McAfee Total Protection for Endpoint Guide d`évaluation

Transcription

McAfee Total Protection for Endpoint
Guide d'évaluation
COPYRIGHT
Copyright © 2009 McAfee, Inc. Tous droits réservés.
Aucune partie de cette publication ne peut être reproduite, transmise, transcrite, stockée dans un système d'archivage ou traduite dans toute
autre langue, sous quelque forme ou par quelque moyen que ce soit sans l'autorisation écrite de McAfee, Inc., de ses fournisseurs ou de ses
sociétés affiliées.
DROITS DE MARQUES
AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCE
EXCHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN et
WEBSHIELD sont des marques commerciales déposées ou des marques commerciales de McAfee, Inc. et/ou de ses sociétés affiliées aux Etats-Unis
et/ou dans d'autres pays. La couleur rouge McAfee utilisée pour identifier des fonctionnalités liées à la sécurité est propre aux produits de la
marque McAfee. Toutes les autres marques commerciales déposées ou non déposées citées dans ce document sont la propriété exclusive de
leurs détenteurs respectifs.
INFORMATIONS DE LICENCE
Accord de licence
À L'ATTENTION DE TOUS LES UTILISATEURS : VEUILLEZ LIRE ATTENTIVEMENT L'ACCORD LÉGAL APPROPRIÉ CORRESPONDANT À LA LICENCE
QUE VOUS AVEZ ACHETÉE, QUI DÉFINIT LES CONDITIONS GÉNÉRALES D'UTILISATION DU LOGICIEL SOUS LICENCE. SI VOUS NE CONNAISSEZ
PAS LE TYPE DE LICENCE QUE VOUS AVEZ ACQUIS, CONSULTEZ LES DOCUMENTS DE VENTE, D'ATTRIBUTION DE LICENCE OU LE BON DE
COMMANDE QUI ACCOMPAGNENT LE LOGICIEL OU QUE VOUS AVEZ REÇUS SÉPARÉMENT LORS DE L'ACHAT (SOUS LA FORME D'UN LIVRET,
D'UN FICHIER SUR LE CD-ROM DU PRODUIT OU D'UN FICHIER DISPONIBLE SUR LE SITE WEB À PARTIR DUQUEL VOUS AVEZ TÉLÉCHARGÉ
LE PACKAGE LOGICIEL). SI VOUS N'ACCEPTEZ PAS TOUTES LES DISPOSITIONS DE CET ACCORD, NE PROCÉDEZ PAS À L'INSTALLATION DU
LOGICIEL. LE CAS ÉCHÉANT, VOUS POUVEZ RETOURNER LE PRODUIT À MCAFEE OU À VOTRE REVENDEUR AFIN D'EN OBTENIR LE
REMBOURSEMENT INTÉGRAL.
Attributions de licences
Reportez-vous aux Notes de distribution du produit.
2
McAfee Total Protection for Endpoint - Guide d'évaluation
Table des matières
Bienvenue. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Configuration système requise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Configuration serveur requise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Configuration requise pour la base de données. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Prise en charge linguistique pour le système d'exploitation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Installation de la suite McAfee Total Protection for Endpoint. . . . . . . . . . . . . . . . . . . . . . . 11
Connexion à ePolicy Orchestrator. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Configuration du serveur ePolicy Orchestrator. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Ajout des systèmes à gérer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Définition de stratégies pour les postes clients. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Définition de stratégies pour les serveurs de messagerie. . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Définition de tâches pour les postes clients. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Déploiement de McAfee Agent. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Tableaux de bord et requêtes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Synthèse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Références. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
3
Bienvenue
®
®
Bienvenue dans McAfee Total Protection for Endpoint. Cette solution intègre les technologies
de sécurisation des postes clients, des données, de l'environnement web et de la messagerie
électronique les plus complètes et les plus avancées développées par McAfee. Il n'est plus
nécessaire d'acheter et de gérer plusieurs composants de sécurité spécialisés de différents
éditeurs. McAfee Total Protection for Endpoint vous permet de réaliser des économies de temps
et d'argent, en plus d'assurer une protection intégrée et puissante contre les menaces — tant
celles que les entreprises connaissent que celles qui sont impossibles à prévoir.
Ce guide est structuré de sorte que vous puissiez évaluer McAfee Total Protection for Endpoint
®
™
dans un environnement pilote composé d'un serveur ePolicy Orchestrator (ePO ) et d'un
certain nombre d'ordinateurs clients. Il décrit les étapes fondamentales nécessaires pour installer
rapidement ePolicy Orchestrator, configurer des stratégies et tâches de base et déployer les
produits McAfee de protection des clients suivants :
®
• VirusScan
Enterprise 8.7i
• AntiSpyware Enterprise 8.7
• Host Intrusion Prevention 7.0
®
• SiteAdvisor
Enterprise Plus 3.0
®
• GroupShield
7.0.1 for Microsoft Exchange
• McAfee Security for Lotus Domino 7.5 sous Windows
Ce guide propose des exemples concrets de tâches entreprises au cours d'un déploiement en
conditions réelles. Elle ne couvre pas tous les scénarios de déploiement possibles et n'examine
pas toutes les fonctionnalités. Pour des informations complètes sur tous les aspects des produits
inclus dans Total Protection for Endpoint, reportez-vous à leurs guides produit respectifs.
Une documentation produit complète est disponible dans la Base de connaissances McAfee.
Sous Self Service, cliquez sur Product Documentation (Documentation sur les produits),
choisissez un produit et une version, puis choisissez un document.
Description des produits
Les produits de Total Protection for Endpoint sont regroupés en trois catégories :
• Solution de gestion
• Protection des postes clients
• Protection du serveur de messagerie
Solution de gestion
Total Protection for Endpoint propose ces produits en tant que solution de gestion.
4
Produit
Description
McAfee ePolicy Orchestrator 4.5
ePolicy Orchestrator est la première solution de gestion de la sécurité
des systèmes pour l'entreprise. Elle offre une défense proactive
Bienvenue
Produit
Description
coordonnée contre les attaques et les menaces malveillantes. ePolicy
Orchestrator allie un contrôle global des stratégies inégalé, avec un
agent unique et une console centrale, à des fonctions de génération
de rapports personnalisée pour vous permettre de gérer votre
environnement de sécurisation des systèmes en toute facilité.
McAfee Agent 4.5
McAfee Agent est le composant côté client qui prend en charge
l'infrastructure de gestion de la sécurité McAfee. Il fournit une
communication sécurisée entre les produits individuels et ePolicy
Orchestrator, et entre les services locaux et les produits individuels. En
tant que structure sous-jacente, McAfee Agent permet aux produits
isolés de se concentrer sur la mise en œuvre de leurs stratégies, tout
en offrant une série de services en constante évolution, tels que la
journalisation, la communication et le stockage des stratégies.
Protection des postes clients
Total Protection for Endpoint propose ces produits pour la protection des postes clients.
Produit
Description
®
McAfee VirusScan
Enterprise 8.7i
VirusScan Enterprise, un nom de référence dans le domaine de la
sécurité, est l'un des leaders de la protection proactive avancée pour
les ordinateurs et les serveurs. En cas d'attaque ou d'épidémie, les
entreprises peuvent compter sur les performances de VirusScan
Enterprise pour des fonctions essentielles, telles que le nettoyage de
la mémoire, des rootkits, du Registre et des fichiers, ainsi que la
prévention de la propagation de code malveillant à d'autres systèmes.
VirusScan Enterprise assure également des fonctionnalités antivirus,
de prévention des intrusions et de pare-feu pour une protection contre
les attaques connues et inconnues.
McAfee AntiSpyware Enterprise 8.7
Première de sa catégorie, la solution logicielle pour entreprises
AntiSpyware Enterprise Module repose sur des analyses à l'accès
effectives pour identifier, bloquer de façon proactive et éliminer en
toute sécurité les programmes potentiellement indésirables et assurer
ainsi la continuité des opérations de l'entreprise. Gérée de façon
centralisée à l'aide d'ePolicy Orchestrator, McAfee AntiSpyware
Enterprise Module s'intègre de façon transparente avec VirusScan
Enterprise, réduisant ainsi les perturbations dues aux menaces et aux
programmes potentiellement indésirables.
McAfee Host Intrusion Prevention 7.0
Host Intrusion Prevention surveille et bloque les intrusions de façon
proactive en associant des signatures et des règles de comportement
à un pare-feu système. La protection de vos ressources améliore la
disponibilité, la confidentialité et l'intégrité des processus d'entreprise.
Un agent unique facilite les tâches de déploiement, de configuration et
de gestion ; de plus, l'application des patchs devient moins urgente et,
donc, moins fréquente.
®
McAfee SiteAdvisor
Enterprise Plus 3.0
SiteAdvisor Enterprise Plus permet à votre personnel de surfer et
d'effectuer des recherches sur Internet en toute sécurité, puisque les
menaces telles que les logiciels espions, logiciels publicitaires,
escroqueries par phishing et autres sont bloquées. Intégrée aux solutions
McAfee, la technologie SiteAdvisor Enterprise ajoute la sécurisation de
l'environnement web à la protection globale, guidant les utilisateurs sur
le Web et les protégeant contre les menaces en ligne.
Protection du serveur de messagerie
Total Protection for Endpoint propose ces produits pour la protection du serveur de messagerie.
5
Bienvenue
Produit
Description
®
McAfee GroupShield
Exchange
7.0.1 for Microsoft
GroupShield protège votre courrier électronique ainsi que d'autres
documents à l'entrée et en sortie de votre serveur Microsoft Exchange.
GroupShield effectue des analyses antivirus proactives, contre
automatiquement les attaques virales et empêche le code malveillant
de perturber le fonctionnement de vos systèmes. Le filtre de contenu
GroupShield bloque ou met en quarantaine les messages qui contiennent
des mots ou expressions spécifiques en violation de règles définies.
McAfee Security for Lotus Domino 7.5 sous
Windows
McAfee Security for Lotus Domino protège votre courrier électronique
ainsi que d'autres documents à l'entrée et en sortie de votre serveur
Domino. McAfee Security for Lotus Domino effectue des analyses
antivirus proactives, contre automatiquement les attaques virales et
empêche le code malveillant de perturber le fonctionnement de vos
systèmes. Le filtre de contenu McAfee Security for Lotus Domino bloque
ou met en quarantaine les messages qui contiennent des mots ou
expressions spécifiques en violation de règles définies.
Module complémentaire McAfee Anti-Spam
Anti-Spam bloque le spam sur vos serveurs de messagerie Microsoft
Exchange et Lotus Domino. Cela augmente la productivité, tout en
bloquant les escroqueries par phishing afin de protéger les données
confidentielles contre toute divulgation par le personnel. Anti-Spam
s'intègre avec McAfee GroupShield et McAfee Security for Lotus Domino
pour réduire l'utilisation des ressources sur vos serveurs de messagerie
très sollicités.
Lorsque vous serez prêt à déployer des produits sur votre environnement, tels que VirusScan
Enterprise ou Host Intrusion Prevention, vous utiliserez ePolicy Orchestrator et McAfee Agent
pour gérer le déploiement et les mises à jour. McAfee vous recommande d'utiliser le workflow
présenté dans les sections suivantes pour commencer à utiliser la solution.
6
Configuration système requise
Avant de commencer la configuration du logiciel McAfee Total Protection for Endpoint, vérifiez
que chaque composant présente la configuration minimale requise décrite ci-dessous :
• Serveur
• Base de données
Configuration serveur requise
Espace disque disponible : 1 Go minimum pour une première installation ; 2 Go recommandés
Mémoire : 1 Go de RAM, 2 à 4 Go recommandés
Processeur : Intel Pentium III ou supérieur, 1 GHz ou plus puissant
Moniteur : moniteur VGA 1024 x 768, 256 couleurs
Carte réseau : carte réseau 100 Mbits/s ou supérieure
REMARQUE : Si vous utilisez un serveur qui possède plusieurs adresses IP, ePolicy Orchestrator
utilise la première adresse IP identifiée.
Serveur dédié : recommandé si vous gérez plus de 250 ordinateurs
Système de fichiers : partition NTFS (NT File System) recommandée
Adresse IP : adresses IP statiques recommandées pour les serveurs ePO
Système d'exploitation serveur : 32 bits ou 64 bits
• Windows Server 2003 Enterprise avec Service Pack 2 ou ultérieur
• Windows Server 2003 Standard avec Service Pack 2 ou ultérieur
• Windows Server 2003 Web avec Service Pack 2 ou ultérieur
• Windows Server 2003 R2 Enterprise avec Service Pack 2 ou ultérieur
• Windows Server 2003 R2 Standard avec Service Pack 2 ou ultérieur
• Windows Server 2008
REMARQUE : L'installation est bloquée si vous tentez d'installer le produit sur une version
de Windows antérieure à Windows Server 2003. En outre, ePolicy Orchestrator arrête de
fonctionner si, après avoir été installé sur Windows Server 2003, le serveur fait l'objet d'une
mise à niveau vers Windows Server 2008.
Navigateur
• Firefox 3.0
• Microsoft Internet Explorer 7.0 ou 8.0
Si vous utilisez Internet Explorer et un serveur proxy, procédez comme suit pour ne pas
recourir au serveur proxy.
7
Configuration requise pour la base de données
1
Dans le menu Outils d'Internet Explorer, choisissez Options Internet.
2
Dans l'onglet Connexions, cliquez sur Paramètres réseau.
3
Activez la case à cocher Utilisez un serveur proxy pour votre réseau local, puis
sélectionnez Ne pas utiliser de serveur proxy pour les adresses locales.
