Guide d'administration Révision A McAfee Logon Collector 2.1
COPYRIGHT Copyright 2013 McAfee, Inc. Copie sans autorisation interdite. DROITS DE MARQUES McAfee, le logo McAfee, McAfee Active Protection, McAfee CleanBoot, McAfee DeepSAFE, epolicy Orchestrator, McAfee epo, McAfee EMM, Foundscore, Foundstone, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee Total Protection, TrustedSource, VirusScan, WaveSecure sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc. ou de ses filiales aux Etats Unis et dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs. Les noms et les descriptions des produits et fonctionnalités sont susceptibles d'être modifiés sans préavis. Pour en savoir plus sur les fonctionnalités et les produits les plus récents, accédez au site mcafee.com. INFORMATIONS DE LICENCE Accord de licence À L'ATTENTION DE TOUS LES UTILISATEURS : VEUILLEZ LIRE ATTENTIVEMENT L'ACCORD LÉGAL APPROPRIÉ CORRESPONDANT À LA LICENCE QUE VOUS AVEZ ACHETÉE, QUI DÉFINIT LES CONDITIONS GÉNÉRALES D'UTILISATION DU LOGICIEL SOUS LICENCE. SI VOUS NE CONNAISSEZ PAS LE TYPE DE LICENCE QUE VOUS AVEZ ACQUIS, CONSULTEZ LES DOCUMENTS DE VENTE, D'ATTRIBUTION DE LICENCE OU LE BON DE COMMANDE QUI ACCOMPAGNENT LE LOGICIEL OU QUE VOUS AVEZ REÇUS SÉPARÉMENT LORS DE L'ACHAT (SOUS LA FORME D'UN LIVRET, D'UN FICHIER SUR LE CD ROM DU PRODUIT OU D'UN FICHIER DISPONIBLE SUR LE SITE WEB À PARTIR DUQUEL VOUS AVEZ TÉLÉCHARGÉ LE PACKAGE LOGICIEL). SI VOUS N'ACCEPTEZ PAS TOUTES LES DISPOSITIONS DE CET ACCORD, NE PROCÉDEZ PAS À L'INSTALLATION DU LOGICIEL. LE CAS ÉCHÉANT, VOUS POUVEZ RETOURNER LE PRODUIT À MCAFEE OU À VOTRE REVENDEUR AFIN D'EN OBTENIR LE REMBOURSEMENT INTÉGRAL. 2 McAfee Logon Collector 2.1 Guide d'administration
Sommaire 1 Présentation de McAfee Logon Collector 7 Terminologies importantes.............................. 7 Contrôleurs de domaines et collecte des informations de connexions............. 7 Déploiement.................................... 8 Ports utilisés par Logon Collector........................... 10 Afficher l'aide en ligne............................... 10 2 Installation 11 Points clés pour l'installation............................. 11 Configuration requise................................ 11 Planification de l'installation.......................... 12 Configuration système requise......................... 12 Configuration requise relative à la résolution DNS................. 13 Installation de Logon Collector............................ 13 Téléchargement du logiciel.......................... 14 Installation du logiciel sous Windows Server................... 14 Désinstallation du logiciel........................... 17 Désinstallation de Microsoft SQL Server 2005 Express Edition............ 18 Accès à l'interface Web de Logon Collector....................... 18 Installation de Logon Collector comme extension de McAfee epo.............. 19 Conditions requises pour l'installation...................... 19 Installation de Logon Collector comme extension de McAfee epo........... 19 Restrictions................................. 23 Installation de Logon Monitor............................ 24 Installation de Logon Monitor......................... 24 Désinstallation de Logon Monitor........................ 25 3 Mise à niveau 27 Points clés pour une mise à niveau.......................... 27 Mise à niveau de la version 1.x.x à la version 2.1 du logiciel à l'aide du programme d'installation. 28 Mise à niveau de la version 2.0 à la version 2.1 du logiciel à l'aide du fichier ZIP de mise à niveau......................................... 29 Vérification de la mise à niveau............................ 29 4 Collecte des identités 31 A propos de la collecte d'identités........................... 31 Ajout d'un domaine à surveiller............................ 31 Ajout de Logon Monitor............................... 32 Ajout d'un certificat Logon Collector à Logon Monitor................ 33 Ajout de Logon Monitor............................ 33 Suppression de Logon Monitor......................... 34 Gestion des serveurs Exchange............................ 34 Ajout d'un serveur Exchange à un domaine surveillé................ 35 Suppression d'un serveur Exchange....................... 36 McAfee Logon Collector 2.1 Guide d'administration 3
Sommaire 5 Paramètres serveur 37 A propos des paramètres serveur........................... 37 Connexion d'utilisateurs Active Directory..................... 37 Tableaux de bord.............................. 38 Serveur de messagerie............................ 38 Certificat de réplication d'identité........................ 38 Paramètres Logon Monitor en local....................... 38 Paramètres avancés de MLC.......................... 40 Liste des adresses IP/groupes ignorés de MLC................... 42 Configurer l'adresse IP pour la communication client du serveur de Logon Collector.... 43 Expiration du délai de connexion de l'utilisateur MLC................ 44 Impression et exportation........................... 46 Certificat de serveur............................. 46 A propos des paramètres personnels......................... 47 Configuration de Logon Monitor............................ 47 Onglet Configuration............................. 48 Onglet Remote (Distant)........................... 48 Gestion des certificats de Logon Monitor via MMC.................. 49 Utilisation de NTLMv2 avec les moniteurs Logon Monitor............... 50 6 Haute disponibilité (Clustering) 53 Présentation.................................... 53 Fondamentaux de la configuration........................... 53 Conditions préalables pour Haute disponibilité................... 54 Configuration de la fonction Haute disponibilité.................. 55 Configuration de la fonction Haute disponibilité dans le réglage PKI.......... 59 Vérification de l'état de formation d'un cluster................... 60 Réplication des données de configuration........................ 62 Réplication des événements de connexion........................ 62 Restrictions.................................... 63 Désactivation d'un cluster.............................. 63 Reconfiguration d'un cluster............................. 64 7 Actualisation d'utilisateur et de groupe à la demande 65 MFS Scheduler 2.5................................. 66 Actualisation de groupe à la demande......................... 66 Options d'actualisation de groupe........................ 66 Actualisation des informations sur les utilisateurs à la demande............... 72 Options d'actualisation des informations sur les utilisateurs............. 72 Journal des tâches serveur............................. 78 8 Gestion des utilisateurs 79 Gestion d'utilisateurs................................ 79 Ajout ou modification d'un utilisateur...................... 79 Suppression d'un utilisateur.......................... 80 Gestion d'ensembles d autorisations.......................... 80 Création d'ensembles d'autorisations...................... 80 Suppression d'ensembles d'autorisations..................... 81 Duplication d'ensembles d'autorisations..................... 81 Gestion de contacts................................ 82 Ajout ou modification d'un contact....................... 82 Suppression d'un contact........................... 82 9 Rapports 83 A propos de la fenêtre Status (Etat).......................... 83 Affichage des utilisateurs connectés.......................... 84 4 McAfee Logon Collector 2.1 Guide d'administration
Sommaire Exportation du rapport de connexion...................... 85 Affichage du journal d'audit............................. 85 Exportation du journal d'audit......................... 86 Gestion de requêtes sur le journal d'audit....................... 86 Création d'un groupe de requêtes........................ 86 Suppression d'un groupe de requêtes...................... 87 Modification d'un groupe de requêtes...................... 87 Création de requêtes sur le journal d'audit.................... 87 Importation des requêtes du journal d'audit.................... 88 Actions de requête.............................. 88 Définition des critères de filtre............................ 89 Définition des critères d'export............................ 90 Affichage des tableaux de bord............................ 91 10 Intégration avec d'autres produits McAfee 93 Intégration avec McAfee Firewall Enterprise....................... 93 Conditions requises pour l'intégration...................... 93 Validation d'identité passive.......................... 94 Configuration du passeport passif........................ 94 Intégration avec McAfee Firewall Enterprise Control Center................. 94 Conditions requises pour l'intégration...................... 94 Intégration avec McAfee Network Security Manager................... 95 Avantages................................. 95 Termes importants.............................. 95 Conditions requises pour l'intégration...................... 95 Fonctionnement de l'intégration entre Logon Collector et McAfee Network Security Manager...................................... 96 Informations de configuration relatives à l'intégration de Logon Collector........ 96 Affichage des informations relatives à Logon Collector dans Threat Analyzer....... 98 Affichage des informations de Logon Collector dans les rapports de Network Security Manager...................................... 98 Intégration avec McAfee Data Loss Prevention...................... 98 Conditions requises pour l'intégration...................... 99 Utilisation des éléments utilisateur Active Directory................. 99 Utilisation de McAfee DLP sur les serveurs LDAP distants.............. 100 Utilisation de Logon Collector avec McAfee DLP.................. 100 Mode d'identification des utilisateurs par Logon Collector.............. 100 Paramétrer Logon Collector.......................... 101 Authentifier McAfee DLP Manager et Logon Collector................ 101 11 Evolutivité 103 Détails sur l'évolutivité............................... 103 12 Résolution de problèmes 105 Vérification des informations d'identification de domaine................. 105 Connexion à un contrôleur de domaine..................... 106 Exécution d'une requête de performances du CPU................. 109 Exécution d'une requête de journal antérieur................... 110 Exécution d'une requête de notification du journal ultérieur............. 111 Création d'un compte non-administrateur pour accéder au journal des événements de sécurité sur un contrôleur de domaine............................... 112 Création d'un compte sous Windows Server 2000................. 112 Ressources supplémentaires......................... 112 Journaux de Logon Monitor............................. 112 Messages internes............................. 113 Messages générés relatifs à la communication avec Logon Collector.......... 113 Messages liés à la communication Logon Monitor................. 113 McAfee Logon Collector 2.1 Guide d'administration 5
Sommaire Erreurs de contrôleur de domaine courantes................... 114 Journaux de Logon Collector............................ 114 Enregistrements du journal des erreurs de communication Active Directory de Logon Collector..................................... 115 Résoudre les problèmes de DNS........................ 115 Dépannage en cas d'échec de NSLookup..................... 116 Erreur lors de l'installation de Logon Collector 2.0 sous Windows Server 2008 R2....... 116 Erreur lors de la désinstallation de l'instance de base de données SQL relative à Logon Collector 116 Configuration de la page Database Settings (Paramètres de la base de données) pour se connecter au serveur SQL................................... 117 Utilisation élevée de la mémoire par lsass.exe..................... 117 de récupération dans le cadre de la limite de répertoire McAfee epo fixée à 10 000 objets........................................ 117 6 McAfee Logon Collector 2.1 Guide d'administration
1 Présentation 1 de McAfee Logon Collector Le logiciel McAfee Logon Collector a pour objet de surveiller les domaines Active Directory et de collecter des informations sur les connexions. Logon Collector interroge les contrôleurs des domaines Microsoft Active Directory sur les événements de connexion des utilisateurs, informations qu'il envoie ensuite aux appliances de sécurité pour mettre en corrélation le trafic du réseau et le comportement de l'utilisateur. Logon Collector est installé sur des serveurs Windows séparés pour communiquer avec Active Directory et il prend en charge le déploiement distribué. Le déploiement de Logon Collector ne nécessite pas de modification d'active Directory ni de son schéma, et ne requiert aucun agent. Les instances Logon Monitor peuvent permettre d'interroger les contrôleurs de domaine à proximité et de transmettre les informations collectées à Logon Collector, réduisant ainsi la distance que doit parcourir la communication vers les contrôleurs de domaine. Sommaire Terminologies importantes Contrôleurs de domaines et collecte des informations de connexions Déploiement Ports utilisés par Logon Collector Afficher l'aide en ligne Terminologies importantes Un domaine est un groupe logique de ressources identifiées sur un réseau d'utilisateurs, d'ordinateurs ou de services d'application. Ces ressources sont collectées pour le domaine dans un répertoire distribué, partagé par un groupe de contrôleurs de domaine. Les membres d'un domaine doivent s'authentifier une seule fois auprès du contrôleur de domaine le plus proche. Toutes les autres ressources du domaine sont rendues accessibles en fonction de leurs droits au sein du domaine. Une identité est l'ensemble des caractéristiques identifiant un utilisateur de manière unique. L'identité d'un utilisateur inclut le nom d'utilisateur, l'état d'authentification, l'appartenance à un ou plusieurs groupes, le groupe principal et l'adresse IP. L'utilisateur ou le groupe principal de systèmes peut être récupéré et transmis à des clients. Contrôleurs de domaines et collecte des informations de connexions Les applications Logon Collector et Logon Monitor interagissent avec des produits McAfee, notamment Firewall Enterprise et McAfee Network Security Platform pour collecter en permanence des informations d'identité. Ces informations sont utilisées pour associer des transactions de réseau à des identités réelles. McAfee Logon Collector 2.1 Guide d'administration 7
1 Présentation de McAfee Logon Collector Déploiement A chaque fois qu'un utilisateur se connecte au réseau ou demande un accès à une ressource contrôlée par un domaine, comme une imprimante, un serveur ou un partage de fichiers, le contrôleur de domaine crée une entrée dans un fichier journal spécifique et protégé, à savoir le Journal des événements de sécurité. Ce fichier journal est accessible à distance par des systèmes comme Logon Collector et Logon Monitor à travers une interface Microsoft appelée WMI (Windows Management Instrumentation). Pour alléger la charge imposée par les requêtes du journal des événements de sécurité sur un contrôleur de domaine (via WMI), Logon Collector ou Logon Monitor contacte le contrôleur de domaine pour les appliances McAfee qui nécessitent des informations du Journal des événements de sécurité. Ainsi, chaque contrôleur de domaine n'a qu'une seule connexion à gérer pour chaque appliance McAfee. Pour éviter les coûts élevés d'une surcharge de la liaison WMI, déployez les moniteurs Logon Monitors à proximité des contrôleurs de domaines de votre réseau. Ainsi, la plus grande partie du trafic, à savoir la communication WMI entre les contrôleurs de domaines et Logon Monitor, n'aura qu'une distance relativement courte à parcourir. La communication entre Logon Monitor et Logon Collector n'entraîne qu'une faible surcharge, pour un déploiement optimal de la collecte d'informations de connexions. Voir aussi Installation de Logon Monitor, page 24 Déploiement Logon Collector et Logon Monitor peuvent se connecter à plusieurs contrôleurs de domaines sur plusieurs niveaux de domaines et forêts. Chaque application Logon Collector peut être contactée par plusieurs clients et peut se voir attribuer plusieurs moniteurs Logon Monitors. Lors du déploiement des applications Logon Collector et Logon Monitor, prenez en compte ce qui suit : La surcharge du réseau de communication WMI peut s'avérer coûteuse. Cette communication WMI est établie entre le contrôleur de domaine et le moniteur Logon Monitor. McAfee conseille l'utilisation d'un seul moniteur Logon Monitor pour tous vos périphériques de sécurité McAfee afin de ne solliciter qu'une session WMI pour chaque contrôleur de domaine. McAfee conseille d'intégrer une application Logon Collector ou Logon Monitor locale sur les contrôleurs des domaines qu'elle surveille. La communication entre un moniteur Logon Monitor et l'application Logon Collector via une liaison WAN est souvent plus rapide que la communication entre le contrôleur de domaine et l'application Logon Collector via la même liaison WAN. Plus Logon Collector reçoit les informations rapidement, plus le client pourra associer une adresse IP à l'identité correspondante rapidement. Connectez les contrôleurs de domaine qui présentent une valeur ajoutée pour la stratégie de surveillance. Logon Monitor doit se connecter au contrôleur de domaine sur lequel les utilisateurs à surveiller se connectent. Par exemple, si vous surveillez un secteur du réseau comme New York et que vous ne voyez jamais d'utilisateurs de San Francisco, il vous faudra alors peut être surveiller les utilisateurs se connectant à un contrôleur de domaine de San Francisco. A l'inverse, si les utilisateurs de San Francisco utilisent des services dans le centre de données de New York que vous surveillez, il serait très intéressant pour vous de surveiller le journal des événements de sécurité du contrôleur de domaine de San Francisco et de déterminer l'identité de ces utilisateurs. 8 McAfee Logon Collector 2.1 Guide d'administration
Présentation de McAfee Logon Collector Déploiement 1 Profitez de l'infrastructure d'assistance informatique. Si votre infrastructure est administrée par différents groupes d'administrateurs système correspondant à l'architecture Windows déjà en place, il peut être intéressant de travailler avec eux. Les applications Logon Collector et Logon Monitor sont installées en tant que services sur Windows Server 2003 ou Windows Server 2008. L'administration de ces serveurs fait peut être déjà partie d'une stratégie d'administration du système plus vaste à laquelle vous devez vous conformer. Selon vos exigences de sécurité, vous devez peut être consacrer un Windows Server 2003 ou Windows Server 2008 à l'exécution de Logon Collector ou bien deux serveurs en mode Haute disponibilité. Si le serveur où est installé Logon Collector est compromis, cela peut amoindrir considérablement la fonctionnalité de votre architecture de sécurité. Le serveur où est installé Logon Collector ou Logon Monitor doit toujours être à jour. Pour ce faire, appliquez régulièrement les patchs de sécurité Microsoft. Pour renforcer ce serveur, il est également primordial de suivre les meilleures pratiques de sécurité de Microsoft. Dans la mesure du possible, l'accès à distance ou local au serveur de Logon Collector ou Logon Monitor doit être limité uniquement aux administrateurs. Suivez les instructions de la section Utilisation de NTLMv2 avec Logon Collector pour protéger les informations d'identification du serveur et utiliser uniquement des protocoles d'authentification sécurisés. Les contrôleurs de domaine peuvent être configurés de sorte que Logon Monitor accède au journal des événements de sécurité sans utiliser les informations de connexion d'administrateur. Ceci est recommandé. Reportez vous à la section Création d'un compte non administrateur pour accéder au journal des événements de sécurité sur un contrôleur de domaine. Figure 1-1 Déploiement de Logon Collector Voir aussi Utilisation de NTLMv2 avec les moniteurs Logon Monitor, page 50 A propos de la collecte d'identités, page 31 McAfee Logon Collector 2.1 Guide d'administration 9
1 Présentation de McAfee Logon Collector Ports utilisés par Logon Collector Ports utilisés par Logon Collector Les ports suivants doivent être activés sur votre réseau. Tableau 1-1 Tableau des ports de Logon Collector Port Type de port Utilisé pour 8443 Logon Collector HTTPS Port sécurisé du serveur web 8444 Logon Collector HTTPS Port d'autorisation du serveur web 61641 Logon Collector JMS Communication entre Logon Collector et des produits individuels (managés) Communication entre les membres du cluster Logon Collector 61613 Logon Collector JMS (STOMP) Communication entre Logon Collector et des produits individuels (managés) basés sur le client 2.0+ C 50443 Instance Logon Monitor locale ou à distance 389 Contrôleur de domaine (AD) TCP LDAP Communication entre Logon Collector et Logon Monitor Requête LDAP de Logon Collector au contrôleur de domaine Logon Collector ne peut fonctionner si vous avez activé le port SSL 636 sur les contrôleurs de domaine (Active Directory) et désactivé le port non SSL 389. Logon Collector n'est pas en mesure de se connecter au contrôleur de domaine (Active Directory) sur le port SSL 636. La communication WMI se fait entre Logon Monitor et le contrôleur de domaine. Afficher l'aide en ligne Pour afficher l'aide en ligne de Logon Collector, cliquez sur le point d'interrogation (?) de la barre de menus. L'aide en ligne comprend une table des matières et une fonctionnalité de recherche de texte complète. 10 McAfee Logon Collector 2.1 Guide d'administration
2 Installation 2 Cette section traite du processus d'installation de McAfee Logon Collector et Logon Monitor. Sommaire Points clés pour l'installation Configuration requise Installation de Logon Collector Accès à l'interface Web de Logon Collector Installation de Logon Collector comme extension de McAfee epo Installation de Logon Monitor Points clés pour l'installation Cette section décrit en détail les points clés à prendre en compte pour l'installation. Lors d'une première installation Logon Collector sur Windows Server 2008 R2, un message peut s'afficher indiquant la modification de la valeur de l'entrée de registre Windows NtfsDisable8dot3NameCreation à 0. Ce message ne s'affiche que si la valeur de l'entrée de registre Windows n'a pas été modifiée. Soit vous acceptez cette modification du registre, soit vous continuez sans procéder à la modification. Dans le premier cas, le nom de l'emplacement de l'installation peut présenter des espaces. Mais dans le deuxième cas, vous devez veiller à ce qu'il n'y ait pas d'espaces blancs dans le nom des dossiers du chemin d'accès de l'installation. Vous devez également vous assurer que le nom des dossiers ne contient pas plus de 8 caractères. Scénario Logon Collector fonctionne sur Windows Server 2003 et le contrôleur de domaine sur Windows Server 2003. Logon Collector fonctionne sur Windows Server 2003 et le contrôleur de domaine sur Windows Server 2008 au niveau fonctionnel de Windows Server 2003. Logon Collector fonctionne sur Windows Server 2003 et le contrôleur de domaine sur Windows Server 2008 R2 au plus haut niveau fonctionnel, à savoir Windows Server 2008 R2. Impact sur Logon Collector Logon Collector surveille les événements de connexion. Logon Collector surveille les événements de connexion. Logon Collector n'est pas en mesure de surveiller les événements de connexion. Configuration requise Vérifiez la configuration requise pour Logon Collector et Logon Monitor avant l'installation du logiciel. McAfee Logon Collector 2.1 Guide d'administration 11
