Guide d`évaluation de Symantec™ Endpoint Protection

Transcription

Guide d'évaluation de
Symantec™ Endpoint
Protection
Guide d'évaluation de Symantec™ Endpoint Protection
Le logiciel décrit dans ce guide est fourni dans le cadre d'un contrat de licence et ne peut
être utilisé qu'en conformité avec les termes de ce contrat.
Version de documentation 11.00.02.00.00
Mentions légales
Copyright © 2008 Symantec Corporation. Tous droits réservés.
Symantec, le logo Symantec, LiveUpdate, Sygate, Symantec AntiVirus, Bloodhound,
Confidence Online, Digital Immune System, Norton et TruScan sont des marques
commerciales ou des marques déposées de Symantec Corporation ou ses filiales aux
Etats-Unis et dans d'autres pays. D'autres noms peuvent être des marques commerciales
de leurs propriétaires respectifs.
Ce produit Symantec est susceptible de contenir des logiciels développés par des tiers
("Programmes tiers") pour lesquels Symantec doit fournir l'attribution correspondante.
Certains de ces logiciels sont mis à disposition avec des licences de logiciel libre ou open
source. Ce Contrat de licence n'affecte pas les droits ou obligations éventuellement applicables
dans le cadre de telles licences open source ou de logiciels libres. Veuillez consulter l'annexe
Mentions légales tierces de cette documentation ou le fichier lisezmoi TPIP accompagnant
ce produit Symantec pour plus d'informations sur les Programmes tiers.
Le produit décrit dans ce document est distribué aux termes d'une licence limitant son
utilisation, sa copie, sa distribution et sa décompilation/ingénierie inverse. Ce document ne
peut, en tout ou partie, être reproduit sous aucune forme et par aucun moyen sans
l'autorisation écrite préalable de Symantec Corporation et de ses concédants de licence
éventuels.
LA DOCUMENTATION EST FOURNIE "TELLE QUELLE" A L'EXCLUSION DE TOUTES
CONDITIONS, REPRESENTATIONS ET GARANTIES EXPRESSES OU IMPLICITES, Y COMPRIS
LES GARANTIES IMPLICITES DE COMMERCIALISATION, D'ADAPTATION A UN USAGE
PARTICULIER ET DE NON CONTREFACON, EXCEPTE DANS LA MESURE OU DE TELLES
EXCLUSIONS DE RESPONSABILITE SONT TENUES POUR LEGALEMENT NON VALIDES.
SYMANTEC CORPORATION NE PEUT ETRE TENUE POUR RESPONSABLE DES DOMMAGES
DIRECTS OU INDIRECTS RELATIFS AU CONTENU OU A L'UTILISATION DE LA PRESENTE
DOCUMENTATION. LES INFORMATIONS PRESENTES DANS CETTE DOCUMENTATION
SONT SUJETTES A MODIFICATION SANS PREAVIS.
Le Logiciel sous licence est considéré comme logiciel informatique commercial conformément
aux définitions de la section FAR 12.212 et soumis à des droits restreints tels que définis
dans la section FAR 52.227.19 "Commercial Computer Licensed Software - Restricted Rights"
et DFARS 227.7202 "Rights in Commercial Computer Licensed Software or Commercial
Computer Licensed Software Documentation" tels qu'applicables, et à tous règlements qui
les remplaceraient. Toute utilisation, modification, reproduction, publication, exécution,
présentation ou communication du Logiciel sous licence par le gouvernement des Etats-Unis
ne peut se faire que conformément aux conditions du présent contrat.
Symantec Corporation
20330 Stevens Creek Blvd.
Cupertino, CA 95014 Etats-Unis
http://www.symantec.fr
Imprimé en Irlande.
10 9 8 7 6 5 4 3 2 1
Solutions de service et de support
Symantec se consacre à fournir un excellent service dans le monde entier. Notre
objectif est de vous apporter une assistance professionnelle pour utiliser nos
logiciels et nos services, où que vous vous trouviez.
Les solutions de support technique et de service clientèle varient selon les pays.
Si vous avez des questions sur les services décrits ci-dessous, consultez la section
« Informations de service et de support dans le monde ».
Enregistrement et licences
Si vous déployez un produit qui nécessite un enregistrement et/ou une clé de
licence, le système le plus rapide et le plus simple consiste à accéder à notre site
de licence et d’enregistrement (en anglais) à l’adresse
www.symantec.com/certificate.
Si vous avez acheté un abonnement de support, vous êtes habilité à bénéficier
d'un support technique par téléphone et sur Internet. Lorsque vous contactez les
services de support pour la première fois, vous devez disposer du numéro de votre
certificat de licence ou de l’identification de contact fournie lors de
l’enregistrement, pour permettre la vérification de vos droits au support. Si vous
n'avez pas acheté d'abonnement de support, contactez votre revendeur ou le
service clientèle de Symantec pour savoir comment obtenir un support technique
auprès de Symantec.
Mises à jour de la sécurité
Pour obtenir les informations les plus récentes sur les virus et les menaces de
sécurité, visitez le site de Symantec Security Response (anciennement SARC Centre de Recherche AntiVirus de Symantec), à l’adresse
http://www.symantec.fr/region/fr/avcenter/index.html.
Ce site contient des informations exhaustives sur la sécurité et les virus, ainsi que
les dernières définitions de virus. Vous pouvez également télécharger les
définitions de virus en utilisant la fonction LiveUpdate de votre produit.
Renouvellement d’abonnement aux définitions de virus
Votre achat d’un service de support avec un produit vous permet de télécharger
gratuitement des définitions de virus pendant la durée de l’abonnement. Si votre
abonnement au support a expiré, contactez votre revendeur ou le Service clientèle
de Symantec pour savoir comment le renouveler.
Sites Web Symantec :
Page d’accueil Symantec (par langue) :
■
Allemand :
http://www.symantec.de
■
Anglais :
http://www.symantec.com
■
Espagnol :
http://www.symantec.com/region/es
■
Français :
http://www.symantec.fr
■
Italien :
http://www.symantec.it
■
Néerlandais :
http://www.symantec.nl
■
Portugais :
http://www.symantec.com/br
Symantec Security Response:
■
http://www.symantec.fr/region/fr/avcenter/index.html
Page de service et assistance Symantec :
■
http://www.symantec.com/region/fr/techsupp/enterprise/index.html
Bulletin d'informations spécifique produit :
■
Etats-Unis, Asie-Pacifique :
http://www.symantec.com/techsupp/bulletin/index.html
■
Europe, Moyen-Orient, Afrique/Anglais :
http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html
■
Allemand :
http://www.symantec.com/region/de/techsupp/bulletin/index.html
■
Français :
http://www.symantec.com/region/fr/techsupp/bulletin/index.html
■
Italien :
http://www.symantec.com/region/it/techsupp/bulletin/index.html
■
Amérique latine/Anglais :
Support technique
Au sein de Symantec Security Response, l’équipe de support technique
internationale gère les centres d’assistance dans le monde entier. Son objectif
premier est de répondre aux questions spécifiques sur les
fonctionnalités/fonctions, l'installation et la configuration des produits Symantec
ainsi que sur le contenu de la Base de connaissances accessible via le Web.
Symantec Security Response est en collaboration étroite avec les autres
départements de Symantec pour répondre rapidement à vos questions. Nous
travaillons par exemple avec notre service d’ingénierie produit et nos centres de
recherche en sécurité pour fournir des services d'alertes et des mises à jour des
définitions de virus, face aux attaques virales et aux alertes de sécurité.
Caractéristiques de nos offres :
■
Une panoplie d'options de support vous permet de choisir le service approprié
quel que soit le type d'entreprise.
■
Le support Web et téléphonique fournit des réponses rapides et des
informations de dernière minute.
■
Les mises à jour des produits fournissent une protection de mise à niveau
automatique.
■
Les mises à jour de contenu des définitions de virus et les signatures de sécurité
assurent la meilleure protection.
■
Le support mondial des experts Symantec Security Response est disponible
24h/24, 7j/7 dans le monde entier et dans différentes langues.
■
Les fonctionnalités avancées telles que le Service d'alertes Symantec (Symantec
Alerting Service) et le Responsable de compte technique (Technical Account
Manager) offrent un support d'intervention et de sécurité proactive.
Rendez-vous sur notre site Web pour obtenir les dernières informations sur les
programmes de support.
Coordonnées du support
Les clients disposant d'un contrat de support peuvent contacter l’équipe de support
technique par téléphone, sur le site Web suivant ou sur les sites régionaux de
Service et Support internationaux.
http://www.symantec.com/region/fr/techsupp/enterprise/index.html
Lorsque vous contactez le support, vérifiez que vous disposez des informations
suivantes :
■
Version du produit
■
Informations sur le matériel
■
Mémoire disponible, espace disque et informations sur la carte d'interface
réseau
■
Système d'exploitation
■
Niveau de version et correctif
■
Topologie du réseau
■
Informations sur le routeur, la passerelle et l'adresse IP
■
Description du problème
■
Messages d'erreur/fichiers journaux
■
Intervention effectuée avant de contacter Symantec
■
Modifications récentes de la configuration du logiciel ou du réseau
Service clientèle
Le Centre de service clientèle de Symantec peut vous seconder pour vos questions
non techniques :
■
Informations générales sur les produits (caractéristiques, langues disponibles,
adresse des distributeurs, etc)
■
Dépannage de base, par exemple vérification de la version du produit
■
Dernières informations sur les mises à jour produit
■
Comment mettre votre produit à jour/à niveau
■
Comment enregistrer votre produit et/ou votre licence
■
Informations sur les programmes de licences de Symantec
■
Informations sur les contrats de mise à niveau et de maintenance
■
Remplacement des CD et des manuels
■
Mise à jour des données d’enregistrement produit en cas de changement de
nom ou d'adresse
■
Conseil sur les options de support technique de Symantec
Des informations détaillées sur le Service clientèle sont disponibles sur le site
Web de l’assistance Symantec. Vous pouvez également contacter le Centre de
service clientèle par téléphone. Pour des informations sur les numéros de support
clientèle et les sites Web, consultez la section « Informations de service et de
contact en bref ».
Service et support internationaux
Europe, Moyen-Orient, Afrique et Amérique latine
Sites Web de service et assistance Symantec
■
Allemand :
www.symantec.de/desupport/
■
Anglais :
www.symantec.com/eusupport/
■
Espagnol :
www.symantec.com/region/mx/techsupp/
■
Français :
www.symantec.fr/frsupport
■
Italien :
www.symantec.it/itsupport/
■
Néerlandais :
www.symantec.nl/nlsupport/
■
Portugais :
www.symantec.com/region/br/techsupp/
■
FTP Symantec : ftp.symantec.com (téléchargement des notes techniques et
des derniers correctifs)
Visitez le site Service et assistance de Symantec pour trouver des informations
techniques et non techniques sur votre produit.
Symantec Security Response :
■
http://securityresponse.symantec.com
Bulletin d'informations spécifique produit :
■
Anglais :
■
Europe, Moyen-Orient, Afrique/Anglais :
http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html
■
Allemand :
http://www.symantec.com/region/de/techsupp/bulletin/index.html
■
Français :
http://www.symantec.com/region/fr/techsupp/bulletin/index.html
■
Italien :
http://www.symantec.com/region/it/techsupp/bulletin/index.html
■
Amérique latine/Anglais :
Service Clientèle de Symantec
Fournit des informations non techniques et des conseils par téléphone dans les
langues suivantes : anglais, allemand, français et italien.
■
Autriche :
+ (43) 1 50 137 5030
■
Belgique :
+ (32) 2 2750173
■
Danemark :
+ (45) 35 44 57 04
■
Espagnol :
+ (34) 91 7456467
■
Finlande :
+ (358) 9 22 906003
■
France :
+ (33) 1 70 20 00 00
■
Allemagne :
+ (49) 69 6641 0315
■
Irlande :
+ (353) 1 811 8093
■
Italie :
+ (39) 02 48270040
■
Luxembourg :
+ (352) 29 84 79 50 30
■
Pays-Bas :
+ (31) 20 5040698
■
Norvège :
+ (47) 23 05 33 05
■
Afrique du Sud :
+ (27) 11 797 6639
■
Suède :
+ (46) 8 579 29007
■
Suisse :
+ (41) 2 23110001
■
Royaume Uni :
+ (44) 20 7744 0367
■
Autres pays :
+ (353) 1 811 8093 (service en anglais uniquement)
Service Clientèle Symantec – Adresse postale
■
Symantec Ltd
Customer Service Centre
Europe, Middle East and Africa (EMEA)
PO Box 5689
Dublin 15
Irlande
En Amérique latine
Symantec dispose d'un support technique et d'un service clientèle internationaux.
Les services varient selon les pays et incluent des partenaires internationaux qui
représentent Symantec dans les régions où il n’y a pas de bureau Symantec. Pour
des informations générales, contactez le service de support de Symantec pour
votre région.
ARGENTINE
■
Pte. Roque Saenz Peña 832 - Piso 6
C1035AAQ,
Ciudad de Buenos Aires
Argentine
Numéro principal: +54 (11) 5811-3225
Site Web: http://www.service.symantec.com/mx
Gold Support: 0800-333-0306
VENEZUELA
■
Avenida Francisco de Miranda. Centro Lido
Torre D. Piso 4, Oficina 40
Urbanización el Rosal
1050, Caracas D.F.
Dong Cheng District
Venezuela
Gold Support: 0800-1-00-2543
COLOMBIA
■
Carrera 18# 86A-14
Oficina 407,
Bogota D.C.
Colombia
BRÉSIL
■
Symantec Brasil
Market Place Tower
Av. Dr. Chucri Zaidan, 920
12° andar
São Paulo - SP
CEP: 04583-904
Brésil, SA
Télécopie: +55 (11) 5189-6210
Site Web: http://www.service.symantec.com/br
Gold Support: 000814-550-4172
CHILE
■
Alfredo Barros Errazuriz 1954
Oficina 1403
Providencia,
Santiago de Chile
Chile
MEXIQUE
■
Boulevard Adolfo Ruiz Cortines 3642 Piso 8,
Colonia Jardines del Pedregal,
01900, Mexico D.F.
Mexico
Gold Support: 001880-232-4615
RESTE DE L'AMÉRIQUE LATINE
■
9155 South Dadeland Blvd.
Suite 1100,
Miami, FL 33156
U.S.A
Gold Support:
Costa Rica: 800-242-9445
Panama: 800-234-4856
Puerto Rico: 800-232-4615
Asie-Pacifique
Symantec dispose d'un support technique et d'un service clientèle internationaux.
Les services varient selon les pays et incluent des partenaires internationaux qui
représentent Symantec dans les régions où il n’y a pas de bureau Symantec. Pour
des informations générales, contactez le service de support de Symantec pour
votre région.
Service et support
AUSTRALIE
■
Symantec Australia
Level 2, 1 Julius Avenue
North Ryde, NSW 2113
Australie
Numéro principal: +61 2 8879 1000
Télécopie: +61 2 8879 1001
Site Web: http://service.symantec.com
Gold Support: 1800 805 834 [email protected]
Admin. contrats de support: 1800 808 089 [email protected]
CHINE
■
Symantec China
Unit 1-4, Level 11,
Tower E3, The Towers, Oriental Plaza
No.1 East Chang An Ave.,
Dong Cheng District
Beijing 100738
Chine P.R.C.
Support technique: +86 10 8518 6923
Télécopie: +86 10 8518 6928
Site Web: http://www.symantec.com.cn
HONG KONG
■
Symantec Hong Kong
Central Plaza
Suite #3006
30th Floor, 18 Harbour Road
Wanchai
Hong Kong
Numéro principal: +852 2528 6206
Support technique: +852 2528 6206
Télécopie: +852 2526 2646
Site Web: http://www.symantec.com.hk
INDE
■
Symantec India
Suite #801
Senteck Centrako
MMTC Building
Bandra Kurla Complex
Bandra (East)
Mumbai 400051, Inde
Support technique: +91 22 652 0671
Télécopie: +91 22 657 0669
Site Web: http://www.symantec.com/india
COREE
■
Symantec Korea
15,16th Floor
Dukmyung B/D
170-9 Samsung-Dong
KangNam-Gu
Seoul 135-741
Corée du Sud
Télécopie: +822 3420 8650
Site Web: http://www.symantec.co.kr
MALAISIE
■
Symantec Corporation (Malaysia) Sdn Bhd
31-3A Jalan SS23/15
Taman S.E.A.
47400 Petaling Jaya
Selangor Darul Ehsan
Malaisie
E-mail société: [email protected]
N° vert société: +1800 805 104
Site Web: http://www.symantec.com.my
NOUVELLE-ZELANDE
■
Symantec New Zealand
Level 5, University of Otago Building
385 Queen Street
Auckland Central 1001
Nouvelle-Zélande
Télécopie: +64 9 375 4101
Site Web de support: http://service.symantec.co.nz
Admin. contrats de support: 0800 445 450 [email protected]
SINGAPOUR
■
Symantec Singapore
6 Battery Road
#22-01/02/03
Singapour 049909
Numéro principal: 1800 470 0730
Télécopie: +65 6239 2001
Support technique: 1800 720 7898
Site Web: http://www.symantec.com.sg
TAIWAN
■
Symantec Taiwan
2F-7, No.188 Sec.5
Nanjing E. Rd.,
105 Taipei
Taïwan
Corporate Support: +886 2 8761 5800
Télécopie: +886 2 2742 2838
Site Web: http://www.symantec.com.tw
L’exactitude des informations contenues dans ce document a fait l’objet de toutes
les attentions. Toutefois, les informations fournies ici sont susceptibles d'être
modifiées sans préavis. Symantec Corporation se réserve le droit d’apporter ces
modifications sans avertissement préalable.
Table des matières
Solutions de service et de support .................................................................. 4
Chapitre 1
Présentation de Symantec Endpoint Protection .......... 21
Présentation de Symantec Endpoint Protection .................................
A propos de Symantec Endpoint Protection .......................................
A propos de la protection contre les menaces réseau .....................
A propos de la protection proactive contre les menaces .................
A propos de la protection antivirus et antispyware .......................
A propos de Symantec ...................................................................
Chapitre 2
Installation de Symantec Endpoint Protection ............. 27
Paramètres d'installation du système ...............................................
Symantec Endpoint Protection Manager, Console et base de
données ..........................................................................
Symantec Endpoint Protection Manager et Console ......................
Console Symantec Endpoint Protection ......................................
Symantec Endpoint Protection .................................................
Présentation du processus d'installation ..........................................
A propos des pare-feux du bureau et des ports de
communications ....................................................................
Installation et configuration de Symantec Endpoint Protection
Manager ...............................................................................
Installer Symantec Endpoint Protection Manager avec une base
de données intégrée ..........................................................
Installation de Symantec Endpoint Protection Manager avec une
base de données Microsoft SQL ...........................................
Ouverture d'une session sur la console Symantec Endpoint Protection
Manager ...............................................................................
Chapitre 3
21
22
23
24
24
25
27
27
29
30
32
34
35
38
41
41
54
Configuration de votre produit après
installation ...................................................................... 57
Configuration de la structure d'organisation et mise à jour du
contenu ................................................................................ 57
Ajout d'un groupe ........................................................................ 58
18
Table des matières
A propos de l'importation de la structure d'organisation .....................
Ajout de clients comme utilisateurs ou ordinateurs ............................
Ajouter un emplacement avec un assistant d'installation .....................
Ajout d'un compte d'administrateur ................................................
A propos des politiques LiveUpdate .................................................
Configuration d'une politique de paramètres LiveUpdate .....................
Configuration d'une politique de contenu LiveUpdate .........................
Chapitre 4
59
59
61
63
64
65
67
Création de politiques ........................................................ 69
A propos des politiques .................................................................
Evaluation des politiques ...............................................................
Ajout d'une politique partagée. .................................................
Affectation d'une politique partagée ..........................................
Mise à jour manuelle du fichier de politiques ...............................
Vérification de la mise à jour des politiques .................................
Configuration et test d'une politique antivirus et antispyware ..............
A propos des politiques antivirus et antispyware .........................
A propos des politiques antivirus et antispyware
préconfigurées ................................................................
Ajouter des analyses planifiées à une politique antivirus et
antispyware ....................................................................
Configurer des actions pour les virus connus et les détections de
risques de sécurité ............................................................
A propos des messages de notification sur les ordinateurs
infectés ..........................................................................
Personnaliser et afficher des notifications sur les ordinateurs
infectés ..........................................................................
Test du fonctionnement de la politique antivirus et
antispyware ....................................................................
A propos des analyses proactives des menaces TruScan ................
A propos de l'utilisation des paramètres par défaut de
Symantec .......................................................................
A propos des processus détectés par les analyses proactives des
menaces TruScan .............................................................
A propos de la gestion des faux positifs détectés par les analyses
proactives des menaces TruScan .........................................
A propos de les processus que les analyses proactives des
menaces TruScan ignorent ................................................
Comprendre les détections proactives des menaces
TruScan .........................................................................
Configuration et test d'une politique de pare-feu ................................
A propos des règles de filtrage ..................................................
69
71
73
74
74
75
75
77
78
79
81
82
83
85
85
86
87
89
91
92
95
96
Table des matières
Création d'une politique de pare-feu pour autoriser ou bloquer
une application ................................................................ 97
Test de la politique de pare-feu ................................................. 99
Configuration et test d'une bibliothèque IPS personnalisée .................. 99
A propos des signatures IPS personnalisées ............................... 100
A propos de la création de signatures IPS personnalisées pour
détecter une tentative de téléchargement de fichiers
MP3 ............................................................................. 102
Création de signatures IPS personnalisées ................................ 104
Test de la signature IPS personnalisée ...................................... 108
Configuration et test d'une politique de contrôle des applications et
des périphériques ................................................................. 109
Créer un ensemble de règles par défaut de contrôle des
applications .................................................................. 110
Création d'un groupe de règles de contrôle de l'application et
ajout d'une nouvelle règle au groupe .................................. 112
A propos du contrôle des périphériques .................................... 120
A propos des périphériques matériels ....................................... 121
Obtention d'un ID de classe ou de périphérique .......................... 122
Ajout d'un périphérique à la liste Périphériques matériels ............ 123
Configuration d'un contrôle des périphériques pour une politique
de contrôle des applications et des périphériques ................. 124
Chapitre 5
Création des paquets d'installation client ................... 125
Création de paquets d'installation client .........................................
A propos des paquets d'installation client .......................................
Configuration des fonctions des paquets d'installation ......................
Configuration des paramètres des paquets d'installation client ...........
Exportation de paquets d'installation client .....................................
Déployer le logiciel client avec l'assistant de déploiement ..................
Chapitre 6
125
126
127
127
128
129
Configuration de l'intégrité de l'hôte pour la
conformité des terminaux client .............................. 131
Configuration et test d'une politique d'intégrité de l'hôte ...................
Ajout des conditions d'intégrité de l'hôte ........................................
Ajout d'une condition de pare-feu pré-définie ..................................
Ajout d'une condition requise personnalisée vérifiant si l'ordinateur
client exécute un progiciel antivirus ........................................
Test du fonctionnement de la politique d'intégrité de l'hôte ................
Exécution d'une vérification de l'intégrité de l'hôte .....................
Affichage des journaux de Network Access Control .....................
Configuration de l'authentification point à point ..............................
131
134
136
137
138
139
140
141
19
20
Table des matières
Chapitre 7
Utilisation des journaux et des rapports pour
contrôler la sécurité .................................................... 145
A propos des journaux et des rapports ............................................
A propos de la page d'accueil de Symantec Endpoint Protection ..........
A propos des journaux .................................................................
A propos des types de journaux, du contenu et des
commandes ...................................................................
Affichage des journaux ................................................................
Affichage des détails des événements dans les journaux ..............
Afficher les journaux d'autres sites ..........................................
Exécuter des commandes et des actions à partir des journaux .............
Utilisation des notifications .........................................................
Affichage et filtrage des informations de notification
administrateur ...............................................................
Directives de seuil pour les notifications d'administrateur ...........
Création des notifications d'administrateur ...............................
A propos de la modification des notifications existantes ..............
Création de rapports rapides ........................................................
145
146
152
152
159
161
161
162
166
166
167
168
173
173
Chapitre
1
Présentation de Symantec
Endpoint Protection
Ce chapitre traite des sujets suivants :
■
Présentation de Symantec Endpoint Protection
■
A propos de Symantec Endpoint Protection
■
A propos de Symantec
Symantec Endpoint Protection assure une protection contre les attaques
sophistiquées qui échappent aux mesures de sécurité traditionnelles, grâce à une
unique solution de sécurité intégrée. Symantec Endpoint Protection sécurise
proactivement les terminaux client contre les menaces connues ou inconnues en
combinant la technologie antivirus avec une prévention avancée des menaces.
Il regroupe au sein d'une même unité, gérée depuis une console de gestion unique,
les technologies de sécurité essentielles suivantes :
■
Antivirus et antispyware
■
Pare-feu de bureau
■
Système de prévention d'intrusion (IPS)
■
Contrôle des applications et des périphériques.
En regroupant une protection de référence au sein d'un paquet unique, il vous
permet d'économiser du temps de travail et du temps système tout en contrôlant
les coûts. Les entreprises peuvent ainsi gérer efficacement la sécurité tout en
augmentant leur confiance dans la protection de leurs ressources et de leurs
opérations.
22
Symantec Endpoint Protection offre les avantages suivants :
■
Augmentation de la sécurité au niveau client.
Plusieurs technologies de sécurité intégrées permettent d'assurer une meilleure
protection pour l'ensemble des clients d'un réseau d'entreprise comprenant
des utilisateurs distants et des ordinateurs portables.
■
Simplification de la gestion.
Plusieurs composants de sécurité disposent d'une gestion centralisée. La gestion
centralisée permet de simplifier la gestion globale de sécurité en fournissant
aux administrateurs une vue détaillée de la sécurité des clients. Cette solution
intégrée comprenant une gestion et une intervention centralisée permet de
proposer aux clients d'entreprise une vue plus détaillée du niveau client. Elle
assure une réaction rapide aux propagations grâce à la récupération et au
déploiement de mises à jour intégrées à partir d'une console de gestion
centralisée.
■
Réduction du délai d'intervention.
Grâce à la gestion centrale des fonctionnalités intégrées antivirus et
antispyware, du pare-feu et de la prévention d'intrusion, les administrateurs
peuvent intervenir rapidement contre des types de menaces de sécurité
multiples.
■
Réduction des frais de maintenance.
L'intervention d'un fournisseur unique pour l'ensemble des composants de
sécurité de niveau client permet de réduire les coûts par rapport à des produits
multiples provenant de fournisseurs différents. Les problèmes d'interopérabilité
sont inexistants, puisque tous les composants Symantec Endpoint Protection
proviennent d'un fournisseur unique et peuvent être installés, mis à jour et
contrôlés depuis le même endroit.