4
Cliquez sur OK pour fermer la boîte de dialogue Options Internet.
Contrôleurs de domaine — Le serveur ePolicy Orchestrator peut gérer des systèmes dans
un groupe de travail ou un domaine Windows. Dans les instructions d'installation ci-dessous,
nous utilisons un domaine Windows. Le serveur doit donc être membre de votre domaine
Windows. Pour plus d'informations, consultez la documentation produit de Microsoft.
Logiciels de sécurité
• Installez et/ou mettez à jour le logiciel antivirus sur le serveur ePolicy Orchestrator et lancez
une analyse antivirus.
ATTENTION : Si VirusScan Enterprise 8.5i ou 8.7i est exécuté sur le système où vous installez
ePolicy Orchestrator, vérifiez que les règles de protection de l'accès de VSE sont désactivées
pendant l'installation, sans quoi cette dernière échouera.
• Installez et/ou mettez à jour le logiciel pare-feu sur le serveur ePolicy Orchestrator.
Ports
• McAfee recommande de ne pas utiliser le port 8443 pour les communications HTTPS. Bien
qu'il s'agisse du port par défaut, c'est également le port principalement utilisé pour de
nombreuses activités en ligne. Dès lors, il est souvent pris pour cible lors de tentatives
d'exploitation malveillantes et risque d'être désactivé par l'administrateur système en cas
de violation de sécurité ou d'attaque.
REMARQUE : Assurez-vous que les ports que vous choisissez ne sont pas déjà utilisés sur
le serveur ePolicy Orchestrator.
• Signalez au personnel responsable du réseau les ports que vous comptez utiliser pour la
communication HTTP et HTTPS via ePolicy Orchestrator.
REMARQUE : L'installation sur un contrôleur principal de domaine (PDC) est prise en charge,
mais déconseillée.
Logiciels d'infrastructure virtuelle pris en charge
• VMware ESX 3.5.x
• Microsoft Virtual Server 2005 R2 avec Service Pack 1
• Windows Server 2008 Hyper-V
Vous devez installer une base de données avant d'effectuer l'installation d'ePolicy Orchestrator.
Il peut s'agit de n'importe laquelle des bases de données suivantes, pour autant qu'elle ait été
installée au préalable :
• SQL Server 2005
• SQL Server 2005 Express
• SQL Server 2008
8
• SQL Server 2008 Express
REMARQUE : SQL Server 2000 n'est pas pris en charge.
Si aucune de ces bases de données n'est installée, l'Assistant d'installation d'ePO le détecte et
vous offre la possibilité d'installer SQL Server 2005 Express.
Installation de base de données présentée dans ce guide
Le seul scénario d'installation de base de données décrit en détail est la première installation
de SQL Server 2005 Express. Dans ce scénario, le programme d'installation d'ePO installe à la
fois le logiciel ePolicy Orchestrator et la base de données sur le même serveur. Si la base de
données doit être installée sur un serveur distinct du serveur ePolicy Orchestrator, une installation
manuelle est requise sur les serveurs distants.
SQL Server
• Serveur de base de données local — Si SQL Server est exécuté sur le système hébergeant
le serveur ePO, McAfee recommande de spécifier, dans Enterprise Manager, une taille de
mémoire fixe pour SQL Server avoisinant les deux tiers de la mémoire totale. Par exemple,
si l'ordinateur possède 1 Go de RAM, la taille de la mémoire fixe définie pour SQL Server
doit correspondre à 660 Mo.
• Licences SQL Server — Une licence SQL Server est requise pour chacun des processeurs
dont est pourvu l'ordinateur sur lequel SQL Server est installé.
ATTENTION : Si le nombre minimal de licences SQL Server n'est pas disponible après
l'installation du logiciel SQL Server, vous risquez de rencontrer des problèmes lors des
procédures d'installation ou de démarrage d'ePolicy Orchestrator.
Autres installations et mises à niveau de base de données pertinentes
Consultez la documentation fournie par l'éditeur de la base de données pour plus d'informations
sur les scénarios d'installation suivants :
• Paramètres de maintenance — McAfee recommande de définir des paramètres de
maintenance propres aux bases de données ePO. Pour des instructions détaillées,
reportez-vous à la section Maintenance des bases de données ePO dans l'aide en ligne
d'ePolicy Orchestrator.
REMARQUE : Pour des informations détaillées sur la configuration système requise pour les
gestionnaires d'agent, la base de données et les référentiels distribués, consultez le Guide
d'installation d'ePolicy Orchestrator 4.5.
Autres éléments de configuration logicielle
Les tableaux ci-dessous contiennent des informations complémentaires sur les divers impératifs
de configuration logicielle.
Logiciel
Remarque
MSXML 6.0
Vous devez l'acquérir et l'installer.
1
Dans le menu Outils d'Internet Explorer, sélectionnez
Windows Update.
2
Cliquez sur Personnalisée puis sélectionnez Logicielles.
3
Sélectionnez MSXML6.
9
Prise en charge linguistique pour le système d'exploitation
Logiciel
Remarque
4
Sélectionnez Vérifier et installer les mises à jour, puis cliquez sur
Installer les mises à jour.
Internet Explorer 7 ou 8, ou
Firefox 3.0
Vous devez l'acquérir et l'installer.
.NET Framework 2.0
Vous devez l'acquérir et l'installer si vous utilisez SQL Server 2005 Express.
Microsoft Visual C++
Redistributable
S'il n'est pas encore installé, l'Assistant d'installation l'installe automatiquement.
Microsoft Visual C++
Redistributable Package x86 9.0.21022
MDAC 2.8
SQL Server 2005 Backward
Compatibility
SQL Server 2005 Express
Si aucune autre base de données n'a encore été installée, l'utilisateur peut choisir
de l'installer automatiquement.
Mises à jour Microsoft
Mettez à jour le serveur ePolicy Orchestrator et le serveur de base de données à
l'aide des patchs et mises à jour les plus récents.
MSI 3.1
L'installation échoue également si vous utilisez une version de MSI antérieure à
MSI 3.1.
Mises à jour et patchs Microsoft
Mettez à jour le serveur ePO et le serveur de base de données à l'aide des dernières mises à
jour de sécurité Microsoft. Si vous effectuez une mise à niveau depuis MSDE 2000 ou SQL
Server 2000, veillez à suivre les consignes de mise à niveau de Microsoft.
Prise en charge linguistique pour le système
d'exploitation
Cette version d'ePolicy Orchestrator peut être exécutée sur n'importe quel système d'exploitation
pris en charge, quelle que soit la langue de ce dernier.
La liste ci-dessous répertorie les langues dans lesquelles ePolicy Orchestrator a été traduit.
Lorsque le logiciel est installé sur un système d'exploitation dont la langue ne figure pas dans
cette liste, l'interface d'ePolicy Orchestrator s'affiche en anglais.
• Chinois (simplifié)
• Japonais
• Chinois (traditionnel)
• Coréen
• Anglais
• Russe
• Français (standard)
• Espagnol
• Allemand (standard)
10
Installation de la suite McAfee Total Protection
for Endpoint
Cette section vous guide dans l'installation de la suite McAfee Total Protection for Endpoint avec
les options par défaut. Le programme d'installation de la suite McAfee Total Protection for
Endpoint configurera le serveur ePO et archivera les logiciels pour poste client dans le référentiel
ePO dans la foulée.
Procédure
1
A partir du site officiel McAfee, téléchargez et extrayez le contenu du logiciel McAfee Total
Protection for Endpoint dans un répertoire temporaire sur votre serveur ePO ou le serveur
de gestion prévu.
2
Double-cliquez sur Setup.exe. La page Bienvenue dans le programme d'installation
de McAfee ePolicy Orchestrator pour la suite Total Protection for Endpoint s'affiche.
3
Cliquez sur Suivant. La page Entrer la clé de licence s'affiche.
4
Sélectionnez Evaluation, puis cliquez sur Suivant. La page Evaluation s'affiche.
5
Cliquez sur OK. La page Accord de licence utilisateur final s'affiche.
6
Sélectionnez J'accepte les termes du contrat de licence, puis cliquez sur OK. La page
Choisir le logiciel à évaluer qui s'affiche comprend les options suivantes, activées par
défaut :
• Installation de base
• Host Intrusion Prevention
• McAfee Security for Lotus Domino et MS Exchange (GroupShield)
7
Cliquez sur Suivant. La page Définition des informations sur l'administrateur
s'affiche.
8
Indiquez le nom d'utilisateur et le mot de passe à utiliser pour le compte d'administrateur
ePolicy Orchestrator, puis cliquez sur Suivant. La page Choisir le type d'installation
s'affiche.
REMARQUE : Vous utiliserez les mêmes informations d'identification par la suite pour vous
connecter à ePolicy Orchestrator.
9
Sélectionnez Par défaut pour installer ePolicy Orchestrator et Microsoft SQL 2005 Express
avec les paramètres et l'emplacement par défaut, puis cliquez sur Suivant. Une boîte de
dialogue de confirmation s'affiche.
10 Cliquez sur OK pour installer Microsoft SQL 2005 Express. La page Définition des
informations sur la base de données s'affiche.
11 Identifiez le type de compte et les informations d'authentification utilisés par le serveur
ePolicy Orchestrator pour accéder à la base de données.
11
Installation de la suite McAfee Total Protection for Endpoint
• Dans la zone Informations d'identification pour le serveur de base de données,
sélectionnez le domaine Windows dans la liste déroulante, indiquez le nom d'utilisateur
et le mot de passe pour le domaine, puis cliquez sur Suivant. La page Début de la
copie des fichiers s'affiche.
REMARQUE : L'authentification Windows est activée dans la mesure où SQL Express
n'autorise pas l'authentification SA par défaut.
12 Cliquez sur Suivant pour lancer l'installation. La page L'Assistant InstallShield a terminé
qui s'affiche propose les options suivantes, activées par défaut :
• Sélectionnez Oui, je veux afficher le fichier ReadMe pour lire le fichier Readme.
• Sélectionnez Oui, je veux exécuter McAfee ePolicy Orchestrator maintenant
pour accéder à l'interface utilisateur d'ePolicy Orchestrator.
REMARQUE : Au cours de l'installation, vous serez peut-être invité à modifier un ou plusieurs
des numéros de port par défaut en cas de conflit.
13 Cliquez sur Terminer.
12
Connexion à ePolicy Orchestrator
La procédure ci-dessous permet de se connecter à ePolicy Orchestrator. Vous devez disposer
d'informations d'identification valides pour ce faire.
Procédure
1
Pour exécuter le logiciel ePolicy Orchestrator, ouvrez un navigateur Internet et accédez à
l'URL du serveur (par exemple : https://<nom_serveur>:8443). La boîte de dialogue
Connexion à ePolicy Orchestrator s'ouvre.
REMARQUE : Vous pouvez également double-cliquer sur l'icône Lancer la console McAfee
ePolicy Orchestrator 4.5 du Bureau pour lancer ePolicy Orchestrator.
2
Entrez le Nom d'utilisateur et le Mot de passe d'un compte valide, créé lors de l'étape 7
de la section Installation de la suite McAfee Total Protection for Endpoint.
REMARQUE : Les mots de passe sont sensibles à la casse.
3
Sélectionnez la Langue de votre choix pour l'interface du logiciel.
4
Cliquez sur Connexion.
13
Configuration du serveur ePolicy Orchestrator
Le référentiel ePolicy Orchestrator est l'emplacement de stockage central de tous les packages
d'installation de produit, de mise à jour et de signatures McAfee. La conception modulaire
d'ePolicy Orchestrator permet l'ajout de nouveaux produits en tant qu'extensions. Ceci inclut
les nouvelles versions ou les versions mises à jour des produits McAfee, tels que VirusScan
Enterprise, et des produits non McAfee émanant de partenaires McAfee. Les packages sont des
composants qui sont archivés dans le référentiel maître, puis déployés sur les systèmes clients.
Pour plus d'informations sur les extensions et les packages, consultez les rubriques suivantes
dans le Guide produit d'ePolicy Orchestrator :
• Présentation des extensions de produit
• Packages de déploiement de produit et de mise à jour
Conformément à vos sélections pendant l'installation, le logiciel client Total Protection for
Endpoint a été ajouté à votre référentiel maître ePO. Pour vérifier l'installation, accédez au
référentiel maître.
Configuration d'une tâche d'extraction de référentiel
Pour qu'ePolicy Orchestrator maintienne vos systèmes clients à jour, vous devez configurer une
tâche d'extraction de référentiel qui récupère les mises à jour à partir d'un site McAfee (HTTP
ou FTP) à intervalles spécifiés.
REMARQUE : Une tâche d'extraction de référentiel a été créée pour vous automatiquement
pendant l'installation.
Procédure
La procédure ci-dessous permet de créer une tâche d'extraction de référentiel qui ajoute et met
à jour le logiciel client.
1
Cliquez sur Menu | Automatisation | Tâches serveur.
2
Dans la liste, recherchez la tâche appelée Mettre à jour le référentiel maître et sous
la colonne Actions, cliquez sur Modifier pour ouvrir le Générateur de tâches serveur.
3
Dans la page Description, définissez Etat de planification sur Activé, puis cliquez sur
Suivant.
4
Dans la page Actions, juste en dessous de la description de la page, se trouve une barre
grise intitulée 1. Dans la liste déroulante, sélectionnez Extraction du référentiel.
5
Sélectionnez Déplacer les packages existants vers la branche Précédents, puis
cliquez sur Suivant.