2 Installation Configuration requise Planification de l'installation Avant l'installation, assurez vous d'effectuer les tâches suivantes : Vous devez être connecté au serveur en tant qu'administrateur local du système. Vérifiez que votre matériel satisfait, voire dépasse la configuration minimale requise. Vous n'avez pas besoin d'une phrase de passe spéciale ou d'une clé de licence pour installer le logiciel Logon Collector ou Logon Monitor. Vous pouvez installer autant d'instances de Logon Collector ou Logon Monitor (chacune sur son propre serveur) que nécessaire pour offrir une couverture adéquate aux contrôleurs de domaine au sein de votre domaine surveillé. Compatibilité entre les clients et les serveurs Le client Logon Collector 1.0 prend en charge les serveurs Logon Collector 1.x et 2.x. Le client Logon Collector 2.1 prend en charge les serveurs Logon Collector 2.x. Le client ne prend pas en charge les serveurs Logon Collector 1.x. Configuration système requise Logon Collector et Logon Monitor fonctionnent en tant que services Microsoft Windows sur un serveur Windows Server et nécessitent la configuration minimale suivante : Composant Configuration minimale requise Système d'exploitation L'un des suivants : Windows Server 2003 SP2 (32 ou 64 bits) Windows Server 2003 R2 SP2 (32 ou 64 bits) Windows Server 2008 (32 ou 64 bits) Windows Server 2008 R2 (64 bits) Système d'exploitation Contrôleurs de domaine RAM (mémoire) Espace disque Processeur Cadre d'applications logicielles L'un des serveurs Microsoft suivants : Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 4 Go 20 Go d'espace libre Pentium IV 2 GHz ou supérieur Microsoft.NET Framework 2.0 Navigateur Microsoft Internet Explorer 8.x et 9.x Mozilla Firefox 3.x et version ultérieure Connectivité réseau Résolution Des serveurs Logon Collector aux contrôleurs de domaine Microsoft Active Directory que Logon Collector ou Logon Monitor surveille. Résolution d'affichage de 1024 x 768 ou supérieure 12 McAfee Logon Collector 2.1 Guide d'administration
Installation Installation de Logon Collector 2 Composant Domaines surveillés Contrôleurs de domaine Configuration minimale requise L'utilisateur de domaine (entré lors de l'ajout d'un domaine dans Logon Collector) doit disposer des droits d'accès aux journaux des événements de sécurité de chaque contrôleur de domaine. Le niveau fonctionnel du contrôleur de domaine ne doit pas être supérieur à la version Windows Server de Logon Collector. Reportez vous à la section Points clés à prendre en compte pour l'installation. Un port non SSL 389 doit être activé sur les contrôleurs de domaine pour les requêtes LDAP. Envisagez d'installer Logon Monitor sur une machine virtuelle, car Logon Monitor est une application moins exigeante et ne transmet pas autant d'informations que Logon Collector. L'utilisation de la mémoire par Logon Monitor dépend du nombre d'utilisateurs et de groupes dans sa base de données. Configuration requise relative à la résolution DNS Une résolution DNS (Domain Name System) correcte est un prérequis essentiel pour la collecte d'identités. Les ordinateurs sur lesquels Logon Collector ou Logon Monitor est installé, ainsi que le client configuré pour collecter les identités, doivent être configurés pour faire référence à un serveur DNS qui doit pouvoir : Résoudre tout domaine à partir duquel les connexions sont collectées. Fournir une résolution avancée pour tous les contrôleurs de domaine à partir desquels les connexions sont collectées. Fournir une résolution inversée pour tous les contrôleurs de domaine à partir desquels les connexions sont collectées. Fournir des enregistrements SRV pour un ou plusieurs contrôleurs de domaine au sein du domaine à partir duquel les connexions sont collectées. En cas de modification des paramètres DNS, Logon Collector annule l'ancien cache DNS au bout de 30 secondes, puis applique les nouveaux paramètres DNS. Il est conseillé d'attendre au moins 30 secondes avant de résoudre le domaine. Voir aussi Résoudre les problèmes de DNS, page 115 Installation de Logon Collector Logon Monitor est installé en local sur le même serveur lorsque vous installez Logon Collector. Logon Monitor est référencé dans l'interface utilisateur comme localhost. Vous pouvez installer Logon Monitor séparément, si vous avez besoin de Logon Monitor à distance. Si vous exécutez déjà une application McAfee Foundation Services (MFS), par exemple, McAfee epolicy Orchestrator, le service Logon Collector ne sera pas compatible avec celle ci. Voir aussi Désinstallation du logiciel, page 17 Désinstallation de Logon Monitor, page 25 McAfee Logon Collector 2.1 Guide d'administration 13
2 Installation Installation de Logon Collector Téléchargement du logiciel Téléchargez les logiciels groupés Logon Collector et Logon Monitor depuis le site Web de McAfee. 1 Dans un navigateur, accédez à https://secure.mcafee.com/apps/downloads/my products/ login.aspx?region=us. 2 Indiquez votre Grant Number/numéro de licence et sélectionnez la catégorie de produits souhaitée (par exemple, appliance McAfee Firewall Enterprise). 3 Sélectionnez McAfee Logon Collector 2.1. 4 Téléchargez le fichier zip pour l'installation de Logon Collector. Procédez à l'extraction des fichiers vers votre répertoire local. 5 Sélectionnez le programme d'installation de Logon Collector et téléchargez le sur votre répertoire local. Logon Monitor fait partie de la solution Logon Collector que vous téléchargez. Pour installer séparément un moniteur Logon Monitor distant, ouvrez le dossier McAfee Logon Monitor où se trouve son programme d'installation. Pour installer Logon Collector comme une extension de McAfee epo, téléchargez le fichier MLC21_ePOextension.zip depuis le même emplacement. Voir aussi Installation de Logon Monitor, page 24 Installation du logiciel sous Windows Server L'assistant d'installation de Logon Collector installe Logon Collector, Logon Monitor en local et Microsoft SQL Server 2005 Express sur l'un des systèmes d'exploitation suivants : Windows Server 2003 Windows Server 2003 R2 Windows Server 2008 Windows Server 2008 R2 Si une instance de Microsoft SQL Server se trouve déjà sur votre serveur, vous pouvez ignorer cette partie de l'installation. A tout moment de l'installation, cliquez sur Back (Précédent) ou Cancel (Annuler) pour, respectivement, retourner à l'étape précédente ou annuler l'installation. 14 McAfee Logon Collector 2.1 Guide d'administration
Installation Installation de Logon Collector 2 1 Accédez au dossier Logon Collector téléchargé dans votre répertoire local. 2 Double cliquez sur Setup.exe. L'assistant d'installation de Logon Collector s'ouvre. Si votre système dispose de moins de 4 Go de RAM, un message d'erreur s'affiche. Cliquez sur Yes (Oui) pour poursuivre l'installation avec la mémoire actuellement disponible. Vous pouvez cliquer sur No (Non) pour annuler l'installation et la poursuivre une fois que vous disposez de 4 Go de RAM minimum. Si vous installez le logiciel sous Windows 2008 R2, la fenêtre Security Warning (Avertissement de sécurité) s'affiche. Figure 2-1 Fenêtre Security Warning (Avertissement de sécurité) Cliquez sur Run (Exécuter) pour continuer. Il se peut qu'une fenêtre contextuelle permettant d'activer les conventions d'affection de noms de fichiers Windows 8.3 s'affiche. Cliquez sur Yes (Oui) pour poursuivre l'installation. L'activation de cette option génère un nom abrégé pour les noms de fichiers longs dans les conventions d'affectation de noms de fichiers Windows 8.3. 3 L'assistant d'installation de Logon Collector s'ouvre. Cliquez sur Next (Suivant) pour continuer. La fenêtre McAfee End User Licensing Agreement (Contrat de licence utilisateur final McAfee) s'ouvre. 4 Sélectionnez l'une des licences suivantes dans la liste déroulante sous l'option License expire type (Type d'expiration de licence) : 1 Year Subscription (Abonnement d'un an) : la licence expire au bout d'un an. 2 Year Subscription (Abonnement de deux ans) : la licence expire au bout de deux ans. Perpetual License (Licence perpétuelle) : la licence n'est soumise à aucune date d'expiration. McAfee Logon Collector 2.1 Guide d'administration 15
2 Installation Installation de Logon Collector Lisez le contrat de licence, sélectionnez I accept the terms in the license agreement (J'accepte les termes du contrat de licence), puis cliquez sur OK. 5 Par défaut, le dossier de destination des fichiers d'installation est défini sur C:\Program Files \McAfee\McAfee Logon Collector\. Cliquez sur Change (Changer) pour sélectionner un nouvel emplacement. Le processus de désinstallation peut supprimer le dossier contenant les fichiers d'installation de Logon Collector ainsi que tout dossier existant dans le chemin d'accès. McAfee recommande de sélectionner un dossier vide ou de suivre le format d'emplacement d'installation par défaut pour éviter ce problème. Cliquez sur Next (Suivant) pour continuer. La fenêtre Global Administrator Information (Informations de l'administrateur global) s'affiche. 6 Entrez le Username (Nom d'utilisateur) et le Password (Mot de passe) de l'administrateur de l'interface web de Logon Collector. Confirmez le mot de passe à des fins de vérification. Cliquez sur Next (Suivant). La fenêtre HTTP Port Information (Informations de port HTTP) s'ouvre. 7 Conservez les valeurs par défaut des ports de Logon Collector, à moins qu'un port par défaut ne soit déjà utilisé. Vous aurez besoin du port du Web Server (Serveur web) pour ouvrir l'interface web de Logon Collector. 8 Cliquez sur Next (Suivant). La fenêtre SQL Express Option (Option SQL Express) s'ouvre. Vous obtiendrez l'un des résultats suivants : Résultat 1 ; options activées dans la fenêtre SQL Express Option (Option SQL Express) : Une fenêtre contextuelle s'ouvre. Cliquez sur Yes (Oui) pour poursuivre l'installation de Microsoft SQL 2005 Express. Résultat 2 ; options désactivées dans la fenêtre SQL Express Option (Option SQL Express) : Lors du processus d'installation, il se peut que les deux options de la fenêtre SQL Express Option (Option SQL Express) soient désactivés. Cliquez sur l'option Why are the above options disabled? (Pourquoi les options ci dessus sont elles désactivées?) pour afficher les raisons de cette action. Cliquez sur OK pour continuer. Cas supplémentaire Si vous installez Microsoft SQL 2005 Express sous Windows Server 2003 (64 bits) ou Windows Server 2008 (64 bits) pour la première fois, le message d'avertissement suivant s'affiche. 16 McAfee Logon Collector 2.1 Guide d'administration
Installation Installation de Logon Collector 2 Cliquez sur Yes (Oui) pour ouvrir la fenêtre Program Compatibility (Compatibilité des programmes). Cliquez sur Run Program (Exécuter le programme) pour continuer. Figure 2-2 Fenêtre Program Compatibility Assistant (Assistant Compatibilité des programmes) 9 La fenêtre suivante s'affiche lorsque l'installation de Microsoft SQL 2005 Express est en cours. Figure 2-3 Installation de Microsoft SQL Server La fenêtre Informations de base de données s'ouvre. 10 Sélectionnez les options suivantes dans la fenêtre Database Information (Informations de base de données) : Authentification Windows : sélectionnez cette option pour entrer les informations d'identification de connexion et de domaine du serveur qui hébergera la base de données de Logon Collector. Les informations relatives au SQL server TCP port (Port TCP du serveur SQL) sont définies par défaut. Authentification SQL : Sélectionnez cette option uniquement lorsque l'installation de Microsoft SQL Server est antérieure à celle de Logon Collector. Dans ce cas, entrez le nom d'utilisateur et le mot de passe Microsoft SQL Server qui ont été utilisés lors de l'installation de Microsoft SQL Server. 11 Cliquez sur Next (Suivant). La fenêtre Ready to Install the Program (Prêt pour l'installation du programme) s'ouvre. 12 Cliquez sur Install (Installer) pour poursuivre. La fenêtre Installing McAfee Logon Collector (Installation de McAfee Logon Collector) s'affiche. 13 Cliquez sur Finish (Terminer) pour terminer l'installation. Désinstallation du logiciel Suivez ces étapes pour désinstaller Logon Collector. McAfee Logon Collector 2.1 Guide d'administration 17
2 Installation Accès à l'interface Web de Logon Collector 1 Dans le menu Démarrer du serveur Windows, ouvrez le Panneau de configuration, puis sélectionnez Ajout/ Suppression de programmes. 2 Sélectionnez Logon Collector, puis cliquez sur Supprimer et suivez les instructions à l'écran. 3 Si vous souhaitez supprimer la base de données de Logon Collector, laissez la case cochée, puis cliquez sur Suivant pour continuer. Les informations de configuration, telles que les domaines surveillés et les instances Logon Monitor connectées ne sont pas enregistrées. Si de nombreux utilisateurs sont configurés pour l'administration de Logon Collector, il se peut que vous souhaitiez conserver la base de données. 4 Lorsque vous êtes invité à entrer le mot de passe de la base de données, cliquez sur Suivant pour continuer. 5 Dans la fenêtre Ajouter ou supprimer des programmes, sélectionnez Logon Collector, puis cliquez sur Supprimer. 6 Cliquez sur Oui lorsque vous êtes invité à supprimer Logon Collector. 7 Fermez la fenêtre Ajouter ou supprimer des programmes. Voir aussi Installation de Logon Collector, page 13 Installation de Logon Monitor, page 24 Désinstallation de Microsoft SQL Server 2005 Express Edition Si vous avez installé Microsoft SQL Server 2005 Express Edition dans le cadre de l'installation de Logon Collector, il se peut que vous souhaitiez le supprimer lorsque vous supprimez Logon Collector de votre ordinateur. Si vous envisagez de réinstaller Logon Collector, vous devez laisser Microsoft SQL Server 2005 Express Edition sur votre ordinateur. Suivez ces étapes pour désinstaller Microsoft SQL Server 2005 Express Edition. 1 Dans le menu Démarrer du serveur Windows, ouvrez le Panneau de configuration et sélectionnez Ajout/ Suppression de programmes. 2 Sélectionnez Microsoft SQL Server 2005, puis cliquez sur Supprimer. 3 Dans la fenêtre Sélection des composants, sélectionnez MLCSERVER : Moteur de base de données et Composants de poste de travail, puis cliquez sur Suivant. 4 Cliquez sur Terminer. 5 Dans la fenêtre Ajouter ou supprimer des programmes, sélectionnez Microsoft SQL Server Native Client, puis cliquez sur Supprimer. 6 Cliquez sur Oui lorsque vous êtes invité à supprimer Microsoft SQL Server Native Client. 7 Fermez la fenêtre Ajouter ou supprimer des programmes. Accès à l'interface Web de Logon Collector L'interface Web de Logon Collector permet de surveiller les domaines et Logon Monitors, mais aussi de générer des rapports et de réaliser des tâches administratives. 18 McAfee Logon Collector 2.1 Guide d'administration
Installation Installation de Logon Collector comme extension de McAfee epo 2 1 Ouvrez un navigateur et saisissez l'url de Logon Collector. Par exemple, si vous avez accepté les ports par défaut, saisissez https://127.0.0.1:8443/. La valeur "8443" dans l'url peut varier selon l'installation. Si vous vous connectez pour la première fois à l'interface Web via HTTPS, un message "Invalid certificate" s'affiche pour indiquer que le certificat n'est pas valide. Cliquez sur Continue to this website (Poursuivre sur ce site Web) (ou son équivalent) pour continuer. La fenêtre Log On (Connexion) s'affiche. 2 Saisissez le nom de l'utilisateur et le mot de passe configurés au moment de l'installation et cliquez sur Log On (Connexion). La fenêtre Main Status (Etat principal) de l'interface Web s'affiche. Installation de Logon Collector comme extension de McAfee epo Logon Collector peut également être installé comme extension sur le serveur McAfee epolicy Orchestrator (McAfee epo) 4.6. McAfee epo est une plate forme évolutive qui centralise la gestion et l'application des stratégies relatives à vos produits de sécurité, comme les applications antivirus, de pare feu de bureau et anti espion. Logon Monitor interroge le domaine Active Directory pour récupérer les informations sur les utilisateurs, telles que les noms des utilisateurs et le comportement des utilisateurs sous forme d'événements de connexion. En raison de la charge placée sur le système, Logon Collector peut être exécuté sur McAfee epo uniquement pour la surveillance d'un domaine Active Directory de petite taille. Conditions requises pour l'installation La liste suivante détaille la configuration minimale requise pour l'installation de Logon Collector en tant qu'extension de McAfee epo : Logon Collector, version 2.1 McAfee epo, version 4.6.0 4.6.4 Pour désinstaller epolicy Orchestrator, supprimez l'extension MLC, puis désinstallez epolicy Orchestrator. Cette opération permet d'éviter les problèmes de désinstallation de epolicy Orchestrator susceptibles d'être provoqués par Logon Collector. Installation de Logon Collector comme extension de McAfee epo Pour installer Logon Collector comme extension de McAfee epo, procédez comme suit : McAfee Logon Collector 2.1 Guide d'administration 19
2 Installation Installation de Logon Collector comme extension de McAfee epo 1 Téléchargez le fichier MLC21_ePOextension.zip sur votre répertoire local. Dans l'environnement d'extension McAfee epo, vous pouvez utiliser ce même fichier ZIP d'extension pour mettre à niveau Logon Collector 2.0 vers la version 2.1. 2 Cliquez sur Menu Software Extensions (Menu, Logiciel, Extensions). Figure 2-4 Option Extensions La page Extensions s'ouvre. 3 Cliquez sur Install Extension (Installer une extension) en bas à gauche pour procéder à l'installation. Figure 2-5 Option Install Extension (Installer une extension) 20 McAfee Logon Collector 2.1 Guide d'administration
Installation Installation de Logon Collector comme extension de McAfee epo 2 4 Cliquez sur Browse (Parcourir) pour sélectionner le fichier MLC21_ePOextension.zip à installer depuis votre répertoire local. Cliquez sur OK. Téléchargez le fichier ZIP depuis l'emplacement décrit dans la section Téléchargement du logiciel du présent guide. La fenêtre Install Package (Installer le package) s'ouvre. 5 Cliquez sur OK pour revenir à la fenêtre Extensions. Vous constatez alors que Logon Collector figure dans la liste des extensions du volet de gauche. 6 Ouvrez la fenêtre Status (Etat) et cliquez sur Id Replication Manager pour confirmer l'installation. Figure 2-6 Fenêtre Status (Etat) pour confirmer l'installation s Installation de Logon Collector à partir de l'onglet Gestionnaire de logiciels de McAfee epo, page 21 Installation de Logon Collector à partir de l'onglet Gestionnaire de logiciels de McAfee epo Suivez les étapes ci dessous pour installer Logon Collector à partir de l'onglet Software Manager (Gestionnaire de logiciels) de l'interface utilisateur de McAfee epo. 1 Sélectionnez Menu Software Software Manager (Menu, Logiciels, Gestionnaire de logiciels). 2 Dans le volet de gauche, cliquez sur Refresh (Actualiser). 3 Sous la section Product Categories (Catégories de produits), cliquez sur Firewall Related Software (Logiciels pare feu) en regard de l'option Software (by Label) (Logiciels (par étiquette)). 4 L'option Software (by Label) > Firewall Related Software (Logiciels (par étiquette) > Logiciels pare feu) est affichée dans le volet de droite. Cliquez sur McAfee Logon Collector 2.1. 5 Cliquez sur Check in MLC (Archiver MLC). McAfee Logon Collector 2.1 Guide d'administration 21
2 Installation Installation de Logon Collector comme extension de McAfee epo 6 Dans la fenêtre McAfee Logon Collector Check In Software Summary (Récapitulatif de l'archivage des logiciels de McAfee Logon Collector), lisez et sélectionnez l'option I accept the terms in the license agreement (J'accepte les termes de l'accord de licence). 7 Cliquez sur OK pour afficher la fenêtre Activity In Progress (Activité en cours). Vous pouvez voir la progression de l'installation ici. Après un moment, l'état Complete (Terminé) pour une installation réussie ou Failed (Echec) pour l'échec de l'installation s'affiche. 8 Pour vérifier l'installation réussie de l'extension Logon Collector, vérifiez si les pages Status (Etat) et Logon Report (Rapport de connexion) apparaissent sous Menu Reporting (Menu, Rapports). 22 McAfee Logon Collector 2.1 Guide d'administration
Installation Installation de Logon Collector comme extension de McAfee epo 2 Restrictions Cette section détaille les restrictions de Logon Collector lorsqu'il est exécuté comme extension de McAfee epo : Haute disponibilité : cette fonction est désactivée lorsque Logon Collector est exécuté comme extension de McAfee epo. IDDS : IDDS (Identity Data Store Banque de données d'identité) est la base de données en mémoire spécifique à Logon Collector. Une limite de taille est définie par défaut pour l'idds de Logon Collector lorsque ce dernier est exécuté sur le système McAfee epo. Cela signifie que le nombre total d'objets de répertoire (utilisateurs et groupes) doit toujours être inférieur à 10 000. Assurez vous que le domaine que vous ajoutez à Logon Collector ne dépasse pas cette limite. De plus, vérifiez le nombre d'utilisateurs et de groupe existants dans l'idds avant d'ajouter un nouveau domaine. Lorsque la limite de taille est dépassée, Logon Collector cesse de surveiller les domaines et les clients perdent leur connexion à Logon Collector. Le serveur Logon Collector ne fonctionne plus correctement lorsque la limite de taille est dépassée. Dans ce cas, il n'est pas recommandé d'effectuer des modifications de configuration. Solution temporaire : Si vous atteignez la limite de 10 000 objets dans McAfee epo, il se peut que vous deviez exécuter Logon Collector sur un serveur séparé (autre que McAfee epo). Si vous ne parvenez pas à trouver de combinaison de domaines à surveiller qui respecte la limite de 10 000 objets, vous devez désinstaller et réinstaller l'extension lorsque Logon Collector atteint la limite. Assurez vous de n'ajouter aucun domaine de plus de 10 000 objets. Ce processus de récupération ne peut être utilisé que lorsque Logon Collector atteint la limite de 10 000 objets et cesse toute opération normale. Si vous atteignez la limite fixée, le message d'erreur suivant s'affiche : Figure 2-7 Message d'erreur lié à la limite McAfee epo McAfee Logon Collector 2.1 Guide d'administration 23
2 Installation Installation de Logon Monitor Un message d'erreur s'affiche également sur la page Status (Etat), sous la section ID Data Store {idds} (IDDS). Figure 2-8 Message d'erreur dans la page Status (Etat) Installation de Logon Monitor Logon Monitor en local est inclus dans l'installation de Logon Collector. Vous n'avez pas besoin d'une phrase de passe spéciale ou d'une clé de licence pour installer Logon Monitor. Vous pouvez installer autant d'instances de Logon Monitor (chacune sur son propre serveur) que nécessaire pour offrir une couverture adéquate aux contrôleurs de domaine au sein de votre domaine surveillé. Vous devez installer Logon Monitor aussi près que possible des contrôleurs de domaine avec lesquels il communiquera. Cela réduit l'impact du trafic résultant de la communication. Logon Monitor fait partie du pack de téléchargement de Logon Collector. Conditions préalables : Les versions antérieures de Logon Collector ou Logon Monitor doivent être désinstallées avant l'installation de cette version du logiciel. Vous devez être connecté au serveur en tant qu'administrateur. Voir aussi Contrôleurs de domaines et collecte des informations de connexions, page 7 Désinstallation du logiciel, page 17 Désinstallation de Logon Monitor, page 25 Installation de Logon Monitor 1 A l'aide de l'explorateur Windows, localisez le dossier Logon Monitor. Téléchargez le logiciel depuis l'emplacement décrit dans la section Téléchargement du logiciel de ce guide. 2 Double cliquez sur Setup.exe. 24 McAfee Logon Collector 2.1 Guide d'administration
Installation Installation de Logon Monitor 2 3 Pour une nouvelle installation de Logon Monitor, cliquez sur Generate Self Signed Certificate (Générer un certificat autosigné) dans l'onglet Configuration de la fenêtre McAfee Logon Monitor Configuration. Ce certificat est indispensable pour la communication avec Logon Collector. Si vous réinstallez Logon Monitor, le certificat utilisé pour l'installation précédente reste enregistré et vous pouvez continuer à l'utiliser. 4 Une fois la configuration modifiée, cliquez sur OK. Voir aussi Configuration de Logon Monitor, page 47 Téléchargement du logiciel, page 14 Désinstallation de Logon Monitor Pour désinstaller Logon Monitor, procédez comme suit : Veillez à ce que le moniteur Logon Monitor à désinstaller ne soit pas en cours d'utilisation par une application Logon Collector pour surveiller des contrôleurs de domaines. 1 Dans le menu Démarrer du serveur Windows, ouvrez le Panneau de configuration et sélectionnez Ajout/ Suppression de programmes. 2 Sélectionnez McAfee Logon Monitor, puis cliquez sur Supprimer. 3 Lorsque l'assistant d'installation de McAfee Logon Monitor vous demande si vous voulez procéder à la suppression, cliquez sur Next (Suivant). 4 Dans la fenêtre Program Maintenance (Maintenance de programme), cliquez sur Remove (Supprimer), puis sur Next (Suivant). 5 Cliquez sur Remove (Supprimer). 6 Cliquez sur Finish (Terminer). Si vous prévoyez de réinstaller Logon Monitor, sachez que le certificat utilisé pour l'installation précédente reste enregistré et que vous pouvez continuer à l'utiliser. Voir aussi Installation de Logon Collector, page 13 Installation de Logon Monitor, page 24 McAfee Logon Collector 2.1 Guide d'administration 25