Symantec Endpoint Protection est disponible auprès des fournisseurs d'entreprise
et des distributeurs nationaux du réseau Symantec.
Symantec Endpoint Protection protège les terminaux client contre les menaces
virales et les risques et fournit trois niveaux de protection à vos terminaux client.
Ces niveaux sont respectivement la protection contre les menaces réseau, la
protection proactive contre les menaces et la protection antivirus et antispyware.
Figure 1-1
Couches de protection
Protection contre les
menaces réseau
Protection proactive contre les
menaces
Protection antivirus et
antispyware
La protection contre les menaces réseau protège votre ordinateur contre les
menaces à l'aide de règles et de signatures. La protection proactive contre les
menaces identifie et atténue les menaces basées sur le comportement de la menace.
La protection antivirus et antispyware identifie et atténue les menaces liées à une
tentative d'accès ou à un accès tangible à vos ordinateurs, à l'aide de signatures
créées par Symantec.
A propos de la protection contre les menaces réseau
La protection contre les menaces réseau comprend un pare-feu et un logiciel de
prévention d'intrusion pour protéger vos terminaux client. Le pare-feu prend en
charge les règles développées pour des ports et pour des applications spécifiques
et utilise l'inspection "Stateful" pour l'ensemble du trafic réseau. Par conséquent,
pour tout le trafic réseau initié par le client, il vous suffit de créer une règle
sortante pour prendre en charge ce trafic. L'inspection "Stateful" permet
automatiquement le trafic de retour qui réagit au trafic sortant.
Le pare-feu fournit une prise en charge totale de TCP, UDP, ICMP et tous les
protocoles IP tels qu'ICMP et RSVP. Le pare-feu prend en charge également les
protocoles Ethernet et Token Ring et peut bloquer les pilotes de protocole tels
que VMware et WinPcap. Le pare-feu peut automatiquement identifier le trafic
légitime DNS, DHCP et WINS, vous permettant ainsi d'autoriser ce trafic avec une
case à cocher, sans écrire de règles.
Remarque : Symantec suppose que vous construisez vos règles de filtrage de sorte
que tout le trafic non autorisé est rejeté. Le pare-feu ne prend pas en charge IPv6.
23
24
Le moteur de prévention d'intrusion prend en charge la vérification des analyses
de port et des attaques de refus de service et offre une protection contre des
attaques de dépassement de tampon. Ce moteur prend également en charge le
blocage automatique du trafic malveillant provenant des ordinateurs infectés. Le
moteur de détection d'intrusion prend en charge l'inspection poussée des paquets,
les expressions standard et vous permet de créer des signatures personnalisées.
A propos de la protection proactive contre les menaces
La protection proactive contre les menaces identifie les menaces, telles que les
vers, les virus, les chevaux de Troie et les programmes qui consignent les frappes
de clavier en fonction du comportement des processus sur l'ordinateur. La
protection proactive contre les menaces TruScan identifie ces menaces par leurs
actions et leurs caractéristiques, sans recours aux traditionnelles signatures de
sécurité. La protection proactive contre les menaces analyse le comportement de
la menace en fonction de centaines de modules de détection pour déterminer si
les processus actifs sont sans risques ou malveillants. Cette technologie peut
immédiatement détecter et atténuer les menaces inconnues en fonction de leur
comportement sans les signatures ou correctifs traditionnels.
Sur les systèmes d'exploitation 32 bits pris en charge, la protection proactive
contre les menaces vous permet également de contrôler l'accès en lecture, en
écriture et en exécution aux périphériques matériels, aux fichiers et aux clés de
registre. Au besoin, vous pouvez restreindre le contrôle à des systèmes
d'exploitation pris en charge spécifiques. Vous pouvez également bloquer les
périphériques par ID de classe (par exemple, USB, Bluetooth, infrarouge, FireWire,
série, parallèle, SCSI et PCMCIA).
A propos de la protection antivirus et antispyware
La protection antivirus et antispyware empêche les ordinateurs d'être infectés en
analysant le secteur d'amorçage, la mémoire et les fichiers pour y rechercher des
virus, des logiciels espions et des risques de sécurité. La protection antivirus et
antispyware utilise le virus et les signatures de risque de sécurité qui sont trouvés
dans des fichiers de définitions de virus. Cette protection protège également vos
ordinateurs en bloquant les risques de sécurité avant qu'ils ne soient installés si,
toutefois, ce faisant, les ordinateurs ne sont pas laissés dans un état instable.
La protection antivirus et antispyware inclut Auto-Protect, qui détecte les virus
et les risques de sécurité quand ils essayent d'accéder à la mémoire ou s'installent.
Auto-Protect analyse également les risques de sécurité tels que les logiciels
publicitaires et les logiciels espions. Quand il détecte des risques de sécurité, il
met en quarantaine les fichiers infectés ou supprime et corrige les effets
secondaires des risques de sécurité. Vous pouvez également désactiver l'analyse
des risques de sécurité dans Auto-Protect. Auto-Protect peut réparer les risques
compliqués, tels que les risques engainés en mode utilisateur (rootkits).
Auto-Protect peut également réparer les risques de sécurité persistants qu'il est
difficile de supprimer ou qui se réinstallent eux-mêmes.
La protection antivirus et antispyware inclut également l'analyse Auto-Protect
des programmes de messagerie électronique Internet via le contrôle de tout le
trafic POP3 et SMTP. Vous pouvez configurer la protection antivirus et antispyware
afin d'analyser les messages entrants pour y rechercher des menaces et des risques
de sécurité, ainsi que les messages sortants pour y rechercher des technologies
heuristiques connues. L'analyse des messages sortants permet d'éviter la
propagation des risques tels que les vers qui peuvent utiliser les clients de
messagerie pour se dupliquer à travers un réseau.
Remarque : L'installation d'Auto-Protect pour les programmes de messagerie
électronique Web est bloquée sur les systèmes d'exploitation serveur. Par exemple,
vous ne pouvez pas installer cette fonction sur Windows Server 2003.
Leader mondial dans le domaine des solutions logicielles d'infrastructure,
Symantec permet aux entreprises et aux particuliers d'avoir confiance dans le
monde connecté. Symantec aide ses clients à protéger leurs infrastructures,
informations et interactions en proposant des solutions logicielles et des services
ayant pour but de réduire les risques en matière de sécurité, disponibilité,
conformité et performance. Basée à Cupertino en Californie, Symantec est présente
dans plus de 40 pays à travers le monde. Pour obtenir de plus amples informations,
consultez l'URL suivante :
www.symantec.fr
25
26
Chapitre
2
Installation de Symantec
Endpoint Protection
■
Paramètres d'installation du système
■
Présentation du processus d'installation
■
A propos des pare-feux du bureau et des ports de communications
■
Installation et configuration de Symantec Endpoint Protection Manager
■
Ouverture d'une session sur la console Symantec Endpoint Protection Manager
Les logiciels Symantec nécessitent des protocoles, des systèmes d'exploitation et
leurs Service Packs, des logiciels et des matériels spécifiques. Tous les ordinateurs
sur lesquels vous installez des logiciels Symantec doivent avoir au moins la
configuration système recommandée correspondant au système d'exploitation
utilisé.
Remarque : L'installation dans ou depuis les noms de répertoires contenant des
caractères à deux octets n'est pas prise en charge.
Symantec Endpoint Protection Manager, Console et base de données
Tableau 2-1 énumère les spécifications minimales pour les ordinateurs sur lesquels
Symantec Endpoint Protection Manager, sa console et la base de données seront
installés.
28
Installation de Symantec Endpoint Protection
Tableau 2-1
Symantec Endpoint Protection Manager, Console et base de données
Composant
32 bits
64 bits
Processeur
1 gigahertz Intel Pentium III
1 gigahertz sur x64 est possible uniquement
avec les processeurs suivants :
Intel Xeon avec prise en charge Intel
EM64T
■ Intel Pentium IV avec prise en charge
EM64T
■ AMD 64 bits Opteron
■
■
AMD 64 bits Athlon
Remarque : Itanium n'est pas pris en charge.
Système
d'exploitation
Les systèmes d'exploitation suivants sont pris Les systèmes d'exploitation suivants sont pris
en charge :
en charge :
Windows 2000 Server/Advanced
■ Windows XP Professional x64 Edition avec
Server/Datacenter Server/Small Business
Service Pack 1 ou version ultérieure
Server avec Service Pack 3 ou version
■ Windows Server 2003 Standard x64
ultérieure
Edition/Enterprise x64 Edition/Datacenter
■ Windows XP Professional avec Service
x64 Edition avec Service Pack 1 ou version
pack 1 ou version ultérieure
ultérieure
■
Windows Compute Cluster Server 2003
Remarque : Windows XP prend en charge
■
un nombre limité d'utilisateurs simultanés
si les clients sont en mode "transfert"
(push). Utilisez le mode "extraction" (pull)
sur les serveurs Windows XP pour jusqu'à
100 clients. Pour plus d'informations,
recherchez Symantec Endpoint Protection
Manager 11.x, dépannage des problèmes
de communication sur le site web du
support technique de Symantec.
■
■
Windows Storage Server 2003
Remarque : Si vous utilisez des services de
cluster Microsoft pour le serveur Symantec
Endpoint Protection Manager, vous devez
installer Symantec Endpoint Protection
Manager sur le volume local.
Windows Server 2003 Standard
Edition/Enterprise Edition/Datacenter
Edition/Storage Edition/Web
Edition/Small Business Server
Mémoire
1 Go de RAM minimum (2-4 Go recommandés) 1 Go de RAM minimum (2-4 Go recommandés)
Disque dur
4 Go pour le serveur et 4 Go pour la base de
données.
4 Go pour le serveur et 4 Go pour la base de
données.
Affichage
Super VGA (1.024x768) ou adaptateur vidéo
et écran de résolution supérieure
Composant
32 bits
64 bits
base de données
Symantec Endpoint Protection Manager inclut Symantec Endpoint Protection Manager inclut
une base de données intégrée.
une base de données intégrée.
Vous pouvez également utiliser l'une des
Vous pouvez également décider d'utiliser l'une
versions de Microsoft SQL Server suivantes : des versions suivantes de Microsoft SQL
Server :
■ Microsoft SQL Server 2000 avec Service
Pack 3 ou version ultérieure
■ Microsoft SQL Server 2000 avec service
pack 3 ou supérieur
■ Microsoft SQL Server 2005
■ Microsoft SQL Server 2005
Remarque : Microsoft SQL Server est
Remarque : Microsoft SQL Server est
facultatif.
facultatif.
Autres spécifications Les autres spécifications suivantes doivent
être satisfaites :
Les autres spécifications suivantes doivent
être satisfaites :
Serveur Internet Information Services
■ Serveur Internet Information Services
version 5.0 ou ultérieure, avec services
World Wide Web
World Wide Web
■ Internet Explorer 6.0 ou version ultérieure ■ Internet Explorer 6.0 ou version ultérieure
■
■
Adresse IP statique (recommandé)
■
Symantec Endpoint Protection Manager et Console
Symantec Endpoint Protection Manager et sa console seront installés.
Tableau 2-2
Symantec Endpoint Protection Manager et Console
Composant
32 bits
64 bits
Processeur
Intel Pentium III 1 GHz
EM64T
EM64T
■
■
AMD 64 bits Athlon
29
30
Composant
32 bits
Système
d'exploitation
en charge :
en charge :
Windows 2000 Server/Advanced
Server/Datacenter Server avec Service
Pack 3 ou version ultérieure
■
Windows XP Professional x64 Edition avec
■ Windows Server 2003 Standard x64
ultérieure
■
■ Windows Storage Server 2003
■
64 bits
■
installer le serveur SEPM sur le volume local.
Edition/Web Edition/Small Business
Server
Mémoire
1 Go de RAM minimum (2 Go recommandés) 1 Go de RAM (2 Go recommandés)
Disque dur
2 Go (4 Go recommandés)
2 Go (4 Go recommandés)
Affichage
Autres spécifications Les autres spécifications suivantes doivent
être satisfaites :
Les autres spécifications suivantes doivent
être satisfaites :
Serveur Internet Information Services
■ Serveur Internet Information Services
World Wide Web
World Wide Web
■ Internet Explorer 6.0 ou version ultérieure ■ Internet Explorer 6.0 ou version ultérieure
■
■
■
Console Symantec Endpoint Protection
la console Symantec Endpoint Protection sera installée.
Tableau 2-3
Console Symantec Endpoint Protection
Composant
32 bits
64 bits
Processeur
Intel Pentium III 1 GHz
EM64T
EM64T
■
■
AMD 64 bits Athlon
Système
d'exploitation
en charge :
en charge :
Windows 2000
■ Windows XP Professional x64 Edition avec
Professional/Server/Advanced
Server/Datacenter Server/Small Business ■ Windows Server 2003 Standard x64
ultérieure
ultérieure
■ Windows Compute Cluster Server 2003
■
■
■
Windows Vista (x64)
installer le serveur Symantec Endpoint
Protection Manager sur le volume local.
Server
■ Windows Vista (x86)
■
Mémoire
512 Mo de RAM (1 Go recommandé)
512 Mo de RAM (1 Go recommandé)
Disque dur
15 Mo
15 Mo
Affichage
31
32
Composant
32 bits
Navigateur
■
64 bits
Internet Explorer 6.0 or version ultérieure ■ Internet Explorer 6.0 or version ultérieure
Symantec Endpoint Protection
Symantec Endpoint Protection sera installé.
Tableau 2-4
Composant
32 bits
64 bits
Processeur
Intel Pentium III de 400 MHz (1 gigahertz
pour Windows Vista)
1 gigahertz sur x64 seulement avec les
processeurs suivants :
EM64T
EM64T
■
■
AMD 64 bits Athlon
Composant
32 bits
Système
d'exploitation
en charge :
en charge :
Windows 2000
Professional/Server/Advanced
Server/Datacenter Server/Small Business
ultérieure
■ Windows XP Home Edition/Professional
Edition/Tablet PC Edition/Media Center
Edition
■ Windows Server 2003 Standard
Server
■ Windows Vista (x86) Home Basic
Edition/Home Premium Edition/Business
Edition/Enterprise Edition/Ultimate
Edition
■
■
64 bits
■
Windows XP Professional x64 Edition
■
Windows Server 2003 x64 Edition
■
■
■
Windows Vista Home Basic x64
Edition/Home Premium x64
Edition/Business x64 Edition/Enterprise
x64 Edition/Ultimate x64 Edition
■
Windows Server 2008 Editions
Standard x64, Enterprise x64,
Datacenter x64 ou Web x64 (versions de
base et complète)
Remarque : Si vous utilisez les services de
groupage de Microsoft, vous devez installer
l'ordinateur client sur le volume local.
Edition/Web Edition (versions de base et
complète)
Mémoire
256 Mo de RAM
256 Mo de RAM
Disque dur
600 Mo
700 Mo
Affichage
Autres spécifications Internet Explorer 6.0 or version ultérieure
Les clients Terminal Server connectés à un
ordinateur avec protection antivirus ont les
spécifications supplémentaires suivantes :
Client Microsoft Terminal Server RDP
(Remote Desktop Protocol)
■ Citrix Metaframe (ICA) client 1.8 ou
ultérieur si vous utilisez un serveur Citrix
Metaframe sur Terminal Server
■
Internet Explorer 6.0 ou version ultérieure
33
34
Remarque : L'assistant de déploiement ne vérifie pas si Internet Explorer 6.0 ou
version ultérieure est installé sur les ordinateurs en cas de nécessité. Si les
ordinateurs cibles ne sont pas dotés de la version correcte d'Internet Explorer,
l'installation échoue sans vous en informer.
Le Guide d'installation de Symantec Endpoint Protection et de Symantec Network
Access Control contient des informations détaillées sur chaque étape de
l'installation.
Tableau 2-5 récapitule le processus d'installation de Symantec Endpoint Protection.
Tableau 2-5
Procédure
Vue d'ensemble de l'installation
Description
Installer Symantec Endpoint Choisissez l'ordinateur sur lequel vous voulez installer le logiciel et le type de base
Protection Manager
de données que vous voulez utiliser. Ensuite, exécutez le programme d'installation
du CD. Le programme installe d'abord le logiciel du gestionnaire. Ensuite, il installe
et configure la base de données.
Se reporter à "Installation et configuration de Symantec Endpoint Protection Manager"
à la page 38.
Créez un paquet
d'installation du client
Pour votre environnement de test, vous pouvez créer et installer les paquets par
défaut du logiciel client. Ces clients sont attribués au groupe Temporaire et utilisent
les politiques par défaut.
S'il y a un grand nombre d'ordinateurs dans votre environnement de production,
vous pouvez commencer par créer des politiques de sécurité personnalisées. Vous
pouvez ensuite créer des paquets d'installation du client avant d'effectuer le
déploiement vers les clients.
A la fin de la configuration de la base de données, il vous est demandé si vous voulez
exécuter l'assistant de migration et de déploiement. Cet assistant crée, puis distribue
un paquet d'installation par défaut du logiciel client.
Se reporter à "Création de paquets d'installation client" à la page 125.
Déployer le logiciel client
Choisissez comment vous voulez déployer le logiciel client. Vous pouvez déployer le
logiciel client de plusieurs manières différentes. Pour plus de facilité, vous pouvez
utiliser l'assistant de migration et de déploiement après avoir installé le gestionnaire
pour déployer la protection par défaut. Vous pouvez également utiliser l'assistant de
migration et de déploiement à partir du menu Démarrer à tout moment.
Procédure
Description
Connexion à la console
Symantec Endpoint
Protection Manager
Pour ouvrir une session, vous pouvez utiliser le menu Démarrer et le nom d'utilisateur
admin, avec le mot de passe que vous avez défini pendant l'installation.
Rechercher votre groupe
dans la Console
A la page Clients, le groupe que vous avez créé lors de l'installation s'affiche sous
Afficher les clients.
Se reporter à "Ouverture d'une session sur la console Symantec Endpoint Protection
Manager" à la page 54.
Configurer LiveUpdate pour Vous devez configurer les propriétés de LiveUpdate pour le site que vous avez installé.
des mises à jour de site
Se reporter à "A propos des politiques LiveUpdate" à la page 64.
Configurer LiveUpdate pour Après avoir configuré le site, vous devez configurer une politique de paramètres
les mises à jour client
LiveUpdate et une politique de contenu LiveUpdate pour vos clients.
Configurer les politiques de
sécurité et de test de
Symantec Endpoint
Protection
Au minimum, vous devez configurer et tester une politique antivirus et antispyware
pour vos clients. Vous pouvez également configurer une politique de pare-feu et des
politiques pour les autres types de protection.
Se reporter à "Evaluation des politiques" à la page 71.
A propos des pare-feux du bureau et des ports de
communications
Si vos serveurs et vos clients exécutent le logiciel pare-feu, vous devez ouvrir
certains ports de sorte que la communication entre les serveurs de gestion et les
clients soit possible. Vous pouvez également autoriser l'application Rtvscan.exe
sur tous les ordinateurs à envoyer et recevoir le trafic par vos pare-feu. De surcroît,
les outils d'installation à distance des logiciels serveur et client nécessitent
l'ouverture du port TCP 139.
Remarque : Les serveurs de gestion et les clients utilisent l'intervalle par défaut
de port temporaire pour TCP (1024 à 65535) pour les communications réseau.
L'intervalle de port temporaire utilisé dépasse toutefois très rarement 5 000. Cette
valeur est configurable pour la plupart des systèmes d'exploitation. La plupart
des pare-feu utilisent une inspection Stateful lors du filtrage du trafic TCP : les
réponses TCP entrantes sont autorisées automatiquement et routées jusqu'au
demandeur d'origine. Vous n'avez donc pas à ouvrir les ports TCP temporaires
lorsque vous configurez votre logiciel pare-feu.
35
36
Tableau 2-6 répertorie les protocoles et les ports réseau nécessaires aux clients
et serveurs pour les communications et les installations réseau.
Tableau 2-6
Ports pour l'installation et les communications des clients et des
serveurs
Fonction
Composant
Protocole et port
Déploiement
d'Assistant de
déploiement
Managers et clients de Symantec TCP 139 et 445 sur les
Endpoint Protection
managers et les clients
UDP 137 et 138 sur des
managers et des clients
Ports temporaires TCP sur des
serveurs et des clients
Audit réseau
Managers et clients de Symantec TCP 139 et 445 sur les
Endpoint Protection
managers
clients
Communication de
fournisseur de mise à
jour de groupe
Managers et fournisseurs de mise TCP 2967 sur tous les
à jour de groupe de Symantec
périphériques
Endpoint Protection
Remarque : Ce port est le
Fournisseurs de mise à jour de
groupe et clients
Communications
générales
paramètre par défaut, qui peut
être modifié.
Managers et clients de Symantec TCP 80 sur des managers
Endpoint Protection
clients
Remarque : Le port 80 peut
également être modifié en TCP
443 (HTTPS).
Communications
générales
Consoles Symantec Endpoint
TCP 8443 sur des managers
Protection Manager distantes et
Ports temporaires TCP et 9090
managers de Symantec Endpoint
sur des Consoles
Protection
Remarque : Ce numéro de port
est configurable.
Communication de
réplication
Site à site entre les serveurs de
base de données
TCP 8443 entre les serveurs de
base de données
Fonction
Composant
Protocole et port
Installation distante de
Console Symantec
Endpoint Protection
Manager
Manager et Console Symantec
Endpoint Protection Manager
distante
TCP 9090 sur les managers
distants
Ports temporaires TCP sur les
consoles distantes
Remarque : Ce numéro de port
est configurable.
Communication
externe de base de
données
Serveurs distants de Microsoft
SQL et managers de Symantec
Endpoint Protection
TCP 1433 sur les serveurs
distants de Microsoft SQL
managers
Remarque : Le port 1433 est
le port par défaut.
communication de
Symantec Network
Access Control
Enforcer
Manager et Enforcer
TCP 1812 sur des managers
boîtiers Enforcer
Remarque : Les serveurs
RADIUS utilisent également le
port 1812. N'installez donc pas
Manager sur le même serveur.
Ce port ne peut pas être
configuré sur Symantec
Endpoint Protection Manager.
Assistant de migration Symantec Endpoint Protection
et de déploiement
Manager et serveurs de gestion
hérités de Symantec
TCP 139, TCP 445, ports
temporaires TCP et UDP 137
sur les gestionnaires
TCP 139, TCP 445, ports
temporaires TCP, et UDP 137
sur les serveurs de gestion
hérités de Symantec
LiveUpdate
Clients LiveUpdate et serveurs
clients
TCP 80 sur des serveurs
LiveUpdate
37
38
Installation et configuration de Symantec Endpoint
Protection Manager
L'installation du logiciel de gestion pour la première fois comporte deux parties.
La première partie installe Symantec Endpoint Protection Manager. La deuxième
partie installe et configure la base de données Symantec Endpoint Protection
Manager. Dans la première, vous pouvez accepter tous les paramètres par défaut.
Dans la deuxième partie, vous devez sélectionner le type de configuration de
Symantec Endpoint Protection Manager, Simple ou Avancée, en fonction du
nombre de clients pris en charge par le serveur. La configuration simple, conçue
pour un serveur prenant en charge moins de 100 clients, crée automatiquement
une base de données incorporée et applique les valeurs par défaut à la plupart des
paramètres, avec une intervention minime de votre part. La configuration avancée,
destinée aux administrateurs d'environnements plus importants, vous permet de
définir des paramètres spécifiques à votre environnement.
Remarque : Le logiciel de gestion n'inclut ni Symantec Endpoint Protection, ni
aucun autre logiciel client géré.
Pour installer Symantec Endpoint Protection Manager
1
Insérer le CD d'installation et démarrez l'installation si elle ne démarre pas
automatiquement.
2
Dans la fenêtre Bienvenue, effectuez l'une des opérations suivantes :
■
Pour installer Symantec Endpoint Protection, cliquez sur Installer
Symantec Endpoint Protection Manager.
■
Pour installer Symantec Network Access Control, cliquez sur
InstallerSymantec Network Access Control, puis cliquez sur Installer
Symantec Endpoint Protection Manager sur le panneau suivant.
3
Dans l'écran d'accueil, cliquez sur Suivant.
4
Dans l'écran du contrat de licence, acceptez les termes du contrat de licence,
puis cliquez sur Suivant.
5
Dans le panneau Dossier de destination, acceptez ou modifiez le répertoire
d'installation.
6
Effectuez l'une des opérations suivantes :
■
Pour permettre au serveur Web IIS de Symantec Endpoint Protection
Manager de s'exécuter avec d'autres serveurs Web sur cet ordinateur,
sélectionnez l'option Utiliser le site Web par défaut, puis cliquez sur
Suivant.
■
Pour configurer le Web IIS de Symantec Endpoint Protection Manageren
tant que seul serveur Web sur cet ordinateur, cochez l'option Créer un
site Web personnalisé, puis cliquez sur Suivant.
7
Dans le panneau Prêt pour l'installation, cliquez sur Installer.
8
Quand l'installation se termine et que le panneau Assistant d'installation
terminé apparaît, cliquez sur Terminer
Attendez que le panneau Assistant de configuration de serveur de gestion
apparaisse, ce qui peut prendre 15 secondes supplémentaires. Effectuez les
étapes de la section suivante en fonction du type de configuration que vous
avez sélectionné, Simple ou Avancée.
Pour configurer Symantec Endpoint Protection Manager en mode simple
1
Dans le volet Assistant de configuration de serveur de gestion, sélectionnez
Simple et cliquez sur Suivant.
Une vérification de système est effectuée pour déterminer si le système répond
aux exigences minimales en matière de mémoire disponible et d'espace disque.
Si ce n'est pas le cas, une boîte de dialogue d'avertissement s'affiche, indiquant
que le serveur risque de ne pas fonctionner comme prévu avec les ressources
disponibles. Vous pouvez choisir de continuer ou d'annuler la configuration.
2
Spécifiez et confirment un mot de passe (de 6 caractères ou plus). Vous pouvez
fournir une adresse électronique (facultatif).
Le mot de passe spécifié est utilisé pour le compte "admin" de Symantec
Endpoint Protection Manager et représente le mot de passe de chiffrement
nécessaire à la récupération d'urgence. Après l'installation, le mot de passe
de chiffrement ne change pas, même si le mot de passe du compte d'admin
est modifié.
Notez ce mot de passe lors de l'installation de Symantec Endpoint Protection
dans votre environnement de production. Il est nécessaire pour la récupération
d'urgence et pour l'ajout de matériel Enforcer facultatif.
Symantec Endpoint Protection Manager envoie des messages d'avertissement
et de notification à l'adresse électronique que vous fournissez.
3
Cliquez sur Suivant.