REMARQUE : L'activation de cette option permet à ePolicy Orchestrator de maintenir les
fichiers de signatures de plus d'un jour. Lors de l'exécution de la prochaine tâche
d'extraction, les mises à jour d'aujourd'hui seront déplacées vers un référentiel sur le serveur
appelé Précédents. Cela vous permet de restaurer des mises à jour antérieures, si
nécessaire.
14
Configuration du serveur ePolicy Orchestrator
6
Dans la page Planification, choisissez le moment où vous souhaitez qu'ePolicy Orchestrator
vérifie la disponibilité de mises à jour auprès du site McAfee.
• Planifiez la tâche pour une exécution Quotidienne, sans Aucune date de fin.
• Définissez Planification sur entre 9h00 et 23h00.
• Définissez tou(te)s les sur deux ou trois heures.
CONSEIL : McAfee recommande de vérifier la disponibilité des mises à jour plusieurs fois
par jour pour assurer que vous disposez du contenu le plus récent.
7
Cliquez sur Suivant.
8
Dans la page Synthèse, cliquez sur Enregistrer. La console revient à la page Tâches
serveur.
9
Recherchez la tâche Mettre à jour le référentiel maître, et sous la colonne Actions,
cliquez sur Exécuter. Cette opération récupère immédiatement les mises à jour actuelles
et ouvre le journal des tâches serveur.
Vérification de l'état de la tâche d'extraction
Le journal des tâches serveur est utile pour afficher l'état de la tâche d'extraction McAfee. La
procédure ci-dessous permet de vérifier que la tâche Mettre à jour le référentiel maître a
terminé d'extraire les mises à jour du site McAfee.
Procédure
1
Cliquez sur Menu | Automatisation | Journal des tâches serveur.
2
Dans la liste des tâches, recherchez la tâche Mettre à jour le référentiel maître.
3
La tâche est terminée lorsque la colonne Etat indique Terminée.
15
Ajout des systèmes à gérer
Dans l'arborescence des systèmes ePolicy Orchestrator, les systèmes managés sont organisés
en unités pour faciliter leur surveillance, l'affectation de stratégies, la planification des tâches
et l'exécution d'actions. Ces unités sont appelées groupes, lesquels sont créés et administrés
par les administrateurs globaux ou les utilisateurs bénéficiant des autorisations appropriées, et
peuvent inclure des systèmes et d'autres groupes. Avant de commencer à gérer les stratégies
pour les postes clients relatives aux systèmes de votre réseau, vous devez ajouter ces derniers
à votre arborescence des systèmes.
Plusieurs méthodes permettent d'organiser et d'alimenter de l'arborescence des systèmes :
• Structurer manuellement votre arborescence des fichiers en créant vos propres groupes et
en ajoutant des systèmes individuels.
• Effectuer une synchronisation avec une structure Active Directory ou un domaine NT comme
source pour les systèmes. Si vous utilisez Active Directory, la synchronisation fournit
également la structure de l'arborescence des systèmes.
• Créer vos propres groupes en fonction d'intervalles IP ou de sous-réseaux. Cette méthode
est appelée tri par critères.
• Importer des groupes et des systèmes à partir d'un fichier texte.
Le workflow présenté dans cette section utilise l'approche manuelle pour créer une structure
simple à des fins d'évaluation. Il se peut que cette méthode soit trop lente dans le cas du
déploiement d'ePolicy Orchestrator sur un réseau de production, mais il s'agit d'un moyen
pratique d'ajouter un petit nombre de systèmes dans votre réseau de test. Vous pourrez essayer
les autres méthodes lorsque vous maîtriserez davantage ePolicy Orchestrator.
Création de groupes dans l'arborescence des systèmes
La procédure ci-dessous permet d'ajouter des groupes à votre arborescence des systèmes. Pour
cet exercice, nous créons deux groupes, Serveurs et Postes de travail.
1
Cliquez sur Menu | Systèmes | Arborescence des systèmes, puis sur Détails sur le
groupe dans la barre de menus.
2
Cliquez sur Mon organisation, puis cliquez sur Nouveau sous-groupe.
3
Tapez Groupe de test, puis cliquez sur OK. Le nouveau groupe apparaît dans l'arborescence
des systèmes.
4
Sélectionnez Groupe de test, cliquez sur Nouveau sous-groupe, tapez Serveurs, puis
cliquez sur OK.
5
Répétez l'étape 4, mais tapez Postes de travail comme nom du groupe. Lorsque vous retournez
à la page Groupe, sélectionnez Groupe de test. Vos groupes Serveurs et Postes de travail
sont répertoriés à la page Groupe. Les groupes sont classés par ordre alphabétique.
Ajout de systèmes aux groupes de l'arborescence des systèmes
La procédure ci-dessous permet d'ajouter manuellement quelques systèmes de test à votre
arborescence des systèmes ePO.
16
1
Dans l'Arborescence des systèmes, sélectionnez le groupe Postes de travail et cliquez
sur Actions sur les systèmes | Nouveaux systèmes.
2
Pour l'option Comment ajouter les systèmes, sélectionnez Ajouter les systèmes au
groupe actif mais ne pas déployer les agents.
3
Pour Systèmes à ajouter, tapez les noms NetBIOS des systèmes dans la zone de texte,
séparés par des virgules, des espaces ou des sauts de ligne. Vous pouvez également cliquer
sur Parcourir pour sélectionner les systèmes.
4
Vérifiez que l'option Tri de l'arborescence des systèmes est désactivée.
5
Cliquez sur OK.
6
Répétez ces étapes selon les besoins pour ajouter des systèmes à votre groupe Serveurs.
Organisation des nouveaux systèmes en groupes
En exécutant les procédures présentées dans les sections précédentes, vous avez créé plusieurs
groupes et systèmes dans votre arborescence des systèmes. Dans un environnement de
production, les nouveaux systèmes contactent le serveur ePolicy Orchestrator et doivent être
placés dans l'arborescence des systèmes. Cela se produit automatiquement si vous avez installé
McAfee Agent sur de nouveaux systèmes, soit en utilisant Rogue System Detection, soit par
une autre méthode. Dans ces cas-là, les systèmes sont placés dans le groupe Collecteur.
ePolicy Orchestrator possède une fonction de tri des groupes puissante qui vous permet de
définir des règles déterminant la façon dont les systèmes s'organisent dans votre arborescence
des systèmes lorsqu'ils contactent le serveur ePO pour la première fois. Pour plus d'informations
sur cette fonctionnalité, reportez-vous à la section Tri par critères dans le Guide produit d'ePolicy
Orchestrator 4.5.
Dans le cadre de cet exercice, vous allez créer une règle de tri des systèmes basée sur les
marqueurs. ePolicy Orchestrator crée deux marqueurs par défaut, Serveur et Poste de travail,
que vous pouvez utiliser. La règle de tri ne fonctionne qu'à partir du moment où un système
qui ne figure pas dans l'arborescence des systèmes appelle le serveur ePO. Vous pouvez
également planifier la règle de tri, ou l'exécuter manuellement.
Procédure
La procédure ci-dessous permet de créer une règle de tri basée sur les marqueurs par défaut.
1
Cliquez sur Menu | Systèmes | Arborescence des systèmes, puis sur Détails sur le
groupe dans la barre de menus.
2
Sélectionnez Groupe de test.
3
En haut de la page Groupe, recherchez l'étiquette Critères de tri et cliquez sur Modifier.
4
Sélectionnez Systèmes correspondant à l'un des critères ci-dessous (adresses IP
et/ou marqueurs). La page se développe, faisant apparaître des options supplémentaires.
5
Cliquez sur Ajouter un marqueur.
6
Dans le menu déroulant, sélectionnez Serveur, cliquez sur le signe plus (+), puis
sélectionnez Poste de travail.
7
Cliquez sur Enregistrer.
8
Dans l'Arborescence des systèmes, sélectionnez Mon organisation.
9
Dans la liste Ordre de tri, recherchez l'entrée Groupe de test. Dans la colonne Actions,
cliquez sur Monter jusqu'à ce que le groupe atteigne le haut de la liste. Ce groupe est
désormais le premier à être évalué lorsque de nouveaux systèmes sont ajoutés dans
l'Arborescence des systèmes.
17
Informations complémentaires sur l'utilisation de l'arborescence des systèmes
Vous pouvez utiliser de nombreux types de groupements pour organiser l'arborescence des
systèmes.
Outre des groupes, vous pouvez ajouter des marqueurs à vos systèmes pour les identifier plus
facilement à l'aide d'un élément spécifique fondé sur leurs propriétés.
18
Définition de stratégies pour les postes clients
Les stratégies sont utilisées pour définir la configuration des divers produits Total Protection
for Endpoint qui s'exécutent sur les systèmes clients, tels que McAfee Agent et VirusScan
Enterprise.
Pour que vos stratégies reflètent les paramètres de configuration et les exclusions dont vous
avez besoin, McAfee recommande de créer les stratégies avant de procéder à leurs affectations.
Il est utile d'attribuer aux stratégies un nom décrivant leur fonction. La création de « stratégies
nommées » facilite l'application des stratégies en fonction du rôle ou de la fonction des systèmes.
Cette section décrit les étapes nécessaires à certaines modifications de stratégies pouvant
s'avérer utiles dans un environnement de production, pour McAfee Agent, VirusScan Enterprise,
Host Intrusion Prevention et SiteAdvisor Enterprise. Utilisez les exemples réalistes suivants pour
apprendre à configurer des stratégies et à les personnaliser en fonction de votre environnement
spécifique.
Si vous installez tous les produits inclus dans Total Protection for Endpoint, McAfee vous
recommande d'effectuer toutes les procédures décrites dans cette section.
Création de stratégies pour McAfee Agent
Lors de l'évaluation de McAfee Total Protection for Endpoint, il est utile de pouvoir accéder à
l'icône de la barre d'état système McAfee Agent sur les systèmes clients. Cette option de stratégie
est activée par défaut. Elle vous permet d'afficher le Moniteur d'état de l'agent sur le client et
de voir la communication du client avec le serveur ePO. Il est également possible d'accéder à
distance au journal McAfee Agent d'un client via votre navigateur.
Il peut également être judicieux de modifier la stratégie McAfee Agent en cas de connexions
de réseau étendu (WAN) lentes aux sites distants, ou si le nombre de nœuds managés est très
élevé.
Par exemple, vous pourriez déterminer que les systèmes qui communiquent sur des liaisons
lentes doivent contacter ePolicy Orchestrator toutes les 180 minutes, soit 8 fois par jour, plutôt
que 24 fois par jour comme défini par défaut. Pour ce cas de figure, vous pourriez créer une
stratégie appelée « Bande passante limitée » ou « Interrogation toutes les 3h » et définir
l'option Intervalle de communication agent-serveur sur 180 minutes au lieu des 60 minutes
définies par défaut.
La procédure ci-dessous permet de créer une stratégie qui permet d'accéder à distance au
journal McAfee Agent sur les systèmes clients.
Procédure
1
Cliquez sur Menu | Stratégie | Catalogue de stratégies.
2
Dans le menu déroulant Produit, sélectionnez McAfee Agent.
3
Dans la ligne McAfee Default, cliquez sur Dupliquer.
4
Dans le champ Nom, tapez Accès distant au journal, puis cliquez sur OK.
5
Dans la ligne de votre nouvelle stratégie, cliquez sur Modifier les paramètres.
6
Cliquez sur l'onglet Journalisation et sélectionnez Activer l'accès distant au journal.
19
7
ePolicy Orchestrator vous offre la possibilité d'accéder à distance au journal McAfee Agent sur
chaque système.
REMARQUE : Pour consulter le journal McAfee Agent sur un système distant via un navigateur,
tapez : http://<nom_ordinateur ou adresse_IP>:8081 (8081 étant le port par défaut de l'appel de
réactivation de l'agent). Si vous avez modifié ce numéro de port, utilisez le port que vous avez
spécifié.
Création de stratégies pour VirusScan Enterprise
Cette section présente trois exemples de stratégies VirusScan Enterprise. La première est
destinée à empêcher les utilisateurs de modifier les paramètres VirusScan sur leurs systèmes
managés. La deuxième définit des exclusions de bases de données sur un serveur. La troisième
modifie temporairement la stratégie de protection contre les programmes indésirables.
Verrouillage de la console VirusScan locale
La procédure ci-dessous permet de modifier la stratégie d'interface utilisateur VirusScan
Enterprise par défaut afin d'empêcher les utilisateurs de modifier l'interface VirusScan locale.
VirusScan Enterprise s'exécute sur les postes de travail et les serveurs ; par conséquent, les
stratégies VirusScan ont des paramètres séparés pour chaque plate-forme. Dans le cas présent,
vous souhaitez uniquement modifier les paramètres des postes de travail.
1
2
Dans le menu déroulant Produit, sélectionnez VirusScan Enterprise 8.7.0.
3
Dans le menu déroulant Catégorie, sélectionnez Stratégies d'interface utilisateur.
4
5
Dans le champ Nom, tapez Verrouiller la console VSE, puis cliquez sur OK.
6
Dans la ligne de votre nouvelle stratégie Verrouiller la console VSE, cliquez sur Modifier
les paramètres.
7
Dans la barre de menus, cliquez sur Options de mot de passe.
8
Assurez-vous que l'option Paramètres pour est définie sur Poste de travail.
9
Pour Mot de passe de l'interface utilisateur, sélectionnez Protection par mot de
passe de tous les éléments répertoriés.
