 3.5 permet à leurs administrateurs de simplifier le contrôle des modifications dans les environnements Active Directory. Ils disposent pour cela de deux outils : l Assistant d importation Active Directory et la tâche de recherche d ordinateurs Active Directory. Recherche d ordinateurs Active Directory Si vous avez déjà créé votre Répertoire epolicy Orchestrator, la tâche de recherche d ordinateurs Active Directory vous permet d y introduire de nouveaux systèmes, que vous les ayez créés à l aide de l Assistant d importation Active Directory ou dans une version antérieure d epolicy Orchestrator. Configuration de la tâche de recherche d ordinateurs Active Directory Par l utilisation conjointe de ces deux outils, il est possible de créer un Répertoire epolicy Orchestrator et d en assurer la maintenance directement à partir d Active Directory. Si vous effectuez une mise à niveau depuis une version antérieure d epolicy Orchestrator, vous constaterez par vous-même que le gain de temps est appréciable. L Assistant d importation Active Directory et la tâche de recherche d ordinateurs Active Directory permettent tous deux de définir n importe quel sous-conteneur Active Directory comme exception. En d autres termes, si vous ne voulez pas qu un ou plusieurs groupes d ordinateurs organisés en sous-conteneurs distincts soient gérés par epolicy Orchestrator, vous pouvez les exclure de la gestion. Importation Active Directory L Assistant d importation Active Directory vous offre la possibilité de créer entièrement le Répertoire epolicy Orchestrator ou, par la suite, des sites complets. Cet outil importe directement les systèmes depuis Active Directory vers la racine ou un site du Répertoire epolicy Orchestrator, recréant à l identique la structure extraite d Active Directory. Pour démarrer l Assistant, cliquez avec le bouton droit sur le Répertoire dans l arborescence de la console, puis sélectionnez Toutes les tâches Importer Active Directory. Lorsque l Assistant s affiche, cliquez sur Suivant pour commencer. Nouveaux sites placés dans le groupe Lost&Found Lorsqu elle a achevé le mappage des conteneurs Active Directory vers les sites du Répertoire, cette tâche interroge régulièrement les conteneurs Active Directory, selon un intervalle défini par l administrateur, pour vérifier si de nouveaux ordinateurs ont rejoint le réseau. La tâche importe alors tout nouveau système dans le groupe Lost&Found du site correspondant au conteneur Active Directory dans lequel le système a été détecté. En outre, comme le groupe Lost&Found reproduit la structure du Répertoire, l emplacement des systèmes dans ce groupe indique le site ou le groupe dans lequel vous devrez les déplacer dès qu ils disposeront d agents opérationnels. Par l association de l Assistant d importation et de la tâche de recherche, toute la puissance d Active Directory peut être exploitée dans la gestion de votre Répertoire epolicy Orchestrator. Une fois les ordinateurs importés dans le groupe Lost&Found du Répertoire epolicy Orchestrator, vous pouvez facilement y déployer des agents, puis déplacer l ensemble de la structure du groupe Lost&Found vers la racine de l arborescence, créant ainsi votre propre Répertoire epolicy Orchestrator géré.
Tenue à jour de vos systèmes L un des aspects les plus complexes de la gestion proactive d une politique de sécurité consiste à maintenir l ensemble des systèmes à jour, de façon à ce qu ils disposent des dernières protections en date. epolicy Orchestrator 3.5 a été conçu pour faciliter la tenue à jour des logiciels de sécurité installés sur les systèmes de votre réseau. Il permet en effet la configuration d infrastructures de mise à jour distinctes pour divers environnements, voire différentes parties d un même environnement. Quelle que soit la méthode utilisée, le processus de mise à jour peut être automatisé ou lancé manuellement. epolicy Orchestrator peut gérer la mise à jour des éléments suivants : Signatures et moteurs Par exemple, les signatures IDS, les fichiers de signatures de virus (DAT) et les règles System Compliance Profiler. Patchs et Service Packs Pour les produits McAfee gérés, et même Norton AntiVirus. Vous pouvez configurer des référentiels SuperAgents ou distribués pour répondre à vos besoins spécifiques en termes de mise à jour. Vous pouvez en outre sélectionner les types de mise à jour que vous souhaitez déployer (fichiers DAT, moteur, produits ou patchs) et ce, quel que soit le type de référentiel utilisé. Référentiels SuperAgents et mise à jour globale L emploi de référentiels SuperAgents et la fonctionnalité de mise à jour globale d epolicy Orchestrator garantit la mise à jour automatique de vos produits de sécurité informatique dès l archivage dans le référentiel maître de nouveaux fichiers DAT ou de mises à jour de produits spécifiques. Très rapide, cette méthode permet d actualiser jusqu à 50 000 systèmes clients en une heure. En outre, l utilisation de SuperAgents en tant que référentiels rend inutiles la création, la configuration ou l organisation de référentiels distribués complémentaires. Pour mettre en œuvre la fonctionnalité de mise à jour globale : Pour activer la mise à jour globale : 1 Sélectionnez le serveur epolicy Orchestrator dans l arborescence de la console. 2 Sélectionnez l onglet Paramètres dans le volet de détails. 3 Cliquez sur Oui en regard de Activer la mise à jour globale. 4 Sélectionnez les signatures, moteurs et produits que vous souhaitez inclure dans la mise à jour globale. Référentiels distribués Les référentiels distribués peuvent être stockés sur des serveurs HTTP et FTP ou sur des partages UNC. Ils permettent d étendre le processus de mise à jour à l ensemble de votre réseau, même si l organisation des sous-réseaux empêche a priori une répartition efficace de la charge de mise à jour. Les référentiels distribués reçoivent les packages de mise à jour depuis le référentiel maître à l exécution d une tâche de réplication. Par une tâche d extraction, les systèmes clients extraient ensuite les mises à jour contenues sur les référentiels distribués. Pour mettre en œuvre la fonctionnalité de mise à jour à l aide de référentiels distribués : 1 Déterminez les systèmes qui hébergeront les référentiels distribués. 2 Créez un référentiel sur chacun de ces systèmes (par exemple, un partage UNC). 3 Ajoutez le référentiel sur le serveur epolicy Orchestrator à l aide de l Assistant Ajout de référentiel. 4 Configurez et planifiez les tâches d extraction et de réplication, ou démarrez ces tâches manuellement. Sur chaque sous-réseau, activez un agent en tant que référentiel SuperAgent. Activez la mise à jour globale. Pour chaque système destiné à accueillir un référentiel SuperAgent : 1 Sélectionnez le système dans le Répertoire. 2 Dans l onglet Stratégies du volet de détails supérieur, sélectionnez Agent epolicy Orchestrator Configuration. 3 Dans le volet de détails inférieur, désactivez Hériter dans l onglet Général. Ensuite : a b c d Activez l option Activer la fonctionnalité du SuperAgent. Activez l option Activer le référentiel SuperAgent. Tapez le chemin d accès pour le référentiel. Cliquez sur Appliquer tout. Copyright 2004 Networks Associates Technology, Inc. Tous droits réservés. Document Build 01-FR NA-372-0023-FR-1 McAfee, Inc. Gatwickstraat 25 1043 GL Amsterdam Pays-Bas Tél. : +31 20 586 61 00 Fax : +31 20 586 61 01 mcafee.com