4
Le panneau Résumé de la configuration affiche les valeurs utilisées pour
installer Symantec Endpoint Protection Manager. Vous pouvez imprimer une
copie des paramètres de maintenance de vos enregistrements ou cliquez sur
Suivant pour démarrer l'installation.
39
40
Pour configurer Symantec Endpoint Protection Manager en mode Avancé
1
Dans le volet Assistant de configuration de serveur de gestion, sélectionnez
Avancée et cliquez sur Suivant.
2
Sélectionnez le nombre de clients que vous souhaitez faire gérer par ce
serveur, puis cliquez sur Suivant.
Une vérification de système est effectuée pour déterminer si le système répond
aux exigences minimales en matière de mémoire disponible et d'espace disque.
Si ce n'est pas le cas, une boîte de dialogue d'avertissement s'affiche, indiquant
que le serveur risque de ne pas fonctionner comme prévu avec les ressources
disponibles. Vous pouvez choisir de continuer ou d'annuler la configuration.
3
Dans le panneau Type de site, sélectionnez Installer mon premier site et
cliquez sur Suivant.
4
Dans le panneau Informations du serveur, acceptez ou modifiez les valeurs
par défaut pour les zones de texte suivantes, puis cliquez sur Suivant :
■
Nom du serveur
■
Port du serveur
■
Port de console Web
■
Dossier de données de serveur
5
Dans le panneau Nom du site, dans la zone Nom du site, entrez votre nom de
site, puis cliquez sur Suivant.
6
Dans le panneau Mot de passe de chiffrement, tapez une valeur dans les deux
zones de texte, puis cliquez sur Suivant.
Conservez ce mot de passe quand vous installez Symantec Endpoint Protection
dans votre environnement de production. Vous en avez besoin pour la
récupération d'urgence et pour ajouter le matériel facultatif d'Enforcer.
7
Dans le panneau Choix du serveur de base de données, sélectionnez Base de
données intégrée, puis cliquez sur Suivant.
8
Dans panneau d'utilisateur "admin", dans les zones de mot de passe, tapez
un mot de passe pour que le compte "admin" se connecte à la console. Vous
pouvez fournir une adresse électronique (facultatif).
Symantec Endpoint Protection Manager envoie des messages d'avertissement
et de notification à l'adresse électronique spécifiée.
Lorsque l'installation se termine, vous avez la possibilité de déployer le logiciel
client à l'aide de l'assistant de migration et de déploiement. Si vous ne déployez
pas le logiciel client pour l'instant, consultez le chapitre Installation du client
pour obtenir des détails sur la façon d'installer le logiciel client. Ouvrez une
session sur la Console avec le nom d'utilisateur et le mot de passe que vous
avez entrés ici.
9
Cliquez sur Next.
Installer Symantec Endpoint Protection Manager avec une base de
données intégrée
Installer avec la base de données intégrée est le moyen le plus facile d'installer
Symantec Endpoint Protection Manager. La base de données intégrée peut prendre
en charge jusqu'à 5 000 clients.
Lorsque vous aurez installé Symantec Endpoint Protection Manager et
commencerez à vous familiariser avec les tâches administratives, vous devrez
sécuriser vos fichiers de chiffrement dans l'éventualité d'une récupération
d'urgence. Vous devez également documenter le mot de passe de chiffrement que
vous avez saisi pendant Symantec Endpoint Protection Manager l'installation.
Installation de Symantec Endpoint Protection Manager avec une base
de données Microsoft SQL
Vous pouvez installer Symantec Endpoint Protection Manager sur l'ordinateur
qui exécute Microsoft SQL Server 2000/2005, puis créer une base de données sur
le serveur SQL local. Vous pouvez également installer Symantec Endpoint
Protection Manager sur un ordinateur qui n'exécute pas Microsoft SQL Server
2000/2005, puis créez une base de données sur le serveur SQL distant. Dans les
deux cas, vous devez correctement installer et configurer les composants de
Microsoft SQL Server sur tous les ordinateurs.
Remarque : Microsoft SQL Server 2000 est pris en charge sur les systèmes
d'exploitation Windows en langue anglaise seulement.
41
42
Préparation de Microsoft SQL Server 2000/2005 pour la
création de la base de données
Avant de créer la base de données, il est recommandé d'installer une nouvelle
instance de SQL Server respectant la configuration recommandée par Symantec
pour l'installation et la configuration. Vous pouvez installer une base de données
dans une instance existante, mais cette instance doit être configurée correctement,
sinon l'installation de votre base de données échoue. Par exemple, si
l'authentification n'est pas configurée en mode mixte, l'installation échoue ou ne
fonctionne pas correctement. Si vous sélectionnez une collecte SQL sensible à la
casse, l'installation échoue.
Avertissement : Symantec Endpoint Protection Manager s'authentifie auprès de
Microsoft SQL Server avec un nom d'utilisateur et un mot de passe de propriétaire
de base de données en texte clair. Si vous installez et communiquez avec un
Microsoft SQL Server distant, n'importe quel ordinateur du chemin de
communications peut potentiellement capturer ce nom d'utilisateur et ce mot de
passe avec un utilitaire de capture de paquet. Pour maximiser la politique de
sécurité des communications distantes de Microsoft SQL Server, placez les deux
serveurs dans un sous-réseau sécurisé.
Un sous-réseau sécurisé isole les communications réseau entre les serveurs de ce
sous-réseau seulement. Un sous-réseau sécurisé est généralement placé derrière
un périphérique réseau qui effectue la traduction d'adresse réseau (NAT). Un
grand nombre de routeurs peu coûteux modernes qui exécutent des affectations
d'adresses DHCP effectuent également la traduction d'adresse réseau. Un
sous-réseau sécurisé est également sécurisé physiquement, de sorte que seulement
le personnel autorisé l'ait accès physique aux périphériques réseau sur ce
sous-réseau.
Paramètres d'installation et de configuration de Microsoft SQL Server 2000
Les paramètres d'installation et de configuration affectent toutes les installations
de Microsoft SQL Server 2000, locales et distantes. Pour créer une base de données
sur un serveur SQL distant, vous devez également installer les composants client
SQL Server sur le serveur qui exécute Symantec Endpoint Protection Manager.
Paramètres d'installation de Microsoft SQL Server 2000
Lorsque vous installez l'instance de Microsoft SQL Server 2000, choisissez les
fonctions suivantes non configurées par défaut :
■
N'acceptez pas le nom d'instance par défaut. Utilisez le nom SEPM ou définissez
un autre nom.
Une base de données portant le nom Sem5 est créée par défaut dans cette
instance quand vous installez Symantec Endpoint Protection Manager.
L'instance par défaut est prise en charge, sans nom, mais peut être source de
confusion si vous installez plusieurs instances sur un ordinateur.
■
Configurez l'authentification sur le mode mixte (authentification Windows et
configuration SQL Server).
■
Définissez le mot de passe du compte sa lorsque vous configurez
l'authentification sur le mode mixte. Vous spécifiez ce mot de passe quand
vous installez Symantec Endpoint Protection Manager.
Remarque : Lorsque vous installez l'instance de Microsoft SQL Server, ne
sélectionnez pas la collecte SQL sensible à la casse. La base de données de
notification ne prend pas en charge la sensibilité à la casse.
Configuration requise pour Microsoft SQL Server 2000
Après avoir installé l'instance de Microsoft SQL Server 2000, vous devez effectuer
les opérations suivantes :
■
Appliquez le Service Pack 4 de SQL Server et choisissez l'authentification SQL
Server.
■
Dans Enterprise Manager, enregistrez l'instance, cliquez dessus avec le bouton
droit de la souris et modifiez les propriétés d'enregistrement pour utiliser
l'authentification SQL Server.
■
Après avoir effectuée ces modifications, lorsque cela vous est proposé,
déconnectez-vous du serveur.
■
Cliquez avec le bouton droit de la souris sur l'instance et connectez-vous au
serveur.
■
Utilisez l'utilitaire réseau de SQL Server pour vérifier que TCP/IP fait partie
des protocoles activés. Si ce protocole n'est pas activé, activez-le.
■
Vérifiez que l'agent de SQL Server s'exécute et démarrez-le s'il ne s'exécute
pas.
Installation et configuration des composants du client Microsoft SQL Server
2000
Vous installez et configurez les composants client Microsoft SQL Server 2000 sur
l'ordinateur qui exécute ou exécutera Symantec Endpoint Protection Manager.
43
44
Pour installer les composants du client Microsoft SQL Server 2000
1
Lancez le CD d'installation de Microsoft SQL Server 2000 et commencez
l'installation.
2
Dans la fenêtre de définition de l'installation, cliquez sur Outils client
uniquement.
3
Terminez l'installation.
Pour configurer les composants du client Microsoft SQL Server 2000
1
Cliquez sur Démarrer > Programmes > Microsoft SQL Server > Utilitaire
réseau client.
2
Dans la boîte de dialogue de l'utilitaire réseau client de SQL Server, dans
l'onglet Général, vérifiez que TCP/IP fait partie des protocoles activés. Si ce
protocole n'est pas activé, activez-le.
3
Cliquez avec le bouton droit de la souris sur TCP/IP, puis cliquez sur
Propriétés.
4
Dans la boîte de dialogue TCP/IP, dans la zone Port par défaut, tapez le numéro
de port qui correspond au port est utilisé par l'instance de Microsoft SQL
Server 2000.
Le port par défaut est en général 1433. Vous spécifiez ce numéro de port
quand vous créez la base de données.
5
Cliquez sur OK, puis quittez l'utilitaire réseau client de SQL Server.
Paramètres d'installation et de configuration de Microsoft SQL Server 2005
Les paramètres d'installation et de configuration affectent toutes les installations
de Microsoft SQL Server 2005, locales et distantes. Si vous créez une base de
données sur un serveur SQL distant, vous devez également installer les composants
client SQL Server sur le serveur qui exécute Symantec Endpoint Protection
Manager.
Paramètres d'installation de Microsoft SQL Server 2005
Lorsque vous installez l'instance de Microsoft SQL Server 2005, vous devez choisir
les fonctions suivantes non configurées par défaut :
■
N'acceptez pas le nom d'instance par défaut. Utilisez le nom SEPM ou définissez
un autre nom.
Une base de données portant le nom Sem5 est créée par défaut dans cette
instance quand vous installez Symantec Endpoint Protection Manager.
L'instance par défaut est prise en charge, sans nom, mais peut être source de
confusion si vous installez plusieurs instances sur un ordinateur.
■
Configurez l'authentification sur le mode mixte (authentification Windows et
configuration SQL Server).
■
Définissez le mot de passe du compte sa lorsque vous configurez
l'authentification sur le mode mixte. Vous spécifiez ce mot de passe quand
vous installez Symantec Endpoint Protection Manager.
■
Quand vous configurez des comptes de service, choisissez de démarrer le
navigateur de SQL Server à la fin de l'installation.
Remarque : Lorsque vous installez l'instance de Microsoft SQL Server, ne
sélectionnez pas la collecte SQL sensible à la casse. La base de données ne prend
pas en charge la sensibilité à la casse.
Configuration requise pour Microsoft SQL Server 2005
Après avoir installé l'instance de Microsoft SQL Server 2005, appliquez le Service
pack 2 de SQL Server 2005 et sélectionnez l'authentification avec les informations
d'authentification de SQL server. Puis, utilisez SQL Server Configuration Manager
pour faire ce qui suit :
■
Affichez les protocoles de la configuration réseau de SQL Server 2005.
■
Affichez les propriétés pour le protocole TCP/IP et activez-le.
■
Affichez les adresses IP pour TCP/IP et activez les adresses IP1 et IP2.
■
Configurez les numéros de port TCP/IP pour IP1, IP2 et PALL.
La base de données Symantec Endpoint Protection Manager ne prend pas en
charge les ports dynamiques. En conséquence, définissez les ports dynamiques
de TCP sur vide et spécifiez un numéro de port TCP. Le paramètre par défaut
est en général 1433. Vous spécifiez ce numéro de port quand vous créez la base
de données.
■
Redémarrez le service SQL Server.
Si vous n'avez pas choisi de démarrer le navigateur SQL pendant l'installation,
votre installation à distance échoue. Si vous n'avez pas choisi cette option pendant
l'installation, utilisez l'utilitaire de configuration de zone SQL Server pour effectuez
les opérations suivantes :
■
Affichez la configuration de la zone pour les informations des services et des
connexions.
■
Activez le service du navigateur SQL Server.
Si ce service n'est pas activé, les ordinateurs clients ne peuvent pas
communiquer avec le serveur.
45
46
■
Vérifiez que les connexions locales et distantes sont activées pour TCP/IP
uniquement.
Les canaux nommés ne sont pas requis.
Installation et configuration des composants du client Microsoft SQL Server
2005
Vous installez les composants client Microsoft SQL Server 2005 sur l'ordinateur
qui exécute Symantec Endpoint Protection Manager.
Remarque : Vous devez installer les composants client sur un ordinateur qui
exécute Windows Server 2003. L'installation du composant client requiert MDAC
2.8 Service Pack 1 ou ultérieur, Windows Installer 3.1 et Internet Explorer 6.0
Service Pack ou ultérieur.
Pour installer les composants du client Microsoft SQL Server 2005
1
Lancez le CD d'installation de Microsoft SQL Server 2005 et commencez
l'installation.
2
Dans la fenêtre initiale, cliquez sur Composants serveur, outils,
documentations en ligne et exemples.
3
Poursuivez l'installation jusqu'à ce que le système vous demande de choisir
les composants à installer.
4
Dans la boîte de dialogue Composants à installer, cliquez sur Avancé.
5
Dans le volet de gauche, développez Composants client.
6
Cliquez sur Composants client et sélectionnez Cette fonction sera installée
sur le disque dur local.
7
Cliquez sur les fonctions des composants client Composants de connectivité
et Outils de gestion, puis sélectionnez Cette fonction sera installée sur le
disque dur local.
8
Terminez l'installation.
Pour configurer les composants du client Microsoft SQL Server 2005
1
Cliquez sur Démarrer > Programmes > Microsoft SQL Server 2005 > Outils
de configuration > Gestionnaire de configuration de SQL Server.
2
Sous Configuration de client natif SQL, cliquez sur Protocoles client, cliquez
avec le bouton droit de la souris sur TCP/IP, puis cliquez sur Propriétés.
3
Dans la zone Port par défaut, tapez le numéro de port qui correspond au port
qui est utilisé par l'instance de Microsoft SQL Server 2005.
Le port par défaut est en général 1433. Vous spécifiez ce numéro de port
quand vous créez la base de données.
4
Cliquez sur Appliquer > OK.
Conditions SQL Server requises pour l'installation de Symantec
L'installation de Symantec Endpoint Protection Manager avec une base de données
Microsoft SQL Server nécessite une configuration spécifique de SQL Server.
Symantec Endpoint Protection Manager permet une installation avec une base
de données locale ou distante.
Le Tableau 2-7 décrit les paramètres de configuration de SQL Server nécessaires
pour Symantec Endpoint Protection Manager.
Tableau 2-7
Configuration requise pour SQL Server
Paramètre de configuration
Condition d'installation pour Symantec
Nom d'instance
Ne pas utiliser le nom par défaut. Créer un
nom tel que SEPM.
Une base de données portant le nom Sem5
est créée par défaut dans l'instance SQL
Server lors de l'installation de Symantec
Endpoint Protection Manager. L'instance par
défaut est anonyme. Elle est prise en charge,
mais peut porter à confusion si plusieurs
instances sont installées sur un ordinateur.
Configuration d'authentification
Mode mixte
mot de passe du compte sa
Ce mot de passe doit être défini pour
l'authentification en mode mixte.
Authentification
Authentification SQL Server
Protocole activé
TCP/IP
Adresses IP pour TCP/IP (SQL Server 2005
uniquement)
Activer IP1 et IP2
47
48
Paramètre de configuration
Condition d'installation pour Symantec
Numéros de port TCP/IP pour IP1, IP2 et
PALL (SQL Server 2005 uniquement)
Définir les ports TCP dynamiques sur vide
et spécifier un numéro de port TCP. Le
paramètre par défaut est en général 1433.
Ce numéro de port est spécifié lors de la
création de la base de données.
La base de données Symantec Endpoint
Protection Manager ne prend pas en charge
les ports dynamiques.
Service de navigateur de SQL Server (SQL
Server 2005 uniquement)
Doit être démarré.
Si votre base de données se trouve sur un serveur distant, vous devez également
installer les composants client de SQL Server sur l'ordinateur qui exécute Symantec
Endpoint Protection Manager.
Pendant Symantec Endpoint Protection Manager l'installation, vous décidez
quelles valeurs de base de données vous souhaitez définir. Vous devez déterminer
ces valeurs avant de commencer l'installation.
Le Tableau 2-8 répertorie et décrit ces paramètres et les valeurs possibles.
Tableau 2-8
Paramètres d'installation de Symantec Endpoint Protection Manager
avec une base de données SQL Server.
Paramètre
Par défaut
Description
Options de
configuration de site
Web de Sélection IIS
Utiliser le site Web par défaut ■ Utiliser le site Web par défaut
Installe l'application Web IIS de Symantec Endpoint
Protection sur le site Web IIS par défaut et fonctionne
avec toute autre application Web installée sur le site
Web.
■ Créer un site Web personnalisé
Désactive le site Web IIS par défaut et crée un serveur
Web Symantec pour Symantec Endpoint Protection
Manager.
Nom du serveur
nom de l'hôte local
Nom de l'ordinateur qui exécute Symantec Endpoint
Protection Manager.
Port du serveur
8443
Numéro de port sur lequel le serveur Symantec Endpoint
Protection Manager écoute.
Port de la console Web 9090
Port HTTP utilisé pour la connexion de consoles distantes
Paramètre
Par défaut
Description
Dossier de données de C:\Program Files\Symantec
serveur
Endpoint Protection
Manager\data
Répertoire dans lequel Symantec Endpoint Protection
Manager place les fichiers de données, dont les fichiers de
sauvegarde, les fichiers de réplication et d'autres fichiers
Symantec Endpoint Protection Manager. L'installateur crée
ce répertoire s'il n'existe pas.
Nom du site
Site nom d'hôte local
Nom de site du conteneur de plus haut niveau sous lequel
toutes les fonctions sont configurées et s'exécutent avec
Mot de passe de
chiffrement
Aucun
Mot de passe qui chiffre la communication entre Symantec
Endpoint Protection Manager, les clients et les boîtiers
Enforcer facultatifs. Le mot de passe peut comporter 1-32
caractères alphanumériques et il est obligatoire.
Documentez ce mot de passe et conservez-le en lieu sûr.
Vous ne pouvez pas modifier ou récupérer le mot de passe
après avoir créé la base de données. Vous devez également
entrer ce mot de passe pour la récupération d'urgence si
vous n'avez pas de base de données sauvegardée à
restaurer.
Serveur de base de
données
nom de l'hôte local
Nom du serveur Microsoft SQL et nom facultatif d'instance.
Si le serveur de base de données a été installé avec
l'instance par défaut, qui n'est pas un nom, tapez nom
d'hôte ou l'adresse IP de l'hôte. Si le serveur de base de
données a été installé avec une instance nommée, tapez
nom d'hôte\nom_instance ou adresse IP\nom_instance. La
saisie du nom d'hôte ne fonctionne que lorsque le DNS a
été configuré correctement.
Si vous effectuez l'installation sur un serveur de base de
données à distance, vous devez d'abord installer les
composants clients de SQL Server sur l'ordinateur qui
exécute Symantec Endpoint Protection Manager.
Port du serveur SQL
1433
Port d'envoi et de réception du trafic configuré pour
l'ordinateur exécutant SQL Server.
Le port 0, utilisé pour spécifier un port aléatoire et négocié,
n'est pas pris en charge.
Nom de la base de
données
sem5
Nom de la base de données créée.
49
50
Paramètre
Par défaut
Description
Utilisateur
sem5
Nom du compte utilisateur qui est créé pour la base de
données. Ce compte utilisateur a un niveau d'accès standard
en lecture et en écriture. Le nom peut être une combinaison
de valeurs alphanumériques et des caractères spéciaux
~#%_+=|:./. Les caractères spéciaux
'!@$^&*()-{}[]\\<;>,? ne sont pas autorisés. Les noms
suivants sont également interdits : sysadmin, server admin,
setupadmin, securityadmin, processadmin, dbcreator,
diskadmin, bulkadmin.
Mot de passe
Aucun
Mot de passe à associer au compte utilisateur de la base de
données. Le nom peut être une combinaison de valeurs
alphanumériques et de caractères spéciaux ~#%_+=|:./.
Les caractères spéciaux '!@$^&*()-{}[]\\<;>,? ne
sont pas autorisés.
Dossier Client SQL
C:\Program Files\Microsoft
SQL Server\80\Tools\Binn
Emplacement du répertoire utilitaire Client SQL local qui
contient bcp.exe.
Si vous créez une base de données sur SQL Server 2005, le
répertoire numérique par défaut est 90. Le chemin par
défaut complet est C:\Program Files\Microsoft SQL
Server\90\Tools\Binn
Utilisateur
Administrateur de
base de données
Aucun
Nom du compte administrateur du serveur de base de
données, qui est typiquement SA.
Mot de passe de
l'administrateur de
base de données
Aucun
Nom du mot de passe associé au compte de l'utilisateur de
base de données.
Paramètre
Par défaut
Description
Dossier des données de Automatiquement détecté
la base de données
après avoir cliqué sur Par
défaut
Emplacement du répertoire des données SQL Server. Si
vous effectuez l'installation sur un serveur distant,
l'identifiant du volume doit correspondre à l'identifiant du
serveur distant. Si vous installez sur une instance nommée
SQL Server 2000 : C:\Program
de SQL Server 2000, le nom d'instance est ajouté à MSSQL
Files\Microsoft SQL
avec un signe dollar comme dans \MSSQL$nom
Server\MSSQL\Data
d'instance\Data. Si vous installez sur une instance nommée
SQL Server 2005 : C:\Program sur SQL Server 2005, le nom d'instance est ajouté à MSSQL
Files\Microsoft SQL
avec un identificateur numérique à point comme dans
Server\MSSQL.1\MSSQL\Data \MSSQL.1\MSSQL\Data.
Remarque : Cliquer sur Par défaut affiche le répertoire
d'installation correct, si vous avez entré le serveur de base
de données et le nom de l'instance correctement. Si vous
cliquez sur Par défaut et si le répertoire d'installation
correct n'apparaît pas, votre création de base de données
échoue.
Nom de l'utilisateur
admin
admin
Nom de l'utilisateur par défaut utilisé pour la première
connexion à la Console Symantec Endpoint Protection
Manager.
(non modifiable)
Mot de passe Admin
Aucun
Mot de passe spécifié pendant la configuration du serveur
et qui devra être utilisé avec le nom d'utilisateur admin.
Installation de Symantec Endpoint Protection Manager avec
une base de données SQL Server
Vous pouvez installer Symantec Endpoint Protection Manager sur l'ordinateur
qui exécute Microsoft SQL Server, puis créer une base de données sur le serveur
SQL local. Vous pouvez également installer Symantec Endpoint Protection Manager
sur un ordinateur qui n'exécute pas SQL Server, puis créer une base de données
sur un ordinateur distant exécutant SQL Server. Dans les deux cas, assurez-vous
de la bonne configuration des composants SQL Server appropriés sur chaque
ordinateur.
Se reporter à "Conditions SQL Server requises pour l'installation de Symantec
Endpoint Protection Manager" à la page 47.
Remarque : Si vous créez une nouvelle base de données, SQL Server gère
automatiquement votre base de données avec le modèle simple de récupération
et active Auto Shrink.
51
52
Pour installer Symantec Endpoint Protection Manager
1
Insérez le CD-ROM d'installation et démarrez l'installation.
2
Dans l'écran de bienvenue, effectuez l'une des opérations suivantes :
■
Pour procéder à l'installation pour Symantec Endpoint Protection, cliquez
sur Installer Symantec Endpoint Protection Manager.
■
Pour procéder à l'installation pour Symantec Network Access Control,
cliquez sur Installer Symantec Network Access Control, puis sur Installer
3
Cliquez sur les panneaux, jusqu'à ce que le panneau Dossier de destination
apparaisse.
4
Dans le panneau Dossier de destination, acceptez ou modifiez le répertoire
d'installation par défaut.
5
■
Pour permettre au serveur Web IIS de Symantec Endpoint Protection
Manager de s'exécuter avec d'autres sites Web de cet ordinateur,
sélectionnez Utiliser le site Web par défaut, puis cliquez sur Suivant.
■
Pour configurer Symantec Endpoint Protection Manager IIS Web en seul
serveur Web sur cet ordinateur, cochez la case Créer un site Web
personnalisé, puis cliquez sur Suivant.
6
Cliquez sur Installer dans le volet Prêt pour l'installation.
7
Lorsque l'installation est terminée et que l'assistant de fin d'installation
s'affiche, cliquez sur Terminer.
Le panneau de l'assistant de configuration du serveur peut prendre jusqu'à
15 secondes pour apparaître. Si vous êtes invité à redémarrer l'ordinateur,
redémarrez l'ordinateur. Quand vous ouvrez une session, le panneau
d'assistant de configuration du serveur apparaît automatiquement.
Pour créer une base de données SQL
1
Dans le volet Assistant de configuration du serveur de gestion, sélectionnez
Avancé, puis cliquez sur Suivant.
2
Sélectionnez le nombre de clients que vous voulez que le serveur gère, puis
3
Cochez la case Installer mon premier site, puis cliquez sur Suivant.
4
Dans le panneau Informations du serveur, acceptez ou modifiez les valeurs
par défaut pour les zones de texte suivantes, puis cliquez sur Suivant :
■
Nom du serveur
■
Port du serveur
■
Port de la console Web
■
Dossier des données du serveur
5
Dans le panneau Information sur le site, dans la zone Nom du site, acceptez
ou modifiez le nom par défaut, puis cliquez sur Suivant.
6
Dans le volet Créer un mot de passe de chiffrement, tapez un mot de passe
dans les zones Créer un mot de passe de chiffrement, puis cliquez sur Suivant.
Documentez ce mot de passe et conservez-le en lieu sûr. Vous ne pouvez pas
modifier ou récupérer le mot de passe après que vous créiez la base de données.
Vous devez également entrer ce mot de passe pour la récupération d'urgence
si vous n'avez pas de base de données sauvegardée à restaurer.
7
Dans le volet de sélection du Type de base de données, sélectionnez Microsoft
SQL Server, puis cliquez sur Suivant.
8
Dans le panneau Définir une nouvelle base de données, effectuez l'une des
opérations suivantes :
■
Si la base de données n'existe pas, sélectionnez Créer une base de données
(recommandé).
■
Si la base de données existe, sélectionnez Utiliser une base de données
existante.