10 Tapez un mot de passe dans les champs fournis, puis cliquez sur Enregistrer.
Création d'exclusions de fichiers sur un serveur
REMARQUE : Dans les exemples précédents, vous avez créé vos nouvelles stratégies dans le
Catalogue de stratégies. Dans cet exemple, vous créez plutôt la nouvelle stratégie à partir
de l'arborescence des systèmes ; le résultat est identique, même si la procédure est différente.
En outre, cette autre méthode applique votre nouvelle stratégie à un groupe spécifique au
moment de la création.
La procédure ci-dessous permet de créer une stratégie VirusScan qui exclut deux fichiers de
base de données hypothétiques sur un serveur. La création de ces types d'exclusions de l'analyse
constitue une pratique courante sur de nombreux serveurs de base de données et de messagerie.
Nous suivrons la seconde méthode de création d'une stratégie, à savoir sa création à partir de
l'arborescence des systèmes et non plus à partir du Catalogue de stratégies. Il s'agit donc d'un
moyen différent de parvenir au même résultat.
1
20
Cliquez sur Menu | Systèmes | Arborescence des systèmes, puis sur Stratégies
affectées dans la barre de menus.
2
3
Développez Groupe de test, puis cliquez sur votre groupe Serveurs. Vous pouvez
configurer cette stratégie avant d'ajouter des systèmes à ce groupe.
4
A droite de Stratégies des processus d'analyse à l'accès par défaut, cliquez sur
Modifier l'affectation.
5
Pour Hériter de, sélectionnez Bloquer l'héritage et affecter la stratégie et les
paramètres ci-dessous.
6
En regard de Stratégie affectée, cliquez sur Nouvelle stratégie.
7
Dans la boîte de dialogue Créer une nouvelle stratégie, tapez Exclusions base de données
pour AV, puis cliquez sur OK. L'Editeur de stratégies s'ouvre.
8
Dans le menu déroulant Paramètres pour, sélectionnez Serveur.
9
Dans la barre de menus, cliquez sur Exclusions.
10 Pour Eléments à exclure de l'analyse, cliquez sur Ajouter.
11 Dans la boîte de dialogue, sélectionnez Par motif et tapez data.mdf, puis cliquez sur OK.
Cliquez à nouveau sur Ajouter, tapez data.ldf comme nouvelle exclusion, puis cliquez sur
OK.
Seul le nom de fichier est spécifié dans cette procédure. Dans un environnement réel, vous
devrez peut-être spécifier un chemin d'accès complet pour limiter vos exclusions.
12 Lorsque ces deux exclusions sont répertoriées, cliquez sur Enregistrer.
Prenons l'exemple de Microsoft Exchange Server ; le lien suivant vous amène aux exclusions
recommandées par Microsoft pour l'exécution d'une analyse antivirus au niveau des fichiers sur
Exchange 2007 :
http://technet.microsoft.com/en-us/library/bb332342.aspx.
Bien que légèrement plus complète en termes de nombre d'exclusions, une stratégie VirusScan
pour le scénario Microsoft Exchange Server sera configurée de la même façon que dans cet
exemple.
Autorisation d'envoi d'e-mails via le port 25 octroyée aux serveurs de messagerie
Par défaut, VirusScan Enterprise bloque le trafic en sortie sur le port 25, à l'exception d'une
liste modifiable d'applications exclues. Cette configuration empêche d'éventuels nouveaux vers
à diffusion massive de se propager avant qu'une signature antivirus ne soit disponible. La liste
des processus exclus couvre de nombreuses applications de messagerie clientes. Vous pouvez
toutefois désactiver la règle ou modifier la liste d'exclusions afin d'autoriser les serveurs de
messagerie, ou d'autres systèmes qui envoient des alertes via SMTP, à envoyer des e-mails.
Les deux options sont décrites ci-dessous.
Vous pouvez utiliser l'une des deux procédures suivantes pour créer une stratégie VirusScan
qui autorise les serveurs de messagerie à envoyer des e-mails via le port 25.
Option 1 : Désactivation de la règle de blocage du port
1
2
3
Dans le menu déroulant Catégorie, sélectionnez Stratégies de protection lors de
l'accès.
4
5
Dans le champ Nom, tapez Autoriser le courrier sortant, puis cliquez sur OK.
6
Dans la ligne de votre nouvelle stratégie Autoriser le courrier sortant, cliquez sur
Modifier les paramètres.
21
7
Assurez-vous que l'option Paramètres pour est définie sur Serveur.
8
Dans le menu déroulant Catégorie sous Règles de protection de l'accès, sélectionnez
Protection standard antivirus.
9
Désactivez l'option Bloquer pour Empêcher les vers à diffusion massive d'envoyer
des messages électroniques.
REMARQUE : La désactivation de l'option Rapport empêche l'envoi des événements au
serveur ePO. Les autres processus utilisant le port 25 ne seront pas signalés.
10 Cliquez sur Enregistrer.
Option 2 : Exclusion du nom du processus
1
2
3
Dans le menu déroulant Catégorie, sélectionnez Stratégies de protection lors de
l'accès.
4
5
Dans le champ Nom, tapez Autoriser le courrier sortant, puis cliquez sur OK.
6
Dans la ligne de votre nouvelle stratégie Autoriser le courrier sortant, cliquez sur
Modifier les paramètres.
7
Assurez-vous que l'option Paramètres pour est définie sur Serveur.
8
Dans le menu déroulant Catégorie sous Règles de protection de l'accès, sélectionnez
Protection standard antivirus.
9
Sélectionnez Empêcher les vers à diffusion massive d'envoyer des messages
électroniques, puis cliquez sur Modifier.
10 Sous Processus à exclure, spécifiez le nom du processus qui envoie l'e-mail.
REMARQUE : Utilisez une virgule pour séparer les noms des processus.
11 Cliquez sur OK, puis sur Enregistrer.
Si vous ignorez le nom exact du processus, vous pouvez l'obtenir du fichier
AccessProtectionLog.txt de VirusScan, si la règle a déjà été déclenchée. Pour obtenir le nom
du processus avant que la règle ne soit déclenchée et bloque le trafic, vous pouvez créer une
stratégie qui indique à VirusScan de consigner l'événement dans un journal sans le bloquer.
Suivez les étapes 1 à 10 décrites dans l'option 1 ci-dessus. Dès que la règle a été déclenchée,
le nom du processus apparaîtra dans le fichier journal local et dans les rapports ePO. Pour
accéder au fichier journal local de votre serveur, ouvrez la console VirusScan, cliquez avec
le bouton droit sur Protection de l'accès puis cliquez sur Afficher le journal.
Après avoir créé la stratégie souhaitée, vous devrez l'appliquer au groupe ou aux ordinateurs
clients individuels qui nécessitent cette configuration.
Création de stratégies pour le module AntiSpyware Enterprise
Une fois le module AntiSpyware installé, celui-ci est actif immédiatement et nettoie ou supprime
tous les programmes potentiellement indésirables qu'il détecte. S'il détecte et nettoie les logiciels
espions et logiciels publicitaires, il existe d'autres types de programmes potentiellement
indésirables que vous ne souhaitez peut-être pas qu'il nettoie, tels que les outils d'administration
de votre service informatique. Par exemple, votre équipe informatique utilise peut-être des
outils d'administration à distance, des analyseurs de ports ou des utilitaires de craquage de mot
de passe. Un grand nombre de ces outils ont des usages légitimes sur le réseau pour les
administrateurs.
22
Cette section présente une méthodologie permettant de détecter les programmes potentiellement
indésirables sur votre réseau pour découvrir ce qui existe, créer des exclusions pour ceux dont
la présence est légitime, puis configurer l'analyseur pour bloquer les autres.
La procédure modifie les paramètres d'analyse à l'accès VirusScan pour consigner les programmes
potentiellement indésirables qu'il détecte sans les supprimer. VirusScan continue de détecter
et nettoyer les virus, vers, chevaux de Troie et autres menaces. Le but est de rechercher les
programmes potentiellement indésirables en « mode audit » pendant quelques jours ou une
semaine, examiner les rapports de détection des programmes potentiellement indésirables dans
ePolicy Orchestrator et identifier les exclusions nécessaires.
Vous pourrez ensuite modifier l'affectation des stratégies de sorte qu'il nettoie à nouveau les
Procédure
La procédure ci-dessous permet de modifier la stratégie d'analyse à l'accès VirusScan par défaut
de sorte que les programmes potentiellement indésirables soient audités sur vos systèmes
managés.
1
2
3
Dans la colonne Catégorie, sélectionnez Stratégies des processus d'analyse à l'accès
par défaut.
4
5
Dans le champ Nom, entrez Audit pour programmes potentiellement indésirables, puis cliquez
sur OK.
6
7
Dans le menu déroulant Paramètres pour, sélectionnez Poste de travail.
8
Dans la barre de menus, cliquez sur Actions.
9
A l'option Si un programme indésirable est détecté, sélectionnez Autoriser l'accès
aux fichiers dans le menu déroulant pour la première action à exécuter. Ceci désactive
l'action secondaire.
Création de stratégies pour SiteAdvisor Enterprise Plus
Dans cette section, vous créez une stratégie d'actions d'évaluation et une stratégie de messages
d'application pour SiteAdvisor Enterprise Plus.
Création d'une stratégie d'actions d'évaluation
La procédure ci-dessous permet de créer une nouvelle stratégie afin d'empêcher les utilisateurs
d'accéder aux sites qui contiennent des menaces, ou d'avertir les utilisateurs de la présence de
menaces potentielles sur les sites.
Les options relatives à la stratégie d'actions d'évaluation vous permettent d'utiliser les
classifications SiteAdvisor (jaune, rouge ou sans classification) pour déterminer si les utilisateurs
peuvent accéder à un site ou aux ressources d'un site, telles que les fichiers téléchargeables.
• Pour chaque site classé jaune, rouge ou sans classification, spécifiez s'il convient d'autoriser
le site, d'avertir l'utilisateur ou de bloquer le site.
• Pour chaque fichier téléchargeable classé jaune, rouge ou sans classification, spécifiez s'il
convient d'autoriser le téléchargement, d'avertir l'utilisateur ou de bloquer le téléchargement.
Ceci augmente le degré de granularité dans la protection des utilisateurs contre les fichiers
individuels pouvant constituer une menace sur des sites dont l'évaluation globale est positive.
23
• Pour chaque page de phishing, spécifiez s'il convient de bloquer ou d'autoriser l'accès. Ceci
augmente le degré de granularité de la protection des utilisateurs contre les pages qui ont
recours aux techniques de phishing sur un site dont l'évaluation globale est positive.
Procédure
1
2
Dans le menu déroulant Produit, sélectionnez SiteAdvisor Enterprise Plus.
3
Dans le menu déroulant Catégorie, sélectionnez Stratégies d'actions d'évaluation.
4
5
Dans le champ Nom, tapez Stratégie d'actions d'évaluation, puis cliquez sur OK.
6
7
Pour la stratégie d'actions d'évaluation concernant la navigation de sites web, choisissez
l'action Avertir pour les sites classés jaune, Bloquer pour les sites classés rouge et Avertir
pour les sites sans classification.
8
Création d'une stratégie de messages d'application
La procédure ci-dessous permet de créer une nouvelle stratégie afin de personnaliser les
messages affichés aux utilisateurs lorsqu'ils tentent d'accéder à un site pour lequel vous avez
associé une action à l'évaluation du site. Ces messages apparaissent dans des bulles de sécurité
et sur les pages Avertir ou Bloquer.
Procédure
1
2
Dans le menu déroulant Produit, sélectionnez SiteAdvisor Enterprise Plus.
3
Dans le menu déroulant Catégorie, sélectionnez Stratégies de messages d'application.
4
5
Dans le champ Nom, tapez Messages d'application, puis cliquez sur OK.
6
7
Cliquez sur l'onglet Site.
8
Sélectionnez une langue.
9
Tapez un message de 50 caractères maximum pour les circonstances suivantes :
• Pour les sites que vous avez définis sur Avertir, tapez un message d'avertissement.
• Pour les sites que vous avez définis sur Bloquer, tapez un message « accès bloqué ».
• Pour les sites que vous avez définis sur Autoriser, tapez un message « accès autorisé ».
Affectation de stratégies aux systèmes
Vous disposez à présent de plusieurs stratégies à affecter aux systèmes situés dans votre
arborescence des systèmes. Pour cette partie, vous affecterez toutes les stratégies à partir de
l'interface Arborescence des systèmes.
1
2
3
Affectez la stratégie McAfee Agent :
• Dans le menu déroulant Produit, sélectionnez McAfee Agent.
24
• Dans la ligne My Default, cliquez sur Modifier l'affectation.
• Pour Hériter de, sélectionnez Bloquer l'héritage et affecter la stratégie et les
• Dans le menu déroulant Stratégie affectée, sélectionnez Accès distant au journal.
• Cliquez sur Enregistrer.
4
Affectez les stratégies SiteAdvisor Enterprise Plus :
• Dans le menu déroulant Produit, sélectionnez SiteAdvisor Enterprise Plus.
• Dans la ligne Stratégies d'actions d'évaluation, cliquez sur Modifier l'affectation.
• Dans le menu déroulant Stratégie affectée, sélectionnez Stratégie d'actions
d'évaluation.
• Dans la ligne Stratégies de messages d'application, cliquez sur Modifier
l'affectation.
• Dans le menu déroulant Stratégie affectée, sélectionnez Stratégie de messages
d'application.