2 Installation Installation de Logon Monitor 26 McAfee Logon Collector 2.1 Guide d'administration
3 Mise à niveau Cette section traite de la mise à niveau de Logon Collector 1.x.x ou 2.0 vers Logon Collector 2.1. Sommaire Points clés pour une mise à niveau Mise à niveau de la version 1.x.x à la version 2.1 du logiciel à l'aide du programme d'installation Mise à niveau de la version 2.0 à la version 2.1 du logiciel à l'aide du fichier ZIP de mise à niveau Vérification de la mise à niveau Points clés pour une mise à niveau Vous pouvez effectuer une nouvelle installation de Logon Collector 2.1 ou mettre à niveau Logon Collector 1.x.x ou 2.0 vers Logon Collector 2.1. Lors d'une mise à niveau, toute la configuration de Logon Collector ainsi que les informations suivantes sont conservées sur le serveur de Logon Collector : Domaines configurés Certificats ajoutés Instance Logon Monitor locale configurée Moniteurs Logon Monitor distants Comme pour toute mise à niveau, McAfee conseille vivement de tester au préalable la mise à niveau dans un environnement d'essai. La mise à niveau à partir de la version 1.x.x n'est pas prise en charge sous Windows Server 2008 R2. Pour mettre à niveau Logon Collector 1.x.x vers Logon Collector 2.1, vous devez désinstaller puis réinstaller le programme. Options de mise à niveau Vous pouvez mettre à niveau Logon Collector 1.x.x ou 2.0 vers Logon Collector 2.1. 1.x.x vers 2.1 : utilisez le programme d'installation de Logon Collector pour passer de Logon Collector 1.x.x à la version 2.1. 2.0 vers 2.1 : utilisez le fichier ZIP de mise à niveau de Logon Collector pour passer de Logon Collector 2.0 à la version 2.1. Dans Logon Collector 2.1, la page Dashboards (Tableaux de bord) a été supprimée. Par conséquent, la page Dashboards (Tableaux de bord) ne s'affiche plus après une nouvelle installation. Cependant, après une mise à niveau de la version 1.x.x ou 2.0 vers la version 2.1, le tableau de bord continue de s'afficher et peut être supprimé manuellement. McAfee Logon Collector 2.1 Guide d'administration 27
3 Mise à niveau Mise à niveau de la version 1.x.x à la version 2.1 du logiciel à l'aide du programme d'installation Mise à niveau de la version 1.x.x à la version 2.1 du logiciel à l'aide du programme d'installation Avant de commencer La mise à niveau est prise en charge par les systèmes d'exploitation Windows suivants : Windows Server 2003 Windows Server 2003 R2 Windows Server 2008 Procédez comme suit pour mettre à niveau Logon Collector 1.x.x vers la version 2.1. 1 Accédez au dossier de votre répertoire local contenant le programme d'installation de Logon Collector téléchargé. Double cliquez sur Setup.exe pour lancer l'installation de Logon Collector 2.1. 2 Lisez et acceptez le contrat de licence, puis poursuivez l'installation. 3 Confirmez le dossier de destination. Cliquez sur Next (Suivant). Ce dossier doit être identique à celui utilisé lors de l'installation précédente (Logon Collector 1.x.x). 4 Entrez le nom d'utilisateur et le mot de passe de l'administrateur Logon Collector. Vérifiez le mot de passe. Ce dossier doit être identique à celui utilisé lors de l'installation précédente (Logon Collector 1.x.x). 5 Confirmez les numéros de port. Comme vous disposez déjà d'une base de données, les options de Microsoft SQL Server seront désactivées. 6 L'option Database Server (Serveur de base de données) de la fenêtre Database Information (Informations sur la base de données) doit comporter des informations identiques à celles utilisées lors de l'installation de Logon Collector 1.x.x. Cliquez sur Next (Suivant). La fenêtre Ready to Install the Program (Prêt pour l'installation du programme) s'ouvre. 7 Cliquez sur Install (Installer) pour lancer la mise à niveau. Vous obtiendrez l'un des résultats suivants : Résultat 1 La fenêtre Installing McAfee Logon Collector (Installation de McAfee Logon Collector) s'ouvre. Résultat 2 La fenêtre Files in Use (Fichiers en cours d'utilisation) s'affiche si vous procédez à la mise à niveau du logiciel sous Windows Server 2008 (32 bits) Sélectionnez l'option Automatically close and attempt to restart applications (Fermer et essayer de redémarrer automatiquement les applications), puis cliquez sur OK. 8 Cliquez sur Finish (Terminer) pour terminer la mise à niveau. Voir aussi Installation du logiciel sous Windows Server, page 14 28 McAfee Logon Collector 2.1 Guide d'administration
Mise à niveau Mise à niveau de la version 2.0 à la version 2.1 du logiciel à l'aide du fichier ZIP de mise à niveau 3 Mise à niveau de la version 2.0 à la version 2.1 du logiciel à l'aide du fichier ZIP de mise à niveau Pour procéder à la mise à niveau de Logon Collector 2.0 vers la version 2.1, vous devez installer le fichier ZIP de mise à niveau de Logon Collector en tant qu'extension. Si vous disposez d'une instance Logon Collector 2.0 sur laquelle la Haute disponibilité est activée : désactivez la Haute disponibilité, mettez à niveau Logon Collector dans les deux systèmes, puis activez la Haute disponibilité pour que la mise à niveau réussisse. La Haute disponibilité n'est pas prise en charge sur deux serveurs Logon Collector exécutant des versions différentes de Logon Collector. Procédez comme suit pour mettre à niveau Logon Collector 2.0 vers la version 2.1. 1 Téléchargez le fichier mlc upgrade extensions.zip sur votre répertoire local. 2 Sélectionnez Menu Software Extensions (Menu, Logiciel, Extensions). La page Extensions s'affiche. 3 Cliquez sur Install Extension (Installer une extension) dans l'angle inférieur gauche pour procéder à l'installation. 4 Cliquez sur Browse (Parcourir) pour sélectionner le fichier mlc upgrade extensions.zip à installer depuis votre répertoire local. Cliquez sur OK. Téléchargez le fichier ZIP depuis l'emplacement décrit dans la section Téléchargement du logiciel du présent guide. La fenêtre Install Package (Installer le package) s'affiche. 5 Cliquez sur OK pour revenir à la fenêtre Extensions. Assurez vous que Logon Collector figure dans la liste des extensions du volet de gauche. Pour supprimer Logon Collector de la liste des extensions, cliquez sur Remove (Supprimer) dans le volet de droite. Vérification de la mise à niveau Sélectionnez Menu Configuration About (Menu, Configuration, A propos de) pour vérifier que la mise à niveau a bien fonctionné. McAfee Logon Collector 2.1 Guide d'administration 29
3 Mise à niveau Vérification de la mise à niveau 30 McAfee Logon Collector 2.1 Guide d'administration
4 Collecte 4 des identités Cette section décrit en détails la collecte des identités. Sommaire A propos de la collecte d'identités Ajout d'un domaine à surveiller Ajout de Logon Monitor Gestion des serveurs Exchange A propos de la collecte d'identités Les identités peuvent être collectées de l'une des manières suivantes : Surveillance d'un domaine avec Logon Monitor en local : toute installation de Logon Collector contient Logon Monitor. Vous devez ajouter un domaine à partir duquel Logon Collector collecte les informations. Surveillance d'un domaine avec une instance Logon Monitor à distance : vous pouvez ajouter des instances Logon Monitor à distance aux instances Logon Collector. Consultez la section Déploiement pour savoir dans quelles circonstances utiliser des instances Logon Monitor pour surveiller un domaine. Voir aussi Ajout d'un domaine à surveiller, page 31 Ajout d'un certificat Logon Collector à Logon Monitor, page 33 Déploiement, page 8 Ajout d'un domaine à surveiller Avant de commencer Saisissez les informations d'identification des domaines qui seront directement surveillés par Logon Collector. Obtenez la permission de gestion pour le client qui interroge les identités d'un domaine donné. Installez et configurez Logon Collector. Obtenez les informations d'identification adéquates du domaine à partir de l'administrateur de domaine Windows. McAfee Logon Collector 2.1 Guide d'administration 31
4 Collecte des identités Ajout de Logon Monitor Le compte administrateur que vous voulez utiliser pour accéder au contrôleur de domaine doit se trouver dans le domaine dont vous voulez obtenir les identités. Pour utiliser un compte autre que le compte administrateur, reportez vous à la section Création d'un compte non administrateur pour accéder au journal des événements de sécurité d'un contrôleur de domaine. Pour ajouter un domaine à surveiller, procédez comme suit : 1 Cliquez sur Menu Configuration Monitored Domains (Menu, Configuration, Domaines surveillés). 2 Cliquez sur New Domain (Nouveau domaine). 3 Saisissez le nom du domaine et les informations d'identification requises dans les champs correspondants. 4 Cliquez sur Next (Suivant). Les connexions à chaque contrôleur de domaine affecté à ce domaine sont établies. En cas d'échec de connexion à un contrôleur de domaine, un message d'erreur s'affiche avec les informations détaillées sur cet échec. 5 Pour chaque contrôleur de domaine énuméré, indiquez un moniteur Logon Monitor principal et un autre de sauvegarde (facultatif). Pour ajouter un moniteur Logon Monitor de sauvegarde à la liste déroulante, cliquez sur New Logon Monitor (Nouveau Logon Monitor). a Cliquez sur la liste déroulante de l'option Primary (Principal) et sélectionnez un moniteur Logon Monitor. b c [Facultatif] Cliquez sur la liste déroulante de l'option Backup (Sauvegarde) et sélectionnez un moniteur Logon Monitor qui s'activera en cas d'indisponibilité du moniteur Logon Monitor principal. Cliquez sur Next (Suivant). 6 Seuls ces contrôleurs de domaines pour lesquels Logon Collector a été choisi s'affichent à l'écran. Indiquez l'ordre dans lequel les requêtes LDAP sont faites aux contrôleurs de domaines pour les informations sur les utilisateurs et les groupes. D'ordre général, les contrôleurs de domaines les plus proches doivent être mis en tête de liste afin d'améliorer les délais de réponse et de réduire la bande passante réseau. Modifiez la place des contrôleurs de domaines dans la liste à l'aide des flèches dirigées vers le haut ou le bas. 7 Cliquez sur Save (Enregistrer). s Ajout de Logon Monitor, page 33 Voir aussi A propos de la collecte d'identités, page 31 Ajout de Logon Monitor Cette section décrit comment ajouter un moniteur Logon Monitor distant à Logon Collector. 32 McAfee Logon Collector 2.1 Guide d'administration
Collecte des identités Ajout de Logon Monitor 4 Sommaire Ajout d'un certificat Logon Collector à Logon Monitor Ajout de Logon Monitor Suppression de Logon Monitor Ajout d'un certificat Logon Collector à Logon Monitor Avant de pouvoir ajouter un moniteur Logon Monitor distant à un domaine surveillé sur Logon Collector, vous devez d'abord fournir les informations du certificat Logon Collector à Logon Monitor. 1 Installez Logon Monitor et lancez l'application McAfee Logon Monitor Configuration. 2 Ouvrez un navigateur sur l'ordinateur où est installé Logon Monitor. Vous allez échanger des informations entre Logon Monitor et Logon Collector. Cette tâche est plus facile à accomplir si un navigateur est ouvert avec l'interface Web de Logon Collector. 3 Connectez vous à l'interface Web de Logon Collector et cliquez sur Menu Configuration Server Settings (Menu, Configuration, Paramètres serveur). 4 Cliquez sur Identity Replication Certificate (Certificat de réplication d'identité) dans la liste Setting Categories (Catégories de paramètres). 5 Dans l'application McAfee Logon Monitor Configuration, ouvrez l'onglet Remote (Distant). 6 Si besoin est, cliquez sur New (Nouveau) pour ajouter un nouveau certificat à Logon Monitor. 7 Copiez la valeur du Nom commun (NC) affichée sur Logon Collector dans le champ Common Name (Nom commun) de Logon Monitor. 8 Faites défiler l'interface Web de Logon Collector jusqu'à apercevoir le champ Logon Monitor Fingerprint (Empreinte de Logon Monitor). 9 Copiez la valeur du champ Logon Monitor Fingerprint (Empreinte de Logon Monitor) de Logon Collector dans le champ Certificate Hash (Hachage de certificat) de Logon Monitor. 10 Cliquez sur OK. 11 Procédez de la même manière pour toute autre application Logon Collector avec laquelle Logon Monitor communiquera. Avec le(s) certificat(s) Logon Collector sur Logon Monitor, vous pouvez ajouter Logon Monitor à quelconque application Logon Collector pour collecter les informations de connexion d'un domaine surveillé. Voir aussi A propos de la collecte d'identités, page 31 Onglet Remote (Distant), page 48 Ajout de Logon Monitor 1 Cliquez sur Menu Configuration Logon Monitors (Menu, Configuration, Logon Monitors). 2 Cliquez sur New Logon Monitor (Nouveau Logon Monitor). McAfee Logon Collector 2.1 Guide d'administration 33
4 Collecte des identités Gestion des serveurs Exchange 3 Attribuez un nom au moniteur Logon Monitor distant. Ce nom est un intitulé arbitraire utilisé dans Logon Collector pour identifier le moniteur Logon Monitor. 4 Saisissez le nom d'hôte ou l'adresse IP du moniteur Logon Monitor distant. 5 Saisissez le numéro de port ou acceptez la valeur par défaut 50443. 6 Cliquez sur Next (Suivant) ou OK selon la manière dont Logon Monitor est ajouté. Une connexion au moniteur Logon Monitor est en cours. Si la connexion est établie, le certificat s'affiche. Pour l'accepter, cliquez sur Save (Enregistrer) ou OK selon la manière dont Logon Monitor est ajouté. Si la connexion échoue, un message d'erreur s'affiche. Suppression de Logon Monitor Pour supprimer un moniteur Logon Monitor distant, vous devez d'abord vous assurer qu'il ne surveille aucun contrôleur de domaine. Pour la suppression de Logon Monitor, procédez comme suit : 1 Cliquez sur Menu Configuration Monitored Domains (Menu, Configuration, Domaines surveillés). 2 Sélectionnez un domaine, puis cliquez sur Manage Exchange Servers / Domain Controllers (Gérer les serveurs Exchange/contrôleurs de domaine). 3 Pour chaque contrôleur de domaine, vérifiez que le moniteur Logon Monitor que vous voulez supprimer ne se trouve pas dans la liste des moniteurs Primary (principaux) ou Backup (de sauvegarde). Si c'est le cas, ouvrez la liste déroulante et sélectionnez un autre moniteur Logon Monitor. 4 Répétez les étapes 2 et 3 jusqu'à être bien sûr que le moniteur Logon Monitor que vous voulez supprimer n'est pas utilisé. 5 Cliquez sur Menu Configuration Logon Monitors (Menu, Configuration, Logon Monitors). 6 Sélectionnez le moniteur que vous voulez supprimer, puis cliquez sur Delete Logon Monitor (Supprimer Logon Monitor). 7 Cliquez sur OK pour confirmer la suppression. Gestion des serveurs Exchange Logon Collector peut surveiller les serveurs Exchange. Logon Collector prend en charge les événements de connexion des utilisateurs se connectant avec un client lourd Microsoft Outlook ou Outlook Web Access (OWA) à partir de navigateurs Internet sous des systèmes Windows et MAC. Les clients POP3 et IMAP ne sont pas pris en charge. 34 McAfee Logon Collector 2.1 Guide d'administration
Collecte des identités Gestion des serveurs Exchange 4 Ajout d'un serveur Exchange à un domaine surveillé Vous pouvez ajouter un serveur Exchange et surveiller les événements de connexion des utilisateurs de Outlook. Des informations sur les serveurs Exchange ajoutés sont disponibles dans la page Status (Etat). Vous pouvez ajouter un serveur Exchange uniquement à un domaine surveillé existant. 1 Cliquez sur Menu Configuration Monitored Domains (Menu, Configuration, Domaines surveillés). La page Domains (Domaines) s'affiche. 2 Sélectionnez un domaine, puis cliquez sur Manage Exchange Servers / Domain Controllers (Gérer les serveurs Exchange/contrôleurs de domaine). 3 Dans la zone Exchange Servers (Serveurs Exchange), cliquez sur Add Exchange Server (Ajouter un serveur Exchange). 4 Dans la zone Exchange Server (Serveur Exchange) entrez le nom de domaine complet (FQDN) du serveur Exchange. Nous vous recommandons d'ajouter l'adresse IP d'un serveur Exchange à la liste IP Ignore List (Liste des adresses IP ignorées). Accédez à Menu Configuration Server Settings (Menu, Configuration, Paramètres serveur). Sélectionnez MLC Group / IP Ignore List (Liste des adresses IP/groupes ignorés de MLC), puis entrez l'adresse IP du serveur. 5 Dans Logon Monitor, accédez à la liste déroulante Primary (Principal), puis sélectionnez localhost si vous souhaitez utiliser le moniteur de connexion local du serveur Logon Collector, ou sélectionnez un moniteur de connexion à distance si le moniteur de connexion est installé sur un autre système. 6 [Sous condition] Si vous disposez de plusieurs moniteurs de connexion, vous pouvez sélectionner un moniteur de connexion de sauvegarde dans la liste déroulante Backup (Sauvegarde). Vous pouvez sélectionner un moniteur de connexion local en tant que moniteur principal et un moniteur de connexion à distance en tant que moniteur de sauvegarde, ou inversement. Vous pouvez également sélectionner d'autres moniteurs de connexion à distance en tant que moniteurs principal et de sauvegarde. Lorsque le moniteur de connexion principal n'est pas disponible, le serveur Logon Collector utilise le moniteur de connexion de sauvegarde. 7 Cliquez sur Save (Enregistrer). 8 Cliquez sur Status <domain name> Controller Logon Collecting (Etat, <nom de domaine>, Contrôleur de collecte d'informations de connexion). Assurez vous que Collecting logons from <exchange server> (Collecte des informations de connexion à partir de <serveur Exchange>) s'affiche dans la zone Status (Etat) de la zone Message. McAfee Logon Collector 2.1 Guide d'administration 35
4 Collecte des identités Gestion des serveurs Exchange Suppression d'un serveur Exchange Vous pouvez supprimer un serveur Exchange et en interrompre la surveillance des événements de connexion. 1 Cliquez sur Menu Configuration Monitored Domains (Menu, Configuration, Domaines surveillés). 2 Sélectionnez un domaine, puis cliquez sur Manage Exchange Servers / Domain Controllers (Gérer les serveurs Exchange/contrôleurs de domaine). 3 Parmi les serveurs Exchange Server existants, sélectionnez le serveur Exchange que vous souhaitez supprimer, puis cliquez sur Supprimer le serveur Exchange. 36 McAfee Logon Collector 2.1 Guide d'administration
5 Paramètres 5 serveur Cette section détaille la configuration ainsi que les différentes fonctions de la fenêtre Paramètres serveur. Sommaire A propos des paramètres serveur A propos des paramètres personnels Configuration de Logon Monitor A propos des paramètres serveur La fenêtre Server Settings (Paramètres serveur) vous permet de configurer divers paramètres. Pour modifier un paramètre particulier : 1 Sélectionnez Configuration Server Settings (Configuration, Paramètres serveur). 2 Sélectionnez une catégorie de paramètres, puis cliquez sur Edit (Modifier) dans le coin inférieur droit de la fenêtre. 3 Ajoutez ou mettez à jour les informations, puis cliquez sur Save (Enregistrer). s Paramètres avancés de MLC, page 40 Cette section décrit les paramètres de configuration avancés du serveur McAfee Logon Collector. Le fichier de configuration de Logon Collector contient les paramètres permettant de configurer le serveur Logon Collector. Liste des adresses IP/groupes ignorés de MLC, page 42 Logon Collector vous donne la possibilité d'ignorer des adresses IP et des noms de groupes d'utilisateurs en fonction de vos besoins en matière de surveillance. Voir aussi Connexion d'utilisateurs Active Directory, page 37 Tableaux de bord, page 38 Serveur de messagerie, page 38 Certificat de réplication d'identité, page 38 Paramètres Logon Monitor en local, page 38 Impression et exportation, page 46 Certificat de serveur, page 46 Connexion d'utilisateurs Active Directory Sélectionnez cette option pour permettre aux utilisateurs Active Directory de se connecter à Logon Collector s'ils disposent d'au moins un ensemble d'autorisations. McAfee Logon Collector 2.1 Guide d'administration 37
5 Paramètres serveur A propos des paramètres serveur Voir aussi A propos des paramètres serveur, page 37 Gestion d'ensembles d autorisations, page 80 Tableaux de bord L'option Dashboards (Tableaux de bord) de l'interface utilisateur ne s'applique pas à Logon Collector 2.1. Voir aussi A propos des paramètres serveur, page 37 Serveur de messagerie Indiquez le serveur de messagerie (SMTP) à utiliser pour l'envoi des rapports par messagerie électronique. Option Définition SMTP server name Nom du serveur SMTP SMTP server port Numéro de port du serveur SMTP, généralement port 125 Authentication Méthode d'authentification, le cas échéant, pour le serveur SMTP Sélectionnez Authenticate (Authentifier) et indiquez les informations d'identification requises si le serveur SMTP spécifié nécessite une authentification. From address L'adresse électronique de l'expéditeur à saisir dans le champ From (De) Voir aussi A propos des paramètres serveur, page 37 Exportation du journal d'audit, page 86 Définition des critères d'export, page 90 Certificat de réplication d'identité Le certificat de réplication d'identité identifie Logon Collector par rapport aux autres entités avec lesquelles le logiciel communique et établit une connexion fiable. Par exemple : La valeur de Logon Monitor Fingerprint est fournie à Logon Monitor. La valeur Base 64 est fournie aux clients tels que McAfee Firewall Enterprise Control Center. Vous pouvez générer un nouveau certificat auto signé ou utiliser un certificat fourni et une clé privée en recherchant leur emplacement. Vous devez également fournir une phrase de passe, le cas échéant, lorsque vous utilisez un certificat fourni. La modification du certificat peut entraîner l'un des problèmes suivants : Il se peut que le client existant ne puisse pas se reconnecter. Le service de cluster HA (High Availability) peut s'arrêter. Voir aussi A propos des paramètres serveur, page 37 Paramètres Logon Monitor en local Configurez les paramètres de Logon Monitor en local. 38 McAfee Logon Collector 2.1 Guide d'administration
Paramètres serveur A propos des paramètres serveur 5 Option Distinguished Name (Nom unique) Store Name (Nom du magasin) Store Type (Type de magasin) Server Port (Port serveur) Certificate Checking (Vérification du certificat) Connection Type (Type de connexion) Debug Level (Niveau de débogage) File Location (Emplacement du fichier) File Size (Taille du fichier) Authentication Type (Type d'authentification) Définition L'option Distinguished Name (Nom unique) contient le Nom commun et d'autres attributs utiles à Logon Monitor en local pour identifier le certificat trouvé dans son magasin (voir Nom du magasin ci dessous) dont il a besoin pour s'authentifier auprès du serveur Logon Collector. Par exemple, cn=dlc.centserv.org,o=centserv,c=us peut être le nom unique, cn (Common Name) étant le nom commun, o (Organization) le nom de la société et c (Country) le pays d'origine. Pour utiliser un certificat auto signé, le nom commun (avec le préfixe cn=) suffit en guise d'identification. Le nom du magasin, ou nom du magasin de certificats, est l'emplacement où Logon Monitor en local cherche ses certificats. Le nom du magasin par défaut est McAfeeLogonMonitor\MY. Le type de magasin utilisé est CERT_SYSTEM_STORE_SERVICES. Les magasins de certificats sont organisés par type. Le type par défaut (CERT_SYSTEM_STORE_SERVICES) doit suffire dans la plupart des cas. Le port du service Logon Monitor local sur lequel écouter. Tant qu'un autre service n'écoute pas sur le port spécifié, utilisez le port de votre choix. Le numéro de port par défaut est 50443. Les numéros de port valides sont compris entre 1 et 65535. Spécifie le type de vérification à effectuer sur tout certificat distant accepté. Certificate Hash (Hachage du certificat) [Recommandé] : vérifie que le hachage configuré pour le nom commun donné correspond au hachage stocké. Certificate Store (Magasin de certificats) : la vérification du magasin de certificats est effectuée lorsque le certificat doit être signé par une autorité de certification trouvée dans le magasin de certificats. Certified Not Required (Certification non requise) : cette option ne vérifie aucun certificat. Elle ne fournit aucune communication sécurisée pour accéder à Logon Collector. McAfee recommande l'utilisation de l'option Certificate Hash (Hachage du certificat) comme méthode la plus sécurisée. Spécifie si la connexion Logon Collector est chiffrée ou non. Ce paramètre est destiné à des fins de dépannage uniquement. Ce paramètre doit être défini sur la valeur par défaut (Encrypted (TLS)), sinon Logon Collector risque de ne pas fonctionner correctement. La quantité d'informations écrites dans le fichier journal. Le niveau de détail augmente le niveau de débogage. La valeur par défaut est zéro (0) ; aucune information supplémentaire n'est enregistrée dans le journal. L'emplacement du système où le fichier est stocké. Par défaut, l'emplacement d'installation de Logon Collector est C:\Program Files \McAfee\McAfee Logon Collector\Login Collector. La taille maximale, en kilo octets, que le fichier journal peut atteindre avant sa rotation. Le système conserve jusqu'à cinq fichiers journaux dans l'emplacement sélectionné. LoginMonitor.log est le fichier le plus récent, suivi chronologiquement par LoginMonitor.log.1 jusqu'à LoginMonitor.log.4. Le type d'authentification de la connexion entre le service Logon Monitor local et tout contrôleur de domaine. L'authentification Kerberos et NTLM est prise en charge ; Kerberos est le type par défaut. McAfee Logon Collector 2.1 Guide d'administration 39