Une base de données existante doit définir des groupes de fichier PRIMARY,
FG_CONTENT, FG_LOGINFO, FG_RPTINFO et FG_INDEX. Le compte
utilisateur pour l'accès à la base de données doit avoir les privilèges
db_ddladmin, db_datareader et db_datawriter. Si ces exigences ne sont pas
satisfaites, votre installation échoue. Une pratique d'excellence consiste à
définir une nouvelle base de données.
9
10 Dans le panneau Informations sur Microsoft SQL Server, tapez vos valeurs
pour les zones de texte suivantes et cliquez sur Suivant :
■
Serveur de base de données
Si vous avec créé une nouvelle instance, le format est
nomserveur_ou_adresseIP\nom_instance.
■
Port du serveur SQL
■
Nom de la base de données
■
Utilisateur
■
Mot de passe
53
54
■
Confirmer le mot de passe (seulement à la création d'une nouvelle base
de données)
■
Dossier Client SQL
■
Utilisateur Administrateur de base de données (seulement à la création
d'une nouvelle base de données)
■
Mot de passe de l'administrateur de base de données (seulement à la
création d'une nouvelle base de données)
■
Dossier des données de la base de données
11 Spécifiez un mot de passe pour le compte administrateur de Symantec
Endpoint Protection Manager et confirmez-le. Vous pouvez également
spécifier l'adresse électronique de l'administrateur.
12 Cliquez sur Suivant.
13 Dans l'invite de boîte de dialogue Avertissement, lisez et comprenez les
informations d'avertissement sur des communications en texte clair et cliquez
sur OK.
14 Dans le panneau Configuration terminée, effectuez l'une des opérations
suivantes :
■
Pour déployer le logiciel client avec l'assistant de migration et de
déploiement, cliquez sur Oui.
■
Pour vous connecter d'abord à la console Symantec Endpoint Protection
Manager et puis déployer le logiciel client, cliquez sur Non.
Consultez le chapitre Installation du client pour obtenir des détails sur la
façon de déployer le logiciel client.
Lorsque vous aurez installé Symantec Endpoint Protection Manager et
commencerez à vous familiariser avec les tâches administratives, vous devrez
sécuriser vos fichiers de chiffrement dans l'éventualité d'une récupération
d'urgence. Vous devriez également documenter le mot de passe de chiffrement
que vous avez saisi pendant Symantec Endpoint Protection Manager
l'installation.
Ouverture d'une session sur la console Symantec
La console Symantec Endpoint Protection Manager permet d'effectuer des tâches
administratives, telles que la gestion des clients et des politiques.
Pour ouvrir une session sur la console Symantec Endpoint Protection Manager
1
Cliquez sur le Démarrer > Programmes > Symantec Endpoint Protection
Manager > Console Symantec Endpoint Protection Manager.
2
Dans l'invite de commande Symantec Endpoint Protection Manager, dans la
case Nom d'utilisateur, tapez admin.
3
Dans la case Mot de passe, tapez le mot de passe admin que vous avez créé
pendant l'installation, puis cliquez sur Ouverture de session.
55
56
Chapitre
3
Configuration de votre
produit après installation
■
Configuration de la structure d'organisation et mise à jour du contenu
■
Ajout d'un groupe
■
A propos de l'importation de la structure d'organisation
■
Ajout de clients comme utilisateurs ou ordinateurs
■
Ajouter un emplacement avec un assistant d'installation
■
Ajout d'un compte d'administrateur
■
A propos des politiques LiveUpdate
■
Configuration d'une politique de paramètres LiveUpdate
■
Configuration d'une politique de contenu LiveUpdate
Configuration de la structure d'organisation et mise
à jour du contenu
Après l'installation du serveur de gestion, vous devez configurer la structure
d'organisation. Vous pouvez également configurer une politique LiveUpdate pour
télécharger les dernières signatures et tout autre contenu vers les ordinateurs
client.
58
Configuration de votre produit après installation
Ajout d'un groupe
Tableau 3-1
Procédure après l'installation de Symantec Endpoint Protection
Manager
Pour effectuer
cette étape
Description
Voir la section
Etape 1 :
Ajoutez un groupe. Vous pouvez
ajouter de nouveaux groupes ou
importer votre structure
d'organisation existante.
Se reporter à "Ajout d'un groupe"
à la page 58.
Etape 2 :
Ajoutez un client comme
utilisateur ou ordinateur.
Se reporter à "Ajout de clients
comme utilisateurs ou
ordinateurs" à la page 59.
Etape 3 :
Ajoutez un emplacement.
Se reporter à "Ajouter un
emplacement avec un assistant
d'installation" à la page 61.
Etape 4 :
Ajoutez un compte
d'administrateur.
Se reporter à "Ajout d'un compte
d'administrateur" à la page 63.
Etape 5 :
Mettez à jour le contenu sur les
Se reporter à "A propos des
clients. Vous pouvez configurer
politiques LiveUpdate"
une politique de contenu
à la page 64.
LiveUpdate ainsi qu'une politique
de paramètres LiveUpdate.
Se reporter à "A propos de
l'importation de la structure
d'organisation" à la page 59.
Ajout d'un groupe
Vous pouvez ajouter des groupes après avoir défini la structure de groupe de votre
organisation.
Les descriptions de groupe peuvent comporter jusqu'à 1 024 caractères. Les noms
et descriptions de groupe peuvent contenir toutes sortes de caractères, à l'exception
des suivants : [" / \ * ? < > | :].
Remarque : Vous ne pouvez pas ajouter des groupes au groupe Temporaire.
Pour ajouter un groupe
1
Dans la console, cliquez sur Clients.
2
Sous Afficher les clients, sélectionnez le groupe auquel vous voulez ajouter
un nouveau sous-groupe.
A propos de l'importation de la structure d'organisation
3
Dans l'onglet Clients, sous Tâches, cliquez sur Ajouter un groupe.
4
Dans la boîte de dialogue Ajouter un groupe pour nom du groupe, tapez le
nom du groupe et une description.
5
Cliquez sur OK.
A propos de l'importation de la structure
d'organisation
Vous pouvez importer des structures de groupes, ou unités organisationnelles.
Pour importer des unités organisationnelles, vous pouvez utiliser un serveur LDAP
ou un serveur Active Directory. Symantec Endpoint Protection peut alors
automatiquement synchroniser les groupes des onglets Clients avec ceux du
serveur choisi.
Vous ne pouvez pas utiliser l'onglet Clients pour gérer ces groupes après les avoir
importés. Vous ne pouvez pas ajouter, supprimer ou déplacer des groupes dans
une unité organisationnelle importée. Vous pouvez attribuer des politiques de
sécurité à l'unité organisationnelle importée. Vous pouvez également copier des
utilisateurs à partir d'une unité organisationnelle importée vers d'autres groupes
qui sont répertoriés dans le volet Afficher les clients. La politique qui a été attribuée
à un groupe avant son importation a la priorité. Un compte utilisateur peut exister
dans l'unité organisationnelle et dans un groupe extérieur. La politique qui a été
appliquée au groupe extérieur a la priorité dans ce scénario.
Vous pouvez importer et synchroniser des données concernant les comptes
utilisateur et les comptes d'ordinateur depuis un serveur Active Directory ou un
serveur LDAP.
Tous les clients doivent être affectés à un groupe. Il est conseillé de créer des
groupes contenant des clients ayant des besoins et paramètres de sécurité
communs.
Les utilisateurs peuvent être ajoutés à un groupe manuellement. Cependant, dans
la plupart des cas, cette procédure est difficilement réalisable à moins que vous
vouliez ajouter un nombre limité d'utilisateurs à des fins d'entretien. La plupart
des administrateurs importent des listes d'utilisateurs d'un serveur LDAP ou d'un
serveur de domaine.
Se reporter à "A propos de l'importation de la structure d'organisation"
à la page 59.
59
60
Vous pouvez d'abord ajouter manuellement un utilisateur à un groupe spécifique,
puis installer le client avec un groupe préféré qui lui est attribué. Effectuez cette
tâche en associant des politiques de groupe pendant la création des paquets. Le
client est ajouté au groupe qui est spécifié sur le serveur au lieu du groupe qui est
spécifié dans le paquet.
Un client peut être ajouté comme ordinateur à n'importe quel groupe. Ceci permet
essentiellement de protéger un ordinateur indépendamment de l'utilisateur
connecté. Par exemple, un ordinateur peut se trouver dans un emplacement
vulnérable ou non sécurisé tel qu'un hall public. Vous pouvez ajouter cet ordinateur
à un groupe comprenant d'autres ordinateurs publics et attribuer au groupe des
politiques de sécurité très rigoureuses.
Gardez à l'esprit les faits suivants lorsque vous ajoutez des ordinateurs aux
groupes :
■
Vous pouvez ajouter un ordinateur à plusieurs groupes.
■
Vous devez connaître le nom réel et le domaine de l'ordinateur pour pouvoir
l'ajouter.
■
Le nom de l'ordinateur peut contenir au maximum 64 caractères.
■
Le champ de description peut contenir au maximum 256 caractères.
Assurez-vous que tous les clients peuvent être ajoutés aux groupes.
Pour ajouter des clients en tant qu'utilisateurs
1
2
Dans la page Clients, sous Afficher les clients, localisez le groupe auquel vous
souhaitez ajouter un client.
3
Dans l'onglet Clients, sous Tâches, cliquez sur Ajouter un compte
d'utilisateur.
4
Dans la boîte de dialogue Ajouter un utilisateur pour nom du groupe, dans la
zone de texte Nom de l'utilisateur, saisissez le nom du nouvel utilisateur.
5
Sous Nom du domaine, indiquez si la connexion se fait sur un domaine spécifié
ou sur l'ordinateur local.
6
Dans la zone de texte Description, saisissez une description de l'utilisateur
(facultatif).
7
Cliquez sur OK.
Pour ajouter des clients en tant qu'ordinateurs
1
2
Dans la page Clients, sous Afficher les clients, localisez le groupe auquel vous
souhaitez ajouter un client.
3
Dans l'onglet Clients, sous Tâches, cliquez sur Ajouter un compte
d'ordinateur.
4
Dans la boîte de dialogue Ajouter un ordinateur, saisissez le nom de
l'ordinateur et le domaine auquel vous souhaitez l'ajouter.
5
Dans la zone de texte Description, saisissez éventuellement une brève
description de l'ordinateur.
6
Cliquez sur OK.
Ajouter un emplacement avec un assistant
d'installation
Pour ajouter un emplacement à un groupe, utilisez un assistant. Chaque
emplacement peut disposer d'un ensemble de politiques et de paramètres associé.
Les critères (conditions) permettent de déclencher le basculement des clients vers
un nouvel emplacement avec des paramètres de sécurité différents dès lors que
les conditions sont remplies. Les meilleures politiques de sécurité à appliquer
dépendent en général de l'emplacement du client lors de sa connexion au réseau.
Lorsque la détection de l'emplacement est activée, elle garantit l'attribution à un
client de la politique de sécurité la plus stricte en cas de besoin.
1
A partir de la Symantec Endpoint Protection Manager console, cliquez sur
Clients.
2
Dans la page Clients, sous Afficher les clients, sélectionnez le groupe auquel
vous souhaitez ajouter un ou plusieurs emplacements.
3
Dans l'onglet Politiques, décochez Hériter des politiques et des paramètres
du groupe parent "nom du groupe".
Vous pouvez ajouter des emplacements seulement à des groupes qui n'héritent
pas des politiques d'un groupe parent.
4
Sous Tâches, cliquez sur Ajouter un emplacement.
5
Dans le volet de bienvenue de l'Assistant à l'ajout d'emplacement, cliquez sur
Suivant.
61
62
6
Dans le panneau Préciser un Nom d'Emplacement, tapez le nom et la
description du nouvel emplacement, et cliquez sur Suivant.
7
Dans le volet de spécification d'une condition, sélectionnez l'une des
conditions suivantes, sous laquelle un client passe d'un emplacement à un
autre :
Pas de condition spécifique
Sélectionnez cette option afin que le client puisse
choisir cet emplacement si de multiples emplacements
sont disponibles.
Plage d'adresse IP
Sélectionnez cette option afin que le client puisse
choisir cet emplacement si son adresse IP est incluse
dans la plage spécifiée. Vous devez spécifier l'adresse
IP de début et l'adresse IP de fin.
Adresse et masque de
sous-réseau
Sélectionnez cette option de sorte que le client puisse
choisir cet emplacement si son masque de sous-réseau
et son adresse de sous-réseau sont spécifiés.
Serveur DNS
choisir cet emplacement s'il se connecte au serveur
DNS spécifié.
Le client peut résoudre le
nom d'hôte
choisir cet emplacement s'il se connecte au nom de
domaine spécifié et à l'adresse de résolution DNS.
Le client peut se connecter
au serveur de gestion
Sélectionnez cette option pour que le client puisse
choisir cet emplacement s'il se connecte au serveur de
gestion spécifié.
Type de connexion réseau
choisir cet emplacement s'il se connecte au type
spécifié de connexion réseau. Le client accède à cet
emplacement en utilisant l'une des
connexions suivantes :
■
Tout réseau
■
Connexion réseau à distance
■
Ethernet
■
Sans fil
■
Check Point VPN-1
■
Cisco VPN
■
Microsoft PPTP VPN
■
Juniper NetScreen VPN
■
Nortel Contivity VPN
■
SafeNet SoftRemote VPN
■
Aventail SSL VPN
■
Juniper SSL VPN
8
9
Dans le volet Assistant d'ajout d'emplacement terminé, cliquez sur Terminer.
En fonction du développement ou de la modification de votre réseau, le nombre
d'administrateurs peut s'avérer insuffisant pour répondre à vos besoins. Vous
pouvez ajouter un ou plusieurs administrateurs. Lorsque vous ajoutez un
administrateur, vous spécifiez ses fonctions et ses contraintes. En tant
qu'administrateur système, vous pouvez ajouter un autre administrateur système,
un administrateur ou un administrateur limité. En tant qu'administrateur au sein
d'un domaine, vous pouvez ajouter d'autres administrateurs ou administrateurs
limités et configurer leurs droits.
Avertissement : La création d'un nouveau compte administrateur personnel vous
permet de remplacer vos nom d'utilisateur et mot de passe de connexion.
63
64
Pour ajouter un administrateur
1
Admin.
2
A la page Admin, sous Tâches, cliquez sur Administrateurs, puis sur Ajouter
un administrateur.
3
Dans la boîte de dialogue Ajouter un administrateur, entrez le nom de
l'administrateur.
Ce nom est celui avec lequel l'administrateur se connecte et par lequel il est
reconnu dans l'application.
4
Eventuellement, entrez le nom complet de l'administrateur dans la deuxième
zone de texte.
5
Entrez puis confirmez le mot de passe.
Le mot de passe doit contenir au moins six caractères. Tous les caractères
sont autorisés.
6
Pour configurer la méthode d'authentification, cliquez sur Modifier.
La valeur par défaut est Authentification de serveur de gestion Symantec.
Vous pouvez configurer la date d'expiration du mot de passe pour la méthode
par défaut ou modifier la méthode d'authentification.
7
Cliquez sur OK.
8
Sélectionnez l'un des types d'administrateur suivante :
9
■
Administrateur système.
■
Administrateur.
Les administrateurs peuvent exécuter des rapports sur l'ensemble des
groupes. Si vous avez migré depuis Symantec AntiVirus 10.x et voulez
que l'administrateur exécute des rapports pour ces groupes de serveurs
migrés, cliquez sur Droits sur les rapports.
■
Administrateur limité, puis configurez les droits des administrateurs
limités.
Cliquez sur OK.
Il existe deux types de politiques LiveUpdate. L'un est appelé Politique des
paramètres de LiveUpdate et s'applique aux clients Symantec Endpoint Protection
et Symantec Network Access Control. L'autre est appelé Politique de contenu
LiveUpdate et ne s'applique qu'aux clients Symantec Endpoint Protection. La
politique des paramètres de LiveUpdate spécifie les ordinateurs avec lesquels les
clients communiquent pour rechercher les mises à jour et contrôle la fréquence
de recherche des mises à jour. S'il y a lieu, vous pouvez appliquer cette politique
à des emplacements spécifiques d'un groupe.
La politique de contenu LiveUpdate spécifie les types de mises à jour que les clients
sont autorisés à rechercher et à installer. Pour chaque type, vous pouvez spécifier
que les clients recherchent et installent la dernière mise à jour. Vous pouvez
également spécifier une version d'une mise à jour que les clients installent s'ils
n'exécutent pas cette version. Vous ne pouvez pas appliquer cette politique à des
emplacements spécifiques d'un groupe. Vous pouvez seulement appliquer cette
politique au niveau du groupe.
Configuration d'une politique de paramètres
LiveUpdate
Quand vous ajoutez et appliquez une politique de paramètres LiveUpdate, vous
devez envisager la fréquence à laquelle vous voulez que les ordinateurs client
recherchent des mises à jour. Le paramètre par défaut est toutes les 4 heures.
Vous devez également connaître l'emplacement à consulter par vos ordinateurs
client pour la recherche et la récupération des mises à jour. Généralement, il est
souhaitable que les ordinateurs client recherchent et récupèrent des mises à jour
à partir de Symantec Endpoint Protection Manager. Après avoir créé votre
politique, vous pouvez l'attribuer à un ou plusieurs groupes et emplacements.
Remarque : Un paramètre avancée permet aux utilisateurs de démarrer
manuellement LiveUpdate à partir de leurs ordinateurs client et ce paramètre est
désactivé par défaut. Si vous activez ce paramètre, les utilisateurs peuvent
démarrer LiveUpdate et télécharger les dernières définitions de virus, les mises
à jour de composants et les mises à jour potentielles des produits. Si le paramètre
avancé de politique pour Télécharger les mises à jour de produit avec LiveUpdate
est activé, les mises à jour de produit qu'elles téléchargent sont des versions et
des correctifs de maintenance pour le logiciel client Symantec. Selon la taille de
votre population d'utilisateurs, il se peut que vous ne vouliez pas permettre aux
utilisateurs de télécharger tout le contenu sans test préalable. En outre, des conflits
peuvent se produire si deux sessions de LiveUpdate s'exécutent simultanément
sur des ordinateurs client. Une pratique d'excellence consiste à laisser ce paramètre
désactivé.
65
66
Pour configurer une politique de paramètres LiveUpdate
1
Dans la console, cliquez sur Politiques.
2
Dans le volet Afficher les politiques, cliquez sur LiveUpdate.
3
Dans le volet Tâches de l'onglet Paramètres LiveUpdate, cliquez sur Ajouter
une politique de paramètres LiveUpdate.
4
Dans le volet Présentation, dans la zone Nom de politique, tapez un nom pour
la politique.
5
Sous Politique LiveUpdate, cliquez sur Paramètres du serveur.
6
Dans le volet Paramètres du serveur, sous Serveur LiveUpdate interne ou
externe, cochez et activez au moins une source à partir de laquelle vous voulez
récupérer des mises à jour.
La plupart des organisations doivent utiliser le serveur de gestion par défaut.
7
Si vous avez coché Utiliser un serveur LiveUpdate, sous Politique LiveUpdate,
cliquez sur Planifier.
8
Dans le volet Planification, acceptez ou modifiez les options de planification.
9
Si vous avez coché Utiliser un serveur LiveUpdate, sous Politique LiveUpdate,
cliquez sur Paramètres avancés.
10 Décidez si vous voulez garder ou modifier les paramètres par défaut.
Généralement, il n'est pas souhaitable que les utilisateurs modifient les
paramètres de mise à jour. Cependant, vous pouvez souhaiter leur permettre
de lancer manuellement une session LiveUpdate si vous ne prenez pas en
charge des centaines ou des milliers de clients.
11 Quand vous avez configuré votre politique, cliquez sur OK.
12 Dans la boîte de dialogue Assigner la politique, effectuez l'une des opérations
suivantes :
■
Cliquez sur Oui pour enregistrer et attribuer la politique à un groupe ou
l'emplacement d'un groupe.
■
Cliquez sur Non pour enregistrer la politique seulement.
13 Si vous avez cliqué sur Oui, dans la boîte de dialogue Assigner la politique
LiveUpdate, vérifiez les groupes et les emplacements auxquels la politique
doit être attribuée, puis cliquez sur Assigner.
Si vous ne pouvez pas sélectionner un groupe imbriqué, ce groupe hérite des
politiques de son groupe parent, comme défini dans l'onglet Politiques des
ordinateurs et des utilisateurs.
Par défaut, tous les clients Symantec Endpoint Protection d'un groupe reçoivent
les dernières versions de tout le contenu et de toutes les mises à jour du produit.
Si un groupe de clients obtient des mises à jour via un serveur de gestion, les
clients ne reçoivent que les mises à jour que le serveur est configuré pour
télécharger. Si la politique de contenu LiveUpdate autorise toutes les mises à jour
mais si le serveur de gestion n'est pas configuré pour télécharger toutes les mises
à jour, les clients reçoivent uniquement ce que le serveur télécharge.
Si un groupe est configuré pour obtenir des mises à jour d'un serveur LiveUpdate,
les clients de ce groupe reçoivent toutes les mises à jour autorisées dans la politique
de contenu LiveUpdate. Si la politique de contenu LiveUpdate spécifie une révision
spécifique pour une mise à jour, les clients ne reçoivent jamais les révisions de
cette mise à jour particulière tant que le paramètre d'une révision spécifique n'est
pas remplacé par la dernière révision disponible. Les serveurs LiveUpdate ne
comprennent pas la fonctionnalité de version nommée.
Les versions nommées vous permettent d'exercer un contrôle plus stricte sur les
mises à jour qui sont distribuées aux clients. Généralement, les environnements
qui testent les dernières mises à jour avant de les distribuer aux clients utilisent
la fonctionnalité de version nommée.
Remarque : L'utilisation des révisions spécifiques fournit la fonctionnalité de
restauration.
Pour configurer une politique de contenu LiveUpdate
1
2
Dans le volet Afficher les politiques, cliquez sur LiveUpdate.
3
Dans l'onglet Contenu LiveUpdate, cliquez sur Ajouter une politique de
contenu LiveUpdate.
4
Dans le volet Présentation, dans la zone Nom de politique, tapez un nom pour
la politique.
5
Dans le volet Contenu LiveUpdate, cliquez sur Définitions de sécurité.
6
Dans le volet Définitions de sécurité, sélectionnez les mises à jour à télécharger
et à installer et désélectionnez les mises à jour à ne pas autoriser.
7
Pour chaque mise à jour, faites une des opérations suivantes :
■
Cochez Utiliser le dernier disponible
■
Cochez Sélectionner une révision
67
68
8
9
Pour continuer, effectuez l'une des opérations suivantes :
■
Si vous n'avez pas coché Sélectionner une révision pour un type de mise
à jour, cliquez sur OK, puis passez à l'étape 11.
■
Si vous avez cochez Sélectionner une révision pour un type de mise à jour,
cliquez sur Modifier, puis passez à l'étape suivante.
Dans la boîte de dialogue Sélectionnez une révision, dans la colonne Révision,
sélectionnez la révision à utiliser puis cliquez sur OK.
10 Dans la fenêtre Politique de contenu LiveUpdate, cliquez sur OK.
11 Dans la boîte de dialogue Assigner la politique, cliquez sur Oui.
Vous pouvez aussi annuler cette procédure et attribuer la politique
ultérieurement.
12 Dans la boîte de dialogue Assigner la politique de contenu LiveUpdate, activez
un ou plusieurs groupes auxquels cette politique doit être attribuée, puis
cliquez sur Assigner.
Chapitre
4
Création de politiques
■
A propos des politiques
■
Evaluation des politiques
■
Configuration et test d'une politique antivirus et antispyware
■
Configuration et test d'une politique de pare-feu
■
Configuration et test d'une bibliothèque IPS personnalisée
■
Configuration et test d'une politique de contrôle des applications et des
périphériques
Vous pouvez utiliser différents types de politiques de sécurité pour la gestion de
la sécurité du réseau. De nombreuses politiques sont créées automatiquement
lors de l'installation. Vous pouvez utiliser ces politiques par défaut ou les
personnaliser en fonction de votre environnement spécifique.
Le Tableau 4-1 liste les différents types de politiques. Il signale également si une
politique par défaut est créée lors de l'installation initiale et comprend une
description de chaque type de politique.
70
Tableau 4-1
Politiques Symantec Endpoint Protection Manager
Nom de la politique
Politique par
défaut
Description
Antivirus et protection contre les Oui
logiciels espions
Définit les paramètres d'analyse
antivirus et antispyware ainsi que
le mode de traitement des
processus détectés.
Pare-feu
Oui
Définit les règles de pare-feu qui
autorisent et bloquent les
transmissions et indique les
paramètres pour le filtrage
intelligent du trafic, pour le trafic
et pour l'authentification point à
point.
Prévention d'intrusion
Oui
Définit les exceptions aux
signatures de prévention
d'intrusion et spécifie les
paramètres de prévention
d'intrusion, comme l'intervention
active.
Intégrité d'hôte
Oui
Permet de définir, de restaurer et
d'appliquer les mesures de
sécurité des clients afin de
protéger les réseaux et les données
d'entreprise.
Contrôle d'application et de
périphérique
Oui
Protège les ressources système des
applications et gère les
périphériques pouvant être joints
aux ordinateurs.
LiveUpdate
Oui
Indique les ordinateurs que les
clients doivent contacter ainsi que
la fréquence qu'ils doivent
observer pour rechercher des
mises à jour.
Exceptions centralisées
Non
Spécifie les exceptions aux
fonctions particulières de
politique que vous souhaitez
appliquer.
Les tâches suivantes peuvent être exécutées sur l'ensemble des politiques :
■
Ajouter
Si vous ajoutez ou modifiez des politiques partagées dans la page Politiques,
vous devez également attribuer les politiques à un groupe ou emplacement.
Autrement ces politiques ne prennent pas effet.
■
Modifier
■
Supprimer
■
Attribuer
■
Remplacer
■
Copier et coller
■
Importer et exporter
Vous pouvez retirer toute type de politique, à l'exception de la politique antivirus
et antispyware et de la politique de paramètres LiveUpdate.
Tableau 4-2 liste les principaux types de politiques à évaluer après l'installation
initiale du serveur de gestion.
Tableau 4-2
Procédure d'évaluation des politiques
Pour
Description
effectuer
cette étape
Voir la section
Etape 1 :
Se reporter à "Configuration et test
d'une politique antivirus et
antispyware" à la page 75.
Créez et testez une politique
antivirus et antispyware.
Vous pouvez définir les paramètres
d'analyse antivirus et antispyware
ainsi que le mode de traitement des
processus détectés.
Etape 2 :
Créez et testez une politique de
pare-feu.
Vous pouvez définir les règles de
pare-feu qui autorisent ou bloquent
les transmissions et indiquer les
paramètres pour le filtrage
intelligent du trafic, pour le trafic et
pour l'authentification point à point.
d'une politique de pare-feu"
à la page 95.