5
Affectez les stratégies VirusScan Enterprise :
REMARQUE : Lorsque vous avez créé la stratégie Exclusions base de données pour
AV, vous l'avez également affectée au groupe Serveurs.
• Dans le menu déroulant Produit, sélectionnez VirusScan Enterprise 8.7.0.
• Dans la ligne Stratégies d'interface utilisateur, cliquez sur Modifier l'affectation.
• Dans le menu déroulant Stratégie affectée, sélectionnez Verrouiller la console
VSE.
• Dans la ligne Stratégies des processus d'analyse à l'accès par défaut, cliquez
sur Modifier l'affectation.
• Dans le menu déroulant Stratégie affectée, sélectionnez Audit pour programmes
potentiellement indésirables.
• Cliquez sur Enregistrer. Lorsque vous revenez à la page Stratégies affectées,
sélectionnez Mon organisation. Vous constaterez que l'option Stratégies des
processus d'analyse à l'accès par défaut possède une entrée dans la colonne
Héritage bloqué. Cela est dû au fait que vous avez déjà affecté la stratégie Exclusions
base de données pour AV au groupe Serveurs.
25
Stratégies Host Intrusion Prevention
McAfee Host Intrusion Prevention offre trois types de protection : IPS, pare-feu et blocage
d'applications. Dans une installation par défaut, la protection IPS est définie sur Prévenir les
intrusions de gravité élevée, tandis que le pare-feu et les stratégies de blocage d'applications
sont désactivés. Cette configuration assure une protection dès l'installation qui étend les
fonctionnalités de base de protection contre les Buffer Overflows de VirusScan Enterprise et
prémunit contre un grand nombre de vulnérabilités Microsoft, sans entraver les activités de
l'entreprise.
Cette section décrit l'utilisation d'une stratégie de pare-feu de base et fournit des consignes
relatives à d'autres règles que vous souhaiterez peut-être appliquer ou optimiser. Les stratégies
Règles de pare-feu contiennent les règles Autoriser et Bloquer qui régissent le flux de trafic sur
les ordinateurs protégés. McAfee facilite l'utilisation initiale de la protection par pare-feu des
postes clients en incluant plusieurs stratégies préconfigurées dans Host Intrusion Prevention.
La stratégie « Environnement d'entreprise standard » peut être utilisée comme stratégie de
pare-feu de base. Il s'agit d'une stratégie complète qui répond aux besoins de la plupart des
organisations. Utilisez cette stratégie comme point de départ, puis combinez les résultats obtenus
en appliquant le mode adaptatif pour découvrir et vérifier les éventuelles règles supplémentaires.
Cette stratégie doit générer moins de règles apprises par le client en mode adaptatif que les
stratégies de pare-feu par défaut existantes.
La première fois que vous déployez une stratégie de pare-feu, il peut être utile de laisser les
clients découvrir les besoins de communication des diverses applications présentes sur vos
ordinateurs protégés. Ce processus d'apprentissage est appelé mode adaptatif. Dans ce mode,
le pare-feu ajoute automatiquement des règles à la stratégie pour autoriser le trafic lorsque
celui-ci n'est pas déjà géré par la stratégie Règles de pare-feu. Cette opération s'effectue sans
intervention des utilisateurs. A chaque communication agent-serveur, McAfee Agent envoie à
ePolicy Orchestrator les règles apprises au niveau de l'ordinateur client. Vous pouvez consulter
ces « règles apprises par le client » en accédant à Menu | Rapports | IPS hôte dans l'interface.
Cet écran vous permet de voir quelles règles ont été ajoutées par les clients Host Intrusion
Prevention, et de promouvoir les règles en stratégies.
Pour des instructions détaillées sur l'optimisation des fonctions IPS, consultez le Livre blanc
Adopting McAfee Host Intrusion Prevention: Best practices for quick success (Adoption de
McAfee Host Intrusion Prevention – Meilleures pratiques pour un succès immédiat garanti),
disponible auprès de vos contacts commerciaux ou de support McAfee.
Utilisez les procédures suivantes pour définir des règles de pare-feu suivant le modèle
Environnement d'entreprise standard, et pour définir les options de pare-feu de manière à
utiliser le mode adaptatif.
Affectation d'une stratégie Règles de pare-feu
26
1
Cliquez sur Menu | Systèmes | Arborescence des systèmes, puis sélectionnez
Stratégies affectées dans la barre de menus.
2
Dans l'arborescence des systèmes, développez Groupe de test, puis mettez en évidence
le groupe Postes de travail.
3
Dans le menu déroulant Produit, sélectionnez Host Intrusion Prevention
7.X.X:Pare-feu.
4
Dans la colonne Catégorie, recherchez Règles de pare-feu (Windows), puis cliquez
5
6
Dans le menu déroulant Stratégie affectée, sélectionnez Environnement d'entreprise
standard.
7
Cliquez sur Modifier la stratégie et passez en revue les paramètres de règle existants.
8
Cliquez sur Annuler pour quitter la page de modification de la stratégie.
9
Lorsque vous retournez à la page Affectation de stratégie, cliquez sur Enregistrer.
Si vous souhaitez modifier les paramètres de règle dans la stratégie Environnement
d'entreprise standard, vous pouvez la dupliquer et y apporter des modifications.
Configuration des options de pare-feu
1
Cliquez sur Menu | Systèmes | Arborescence des systèmes, puis sélectionnez
Stratégies affectées dans la barre de menus.
2
Dans l'arborescence des systèmes, développez Groupe de test, puis mettez en évidence
le groupe Postes de travail.
3
Dans le menu déroulant Produit, sélectionnez Host Intrusion Prevention
7.X.X:Pare-feu.
4
Dans la colonne Catégorie, recherchez Options de pare-feu (Windows), puis cliquez
5
6
Dans le menu déroulant Stratégie affectée, sélectionnez Adaptatif pour permettre au
pare-feu de créer des règles pour le trafic qui n'est pas géré par la stratégie Règles de
pare-feu.
7
Pour plus d'informations sur la gestion du pare-feu Host Intrusion Prevention, consultez le Guide
produit de McAfee Host Intrusion Prevention. Vous trouverez des liens vers des dossiers
techniques et d'autres sources de documentation dans la section Références.
27
Définition de stratégies pour les serveurs de
messagerie
McAfee assure la protection de vos serveurs Microsoft Exchange et Lotus Domino. Il les protège
contre les virus, les contenus importuns, les programmes potentiellement indésirables et les
types de fichier et messages interdits. De plus, il prend en charge le filtrage de contenu au sein
des e-mails.
®
• McAfee GroupShield 7.0.1 for Microsoft Exchange protège vos e-mails et autres documents,
à l'entrée et en sortie, sur les systèmes Microsoft Exchange Server.
• McAfee Security for Lotus Domino 7.5 sous Windows protège vos e-mails et autres documents,
à l'entrée et en sortie, sur les systèmes Lotus Domino.
Chacun de ces logiciels prend également en charge les fonctionnalités antispam et antiphishing
pour les messages entrants via un package complémentaire. Il analyse chaque e-mail en vertu
d'une série de règles, puis calcule un score de spam global.
Stratégies GroupShield for Microsoft Exchange
Dans les sections suivantes, vous créez des exemples de stratégies GroupShield for Microsoft
Exchange pour les analyseurs antispam, antiphishing et de contenu interdit. McAfee recommande
d'utiliser les stratégies antivirus par défaut telles qu'elles sont définies. Commencez par les
stratégies antispam par défaut et affinez les seuils en fonction de vos besoins. Les exemples
sont uniquement donnés à titre illustratif.
Configuration de stratégies de contenu interdit
Cette section offre un exemple de filtrage de contenu interdit. La procédure ci-dessous permet
de créer une stratégie exigeant que pour chaque e-mail accompagné d'une pièce jointe contenant
le mot « Confidentiel », l'e-mail soit remplacé par une alerte et qu'une notification soit envoyée
à l'administrateur.
28
1
2
Dans le menu Produit, sélectionnez GroupShield for Exchange 7.0.1.
3
Dans le menu déroulant Catégorie, sélectionnez Paramètres de l'analyseur.
4
Sur la ligne My Default, cliquez sur Dupliquer.
5
Dans le champ Nom, tapez Ma stratégie Exchange, puis cliquez sur OK.
6
Sur la ligne Ma stratégie Exchange, cliquez sur Modifier les paramètres.
7
Sous Gestionnaire de stratégies (Policy Manager), cliquez sur Ressource partagée
(Shared Resource).
8
Cliquez sur l'onglet Règles de filtrage (Filter Rules).
Définition de stratégies pour les serveurs de messagerie
9
Pour créer une nouvelle catégorie de règles de l'analyseur de contenu, cliquez sur Nouvelle
catégorie (New Category).
REMARQUE : Si vous utilisez Internet Explorer 7.0 et que vous avez défini un niveau de
sécurité supérieur à « Moyen » pour votre navigateur, vous recevez un avertissement « Ce
site Web utilise une fenêtre scriptée pour vous demander des informations. Si vous faites
confiance à ce site, cliquez ici pour autoriser ses fenêtres scriptées… ». Cliquez sur
l'avertissement et sélectionnez « Autoriser temporairement les fenêtres de script ». Vous
devez cliquer à nouveau sur Nouvelle catégorie (New Category) pour continuer.
10 Dans le champ Nom (Name), tapez Contenu, puis cliquez sur OK.
11 Pour créer une nouvelle règle pour la catégorie, cliquez sur Nouveau (Create New) sous
Règles de l'analyseur de contenu (Content Scanner Rules).
12 Dans le champ Nom de la règle (Rule Name), tapez Contenu bloqué.
13 Entrez une description et sélectionnez l'option Ajouter cette règle au groupe de règles
de cette catégorie (Add this rule to this category's rules group).
14 Cliquez sur l'onglet Terme ou phrase (Word or Phrase). Dans la zone de texte La règle
sera déclenchée lors de la détection du terme ou de la phrase suivante (The rule
will trigger when the following word or phrase is found), tapez Confidentiel et sélectionnez
Ignorer la casse (Ignore Case).
15 Cliquez sur l'onglet Format de fichier (File Format). Désactivez l'option Tout (Everything).
Sous Catégories de fichiers (File Categories), sélectionnez Documents (Documents).
Sous Sous-catégories (Subcategories), sélectionnez Tout (All).
16 Cliquez sur Enregistrer (Save).
17 Cliquez à nouveau sur Enregistrer (Save) dans la page Ressource partagée (Shared
Resource).
18 Sous Gestionnaire de stratégies (Policy Manager), cliquez sur A l'accès (On-Access).
19 Cliquez sur Stratégie principale (Master Policy).
20 Sous Analyseurs de base (Core Scanners), sélectionnez Actif (Active) pour Analyse du
contenu (Content Scanning). Dans la colonne Nom (Name), cliquez sur Analyse du
contenu (Content Scanning).
21 Cliquez sur l'onglet Afficher les paramètres (View Settings). Dans le menu déroulant
Sélection (Selection), sélectionnez Analyse du contenu (Content Scanning).
22 Sous Options, sélectionnez Inclure les formats de documents et de bases de
données dans l'analyse de contenu (Include document and database formats in content
scanning) et Analyser le texte de toutes les pièces jointes (Scan the text of all
attachments).
23 Si vous recevez un message vous avertissant que cela provoque une utilisation intensive
du processeur, cliquez sur OK.
24 Dans la section Règles de l'analyseur de contenu et actions associées (Content
Scanner rules and associated actions), cliquez sur Ajouter une règle (Add rule).
25 Dans le menu déroulant Sélectionner un groupe de règles (Select rules group),
sélectionnez Contenu (Content). L'option Sélectionner des règles (Select rules) dans
ce groupe devrait en principe contenir « Contenu bloqué ». Sélectionnez Contenu bloqué.
26 Dans le menu déroulant En cas de détection, entreprendre l'action suivante (If
detected, take the following action), sélectionnez Remplacer l'élément par une alerte
(Replace item with an alert). Sous la section Mais également (And Also), sélectionnez
Notifier l'administrateur (Notify administrator).
29
27 Cliquez sur Enregistrer (Save).
28 Cliquez à nouveau sur Enregistrer (Save) dans la page Stratégies d'analyse à l'accès
(On-Access Policies).
Configuration de stratégies d'analyseur antispam
La procédure ci-dessous permet de configurer une stratégie exigeant que tout e-mail de spam
enregistrant un score élevé soit rejeté.
1
2
3
4
Dans la ligne Ma stratégie Exchange, cliquez sur Modifier les paramètres.
5
Sous Gestionnaire de stratégies, cliquez sur Passerelle.
6
Cliquez sur Stratégie principale.
7
Cliquez sur l'onglet Afficher les paramètres. Dans le menu déroulant Sélection,
sélectionnez Antispam.
8
Dans la section Actions à entreprendre si un spam est détecté, cliquez sur Modifier.
9
Cliquez sur l'onglet Score élevé.
10 Dans le menu déroulant Entreprendre l'action suivante, sélectionnez Rejeter le
message. Sous la section Mais également, désactivez l'option Mettre le message en
quarantaine.
12 Cliquez à nouveau sur Enregistrer dans la page Stratégies de courrier externe.
Configuration de stratégies d'analyseur antiphishing
La procédure ci-dessous permet de configurer une stratégie qui enregistre tous les e-mails de
phishing.
1
2
3
4
Dans la ligne Ma stratégie Exchange, cliquez sur Modifier les paramètres.
5
Sous Gestionnaire de stratégies, cliquez sur Passerelle.