5 Paramètres serveur A propos des paramètres serveur Option CPU Disconnect Threshold (Seuil de déconnexion du processeur) Maximum Backlog Records (Nombre maximum d'enregistrements de file d'attente) Allow Backlog Queries (Autoriser les requêtes de file d'attente) Définition Spécifie lorsque Monitor Logon en local ajoute une limitation du débit si les services sur un contrôleur de domaine surveillé consomment trop de ressources processeur et trop rapidement. Si le seuil de processeur est dépassé, Logon Monitor en local cesse d'interroger le domaine pendant vingt minutes. Après une durée de vingt minutes, qui devrait permettre au processeur de gérer sa charge, Logon Monitor en local se reconnecte. Si vous trouvez que Logon Monitor en local a fréquemment recours à la limitation du débit, essayez de désactiver l'option Allow Backlog Queries (Autoriser les requêtes de file d'attente). Nombre maximum d'enregistrements pour lequel une requête de file d'attente est exécutée. Spécifie si Logon Monitor en local vérifie les journaux des événements de sécurité du contrôleur de domaine à la recherche d'événements relatifs à l'identité pouvant être survenus pendant qu'il n'était pas connecté. Lorsque cette option est activée, Logon Monitor peut effectuer des requêtes au moment où il était déconnecté plutôt que de simplement reprendre au moment où il se reconnecte. Notez que la requête de file d'attente ne peut être effectuée que lorsque Logon Monitor en local se connecte d'abord au contrôleur de domaine. La requête est effectuée pour la valeur de l'option Maximum Backlog Records (Nombre maximum d'enregistrements de file d'attente) ou jusqu'au moment de la dernière connexion, quel que soit celui qui survient en premier. Les requêtes de file d'attente risquent d'affecter les performances des ordinateurs fortement sollicités ou d'ancienne génération, et ne sont par conséquent pas recommandées. Si vous trouvez que Logon Monitor en local a fréquemment recours à la limitation du débit, essayez de désactiver cette fonction. Accepted Remote Certificates (Certificats distants acceptés) Certificats de moniteurs Logon Collector distants acceptés par Logon Collector en local. Les certificats doivent répondre aux critères définis dans l'option Certificate Checking (Vérification du certificat). Voir aussi A propos des paramètres serveur, page 37 Configuration de Logon Monitor, page 47 Paramètres avancés de MLC Cette section décrit les paramètres de configuration avancés du serveur McAfee Logon Collector. Le fichier de configuration de Logon Collector contient les paramètres permettant de configurer le serveur Logon Collector. Pour configurer ces paramètres, vous pouvez au choix utiliser l'option MLC Advanced Settings (Paramètres avancés de MLC) ou modifier le fichier mlc config.xml. Domain Controller Backoff Time (Temps d'interruption du contrôleur de domaine) : Logon Collector cesse d'envoyer les requêtes WMI au contrôleur de domaine si l'utilisation du processeur par ce dernier est supérieure au seuil de processeur configuré. Par défaut, Logon Collector attend 20 minutes avant d'envoyer les requêtes WMI à ce contrôleur de domaine. La définition d'une valeur trop faible pour controllerbackofftime n'est pas recommandée, car cela peut augmenter la charge sur le contrôleur de domaine. McAfee recommande une valeur minimale de 10 minutes. 40 McAfee Logon Collector 2.1 Guide d'administration
Paramètres serveur A propos des paramètres serveur 5 Logon Collector V1 Compatibility (Compatibilité Logon Collector V1) : Logon Collector 1.0 et Logon Collector 1.0.1 ne transmettent pas aux clients les changements de noms des utilisateurs ou des groupes Active Directory. Toutefois, Logon Collector 2.1 transmet les informations sur tout changement de nom d'utilisateur ou de groupe aux clients. Ceci prive McAfee Firewall ACLD de son élément central puisqu'il dépend de cette fonctionnalité de Logon Collector. A cet égard, le mode de compatibilité v1 de Logon Collector 2.1 a exactement le même comportement que celui de Logon Collector 1.0. Ainsi, Firewall ACLD ne perd pas son élément central dès qu'une mise à niveau vers Logon Collector 2.1 est réalisée. Par défaut, Logon Collector 2.1 s'exécute sur le mode de compatibilité. Remove White Space from Unique Name (Supprimer les espaces du nom unique) : Logon Collector 1.x utilisait un algorithme permettant de générer un nom unique («uniquename») pour les objets utilisateur et groupe qui supprimait les espaces vides. En conséquence, l'algorithme responsable de la génération de noms uniques ne créait pas le nom unique («uniquename»). Exemple : Groupe 1 cn: ProductServices un: ProductServices@DistributionLists.scur.com Groupe 2 cn: Product Services un: ProductServices@DistributionLists.scur.com Le même "un" est généré pour le Groupe 1 et le Groupe 2, même si leurs "cn" sont différents. McAfee epo Users and Groups Limit (Limite d'utilisateurs et de groupes McAfee epo) : lorsque Logon Collector fonctionne comme extension de McAfee epo, l'idds (Identity Data Store, Banque de données d'identité) de Logon Collector se limite par défaut à 10 000 objets Répertoire. La valeur par défaut de ce paramètre est 10 000. Il est déconseillé de saisir une valeur supérieure à 10 000. McAfee conseille d'installer Logon Collector sur un serveur autonome si le domaine à surveiller comporte plus de 10 000 utilisateurs et groupes. Configuration de Logon Collector à l'aide des paramètres avancés de MLC Sélectionnez Server Settings MLC Advanced Settings (Paramètres serveur Paramètres avancés de MLC) pour configurer les paramètres avancés de Logon Collector. Vous pouvez également configurer ces paramètres à partir du fichier XML. 1 Sélectionnez Menu Configuration Server Settings (Menu, Configuration, Paramètres serveur). 2 Sélectionnez MLC Advanced Settings (Paramètres avancés de MLC), puis cliquez sur Edit (Modifier). La page Edit MLC Advanced Settings (Modifier les paramètres avancés de MLC) s'affiche. 3 [Paramètre Logon Collector] Dans le champ Domain Controller Backoff Time (Temps d'interruption du contrôleur de domaine), entrez la durée en minutes. 4 [Pour les clients] Cochez ou décochez la case MLC V1 Compatibility (Compatibilité MLC V1). Cette case est cochée par défaut. McAfee Logon Collector 2.1 Guide d'administration 41
5 Paramètres serveur A propos des paramètres serveur 5 [Pour les clients] Cochez ou décochez la case Remove White Space from Unique Name (Supprimer les espaces du nom unique). Cette case est décochée par défaut. Dans Logon Collector, ces noms d'utilisateurs et de groupes d'utilisateurs restent tels quels. 6 [Pour l'extension MLC de epolicy Orchestrator] Dans le champ (epo) Users and Groups Limit (Limite d'utilisateurs et de groupes (epo)), entrez le nombre maximal d'utilisateurs et de groupes d'utilisateurs. 7 Cliquez sur Save (Enregistrer). 8 Redémarrez le service Logon Collector. Configuration des paramètres avancés de Logon Collector à l'aide du fichier XML Suivez les étapes ci dessous pour configurer les paramètres avancés du fichier XML si vous souhaitez configurer le serveur Logon Collector. 1 Arrêtez le service Logon Collector. 2 Accédez au fichier <MLC_INSTALL_FOLDER>/server/conf/mlc config.xml. 3 Modifiez le fichier XML. Domain Controller Backoff Time (Temps d'interruption du contrôleur de domaine) Modifiez la valeur du paramètre (en minutes) : <config name="controllerbackofftime" value="20" type="common" /> Logon Collector V1 Compatibility (Compatibilité Logon Collector V1) Modifiez la valeur du paramètre (true/vrai ou false/faux) : <config name="enable v1 compatibility" value="true type="common"/> Remove White Space from Unique Name (Supprimer les espaces du nom unique) Modifiez la valeur du paramètre (true/vrai ou false/faux) : <config name="removewhitespacefromuniquename" value="false" /> McAfee epo Users and Groups Limit (Limite de groupes et d'utilisateurs McAfee epo) Modifiez la valeur du paramètre (nombre) : <config name="idds.epo.limit.directory_object_count" value="10000" /> 4 Redémarrez le service Logon Collector. Si le service Logon Collector prend plus de temps à s'arrêter, ouvrez le Task Manager (Gestionnaire des tâches), sélectionnez l'onglet Processes (Processus), recherchez le processus Tomcat, puis cliquez sur End Process (Terminer le processus). Liste des adresses IP/groupes ignorés de MLC Logon Collector vous donne la possibilité d'ignorer des adresses IP et des noms de groupes d'utilisateurs en fonction de vos besoins en matière de surveillance. Bon nombre d'organisations comportent des serveurs Exchange Server. Lorsque des utilisateurs se connectent à OWA, le contrôleur de domaine obtient l'adresse IP du serveur Exchange Server. L'administrateur système peut ajouter l'adresse IP du serveur Exchange à la liste IP Ignore List (Liste des adresses IP ignorées). 42 McAfee Logon Collector 2.1 Guide d'administration
Paramètres serveur A propos des paramètres serveur 5 De même, de nombreux systèmes sont configurés de sorte à réaliser certaines tâches automatisées. Ces systèmes se connectent en permanence au contrôleur de domaine à l'aide d'informations d'identification robot (bot). L'administrateur système peut créer un groupe d'utilisateurs et ajouter ces utilisateurs robot (bot) au groupe. Ce groupe d'utilisateurs peut être ajouté à la liste Group Ignore List (Liste des groupes ignorés). IP Ignore List (Liste des adresses IP ignorées) : si un utilisateur se connecte à partir d'une adresse IP qui a été ajoutée à la liste IP Ignore List (Liste des adresses IP ignorées), tous les événements de connexion provenant de cette adresse IP sont ignorés. Group Ignore List (Liste des groupes ignorés) : si un utilisateur est membre d'un groupe, et que le nom de ce groupe d'utilisateurs (ou de l'un des groupes de son groupe parent) a été ajouté à la liste Group Ignore List (Liste des groupes ignorés), tous les événements de connexion de cet utilisateur sont ignorés. Ignorer des adresses IP d'utilisateurs et des noms de groupes d'utilisateurs Vous pouvez sélectionner Server Settings MLC Group / IP Ignore List (Paramètres serveur Liste des adresses IP/groupes ignorés de MLC) pour ignorer des adresses IP d'utilisateurs et des noms de groupes d'utilisateurs. 1 Sélectionnez Menu Configuration Server Settings (Menu, Configuration, Paramètres serveur). 2 Sélectionnez MLC Group / IP Ignore List (Liste des adresses IP/groupes ignorés de MLC), puis cliquez sur Edit (Modifier). La page Edit MLC Group / IP Ignore List (Modifier la liste des adresses IP/groupes ignorés de MLC) s'affiche. 3 Dans Group Ignore List (Liste des groupes ignorés), entrez les noms des groupes d'utilisateurs en tant que valeurs séparées par des virgules. 4 Dans IP Ignore List (Liste des adresses IP ignorées), entrez les adresses IP d'utilisateurs en tant que valeurs séparées par des virgules. 5 Cliquez sur Save (Enregistrer). Configurer l'adresse IP pour la communication client du serveur de Logon Collector Logon Collector écoute toutes les adresses IP qui se trouvent sur son serveur. En cas d'échec de la communication Haute disponibilité, quand le serveur principal est inactif ou inaccessible, le serveur secondaire passe du mode de veille au mode actif. Celui ci continue alors d'établir la communication avec le serveur primaire. Une fois le serveur primaire réactivé, le serveur secondaire repasse en mode de veille (ou passif) et le serveur primaire au mode actif. Quand le serveur primaire n'est pas disponible, les clients de Logon Collector doivent réessayer toutes les adresses IP du serveur primaire avant de basculer au serveur secondaire. Ceci ralentit le processus d'échec pour le client. Pour résoudre ce problème, Logon Collector permet de choisir parmi les adresses IP disponibles pour communication. Le port HTTPS de Logon Collector continue d'écouter toutes les adresses IP. Mais la communication clients et Haute disponibilité est assurée à travers l'adresse IP sélectionnée. Ainsi, quand le serveur primaire n'est pas disponible, les clients de Logon Collector doivent réessayer uniquement l'adresse IP principale configurée avant de basculer au serveur secondaire. Configuration de l'adresse IP de communication de MLC Pour configurer MLC Communication IP Address (Adresse IP de communication de MLC) : McAfee Logon Collector 2.1 Guide d'administration 43
5 Paramètres serveur A propos des paramètres serveur 1 Sélectionnez Menu Configuration Server Settings (Menu, Configuration, Paramètres serveur). 2 Cliquez sur MLC Communication IP Address (Adresse IP de communication de MLC). 3 Cliquez sur Edit (Modifier) dans l'angle inférieur droit pour sélectionner une adresse IP dans la liste déroulante. Figure 5-1 Modification de l'adresse IP de communication de MLC 4 Cliquez sur Save (Enregistrer). Expiration du délai de connexion de l'utilisateur MLC Logon Collector dispose d'une option permettant de modifier la durée de l'événement de connexion sur le serveur Logon Collector. Par défaut, cet événement de connexion est stocké sur le serveur Logon Collector pour une durée de 6 heures. Configuration du délai d'expiration de la connexion utilisateur de MLC Pour configurer MLC User Login Timeout (Délai d'expiration de la connexion utilisateur de MLC) : 44 McAfee Logon Collector 2.1 Guide d'administration
Paramètres serveur A propos des paramètres serveur 5 1 Sélectionnez Menu Configuration Server Settings (Menu, Configuration, Paramètres serveur). 2 Cliquez sur MLC User Login Timeout (Délai d'expiration de la connexion utilisateur de MLC). Figure 5-2 MLC User Login Timeout (Délai d'expiration de la connexion utilisateur de MLC) 3 Cliquez sur Edit (Modifier) dans le coin inférieur droit pour modifier la durée. L'événement de connexion est stocké sur le serveur Logon Collector en fonction de la durée configurée. Figure 5-3 Edit MLC User Login Timeout (Modification du délai d'expiration de la connexion utilisateur de MLC) 4 Cliquez sur Save (Enregistrer). McAfee Logon Collector 2.1 Guide d'administration 45
5 Paramètres serveur A propos des paramètres serveur Impression et exportation Configurez les paramètres des documents exportés. Figure 5-4 Option Impression et exportation Voir aussi A propos des paramètres serveur, page 37 Certificat de serveur Cette section explique comment configurer le certificat utilisé par Logon Monitor pour s'authentifier auprès de Logon Collector. Vérifiez que vous disposez bien d'un certificat pour Logon Monitor, que ce soit un nouveau certificat auto signé (par Logon Monitor) ou un certificat signé par une Autorité de certification. Sans ce certificat, Logon Monitor ne fonctionne pas. Toutefois, pour un moniteur Logon Monitor local, vous n'avez pas besoin certificat autosigné. Distinguished Name (Nom unique) : ce champ présente le nom commun et d'autres attributs utiles à Logon Monitor pour identifier le certificat en stockage (voir Nom du stockage ci dessous) dont il a besoin pour s'authentifier auprès du serveur. Par exemple, la chaîne de caractères cn=dlc.centserv.org,o=centserv,c=us pourrait être le nom unique, cn (Common Name) étant le nom commun, o (Organization) le nom de l'organisation et c (Country) le pays d'origine. Pour utiliser un certificat autosigné, le nom commun (avec le préfixe cn=) suffit en guise d'identification. Store Name (Nom de stockage) : le nom de stockage ou nom de stockage du certificat est l'endroit où Logon Monitor trouvera son certificat. Le nom de stockage par défaut est McAfeeLogonMonitor\MY. Le type de stockage utilisé est CERT_SYSTEM_STORE_SERVICES. Si le moniteur Logon Monitor fonctionne en mode autonome, utilisez le nom de stockage MY. Le type de stockage utilisé est CERT_SYSTEM_STORE_CURRENT_USER. 46 McAfee Logon Collector 2.1 Guide d'administration
Paramètres serveur A propos des paramètres personnels 5 Generate Self Signed Certificate (Générer un certificat autosigné) : cette option n'est disponible que lorsque le champ Distinguished Name (Nom unique) est renseigné. Elle permet de créer un certificat auto signé et de l'enregistrer dans le stockage de certificats indiqué par le champ Store Name (Nom de stockage). Si vous installez Logon Monitor séparément, vous devez générer un certificat afin de pouvoir connecter Logon Monitor à Logon Collector. View Certificate (Afficher le certificat) : cette option n'est disponible que lorsque le champ Distinguished Name (Nom unique) est renseigné. Le bouton View Certificate (Afficher le certificat) affiche les certificats standard Windows ainsi que leur nom unique si celui ci a été stocké. Voir aussi A propos des paramètres serveur, page 37 A propos des paramètres personnels La fenêtre Personal Settings (Paramètres personnels) vous permet de modifier le mot de passe de l'utilisateur actuellement connecté et le délai d'actualisation des tableaux (autres que les tableaux de bord) en minutes, s'ils sont actualisés automatiquement. Sélectionnez Menu Configuration Personal Settings (Menu, Configuration, Paramètres personnels). Configuration de Logon Monitor Logon Monitor est exécuté comme un service Windows et démarre automatiquement à chaque fois vous allumez votre ordinateur. Cette section décrit la configuration du logiciel Logon Monitor. Pour configurer Logon Monitor, une application appelée Logon Monitor Configuration se trouve sur l'ordinateur Windows où vous avez installé le logiciel Logon Monitor. Si Logon Monitor n'est pas configuré au moment de son installation, ouvrez le menu Démarrer et sélectionnez l'application Logon Monitor Configuration (Configuration de Logon Monitor) (par exemple, par défaut dans Démarrer Programmes McAfee Logon Monitor Logon Monitor Configuration). La fenêtre McAfee Logon Monitor Configuration s'ouvre alors. Lorsque vous modifiez la configuration de Logon Monitor, il n'est nul besoin de redémarrer l'application. Les modifications prennent effet après avoir cliqué sur OK. Les informations sur la configuration de Logon Monitor sont stockées dans le Registre Windows. Voir aussi Installation de Logon Monitor, page 24 Paramètres Logon Monitor en local, page 38 McAfee Logon Collector 2.1 Guide d'administration 47
5 Paramètres serveur Configuration de Logon Monitor Onglet Configuration L'onglet Configuration contient les paramètres de Logon Monitor. Figure 5-5 Configuration tab (Onglet Configuration) Onglet Remote (Distant) L'onglet Remote (Distant) affiche le nom commun du certificat et le hachage de certificat de toute application Logon Collector à laquelle ce moniteur Logon Monitor est connecté. 48 McAfee Logon Collector 2.1 Guide d'administration
Paramètres serveur Configuration de Logon Monitor 5 Logon Monitor accepte un nombre indéfini de certificats sous l'onglet Remote (Distant). Figure 5-6 Onglet Remote (Distant) Voir aussi Ajout d'un certificat Logon Collector à Logon Monitor, page 33 Gestion des certificats de Logon Monitor via MMC Logon Monitor utilise le magasin de données Microsoft Certificate pour la gestion des certificats générés. Après avoir installé Logon Monitor, le plus simple pour afficher les certificats est d'utiliser la console de gestion de Microsoft MMC (Microsoft Management Console) qui donne accès au stockage des certificats pour le service Logon Monitor. Pour utiliser MMC : 1 Démarrez MMC (Démarrer Exécuter MMC). 2 Sélectionnez Fichier Ajouter/Supprimer un composant logiciel enfichable pour afficher la fenêtre Ajouter/Supprimer un composant logiciel enfichable. 3 Cliquez sur Ajouter pour afficher la fenêtre Ajout d'un composant logiciel enfichable autonome. 4 Sélectionnez Certificats, puis cliquez sur Ajouter pour afficher la fenêtre Composant logiciel enfichable Certificats. McAfee Logon Collector 2.1 Guide d'administration 49
5 Paramètres serveur Configuration de Logon Monitor 5 Sélectionnez Compte de service dans la fenêtre Composant logiciel enfichable Certificats, puis cliquez sur Suivant. 6 Sélectionnez Ordinateur local, puis cliquez sur Suivant. 7 Sélectionnez Logon Collector dans la liste des services, puis cliquez sur Terminer. 8 Cliquez sur Fermer dans la fenêtre Ajout d'un composant logiciel enfichable autonome. 9 Cliquez sur OK dans la fenêtre Ajouter/Supprimer un composant logiciel enfichable pour fermer cette fenêtre. MMC affiche les informations sur les certificats pour Logon Monitor. 10 Cliquez avec le bouton droit de la souris sur un certificat ou un stockage pour importer des listes de certificats dans l'affichage. Importation ou suppression d'un certificat approuvé serveur ou client pour Logon Monitor Pour en savoir plus sur l'importation d'un certificat approuvé (CA) pour Logon Monitor, consultez la documentation Microsoft sur les composants logiciels intégrables pour certificats via la console MMC. Cela ne s'avère utile que lorsque Logon Monitor utilise la vérification des certificats. Utilisation de NTLMv2 avec les moniteurs Logon Monitor McAfee recommande d'utiliser Kerberos comme type d'authentification. Si vous souhaitez utiliser NTLM, vous devez utiliser NTLMv2 tel que décrit dans cette section. La méthode d'authentification par défaut dans les environnements Windows, le hachage LM, génère une réponse faible qui peut être utilisée par un agresseur pour effectuer une attaque en force hors ligne afin de deviner le mot de passe. Lisez cette section pour savoir comment utiliser la méthode d'authentification NTLMv2 afin d'établir une connexion plus sécurisée entre Logon Monitor et un contrôleur de domaine. McAfee recommande d'utiliser la méthode d'authentification NTLMv2 sur les serveurs Windows 2003 et Windows 2008, lorsque vous exécutez Logon Monitor. Cela permet à Logon Monitor d'utiliser NTLMv2 pour s'authentifier auprès des contrôleurs de domaine. Pour cela, vous devez modifier le Registre ; aucune modification n'est nécessaire sur les contrôleurs de domaine. Cette procédure nécessite la modification du Registre Windows Server. La modification incorrecte du Registre peut rendre votre ordinateur complètement inutilisable ou instable. Sauvegardez votre Registre avant de laisser votre système devenir complètement inutilisable ou dans un état instable. Sauvegardez votre Registre avant de continuer. Pour plus d'informations, consultez l'article 322756 du support technique Microsoft (http://support.microsoft.com/kb/322756/). Si le serveur Windows offre d'autres services et si des clients ne prennent pas en charge NTLMv2 (par exemple, Windows 95 ou Windows 98), cette modification empêche ces anciens clients d'utiliser le serveur. Pour forcer l'utilisation de NTLMv2 : 1 Connectez vous au serveur Windows sur lequel Logon Monitor est exécuté. 2 Ouvrez l'editeur du Registre (Démarrer Exécuter regedit). 3 Accédez à la clé : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa 4 Cliquez avec le bouton droit de la souris sur la valeur LmCompatibilityLevel. Consultez la page : http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/ regentry/76052.mspx 50 McAfee Logon Collector 2.1 Guide d'administration
Paramètres serveur Configuration de Logon Monitor 5 5 Cliquez sur Modifier. 6 Entrez le chiffre 5 (utiliser uniquement l'authentification NTLMv2 et négocier la sécurité de session NTLMv2 si le serveur prend en charge cette fonction), puis cliquez sur OK. 7 Redémarrez le serveur Windows. 8 Assurez vous que l'état IAM de Logon Collector est HAUT au bout de 10 minutes. McAfee Logon Collector 2.1 Guide d'administration 51
5 Paramètres serveur Configuration de Logon Monitor 52 McAfee Logon Collector 2.1 Guide d'administration