71
72
Pour
Description
effectuer
cette étape
Voir la section
Etape 3 :
d'une politique de contrôle des
applications et des périphériques"
à la page 109.
Créez et testez une politique de
contrôle des applications et des
périphériques.
Vous pouvez protéger les ressources
système des applications et gérer les
périphériques pouvant se connecter
aux ordinateurs.
Etape 4 :
Créez et testez une bibliothèque
personnalisée du système de
prévention d'intrusion (IPS).
d'une bibliothèque IPS
personnalisée" à la page 99.
Vous pouvez créer des signatures
basées sur paquet qui détectent les
attaques de la pile TCP/IP. Les
signatures basées sur paquet
examinent un paquet unique
correspondant à une règle.
Etape 5 :
Créez et testez une politique
d'intégrité de l'hôte.
Vous pouvez évaluer si un ordinateur
est correctement protégé et
conforme avant de permettre sa
connexion au réseau d'entreprise.
d'une politique d'intégrité de l'hôte"
à la page 131.
Pour évaluer une politique, il convient de la créer et de la tester sur l'ordinateur
client.
Tableau 4-3
Procédure de création et de test des politiques
Pour
Description
effectuer
cette étape
Voir la section
Etape 1 :
Ajoutez une nouvelle politique.
Toutes les nouvelles politiques
incluent les paramètres par défaut.
Se reporter à "Ajout d'une politique
partagée." à la page 73.
Etape 2 :
Après avoir configuré la politique,
affectez-la à un groupe ou à un
emplacement.
Se reporter à "Affectation d'une
politique partagée" à la page 74.
Pour
Description
effectuer
cette étape
Voir la section
Etape 3 :
Se reporter à "Mise à jour manuelle
du fichier de politiques" à la page 74.
Pour tester la politique, sur
l'ordinateur client, vérifiez que le
client dispose de la politique mise à
jour. Vous pouvez aussi mettre à jour
la politique manuellement.
Se reporter à "Vérification de la mise
à jour des politiques" à la page 75.
Ajout d'une politique partagée.
Vous ajoutez typiquement une politique partagée dans la page Politiques au lieu
de la page Clients. Les emplacements, comme les groupes, peuvent partager la
même politique. Vous devez affecter la politique partagée après l'avoir ajoutée.
Vous pouvez ajouter une politique non partagée depuis la page Clients.
Pour ajouter une politique partagée dans la page Politiques
1
2
Sous Afficher les politiques, sélectionnez un type de politique.
3
Sous Tâches, cliquez sur Ajouter une politique type de politique.
4
Dans la page type de politique Politique, dans le volet Présentation, tapez le
nom et la description de la politique.
5
Sinon l'option n'est pas déjà cochée, cochez Activer cette politique.
6
Dans le volet gauche, sélectionnez l'une des vues suivantes :
Affichage sous
forme
d'arborescence
Toutes les politiques qui ont été attribuées à des groupes et des
emplacements sont représentées comme des icones.
Affichage sous
forme de liste
Toutes les politiques qui ont été attribuées à des groupes et des
emplacements sont représentées dans une liste.
7
Pour configurer la politique, sous Afficher les politiques, cliquez sur un type
de politique tel que Protection antivirus et antispyware.
8
Quand vous avez terminé de configurer la politique, cliquez sur OK.
9
Dans la boîte de dialogue Assigner la politique, effectuez l'une des opérations
suivantes :
■
Pour affecter la politique à un groupe ou un emplacement maintenant,
cliquez sur Oui, puis passez à l'étape 10.
73
74
■
Pour affecter la politique à un groupe ou un emplacement plus tard, cliquez
sur Non.
Se reporter à "Affectation d'une politique partagée" à la page 74.
Vous devez affecter la politique à un groupe ou à un emplacement pour que
les ordinateurs client la reçoivent.
10 Dans la boîte de dialogue Assigner la politique 'type de politique', cochez les
groupes et les emplacements auxquels la politique doit être appliquée.
11 Cliquez sur Assigner.
12 Pour confirmer, cliquez sur Oui.
Affectation d'une politique partagée
Après avoir créé une politique partagée dans la page Politiques, vous devez
l'affecter à un ou plusieurs groupes et emplacements. Les politiques non affectées
ne sont pas téléchargées vers les ordinateurs client des groupes et des
emplacements. Si vous n'affectez pas la politique lorsque vous l'ajoutez, vous
pouvez l'affecter à des groupes et des emplacements plus tard. Vous pouvez
également affecter une politique à un groupe ou un emplacement différent.
Pour affecter une politique partagée
1
Créez une politique partagée.
Se reporter à "Ajout d'une politique partagée." à la page 73.
2
Dans la page Politiques, sous Afficher les politiques, cliquez sur le type de
politique à affecter.
3
Dans le volet Politiques type de politique, sélectionnez la politique à assigner.
4
Dans la page Politiques, sous Tâches, cliquez sur Assigner la politique.
5
Dans la boîte de dialogue Assigner type de politiquela politique, cochez les
groupes et les emplacements auxquels doit s'appliquer la politique.
6
Cliquez sur Assigner.
7
Cliquez sur Oui pour confirmer que vous voulez affecter la politique.
Mise à jour manuelle du fichier de politiques
Les paramètres qui contrôlent la protection sur le client sont enregistrés sur
l'ordinateur dans un fichier de politique. Le fichier de politiques met à jour les
paramètres pour la protection antivirus et antispyware, la protection contre les
menaces réseau, la protection proactive contre les menaces et Network Access
Control. Normalement, ce fichier de politique est mis à jour de façon automatique.
Vous pouvez toutefois mettre le fichier de politiques à jour manuellement si vous
ne voulez pas attendre la mise à jour.
Remarque : Vous pouvez afficher le journal système pour vérifier que l'opération
a mis à jour la politique avec succès.
Pour mettre le fichier de politiques à jour manuellement
1
Dans la zone de notification Windows, cliquez avec le bouton droit de la souris
sur l'icône client.
2
Dans le menu contextuel, cliquez sur Mettre à jour la politique.
Vérification de la mise à jour des politiques
Lorsque vous modifiez ou affectez une politique, vérifiez si vos clients reçoivent
bien la politique mise à jour.
Pour vérifier la mise à jour d'une politique depuis Symantec Endpoint Protection
Manager
1
Sur la console, cliquez sur Contrôles, puis sur Journaux.
2
Dans la liste Type de journal, cliquez sur Système.
3
Dans la liste Contenu du journal, cliquez sur Activité client-serveur.
4
Cliquez sur Afficher le journal.
Pour chaque client, une entrée affiche le téléchargement d'une politique.
Pour vérifier que les ordinateurs client ont obtenu des politiques mises à jour
1
Sur l'ordinateur client, dans la fenêtre principale de Symantec Endpoint
Protection, cliquez sur Afficher les journaux.
2
A côté de Gestion des clients, cliquez sur Afficher les journaux, puis cliquez
sur Journal système.
Une entrée s'affiche pour la mise à jour de la politique, contenant le numéro
de série.
Configuration et test d'une politique antivirus et
antispyware
Les politiques antivirus et antispyware Symantec Endpoint Protection permettent
d'appliquer la technologie antivirus et antispyware à votre réseau.
75
76
Bien que les analyses proactives des menaces TruScan soient configurées en tant
qu'élément de votre politique antivirus et antispyware, elles n'entrent pas dans
le cadre de cette explication. Certaines informations sur le contexte sont toutefois
fournies.
Tableau 4-4
Procédure de configuration et de test d'une politique antivirus et
antispyware
Pour
Description
effectuer
cette étape
Voir la section
Etape 1 :
Décidez sur quelles politiques
antivirus et antispyware par défaut politiques antivirus et antispyware
vous souhaitez baser votre sécurité préconfigurées" à la page 78.
Etape 2 :
Configurez une analyse planifiée et Se reporter à "Ajouter des analyses
ajoutez-la à la politique antivirus et planifiées à une politique antivirus
antispyware par défaut sélectionnée. et antispyware" à la page 79.
Etape 3 :
Modifiez l'action pour un risque de Se reporter à "Configurer des actions
sécurité de la politique antivirus et pour les virus connus et les
antispyware par défaut sélectionnée. détections de risques de sécurité"
à la page 81.
Etape 4 :
Configurez une notification
Se reporter à "A propos des messages
d'utilisateur pour des ordinateurs
de notification sur les ordinateurs
client dans la politique antivirus et infectés" à la page 82.
antispyware par défaut sélectionnée.
Se reporter à "Personnaliser et
afficher des notifications sur les
ordinateurs infectés" à la page 83.
Etape 5 :
Affectez la politique à un groupe.
Etape 6 :
Vérifiez si la politique est mise à jour Se reporter à "Vérification de la mise
sur les clients.
Etape 7 :
Testez si la politique antivirus et
antispyware fonctionne.
Se reporter à "Test du
fonctionnement de la politique
antivirus et antispyware"
à la page 85.
Pour
Description
effectuer
cette étape
Voir la section
Etape 8 :
Se reporter à "A propos des analyses
proactives des menaces TruScan"
à la page 85.
Informez-vous sur l'analyse
proactive des menaces TruScan.
Se reporter à "A propos de
l'utilisation des paramètres par
défaut de Symantec" à la page 86.
processus détectés par les analyses
proactives des menaces TruScan"
à la page 87.
Se reporter à "A propos de la gestion
des faux positifs détectés par les
analyses proactives des menaces
TruScan" à la page 89.
Se reporter à "A propos de les
processus que les analyses proactives
des menaces TruScan ignorent"
à la page 91.
Se reporter à "Comprendre les
détections proactives des menaces
TruScan" à la page 92.
A propos des politiques antivirus et antispyware
Une politique antivirus et antispyware inclut les types suivants d'options :
■
Analyses Auto-Protect
■
Analyses définies par l'administrateur (planifiées et à la demande)
■
Analyses proactives des menaces TruScan
■
Options de quarantaine
■
Options de transmission
■
Paramètres divers
Lors de l'installation de Symantec Endpoint Protection, plusieurs politiques
antivirus et antispyware apparaissent dans la liste des politiques de la console.
Vous pouvez modifier l'une des politiques préconfigurées ou vous pouvez créer
de nouvelles politiques.
77
78
Remarque : Les politiques antivirus et antispyware incluent la configuration pour
des analyses proactives des menaces TruScan.
A propos des politiques antivirus et antispyware préconfigurées
Les politiques antivirus et antispyware préconfigurées suivantes sont disponibles :
■
Politique antivirus et antispyware
■
Politique antivirus et antispyware – Haute sécurité
■
Politique antivirus et antispyware – Hautes performances
La politique haute sécurité est la plus rigoureuse de toutes les politiques antivirus
et antispyware préconfigurées. Vous devez garder à l'esprit qu'elle peut affecter
les performances d'autres applications.
La politique hautes performances fournit de meilleures performances que la
politique haute sécurité, mais elle ne fournit pas les mêmes dispositifs de
protection. Pour détecter les menaces, elle se fonde principalement sur
Auto-Protect pour le système de fichiers pour analyser les fichiers dont les
extensions sont sélectionnées.
La politique antivirus et antispyware par défaut contient les paramètres importants
suivants :
■
Auto-Protect pour le système de fichiers est chargé au démarrage de
l'ordinateur et activé pour l'ensemble des fichiers.
■
Internet Email, Microsoft Outlook et Lotus Notes Auto-Protect sont activés
pour tous les fichiers.
■
L'analyse réseau Auto-Protect pour le système de fichiers est activée.
■
Les analyses proactives des menaces TruScan sont activées et sont exécutées
toutes les heures.
■
ActiveScan n'est pas exécuté automatiquement lorsque de nouvelles définitions
arrivent.
■
Une analyse planifiée s'exécute une fois par semaine, avec l'optimisation
d'analyse définie sur Meilleures performances d'application.
La politique hautes performances contient les paramètres importants suivants :
■
Auto-Protect pour le système de fichiers est chargé quand Symantec Endpoint
Protection démarre et est activé pour les fichiers dont les extensions sont
sélectionnées.
■
L'analyse réseau Auto-Protect pour le système de fichiers est désactivée.
■
Le courrier électronique Internet, Microsoft Outlook et Auto-Protect pour
Lotus Notes sont désactivés.
■
Les analyses proactives des menaces sont activées et s'exécutent une fois toutes
les six heures.
■
ActiveScan n'est pas exécuté automatiquement lorsque de nouvelles définitions
arrivent.
■
Une analyse planifiée s'exécute une fois par mois, avec l'optimisation d'analyse
définie sur Meilleures performances d'application.
La politique haute sécurité contient les paramètres importants suivants :
■
Auto-Protect pour le système de fichiers est chargé au démarrage de
l'ordinateur et activé pour l'ensemble des fichiers.
■
Les fonctions Auto-Protect pour la messagerie Internet, pour Microsoft Outlook
et pour Lotus Notes sont activées pour l'ensemble des fichiers.
■
L'analyse réseau Auto-Protect pour le système de fichiers est activée.
■
Les analyses proactives des menaces sont activées et s'exécutent toutes les
heures, ainsi qu'à chaque démarrage d'un nouveau processus.
■
ActiveScan s'exécute automatiquement quand de nouvelles définitions arrivent.
■
Une analyse planifiée s'exécute une fois par semaine, avec l'optimisation
d'analyse définie pour être équilibrée.
Ajouter des analyses planifiées à une politique antivirus et antispyware
Vous configurez des analyses planifiées en tant qu'élément d'une politique
Vous pouvez enregistrer vos paramètres d'analyse planifiée comme modèle. Vous
pouvez utiliser n'importe quelle analyse que vous enregistrez comme modèle en
tant que base pour une politique antivirus et antispyware différente. Les modèles
d'analyse permettent de faciliter la configuration de plusieurs politiques antivirus
et antispyware. Un modèle d'analyse planifiée est inclus par défaut dans la
politique. L'analyse planifiée par défaut analyse tous les fichiers et répertoires.
Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilisées
dans cette procédure.
Pour ajouter une analyse planifiée à une politique antivirus et antispyware
1
Dans la page de la politique antivirus et de protection contre les logiciels
espions, cliquez sur Analyses définies par l'administrateur.
2
Dans l'onglet Analyses, sous Analyses planifiées, cliquez sur Ajouter.
79
80
3
Dans la boîte de dialogue Ajouter une analyse planifiée, cliquez sur Créer une
analyse planifiée.
4
Cliquez sur OK.
5
Dans la boîte de dialogue Ajouter une analyse planifiée, dans l'onglet Détails
de l'analyse, tapez un nom et une description pour cette analyse planifiée.
6
Cliquez sur Analyse rapide, Analyse complète ou Analyse personnalisée.
7
Si vous avez sélectionné Personnalisée, sous Analyse, vous pouvez spécifier
les répertoires à analyser.
8
Sous Types de fichier, cliquez sur Analyser tous les fichiers ou Analyser les
extensions sélectionnées uniquement.
9
Sous Améliorer l'analyse en vérifiant, cochez ou désactivez la case Mémoire,
Emplacementsd'infectionscourants ou Emplacementsderisquesdesécurité
et de virus connus.
10 Cliquez sur Options d'analyse avancées.
11 Définissez les options pour les fichiers compressés, la migration de stockage
ou l'optimisation des performances.
12 Cliquez sur OK pour enregistrer les options d'analyse avancées de cette
analyse.
13 Dans l'onglet Planification, sous Planification d'analyse, définissez la
fréquence et l'heure auxquelles l'analyse doit s'exécuter.
14 Dans l'onglet Actions, définissez les options.
Se reporter à "Configurer des actions pour les virus connus et les détections
de risques de sécurité" à la page 81.
Vous pouvez également définir des options de résolution pour l'analyse.
15 Dans l'onglet Notifications, définissez les options.
Se reporter à "A propos des messages de notification sur les ordinateurs
infectés" à la page 82.
16 Pour enregistrer l'analyse sous la forme d'un modèle, cochez Enregistrer une
copie sous la forme d'un modèle d'analyse planifiée.
17 Cliquez sur OK.
Pour ajouter une analyse planifiée d'un modèle
1
Dans la page de la politique antivirus et de protection contre les logiciels
espions, cliquez sur Analyses définies par l'administrateur.
2
Dans l'onglet Analyses, sous Analyses planifiées, cliquez sur Ajouter.
3
Dans la boîte de dialogue Ajouter une analyse planifiée, cliquez sur Créer une
analyse planifiée à partir d'un modèle.
4
Sélectionnez le modèle d'analyse que vous voulez utiliser pour cette politique.
5
Cliquez sur OK.
Configurer des actions pour les virus connus et les détections de
risques de sécurité
Les actions permettent de spécifier la réponse des clients lorsqu'une analyse
antivirus et antispyware détecte un virus ou un risque de sécurité connu. Ces
actions s'appliquent aux analyses Auto-Protect et définies par l'administrateur.
Vous configurez séparément les actions pour les analyses proactives des menaces.
Se reporter à "A propos des analyses proactives des menaces TruScan" à la page 85.
Les actions vous permettent de définir comment le logiciel client réagit quand il
détecte un virus connu ou un risque de sécurité. Vous pouvez attribuer une
première action et, au cas où la première action ne serait pas possible, une
deuxième action. Le client Symantec Endpoint Protection utilise ces actions quand
il découvre un virus ou un risque de sécurité tel qu'un logiciel publicitaire ou
espion. Les types de virus et de risques de sécurité sont répertoriés dans
l'arborescence.
Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilisées
dans les procédures.
Remarque : Pour les risques de sécurité, utilisez l'action de suppression avec
prudence. Dans certains cas, la suppression d'un risque de sécurité peut empêcher
les applications de fonctionner correctement.
Avertissement : Si vous configurez le logiciel client pour supprimer les fichiers
affectés par le risque de sécurité, il ne peut pas restaurer les fichiers.
Pour sauvegarder les fichiers affectés par les risques de sécurité, configurez le
logiciel client pour les mettre en quarantaine.
81
82
Pour configurer des actions pour les détections de virus connus et de risques de
sécurité
1
Dans l'onglet Actions, sous Détection, sélectionnez un type de virus ou de
risque de sécurité.
Par défaut, chaque sous-catégorie de risque de sécurité est automatiquement
configurée pour utiliser les actions définies pour la catégorie entière de risques
de sécurité.
2
Pour configurer une instance spécifique d'une catégorie de risques de sécurité
pour utiliser différentes actions, cochez Remplacer les actions configurées
pour les risques de sécurité, puis définissez les actions pour cette catégorie
uniquement.
3
Sous Opérations pour, sélectionnez les premières et deuxièmes mesures que
le logiciel client prend quand il détecte cette catégorie de virus ou de risque
de sécurité.
Vous pouvez verrouiller des actions de sorte que les utilisateurs ne puissent
pas modifier l'action sur les ordinateurs client qui utilisent cette politique.
Pour les risques de sécurité, soyez prudents lors de l'utilisation de l'action de
suppression. Dans certains cas, la suppression d'un risque de sécurité peut
empêcher le fonctionnement normal des applications.
4
Répétez l'étape 3 pour chaque catégorie pour laquelle vous voulez définir des
actions (virus et risques de sécurité).
5
Si vous avec terminé la configuration de cette politique, cliquez sur OK.
A propos des messages de notification sur les ordinateurs infectés
Vous pouvez activer un message de notification personnalisé sur les ordinateurs
infectés quand une analyse définie par l'administrateur ou Auto-Protect trouve
un virus ou un risque de sécurité. Ces notifications peuvent alerter les utilisateurs
pour qu'ils passent en revue leur activité récente sur l'ordinateur client. Par
exemple, un utilisateur pourrait télécharger une application ou afficher une page
Web aboutissant à une infection par un logiciel espion.
Remarque : La langue du système d'exploitation sur lequel vous exécutez le client
peut ne pas savoir interpréter certains caractères des noms de virus. Si le système
d'exploitation ne peut pas interpréter les caractères, ceux-ci apparaissent comme
des points d'interrogation dans les notifications. Par exemple, certains noms de
virus Unicode peuvent contenir des caractères à deux octets. Sur les ordinateurs
qui exécutent le client sur un système d'exploitation anglais, ces caractères
apparaissent comme des points d'interrogation.
Pour les analyses de messagerie Auto-Protect, vous pouvez également configurer
les options suivantes :
■
Ajouter des avertissements dans les messages électroniques infectés
■
Envoyer un avertissement aux expéditeurs d'un message infecté
■
Avertir les utilisateurs de messages infectés.
Les notifications des résultats d'analyse proactive des menaces sont configurés
séparément.
Personnaliser et afficher des notifications sur les ordinateurs infectés
Vous pouvez concevoir un message personnalisé qui doit apparaître sur les postes
infectés lorsqu'un virus ou un risque de sécurité est détecté. Vous pouvez taper
directement dans la zone de message pour ajouter ou modifier le texte.
Quand vous exécutez une analyse distante, vous pouvez informer l'utilisateur
d'un problème en affichant un message sur l'écran de l'ordinateur infecté. Vous
pouvez personnaliser le message d'avertissement en incluant des informations
telles que le nom du risque, le nom du fichier infecté et l'état du risque. Un message
d'avertissement pourrait ressembler à l'exemple suivant :
Type d'analyse : Analyse planifiée
Evénement : Risque détecté
NomRisqueSécurité: Stoned-C
Fichier : C:\Autoexec.bat
Emplacement : C:
Ordinateur : ACCTG-2
Utilisateur : JSmith
Action effectuée : Nettoyé
Tableau 4-5 décrit les champs de variables disponibles pour les notifications.
Tableau 4-5
Champ
Variables de message de notification
Description
NomRisqueSécurité Nom du virus ou du risque de sécurité détecté.
ActionEffectuée
Action effectuée en réponse à la détection du virus ou du risque de
sécurité.
Il peut s'agir de la première ou de la seconde action configurée.
83
84
Champ
Description
Etat
Etat du fichier : Infecté, Non Infecté ou Supprimé.
Cette variable de message n'est pas utilisée par défaut. Pour afficher
cette information, ajoutez manuellement cette variable au message.
Nomfichier
Nom du fichier infecté par le virus ou le risque de sécurité.
CheminNomfichier Chemin d'accès complet et nom du fichier ayant été infecté par le virus
ou le risque de sécurité.
Emplacement
Lecteur de l'ordinateur sur lequel le virus ou le risque de sécurité a
été détecté.
Ordinateur
Nom de l'ordinateur sur lequel le virus ou le risque de sécurité a été
détecté.
Utilisateur
Nom de l'utilisateur qui était connecté lorsque le virus ou le risque de
sécurité a été détecté.
Evénement
Type d'événement tel que "Risque détecté".
ConsignéPar
Type d'analyse qui a détecté le virus ou le risque de sécurité.
DateTrouvé
Date à laquelle le virus ou le risque de sécurité a été détecté.
NomStockage
Zone affectée de l'application (par exemple Auto-Protect pour le
système de fichiers ou Auto-Protect pour messagerie Lotus Notes).
DescriptionAction Description complète des actions effectuées en réponse à la détection
du virus ou du risque de sécurité.
Pour afficher des messages de notification sur les ordinateurs infectés
1
2
Sur la page Politique antivirus et antispyware, sélectionnez l'une des options
suivantes :
■
Analyses définies par l'administrateur
■
Auto-Protect pour le système de fichiers
■
Auto-Protect pour messagerie Internet
■
Auto-Protect pour Microsoft Outlook
■
Auto-Protect pour Lotus Notes
Si vous avez sélectionné Analyses définies par l'administrateur, dans l'onglet
Analyses, cliquez sur Ajouter ou sur Edition.
3
Dans l'onglet Notifications, cochez la case Afficher un message de notification
sur l'ordinateur infecté et modifiez le corps du message de notification.
4
Cliquez sur OK.
Test du fonctionnement de la politique antivirus et antispyware
Pour vérifier le bon fonctionnement de la politique antivirus et antispyware, vous
pouvez utiliser le fichier eicar.com comme virus d'essai. Il s'agit d'un fichier texte
élaboré par l'Institut européen pour la recherche antivirus informatique (EICAR).
Il offre un moyen simple et sûr de tester la plupart des logiciels antivirus. Vous
pouvez l'utiliser pour vérifier le fonctionnement de la partie antivirus du client.
Pour tester la politique antivirus et antispyware
1
Sur l'ordinateur client, téléchargez le fichier d'essai antivirus du site Web
EICAR.
Ce fichier est disponible à l'URL suivante : www.eicar.org
2
Téléchargez et exécutez le fichier d'essai eicar.com.
Une notification s'affiche pour indiquer la détection d'un risque.
3
Dans la console Symantec Endpoint Protection Manager, sur la page Contrôles,
cliquez sur Journaux.
4
Dans l'onglet Journaux, dans la liste déroulante Type de journal, cliquez sur
Risque, puis cliquez sur Afficher le journal.
L'événement de détection de virus s'affiche sur la page Journaux de risque.
A propos des analyses proactives des menaces TruScan
Les analyses proactives des menaces TruScan représentent un degré de protection
supplémentaire pour votre ordinateur. L'analyse proactive des menaces complète
vos logiciels existants de protection contre les virus et les logiciels espions, de
prévention d'intrusion et de protection par pare-feu.
Remarque : Analyses proactives des menaces TruScan est un autre nom pour
l'analyse de menace proactive pouvant apparaître dans l'interface utilisateur. Sa
signification reste identique.
Les analyses d'antivirus et de protection contre les logiciels espions se fondent la
plupart du temps sur des signatures pour détecter des menaces connues. Les
analyses proactives des menaces utilisent des technologies heuristiques pour
détecter des menaces inconnues. Les analyses de processus heuristiques analysent
le comportement d'une application ou d'un processus. L'analyse détermine si le
85
86
processus présente les caractéristiques de menaces telles que les chevaux de Troie,
les vers ou les enregistreurs de frappe. Ce type de protection est parfois désigné
sous le nom de la protection contre des attaques "zero day".
Remarque : Auto-Protect utilise également un type d'heuristique appelé
Bloodhound pour détecter le comportement suspect dans des fichiers. Les analyses
proactives des menaces détectent le comportement suspect dans des processus
actifs.
Les paramètres concernant les analyses proactives des menaces sont ajoutés en
tant qu'élément d'une politique antivirus et antispyware. Un grand nombre de
paramètres peuvent être verrouillés de sorte que les utilisateurs sur des ordinateurs
client ne puissent pas les modifier.
Vous pouvez configurer les paramètres suivants :
■
Quels types de menaces analyser
■
Combien de fois exécuter des analyses proactives des menaces
■
Si les notifications doivent apparaître sur l'ordinateur client quand une
détection proactive des menaces se produit
Les analyses proactives des menaces TruScan sont activées quand les paramètres
Rechercher les chevaux de Troie et les vers ou Rechercher les enregistreurs de
frappe sont activés. Si l'un de ces deux paramètres est désactivé, la page Etat du
client Symantec Endpoint Protection affiche la protection proactive contre les
menaces comme étant désactivée.