6
Cliquez sur Stratégie principale ou, si vous êtes toujours à la page Ma stratégie
Exchange, sélectionnez Stratégie principale dans le menu déroulant Stratégie.
7
sélectionnez Antihameçonnage.
8
Dans la section Actions à entreprendre, cliquez sur Modifier.
9
Sous la section Mais également, sélectionnez Enregistrer.
Affectation de stratégies aux serveurs Exchange
La procédure ci-dessous permet d'affecter les stratégies que vous avez configurées à vos
serveurs Microsoft Exchange.
30
1
2
Développez Groupe de test, puis cliquez sur Serveurs.
3
4
Dans la ligne Paramètres de l'analyseur, cliquez sur Modifier l'affectation.
5
Sélectionnez Bloquer l'héritage et affecter la stratégie et les paramètres ci-dessous.
6
Dans le menu déroulant Stratégie affectée, sélectionnez Ma stratégie Exchange.
7
8
Cliquez sur Systèmes dans la barre de menus.
9
Cliquez sur Actions | Agent | Réactiver les agents.
10 Sous Réactiver McAfee Agent, définissez Exécution aléatoire sur zéro minute.
11 Cliquez sur OK.
REMARQUE : Il se peut que vous n'ayez pas configuré un serveur Exchange dans le cadre
de votre évaluation. Dans ce cas, les stratégies GroupShield créées ne sont pas appliquées
aux ordinateurs clients. Toutefois, les exemples de stratégies ci-dessus constituent une
bonne introduction à la configuration et à l'application de stratégies sur les serveurs de
messagerie.
Stratégies McAfee Security for Lotus Domino
Dans les sections suivantes, vous créez des exemples de stratégies McAfee Security for Lotus
Domino pour les analyseurs antispam, antiphishing et de contenu interdit. McAfee recommande
d'utiliser les stratégies antivirus par défaut telles qu'elles sont définies. Commencez par les
stratégies antispam par défaut et affinez les seuils en fonction de vos besoins. Les exemples
sont uniquement donnés à titre illustratif.
Configuration de stratégies de contenu interdit
Cette section offre un exemple de filtrage de contenu interdit. La procédure ci-dessous permet
de créer une stratégie exigeant que pour chaque e-mail accompagné d'une pièce jointe contenant
le mot « Confidentiel », l'e-mail soit remplacé par une alerte et qu'une notification soit envoyée
à l'administrateur.
1
2
Dans le menu Produit, sélectionnez McAfee Security for Lotus Domino 7.5.x.x.
3
4
Dans la ligne My Default, cliquez sur Dupliquer.
5
Dans le champ Nom, tapez Ma stratégie Domino, puis cliquez sur OK.
6
Dans la ligne Ma stratégie Domino, cliquez sur Modifier les paramètres.
7
Sous Gestionnaire de stratégies, cliquez sur Ressource partagée.
8
Cliquez sur l'onglet Règles de filtrage.
9
Pour créer une nouvelle catégorie de règles de l'analyseur de contenu, cliquez sur Nouvelle
catégorie.
REMARQUE : Si vous utilisez Internet Explorer 7.0 et que vous avez défini un niveau de
sécurité supérieur à « Moyen » pour votre navigateur, vous recevez un avertissement « Ce
site Web utilise une fenêtre scriptée pour vous demander des informations. Si vous faites
confiance à ce site, cliquez ici pour autoriser ses fenêtres scriptées… ». Cliquez sur
31
l'avertissement et sélectionnez « Autoriser temporairement les fenêtres de script ». Vous
devez cliquer à nouveau sur Nouvelle catégorie pour continuer.
10 Dans le champ Nom, tapez Contenu, puis cliquez sur OK.
11 Pour créer une nouvelle règle pour la catégorie, cliquez sur Nouveau sous Règles de
l'analyseur de contenu.
12 Dans le champ Nom de la règle, tapez Contenu bloqué.
13 Entrez une description et sélectionnez l'option Ajouter cette règle au groupe de règles
de cette catégorie.
14 Cliquez sur l'onglet Terme ou phrase. Dans la zone de texte La règle sera déclenchée
lors de la détection du terme ou de la phrase suivante, tapez Confidentiel et
sélectionnez Ignorer la casse.
15 Cliquez sur l'onglet Format de fichier. Désactivez l'option Tout. Sous Catégories de
fichiers, sélectionnez Documents. Sous Sous-catégories, sélectionnez Tout.
17 Cliquez à nouveau sur Enregistrer dans la page Ressource partagée.
18 Dans le Catalogue de stratégies, cliquez sur Modifier les paramètres.
19 Sous Gestionnaire de stratégies, cliquez sur Courriers externes.
20 Cliquez sur Stratégie principale.
21 Sous Analyseurs de base, sélectionnez Actif pour Analyse du contenu. Dans la colonne
Nom, cliquez sur Analyse du contenu.
22 Cliquez sur l'onglet Afficher les paramètres. Dans le menu déroulant Sélection,
sélectionnez Analyse du contenu.
23 Sous Options, sélectionnez Inclure les formats de documents et de bases de
données dans l'analyse de contenu et Analyser le texte de toutes les pièces
jointes.
24 Si vous recevez un message vous avertissant que cela provoque une utilisation intensive
du processeur, cliquez sur OK.
25 Dans la section Règles de l'analyseur de contenu et actions associées, cliquez sur
Ajouter une règle.
26 Dans le menu déroulant Sélectionner un groupe de règles, sélectionnez Contenu.
L'option Sélectionner des règles dans ce groupe devrait en principe contenir « Contenu
bloqué ». Sélectionnez Contenu bloqué.
27 Dans le menu déroulant En cas de détection, entreprendre l'action suivante,
sélectionnez Remplacer l'élément par une alerte. Sous la section Mais également,
sélectionnez Notifier l'administrateur.
Configuration de stratégies d'analyseur antispam
La procédure ci-dessous permet de configurer une stratégie exigeant que tout e-mail de spam
enregistrant un score élevé soit supprimé.
32
1
2
3
4
5
Sous Gestionnaire de stratégies, cliquez sur Courriers externes.
6
Cliquez sur Stratégie principale.
7
sélectionnez Antispam.
8
Dans la section Actions à entreprendre si un spam est détecté, cliquez sur Modifier.
9
Cliquez sur l'onglet Score élevé.
10 Dans le menu déroulant Entreprendre l'action suivante, sélectionnez Supprimer le
message. Sous la section Mais également, désactivez l'option Mettre le message en
quarantaine.
Configuration de stratégies d'analyseur antiphishing
La procédure ci-dessous permet de configurer une stratégie qui enregistre tous les e-mails de
phishing.
1
2
3
4
5
Sous Gestionnaire de stratégies, cliquez sur Courriers externes.
6
Cliquez sur Stratégie principale ou, si vous êtes toujours à la page Ma stratégie
Domino, sélectionnez Stratégie principale dans le menu déroulant Stratégie.
7
sélectionnez Antihameçonnage.
8
Dans la section Actions à entreprendre, cliquez sur Modifier.
9
Sous la section Mais également, sélectionnez Enregistrer.
11 Cliquez à nouveau sur Enregistrer dans la page Stratégies de passerelles.
Affectation de stratégies aux serveurs IBM Lotus Domino
La procédure ci-dessous permet d'affecter les stratégies que vous avez configurées à vos
serveurs IBM Lotus Domino.
1
2
Développez Groupe de test, puis cliquez sur Serveurs.
3
4
Dans la ligne Paramètres de l'analyseur, cliquez sur Modifier l'affectation.
5
6
Dans le menu déroulant Stratégie affectée, sélectionnez Ma stratégie Domino.
7
8
Cliquez sur Systèmes dans la barre de menus.
9
33
10 Sous Réactiver McAfee Agent, définissez Exécution aléatoire sur zéro minute.
11 Cliquez sur OK.
REMARQUE : Il se peut que vous n'ayez pas configuré un serveur Lotus Domino dans le cadre
de votre évaluation. Dans ce cas, les stratégies créées ne sont pas appliquées aux ordinateurs
clients. Toutefois, les exemples de stratégies ci-dessus constituent une bonne introduction à la
configuration et à l'application de stratégies sur les serveurs de messagerie.
34
Définition de tâches pour les postes clients
Vous avez jusqu'ici créé une arborescence des systèmes, ajouté quelques systèmes clients,
archivé des logiciels et configuré vos stratégies. Vous allez maintenant planifier le déploiement
de VirusScan Enterprise et des autres produits de sécurité. Le déploiement de produit s'effectue
à l'aide d'une tâche client récupérée et exécutée par McAfee Agent. Vous utilisez également les
tâches client pour la planification des analyses et la mise à jour.
Après avoir créé les tâches de déploiement et de mise à jour de cette section, créez une tâche
d'analyse à la demande VirusScan Enterprise.
Conditions préalables
Vérifiez si un autre produit antivirus tiers est installé sur votre ou vos ordinateurs clients. McAfee
VirusScan Enterprise vérifie la présence éventuelle de plus de deux cents produits antivirus, en
ce compris les versions précédentes de produits McAfee. Si un logiciel antivirus tiers est installé,
VirusScan appelle le programme de désinstallation du logiciel.
Pour déployer VirusScan et supprimer tout logiciel antivirus tiers de la façon requise, procédez
comme suit :
• Supprimez l'éventuel « mot de passe de désinstallation » défini dans la console de gestion
du logiciel antivirus tiers.
• Désactivez le cas échéant la fonctionnalité d'autoprotection définie dans la console de gestion
du logiciel antivirus tiers.
Bien que McAfee mette régulièrement à jour la liste de produits antivirus, certains logiciels ne
seront peut-être pas automatiquement reconnus et supprimés. Dans ce cas, vous devez
rechercher les outils et les scripts permettant d'automatiser la suppression.
Création d'une tâche de déploiement
Dans cette section, vous créez une tâche client qui déploie un ou plusieurs produits sur un
groupe de systèmes. La procédure ci-dessous suppose que vous avez archivé tous les produits
pour postes clients pendant l'installation. Dans le cas contraire, seuls les produits que vous avez
archivés sont disponibles dans la liste des produits (étape 5).
1
Cliquez sur Menu | Systèmes | Arborescence des systèmes, puis cliquez sur Tâches
client dans la barre de menus.
2
Sélectionnez Mon organisation, puis cliquez sur Nouvelle tâche.
3
Dans le champ Nom, tapez Déploiement McAfee.
4
Sélectionnez Déploiement de produit comme Type dans la liste déroulante, puis cliquez
sur Suivant.
5
Dans la page Configuration sous Produits et composants, sélectionnez vos produits
pour postes clients. Utilisez le symbole plus (+) pour ajouter des lignes supplémentaires.
Pour chaque produit, définissez Action sur Installer, et définissez Langue sur la langue
utilisée sur vos systèmes clients. Dans la liste déroulante Produits et composants :
• Sélectionnez VirusScan Enterprise 8.7.0.xxx, puis cliquez sur +.
35
• Sélectionnez AntiSpyware Enterprise Module 8.7.0.xxx, puis cliquez sur +.
• Sélectionnez Host Intrusion Prevention 7.0.0.xxx, puis cliquez sur +.
• Sélectionnez SiteAdvisor Enterprise Plus 3.0.0.xxx.
6
7
Dans la page Planification, définissez les options suivantes, puis cliquez sur Suivant :
Etat de planification
Activé
Type de planification
Exécuter immédiatement
Dans la page Synthèse, cliquez sur Enregistrer.
Lors du déploiement d'un grand nombre de systèmes dans un environnement de production,
McAfee recommande d'utiliser l'option Exécution aléatoire de la page Planification.
L'exécution aléatoire des tâches empêche les systèmes clients d'envoyer un grand nombre de
requêtes simultanées au serveur. Dans un environnement réel, vous souhaiterez généralement
planifier les déploiements à des heures spécifiques de la journée. La définition de la planification
sur Exécuter immédiatement accélère le processus de déploiement dans le cadre de
l'évaluation.
Création d'une tâche de mise à jour
Dans cette section, vous créez une tâche client qui met à jour le moteur et les fichiers DAT
VirusScan, ainsi que le contenu Host Intrusion Prevention.
1
2
Sélectionnez Groupe de test, puis cliquez sur Nouvelle tâche.
3
Dans le champ Nom, tapez Mise à jour quotidienne.
4
Sélectionnez Mise à jour de produit comme Type dans le menu déroulant, puis cliquez
sur Suivant.
5
Dans la page Configuration, sélectionnez Contenu Host Intrusion Prevention, Fichier
DAT, puis cliquez sur Suivant.
6
Dans la page Planification, définissez Type de planification sur Quotidienne.
REMARQUE : Si vous mettez à jour un grand nombre de systèmes, McAfee recommande
de spécifier une exécution aléatoire pour échelonner les requêtes client.
7
Pour Options, sélectionnez Exécuter la tâche omise.
8
Définissez Planification sur Répéter entre, et définissez les valeurs de temps sur 7h00,
6h59, et toutes les 4 heures.
9
La période pour la planification est uniquement donnée à titre d'exemple. Dans un environnement
réel, vous souhaiterez généralement planifier la vérification de la disponibilité de mises à jour
tout au long de la journée. Les options de planification vous permettent de définir une
planification adaptée à vos besoins.
Les systèmes qui se déconnectent temporairement de votre réseau (les ordinateurs portables,
par exemple) continuent d'exécuter les tâches de mise à jour qui leur sont affectées. Dans ce
scénario, l'ordinateur portable récupère les mises à jour à partir du site McAfee (plutôt que du
serveur ePO) lorsqu'il a accès à une connexion Internet quelconque.