6 Haute 6 disponibilité (Clustering) Ce chapitre décrit la fonction Haute disponibilité (HA pour High Availability). Les termes Haute disponibilité et cluster sont utilisés de manière interchangeable dans ce chapitre. Sommaire Présentation Fondamentaux de la configuration Réplication des données de configuration Réplication des événements de connexion Restrictions Désactivation d'un cluster Reconfiguration d'un cluster Présentation La fonctionnalité Haute disponibilité permet à McAfee Logon Collector d'exister sous la forme d'un serveur principal et d'un serveur secondaire. Dans cet exemple, lorsque le serveur principal est inactif ou indisponible, le serveur secondaire passe du mode veille au mode actif. Ce dernier continue d'interroger le serveur principal pour vérifier s'il est de nouveau disponible. Une fois que le serveur principal est actif, le serveur secondaire passe en mode veille. Les clients connectés au serveur principal basculent sur le serveur secondaire lorsque le serveur principal devient indisponible. Lorsque le serveur principal devient de nouveau actif, les clients rebasculent sur le serveur principal. Logon Collector peut exister dans les modes suivants : Autonome Cluster Logon Collector peut exister dans les états suivants : Actif Veille Fondamentaux de la configuration Cette section explique les fondamentaux de la configuration de la fonction Haute disponibilité. McAfee Logon Collector 2.1 Guide d'administration 53
6 Haute disponibilité (Clustering) Fondamentaux de la configuration Conditions préalables pour Haute disponibilité Voici les conditions préalables pour la fonction Haute disponibilité : Deux serveurs de Logon Collector (un serveur principal et un secondaire) doivent être disponibles. Le(s) contrôleur(s) de domaine(s) à surveiller doi(ven)t toujours être accessible(s) depuis les deux serveurs de Logon Collector. Les deux serveurs principal et secondaire doivent communiquer entre eux. Les deux serveurs principal et secondaire doivent disposer soit d'un certificat autosigné, soit d'un certificat signé par une autorité de certification commune. 54 McAfee Logon Collector 2.1 Guide d'administration
Haute disponibilité (Clustering) Fondamentaux de la configuration 6 Configuration de la fonction Haute disponibilité Pour configurer un cluster : 1 Installez Logon Collector sur deux serveurs différents (Windows Server 2003 ou Windows Server 2008). 2 Sur le serveur que sous souhaitez choisir comme principal, sélectionnez Menu Configuration Cluster Configuration (Menu, Configuration, Configuration du cluster). Figure 6-1 Option Cluster Configuration (Configuration du cluster) La fenêtre Cluster Configuration (Configuration du cluster) s'ouvre. McAfee Logon Collector 2.1 Guide d'administration 55
6 Haute disponibilité (Clustering) Fondamentaux de la configuration 3 Cliquez sur Edit (Modifier). La fenêtre Edit Cluster Configuration (Modifier la configuration du cluster) s'ouvre. Figure 6-2 Fenêtre Cluster Configuration (Configuration du cluster) 4 Cochez la case Enable clustering (Activer le clustering), puis sélectionnez Primary (Principal). Cliquez sur Save (Enregistrer). Figure 6-3 Fenêtre Edit Cluster Configuration (Modifier la configuration du cluster) pour la configuration du serveur principal 5 Sur le serveur que sous souhaitez choisir comme secondaire, sélectionnez Menu Configuration Cluster Configuration (Menu, Configuration, Configuration du cluster) pour ouvrir la fenêtre Cluster Configuration (Configuration du cluster). 56 McAfee Logon Collector 2.1 Guide d'administration
Haute disponibilité (Clustering) Fondamentaux de la configuration 6 6 Dans la fenêtre Edit Cluster Configuration (Modifier la configuration du cluster), cochez la case Enable Clustering (Activer le clustering), puis la case Secondary (Secondaire). Entrez les informations suivantes : Primary Server (<IP Address>:<Https port>) [Serveur principal (<adresse IP>:<port HTTPS>)] Admin username for primary server (Nom d'utilisateur de l'administrateur pour le serveur principal) Admin password for primary server (Mot de passe de l'administrateur pour le serveur principal) Figure 6-4 Fenêtre Edit Cluster Configuration (Modifier la configuration du cluster) pour la configuration du serveur secondaire Cliquez sur Next (Suivant). La fenêtre Enable Cluster Task (Activer la tâche du cluster) s'ouvre. McAfee Logon Collector 2.1 Guide d'administration 57
6 Haute disponibilité (Clustering) Fondamentaux de la configuration 7 Cliquez sur Yes (Oui) pour afficher le certificat de port HTTPS du serveur principal. Le cluster sera formé uniquement si vous acceptez le certificat. Ce message fournit des informations sur les paramètres de configuration une fois que la formation d'un cluster est terminée. Figure 6-5 Fenêtre Enable Cluster Task (Activer la tâche du cluster) Cliquez sur No (Non) si vous ne souhaitez pas remplacer les paramètres de configuration. 8 Dans la fenêtre Primary MLC Certificate (Certificat MLC principal), cliquez sur Accept Certificate and Enable Clustering (Accepter le certificat et activer le clustering). Cela lance l'échange de certificat entre les serveurs principal et secondaire et permet l'établissement de la confiance. Figure 6-6 Fenêtre Primary MLC Certificate (Certificat MLC principal) La fenêtre Cluster Configuration (Configuration du cluster) s'ouvre. 58 McAfee Logon Collector 2.1 Guide d'administration
Haute disponibilité (Clustering) Fondamentaux de la configuration 6 9 La fenêtre Cluster Configuration (Configuration du cluster) affiche les informations suivantes : MLC Cluster Configuration Enabled (Configuration du cluster MLC activée) : l'état de la configuration du cluster. Status (Etat) : l'état du serveur. Primary Server IP address (l'adresse IP du serveur principal) : l'adresse IP du serveur principal. Https port number of primary server (Numéro de port HTTPS du serveur principal) : le numéro de port HTTPS utilisé par le serveur homologue lors de la création du cluster. JMS port number of primary server (Numéro de port JMS du serveur principal) : le numéro de port Java Messaging Services (JMS) utilisé par le serveur homologue et les clients lors du transfert de données. Figure 6-7 Fenêtre Cluster Configuration (Configuration du cluster) après la formation du cluster Voir aussi Reconfiguration d'un cluster, page 64 Configuration de la fonction Haute disponibilité dans le réglage PKI Vous pouvez également configurer la fonction Haute disponibilité dans le réglage PKI (Public Key Infrastructure Infrastructure de clés publiques). La procédure pour configurer le cluster dans ce type de scénario est la même que celle décrite précédemment. Conditions préalables pour configurer la fonction Haute disponibilité dans le réglage PKI McAfee Logon Collector 2.1 Guide d'administration 59
6 Haute disponibilité (Clustering) Fondamentaux de la configuration Pour configurer la fonction de Haute disponibilité dans le réglage PKI, procédez comme suit : 1 Sélectionnez Menu Configuration Trusted CAs (Menu, Configuration, Autorités de certification approuvées) et ajouter le certificat de l'autorité de certification racine approuvée aux deux homologues Haute disponibilité. 2 Sélectionnez Menu Configuration Server Settings Identity Replication Certificate (Menu, Configuration, Paramètres serveur, Certificat de réplication d'identité) pour remplacer le certificat de réplication d'identité par le certificat signé par les autorités de certification approuvées pour les serveurs respectifs. Le certificat racine des autorités approuvées et le certificat signé par les autorités approuvées doivent être ajoutés pour les clients. Scénarios d'erreur Un message d'erreur sera affiché pour l'un des scénarios suivants : Le certificat utilisé par le serveur principal est auto signé, tandis que le certificat utilisé par le serveur secondaire est signé par l'autorité de certification. Le certificat utilisé par le serveur secondaire est auto signé, tandis que le certificat utilisé par le serveur principal est signé par l'autorité de certification. Les certificats utilisés par les serveurs principal et secondaire sont signés par deux autorités de certification différentes. Dans ce cas, la configuration du cluster est réussie, mais l'état est affiché en rouge. La figure suivante indique le message d'erreur. Figure 6-8 Message d'erreur Vérification de l'état de formation d'un cluster Cette section explique comment vérifier l'état de formation d'un cluster. 60 McAfee Logon Collector 2.1 Guide d'administration
Haute disponibilité (Clustering) Fondamentaux de la configuration 6 1 Cliquez sur Menu Reporting Status (Menu, Rapports, Etat) pour vérifier l'état de formation d'un cluster. 2 Dans la fenêtre Status (Etat), cliquez sur Cluster Manager (Gestionnaire du cluster) pour afficher le message du membre du cluster. Figure 6-9 Message sur l'état de formation d'un cluster dans le serveur principal Figure 6-10 Message sur l'état de formation d'un cluster dans le serveur secondaire Important : L'état général {IAM} est ROUGE puisque l'état du composant {LAM} est ROUGE. Figure 6-11 Fenêtre Status (Etat) McAfee Logon Collector 2.1 Guide d'administration 61
6 Haute disponibilité (Clustering) Réplication des données de configuration Réplication des données de configuration Lors de la création d'un cluster, le serveur principal annule et remplace la configuration existante du serveur secondaire. Le serveur secondaire apparaît dans l'un des statuts suivants : Active (Actif) Quand le serveur secondaire est déconnecté du serveur principal, il est dit "actif". Standby (En veille) Quand le serveur secondaire est connecté au serveur principal, il est dit en "veille". Un serveur secondaire passif n'accepte pas de changements de configuration. Ce faisant, un message d'erreur s'affiche. Seul un serveur secondaire actif peut voir sa configuration modifiée. Réplication du serveur principal au serveur secondaire : Une fois le cluster configuré, les configurations sont répliquées du serveur principal au serveur secondaire. Réplication du serveur secondaire au serveur principal : Quand le serveur principal se réactive après une période d'interruption, il reçoit les données de configuration du serveur secondaire actif. Quand le serveur secondaire fonctionne en mode de veille, le statut {LAM} s'affiche en ROUGE dans la fenêtre Status (Etat). Ceci est tout à fait normal étant donné que Logon Collector s'arrête {LAM} quand il fonctionne en mode de veille. Logon Collector ne doit pas être déployé sur un serveur DHCP : les serveurs homologues de Logon Collector doivent communiquer entre eux lors de la formation d'un cluster. Mais cela peut s'avérer impossible si Logon Collector est déployé sur un serveur DHCP. Les produits McAfee connectés au serveur de Logon Collector sur une adresse IP donnée sont également déconnectés lorsque l'adresse IP est modifiée du fait de la configuration DHCP. C'est pourquoi McAfee déconseille de déployer Logon Collector sur un système DHCP. Réplication des événements de connexion Réplication du serveur principal au serveur secondaire Les événements de connexion du serveur actif de Logon Collector sont répliqués sur le serveur en veille de Logon Collector. Réplication du serveur secondaire actif au serveur principal Quand le serveur principal se réactive après une période d'interruption, il reçoit les données de réplication (événements de connexion, utilisateurs, groupes) du serveur secondaire actif. Lorsque le serveur principal et le serveur secondaire sont désactivés, vous devez commencer par démarrer le serveur disposant de la configuration la plus récente, suivi de l'autre serveur. Dans le cas contraire, il se peut que les données répliquées sur les serveurs ne soient pas les plus récentes. 62 McAfee Logon Collector 2.1 Guide d'administration
Haute disponibilité (Clustering) Restrictions 6 Restrictions La liste suivante indique les restrictions de la fonctionnalité Haute disponibilité : Le réseau partagé n'est pas pris en charge. Il est important de s'assurer que la communication entre le serveur principal et le serveur secondaire n'est jamais interrompue. Par exemple, si la connectivité réseau entre le serveur principal et le serveur secondaire est hors service, le serveur secondaire suppose que le serveur principal ne répond pas, attend 5 secondes et devient actif. Lorsque la communication est rétablie, le serveur principal remplace toujours la configuration du serveur secondaire. La fonction Haute disponibilité fonctionne dans la configuration PKI, mais les certificats principal et secondaire doivent être signés par le même auteur. La liste de révocation des certificats (CRL) n'est pas prise en charge. D'autres produits McAfee utilisant la bibliothèque du client Logon Collector 1.0 ne bénéficieront pas de cette fonctionnalité, mais pourront continuer à fonctionner. Désactivation d'un cluster Pour désactiver un cluster : 1 Sur le serveur secondaire, sélectionnez Menu Configuration Cluster Configuration (Menu, Configuration, Configuration du cluster). 2 Décochez la case Enable clustering (Activer le clustering) et cliquez sur Save (Enregistrer). La fenêtre Disable Cluster Task (Désactiver la tâche du cluster) s'ouvre alors. Cliquez sur Yes (Oui) pour continuer. Figure 6-12 Fenêtre Disable Cluster Task (Désactiver la tâche du cluster) pour le serveur secondaire McAfee Logon Collector 2.1 Guide d'administration 63
6 Haute disponibilité (Clustering) Reconfiguration d'un cluster 3 Ouvrez la fenêtre Cluster Configuration (Configuration du cluster) du serveur principal. 4 Décochez la case Enable clustering (Activer le clustering) et cliquez sur Save (Enregistrer). La fenêtre Disable Cluster Task (Désactiver la tâche du cluster) s'ouvre alors. Cliquez sur Yes (Oui) pour continuer. Figure 6-13 Fenêtre Disable Cluster Task (Désactiver la tâche du cluster) pour le serveur principal Une fois le cluster désactivé, la configuration du serveur secondaire est effacée, y compris les moniteurs Logon Monitors et les domaines attribués, et le serveur ne fonctionne plus comme serveur autonome. Le serveur principal conserve sa configuration et continue de surveiller les domaines configurés en tant que serveur autonome. Voir aussi Reconfiguration d'un cluster, page 64 Reconfiguration d'un cluster Le cluster peut être reconfiguré si le rôle des serveurs doit être inversé (par exemple, si vous voulez que le serveur secondaire fasse office de serveur principal et vice versa). Pour ce faire, procédez comme suit : 1 Désactivez le cluster. 2 Activez le cluster après avoir reconfiguré le serveur principal et le serveur secondaire. 64 McAfee Logon Collector 2.1 Guide d'administration
7 7 Actualisation d'utilisateur et de groupe à la demande Cette section détaille l'actualisation d'utilisateur et de groupe à la demande. Vous pouvez actualiser les informations sur le nouvel utilisateur à tout moment. Cela permet au serveur Logon Collector de synchroniser ses données utilisateur/groupe avec le contrôleur de domaine. Si l'administrateur ajoute un utilisateur à un groupe Active Directory pour accorder l'accès à une ressource, il se peut que l'administrateur utilise l'actualisation de groupe à la demande pour mettre à jour Logon Collector et permettre l'accès utilisateur à la ressource, sans avoir à attendre jusqu'à ce que l'actualisation de groupe soit effectuée en arrière plan. McAfee vous recommande d'éviter l'exécution des tâches d'actualisation d'utilisateur et de groupe simultanément. Exécutez la tâche d'actualisation de groupe environ 20 minutes avant la tâche d'actualisation d'utilisateur afin qu'elle se termine avant que la deuxième ne débute. D'autres options affichées dans l'interface utilisateur des Server Tasks (Tâches serveur) et non expliquées dans ce chapitre ne sont pas associées à Logon Collector. Sommaire MFS Scheduler 2.5 Actualisation de groupe à la demande Actualisation des informations sur les utilisateurs à la demande Journal des tâches serveur McAfee Logon Collector 2.1 Guide d'administration 65
7 Actualisation d'utilisateur et de groupe à la demande MFS Scheduler 2.5 MFS Scheduler 2.5 Vous pouvez effectuer les tâches d'actualisation d'utilisateur et de groupe à la demande si MFS Scheduler 2.5 est activé. MFS Scheduler 2.5 est activé par défaut. Accédez à Menu Software Extensions (Menu, Logiciel, Extensions) pour afficher MFS Scheduler 2.5 dans la liste des extensions installées. Figure 7-1 MFS Scheduler 2.5 Les tâches d'actualisation d'utilisateur et de groupe sont effectuées à l'aide de MFS Scheduler. L'intervalle des tâches du planificateur est stocké dans SQL Server et non dans le fichier mlc config.xml. Toute modification de l'intervalle de ces tâches n'est pas répliquée du serveur principal au serveur secondaire. Actualisation de groupe à la demande Sélectionnez Menu Automation Server Tasks (Menu, Automatisation, Tâches serveur) pour configurer la tâche du serveur MLC Refresh Groups (Groupes d'actualisation de MLC). Figure 7-2 Option MLC Refresh Groups (Groupes d'actualisation de MLC) Options d'actualisation de groupe Cette section détaille les diverses options d'actualisation de groupe. 66 McAfee Logon Collector 2.1 Guide d'administration
Actualisation d'utilisateur et de groupe à la demande Actualisation de groupe à la demande 7 Option 1 : Run (Exécuter) Avant de commencer Cette option permet l'actualisation manuelle des informations sur les groupes dans la base de données IDDS de Logon Collector en récupérant les dernières informations sur les groupes provenant du magasin de données des contrôleurs de domaines. Pour ce faire, procédez comme suit : 1 Sélectionnez Menu Automation Server Tasks (Menu, Automatisation, Tâches serveur). Cliquez sur l'option Run (Exécuter) de MLC Refresh Groups (Actualisation MLC Groupes). 2 Sous MLC Refresh Groups (Actualisation MLC Groupes), cliquez sur Run (Exécuter). La page Server Task Log (Journal des tâches serveur) s'ouvre alors. Elle affiche les résultats de l'actualisation des informations sur les groupes. Par défaut, les entrées sont classées en ordre chronologique, en commençant par la dernière entrée en date. Figure 7-3 Résultats de l'actualisation des informations sur les groupes 3 Cliquez sur MLC Refresh Groups (Actualisation MLC Groupes) pour afficher les résultats en détail. Figure 7-4 Page Server Task Log Details (Détails du journal des tâches serveur) Option 2 : Modifier Utilisez cette option pour modifier les paramètres du planificateur pour une tâche. Sélectionnez Menu Automation Server Tasks (Menu, Automatisation, Tâches serveur). Sélectionnez MLC Refresh Groups (Groupes d'actualisation de MLC), puis cliquez sur Edit (Modifier). McAfee Logon Collector 2.1 Guide d'administration 67
7 Actualisation d'utilisateur et de groupe à la demande Actualisation de groupe à la demande Onglet 1 : Description 1 Dans l'assistant Server Task Builder (Générateur de tâches serveur), l'onglet Description présente les informations suivantes : Name (Nom): Groupes d'actualisation de MLC Notes (Remarques): Actualiser tous les groupes de tous les répertoires Schedule status (Etat de planification): la planification de la tâche Enabled (Activé) : pour activer une actualisation automatique Disabled (Désactivé): pour désactiver une actualisation automatique McAfee ne recommande pas l'utilisation de l'action Disabled (Désactivé). Figure 7-5 Page Server Task Builder (Générateur de tâches serveur) 2 Cliquez sur Next (Suivant). L'onglet Actions s'ouvre. 3 Cliquez sur Save (Enregistrer). Onglet 2 : Actions Cet onglet indique les actions réalisées par Logon Collector. 68 McAfee Logon Collector 2.1 Guide d'administration
Actualisation d'utilisateur et de groupe à la demande Actualisation de groupe à la demande 7 1 Dans le champ Actions, l'option MLC Groupe Sync (Synchronisation MLC Groupes) est sélectionnée par défaut. Figure 7-6 Onglet Actions 2 Cliquez sur Next (Suivant). L'onglet Schedule (Planification) s'ouvre alors. 3 Cliquez sur Save (Enregistrer). Onglet 3 : Schedule (Planification) L'onglet Schedule (Planification) permet de modifier les paramètres du planificateur pour une tâche donnée. 1 Dans cet onglet Schedule (Planification), saisissez les informations suivantes : Schedule Type (Type de planification) : sélectionnez l'un des types de planification suivants, disponibles dans la liste déroulante : Hourly (Toutes les heures) Monthly (Tous les mois) Daily (Tous les jours) Yearly (Tous les ans) Weekly (Toutes les semaines) Advanced (Avancé) McAfee conseille l'option Daily (Tous les jours) pour le Schedule Type (Type de planification). Start Date (Début) : sélectionnez la date à laquelle vous souhaitez que la tâche commence. End Date (Fin) : sélectionnez la date à laquelle vous souhaitez que la tâche se termine. McAfee conseille de ne pas déterminer de date finale pour la tâche : No End Date (Pas de fin). McAfee Logon Collector 2.1 Guide d'administration 69
7 Actualisation d'utilisateur et de groupe à la demande Actualisation de groupe à la demande Schedule (Planification) : cliquez sur pour ajouter une date et heure de planification. Cliquez sur pour supprimer la date et l'heure définies. At (A) : sélectionnez cette option At dans la liste déroulante pour définir l'heure précise à laquelle la tâche se déroulera. Between (Entre) : sélectionnez cette option Between dans la liste déroulante pour définir un créneau horaire pendant lequel se dérouleront plusieurs tâches. Figure 7-7 Onglet Schedule (Planification) McAfee conseille de programmer le démarrage de la tâche MLC Group Refresh (Actualisation MLC Groupes) au moins 20 minutes avant la tâche MLC User Refresh (Actualisation MLC Utilisateurs). 2 Cliquez sur Save (Enregistrer). Onglet 4 : Summary (Résumé) La page Summary (Résumé) affiche les informations suivantes : Name (Nom) : nom de la tâche Notes (Remarques) : toutes remarques afférentes à la tâche Task Owner (Propriétaire de la tâche) : le propriétaire de la tâche Schedule status (Statut de planification) : le statut de la tâche planifiée 70 McAfee Logon Collector 2.1 Guide d'administration
Actualisation d'utilisateur et de groupe à la demande Actualisation de groupe à la demande 7 Schedule (Planification) : la date de début et de fin de la tâche, son créneau horaire et l'heure à laquelle sera exécutée la prochaine tâche planifiée Actions : les actions de la tâche planifiée, notamment MLC Group Sync (Syncronisation MLC Groupes) Figure 7-8 Fenêtre Summary (Résumé) Cliquez sur Save (Enregistrer). Option 3 : View (Afficher) Cette option permet d'afficher les paramètres de l'actualisation des informations sur les groupes. Sélectionnez Menu Automation Server Tasks (Menu, Automatisation, Tâches serveur). Sélectionnez MLC Refresh Groups (Actualisation MLC Groupes), puis cliquez sur View (Afficher). La page Server Task Details (Détails des tâches serveur) s'ouvre alors. Elle affiche les informations sur l'actualisation des groupes. Figure 7-9 Page Server Task Details (Détails des tâches serveur) McAfee Logon Collector 2.1 Guide d'administration 71
7 Actualisation d'utilisateur et de groupe à la demande Actualisation des informations sur les utilisateurs à la demande Actualisation des informations sur les utilisateurs à la demande Sélectionnez Menu Automation Server Tasks (Menu, Automatisation, Tâches serveur) pour configurer la tâche du serveur MLC Refresh Users (Actualiser MLC Utilisateurs). Figure 7-10 Option MLC Refresh Users (Actualiser MLC Utilisateurs) Options d'actualisation des informations sur les utilisateurs Cette section explique en détails les différentes options pour actualiser les informations sur les utilisateurs. Option 1 : Run (Exécuter) Avant de commencer Cette option permet l'actualisation manuelle des informations sur les utilisateurs dans la base de données IDDS de Logon Collector en récupérant les dernières informations sur les utilisateurs provenant du magasin de données des contrôleurs de domaines. Pour ce faire, procédez comme suit : 1 Sélectionnez Menu Automation Server Tasks (Menu, Automatisation, Tâches serveur). Cliquez sur l'option Run (Exécuter) de MLC Refresh Users (Actualisation MLC Utilisateurs). La page Server Task Log (Journal des tâches serveur) s'ouvre alors. Elle affiche les résultats de l'actualisation des informations sur les utilisateurs. Par défaut, les entrées sont classées en ordre chronologique, en commençant par la dernière entrée en date. Figure 7-11 Résultats de l'actualisation des informations sur les utilisateurs 72 McAfee Logon Collector 2.1 Guide d'administration
Actualisation d'utilisateur et de groupe à la demande Actualisation des informations sur les utilisateurs à la demande 7 2 Cliquez sur MLC Refresh Users (Actualisation MLC Utilisateurs) pour afficher les résultats en détail. Figure 7-12 Page Server Task Log Details (Détails du journal des tâches serveur) Option 2 : Edit (Modifier) Utilisez cette option pour modifier les paramètres du planificateur pour une tâche. Sélectionnez Menu Automation Server Tasks (Menu, Automatisation, Tâches serveur). Sélectionnez MLC Refresh Users (Actualisation MLC Utilisateurs), puis cliquez sur Edit (Modifier). Onglet 1 : Description 1 Dans l'assistant Server Task Builder (Générateur de tâches serveur), l'onglet Description présente les informations suivantes : Name (Nom) : MLC Refresh Users (Actualisation MLC Utilisateurs) Notes (Remarques) : Refresh all users for all directories (Actualiser tous les utilisateurs de tous les répertoires) McAfee Logon Collector 2.1 Guide d'administration 73