L'analyse proactive des menaces est activée par défaut.
Remarque : Puisque les analyses proactives des menaces analysent les anomalies
de comportement des applications et des processus, elles peuvent affecter les
performances de votre ordinateur.
A propos de l'utilisation des paramètres par défaut de Symantec
Vous pouvez décider comment vous voulez gérer les détections des menaces
proactives. Vous pouvez utiliser les paramètres par défaut de Symantec ou spécifier
le niveau de sensibilité et l'action de détection.
Si vous choisissez de permettre à Symantec de gérer les détections, le logiciel
client détermine l'action et le niveau de sensibilité. Le moteur d'analyse qui
s'exécute sur l'ordinateur client détermine les paramètres par défaut. Si vous
choisissez de gérer les détections, vous pouvez définir une action de détection
unique et un niveau spécifique de sensibilité.
Pour réduire les détections faussement positives, Symantec recommande d'utiliser
initialement les paramètres par défaut gérés par Symantec. Après un certain
temps, vous pouvez observer le nombre de faux positifs que les clients détectent.
Si ce nombre est faible, vous pouvez ajuster progressivement les paramètres
d'analyse proactive des menaces. Par exemple, pour la détection des chevaux de
Troie et des vers, vous pouvez placer le curseur de sensibilité légèrement plus
haut que le paramètre par défaut. Vous pouvez observer les résultats des analyses
proactives des menaces exécutées avec la nouvelle configuration.
Se reporter à "Comprendre les détections proactives des menaces TruScan"
à la page 92.
Se reporter à "Spécification des actions et des niveaux de sensibilité pour détecter
des chevaux de Troie, des vers et des enregistreurs de frappe" à la page 94.
A propos des processus détectés par les analyses proactives des
menaces TruScan
Les analyses proactives des menaces détectent les processus qui se comportent
comme les chevaux de Troie, les vers ou les enregistreurs de frappe. Les processus
affichent généralement un type de comportement qu'une menace peut exploiter
(par exemple, ouvrir un port sur l'ordinateur d'un utilisateur).
Vous pouvez configurer des paramètres pour certains types de détections
proactives des menaces. Vous pouvez activer ou désactiver la détection des
processus qui se comportent comme des chevaux de Troie, des vers ou des
enregistreurs de frappe. Par exemple, vous pouvez détecter les processus qui se
comportent comme des chevaux de Troie et des vers, mais pas les processus qui
se comportent comme des applications d'enregistreur de frappe.
Symantec maintient à jour une liste des applications commerciales qui pourraient
être utilisées à des fins malveillantes. Cette liste inclut les applications
commerciales qui enregistrent les frappes de clavier de l'utilisateur. Elle inclut
également les applications qui contrôlent un ordinateur client à distance. Vous
souhaiterez peut-être savoir si ces types d'applications sont installés sur des
ordinateurs client. Par défaut, les analyses proactives des menaces détectent ces
applications et consignent l'événement. Vous pouvez spécifier différentes actions
de correction.
Vous pouvez configurer le type d'action de résolution que le client effectue quand
il détecte les types particuliers d'applications commerciales. La détection inclut
les applications commerciales qui contrôlent ou enregistrent les frappes de clavier
d'un utilisateur ou contrôlent l'ordinateur d'un utilisateur à distance. Si une
analyse détecte un enregistreur de frappe commercial ou un programme
commercial de téléintervention, le client utilise l'action qui est définie dans la
politique. Vous pouvez également permettre à l'utilisateur de contrôler les actions.
87
88
Les analyses proactives des menaces détectent également les processus qui se
comportent comme des logiciels publicitaires et des logiciels espions. Vous ne
pouvez pas configurer la manière dont les analyses proactives des menaces traitent
ces types de détection. Si les analyses proactives des menaces détectent des
logiciels publicitaires ou des logiciels espions que vous voulez autoriser sur vos
ordinateurs client, créez une exception centralisée.
Tableau 4-6 décrit les processus détectés par les analyses proactives des menaces.
Tableau 4-6
Processus détectés par les analyses proactives des menaces TruScan
Type de processus
Description
Chevaux de Troie et vers Processus qui affichent les caractéristiques des chevaux de Troie
ou des vers.
Les analyses proactives des menaces utilisent des technologies
heuristiques pour rechercher les processus qui se comportent
comme des chevaux de Troie ou des vers. Ces processus peuvent
être ou ne pas être des menaces.
Enregistreurs de frappe
Processus qui montrent les caractéristiques des enregistreurs
de frappe.
Les analyses proactives des menaces détectent les enregistreurs
de frappe commerciaux, mais elles détectent également les
processus inconnus qui montrent un comportement
d'enregistreur de frappe. Les enregistreurs de frappes sont des
applications d'enregistrement de frappes qui capturent les
frappes de l'utilisateur. Ces applications peuvent être utilisées
pour recueillir des informations sur les mots de passe et autres
informations essentielles. Elles peuvent être ou ne pas être des
menaces.
Applications
commerciales
Applications commerciales connues qui pourraient être utilisées
à des fins malveillantes.
Les analyses proactives des menaces détectent plusieurs types
différents d'applications commerciales. Vous pouvez configurer
des actions pour deux types : enregistreurs de frappe et
programmes de contrôle à distance.
Logiciels publicitaires et Processus qui affichent les caractéristiques des logiciels
logiciels espions
publicitaires et des logiciels espions
Les analyses proactives des menaces utilisent des technologies
heuristiques pour détecter les processus inconnus qui se
comportent comme des logiciels publicitaires et des logiciels
espions. Ces processus peuvent être ou ne pas être des risques.
Vous pouvez configurer le logiciel client pour qu'il envoie ou non à Symantec des
informations sur les détections proactives des menaces. Incluez ce paramètre en
tant qu'élément d'une politique antivirus et antispyware.
A propos de la gestion des faux positifs détectés par les analyses
proactives des menaces TruScan
Les analyses proactives des menaces TruScan renvoient parfois des faux positifs.
Ces analyses recherchent les applications et les processus présentant un
comportement suspect plutôt que les virus ou les risques de sécurité connus. De
par leur nature, ces analyses signalent généralement les éléments que vous ne
penseriez pas à détecter.
Pour la détection des chevaux de Troie, des vers ou des enregistreurs de frappe,
vous pouvez choisir d'utiliser l'action et les niveaux de sensibilité par défaut que
Symantec spécifie. Ou vous pouvez choisir de gérer les actions de détection et les
niveaux de sensibilité vous-même. Si vous gérez les paramètres vous-même, vous
risquez de détecter de nombreux faux positifs. Si vous voulez gérer les actions et
les niveaux de sensibilité, soyez conscient de l'impact résultant sur votre réseau
de sécurité.
Remarque : Si vous modifiez le niveau de sensibilité, le nombre total de détections
peut changer. Si vous modifiez le niveau de sensibilité, il se peut que vous réduisiez
le nombre de faux positifs que les analyses proactives des menaces produisent.
Si vous modifiez les niveaux de sensibilité, Symantec vous recommande de le faire
graduellement et de vérifier les résultats.
Si une analyse proactive des menaces détecte un processus que vous déterminez
comme ne constituant pas un problème, vous pouvez créer une exception. Grâce
à une exception, les analyses futures ne signalent pas le processus. Les utilisateurs
sur les ordinateurs client peut également créer des exceptions. En cas de conflit
entre une exception définie par l'utilisateur et une exception définie par
l'administrateur, l'exception définie par l'administrateur l'emporte.
Tableau 4-7 présente les tâches de création d'un plan de gestion des faux positifs.
89
90
Tableau 4-7
Plan de gestion des faux positifs
Tâche
Description
Assurez-vous que
Symantec gère les
chevaux de Troie, les
vers et les détections
d'enregistreur de
frappe.
Les politiques antivirus et antispyware incluent les paramètres
gérés par Symantec. Ce paramètre est activé par défaut. Quand
ce paramètre est activé, Symantec détermine les actions effectuées
lors des détections de ces types de processus. Symantec détermine
également le niveau de sensibilité utilisé pour les analyser.
Quand Symantec gère les détections, les analyses proactives des
menaces effectuent une action basée sur la manière dont l'analyse
interprète la détection.
L'analyse effectue l'une des actions suivantes au niveau de la
détection :
Mise en quarantaine
L'analyse effectue cette action pour les détections constituant
probablement des menaces réelles.
■ Journal uniquement
L'analyse effectue cette action pour les détections constituant
probablement des faux positifs.
■
Remarque : Si vous choisissez de gérer l'action de détection,
choisissez une action. Cette action est toujours effectuée pour ce
type de détection. Si vous définissez l'action sur Quarantaine, le
client met en quarantaine toutes les détections de ce type.
Assurez-vous que le
contenu de Symantec
est actuel.
Vérifiez que les ordinateurs qui produisent des faux positifs
comportent le dernier contenu de Symantec. Le dernier contenu
comprend des données sur les processus déterminés par Symantec
comme faux positifs connus. Ces faux positifs connus sont exclus
de la détection de l'analyse proactive des menaces.
Vous pouvez exécuter un rapport via la console pour savoir quels
ordinateurs exécutent la dernière version du contenu.
Vous pouvez mettre à jour le contenu par l'une des actions
suivantes :
Appliquez une politique LiveUpdate.
■ Exécutez la commande Update pour les ordinateurs
sélectionnés répertoriés dans l'onglet Clients.
■ Exécutez la commande Update sur les ordinateurs sélectionnés
répertoriés dans le fichier journal d'état ou des risques de
l'ordinateur.
■
Tâche
Description
Assurez-vous que les
soumissions sont
activées.
Les paramètres de soumission sont inclus en tant qu'élément de
la politique antivirus et antispyware.
Créez des exceptions
pour les faux positifs
que vous découvrez.
Vous pouvez créer une politique qui inclut des exceptions pour
les faux positifs que vous découvrez. Par exemple, vous pouvez
exécuter un processus ou une application spécifique sur votre
réseau de sécurité. Vous savez que le processus peut s'exécuter
en toute sécurité dans votre environnement. Si les analyses
proactives des menaces TruScan détectent le processus, vous
pouvez créer une exception de sorte que les analyses futures ne
le détectent pas.
Assurez-vous que les ordinateurs client sont configurés pour
envoyer automatiquement à Symantec Security Response des
informations sur les processus détectés par les analyses proactives
des menaces. Ce paramètre est activé par défaut.
A propos de les processus que les analyses proactives des menaces
TruScan ignorent
Les analyses proactives des menaces TruScan autorisent certains processus et
dispensent ces processus des analyses. Symantec gère cette liste de processus.
Symantec remplit généralement cette liste avec les applications qui sont des faux
positifs connus. Les ordinateurs client de votre réseau de sécurité reçoivent
périodiquement des mises à jour de cette liste quand ils téléchargent un nouveau
contenu. Les ordinateurs client peuvent télécharger le contenu de différentes
manières. Le serveur de gestion peut envoyer le contenu mis à jour. Vous ou vos
utilisateurs peut également exécuter LiveUpdate sur les ordinateurs client.
Les analyses proactives des menaces TruScan ignorent certains processus. Ces
processus peuvent inclure les applications pour lesquelles Symantec n'a pas assez
d'informations ou les applications qui chargent d'autres modules.
Vous pouvez également spécifier que les analyses proactives des menaces TruScan
ignorent certains processus. Vous spécifiez que les analyses proactives des menaces
ignorent certains processus en créant une exception centralisée.
Les utilisateurs des ordinateurs client peuvent également créer des exceptions
pour des analyses proactives des menaces. Si une exception définie par
l'administrateur est en conflit à une exception définie par l'utilisateur, les analyses
proactives des menaces appliquent seulement l'exception définie par
l'administrateur. L'analyse ignore l'exception de l'utilisateur.
91
92
Comprendre les détections proactives des menaces TruScan
Quand une analyse proactive des menaces TruScan détecte des processus qu'elle
signale comme potentiellement malveillants, certains de ces processus sont
généralement des processus légitimes. Certaines détections ne fournissent pas
assez d'informations pour pouvoir être classées comme menaces ou faux positifs ;
ces processus sont considérés comme "inconnus."
Une analyse proactive des menaces examine le comportement des processus actifs
pendant qu'elle s'exécute. Le moteur d'analyse recherche des comportements tels
que l'ouverture de ports ou la capture de frappes de clavier. Si un processus
implique une quantité suffisante de ces types de comportements, l'analyse signale
ce processus comme constituant une menace potentielle. L'analyse ne signale pas
le processus s'il n'affiche aucun comportement suspect pendant l'analyse.
Par défaut, les analyses proactives des menaces détectent les processus qui se
comportent comme des chevaux de Troie, des vers ou des enregistreurs de frappe.
Vous pouvez activer ou désactiver ces types de détection dans une politique
Remarque : Les paramètres d'analyse proactive des menaces n'ont aucun effet sur
les analyses antivirus et antispyware, qui utilisent des signatures pour détecter
les risques connus. Le client détecte d'abord les risques connus.
Le client utilise les paramètres par défaut de Symantec pour déterminer quelle
mesure prendre au niveau des éléments détectés. Si le moteur d'analyse détermine
que l'élément n'a besoin d'aucune correction, le client consigne la détection. Si le
moteur d'analyse détermine que l'élément doit être corrigé, le client met en
quarantaine l'élément.
Remarque : Les options pour l'analyse des chevaux de Troie et des vers et pour
l'analyse des enregistreurs de frappe ne sont actuellement pas prises en charge
sur les systèmes d'exploitation de serveur Windows. Vous pouvez modifier les
options dans la politique antivirus et antispyware des clients qui s'exécutent sur
des systèmes d'exploitation de serveur, mais les analyses ne s'exécutent pas. Dans
l'interface utilisateur client des systèmes d'exploitation de serveur, les options
d'analyse ne sont pas disponibles. Si vous activez les options d'analyse dans la
politique, elles sont sélectionnées et non disponibles.
Les paramètres par défaut de Symantec sont également utilisés pour déterminer
la sensibilité de l'analyse proactive des menaces. Quand le niveau de sensibilité
est plus élevé, plus de processus sont signalés. Quand le niveau de sensibilité est
plus bas, moins de processus sont signalés. Le niveau de sensibilité n'indique pas
le niveau de certitude relatif à la détection. De même, il n'affecte pas le taux de
détections de faux positifs. Plus le niveau de sensibilité est élevé, plus l'analyse
détecte des faux positifs et des vrais positifs.
Utilisez les paramètres par défaut de Symantec pour mieux réduire le nombre de
faux positifs que vous détectez.
Vous pouvez désactiver les paramètres par défaut de Symantec. Quand vous
désactivez les paramètres par défaut de Symantec, vous pouvez configurer les
actions et le niveau de sensibilité pour la détection des chevaux de Troie, des vers
ou des enregistreurs de frappe. Dans l'interface utilisateur client, les paramètres
par défaut qui apparaissent ne reflètent pas les paramètres par défaut de Symantec.
Ils reflètent les paramètres par défaut utilisés quand vous gérez manuellement
les détections.
Pour les applications commerciales, vous pouvez spécifier la mesure que le client
prend quand une analyse proactive des menaces fait une détection. Vous pouvez
spécifier des actions distinctes pour la détection d'un enregistreur de frappe
commercial et la détection d'une application commerciale de téléintervention.
Remarque : Les utilisateurs sur des ordinateurs client peuvent modifier les
paramètres d'analyse proactive des menaces si les paramètres sont déverrouillés
dans la politique antivirus et antispyware. Sur l'ordinateur client, les paramètres
d'analyse proactive des menaces TruScan apparaissent sous Protection proactive
contre les menaces.
Spécifier les types de processus que les analyses proactives
des menaces détectent
Par défaut, les analyses proactives des menaces TruScan détectent les chevaux
de Troie, les vers et les enregistreurs de frappe. Vous pouvez désactiver la détection
des chevaux de Troie et des vers ou des enregistreurs de frappe.
Vous pouvez cliquer sur Aide pour plus d'informations sur les options de type de
processus de l'analyse.
Pour spécifier les types de processus que les analyses proactives des menaces
TruScan détectent
1
Dans la page Politique antivirus et antispyware, cliquez sur Analyses
proactives des menaces TruScan.
2
Dans l'onglet Détails de l'analyse, sous Analyse, cochez ou désélectionnez
Rechercher les chevaux de Troie et les vers et Rechercher les enregistreurs
de frappe.
3
Cliquez sur OK.
93
94
Spécification des actions et des niveaux de sensibilité pour
détecter des chevaux de Troie, des vers et des enregistreurs
de frappe
Les analyses proactives des menaces TruScan diffèrent des analyses antivirus et
antispyware. Les analyses d'antivirus et de protection contre les logiciels espions
recherchent des risques connus. Les analyses proactives des menaces recherchent
des risques inconnus basés sur le comportement de certains types de processus
ou d'applications. Les analyses détectent n'importe quel comportement semblable
au comportement des chevaux de Troie, des vers ou des enregistreurs de frappe.
Quand vous permettez à Symantec de gérer les détections, l'action de détection
est Mettre en quarantaine pour les vrais positifs et Consigner suelement pour les
faux positifs.
Quand vous gérez les détections vous-même, vous pouvez configurer l'action de
détection. Cette action est toujours utilisée quand les analyses proactives des
menaces effectuent une détection. Par exemple, vous pourriez spécifier que le
client de Symantec Endpoint Protection consigne la détection des processus qui
se comportent comme des chevaux de Troie et des vers. Quand le client effectue
une détection, il ne met pas le processus en quarantaine, il consigne seulement
l'événement.
Vous pouvez configurer le niveau de sensibilité. Les analyses proactives des
menaces effectuent plus de détections (vrais positifs et faux positifs) quand vous
définissez le niveau de sensibilité plus haut.
Remarque : Si vous activez ces paramètres, vous risquez de détecter beaucoup de
faux positifs. Vous devez connaître les types de processus que vous exécutez dans
votre réseau de sécurité.
Vous pouvez cliquer sur Aide pour plus d'informations sur les options d'action et
de sensibilité de l'analyse.
Pour spécifier l'action et la sensibilité des chevaux de Troie, des vers ou des
enregistreurs de frappe
1
2
Dans l'onglet Détails de l'analyse, sous Analyse, assurez-vous d'activer les
options Rechercher les chevaux de Troie et les vers et Rechercher les
enregistreurs de frappe.
3
Pour l'un ou l'autre type de risque, désactivez la case Utiliser les paramètres
par défaut définis par Symantec.
4
Pour l'un ou l'autre type de risque, définissez l'action sur Journal, Supprimer
ou Mise en quarantaine.
Des notifications sont envoyées si une action est définie sur Mettre en
quarantaine ou sur Terminer, et si vous avez activé les notifications. (Les
notifications sont activées par défaut.) Utilisez l'action Terminer avec
prudence. Dans certains cas, vous pouvez entraîner la perte de fonctionnalité
d'une application.
5
6
■
Déplacez la case de défilement vers la gauche ou la droite ou augmenter,
respectivement la sensibilité.
■
Cliquez sur Basse ou Elevée.
Cliquez sur OK.
Spécifier des actions pour les détections d'application
commerciale
Vous pouvez modifier l'action effectuée quand une analyse proactive des menaces
TruScan fait une détection. Si vous définissez l'action sur Ignorer, les analyses
proactives des menaces ignorent les applications commerciales.
Vous pouvez cliquer sur Aide pour obtenir plus d'informations sur les options
utilisées dans les procédures.
Pour spécifier des actions pour les détections d'application commerciale
1
2
Dans l'onglet Détails de l'analyse, sous Application commerciale détectée,
définissez l'opération à effectuer : Ignorer, Consigner, Arrêter ou Mettre en
quarantaine.
3
Cliquez sur OK.
Les politiques de pare-feu permettent de configurer le pare-feu sur des ordinateurs
client.
Une politique de pare-feu permet les types de protection suivants pour des
ordinateurs client :
■
Les règles de filtrage contrôlent comment le pare-feu protège les ordinateurs
contre les applications et le trafic entrant malveillants. Le pare-feu vérifie
automatiquement tous les paquets entrants et sortants avec ces règles. Le
95
96
pare-feu autorise ou bloque alors les paquets selon les données spécifiées dans
les règles.
■
Les filtres de trafic intelligents autorisent le trafic DHCP, DNS et WINS.
■
Les paramètres de trafic et de furtivité détectent et bloquent le trafic provenant
de certains pilotes, protocoles ou d'autres sources.
■
L'authentification point à point empêche un ordinateur distant de se connecter
à un ordinateur client tant que l'ordinateur client n'a pas authentifié cet
ordinateur distant. L'authentification point à point applique la politique
Tableau 4-8
Procédure de configuration et de test d'une politique de pare-feu
Pour
Description
effectuer
cette étape
Voir la section
Etape 1 :
Créez une politique de pare-feu pour Se reporter à "Création d'une
autoriser ou bloquer une application. politique de pare-feu pour autoriser
ou bloquer une application"
à la page 97.
Etape 2 :
Etape 3 :
sur les clients.
Etape 4 :
Testez si la politique de pare-feu
fonctionne.
Se reporter à "Test de la politique de
pare-feu" à la page 99.
A propos des règles de filtrage
Les règles de filtrage contrôlent la manière dont le client protège l'ordinateur
client du trafic entrant et sortant malveillant. Le pare-feu vérifie automatiquement
tous les paquets entrants et sortants en fonction de ces règles. Le pare-feu autorise
ou bloque alors les paquets en fonction des informations spécifiées dans les règles.
Quand un ordinateur essaye de se connecter à un autre ordinateur, le pare-feu
compare le type de connexion à sa liste de règles de filtrage.
A propos des éléments d'une règle de filtrage
Généralement une règle de pare-feu décrit les conditions dans lesquelles une
connexion réseau peut être autorisée ou refusée. Vous utilisez les critères suivants
pour définir une règle de pare-feu :
Déclencheurs
Applications, hôtes, protocoles et cartes réseau
Lorsque le pare-feu évalue la règle, tous les déclencheurs doivent être
vrais pour qu'une correspondance soit positive. Si l'un des déclencheurs
n'est pas vrai par rapport au paquet actuel, le pare-feu ne peut pas
appliquer la règle. Vous pouvez combiner les définitions de déclencheur
pour former des règles plus complexes, par exemple pour identifier un
protocole particulier par rapport à une adresse de destination spécifique.
Conditions
Planification et état d'écran de veille
Les paramètres conditionnels ne décrivent pas un aspect d'une connexion
réseau. Ils déterminent l'état d'activité d'une règle. Vous pouvez définir
une planification ou identifier un état d'écran de veille qui détermine
quand une règle est considérée active ou inactive. Les paramètres
conditionnels sont facultatifs et non significatifs s'ils ne sont pas définis.
Le pare-feu n'évalue pas les règles inactives.
Actions
Autoriser ou bloquer et consigner ou ne pas consigner
Les paramètres d'action spécifient quelles mesures le pare-feu prend quand
il trouve une correspondance avec une règle. Si la règle correspond et est
sélectionnée en réponse à un paquet reçu, le pare-feu exécute toutes les
actions. Le pare-feu autorise ou bloque le paquet et consigne ou ne consigne
pas le paquet. Si le pare-feu permet le trafic, il laisse le trafic spécifié par
la règle accéder à votre réseau. Si le pare-feu bloque le trafic, il bloque le
trafic spécifié par la règle de sorte qu'il n'accède pas au réseau.
Une règle qui combine tous les critères pourrait permettre le trafic de l'adresse
IP 192.58.74.0 sur le port distant 80 entre 9 heures et 17 heures chaque jour.
Création d'une politique de pare-feu pour autoriser ou bloquer une
application
Vous pouvez créer une règle de politique de pare-feu pour autoriser ou bloquer
une application spécifique sur un ordinateur client. Vous pouvez par exemple
choisir d'autoriser ou de bloquer la connexion d'Internet Explorer aux ressources
extérieures au pare-feu en ajoutant une règle à une politique de pare-feu. Vous
pouvez également créer des règles permettant d'autoriser ou de bloquer des types
spécifiques de trafic, de communications d'hôte ou de services réseau.
Lors de la création d'une règle, elle est configurée par défaut pour autoriser
l'application spécifiée. Après sa création, vous pouvez modifier la règle pour
bloquer l'application.
97
98
Remarque : Pour tester la règle créée dans cette procédure, Internet Explorer doit
être installé sur l'ordinateur client.
Pour créer une politique de pare-feu permettant d'autoriser ou de bloquer une
application
1
2
Sur la page Politiques, sous Afficher les politiques, cliquez sur Pare-feu.
3
Sous Tâches, cliquez sur Ajouter une politique de pare-feu.
4
Spécifiez un nom et éventuellement une description pour la politique.
5
Vérifiez si la case Activer cette politique est cochée.
6
Dans la page Firewall Policy, cliquez sur Règles.
7
Dans l'onglet Règles, sous la liste Règles, cliquez sur Ajouter une règle.
8
Dans l'Assistant de règle de filtrage, cliquez sur Suivant.
9
Dans le volet Sélectionner un type de règle, cliquez sur Application, puis sur
Suivant.
10 Dans le volet Spécifier les informations d'application, sélectionnez Définir
une application, puis cliquez sur Suivant.
11 Dans le volet Définir une application, dans le champ Nom de fichier, tapez
iexplore.exe.
Vous pouvez également rechercher le fichier ou taper le chemin d'accès
complet au fichier dans le champ.
12 Le cas échéant, entrez des valeurs pour les champs Description de fichier,
Taille, Dernière modification et Signature de fichier.
13 Cliquez sur Suivant.
14 Cliquez sur Terminer pour fermer l'assistant.
15 Afin de configurer la règle pour bloquer Internet Explorer, sélectionnez la
règle qui affiche iexplorer.exe dans la colonne Application.
Il doit s'agir de la dernière ligne au-dessus de la ligne bleue dans le tableau.
16 Cliquez avec le bouton droit de la souris sur Autoriser dans la colonne Action,
puis sélectionnez Bloquer.
17 Sur la page Règles, cliquez sur OK.
18 Affectez la politique à un groupe.
Test de la politique de pare-feu
Pour tester la politique de pare-feu mise à jour sur l'ordinateur client, vous pouvez
lancer Internet Explorer et essayer d'accéder au site Web Symantec à l'adresse
http://www.symantec.fr. Vous devez pour cela disposer d'un ordinateur client
pouvant se connecter aux sites Web en ligne. Si la règle de blocage concernant
Internet Explorer à été correctement mise à jour sur le client, le navigateur essaye
d'accéder à la page pendant plusieurs secondes, puis affiche un message indiquant
que la page Web ou le serveur est introuvable.
Pour vous assurer que la communication a été bloquée par la règle, vous pouvez
désactiver la protection contre les menaces réseau sur le client. Dès lors que la
protection est désactivée, ouvrez une nouvelle fenêtre Internet Explorer et tentez
d'accéder au site Web de Symantec. Après le chargement du site Web, activez la
protection contre les menaces réseau puis essayez de réactualiser la page Web.