Création d'une tâche d'analyse à la demande
Dans cette section, vous créez une tâche client qui effectue une analyse hebdomadaire sur les
ordinateurs clients.
36
1
2
Sélectionnez Groupe de test, puis cliquez sur Nouvelle tâche.
3
Dans le champ Nom, tapez Analyse hebdomadaire.
4
Sélectionnez Analyse à la demande (VirusScan Enterprise 8.7.0) dans la liste
déroulante Type, puis cliquez sur Suivant.
REMARQUE : Si vous effectuez un audit des programmes potentiellement indésirables décrit
dans une section précédente, cliquez sur Actions, puis, dans le menu déroulant Si un
programme indésirable est détecté, sélectionnez Poursuivre l'analyse.
5
Les autres paramètres par défaut peuvent rester inchangés pour les tests. Toutefois, lorsque
vous cliquez sur l'onglet Tâche, ce dernier contient une option permettant d'appliquer
cette tâche d'analyse aux serveurs, aux postes de travail ou aux deux, dans la mesure où
vous pouvez créer des tâches différentes en fonction de la plate-forme. Il est inutile d'entrer
des informations d'identification dans cette page puisque l'analyse est effectuée à l'aide
du compte système. Cliquez simplement sur Suivant.
6
Dans la page Planification, sélectionnez la valeur Toutes les semaines pour l'option
Type de planification. Après quoi, choisissez le jour et l'heure d'exécution de la tâche
puis cliquez sur Suivant.
7
Les clients extraient les instructions de la tâche lors de la communication suivante avec le
serveur et exécutent la tâche au jour et à l'heure prévus. Vous pouvez, par la suite, essayer de
modifier les paramètres de la tâche pour affiner la configuration. Vous pouvez, par exemple,
modifier la planification en sélectionnant l'option Exécuter immédiatement, envoyer un appel
de réactivation de l'agent aux clients afin d'exécuter une analyse immédiate si nécessaire, avant
de rétablir le paramètre Toutes les semaines comme type de planification.
Il est recommandé d'analyser l'intégralité du ou des lecteurs pour cette opération d'audit. Vérifiez
que les systèmes clients possèdent les outils standard afin que le module antispyware puisse
également contrôler toutes les entrées du Registre associées à ces applications. Après avoir
créé et testé les éventuelles exclusions requises, pensez à remodifier les paramètres de
l'analyseur à la demande pour qu'il nettoie les programmes potentiellement indésirables au lieu
de poursuivre l'analyse. La section suivante explique comment rétablir l'option « Nettoyer »
dans la stratégie.
37
Déploiement de McAfee Agent
McAfee Agent est le composant distribué d'ePolicy Orchestrator qui doit être installé sur chaque
système de votre réseau que vous souhaitez gérer. L'agent collecte des informations et les
envoie au serveur ePO. De plus, il installe et met à jour les produits pour postes clients et il
applique vos stratégies de postes clients. Les systèmes ne peuvent pas être managés par ePolicy
Orchestrator si McAfee Agent n'est pas installé.
Avant de déployer McAfee Agent, il est utile de vérifier la communication entre le serveur et
les systèmes, et d'accéder au répertoire de partage par défaut de l'administrateur. Par ailleurs,
vous devrez peut-être créer des exceptions de pare-feu.
1
Vérifiez que vous pouvez interroger les systèmes clients par leur nom en leur envoyant
une requête ping. Cette opération démontre que le serveur est capable de résoudre les
noms de clients en adresses IP.
2
Vérifiez que vous avez accès au partage Admin$ par défaut sur les systèmes clients : dans
l'interface Windows, cliquez sur Démarrer | Exécuter, puis tapez \\nom_ordinateur\admin$.
Si les systèmes sont correctement connectés au réseau, que vous disposez de droits
suffisants et que le dossier partagé Admin$ est présent, une fenêtre Explorateur Windows
doit s'afficher.
3
Si un pare-feu actif est en cours d'exécution sur l'un des systèmes clients, créez une
exception pour Framepkg.exe. Il s'agit du fichier copié par ePolicy Orchestrator sur les
systèmes que vous souhaitez gérer.
Déploiement de l'agent
La procédure ci-dessous permet de déployer McAfee Agent sur vos systèmes.
1
Cliquez sur Menu | Systèmes | Arborescence des systèmes, puis sur Systèmes dans
la barre de menus.
2
Sélectionnez Groupe de test. Si ce groupe ne contient aucun système mais possède des
sous-groupes contenant des systèmes, cliquez sur le menu déroulant Filtre et sélectionnez
Ce groupe et tous les sous-groupes.
3
Sélectionnez un ou plusieurs systèmes dans la liste et cliquez sur Actions | Agent |
Déployer des agents.
4
Tapez les informations d'identification associés à des droits permettant d'installer des
logiciels sur les systèmes clients, comme Administrateur de domaine, puis cliquez sur OK.
Il faudra quelques minutes à McAfee Agent pour s'installer, et aux systèmes clients pour récupérer
et exécuter les packages d'installation pour les produits destinés aux postes clients. Lorsqu'il
est installé pour la première fois, l'agent détermine une heure aléatoire dans les 10 minutes
suivantes pour se connecter au serveur ePO afin de récupérer les stratégies et les tâches.
Il existe de nombreuses autres façons de déployer McAfee Agent (voir la documentation ePolicy
Orchestrator ou l'aide en ligne).
38
Vérification de la communication entre l'agent et ePolicy Orchestrator
Après la communication agent-serveur initiale, l'agent interroge le serveur toutes les 60 minutes
par défaut. Cette valeur s'appelle intervalle de communication agent-serveur ou ASCI (pour
« Agent to Server Communication Interval »). Chaque fois que l'agent interroge le serveur, il
récupère les modifications de stratégies et met en œuvre les stratégies localement.
Avec l'intervalle de communication agent-serveur par défaut, un agent qui a interrogé le serveur
il y a 15 minutes ne recevra pas de nouvelles stratégies avant 45 minutes. Vous pouvez toutefois
forcer les systèmes à interroger le serveur grâce à un appel de réactivation de l'agent. L'appel
de réactivation est utile lorsque vous devez forcer la mise en œuvre d'une modification de
stratégie sans attendre l'heure de la prochaine communication. Il vous permet également de
forcer les clients à exécuter des tâches, telles qu'une mise à jour immédiate.
La procédure ci-dessous permet de vérifier si vos systèmes clients communiquent avec ePolicy
Orchestrator.
1
la barre de menus.
2
Sélectionnez le groupe Serveurs ou Postes de travail.
3
Si une adresse IP et un nom d'utilisateur sont répertoriés, cela signifie que l'agent installé
sur le système client communique avec le serveur.
4
Si de cinq à dix minutes s'écoulent sans que les systèmes aient une adresse IP et un nom
d'utilisateur, sélectionnez Actions | Agent | Réactiver les agents puis cliquez sur OK.
Si l'envoi d'un appel de réactivation ne suffit pas à récupérer l'adresse IP et le nom d'utilisateur,
il se peut que d'autres aspects de l'environnement empêchent le déploiement initial de l'agent.
Le cas échéant, vous pouvez copier le programme d'installation de l'agent, Framepkg.exe, à partir
du serveur ePO et l'exécuter sur les systèmes clients.
Vérification de l'installation des logiciels clients
Suivant le nombre de produits que vous avez déployés, le processus d'installation des clients
peut prendre un certain temps. Vous pouvez vérifier l'installation des clients à partir du serveur
ePO, ou sur les systèmes clients en cliquant avec le bouton droit sur l'icône McAfee située dans
la barre d'état système.
La procédure ci-dessous permet de vérifier l'installation des clients à partir du serveur ePO.
1
la barre de menus.
2
Sélectionnez le groupe Serveurs ou Postes de travail.
3
Sélectionnez les systèmes individuels à l'aide des cases à cocher, ou utilisez les options
Tout sélectionner dans cette page ou Tout sélectionner dans toutes les pages.
4
5
Si vous réactivez un grand nombre de systèmes, il est utile d'ajouter quelques minutes à
l'option Exécution aléatoire. Cliquez sur OK.
6
Après quelques minutes, cliquez sur les systèmes individuels. La page Système : Détails
fournit des informations sur le système, notamment les logiciels McAfee installés.
Révision de la stratégie VirusScan d'audit des programmes potentiellement
indésirables
A ce stade, les tâches d'installation de logiciels sur les clients ont été exécutées ou sont en
cours d'exécution, et toutes les stratégies que vous avez créées dans les procédures précédentes
ont été téléchargées. Si vos systèmes de test sont dotés de systèmes d'exploitation nouvellement
39
installés, il se peut qu'ils ne contiennent aucun programme potentiellement indésirable. Dans
le cadre de cet exercice, supposons que les éléments suivants ont été détectés sur vos clients :
• Outil d'administration à distance Tight VNC
• Analyseur de ports SuperScan
La plupart des programmes potentiellement indésirables sont renseignés par famille et nom de
l'application. Par exemple, l'analyseur de ports appelé SuperScan est détecté en tant que
PortScan-SuperScan et TightVNC est détecté en tant que RemAdm-TightVNC. Il s'agit de
la nomenclature de base pour les dénominations des détections telles qu'elles sont indiquées
dans les rapports ePO et les fichiers journaux des clients locaux.
Une fois l'audit des programmes potentiellement indésirables terminé, la procédure ci-dessous
permet de créer une nouvelle stratégie, fondée sur votre stratégie Stratégie contre les
programmes indésirables existante, et d'ajouter les éventuelles exclusions nécessaires. Cette
procédure utilise SuperScan et Tight VNC comme exemples. Vous ne devez pas nécessairement
entrer ces exclusions maintenant ; vous pouvez vous référer à ces exemples si vous avez devez
créer de véritables exclusions.
1
2
3
4
A droite de Stratégie contre les programmes indésirables, cliquez sur Modifier
l'affectation.
5
6
Cliquez sur Nouvelle stratégie.
7
Entrez un nom pour la stratégie, par exemple Exclusions programmes indésirables pour équipe
informatique, et cliquez sur OK. L'Editeur de stratégies s'ouvre.
8
Dans la zone Exclusions des programmes indésirables, tapez PortScan-SuperScan et
cliquez sur le symbole + situé à droite.
9
Tapez RemAdm-TightVNC, cliquez à nouveau sur + et tapez Reg-TightVNC.
TightVNC nécessite également une exclusion « Reg » pour les entrées du Registre Windows
associées à cette application. Celle-ci indique à l'analyseur de ne pas nettoyer les entrées
du Registre liées à ce programme. SuperScan ne nécessite pas d'exclusion Reg dans la
mesure où il s'agit d'un exécutable autonome.
Il est plus sûr d'exclure uniquement les outils que vous utilisez plutôt que de désélectionner
une catégorie entière. Par exemple, dans le cas des outils d'administration à distance, vous
devrez peut-être exclure quelques outils pour les opérations habituelles, mais vous souhaiterez
peut-être également savoir si le module McAfee AntiSpyware détecte des outils malveillants
non approuvés de cette nature sur votre réseau.
Une fois l'audit des programmes potentiellement indésirables terminé, il est important de modifier
le paramètre VirusScan en le définissant à nouveau sur Nettoyer, et de créer une stratégie
avec des exclusions. Si vous ne modifiez pas la stratégie de façon à nettoyer les programmes
potentiellement indésirables, vous ne supprimerez pas les logiciels espions.
Réinitialisation de la stratégie d'analyse à l'accès
Précédemment, vous avez créé une nouvelle stratégie qui indiquait à l'analyseur à l'accès de
détecter les programmes potentiellement indésirables sans les nettoyer. La procédure ci-dessous
permet d'appliquer de nouveau la stratégie d'analyseur par défaut, qui active le nettoyage.
40
1
2
3
4
A droite de Stratégies des processus d'analyse à l'accès par défaut, cliquez sur
Modifier l'affectation.
5
6
Dans le menu déroulant Stratégie affectée, sélectionnez My Default.
7
Vérification de la tâche d'analyse à la demande
Dans un exercice précédent, vous avez planifié une analyse récurrente pour le système client.
Dans le cadre de cette configuration, nous avons indiqué à l'analyseur de détecter
temporairement les programmes potentiellement indésirables sans les nettoyer. La procédure
ci-dessous permet de réinitialiser l'option qui active le nettoyage pendant une analyse planifiée.
1
2
3
Recherchez la tâche d'analyse que vous avez créée, puis sous la colonne Action, cliquez
sur Modifier les paramètres.
4
Dans la première page de l'Assistant, cliquez sur Suivant.
5
Dans la page Configuration, cliquez sur Actions, puis dans le menu déroulant Si un
programme indésirable est détecté, sélectionnez Nettoyer les fichiers.
6
VirusScan nettoiera dorénavant tous les programmes potentiellement indésirables que vous
n'avez pas explicitement exclus. La prochaine fois que les systèmes clients interrogeront le
serveur, ils téléchargeront les modifications apportées à la configuration.
41
Tableaux de bord et requêtes
Les tableaux de bord et les requêtes fournissent plusieurs types d'informations d'état sur votre
environnement. Chaque produit de la suite Total Protection for Endpoint contient des requêtes
prédéfinies. Cette suite inclut également plusieurs tableaux de bord prédéfinis. Vous avez en
outre la possibilité de créer des tableaux de bord et des requêtes personnalisés.
Par défaut, le seul tableau de bord actif après l'installation est le tableau de bord Synthèse ePO.