7 Actualisation d'utilisateur et de groupe à la demande Actualisation des informations sur les utilisateurs à la demande Schedule status (Statut de planification) : la planification de la tâche Enabled (Activée) : pour activer l'actualisation automatique Disabled (Désactivée) : pour désactiver l'actualisation automatique McAfee déconseille l'utilisation de l'option Disabled (Désactivée). Figure 7-13 Page Server Task Builder (Générateur de tâches serveur) 2 Cliquez sur Next (Suivant) pour accéder à l'onglet Actions. 3 Cliquez sur Save (Enregistrer). Onglet 2 : Actions Cet onglet indique les actions réalisées par Logon Collector. 74 McAfee Logon Collector 2.1 Guide d'administration
Actualisation d'utilisateur et de groupe à la demande Actualisation des informations sur les utilisateurs à la demande 7 1 Dans le champ Actions, l'option MLC User Sync (Synchronisation MLC Utilisateurs) est sélectionnée par défaut. Figure 7-14 Onglet Actions 2 Cliquez sur Next (Suivant). L'onglet Schedule (Planification) s'ouvre alors. 3 Cliquez sur Save (Enregistrer). Onglet 3 : Schedule (Planification) L'onglet Schedule (Planification) permet de modifier les paramètres du planificateur pour une tâche donnée. 1 Dans cet onglet Schedule (Planification), saisissez les informations suivantes : Schedule Type (Type de planification) : sélectionnez l'un des types de planification suivants, disponibles dans la liste déroulante : Hourly (Toutes les heures) Monthly (Tous les mois) Daily (Tous les jours) Yearly (Tous les ans) Weekly (Toutes les semaines) Advanced (Avancé) McAfee conseille l'option Daily (Tous les jours) pour le Schedule Type (Type de planification). Start Date (Début) : sélectionnez la date à laquelle vous souhaitez que la tâche commence. End Date (Fin) : sélectionnez la date à laquelle vous souhaitez que la tâche se termine. McAfee conseille de ne pas déterminer de date finale pour la tâche No End Date (Pas de fin). McAfee Logon Collector 2.1 Guide d'administration 75
7 Actualisation d'utilisateur et de groupe à la demande Actualisation des informations sur les utilisateurs à la demande Schedule (Planification) : cliquez sur pour ajouter une date et heure de planification. Cliquez sur pour supprimer la date et l'heure définies. At (A) : sélectionnez cette option At dans la liste déroulante pour définir l'heure précise à laquelle la tâche se déroulera. Between (Entre) : sélectionnez cette option Between dans la liste déroulante pour définir un créneau horaire pendant lequel se dérouleront plusieurs tâches. Figure 7-15 Onglet Schedule (Planification) McAfee conseille de programmer le démarrage de la tâche MLC Group Refresh (Actualisation MLC Groupes) au moins 20 minutes avant la tâche MLC User Refresh (Actualisation MLC Utilisateurs). 2 Cliquez sur Save (Enregistrer). Onglet 4 : Summary (Résumé) La page Summary (Résumé) affiche les informations suivantes : Name (Nom) : nom de la tâche Notes (Remarques) : toutes remarques afférentes à la tâche Task Owner (Propriétaire de la tâche) : le propriétaire de la tâche Schedule status (Statut de planification) : le statut de la tâche planifiée 76 McAfee Logon Collector 2.1 Guide d'administration
Actualisation d'utilisateur et de groupe à la demande Actualisation des informations sur les utilisateurs à la demande 7 Schedule (Planification) : la date de début et de fin de la tâche, son créneau horaire et l'heure à laquelle sera exécutée la prochaine tâche planifiée Actions : les actions de la tâche planifiée, notamment MLC User Sync (Syncronisation MLC Utilisateurs) Figure 7-16 Summary (Résumé) Cliquez sur Save (Enregistrer). Option 3 : View (Afficher) Cette option permet d'afficher les paramètres de l'actualisation des informations sur les utilisateurs. Sélectionnez Menu Automation Server Tasks (Menu, Automatisation, Tâches serveur). Sélectionnez MLC Refresh Users (Actualisation MLC Utilisateurs), puis cliquez sur View (Afficher). La page Server Task Details (Détails des tâches serveur) s'ouvre alors. Elle affiche les informations sur l'actualisation des utilisateurs. Figure 7-17 Page Server Task Details (Détails des tâches serveur) McAfee Logon Collector 2.1 Guide d'administration 77
7 Actualisation d'utilisateur et de groupe à la demande Journal des tâches serveur Journal des tâches serveur Sélectionnez Menu Automation Server Task Log (Menu, Automatisation, Journal des tâches serveur) pour afficher les résultats de l'actualisation des informations sur les groupes et les utilisateurs effectuée précédemment. Figure 7-18 Page Server Task Log (Journal des tâches serveur) 78 McAfee Logon Collector 2.1 Guide d'administration
8 Gestion 8 des utilisateurs Cette section explique en détails la gestion des utilisateurs pour l'accès administratif à Logon Collector. Pour ajouter des utilisateurs à Active Directory, utilisez les systèmes de configuration habituels d'active Directory dans Windows. Sommaire Gestion d'utilisateurs Gestion d'ensembles d autorisations Gestion de contacts Gestion d'utilisateurs Vous pouvez ajouter des utilisateurs à Logon Collector et spécifiez leur accès au système. Ajout ou modification d'un utilisateur Pour ajouter ou modifier un utilisateur : 1 Cliquez sur Menu User Management Users (Menu, Gestion des utilisateurs, Utilisateurs). 2 Cliquez sur New User (Nouvel utilisateur) pour en ajouter un nouveau, ou sur Actions Edit (Actions, Modifier) pour en modifier un. 3 Définissez l'utilisateur. a Entrez un nom pour l'utilisateur, ou modifiez le nom existant. b c Spécifiez si l'utilisateur peut se connecter ou non. Vous pouvez désactiver l'état de connexion du dernier administrateur global restant. Sélectionnez un type d'authentification. Si vous modifiez un utilisateur, cliquez d'abord sur Change Authentication or Credentials (Modifier l'authentification ou les informations d'identification). Pour l'authentification Logon Collector, entrez un mot de passe et confirmez le. Pour l'authentification Windows, entrez le nom d'utilisateur et le domaine. d [Facultatif] Fournissez d'autres informations sur l'utilisateur : nom complet, adresse e mail, numéro de téléphone et remarques. McAfee Logon Collector 2.1 Guide d'administration 79
8 Gestion des utilisateurs Gestion d'ensembles d autorisations e Affectez un ensemble d'autorisations. Sélectionnez Administrateur global pour fournir un accès total à Logon Collector. Sélectionnez un ou plusieurs ensembles d'autorisations spécifiques en cliquant dessus. 4 Cliquez sur Save (Enregistrer). Voir aussi Gestion d'ensembles d autorisations, page 80 Suppression d'un utilisateur Pour supprimer un utilisateur : 1 Cliquez sur Menu User Management Users (Menu, Gestion des utilisateurs, Utilisateurs). 2 Sélectionnez un ou plusieurs utilisateurs en cochant la case à côté du nom du contact. 3 Sélectionnez Actions Delete (Actions, Supprimer). Gestion d'ensembles d autorisations Un ensemble d'autorisations est un groupe d'autorisations, subdivisé en sections, qu'il est possible d'octroyer à n'importe quel utilisateur en l'affectant à son compte d'utilisateur. Un ou plusieurs ensembles d'autorisations peuvent être affectés à tout utilisateur qui n'est pas un administrateur global. Les administrateurs globaux disposent de toutes les autorisations à toutes les fonctions. Les ensembles d'autorisations servent uniquement à octroyer des autorisations. Aucun ensemble ne supprime une autorisation particulière. Voir aussi Connexion d'utilisateurs Active Directory, page 37 Ajout ou modification d'un utilisateur, page 79 Création d'un groupe de requêtes, page 86 Création d'ensembles d'autorisations La procédure décrite ci dessous permet de créer un ensemble d'autorisations. 1 Sélectionnez Menu User Management Permission Sets (Menu, Gestion des utilisateurs, Ensembles d'autorisations), puis cliquez sur New Permission Set (Nouvel ensemble d'autorisations). 2 Attribuez un nom à l'ensemble d'autorisations et sélectionnez les utilisateurs auxquels l'ensemble sera affecté. 3 Cliquez sur Save (Enregistrer). 4 Sélectionnez le nouvel ensemble d'autorisations dans la liste Permission Sets (Ensembles d'autorisations). Les détails sont affichés dans le volet de droite. 5 Cliquez sur Edit (Modifier) en regard de la section à partir de laquelle vous souhaitez configurer des autorisations. 80 McAfee Logon Collector 2.1 Guide d'administration
Gestion des utilisateurs Gestion d'ensembles d autorisations 8 6 Dans la page Edit Permission Set (Modifier l'ensemble d'autorisations) qui s'affiche, sélectionnez les options appropriées, puis cliquez sur Save (Enregistrer). 7 Répétez l'opération pour toutes les sections voulues de l'ensemble d'autorisations. Suppression d'ensembles d'autorisations Cette procédure permet de supprimer un ensemble d'autorisations. Si des utilisateurs sont affectés à l'ensemble d'autorisations, ils perdront leurs autorisations. Vous devez être un administrateur global pour exécuter cette procédure. 1 Sélectionnez Menu User Management Permission Sets (Menu, Gestion des utilisateurs, Ensembles d'autorisations), puis sélectionnez l'ensemble d'autorisations à supprimer dans la liste Permission Sets (Ensembles d'autorisations). Les détails sont affichés dans le volet de droite. 2 Cliquez sur Actions Delete (Actions, Supprimer). Le volet Action vous informe si des utilisateurs sont affectés à l'ensemble d'autorisations et vous permet d'annuler l'action. 3 Cliquez sur OK dans le volet Action. L'ensemble d'autorisations n'apparaît plus dans la liste Permission Sets (Ensembles d'autorisations). Duplication d'ensembles d'autorisations La procédure décrite ci dessous permet de dupliquer un ensemble d'autorisations. La duplication d'une autorisation crée une copie en mémoire de l'autorisation sélectionnée. Cette copie peut être modifiée et enregistrée sous un autre nom. Vous devez être un administrateur global pour exécuter cette procédure. 1 Sélectionnez Menu User Management Permission Sets (Menu, Gestion des utilisateurs, Ensembles d'autorisations), puis sélectionnez l'ensemble d'autorisations à modifier dans la liste Permission Sets (Ensembles d'autorisations). Les détails sont affichés dans le volet de droite. 2 Cliquez sur Actions Duplicate (Actions, Dupliquer), puis tapez un New name (Nouveau nom) dans le volet Actions et cliquez sur OK. 3 Sélectionnez le nouveau doublon dans la liste Permission Sets (Ensembles d'autorisations). Les détails sont affichés dans le volet de droite. 4 Cliquez sur Edit (Modifier) en regard de la section pour laquelle vous souhaitez configurer des autorisations. 5 Dans la page Edit Permission Set (Modifier l'ensemble d'autorisations) qui s'affiche, sélectionnez les options appropriées, puis cliquez sur Save (Enregistrer). 6 Répétez l'opération pour toutes les sections de l'ensemble d'autorisations pour lesquelles vous souhaitez configurer des autorisations. McAfee Logon Collector 2.1 Guide d'administration 81
8 Gestion des utilisateurs Gestion de contacts Gestion de contacts Pour faciliter la sélection de destinataires relatifs aux rapports et données, Logon Collector offre une fonction Contacts où vous pouvez définir le nom et l'adresse e mail des contacts. Voir aussi Définition des critères d'export, page 90 Ajout ou modification d'un contact Pour ajouter ou modifier un contact : 1 Cliquez sur Menu User Management Contacts (Menu, Gestion des utilisateurs, Contacts). 2 Cliquez sur New Contact (Nouveau contact) pour en ajouter un nouveau, ou sur Actions Edit (Actions, Modifier) pour en modifier un. 3 Entrez un nom pour l'utilisateur, ou modifiez le nom existant. Le contact doit inclure un nom ; vous pouvez sélectionner un prénom seulement, un nom, ou les deux. 4 Entrez une adresse e mail. 5 Cliquez sur Save (Enregistrer). Suppression d'un contact Pour supprimer un contact : 1 Cliquez sur Menu User Management Contacts (Menu, Gestion des utilisateurs, Contacts). 2 Sélectionnez un ou plusieurs utilisateurs en cochant la case à côté du nom du contact. 3 Cliquez sur Actions Delete (Actions, Supprimer). 82 McAfee Logon Collector 2.1 Guide d'administration
9 Rapports Cette section détaille l'état du produit permettant de vérifier que les composants fonctionnent correctement. Sommaire A propos de la fenêtre Status (Etat) Affichage des utilisateurs connectés Affichage du journal d'audit Gestion de requêtes sur le journal d'audit Définition des critères de filtre Définition des critères d'export Affichage des tableaux de bord A propos de la fenêtre Status (Etat) Utilisez la fenêtre Status (Etat) pour vérifier le bon fonctionnement des composants. Un rond en guise de témoin d'état est placé devant chaque composant. Les composants et les états sont décrits dans le tableau suivant. Pour tous les systèmes, un témoin vert indique le bon fonctionnement du système. Tableau 9-1 Composants du système Le composant du système Indique Motif d'un état jaune Motif d'un état vert Motif d'un état rouge ID Manager {iam} l'état général du système. L'état d'un ou plusieurs composants est jaune. Sans objet L'état d'un ou plusieurs des composants suivants est rouge : Login Acquisition Manager Id Replication Manager Login State Manager Id Data Store Vérifiez les composants concernés pour identifier la cause de leur panne. Vérifiez les composants concernés pour identifier la cause de leur panne. Login Acquisition Manager lam l'état actuel des requêtes envoyées aux contrôleurs de domaines. Un ou plusieurs domaines au statut jaune ou rouge. Sans objet Tous les domaines au statut rouge. McAfee Logon Collector 2.1 Guide d'administration 83
9 Rapports Affichage des utilisateurs connectés Tableau 9-1 Composants du système (suite) Le composant du système ID Acquisition Manager Login State Manager {lsm} ID Data Store {idds} Indique l'état d'identity Replication aux clients. si Login State Manager s'est initialisé correctement. les statistiques du nombre d'objets stockés. Motif d'un état jaune Motif d'un état vert Motif d'un état rouge Etat jaune. Sans objet Une exception s'est produite. Un bref message décrivant l'exception s'affiche. Vérifiez les journaux de Logon Collector pour mieux identifier la cause de la panne. Pas d'état jaune. Sans objet Echec de l'initialisation. Vérifiez les journaux de Logon Collector pour identifier la cause de la panne. Pas d'état jaune. Sans objet Echec de l'initialisation. Vérifiez les journaux de Logon Collector pour identifier la cause de la panne. ID Resolution {pnd} si les requêtes d'informations sur les utilisateurs provenant d'active Directory ont été traitées après avoir détecté une connexion. Dans la file d'attente, plus de 1000 connexions attendent la résolution des informations sur les utilisateurs. Sans objet Pas d'état rouge. Logon Flow {logons} le nombre de connexions détectées dans la dernière minute. Aucune connexion n'a été détectée dans la dernière heure. Sans objet Aucune connexion n'a été détectée dans les 12 dernières heures. Cluster Manager {cluster} l'état du cluster et les messages échangés entre les membres du cluster. Sans objet Le gestionnaire des clusters fonctionne parfaitement. La communication entre les membres du cluster est arrêtée ou l'un des membres du cluster n'est pas disponible. Voir aussi Affichage des tableaux de bord, page 91 Affichage des utilisateurs connectés Logon Collector délivre un rapport sur les adresses IP utilisées par un utilisateur. Pour afficher les utilisateurs connectés et les adresses IP utilisées : 1 Sélectionnez Menu Reporting Logon Report (Menu, Rapports, Rapport de connexion). 2 [Facultatif] Pour rechercher une adresse IP ou un nom d'utilisateur, saisissez la valeur cherchée dans le champ Quick find (Recherche rapide), puis cliquez sur Apply (Appliquer). 84 McAfee Logon Collector 2.1 Guide d'administration
Rapports Affichage du journal d'audit 9 3 [Facultatif] Configurez l'affichage des colonnes : a Cliquez sur Actions Choose Columns (Actions, Choisir les colonnes). b Alignez les colonnes en les déplaçant à l'aide des flèches dirigées vers la gauche ou la droite. c Supprimez une colonne à l'aide du bouton X. Remettez les changements à zéro en cliquant sur Use Default (Utiliser l'affichage par défaut). s Exportation du rapport de connexion, page 85 Exportation du rapport de connexion Avant de commencer Vous pouvez enregistrer des rapports de connexion et les envoyer par e mail. Pour envoyer un rapport de connexion par e mail : 1 Sélectionnez Menu Reporting Logon Report (Menu, Rapports, Rapport de connexion). 2 Spécifiez le contenu du rapport en appliquant des filtres si nécessaire. 3 Sélectionnez Actions Export Table (Actions, Exporter le tableau). Affichage du journal d'audit Avant de commencer Logon Collector délivre un rapport du journal d'audit qui énumère les changements apportés à la configuration du serveur. Pour afficher le journal d'audit : 1 Sélectionnez Menu User Management Audit Log (Menu, Gestion des utilisateurs, Journal d'audit). 2 [Facultatif] Définissez un filtre avancé. 3 [Facultatif] Sélectionnez un filtre prédéfini de la liste déroulante. 4 [Facultatif] Cliquez sur une entrée du journal d'audit pour afficher les informations d'une seule ligne sur des lignes plutôt que des colonnes. 5 [Facultatif] Configurez l'affichage des colonnes : a Cliquez sur Actions Choose Columns (Actions, Choisir les colonnes). b Alignez les colonnes en les déplaçant à l'aide des flèches dirigées vers la gauche ou la droite. c Supprimez une colonne à l'aide du bouton X. Remettez les changements à zéro en cliquant sur Use Default (Utiliser l'affichage par défaut). s Exportation du journal d'audit, page 86 McAfee Logon Collector 2.1 Guide d'administration 85
9 Rapports Gestion de requêtes sur le journal d'audit Voir aussi Définition des critères de filtre, page 89 Exportation du journal d'audit Vous pouvez enregistrer des vues spécifiques du journal d'audit et les envoyer par courrier électronique. Pour ce faire : 1 Sélectionnez Menu User Management Audit Log (Menu, Gestion des utilisateurs, Journal d'audit). 2 Précisez les contenus en appliquant les filtres souhaités. 3 Sélectionnez Actions Export Table (Actions, Exporter le tableau). Voir aussi Serveur de messagerie, page 38 Définition des critères de filtre, page 89 Définition des critères d'export, page 90 Gestion de requêtes sur le journal d'audit Les requêtes sur le journal d'audit vous permettent d'obtenir des vues spécifiques du journal d'audit au lieu de la vue la plus simple disponible. Les requêtes sur les journaux d'audit sont divisées en groupes privés et partagés. Création d'un groupe de requêtes 1 Sélectionnez Menu Reporting Queries (Menu, Rapports, Requêtes). 2 Sélectionnez Group Actions New Group (Actions Groupe, Nouveau groupe). 3 Saisissez un nom pour identifier le groupe. 4 Précisez la visibilité du groupe. Private group (Groupe privé) : s'affiche dans My Groups (Mes groupes). Public group (Groupe public) : s'affiche dans Shared Groups (Groupes partagés). By permission set (Par ensemble d'autorisations) : s'affiche dans Shared groups (Groupes partagés), mais n'est accessible qu'aux utilisateurs avec les ensembles d'autorisations adéquats. Voir aussi Gestion d'ensembles d autorisations, page 80 86 McAfee Logon Collector 2.1 Guide d'administration
Rapports Gestion de requêtes sur le journal d'audit 9 Suppression d'un groupe de requêtes 1 Cliquez sur un nom de groupe. 2 Sélectionnez Group Actions Delete Group (Actions Groupe, Supprimer le groupe). 3 Cliquez sur OK pour confirmer la suppression. Modification d'un groupe de requêtes 1 Cliquez sur un nom de groupe. 2 Sélectionnez Group Actions Edit Group (Actions Groupe, Modifier groupe). 3 Modifiez le nom du groupe, et, le cas échéant, la visibilité du groupe. 4 Cliquez sur Save (Enregistrer). Création de requêtes sur le journal d'audit Pour créer une requête sur le journal d'audit : 1 Sélectionnez Menu Reporting Queries (Menu, Rapports, Requêtes). 2 Cliquez sur New Query (Nouvelle requête), puis sur Next (Suivant) pour lancer l'assistant Requête. 3 Définissez le type de graphique. a Sélectionnez le type de graphique en cliquant dessus. b c Configurez le graphique. Les options disponibles diffèrent selon le type de graphique sélectionné. Cliquez sur Next (Suivant) pour continuer. 4 Configurez l'affichage des colonnes. a Alignez les colonnes en les déplaçant à l'aide des flèches dirigées vers la gauche ou la droite. b Supprimez une colonne à l'aide du bouton X. c Cliquez sur Next (Suivant) pour continuer. 5 [Facultatif] Configurez les filtres. 6 Cliquez sur Run (Exécuter). La requête est exécutée et les résultats sont affichés. 7 [Facultatif] Cliquez sur Edit Query (Modifier la requête) pour ajuster les critères. 8 Lorsque vous êtes satisfait du rapport, cliquez sur Save (Enregistrer). McAfee Logon Collector 2.1 Guide d'administration 87
9 Rapports Gestion de requêtes sur le journal d'audit 9 Terminez la configuration de la requête : a b c Entrez le nom pour identifier la requête. [Facultatif] Entrez des remarques pour décrire la requête. Affectez la requête à un groupe de requêtes. Créez un nouveau groupe ou sélectionnez en un dans la liste des groupes existants. 10 Cliquez sur Save (Enregistrer). La requête s'affiche dans la fenêtre principale Queries (Requêtes). Il peut s'avérer nécessaire d'effacer la zone de texte Quick find (Recherche rapide). Importation des requêtes du journal d'audit Avant de commencer Vous pouvez enregistrer les requêtes du journal d'audit en dehors de Logon Collector sous forme de fichiers, puis les importer dans Logon Collector. Pour ce faire : 1 Sélectionnez Menu Reporting Queries (Menu, Rapports, Requêtes). 2 Sélectionnez Actions Import Query (Actions, Importer une requête). 3 Cliquez sur Browse (Parcourir) pour aller jusqu'au fichier contenant la requête de journal d'audit. 4 Affectez la requête à un groupe de requêtes. Créez un nouveau groupe ou sélectionnez en un dans la liste des groupes existants. 5 Cliquez sur Save (Enregistrer). La requête s'affiche dans la fenêtre principale Queries (Requêtes). Il peut s'avérer nécessaire d'effacer la zone de texte Quick find (Recherche rapide). Actions de requête Avant de commencer Pour appliquer des Actions à des requêtes : 88 McAfee Logon Collector 2.1 Guide d'administration
Rapports Définition des critères de filtre 9 1 Cochez la case en regard de la requête souhaitée, ou cochez la case Queries (Requêtes) en haut pour appliquer une action à toutes les requêtes. 2 Sélectionnez une action dans la liste. Action Delete (Supprimer) Duplicate (Dupliquer) Edit (Modifier) Export Data (Exporter les données) Export Query Definition (Exporter la définition de la requête) Résultat Suppression des requêtes sélectionnées. Création d'une copie de la requête sélectionnée (uniquement pour les requêtes uniques). Dans la fenêtre Duplicate (Dupliquer), entrez un nouveau nom pour la requête et affectez la copie de la requête à un groupe de requêtes. Modification des propriétés qui affectent les résultats de la requête sélectionnée (uniquement pour les requêtes uniques). Exportation des résultats des requêtes sélectionnées sous forme de pièce jointe. Exportation de la définition de la requête sous forme de fichier XML (uniquement pour les requêtes uniques). Dans la fenêtre Opening query (Ouverture de la requête), spécifiez si vous souhaitez ouvrir le fichier avec une application XML ou l'enregistrer. Le fichier est enregistré selon le chemin d'accès défini pour votre navigateur Web. Import Query (Importer une requête) Move to Different Group (Déplacer vers un autre groupe) New Query (Nouvelle requête) Run (Exécuter) View Query SQL (Afficher le code SQL de la requête) Importation d'une requête stockée sous forme d'un fichier. Déplacement des requêtes sélectionnées vers un autre groupe. Création d'une nouvelle requête. Exécution de la requête et affichage des résultats. Affichage de la requête sélectionnée sous forme d'instruction SQL (uniquement pour les requêtes uniques). s Importation des requêtes du journal d'audit, page 88 Création de requêtes sur le journal d'audit, page 87 Voir aussi Définition des critères d'export, page 90 Définition des critères de filtre Des critères de filtre sont disponibles lorsque vous sélectionnez : Le graphique circulaire de type booléen Next (Suivant) après l'étape 3 de l'assistant de requête Advance Filter (Filtre avancé) pour le journal d'audit McAfee Logon Collector 2.1 Guide d'administration 89