Après plusieurs secondes, le navigateur affiche de nouveau un message indiquant
que la page ou le serveur est introuvable.
Configuration et test d'une bibliothèque IPS
personnalisée
Une bibliothèque IPS personnalisée est une collection de signatures IPS
personnalisées. Vous pouvez créer des signatures IPS personnalisées pour
compléter ou remplacer les signatures IPS Symantec de la politique de prévention
d'intrusion.
Tableau 4-9
Procédure de configuration et de test d'une bibliothèque IPS
personnalisée
Pour
Description
effectuer
cette étape
Voir la section
Etape 1 :
signatures IPS personnalisées"
à la page 100.
Informez-vous sur les signatures IPS
personnalisées et l'écriture de la
syntaxe correspondante pour des
exemples de signatures IPS
personnalisées. Les deux signatures
détectent des tentatives de
téléchargement de fichiers MP3 par
un navigateur Web et un client FTP.
Se reporter à "A propos de la création
de signatures IPS personnalisées
pour détecter une tentative de
téléchargement de fichiers MP3"
à la page 102.
99
100
Pour
Description
effectuer
cette étape
Voir la section
Etape 2 :
Créez la bibliothèque IPS
personnalisée et ajoutez une
signature IPS personnalisée.
Se reporter à "Création de signatures
IPS personnalisées" à la page 104.
Etape 3 :
Se reporter à "Attribution de
multiples bibliothèques IPS
personnalisées à un groupe"
à la page 108.
Etape 4 :
sur les clients.
Etape 5 :
Testez le fonctionnement de la
signature IPS personnalisée.
Se reporter à "Test de la signature
IPS personnalisée" à la page 108.
A propos des signatures IPS personnalisées
Le client contient un moteur IPS supplémentaire qui prend en charge les signatures
basées sur paquet. Tant le moteur basé sur flux que celui basé sur paquet détectent
les signatures dans les données réseau qui attaquent la pile TCP/IP, les composants
du système d'exploitation et la couche application. Cependant, les signatures
basées sur paquet peuvent détecter des attaques dans la pile TCP/IP plus
rapidement que les signatures basées sur flux.
Le moteur basé sur paquet ne détecte pas les signatures couvrant plusieurs paquets.
Le moteur IPS basé sur paquet est plus limité, car il ne bufferise pas les
correspondances partielles et analyse seulement les résultats d'activation de
paquets uniques.
les signatures basées sur paquet examinent un paquet unique qui correspond à
une règle. La règle est basée sur plusieurs critères, tels que le port, le protocole,
l'adresse IP source ou destination, le nombre d'indicateurs TCP ou une application.
Par exemple, une signature personnalisée peut contrôler les paquets de données
reçus pour la chaîne "phf" dans GET / cgi-bin/phf? comme indicateur d'une attaque
de programme CGI. Chaque paquet est évalué pour ce modèle spécifique. Si le
paquet de trafic correspond à la règle, le client permet ou bloque le paquet et
consigne éventuellement l'événement dans le journal des paquets.
Une signature IPS personnalisée comprend les éléments suivants :
■
Nom descriptif
Le nom et la description apparaissent dans le journal de sécurité et
éventuellement dans le journal des paquets.
■
Description facultative
■
Gravité
Fournit un niveau de gravité pour l'événement dans le journal de sécurité si
l'événement déclenche la signature.
■
Direction du trafic
■
Contenu
Le contenu est la syntaxe. Utilisez la syntaxe standard suivante :
rule type de protocole, [options de protocole,]
[options de protocole IP,] msg, content...
■
rule type de protocole, [options de protocole,] [options de protocole IP,] = La
description de trafic.
■
msg = La chaîne de texte qui apparaît dans le journal de sécurité.
■
content = La chaîne comparée au composant de corps du paquet pour une
éventuelle correspondance.
■
Application facultative
Vous pouvez éventuellement fournir le nom d'application qui déclenche la
signature. Le moteur IPS peut alors comparer la signature aux seules
applications spécifiées au lieu de toutes les applications. En fournissant le nom
de l'application, vous pouvez également aider à réduire les faux positifs
éventuellement générés par d'autres applications.
■
Action à effectuer lorsque l'événement déclenche la signature.
Lorsqu'une signature est déclenchée, le trafic est autorisé ou bloqué et cette
action est consignée dans le journal de sécurité. Lorsque le niveau de gravité
est élevé, il est conseillé de bloquer le traffic. Autorisez le trafic si vous voulez
seulement le contrôler. Vous pouvez éventuellement consigner l'événement
dans le journal des paquets. Le journal des paquets contient un vidage mémoire
de paquet de la transaction.
Les signatures peut entraîner des faux positifs car ils sont souvent basés sur des
expressions régulières et des correspondances de chaînes. Les signatures
personnalisées utilisent les deux critères pour rechercher des chaînes en essayant
de correspondre à un paquet.
Le client n'inclut pas les signatures personnalisées par défaut. Vous créez des
signatures IPS personnalisées.
Se reporter à "Création de signatures IPS personnalisées" à la page 104.
101
102
A propos de la création de signatures IPS personnalisées pour détecter
une tentative de téléchargement de fichiers MP3
Vous pouvez créer des exemples de signatures IPS personnalisées permettant de
détecter une tentative d'accés et de téléchargement de fichiers MP3 par un
navigateur Web ou un client FTP. Pour détecter un fichier MP3 et bloquer son
accès, vous devez écrire deux signatures. Une signature détecte le fichier MP3
par le service HTTP. La deuxième signature détecte le fichier MP3 par le service
FTP.
Le format des fichiers MP3 les rend difficiles à détecter dans le trafic réseau. Vous
pouvez toutefois afficher les paquets TCP pour trouver les commandes et les
protocoles utilisés pour récupérer les fichiers MP3. Vous pouvez alors utiliser ces
données pour créer la syntaxe d'une signature IPS personnalisée.
L'illustration suivante est une capture de paquet d'une requête HTTP GET pour
un fichier MP3 :
Au cours d'une session HTTP ou FTP, le serveur et client échangent des données.
Ces données sont contenues dans les paquets TCP destinés au service compétent
sur le serveur. Le service HTTP utilise le port 80 et le service de FTP utilise le
port 21. Le corps des paquets TCP contient les données requises.
Les paquets mis en surbrillance affichent la commande HTTP GET utilisée par
les navigateurs Web pour le téléchargement de fichiers. Le client FTP utilise la
commande FTP RETR pour télécharger des fichiers. La commande FTP est
également utilisée pour récupérer plusieurs fichiers avec la commande MGET. Le
nom de fichier et l'extension mp3 respective sont présents dans les deux requêtes.
Les deux protocoles insèrent des caractères [CR][LF] pour indiquer la fin de la
requête.
Les signatures personnalisées doivent également contenir plusieurs paramètres,
y compris une expression standard qui identifie les commandes spécifiques à
bloquer. Les expressions standard sont des motifs de caractères à comparer au
contenu du paquet. Les commandes à bloquer sont contenues dans ces paquets.
Puisque vous ne connaissez pas le nom du fichier MP3, vous pouvez utiliser le
103
caractère générique (*) pour indiquer le nombre inconnu de caractères entre la
commande et le nom de fichier. La commande doit figurer en minuscules, mais la
casse de l'extension de fichier peut varier.
Utilisez la syntaxe standard pour écrire le contenu :
rule type de protocole, [options de protocole,] [option de protocole IP
] msg, contenu...
Le contenu de la signature HTTP contient la syntaxe suivante :
rule tcp, dest=(80 443), tcp_flag&ack, saddr=$LOCALHOST,
msg="MP3 GET détecté dans HTTP",
regexpcontent="[Gg][Ee][Tt] .*[Mm][Pp]3 .*\x0d\x0a"
Le contenu de la signature FTP contient la syntaxe suivante :
rule tcp, dest=(21), tcp_flag&ack, saddr=$LOCALHOST,
msg="MP3 GET détecté dans FTP",
regexpcontent="[Rr][Ee][Tt][Rr] .*[Mm][Pp]3\x0d\x0a"
Le Tableau 4-10 détaille les parties des signatures HTTP et FTP.
Tableau 4-10
Syntaxe des signatures HTTP et FTP
Utilisez la syntaxe suivante
Pour effectuer la tâche suivante
Pour la signature HTTP :
Indique au moteur basé sur paquet quel trafic
analyser. Ainsi, le moteur ne consacre pas de
ressources système à l'analyse du trafic inutile.
Plus les informations fournies sont détaillées,
meilleures seront les performances du moteur
basé sur paquets.
rule tcp dest=(80,443)
Pour la signature FTP :
rule tcp dest=(21)
Cet argument limite les ports de destination à
80 et 443 pour le service HTTP et à 21 pour le
service FTP.
tcp_flag&ack
Réduit le nombre de faux positifs.
saddr=$LOCALHOST
Vérifie si la requête provient de l'hôte.
Affiche le nom de la signature lorsqu'elle est
déclenchée. Le nom s'affiche dans le Journal de
sécurité. Utilisez une chaîne descriptive pour
pouvoir identifier la signature déclenchée dans
le journal.
msg="MP3 GET dans HTTP"
msg="MP3 GET dans FTP"
104
Utilisez la syntaxe suivante
Pour effectuer la tâche suivante
Compare cette chaîne au corps des paquets TCP
du trafic HTTP ou FTP. Pour réduire le nombre
de faux positifs, utilisez cet argument avec
prudence.
regexpcontent="[Gg][Ee][Tt]
.*[Mm][Pp]3 .*\x0d\x0a"
La chaîne est comparée au texte ASCII du
paquet TCP, qui est "GET [.*].mp3[CR][LF]" pour
regexpcontent="[Rr][Ee][Tt][Rr] la signature HTTP et "RETR [.*].mp3[CR][LF]"
.*[Mm][Pp]3\x0d\x0a"
pour la signature FTP.
La chaîne est écrite de sorte à ignorer la casse
du texte.
Création de signatures IPS personnalisées
Vous pouvez enregistrer vos propres signatures pour identifier une intrusion
spécifique et pour réduire la possibilité de signatures qui entraînent un faux
positif. Plus vous ajoutez d'informations à une signature personnalisée, plus
celle-ci est efficace.
Quand vous créez une bibliothèque personnalisée, vous pouvez organiser des
signatures en groupes pour les gérer plus facilement. Vous devez ajouter au moins
un groupe de signatures à une bibliothèque personnalisée de signatures avant
d'ajouter les signatures au groupe. Vous pouvez copier et coller des signatures
entre les groupes et entre les bibliothèques.
Avertissement : Vous devez être familiarisé avec les protocoles TCP, UDP ou ICMP
pour développer des signatures de prévention d'intrusion. Une signature
incorrectement formée peut corrompre la bibliothèque IPS personnalisée et
endommager l'intégrité des clients.
Pour créer des signatures IPS personnalisées, vous devez effectuer les étapes
suivantes :
■
Créez une bibliothèque IPS personnalisée.
■
Ajoutez une signature.
Pour créer une bibliothèque IPS personnalisée
1
Dans la console, cliquez sur Politiques et cliquez sur Prévention d'intrusion.
2
Sous Tâches, cliquez sur Ajouter des signatures de prévention d'intrusion
personnalisée.
3
Dans la boîte de dialogue Signatures personnalisées de prévention d'intrusion,
tapez un nom et description facultative pour la bibliothèque.
Le groupe NetBIOS Groupe est un groupe de signatures témoin avec une
signature témoin. Vous pouvez modifier le groupe existant ou ajouter un
nouveau groupe.
4
Pour ajouter un nouveau groupe, dans l'onglet Signatures, sous la liste Groupes
de signatures, cliquez sur Ajouter.
5
Dans la boîte de dialogue Groupe de signatures de prévention d'intrusion,
tapez un nom de groupe et une description facultative et cliquez sur OK.
Le groupe est activé par défaut. Si le groupe de signatures est activé, toutes
les signatures au sein du groupe sont activées automatiquement. Pour
conserver le groupe pour référence mais le désactiver, supprimez la coche
Activer ce groupe.
6
Ajoutez une signature personnalisée.
Pour ajouter une signature personnalisée
1
Créez une bibliothèque IPS personnalisée.
2
Dans l'onglet Signatures, sous Signatures pour ce groupe, cliquez sur Ajouter.
3
Dans la boîte de dialogue Ajouter une signature, tapez un nom et une
description facultative pour la signature.
4
Dans la liste déroulante Gravité, sélectionnez un niveau de gravité.
Les événements qui correspondent aux conditions de signature sont consignés
avec cette gravité.
5
Dans la liste déroulante Sens, spécifiez la direction du trafic que vous voulez
que la signature vérifie.
105
106
6
Dans le champ Contenu, tapez la syntaxe de la signature.
Par exemple, la signature HTTP inclut la syntaxe suivante :
rule tcp, dest=(80,443), tcp_flag&ack, saddr=$LOCALHOST,
msg="MP3 GET détecté dans HTTP",
regexpcontent="[Gg][Ee][Tt] .*[Mm][Pp]3 .*\x0d\x0a"
Pour plus d'informations sur la syntaxe, cliquez sur Aide.
7
Si vous voulez qu'une application déclenche la signature, cliquez sur Ajouter.
8
Dans la boîte de dialogue Ajouter une application, tapez le nom de fichier et
une description facultative pour l'application.
Par exemple, pour ajouter l'application Microsoft Internet Explorer, tapez
iexplore ou iexplore.exe en tant que nom de fichier. Si vous ne spécifiez pas
de nom de fichier, n'importe quelle application peut déclencher la signature.
9
Cliquez sur OK.
L'application ajoutée est activée par défaut. Si vous voulez désactiver
l'application plus tard, décochez la case de la colonne Enabled (Activé).
10 Dans la zone de groupe Action, sélectionnez l'action que vous voulez que le
client effectue quand la signature détecte l'événement :
Bloquer
Identifie et bloque les évènements ou les attaques et les enregistre dans
le Journal de Sécurité.
Autoriser
Identifie et autorise les évènements ou les attaques et les enregistre dans
le Journal de Sécurité.
11 Pour enregistrer l'événement ou l'attaque dans le journal des paquets, activez
l'option Ecrire dans le journal de paquet.
12 Cliquez sur OK.
La signature ajoutée est activée par défaut. Si vous voulez désactiver la
signature plus tard, décochez la case de la colonne Enabled (Activé).
13 Pour ajouter des signatures supplémentaires au groupe de signatures, répétez
les étapes 2 à 12.
Par exemple, la signature FTP inclut la syntaxe suivante :
rule tcp, dest=(21), tcp_flag&ack, saddr=$LOCALHOST,
msg="MP3 GET détecté dans FTP",
regexpcontent="[Rr][Ee][Tt][Rr] .*[Mm][Pp]3\x0d\x0a"
Pour modifier ou supprimer une signature, sélectionnez-la et cliquez sur
Modifier ou Supprimer.
14 Si vous avez terminé avec la configuration de cette bibliothèque, cliquez sur
OK.
15 Si nécessaire, assignez les signatures IPS personnalisées à un groupe.
Vous pouvez également assigner à un groupe plusieurs bibliothèques IPS
personnalisées.
Se reporter à "Attribution de multiples bibliothèques IPS personnalisées à
un groupe" à la page 108.
107
108
Attribution de multiples bibliothèques IPS personnalisées à
un groupe
Après avoir créé une bibliothèque IPS personnalisée, vous l'attribuez à un groupe
plutôt qu'à un emplacement particulier. Vous pouvez ultérieurement attribuer
au groupe des bibliothèques IPS personnalisées supplémentaires.
Pour attribuer de multiples bibliothèques IPS personnalisées à un groupe
1
2
Sous Afficher les clients, sélectionnez le groupe auquel vous souhaitez
attribuer les signatures personnalisées.
3
Dans l'onglet Politiques, sous Politiques et paramètres indépendants de
l'emplacement, cliquez sur Prévention d'intrusion personnalisée.
4
Dans la boîte de dialogue Prévention d'intrusion personnalisée pour nom de
groupe, vérifiez la case à cocher de la colonne Activée de chaque bibliothèque
IPS à attribuer à ce groupe.
5
Cliquez sur OK.
Test de la signature IPS personnalisée
Pour tester les signatures IPS personnalisées, vous pouvez effectuer les tâches
suivantes, dans l'ordre :
■
Assurez-vous que la politique a été mise à jour sur l'ordinateur client.
La prochaine fois que le client reçoit la politique, il applique les nouvelles
signatures IPS.
Se reporter à "Vérification de la mise à jour des politiques" à la page 75.
■
Essayez de télécharger un fichier MP3 sur l'ordinateur client.
Pour tester les deux signatures, vous devez tester ce téléchargement par un
client FTP et par un navigateur Web. Si le téléchargement échoue ou expire
après de nombreuses tentatives, la signature IPS personnalisée est réussie.
■
Consultez les événements bloqués sur la console Symantec Endpoint Protection
Manager.
Vous pouvez afficher les événements enregistrés par le journal Attaques de
la protection contre les menaces réseau dès lors que le client a bloqué le
téléchargement du fichier MP3.
Configuration et test d'une politique de contrôle des applications et des périphériques
Pour essayer de télécharger le fichier MP3 sur l'ordinateur client
1
Sur l'ordinateur client, essayez de télécharger un fichier MP3 vers un client
FTP.
Le client peut être basé sur ligne de commande ou disposer d'une interface
utilisateur graphique, puisque tous les clients connus utilisent la même
commande RETR. La commande expire et le serveur distant réinitialise la
connexion, qui déconnecte le client.
2
Ouvrez un navigateur Web tel qu'Internet Explorer et essayez de télécharger
un fichier MP3.
Le téléchargement ne devrait pas se produire.
Le client enregistre ces événements dans journal de sécurité et le journal des
paquets. Le client envoie alors les résultats au serveur de gestion quelques
minutes plus tard.
Pour afficher l'événement bloqué dans la console Symantec Endpoint Protection
Manager
1
Sur la console, cliquez sur Contrôles, puis sur Journaux.
2
Dans l'onglet Journaux, dans la liste déroulante Type de journal, cliquez sur
Protection contre les menaces réseau.
3
Dans la liste déroulante Contenu du journal, cliquez sur Attaques, puis sur
Afficher les journaux.
4
Dans le volet Journaux de protection contre les menaces réseau, cliquez sur
MP3 GET détecté dans HTTP ou MP3 GET détecté dans FTP, puis cliquez
sur Détails.
5
Fermez la boîte de dialogue Informations détaillées sur l'événement de
protection contre les menaces réseau.
Configuration et test d'une politique de contrôle des
applications et des périphériques
Les politiques de contrôle des applications et des périphériques permettent de
mettre en place un contrôle des applications et des périphériques sur des
ordinateurs client.
Une politique de contrôle des applications et des périphériques permet d'appliquer
aux ordinateurs client les types de protection suivants :
109
110
■
Le contrôle des applications permet de surveiller les appels API Windows
effectués sur les ordinateurs client et de contrôler l'accès aux fichiers, dossiers,
clés de registre et processus des clients.
Il protège les ressources système des applications.
■
Le contrôle des périphériques assure la gestion des périphériques pouvant se
connecter aux ordinateurs.
Tableau 4-11
Procédure de configuration et de test d'une politique de contrôle
des applications et des périphériques
Pour
Description
effectuer
cette étape
Voir la section
Etape 1 :
Activez les groupes de règles à
Se reporter à "Créer un ensemble de
utiliser dans la politique de contrôle règles par défaut de contrôle des
des applications et des périphériques applications" à la page 110.
par défaut.
Etape 2 :
Créez un nouveau groupe de règles
de contrôle des applications et
ajoutez-le à la politique de contrôle
des applications et des périphériques
par défaut.
Se reporter à "Création d'un groupe
de règles de contrôle de l'application
et ajout d'une nouvelle règle au
groupe" à la page 112.
Etape 3 :
Informez-vous sur le contrôle des
périphériques.
Se reporter à "A propos du contrôle
des périphériques" à la page 120.
Ajoutez un périphérique à la liste
Périphériques matériels.
Se reporter à "Ajout d'un
périphérique à la liste Périphériques
matériels" à la page 123.
Personnalisez la partie contrôle des
applications de la politique de
Se reporter à "Configuration d'un
contrôle des applications et des
contrôle des périphériques pour une
périphériques par défaut.
politique de contrôle des applications
et des périphériques" à la page 124.
Etape 4 :
Etape 5 :
sur les clients.
Créer un ensemble de règles par défaut de contrôle des applications
La partie contrôle des applications d'une politique de contrôle des applications
et des périphériques se compose des ensembles de règles de contrôle des
applications. Chaque ensemble de règles de contrôle des applications se compose
d'une ou plusieurs règles. Des ensembles de règles par défaut de contrôle des
applications sont installés lorsque vous installez Symantec Endpoint Protection
Manager. Les ensembles de règles par défaut sont désactivés lors de l'installation.
Remarque : Ne modifiez pas ces ensembles de règles de contrôle des applications
par défaut. Si les groupes de règles et les contrôles par défaut ne répondent pas
à vos exigences, vous pouvez créer des groupes de règles de contrôle des
applications personnalisés.
Si vous voulez utiliser les ensembles de règles par défaut d'une politique de contrôle
des applications et des périphériques, vous devez les activer.
Pour créer un ensemble de règles par défaut de contrôle des applications :
1
2
Sous Afficher les politiques, cliquez sur Contrôle des applications et des
périphériques.
3
Dans le volet Politiques de contrôle des applications et des périphériques,
cliquez sur la politique à laquelle vous voulez ajouter un groupe de règles par
défaut de contrôle des applications.
4
Sous Tâches, cliquez sur Modifier la politique.
5
Dans le volet Politique de contrôle des applications et des périphériques,
cliquez sur Contrôle des applications.
6
Pour examiner la configuration d'un ensemble de règles par défaut de contrôle
des applications, cliquez sur le nom sous Groupe de règles, puis sur Modifier.
Prenez soin de n'effectuer aucune modification.
7
Lorsque vous avez terminé la révision de la configuration des règles et des
conditions, cliquez sur Annuler.
8
Cochez la case en regard de chaque ensemble de règles à activer.
Par exemple, à côté du groupe de règles Bloquer l'écriture sur des lecteurs
USB, sélectionnez la case à cocher dans la colonne Activée.
9
Cliquez sur OK.
Pour tester le groupe de règles Bloquer l'écriture sur des lecteurs USB
1
Sur l'ordinateur client, connectez un lecteur USB.
2
Ouvrez l'Explorateur Windows et cliquez deux fois sur le lecteur USB.
111
112
3
Cliquez avec le bouton droit de la souris sur la fenêtre et cliquez sur Nouveau
> Dossier.
4
Si le contrôle des applications est actif, unmessage d'erreur Impossible de
créer le dossier s'affiche.
Création d'un groupe de règles de contrôle de l'application et ajout
d'une nouvelle règle au groupe
Un nouveau groupe de règles d'application contient une ou plusieurs règles définies
par l'administrateur. Chaque groupe de règles et chaque règle comportent des
propriétés. Chaque règle peut également comporter une ou plusieurs conditions
permettant de surveiller les applications et leur accès à des fichiers, dossiers, clés
de registre et processus donnés.
Vous pouvez créer des règles multiples et les ajouter à un groupe unique de règles
de contrôle de l'application. Créez le nombre de règles et de groupes de règles
nécessaires pour mettre en œuvre la protection souhaitée. Vous pouvez librement
supprimer des règles dans la liste des règles et modifier leur position dans la
hiérarchie des groupes de règles. Vous pouvez également activer et désactiver
des groupes de règles ou des règles individuelles au sein d'un groupe.
L'ordre dans lequel les règles sont répertoriées est important pour le
fonctionnement du contrôle de l'application. Les règles de contrôle de l'application
fonctionnent comme la plupart des règles de pare-feu réseau, dans le sens où elles
font toutes les deux appel à la fonction de première correspondance de règle. S'il
existe plusieurs règles pour lesquelles les conditions sont vraies, la règle supérieure
est la seule qui est appliquée, sauf si l'action qui est configurée pour la règle est
de continuer à traiter d'autres règles.
Afin d'éviter toute conséquence inattendue, prenez en compte l'ordre des règles
et leurs conditions lors de leur configuration. Envisagez le scénario suivant :
supposez qu'un administrateur souhaite empêcher tous les utilisateurs de déplacer,
copier et créer des fichiers sur des unités USB. L'administrateur dispose d'une
règle avec une condition permettant l'accès en écriture à un fichier nommé
Test.doc. L'administrateur ajoute une deuxième condition à cette règle existante
pour bloquer l'ensemble des lecteurs USB. Dans cet exemple, les utilisateurs sont
toujours en mesure de créer et de modifier un fichier Test.doc sur les lecteurs
USB. Puisque, dans la règle, la condition Permettre l'accès en écriture à Test.doc
vient avant la condition Bloquer l'accès en écriture aux lecteurs USB, cette dernière
condition n'est pas traitée car la condition précédente dans la règle est vraie.
Vous pouvez vérifier la structure des groupes de règles par défaut pour voir la
façon dont ils sont conçus.
Avertissement : Seuls les administrateurs avancés peuvent créer des groupes de
règles de contrôle de l'application.
Les erreurs de configuration dans les groupes de règles utilisés dans une politique
de contrôle et d'application peuvent désactiver un ordinateur ou un serveur.
L'ordinateur client peut échouer ou sa communication avec Symantec Endpoint
Protection Manager peut être bloquée.
Vous pouvez ajouter et tester un groupe de règles comprenant plusieurs règles
qui contrôlent une application sur l'ordinateur client. Les règles peuvent être
ajoutées et testées une par une ou ajoutées simultanément et testées par la suite.
Pour créer un groupe de règles et lui ajouter des règles
1
Créez une nouvelle politique de contrôle des applications et des périphériques.
Se reporter à "Ajout d'une politique partagée." à la page 73.
2
Dans le volet contrôle des applications, cliquez sur Ajouter.
3
Dans la boîte de dialogue Ajouter un groupe de règles de contrôle des
applications, désactivez l'option Activer la consignation si vous ne voulez
pas consigner les événements correspondant à ce groupe de règles.
La consignation est activée par défaut.
4
Dans la zone de texte Nom du groupe de règles, modifiez le nom par défaut
du groupe de règles.
Définissez par exemple le nom sur Groupe de règles de test du contrôle des
applications.
5
Dans le champ Description, tapez une description.
6
Modifiez le nom par défaut de la règle dans la zone de texte Nom de règle,
puis tapez une description de la règle.
7
Si vous ne souhaitez pas activer immédiatement cette nouvelle règle,
désélectionnez Activer règle.
8
Pour ajouter une seconde règle, cliquez sur Ajouter, puis sur Ajouter une
règle.