Dans cette section, vous activez un deuxième tableau de bord, modifiez l'un des moniteurs,
exécutez une requête prédéfinie et créez une requête personnalisée.
Activation d'un tableau de bord
Pour intégrer un tableau de bord dans votre groupe actif, dans la barre d'onglets de la page
Tableaux de bord, vous devez l'activer.
1
Cliquez sur Menu | Rapports | Tableaux de bord.
2
Dans la liste déroulante Options, sélectionnez Gérer les tableaux de bord. La page
Gérer les tableaux de bord s'affiche.
3
Dans la liste Tableaux de bord, sélectionnez Tableau de bord HIP, puis cliquez sur
Rendre actif.
4
A l'invite, cliquez sur OK, puis cliquez sur Fermer.
Le tableau de bord HIP apparaît désormais dans la barre d'onglets. Prenez quelques instants
pour examiner ce tableau de bord et les informations qu'il fournit.
Modification d'un moniteur de tableau de bord
La plupart des tableaux de bord contiennent six moniteurs. Si les moniteurs par défaut ne vous
donnent pas les informations que vous souhaitez, vous pouvez modifier la série de moniteurs
au lieu de créer un nouveau tableau de bord. Pour afficher des informations sur VirusScan
Enterprise et les programmes potentiellement indésirables, vous devez dupliquer puis modifier
le tableau de bord VSE : détections actuelles.
42
1
Cliquez sur Menu | Rapports | Tableaux de bord.
2
Dans la liste déroulante Options, sélectionnez Gérer les tableaux de bord. La page
Gérer les tableaux de bord s'affiche.
3
Dans la liste Tableaux de bord, sélectionnez VSE : détections actuelles, puis cliquez
sur Dupliquer.
4
Dans le champ Nom, tapez VSE : Détections (personnalisé), puis cliquez sur OK.
5
Cliquez sur Modifier.
6
Recherchez le moniteur appelé VSE : menaces détectées au cours des dernières
24 heures et cliquez sur Supprimer.
7
Cliquez sur Nouveau moniteur.
8
Dans la liste Catégorie, sélectionnez Requêtes.
9
Dans la liste Moniteur, sélectionnez VSE : déploiement des fichiers DAT, puis cliquez
sur OK.
10 Recherchez le moniteur appelé VSE : menaces détectées au cours des 7 derniers
jours, puis cliquez sur Supprimer.
11 Cliquez sur Nouveau moniteur.
12 Dans la liste Catégorie, sélectionnez Requêtes.
13 Dans la liste Moniteur, sélectionnez VSE : 10 principales règles de protection de
l'accès non respectées, puis cliquez sur OK.
15 Cliquez sur Rendre actif, puis à l'invite, cliquez sur OK.
16 Cliquez sur Fermer.
17 Dans l'onglet Tableaux de bord, cliquez sur VSE : Détections (personnalisé).
Les deux moniteurs que vous avez ajoutés affichent un graphique à secteurs (Déploiement des
fichiers DAT) et un tableau de synthèse (10 principales règles de protection de l'accès non
respectées). Lorsque vous créez vos propres requêtes, réfléchissez au type de données que
vous souhaitez afficher et à la façon de les afficher.
Exécution d'une requête prédéfinie
Comme vous l'avez découvert dans la procédure précédente, les requêtes peuvent être les
données sources affichées par les moniteurs de tableau de bord. Vous avez également la
possibilité d'exécuter des requêtes individuellement.
Vous pouvez exécuter la requête MA : Synthèse des versions de l'agent pour contrôler que
McAfee Agent est déployé sur tous les systèmes de test et afficher le numéro de version.
1
Cliquez sur Menu | Rapports | Requêtes.
2
Développez Groupes partagés et sélectionnez le groupe McAfee Agent.
3
Dans la liste de requêtes, sélectionnez MA : Synthèse des versions de l'agent.
4
Cliquez sur Exécuter.
Les résultats sont affichés dans un graphique à secteurs, lequel montre les clients exécutant
McAfee Agent ainsi que sa version. Tous les systèmes sur lesquels McAfee Agent n'est pas
installé sont affichés dans un autre secteur.
Vous pouvez cliquer sur le secteur affichant la version 4.x de McAfee Agent pour consulter la
liste des systèmes. Cliquez sur Fermer pour revenir au graphique à secteurs, puis cliquez une
nouvelle fois sur Fermer pour revenir à la liste de requêtes.
Pour vérifier si Host Intrusion Prevention est installé et dispose de la version correcte du
programme, vous pouvez exécuter la requête HIP : versions des clients. Pour vérifier si ces
clients disposent des dernières mises à jour, exécutez la requête HIP : versions des contenus.
Vous pouvez également ajouter ces requêtes comme moniteurs de tableau de bord.
Création d'une requête personnalisée
La procédure ci-dessous permet de créer une requête affichant toutes les détections de
1
Cliquez sur Menu | Rapports | Requêtes.
2
Cliquez sur Nouvelle requête.
3
Dans la liste, sélectionnez dans Groupe de fonctionnalités l'option Evénements et
dans Type de résultat l'option Evénéments de menace, puis cliquez sur Suivant.
43
4
Effectuez les sélections suivantes, puis cliquez sur Suivant :
Elément
Option à sélectionner
Afficher les résultats sous forme de
Graphique à barres pour un seul
groupe
Etiquettes des barres
Nom de la menace (sous Evénements
de menace)
Valeurs des barres
Nombre d'événements de menace
5
Cliquez à nouveau sur Suivant pour passer la page Colonnes.
6
Dans la section Evénements de la liste Propriétés disponibles de la page Filtre :
• Cliquez sur Nom du produit de détection et définissez Comparaison sur Est égal
à. Dans le champ Valeur, tapez VirusScan Enterprise 8.7.
• Cliquez sur ID d'événement et définissez Comparaison sur Supérieur à. Dans le
champ Valeur, tapez 20000.
• Cliquez sur Nom de la menace et définissez Comparaison sur Ne contient pas.
Dans le champ Valeur, tapez Cookie.
7
Cliquez sur Exécuter.
8
Lorsque les résultats apparaissent, cliquez sur Enregistrer. Comme nom de requête, tapez
VSE : Toutes les détections de programmes potentiellement indésirables, puis cliquez sur
Enregistrer.
Vous pouvez également enregistrer une requête personnalisée dans un groupe existant ou un
nouveau groupe. Dans le cas où vous l'enregistrez dans un nouveau groupe, vous avez la
possibilité de la conserver dans un Groupe privé sous Mes groupes ou dans un Groupe
public sous Groupes partagés. Seul l'administrateur sous le nom duquel le groupe privé a
été créé peut voir les requêtes enregistrées dans ce groupe. Les requêtes enregistrées dans
un groupe partagé sont visibles pour tous les comptes d'administrateur ePO afin de pouvoir les
partager avec d'autres.
44
Synthèse
La présentation est terminée. Au fil des sections, vous avez effectué un grand nombre des
tâches courantes utilisées pour la création et la maintenance d'un environnement réseau sécurisé.
Voici un récapitulatif de ces tâches :
1
Installation de la suite Total Protection for Endpoint
2
Activation et exécution d'une tâche qui met à jour le référentiel maître ePO à partir du site
McAfee
3
Création d'une structure d'arborescence des systèmes et ajout de systèmes de test dans
des groupes
4
Création et application d'une nouvelle stratégie McAfee Agent qui permet d'accéder à
distance au journal McAfee Agent sur les ordinateurs clients
5
Création et mise en œuvre de nouvelles stratégies relatives aux produits pour postes clients,
consistant en :
• plusieurs stratégies VirusScan, notamment une stratégie d'audit des programmes
potentiellement indésirables,
• une stratégie SiteAdvisor Enterprise Plus,
• une stratégie Host Intrusion Prevention.
6
Création d'une tâche de déploiement permettant d'installer VirusScan, Host Intrusion
Prevention et SiteAdvisor Enterprise Plus sur les systèmes clients
7
Création et mise en œuvre de stratégies de protection de la messagerie
8
Création d'une tâche de mise à jour des clients pour maintenir les clients à jour
9
Création d'une tâche d'analyse à la demande VirusScan
10 Déploiement de McAfee Agent
11 Vérification de la communication agent-serveur, et envoi d'appels de réactivation de l'agent
pour garantir la récupération des nouvelles stratégies par les systèmes managés
12 Modification de la stratégie d'audit des programmes potentiellement indésirables avec des
exclusions
13 Restauration de la stratégie d'analyse à l'accès par défaut et réinitialisation de la tâche
d'analyse à la demande pour nettoyer les programmes potentiellement indésirables
14 Activation d'un deuxième tableau de bord, modification des moniteurs d'un tableau de bord
et exécution d'une requête prédéfinie
15 Création d'une requête personnalisée pour répertorier les détections de programmes
potentiellement indésirables
45
Références
Utilisez les liens de cette section pour accéder à des informations supplémentaires.
Support par la lecture
Consultez la Base de connaissances primée de McAfee pour trouver des réponses à vos questions.
Consulter la Base de connaissances
Pour plus d'informations sur Total Protection for Endpoint, reportez-vous à la documentation
produit suivante :
ePolicy Orchestrator 4.5
• ePolicy Orchestrator 4.5 - Guide d'évaluation
• ePolicy Orchestrator 4.5 - Guide produit
• ePolicy Orchestrator 4.5 - Guide d'installation
• ePolicy Orchestrator 4.5 - Guide de référence des fichiers journaux
• Liste principale des articles de support parus sur ePolicy Orchestrator 4.5
• Gestion des licences dans ePolicy Orchestrator 4.5
• Notes de distribution concernant McAfee ePolicy Orchestrator 4.5
VirusScan Enterprise 8.7i
• VirusScan Enterprise 8.7i - Guide d'installation
• VirusScan Enterprise 8.7i - Guide produit
• Access Protection in McAfee VirusScan Enterprise and Host Intrusion Prevention (Protection
des accès dans McAfee VirusScan Enterprise et Host Intrusion Prevention) - Livre blanc
AntiSpyware Enterprise Module 8.7
• AntiSpyware Enterprise Module 8.7 - Guide produit
• AntiSpyware Enterprise Module 8.7 - Notes de distribution
McAfee Host Intrusion Prevention 7.0
• Host Intrusion Prevention 7.0.0 - Guide d'installation
• Adopting Host Intrusion Prevention - Best practices for quick success (Adoption de McAfee
Host Intrusion Prevention – Meilleures pratiques pour un succès immédiat garanti)
• Host Intrusion Prevention 7.0.0 pour ePO 4.0 - Guide produit
• Host Intrusion Prevention 7.0 Firewall Protocol Support (Prise en charge du protocole de
pare-feu de Host Intrusion Prevention 7.0)
• Host Intrusion Prevention 7.x Multi-Slot Policies and their Effective Policy (Stratégies à
emplacements multiples de Host Intrusion Prevention 7.x et leur stratégie en vigueur)
46
Références
• Host Intrusion Prevention Firewall: Connection-Aware Groups (Pare-feu Host Intrusion
Prevention - Groupes de reconnaissance de connexion)
• Host Intrusion Prevention 7.x Adaptive Mode (Mode adaptatif de Host Intrusion
Prevention 7.x)
• Access Protection in McAfee VirusScan Enterprise and Host Intrusion Prevention (Protection
des accès dans McAfee VirusScan Enterprise et Host Intrusion Prevention) - Livre blanc
SiteAdvisor Enterprise Plus 3.0
• SiteAdvisor Enterprise Plus 3.0 - Guide produit
• Mapping the mal web, Revisited (Cartographie mise à jour du Web malveillant) - Livre blanc
• Prevention is the best medicine (Rien ne remplace la prévention) - Livre blanc
• McAfee SECURE™ shopping portal (Portail d'achat McAfee SECURE™)
• Ressources pour les propriétaires de sites et les consommateurs
GroupShield 7.0.1 for Microsoft Exchange
• GroupShield 7.0.1 for Microsoft Exchange - Guide des meilleures pratiques
• GroupShield 7.0 for Microsoft Exchange - Guide de l'utilisateur
• GroupShield 7.0.1 for Microsoft Exchange - Complément au Guide de l'utilisateur
McAfee Security for Lotus Domino 7.5 (Windows)
• McAfee Security for Lotus Domino 7.5 (Windows) - Guide de l'utilisateur
• McAfee Security for Lotus Domino 7.5 (Windows) - Notes de distribution
Support par la démonstration
Didacticiels vidéo
Consultez les didacticiels vidéos qui abordent les problèmes courants et répondent aux questions
fréquentes.
Support par l'expérience
Télécharger les mises à jour logicielles
Téléchargez les dernières définitions antivirus, mises à jour de sécurité des produits et versions
des produits. Pour obtenir les patchs de produits et les distributions de maintenance, vous devez
être connecté au portail ServicePortal.
Global Support Lab
Configuration et résolution des problèmes courants dans un environnement de test en conditions
réelles
47

McAfee Total Protection for Endpoint Guide d`évaluation

Transcription

Documents pareils

Installation de McAfee Entreprise ULB sur un MAC

http://www.ca-cotesdarmor.fr Vider les fichiers temporaires et l

procédure pour changer sa signature dans lotus notes

Installation de McAfee Enterprise ULB sur un ordinateur Windows :

mode d`emploi - Médiathèque municipale de Villeneuve d`Ascq

Pour consulter le manuel d`utilisation d`une machine John Deere

Comment faire une image CD avec Blindwrite - les drivers

Comparer des documents à l`aide de la visionneuse en ligne

CREPS de Bourgogne