9 Rapports Définition des critères d'export Les propriétés suivantes sont disponibles : Action, Completion Time (Fin), Details (Détails), Priority (Priorité), Start Time (Début), Success (Réussite) et User Name (Nom d'utilisateur). Pour gérer les critères de filtre : 1 Cliquez sur la flèche dirigée vers la droite dans la colonne Available Properties (Propriétés disponibles) pour activer cette propriété. 2 [Facultatif] Cliquez sur le symbole + au bout de la ligne Property (Propriété) pour créer un nouvel élément de comparaison. 3 Par défaut, un nouvel élément est évalué à l'aide de l'opérateur "OU". Cliquez sur "et" dans la case "et/ou" pour changer d'opérateur. 4 [Facultatif] Cliquez sur la flèche dirigée vers la gauche à côté de Property (Propriété) pour supprimer cette propriété. 5 Cliquez sur OK ou Update Filter (Mettre le filtre à jour) selon la manière dont vous êtes arrivé aux critères de filtre. Voir aussi Affichage du journal d'audit, page 85 Exportation du journal d'audit, page 86 Définition des critères d'export Lorsque vous choisissez d'exporter des données ou un tableau, vous devez définir le format du fichier exporté. 1 Sélectionnez une action d'export : Pour une requête, sélectionnez Export Data (Exporter des données). Pour un rapport sur les utilisateurs connectés ou un journal d'audit, sélectionnez Export Table (Exporter un tableau). 2 Vérifiez les informations à exporter. Pour les requêtes, les noms des requêtes sont énumérés. Pour un rapport sur les utilisateurs connectés, un identifiant unique et le nombre des données sont affichés. 3 [Facultatif] Sélectionnez Zip the output files (Zipper les fichiers de sortie) pour compresser le rapport. 4 Sélectionnez un format de fichier parmi les formats CSV, XML, HTML et PDF. Pour PDF, précisez également la dimension et l'orientation des pages. Vous pouvez afficher les critères de filtre et préciser le texte de la page de couverture. 90 McAfee Logon Collector 2.1 Guide d'administration
Rapports Affichage des tableaux de bord 9 5 Configurez le courrier électronique. Un serveur de messagerie électronique doit toujours être configuré. a b c Indiquez les destinataires soit par saisie directe, soit par sélection dans une boîte de dialogue. Saisissez un objet. Ajoutez le texte qui s'affichera dans le corps du message électronique. 6 Cliquez sur Export (Exporter). Voir aussi Exportation du journal d'audit, page 86 Actions de requête, page 88 Serveur de messagerie, page 38 Gestion de contacts, page 82 Affichage des tableaux de bord L'option Dashboards (Tableaux de bord) de l'interface utilisateur ne s'applique pas à Logon Collector 2.1. Voir aussi A propos de la fenêtre Status (Etat), page 83 McAfee Logon Collector 2.1 Guide d'administration 91
9 Rapports Affichage des tableaux de bord 92 McAfee Logon Collector 2.1 Guide d'administration
10 Intégration avec d'autres produits McAfee Ce chapitre traite de l'intégration de McAfee Logon Collector avec d'autres produits McAfee. Chaque client (produit) qui se connecte à Logon Collector doit disposer de différents certificats portant un Common Name (Nom usuel) unique. Plus de deux clients peuvent ainsi se connecter sans difficulté à Logon Collector. Sommaire Intégration avec McAfee Firewall Enterprise Intégration avec McAfee Firewall Enterprise Control Center Intégration avec McAfee Network Security Manager Intégration avec McAfee Data Loss Prevention Intégration avec McAfee Firewall Enterprise Vous pouvez utiliser Passive Passport (Passeport passif) dans McAfee Firewall Enterprise pour permettre aux utilisateurs concernés de se connecter sans demande d'authentification. Si votre organisation utilise Microsoft Active Directory, chaque utilisateur est défini comme un objet d'active Directory. Le pare feu surveille le statut de l'authentification, l'appartenance à des groupes et l'adresse IP actuelle de chaque utilisateur en communiquant avec le logiciel McAfee Logon Collector installé sur un serveur Windows. Les utilisateurs sont authentifiés par le serveur Active Directory. Ils ne reçoivent pas de demande d'authentification du pare feu. Conditions requises pour l'intégration La configuration requise pour l'intégration est la suivante : Logon Collector, version 2.1 Version de Firewall Enterprise : 8.0 ou ultérieure de mise à niveau Si vous utilisez Firewall Enterprise et souhaitez procéder à la mise à niveau vers Logon Collector 2.1, suivez la procédure avancée ci après : 1 Mettez à niveau le serveur Logon Collector 1.x vers le serveur Logon Collector 2.1. 2 Mettez à niveau Firewall Enterprise vers la nouvelle version qui inclut le client Logon Collector 2.1. McAfee Logon Collector 2.1 Guide d'administration 93
10 Intégration avec d'autres produits McAfee Intégration avec McAfee Firewall Enterprise Control Center Validation d'identité passive Vous pouvez utiliser Passive Passport (Passeport passif) pour permettre aux utilisateurs concernés de se connecter sans demande d'authentification. Pour utiliser Passive Passport (Passeport passif), procédez comme suit : 1 Définissez les utilisateurs sur un serveur Active Directory. 2 Installez Logon Collector sur un serveur Windows. Vous pouvez ignorer cette étape si vous avez déjà installé Logon Collector. 3 Dans la fenêtre Firewall Enterprise Passport (Passeport de Firewall Enterprise), activez Passive Passport (Passeport passif) et configurez la connexion entre Firewall Enterprise et Logon Collector. 4 Dans la fenêtre Rule Properties (Propriétés des règles) donnant accès aux règles de contrôle ou SSL, autorisez les connexions pour les utilisateurs et groupes sélectionnés à partir de critères organisationnels. Voir aussi Installation de Logon Collector, page 13 Configuration du passeport passif Configurez le passeport passif à partir de la console d'administration Firewall Enterprise. Pour plus d'informations à ce sujet, reportez vous au Guide Produit de McAfee Firewall Enterprise. Intégration avec McAfee Firewall Enterprise Control Center Lorsqu'il est intégré à McAfee Firewall Enterprise Control Center, Logon Collector interroge les contrôleurs de domaine Active Directory pour obtenir les caractéristiques utilisateur et envoie ces informations à l'une des appliances ou aux deux pour mettre en corrélation le trafic réseau avec le comportement des utilisateurs. De plus, pour alléger la charge imposée par les requêtes du journal des événements de sécurité sur un contrôleur de domaine (via WMI), Logon Collector ou Logon Monitor contacte le contrôleur de domaine pour les appliances McAfee qui nécessitent des informations du Journal des événements de sécurité. Conditions requises pour l'intégration La configuration requise pour l'intégration est la suivante : Logon Collector, version 2.1 Firewall Enterprise Control Center version 5.0 ou version ultérieure de mise à niveau Si vous utilisez Control Center et souhaitez procéder à la mise à niveau vers Logon Collector 2.1, suivez la procédure avancée ci après : 1 Mettez à niveau le serveur Logon Collector 1.x vers le serveur Logon Collector 2.1. 2 Mettez à niveau Control Center vers la nouvelle version qui inclut le client Logon Collector 2.1. Reportez vous à la section McAfee Logon Collector du Guide Produit de McAfee Firewall Enterprise Control Center pour intégrer Logon Collector et Control Center. 94 McAfee Logon Collector 2.1 Guide d'administration
Intégration avec d'autres produits McAfee Intégration avec McAfee Network Security Manager 10 Intégration avec McAfee Network Security Manager McAfee Network Security Manager est une interface utilisateur basée sur un navigateur qui sert à afficher, configurer et gérer le déploiement de l'appliance McAfee Network Security Sensor. Conjointement avec le capteur et le gestionnaire de sécurité, la plateforme McAfee Network Security Platform détecte la moindre intrusion sur le réseau et bloque ou empêche les attaques en temps réel, ce qui en fait un réel système de prévention des intrusions (IPS Instrusion Prevention System). Ce système a été conçu pour détecter et empêcher les intrusions, les attaques par déni de service (Dos) et déni de service distribué (DDoS) ainsi que l'usage abusif du réseau. Le gestionnaire peut afficher diverses informations sur les hôtes qui se trouvent à l'intérieur ou en dehors d'un réseau. Logon Collector s'intègre au gestionnaire de sécurité pour afficher les noms des utilisateurs des hôtes dans vos déploiements IPS et NTBA. Logon Collector apporte une méthode hors bande pour obtenir les noms des utilisateurs enregistrés dans les Active Directories. Avantages Cette intégration aide à fournir les informations sur les utilisateurs source et de destination sans aucune dépendance au module NAC. Cela s'avère utile lorsque les capteurs NAC ne peuvent pas être déployés. Termes importants Cette section décrit les termes importants associés à cette intégration. Identity Acquisition Agent (IAA) Déployé au niveau de la plateforme Network Security Platform, Identity Acquisition Agent (IAA) sert d'interface pour écouter le service de messages où sont publiées les mises à jour par le serveur de Logon Collector. McAfee Network Security Manager MLC Listener McAfee Network Security Manager MLC Listener est le processus d'écoute déposé qui reçoit régulièrement les nouvelles mises à jour de Logon Collector à travers l'agent IAA. Conditions requises pour l'intégration La configuration requise pour l'intégration est la suivante : Logon Collector, version 2.1 McAfee Network Security Manager, version 6.1.5.5, 7.1.1 et 7.5 de mise à niveau Si vous utilisez McAfee Network Security Manager et souhaitez procéder à la mise à niveau vers Logon Collector 2.1, suivez la procédure avancée ci après : 1 Mettez à niveau le serveur Logon Collector 1.x vers le serveur Logon Collector 2.1. 2 Mettez à niveau McAfee Network Security Manager vers la nouvelle version qui inclut le client Logon Collector 2.1. McAfee Logon Collector 2.1 Guide d'administration 95
10 Intégration avec d'autres produits McAfee Intégration avec McAfee Network Security Manager Fonctionnement de l'intégration entre Logon Collector et McAfee Network Security Manager Des moniteurs Logon Monitor de Logon Collector peuvent permettre d'interroger les contrôleurs de domaine à proximité et de transmettre les informations collectées à Logon Collector, réduisant ainsi la distance que doit parcourir la communication vers les contrôleurs de domaine. Déployé au niveau de McAfee Network Security Manager, Identity Acquisition Agent (IAA) sert d'interface pour écouter le service de messages où sont publiées les mises à jour par le serveur Logon Collector. IAA écoute le service Logon Collector Active Message Queue (MQ) et reçoit régulièrement de nouvelles mises à jour du serveur Logon Collector. Un écouteur de réception des mises à jour est enregistré auprès de IAA. L'écouteur enregistré reçoit régulièrement de nouvelles mises à jour de Logon Collector via IAA. Toutes les données de liaison IP/utilisateur sont chargées dans un nouveau cache McAfee Network Security Manager. Le cache est ensuite mis à jour par les différences présentes dans les mises à jour suivantes. Comme tous les autres composants de McAfee Network Security Manager peuvent interroger son cache McAfee Network Security Manager, il n'est pas nécessaire de communiquer avec le serveur Logon Collector chaque fois qu'une mise à jour survient. McAfee Network Security Manager et Logon Collector peuvent coexister sur le même serveur. Cependant, McAfee ne recommande pas cette coexistence, car elle peut réduire les performances dépendant du flux de trafic. Vous n'avez pas besoin d'une phrase de passe spéciale ou d'une clé de licence pour installer le logiciel Logon Collector. Informations de configuration relatives à l'intégration de Logon Collector Cette section fournit les informations de configuration relatives à l'intégration entre McAfee Network Security Manager et le serveur Logon Collector. Configuration de l'intégration au niveau du domaine administrateur Vous pouvez activer l'intégration entre McAfee Network Security Manager et le serveur Logon Collector au niveau du domaine administrateur. Pour plus d'informations à ce sujet, reportez vous à la documentation de McAfee Network Security Manager. Etablissement de l'approbation entre Network Security Manager et le serveur Logon Collector Logon Collector communique avec McAfee Network Security Manager à travers une authentification SSL bidirectionnelle. Cette opération nécessite un échange de certificats entre McAfee Network Security Manager et le serveur de Logon Collector. Importation du certificat Network Security Manager dans Logon Collector La procédure ci après vous indique comment exporter le certificat Network Security Manager, enregistrer le fichier dans votre répertoire local, puis importer le fichier dans Logon Collector. Pour plus d'informations relatives à l'exportation du certificat Network Security Manager, reportez vous à la documentation de McAfee Network Security Manager. 96 McAfee Logon Collector 2.1 Guide d'administration
Intégration avec d'autres produits McAfee Intégration avec McAfee Network Security Manager 10 1 Dans la console de Logon Collector, sélectionnez Menu Configuration Trusted CAs (Menu, Configuration, Autorités de certification approuvées). 2 Cliquez sur New Authority (Nouvelle autorité) pour ouvrir la fenêtre New Trusted Authority. (Nouvelle autorité approuvée). 3 Sélectionnez Import From File (Importer à partir d'un fichier), puis cliquez sur Browse (Parcourir) pour ajouter le fichier exporté enregistré dans votre répertoire local. Vous pouvez également utiliser l'option Copy/Paste Certificate (Copier/coller le certificat). 4 Cliquez sur Save (Enregistrer). Importation du certificat Logon Collector Pour importer le certificat Logon Collector : 1 Dans la console de Logon Collector, sélectionnez Menu Configuration Server Settings (Menu, Configuration, Paramètres serveur). 2 Dans la section Settings Categories (Catégories de paramètres), cliquez sur Identity Replication Certificate (Certificat de réplication d'identité). 3 Vous pouvez importer le certificat Logon Collector de l'une des manières suivantes : Chargement du certificat Logon Collector : 1 Copiez le certificat Logon Collector à partir de la console de Logon Collector et collez le dans un nouveau fichier créé dans votre répertoire local. 2 Sous la section Import Certificate (Importer le certificat), cliquez sur Upload MLC Certificate (Charger le certificat MLC) en regard de l'option New MLC Certificate (Nouveau certificat MLC). 3 Sélectionnez Upload MLC Certificate (Charger le certificat MLC), puis cliquez sur Browse (Parcourir) pour ajouter le certificat Logon Collector à partir de votre répertoire local. McAfee Logon Collector 2.1 Guide d'administration 97
10 Intégration avec d'autres produits McAfee Intégration avec McAfee Data Loss Prevention Collage du certificat directement dans Network Security Manager : 1 Dans la section Import Certificate (Importer le certificat), sélectionnez Paste Certificate (Coller le certificat). 2 Collez le certificat Logon Collector copié dans la zone Paste Certificate (Coller le certificat). Figure 10-1 Fenêtre Import Certificate (Importer le certificat) Le certificat Logon Collector importé s'affiche dans la section Current MLC Certificate (Certificat MLC actuel). 4 Cliquez sur Save (Enregistrer). 5 Cliquez sur Test Connection (Tester la connexion) pour tester l'intégration. Affichage des informations relatives à Logon Collector dans Threat Analyzer Il vous est possible d'afficher les informations utilisateur reçues du serveur Logon Collector dans Threat Analyzer. Pour plus d'informations à ce sujet, reportez vous à la documentation de McAfee Network Security Manager. Affichage des informations de Logon Collector dans les rapports de Network Security Manager Les rapports de Network Security Manager affichent les informations utilisateur reçues pour Logon Collector. Pour plus d'informations à ce sujet, reportez vous à la documentation de McAfee Network Security Manager. Intégration avec McAfee Data Loss Prevention McAfee Data Loss Prevention (NDLP ou McAfee DLP) est fourni via l'appliance à maintenance réduite et la plateforme McAfee epolicy Orchestrator (epo), pour la rationalisation du déploiement, de la gestion, des mises à jour et des rapports. Celui ci permet la sécurisation complète des données, la protection des données hors du réseau, ainsi que le déploiement et la gestion faciles. 98 McAfee Logon Collector 2.1 Guide d'administration
Intégration avec d'autres produits McAfee Intégration avec McAfee Data Loss Prevention 10 Auparavant, McAfee DLP Manager était lié à SAMAccountName en tant qu'élément d'identification de l'utilisateur principal. Mais si cet attribut est appliqué aux utilisateurs du même domaine dont les noms sont similaires ou correspondent, ces derniers ne peuvent pas être identifiés de manière positive. McAfee DLP utilise désormais le SID (Security Identifier) alphanumérique unique affecté à chaque compte utilisateur par le contrôleur de domaine Windows. Par exemple, le nom d'utilisateur jsmith peut appartenir à John Smith ou Jack Smith ; par conséquent, d'autres informations sont nécessaires pour distinguer ces deux utilisateurs. Il se peut même que ces individus utilisent la même adresse IP, ce qui augmenterait les problèmes d'identification du véritable utilisateur. Mais chaque compte présent sur le serveur Active Directory est composé d'attributs identifiant l'individu qui est le propriétaire du compte. Logon Collector fait correspondre les SID uniques affectés à chaque utilisateur Active Directory avec les adresses IP. Puis, tous les paramètres associés à ce SID sont extraits lorsque Logon Collector déplace les mises à jour de liaison du serveur Active Directory vers McAfee DLP. Comme SAMAccountName était utilisé pour indexer les données des précédentes versions, il se peut que ces informations aient été perdues au cours de recherches ponctuelles, lors de la mise à niveau vers la version 9.0, ou lorsque les données de la base de données de capture sont antérieures à la mise à niveau. Conditions requises pour l'intégration La configuration requise pour l'intégration est la suivante : Logon Collector, version 2.1 McAfee DLP, version 9.x de mise à niveau Si vous utilisez McAfee DLP et souhaitez procéder à la mise à niveau vers Logon Collector 2.1, suivez la procédure avancée ci après : 1 Mettez à niveau le serveur Logon Collector 1.x vers le serveur Logon Collector 2.1. 2 Mettez à niveau McAfee DLP vers la nouvelle version qui inclut le client Logon Collector 2.1. Utilisation des éléments utilisateur Active Directory Tous les éléments Active Directory sont traités comme des requêtes de mots et peuvent être dirigés vers des serveurs LDAP spécifiques. Lorsque ces éléments sont utilisés dans une requête, les colonnes prenant en charge le paramètre sont configurées dans la fenêtre de recherche et dans le tableau de bord. Chacun des éléments utilisateur récupère les attributs répertoriés. Paramètres disponibles User Name (Nom de l'utilisateur) : nom de l'utilisateur, alias, service, emplacement User Groups (Groupes d'utilisateurs) : groupe de l'utilisateur User City (Ville de l'utilisateur) : ville de l'utilisateur User Country (Pays de l'utilisateur) : pays de l'utilisateur User Organization (Société de l'utilisateur) : entreprise ou société de l'utilisateur McAfee Logon Collector 2.1 Guide d'administration 99
10 Intégration avec d'autres produits McAfee Intégration avec McAfee Data Loss Prevention Utilisation de McAfee DLP sur les serveurs LDAP distants La fonction de surveillance du trafic utilisateur sur les serveurs Active Directory a maintenant été étendue aux serveurs de répertoires, faisant de la gestion globale des utilisateurs une réalité. La capacité de McAfee DLP 9.0 à se connecter à plusieurs contrôleurs de domaine rend cela possible. Les données sont non seulement capturées sur les réseaux locaux, mais sont également étendues à tout le trafic jusqu'à deux serveurs LDAP. Lorsque les utilisateurs peuvent être reconnus par nom, groupe, service, ville ou pays, un administrateur McAfee DLP peut extraire une grande quantité d'informations importantes, en utilisant quelques faits déterminants pour collecter progressivement plus d'informations sur les violations potentielles. Utilisation de Logon Collector avec McAfee DLP Supposons que vous savez que votre entreprise a perdu des propriétés intellectuelles par rapport à une société dans le pays X, et vous pensez que la fuite vient d'un individu de votre filiale de la ville Y. Comme McAfee DLP capture tout le trafic de votre réseau d'entreprise, vous pouvez ajouter un serveur Active Directory contenant le compte utilisateur de cet individu à McAfee DLP Manager, puis rechercher son UserName et surveiller ses communications. Vous pouvez ensuite rechercher le nom du composant perdu dans ses communications et trouver l'adresse e mail ainsi que l'emplacement géographique des utilisateurs hors de l'entreprise qui peuvent avoir reçu les informations. Il se peut que vous ne sachiez pas ce qui se trouve dans ces communications, mais vous pouvez utiliser ce que vous trouvez pour poser la question logique suivante. Logon Collector peut être configuré avec McAfee DLP Manager afin de déterminer l'identité des utilisateurs à partir des informations de compte utilisateur collectées sur tous les serveurs Active Directory qui ont été ajoutés au système McAfee DLP. Si McAfee DLP Manager est configuré avec Logon Collector et un serveur Active Directory, la protection des postes clients peut être étendue aux serveurs de répertoires qui gèrent les utilisateurs du monde entier. Si vous ne connaissez pas le nom de l'utilisateur, vous pouvez progressivement développer son identité en recherchant des utilisateurs dans la ville Y, puis des groupes d'utilisateurs dans votre service technique, et en identifiant un sous groupe qui pourrait contenir l'utilisateur. Mode d'identification des utilisateurs par Logon Collector Logon Collector permet de faire correspondre des adresses IP à des identités d'utilisateurs sur des serveurs Active Directory. Sans cela, il serait difficile d'identifier les utilisateurs qui pourraient être enregistrés sur différents postes de travail. Les adresses IP changent quand les serveurs DHCP attribuent automatiquement de nouvelles adresses et plusieurs utilisateurs peuvent être connectés sur le même poste de travail. Configuré avec un gestionnaire McAfee DLP Manager, Logon Collector découvre l'identité des utilisateurs à partir des informations des comptes utilisateurs collectées auprès des différents serveurs Active Directory ajoutés au système McAfee DLP. La prise en charge de plusieurs contrôleurs de domaines permet le traitement des opérations professionnelles à grande échelle par les applications McAfee. 100 McAfee Logon Collector 2.1 Guide d'administration
Intégration avec d'autres produits McAfee Intégration avec McAfee Data Loss Prevention 10 Pour McAfee DLP, cela signifie qu'une fois que Logon Collector est activé, les administrateurs de McAfee DLP peuvent configurer les requêtes et les règles basées sur Active Directory pour découvrir à quelles activités certains utilisateurs prennent part sur le réseau. Paramétrer Logon Collector Avant de commencer Pour pouvoir utiliser Logon Collector avec McAfee DLP, un serveur Active Directory doit être ajouté à McAfee DLP Manager. Une communication sécurisée doit ensuite être établie entre McAfee DLP et Logon Collector. Pour établir les connexions SSL, procédez comme suit : 1 Exportez un certificat de Logon Collector. 2 Importez le certificat Logon Collector dans McAfee DLP Manager. 3 Exportez un certificat de McAfee DLP. 4 Importez le certificat McAfee DLP dans Logon Collector. 5 Redémarrez Logon Collector. Une fois cette procédure terminée, des communications sécurisées entre McAfee DLP et Logon Collector sont établies et les données des serveurs Active Directory sont disponibles pour effectuer des recherches ou établir des règles. Authentifier McAfee DLP Manager et Logon Collector Avant de commencer Cette méthode a pour objet de connecter McAfee DLP à Logon Collector, ce qui permet un échange entre les certificats pour une authentification réciproque. Ceci étant fait, vous pouvez configurer une connexion SSL entre les deux applications. 1 Ouvrez un navigateur et connectez vous à Logon Collector. 2 Dans le serveur de Logon Collector, cliquez sur Menu Configuration Server Settings Identity Replication Certificate (Menu, Configuration, Paramètres serveur, Certificat de réplication d'identité) 3 Faites défiler la page jusqu'en bas. 4 Sélectionnez et copiez tout le texte dans le champ Base 64. 5 Ouvrez un navigateur et connectez vous à McAfee DLP Manager. 6 Sélectionnez System Directory Services (Système, Services d'annuaire). 7 Sélectionnez Add a McAfee Logon Collector (Ajouter McAfee Logon Collector) depuis le menu Actions. 8 Saisissez l'adresse IP de Logon Collector. 9 Pour coller le texte dans l'encadré, cliquez sur la case d'option correspondante. Enregistrez ces données Base 64 dans un fichier texte sur votre bureau afin de pouvoir les réutiliser. McAfee Logon Collector 2.1 Guide d'administration 101
10 Intégration avec d'autres produits McAfee Intégration avec McAfee Data Loss Prevention 10 Cliquez sur Apply (Appliquer). 11 Cliquez sur Export (Exporter) pour enregistrer le certificat McAfee DLP réseau sur votre bureau. 12 Ouvrez un navigateur et saisissez l'adresse de Logon Collector. 13 Cliquez sur Menu Configuration Trusted CA (Menu, Configuration, Autorités de certification approuvées). 14 Cliquez sur New Authority (Nouvelle autorité). 15 Prenez le fichier netdlp_certificate.cer enregistré sur votre bureau. 16 Cliquez sur Open (Ouvrir). 17 Cliquez sur Save (Enregistrer). Ce faisant, McAfee DLP Manager est ajouté à Logon Collector. 18 Ouvrez une session Bureau à distance sur le serveur Logon Collector. 19 Arrêtez et redémarrez le serveur de Logon Collector. La connexion est désormais établie. 102 McAfee Logon Collector 2.1 Guide d'administration
11 Evolutivité Ce chapitre décrit en détail les limites de performances prises en charge par Logon Collector. Détails sur l'évolutivité Les limites de performances de Logon Collector sont les suivantes : Champs Limites Utilisateurs jusqu'à 100 000 Groupes jusqu'à 20 000 Domaines 10 Taux de connexion jusqu'à 800 événements de connexion par minute Clients jusqu'à 150 McAfee Logon Collector 2.1 Guide d'administration 103
11 Evolutivité Détails sur l'évolutivité 104 McAfee Logon Collector 2.1 Guide d'administration
12 Résolution de problèmes Ce chapitre fournit des informations pouvant vous permettre de résoudre un problème. Sommaire Vérification des informations d'identification de domaine Création d'un compte non-administrateur pour accéder au journal des événements de sécurité sur un contrôleur de domaine Journaux de Logon Monitor Journaux de Logon Collector Erreur lors de l'installation de Logon Collector 2.0 sous Windows Server 2008 R2 Erreur lors de la désinstallation de l'instance de base de données SQL relative à Logon Collector Configuration de la page Database Settings (Paramètres de la base de données) pour se connecter au serveur SQL Utilisation élevée de la mémoire par lsass.exe de récupération dans le cadre de la limite de répertoire McAfee epo fixée à 10 000 objets Vérification des informations d'identification de domaine Cette section décrit comment vérifier si les informations d'identification spécifiées pour un domaine sont correctes et disposent des droits suffisants pour accéder à un contrôleur de domaine à l'aide de Logon Collector. Les contrôleurs de domaine auxquels vous accédez doivent enregistrer les événements de sécurité. Testez vos informations d'identification à l'aide de l'outil wbemtest.exe pour vous connecter à un contrôleur de domaine et exécuter plusieurs requêtes. Si vous ne pouvez pas spécifier les informations d'identification d'un compte administrateur, vous pouvez utiliser un compte non administrateur sur le contrôleur de domaine. Le compte administrateur que vous voulez utiliser pour accéder au contrôleur de domaine DOIT se trouver dans le domaine dont vous voulez obtenir les identités. L'exécution réussie des requêtes vérifie que les informations d'identification disposent des droits suffisants pour accéder aux éléments suivants du contrôleur de domaine : journal des événements de sécurité performances processeur connexion WMI connexion DCOM McAfee Logon Collector 2.1 Guide d'administration 105
12 Résolution de problèmes Vérification des informations d'identification de domaine Connexion à un contrôleur de domaine Suivez les étapes ci dessous pour utiliser l'outil wbemtest.exe et vous connecter à un contrôleur de domaine. Ces instructions fonctionnent uniquement si Logon Collector est exécuté sur un ordinateur distant et non sur un contrôleur de domaine locallogon Collector. 1 Ouvrez une invite de commande et accédez à \Windows\System32\WBEM. 2 Exécutez wbemtest.exe : C:\Windows\System32\WBEM> wbemtest La fenêtre Testeur de l'instrumentation de gestion Windows (Testeur WMI) s'ouvre. Figure 12-1 Fenêtre Testeur de l'instrumentation de gestion Windows 106 McAfee Logon Collector 2.1 Guide d'administration
Résolution de problèmes Vérification des informations d'identification de domaine 12 3 Cliquez sur Se connecter pour afficher la fenêtre Se connecter. Figure 12-2 Fenêtre Se connecter 4 Spécifiez les informations suivantes : Option Connexion sans nom Utilisateur mot de passe Autorité Paramètres régionaux Niveau de représentation Définition \\<dc_name>\root\cimv2 Le nom d'utilisateur pour authentifier le contrôleur de domaine. Le mot de passe associé. Laissez ce champ vide. Laissez ce champ vide. Sélectionnez Emprunter l'identité. Interprétation des mots de passe vide Sélectionnez NULL. Niveau d'authentification Sélectionnez Confidentialité du paquet. McAfee Logon Collector 2.1 Guide d'administration 107
12 Résolution de problèmes Vérification des informations d'identification de domaine 5 Cliquez sur Se connecter pour continuer. Si le message Accès refusé apparaît, il se peut que vous ayez mal entré les informations d'identification ou que le compte utilisateur ne dispose pas des droits nécessaires. Essayez d'entrer à nouveau les informations d'identification et vérifiez que le compte utilisateur est correctement configuré. Si vous n'utilisez pas de compte administrateur, vous pouvez utiliser un compte non administrateur sur le contrôleur de domaine. La fenêtre Testeur de l'instrumentation de gestion Windows change pour indiquer IWbemServices et Options d'invocation de la méthode. Figure 12-3 Fenêtre Testeur de l'instrumentation de gestion Windows L'authentification réussie auprès du contrôleur de domaine et l'affichage de la fenêtre ci dessous signifient que Logon Collector a accès aux connexions WMI et DCOM. 6 Exécutez chacune des requêtes suivantes : Requête de performances du processeur La réussite de cette requête signifie que Logon Collector a accès aux performances du processeur sur le contrôleur de domaine. Requête du journal antérieur La réussite de cette requête signifie que Logon Collector a accès au journal des événements de sécurité. Requête de notification du journal ultérieur La réussite de cette requête signifie que Logon Collector a accès au journal des événements de sécurité. Vous devez exécuter la requête des performances du processeur et l'une des requêtes du journal pour vérifier que vous disposez des informations d'identification correctes, et ainsi, des droits d'accès nécessaires. 108 McAfee Logon Collector 2.1 Guide d'administration
Résolution de problèmes Vérification des informations d'identification de domaine 12 Exécution d'une requête de performances du CPU Pour exécuter une requête de performances du CPU, procédez comme suit : 1 Connectez vous à un contrôleur de domaine. 2 Cliquez sur Query (Requête). 3 Saisissez ce qui suit : SELECT * FROM Win32_PerfRawData_PerfOS_Processor WHERE Name= _Total Figure 12-4 Requête de performances du CPU 4 Cliquez sur Apply (Appliquer) pour afficher les résultats de la requête. Figure 12-5 Fenêtre de résultats de la requête 5 Cliquez sur Close (Fermer) une fois assuré que la requête a bien fonctionné suite à l'affichage du contenu de la capture d'écran ci dessus. 6 Exécutez les autres requêtes qu'il vous reste à faire. McAfee Logon Collector 2.1 Guide d'administration 109
12 Résolution de problèmes Vérification des informations d'identification de domaine Exécution d'une requête de journal antérieur Pour exécuter une requête de journal antérieur, procédez comme suit : 1 Connectez vous à un contrôleur de domaine. 2 Cliquez sur Query (Requête). 3 Saisissez ce qui suit : SELECT * FROM Win32_NTLogEvent WHERE Logfile = 'Security' AND (EventIdentifier = 672 OR EventIdentifier = 673 OR EventIdentifier = 680 OR EventIdentifier = 4768 OR EventIdentifier = 4769 OR EventIdentifier = 4776) AND TimeWritten > 'yyyymmdd' yyyymmdd étant la date du jour antérieur. Figure 12-6 Requête du journal antérieur 4 Cliquez sur Apply (Appliquer) pour afficher les résultats de la requête. Figure 12-7 Résultats de la requête du journal antérieur 110 McAfee Logon Collector 2.1 Guide d'administration
Résolution de problèmes Vérification des informations d'identification de domaine 12 5 Cliquez sur Close (Fermer) une fois assuré que la requête a bien fonctionné suite à l'affichage du contenu de la capture d'écran ci dessus. Il est inutile d'attendre que tous les résultats s'affichent. 6 Exécutez les autres requêtes qu'il vous reste à faire. Exécution d'une requête de notification du journal ultérieur Pour exécuter une requête de notification du journal ultérieur, procédez comme suit : 1 Connectez vous à un contrôleur de domaine. 2 Cliquez sur Notification Query (Requête de notification). 3 Saisissez ce qui suit : SELECT * FROM InstanceCreationEvent WHERE TargetInstance ISA 'Win32_NTLogEvent' AND TargetInstance.Logfile = 'Security' AND (TargetInstance.EventIdentifier = 672 OR TargetInstance.EventIdentifier = 673 OR TargetInstance.EventIdentifier = 680 OR TargetInstance.EventIdentifier = 4768 OR TargetInstance.EventIdentifier = 4769 OR TargetInstance.EventIdentifier = 4776) 4 Cliquez sur Apply (Appliquer). Figure 12-8 Résultats de la requête de notification du journal ultérieur Les résultats s'affichent au moment où ils sont enregistrés dans le journal. 5 Cliquez sur Close (Fermer). L'opération ne prend fin que lorsque vous cliquez sur Close (Fermer). 6 Exécutez les autres requêtes qu'il vous reste à faire. McAfee Logon Collector 2.1 Guide d'administration 111
12 Résolution de problèmes Création d'un compte non-administrateur pour accéder au journal des événements de sécurité sur un contrôleur de domaine Création d'un compte non-administrateur pour accéder au journal des événements de sécurité sur un contrôleur de domaine Logon Collector prend en charge les domaines exécutés sous Windows 2000, Windows 2003 et Windows 2008. Vous ne pouvez pas installer Logon Collector sur un serveur Windows 2000 ; cependant, Logon Collector peut surveiller vos domaines Windows 2000. Suivez les étapes décrites dans l'article KB75890 de la base de connaissances (KnowledgeBase) pour créer un compte non administrateur sous Windows Server 2003 et 2008 afin d'accéder aux journaux des événements de sécurité du contrôleur de domaine. Création d'un compte sous Windows Server 2000 Les tâches suivantes doivent être effectuées pour créer un compte non administrateur sous Windows Server 2000 pouvant accéder au journal des événements de sécurité du contrôleur de domaine : Créez un nouveau groupe Active Directory. Créez un compte d'utilisateur de domaine. Activez l'accès WMI à l'espace de noms requis. Autorisez l accès DCOM. Activez l'accès en lecture au journal des événements de sécurité. Ressources supplémentaires Ressource URL Article de la base de connaissances Microsoft http://support.microsoft.com/kb/323076 Format de chaîne du descripteur de sécurité Description de chaînes SID Description de chaînes ACE Document utile pour la syntaxe SDDL Accès DCOM à distance Accès WMI à distance http://msdn.microsoft.com/en us/library/ aa379570(vs.85).aspx http://msdn2.microsoft.com/en us/library/ aa379602.aspx http://msdn2.microsoft.com/en us/library/ aa374928.aspx http://www.washington.edu/computing/support/ windows/uwdomains/sddl.htm http://msdn2.microsoft.com/en us/library/ aa393266.aspx http://msdn2.microsoft.com/en us/library/ aa393613.aspx Journaux de Logon Monitor Le format de base des messages du journal de Logon Monitor est le suivant : YYYY MM DD'T'HH:mm:ss'Z' <LEVEL>: <Msg> L'heure est au format UTC (représenté par Z dans le format de base). 112 McAfee Logon Collector 2.1 Guide d'administration
Résolution de problèmes Journaux de Logon Monitor 12 Voici un exemple de format de base des messages du journal de Logon Monitor : 2010 11 09T21:23:09Z INFO: DlcServiceMain Service Started. La liste suivante indique les trois types de messages que vous pouvez recevoir : Messages internes Messages relatifs à la communication avec Logon Collector Messages relatifs à la communication avec Logon Monitor Messages internes Les messages internes ne contiennent aucun qualificateur. Voici des exemples de messages internes : 2010 11 09T21:23:09Z INFO: DlcServiceMain Service Started 2010 11 09T21:23:09Z INFO: Socket Listening on 50443 Messages générés relatifs à la communication avec Logon Collector Les messages générés relatifs à la communication avec Logon Collector surviennent uniquement au niveau de débogage 2 ou supérieur. Le format des messages générés relatifs à la communication avec Logon Collector est le suivant : Format : <Data> <Level>: [CLI:<MLC IP Address>:<Port>] <Message> Exemples : 2010 12 03T16:46:24Z DEBUG: [CLI:127.0.0.1:10248] Connection accepted 2010 12 03T16:46:24Z DEBUG: [CLI:127.0.0.1:10248] Command HELLO 2010 12 03T16:46:24Z DEBUG: [CLI:127.0.0.1:10248] Command CONNECT L'exemple de message suivant peut être utilisé pour comprendre les différentes parties d'un message : STATS RP:0 LR:2010 12 03T16:46:12Z LV:0 PB:0 CB:0 LW:4 BW:243, où RP désigne le nombre d'enregistrements envoyés. LR désigne le dernier enregistrement envoyé. LV désigne les nombres 0 à 5 qui indiquent une communication lente. Tout nombre supérieur à 3 indique que la liaison peut être très lente. PB et CB sont combinés pour calculer le nombre d'octets en attente d'écriture. LW désigne le nombre de lignes écrites. BW désigne le nombre d'octets écrits (pouvant être utilisé pour calculer la bande passante). Messages liés à la communication Logon Monitor Du fait de la communication Logon Monitor, des messages sont générés à tous les niveaux. Ils sont, la plupart du temps, générés à titre d'information. Leur format est le suivant : McAfee Logon Collector 2.1 Guide d'administration 113
12 Résolution de problèmes Journaux de Logon Collector Format : <Data> <Level>: [DC:<DC Name>] <Message> Exemples : 2010 12 03T16:46:24Z INFO: [DC:d2 dc 01.domain2.cai.local] Wmi Connected 2010 12 03T16:46:24Z INFO: [DC:d2 dc 01.domain2.cai.local] DcConnection::run Backlog query disabled by client request Exemple de message d'erreur : Le message d'erreur suivant s'affiche dans la fenêtre Status (Etat) de Logon Collector : Access Denied (Password Change) ERROR: [DC:nsbu 01.domain3.cai.local] Wmi [0x80070005 Access is denied.] ConnectServer Exemple de code d'erreur : 0x80070005 : il s'agit d'une erreur Microsoft. Pour plus d'informations, consultez le site Web microsoft.com. Erreurs de contrôleur de domaine courantes Le tableau suivant indique les erreurs de contrôleur de domaine courantes : Erreur Description 0x80070005 Accès refusé. Cette erreur peut être affichée suite à des problèmes de mot de passe. 0x8004106C Violation de quota : Non concordance des patches entre DC et MLC. Pour résoudre ce problème, assurez vous que tous les patches ont été appliqués. 0x800706BA Le serveur RPC est indisponible. Cette erreur peut être affichée suite à l'une des raisons suivantes : problème de mot de passe si le système est hors service contrôle d'accès si WMI est désactivé sur le système non concordance de patches 0x80010002 L'appel a été annulé par le filtre de messages (identique à l'erreur 0x800706BA). 0x80090327 Une erreur inconnue s'est produite lors du traitement du certificat. Pour résoudre ce problème, vérifiez le certificat de Logon Monitor à distance. Pour plus d'informations, consultez la page http://msdn.microsoft.com/en us/library/ aa394559%28v=vs.85%29.aspx. Journaux de Logon Collector Logon Collector présente les fichiers journaux suivants dans <MLC_INSTALL_FOLDER>/server/logs pour résoudre les problèmes : jakarta_service_20100930.log orion.log jakarta_service_20100930.log orion.log1 114 McAfee Logon Collector 2.1 Guide d'administration
Résolution de problèmes Journaux de Logon Collector 12 localhost_access_log.2010 10 12.txt <MLC_INSTALL_FOLDER>/server/logs localhost_access_log.2010 10 12.txt stderr.log Parmi les journaux disponibles, orion.log et orion.log1 sont les plus importants. orion.log est un journal à rotation. Il est limité par la taille, mais aussi par le nombre total de fichiers journaux. Si, par exemple, vous utilisez orion.log et que vous atteignez sa taille maximale, vous pouvez passer à orion.log1. Format du journal : YYYY MM DD HH:mm:ss,mmm <LEVEL> [<Thread>] Message Pour résoudre un problème, cherchez le mot "Exception" dans le fichier journal orion. Enregistrements du journal des erreurs de communication Active Directory de Logon Collector Recherchez "GSS initiate failed" ou "LoginException" dans les enregistrements du journal des erreurs de communication Active Directory de Logon Collector. Ces messages d'erreur indiquent que Logon Collector ne parvient pas à accéder à Active Directory. Les problèmes les plus courants sont les suivants : Mot de passe incorrect : LoginException : Pre authentication information was invalid (24) Problème DNS : Aucune information d'identification valide n'a été fournie (niveau de mécanisme : serveur introuvable dans la base de données Kerberos (7)) Résoudre les problèmes de DNS Pour résoudre les problèmes de DNS : Vérifiez l'existence d'enregistrements SRV pour le domaine à surveiller. Exécutez la commande suivante à partir de la ligne de commande du serveur de Logon Collector et vérifiez que vous obtenez bien ce qui suit : C:\>nslookup query=srv _kerberos._tcp.domain1.cai.local Server: net apps.cai.local Address: 172.25.59.11 Non authoritative answer: _kerberos._tcp.domain1.cai.local SRV service location: priority = 0 weight = 100 port = 88 svr hostname = dc 01.domain1.cai.local _kerberos._tcp.domain1.cai.local SRV service location: priority = 0 weight = 100 port = 88 svr hostname = dc 02.domain1.cai.local domain1.cai.local nameserver = dc 02.domain1.cai.local domain1.cai.local nameserver = dc 01.domain1.cai.local dc 01.domain1.cai.local internet address = 172.25.59.80 dc 02.domain1.cai.local internet address = 172.25.59.81 Vérifiez le bon fonctionnement des recherches DNS directes et inversées pour le domaine à surveiller. Exécutez la commande suivante à partir de la ligne de commande du serveur de Logon Collector et vérifiez que vous obtenez bien ce qui suit : C:\>nslookup dc 01.domain1.cai.local Server: net apps.cai.local Address: 172.25.59.11 Non authoritative answer: Name: dc 01.domain1.cai.local Address: 172.25.59.80 C:\>nslookup 172.25.59.80 Server: net apps.cai.local Address: 172.25.59.11 Name: dc 01.domain1.cai.local Address: 172.25.59.80 McAfee Logon Collector 2.1 Guide d'administration 115
12 Résolution de problèmes Erreur lors de l'installation de Logon Collector 2.0 sous Windows Server 2008 R2 Dépannage en cas d'échec de NSLookup En cas d'échec de NSLookup, posez vous les questions suivantes : Vérifiez s'il pointe vers un serveur DNS incorrect : assurez vous que vous utilisez le serveur DNS de production. Vérifiez que la configuration est correcte. Assurez vous que vous pointez les entrées DNS du serveur Logon Collector vers les contrôleurs de domaine. Vérifiez si des entrées sont présentes dans C:\Windows\System32\drivers\etc\hosts : Recherchez les entrées équivalentes aux entrées /etc/hosts d'unix. Vérifiez si des entrées masquent les entrées DNS dans ce fichier. Il est recommandé que ce fichier ne contienne que des commentaires (#). Si vous utilisez des environnements de production, le système de noms de domaine n'est pas un problème, car Windows repose sur une configuration DNS correcte. Vérifiez si vous utilisez le système de noms de domaine inversé. Assurez vous que vous avez ajouté des entrées DNS pour le système de noms de domaine inversé. Erreur lors de l'installation de Logon Collector 2.0 sous Windows Server 2008 R2 L'installation de Logon Collector 1.0/1.0.1 n'est pas prise en charge sous Windows Server 2008 R2. Si Logon Collector 1.0/1.0.1 est installé sous Windows Server 2008 R2 en mode de compatibilité, la désinstallation de Logon Collector ne peut pas être effectuée correctement. En conséquence, l'installation ultérieure de Logon Collector 2.0 échoue. Suivez les étapes ci dessous après la désinstallation réussie de Logon Collector 1.0/1.0.1. 1 Supprimez le dossier d'installation de Logon Collector 1.0/1.0.1. 2 Supprimez la clé de registre suivante : HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\ePolicy Orchestrator\MFS Framework (pour Windows 32 bits) HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\McAfee\ePolicy Orchestrator\MFS Framework (pour Windows 64 bits) Erreur lors de la désinstallation de l'instance de base de données SQL relative à Logon Collector Après la désinstallation réussie de Logon Collector, il se peut que vous souhaitiez désinstaller l'instance Microsoft SQL Server incluse dans l'installation de Logon Collector. Suivez les étapes ci dessous si vous n'y parvenez pas. 1 Ouvrez le Task Manager (Gestionnaire des tâches), puis arrêtez le processus sqlserver.exe relatif à l'instance de base de données de Logon Collector. 2 Réessayez de désinstaller l'instance de base de données SQL relative à Logon Collector. 116 McAfee Logon Collector 2.1 Guide d'administration
Résolution de problèmes Configuration de la page Database Settings (Paramètres de la base de données) pour se connecter au serveur SQL 12 Configuration de la page Database Settings (Paramètres de la base de données) pour se connecter au serveur SQL Le serveur de Logon Collector utilise la base de données du serveur SQL de Microsoft pour stocker les informations d'identification des utilisateurs de Logon Collector. Ceci permet d'authentifier les utilisateurs lorsqu'ils se connectent à l'interface utilisateur administrateur de Logon Collector. En cas de modification des informations d'identification sur le serveur SQL, le serveur de Logon Collector ne peut pas se connecter au serveur SQL. Ainsi, les utilisateurs ne pourront pas se connecter à l'interface utilisateur administrateur de Logon Collector. Pour résoudre ce problème, procédez comme suit : 1 Connectez vous au serveur de Logon Collector. 2 Ouvrez https://localhost:8443/core/config dans votre navigateur. 3 Réinitialisez le mot de passe dans la page Database Settings (Paramètres de base de données). Figure 12-9 Page Database Settings (Paramètres de base de données) Utilisation élevée de la mémoire par lsass.exe Lsass.exe met en cache les données afin d'améliorer les performances de requête LDAP. Il est normal pour ce processus d'utiliser une énorme quantité de mémoire (plusieurs Go) sur un contrôleur de domaine, lorsque le domaine contient une grande quantité de données. de récupération dans le cadre de la limite de répertoire McAfee epo fixée à 10 000 objets La procédure de récupération est un mécanisme de sécurité introduit pour éviter d'affecter les performances de McAfee epo lorsque Logon Collector fonctionne comme extension de McAfee epo. Vérifiez le nombre d'utilisateurs et de groupes d'un domaine avant de l'ajouter au serveur Logon Collector utilisé comme extension de McAfee epo. McAfee Logon Collector 2.1 Guide d'administration 117
12 Résolution de problèmes de récupération dans le cadre de la limite de répertoire McAfee epo fixée à 10 000 objets Si vous avez atteint la limite fixée, Logon Collector procède alors comme suit : Il interrompt les mises à jour et la synchronisation vers les clients. Logon Collector arrête de surveiller les domaines. Logon Collector ne permet aucun ajout d'objet de répertoire supplémentaire à l'idds. Si vous atteignez la limite fixée, le message d'erreur suivant s'affiche : Figure 12-10 Message d'erreur lié à la limite McAfee epo Figure 12-11 Message d'erreur dans la page Status (Etat) Pour résoudre ce problème, procédez comme suit : 1 N'entreprenez aucune nouvelle opération sur le serveur de Logon Collector. Ceci est vivement conseillé par McAfee. 2 Supprimez Logon Collector et les extensions associées de McAfee epo, puis réinstallez le. Cela permettra de nettoyer la banque de données et les configurations. 118 McAfee Logon Collector 2.1 Guide d'administration
0A03