9
Ajoutez les règles suivantes :
■
Ajoutez une règle qui bloque le lancement du FTP depuis l'invite de
commande.
Se reporter à "Ajout et test d'une règle qui bloque le lancement d'un
processus" à la page 115.
■
Ajoutez une règle ne permettant que d'afficher mais pas de modifier une
clé de registre.
113
114
Se reporter à "Ajout et test d'une règle qui bloque l'écriture dans le registre"
à la page 115.
■
Ajoutez une règle ne permettant que d'afficher mais pas de modifier un
fichier texte dans le Bloc-notes.
Se reporter à "Ajout et test d'une règle de blocage de DLL" à la page 117.
■
Ajoutez une règle qui vous empêche d'ouvrir Microsoft WordPad.
Se reporter à "Ajout et test d'une règle permettant de bloquer ou d'autoriser
l'accès à un fichier" à la page 118.
■
Ajoutez une règle qui termine l'outil Process Explorer si l'outil essaie de
terminer la Calculatrice.
Se reporter à "Ajout et test d'une règle qui termine un processus"
à la page 119.
10 Cliquez sur OK.
Une fois le groupe de règles et la règle créés, vous devez définir les applications
auxquelles la règle doit s'appliquer. Le cas échéant, vous pouvez également
définir les applications auxquelles la règle ne doit pas s'appliquer. Vous pouvez
ensuite ajouter des conditions à la règle et configurer les actions à effectuer
lorsque les conditions sont remplies.
Ajout et test d'une règle qui bloque le lancement d'un
processus
Le client FTP est un mode de transfert de fichiers courant d'un serveur vers un
ordinateur client. Pour empêcher des utilisateurs de transférer des fichiers, vous
pouvez ajouter une règle qui bloque le lancement par l'utilisateur d'un client FTP
depuis l'invite de commande.
Pour ajouter une règle qui bloque le lancement d'un processus
1
Dans la boîte de dialogue Ajout d'un groupe de règles de contrôle d'application,
dans la liste Règles, sélectionnez une règle et dans l'onglet Propriétés, dans
la zone de texte Nom de règle, tapez ftp_bloqué_depuis_cmd.
2
A droite de l'option Appliquer cette règle aux processus suivants, cliquez sur
Ajouter.
3
Dans la boîte de dialogue Ajouter une définition de processus, sous Nom du
processus à faire correspondre, entrez cmd.exe, puis cliquez sur OK.
4
applications, sous la liste Règles, cliquez sur Ajouter une condition >
Tentatives de lancement de processus.
5
Dans l'onglet Propriétés, dans la zone de texte Description, entrez pas de ftp
depuis cmd.
6
Ajouter.
7
processus à faire correspondre, entrez ftp.exe, puis cliquez sur OK.
8
applications, dans l'onglet Actions, cliquez sur Bloquer l'accès puis
sélectionnez les options Activer la consignation et Avertir l'utilisateur.
9
Sous Avertir l'utilisateur, tapez ftp est bloqué si lancé depuis cmd.
Pour tester une règle qui bloque le lancement d'un processus
1
Sur l'ordinateur client, lancez l'invite de commande.
2
Dans la fenêtre d'invite de commande, tapez ftp et appuyez sur Entrée.
Comme spécifié dans la règle, le client FTP ne s'ouvre pas.
Ajout et test d'une règle qui bloque l'écriture dans le registre
Vous pouvez protéger une clé de registre spécifique en bloquant l'accès ou la
modification de clés ou de valeurs de registre par l'utilisateur. Vous pouvez
115
116
permettre aux utilisateurs de consulter la clé de registre sans pouvoir la renommer
ou la modifier.
Pour tester la fonctionnalité :
■
Ajoutez une clé de registre d'essai.
■
Ajoutez une règle permettant la lecture mais pas l'écriture vers la clé de
registre.
■
Essayez d'ajouter une nouvelle valeur à la clé de registre.
Pour ajouter une clé de registre d'essai
1
Sur l'ordinateur client, ouvrez l'Editeur du registre en ouvrant une ligne de
commande, puis en tapant regedit.
2
Dans l'Editeur du registre, développez HKEY_LOCAL_MACHINE\Software,
puis créez une nouvelle clé de registre nommée test.
Pour ajouter une règle qui bloque l'écriture dans le registre
1
Dans la boîte de dialogue Modifier un groupe de règles de contrôle des
applications, sous la liste Règles, cliquez sur Ajouter > Ajouter une règle.
2
Dans l'onglet Propriétés, dans la zone de texte Nom des règles, saisissez
HKLM_écriture_interdite_depuis_regedit.
3
Ajouter.
4
processus à faire correspondre, entrez regedit.exe, puis cliquez sur OK.
5
Tentatives d'accès au registre.
6
Dans l'onglet Propriétés, dans la zone de texte Description, entrez accès au
registre.
7
Ajouter.
8
Dans la boîte de dialogue Ajouter une définition de clé de registre, dans la
zone de texte Clé de registre, tapez HKEY_LOCAL_MACHINE\software\test
puis cliquez sur OK.
9
applications, dans l'onglet Actions, dans la zone de groupe Tentative de
lecture, sélectionnez Autoriser l'accès, puis activez les options Activer la
consignation et Avertir l'utilisateur.
10 Sous Avertir l'utilisateur, tapez la lecture est autorisée.
11 Dans la zone de groupe Tentatives de création, de suppression ou d'écriture,
cliquez sur Bloquer l'accès et sélectionnez les options Activer la consignation
et Avertir l'utilisateur.
12 Sous Avertir l'utilisateur, tapez l'écriture est bloquée.
Pour tester une règle qui bloque l'écriture dans le registre
1
Après avoir appliqué la politique, sur l'ordinateur client, dans l'Editeur du
registre, développez HKEY_LOCAL_MACHINE\Software.
2
Cliquez sur la clé de registre créée précédemment, nommée test.
3
Cliquez avec le bouton droit de la souris sur la clé test, cliquez sur Nouveau,
puis cliquez sur Valeur de chaîne.
Vous ne devriez pas pouvoir ajouter une nouvelle valeur à la clé de registre
test.
Ajout et test d'une règle de blocage de DLL
Il peut s'avérer nécessaire d'empêcher l'utilisateur d'ouvrir une application
spécifique. Pour ce faire, vous pouvez bloquer une DLL nécessaire à l'exécution
de l'application. Le blocage de la DLL peut être assuré grâce à une règle qui empêche
son chargement. Dès lors, les utilisateurs ne peuvent lancer l'application.
Par exemple, le fichier Msvcrt.dll contient le code de programme permettant
d'exécuter différentes applications Windows telles que Microsoft WordPad. Si
Msvcrt.dll est bloqué par une règle sur l'ordinateur client, il est impossible d'ouvrir
Microsoft WordPad.
Pour ajouter une règle qui bloque une DLL
1
2
Dans l'onglet Propriétés, dans la zone de texte Nom des règles, tapez Bloquer
l'ouverture de WordPad par l'utilisateur.
3
Ajouter.
4
processus à faire correspondre, entrez C:\Program Files\Windows
NT\Accessories\wordpad.exe, puis cliquez sur OK.
5
Tentatives de chargement de DLL.
117
118
6
Dans l'onglet Propriétés, dans la zone de texte Description, entrez DLL lancée.
7
Ajouter.
8
Dans la boîte de dialogue Ajouter une définition de DLL, dans la zone de texte
de la zone de groupe Nom de DLL pour la correspondance, entrez MSVCRT.dll,
puis cliquez sur OK.
9
applications, dans l'onglet Actions, cliquez sur Bloquer l'accès puis
10 Sous Activer l'utilisateur, entrez Ne devrait pas pouvoir lancer WordPad.
Pour tester une règle qui bloque une DLL
◆
Sur l'ordinateur client, essayez d'ouvrir Microsoft WordPad.
Ajout et test d'une règle permettant de bloquer ou d'autoriser
l'accès à un fichier
Il peut s'avérer nécessaire d'autoriser les utilisateurs à accéder à un fichier sans
pouvoir le modifier. Par exemple, un fichier peut comprendre des données
financières que les employés ne doivent que consulter mais pas modifier.
Pour tester une règle qui donne un accès en lecture seule à un fichier, ajoutez une
règle qui permet d'ouvrir un fichier texte avec le Bloc-notes mais ne permet pas
de le modifier.
Pour ajouter une règle qui autorise ou bloque l'accès à un fichier
1
2
Dans l'onglet Propriétés, dans la zone de texte Nom des règles, tapez 1.txt
sur c lecture autorisée écriture arrêt.
3
Ajouter.
4
processus à faire correspondre, entrez notepad.exe, puis cliquez sur OK.
5
Tentatives d'accès aux fichiers et dossiers.
6
Dans l'onglet Propriétés, dans la zone de texte Description, entrez accès au
fichier lancé.
7
Ajouter.
8
Dans la boîte de dialogue Ajouter une définition de fichier ou de dossier, dans
la zone de texte de la zone de groupe Nom de fichier ou de dossier pour la
correspondance, tapez c:\1.txt, puis cliquez sur OK.
9
applications, dans l'onglet Actions, dans la zone de groupe Tentative de
lecture, sélectionnez Autoriser l'accès, puis activez les options Activer la
10 Sous Avertir l'utilisateur, tapez la lecture est autorisée.
11 Dans la zone de groupe Tentatives de création, de suppression ou d'écriture,
cliquez sur Arrêter le processus et sélectionnez les options Activer la
12 Sous Avertir l'utilisateur, tapez si écriture, terminer Bloc-notes.
Pour tester une règle qui autorise ou bloque l'accès à un fichier
1
Sur l'ordinateur client, lancez l'Explorateur de fichiers, accédez au lecteur
c:\ puis cliquez sur Fichier > Nouveau > Document texte.
Si vous créez le fichier à l'aide du Bloc-notes, il sera en lecture seule.
2
Renommez le fichier en 1.txt.
Assurez-vous que le fichier est enregistré dans le dossier c:\.
3
Ouvrez le fichier c:\1.txt dans le Bloc-notes.
Vous pouvez ouvrir le fichier mais vous ne pouvez pas le modifier.
Ajout et test d'une règle qui termine un processus
Process Explorer est un outil qui affiche les processus de DLL ouverts ou chargés,
ainsi que les ressources utilisées par ces processus. Vous pouvez également utiliser
Process Explorer pour terminer un processus. Vous pouvez ajouter une règle qui
termine Process Explorer si l'utilisateur l'emploie pour tenter de terminer
l'application Calculatrice.
Pour ajouter une règle qui termine un processus
1
2
Dans l'onglet Propriétés, dans la zone de texte Nom des règles, tapez Termine
Process Explorer si celui-ci tente de terminer calc.exe.
3
Ajouter.
119
120
4
processus à faire correspondre, entrez procexp.exe, puis cliquez sur OK.
5
Tentatives d'arrêt de processus.
6
Dans l'onglet Propriétés, dans la zone de texte Description, entrez DLL lancée.
7
Ajouter.
8
Dans la boîte de dialogue Ajouter une définition de processus, dans la zone
de texte de la zone de groupe Nom de processus pour la correspondance,
entrez calc.exe, puis cliquez sur OK.
9
applications, dans l'onglet Actions, cliquez sur Arrêter le processus puis
10 Sous Activer l'utilisateur, entrez Si vous tentez de terminer calc depuis
procexp, procexp s'arrête.
Pour tester une règle qui termine un processus
1
Sur l'ordinateur client, téléchargez et exécutez une version gratuite de Process
Explorer à partir de l'URL suivante :
http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
2
Dans Windows, ouvrez la calculatrice.
3
Ouvrez Process Explorer.
4
Dans la fenêtre principale de Process Explorer, cliquez avec le bouton droit
de la souris sur le processus calc.exe, puis cliquez sur Arrêter le processus.
Process Explorer s'arrête.
A propos du contrôle des périphériques
Utilisez le contrôle des périphériques pour gérer l'accès des périphériques aux
ordinateurs client. Vous pouvez mettre en oeuvre le contrôle des périphériques
en construisant des listes de contrôle des périphériques matériels. Vous pouvez
construire une liste de périphériques à bloquer de l'accès à l'ordinateur et une
liste de périphériques dont l'accès est autorisé. Biens qu'un périphérique soit
physiquement connecté à un ordinateur, l'accès à l'ordinateur peut toujours lui
être interdit. Vous pouvez bloquer ou autoriser des périphériques USB, infrarouge,
FireWire et SCSI, ainsi que des ports séries et parallèles.
Le contrôle des périphériques offre à l'administrateur un niveau de contrôle plus
précis sur les périphériques autorisés à accéder aux ordinateurs. Les
administrateurs peuvent personnaliser un contrôle des périphériques pour bloquer
l'accès de certain types de périphérique (comme tous les périphériques USB) aux
ordinateurs. Toutefois, l'administrateur peut également interdire le blocage
d'autres types de périphérique (comme les disques durs USB). L'administrateur
peut également décider de définir le contrôle des périphériques à l'aide du GUID
Windows ou de l'identifiant du périphérique.
Tableau 4-12 liste des exemples de combinaisons de configuration de ports et de
périphériques et l'effet que chaque combinaison a sur le périphérique qui tente
d'accéder à l'ordinateur client.
Tableau 4-12
Combinaisons de configuration de ports et de périphériques
Configuration
Résultat
Port bloqué + périphérique exclu
Périphérique actif
Port bloqué + périphérique bloqué
Le périphérique ne fonctionne pas.
Remarque : Vous ne devez jamais bloquer
un clavier.
Vous pouvez décider, par exemple, de bloquer tous les ports, mais d'exclure une
souris USB afin qu'elle puisse être connectée à un ordinateur client. Dans ce
scénario, la souris USB travaille sur l'ordinateur client, bien que ce port soit bloqué.
A propos des périphériques matériels
Vous pouvez utiliser une liste par défaut de périphériques matériels pour ajouter
un périphérique spécifique au fabricant à une politique de contrôle des applications
et des périphériques. Cette liste élimine le besoin de retaper ces périphériques
chaque fois que vous voulez en ajouter un d'une règle existante.
Deux valeurs numériques identifient les périphériques matériels : les ID de
périphérique et de classe. Vous pouvez utiliser l'une ou l'autre de ces valeurs pour
identifier les périphériques de la liste Périphériques matériels.
La Symantec Endpoint Protection Manager console comprend des listes de
périphériques pouvant être bloqués ou exclus du blocage, le cas échéant. Un
administrateur peut ajouter, supprimer ou modifier les périphériques des listes
en question.
Remarque : Vous ne pouvez modifier ni supprimer les périphériques par défaut.
121
122
A propos des identificateurs de classe
L'identificateur de classe se rapporte au GUID Windows. A chaque type de
périphérique est associé à la fois une Classe et un ClassGuid. L'identificateur
ClassGuid est une valeur hexadécimale au format suivant :
{00000000-0000-0000-0000-000000000000}
A propos de l'ID de périphérique
Un ID de périphérique est l'ID le plus spécifique qui soit d'un périphérique. Les
périphériques peuvent avoir soit un ID de périphérique spécifique, soit un ID plus
générique. Vous pouvez par exemple spécifier tous les périphériques USB utilisant
un ID de périphérique ou choisir un lecteur USB amovible spécifique. Vous devez
utiliser les ID de périphérique pour les équipements à ajouter.
Voici un exemple d'ID de périphérique :
{IDE\CDROMHL-DT-ST_RW/DVD_GCC-4242N_______________0201____
\5&3CCF215&0&0.0.0}
Obtention d'un ID de classe ou de périphérique
L'outil DevViewer de Symantec permet d'obtenir l'ID de classe ou de périphérique.
L'outil Gestionnaire de périphériques de Windows permet d'obtenir l'ID de classe.
Pour obtenir un ID de classe ou de périphérique à l'aide de l'outil DevViewer
1
Sur le CD n° 3 de votre produit, accédez au répertoire
\TOOLS\NOSUPPORT\DEVVIEWER, puis copiez l'outil DevViewer.exe sur
l'ordinateur client.
2
Sur l'ordinateur client, exécutez DevViewer.exe.
3
Développez l'arborescence des périphériques et accédez au périphérique dont
vous nécessitez l'ID de périphérique ou le GUID.
Par exemple, développez les claviers et sélectionnez le périphérique au sein
de cette catégorie.
4
Dans le volet de droite, cliquez avec le bouton droit de la souris sur l'ID de
périphérique (il commence par [id de périphérique]) puis cliquez sur Copier
l'ID de périphérique.
5
Cliquez sur Quitter.
6
Sur le serveur de gestion, collez l'ID de périphérique dans la liste des
périphériques matériels.
Pour obtenir un ID de périphérique à partir du Panneau de configuration
1
Dans la barre des tâches de Windows, cliquez sur Démarrer > Paramètres >
Panneau de configuration > Système .
2
Dans l'onglet Matériel, cliquez sur Gestionnaire de périphériques.
3
Dans la liste Gestionnaire de périphériques, cliquez deux fois sur le
périphérique concerné.
4
Dans la boîte de dialogue Propriétés du périphérique, onglet Détails,
sélectionnez son identifiant.
Par défaut, l'ID de périphérique est la première valeur affichée.
5
Appuyez sur la combinaison de touches Ctrl+C pour copier la chaîne de l'ID.
6
Cliquez sur OK ou sur Annuler.
Se reporter à "Ajout d'un périphérique à la liste Périphériques matériels"
à la page 123.
Ajout d'un périphérique à la liste Périphériques matériels
Après avoir obtenu un ID de classe ou de périphérique pour un périphérique
matériel, vous pouvez ajouter l'équipement à la liste Périphériques matériels par
défaut. Cette liste par défaut est accessible à partir de la partie contrôle des
périphériques de la politique de contrôle des applications et des périphériques.
Pour ajouter des équipements à la liste Périphériques matériels
1
Politiques.
2
Sous Composants de politique, cliquez sur Périphériques matériels.
3
Sous Tâches, cliquez sur Ajouter un périphérique matériel.
4
Entrez le nom du périphérique à ajouter.
Les ID de classe et de périphérique sont, par convention, placés entre des
accolades.
5
Sélectionnez ID de classe ou ID de périphérique et collez l'ID copiée depuis
le Gestionnaire de périphériques Windows ou depuis l'outil DevViewer.
Vous pouvez utiliser des caractères génériques pour définir un ensemble d'ID
de périphérique. Par exemple, vous pouvez utiliser la chaîne suivante :
*IDE\CDROM*.
Se reporter à "Obtention d'un ID de classe ou de périphérique" à la page 122.
6
Cliquez sur OK.
123
124
Configuration d'un contrôle des périphériques pour une politique de
contrôle des applications et des périphériques
Pour la gestion des périphériques matériels, utilisez le contrôle des périphériques.
Vous pouvez modifier cette liste à tout moment.
Se reporter à "A propos des périphériques matériels" à la page 121.
Pour ajouter un contrôle des périphériques à une politique de contrôle des
1
Dans le volet Politique de contrôle des applications et des périphériques,
cliquez sur Contrôle des périphériques.
2
Sous Périphériques bloqués, cliquez sur Ajouter.
3
Examinez la liste des périphériques et cliquez sur un ou plusieurs
périphériques que vous voulez empêcher d'accéder à l'ordinateur client.
4
Cliquez sur OK.
5
Sous Périphériques ne devant pas être bloqués, cliquez sur Ajouter.
6
Examinez la liste des périphériques matériels et cliquez sur les périphériques
que vous ne voulez pas bloquer quand ils accèdent à l'ordinateur client.
7
Si vous ne souhaitez pas consigner les informations de contrôle des
périphériques, désactivez l'option Consigner les périphériques bloqués.
Les informations sont consignées par défaut.
8
Si vous souhaitez que les utilisateurs soient avertis, activez l'option Avertir
les utilisateurs lorsque les périphériques sont bloqués.
Si vous avez activé la notification, cliquez sur Définir le texte du message,
puis tapez le texte que les utilisateurs doivent voir.
9
Cliquez sur OK.
Pour tester le contrôle des périphériques dans une Politique de contrôle des
1
Dans la console, ajoutez un équipement à la liste Périphériques matériels
pour le clavier de l'ordinateur client.
Se reporter à "Obtention d'un ID de classe ou de périphérique" à la page 122.
2
Assignez la politique au groupe de l'ordinateur client.
3
Sur l'ordinateur client, essayez d'utiliser le clavier.
Chapitre
5
Création des paquets
d'installation client
■
Création de paquets d'installation client
■
A propos des paquets d'installation client
■
Configuration des fonctions des paquets d'installation
■
Configuration des paramètres des paquets d'installation client
■
Exportation de paquets d'installation client
■
Déployer le logiciel client avec l'assistant de déploiement
Création de paquets d'installation client
Les processus suivants permettent de créer un paquet d'installation et de le
déployer vers les ordinateurs client. Il est conseillé de configurer d'abord des
groupes, ainsi que les politiques et autres paramètres de sécurité avant de créer
un paquet d'installation client.
Tableau 5-1
Procédure de configuration d'un paquet d'installation client
Pour
Action
effectuer
cette étape
Voir la section
Etape 1 :
Se reporter à "A propos des paquets
d'installation client" à la page 126.
Informez-vous sur les paquets
d'installation client.
126
Création des paquets d'installation client
Pour
Action
effectuer
cette étape
Etape 2 :
Voir la section
Configurez les fonctionnalités et les Se reporter à "Configuration des
paramètres des paquets
fonctions des paquets d'installation"
à la page 127.
Se reporter à "Configuration des
paramètres des paquets
d'installation client" à la page 127.
Etape 3 :
Exportez le paquet d'installation
client.
Se reporter à "Exportation de
paquets d'installation client"
à la page 128.
Pour gérer les ordinateurs à l'aide de Symantec Endpoint Protection Manager
Console, vous devez exporter au moins un paquet d'installation client vers un
serveur de gestion du site. Une fois le paquet d'installation client installé, installez
les fichiers du paquet sur les ordinateurs client. Vous pouvez exporter des paquets
pour des clients gérés par Symantec, des clients gérés par des tiers et des clients
autonomes.
La console permet d'exporter ces paquets comme fichier exécutable unique ou
comme série de fichiers dans un répertoire. La méthode choisie dépend du mode
de déploiement et de la mise à niveau éventuelle du logiciel client dans les groupes
à partir de la console. L'exécutable unique est disponible pour les outils
d'installation tiers et pour l'économie potentielle de bande passante. Généralement,
si vous utilisez l'objet Politique de groupe Active Directory, vous ne choisirez pas
l'exportation vers un fichier exécutable unique.
Lors du processus d'exportation, vous sélectionnez les paquets d'installation 32
bits ou 64 bits fournis par défaut. Vous sélectionnez alors éventuellement les
technologies client spécifiques de protection à installer si vous ne voulez pas
installer tous les composants. Vous pouvez également spécifier comment
l'installation interagit avec les utilisateurs finaux. Enfin, vous pouvez installer
les fichiers exportés (un paquet) vers les ordinateurs un par un ou déployer les
fichiers exportés vers plusieurs ordinateurs simultanément.
Pour connaître les options de déploiement d'installation client, consultez le Guide
d'Installation de Symantec Endpoint Protection et de Symantec Network Access
Control sur le CD.
Symantec fournit de temps en temps des paquets mis à jour de fichiers
d'installation. Quand le logiciel client est installé sur des ordinateurs client, vous
pouvez automatiquement mettre à jour le logiciel client sur tous les clients d'un
groupe avec la fonction automatique de mise à niveau. Vous n'avez pas besoin de
redéployer le logiciel à l'aide des outils de déploiement d'installation.
Les fonctions d'installation représentent les composants client disponibles pour
l'installation. Par exemple, si vous créez des paquets de Symantec Endpoint
Protection, vous pouvez choisir d'installer les fonctions d'antivirus et les dispositifs
de pare-feu. Ou vous pouvez choisir d'installer uniquement la fonction d'antivirus.
Vous devez nommer chaque ensemble de sélections. Vous sélectionnez ensuite
un ensemble nommé de fonctionnalités quand vous exportez les paquets 32 bits
de logiciel client et les paquets 64 bits de logiciel client.
Pour configurer les fonctions des paquets d'installation
1
Dans la console, cliquez sur Admin, puis sur Paquets d'installation.
2
Sous Afficher les paquets d'installation, cliquez sur Ensembles de fonctions
3
Sous Tâches, cliquez sur Ajouter un ensemble de fonctionnalités
4
Dans la boîte de dialogue Ajouter un ensemble de fonctionnalités d'installation
client, dans la zone Nom, tapez un nom.
5
Dans la zone Description, entrez une description de l'ensemble de
fonctionnalités d'installation client.
6
Pour obtenir des détails concernant la définition d'autres options dans cette
boîte de dialogue, cliquez sur Aide.
7
Cliquez sur OK.
Configuration des paramètres des paquets
d'installation client
Les paramètres d'installation affectent la façon dont le logiciel client est installé
sur les ordinateurs client. Vous devez nommer chaque ensemble de sélections.
Vous sélectionnez ensuite un ensemble nommé de paramètres de paquet quand
vous exportez les paquets 32 bits de logiciel client et les paquets 64 bits de logiciel
client.
127
128
Pour configurer les paramètres des paquets d'installation client
1
Dans l'onglet Admin, dans le volet inférieur gauche, cliquez sur Paquets
d'installation.
2
Sous Afficher les paquets d'installation, cliquez sur Paramètres d'installation
client.
3
Sous Tâches, cliquez sur Ajouter des paramètres d'installation client.
4
Dans la boîte de dialogue Paramètres d'installation client, dans la zone Nom,
tapez un nom.
5
6
Cliquez sur OK.
Lorsque vous exportez des paquets de logiciel client, vous créez des fichiers
d'installation client à déployer. Quand vous exportez des paquets, vous devez
rechercher un répertoire devant contenir les paquets exportés. Si vous spécifiez
un répertoire qui n'existe pas, vous le créez automatiquement. Le processus
d'exportation crée d'une manière descriptive les sous-répertoires nommés dans
ce répertoire et place les fichiers d'installation dans ces sous-répertoires.
Par exemple, si vous créez un paquet d'installation pour un groupe nommé
MonGroupe sous Global, un répertoire Global_MonGroupe est créé. Ce répertoire
contient le paquet d'installation exporté.
Remarque : Cette convention de dénomination ne distingue pas les paquets
d'installation client destinés à Symantec Endpoint Protection ou à Symantec
Network Access Control. Le nom du paquet exporté pour un fichier exécutable
unique est Setup.exe à la fois pour Symantec Endpoint Protection et pour Symantec
Network Access Control. Par conséquent, veillez à créer une structure de
répertoires qui vous permette de distinguer les fichiers d'installation de Symantec
Endpoint Protection et de Symantec Network Access Control.
Vous avez une décision importante à prendre quand vous exportez des paquets.
Vous devez décider si vous souhaitez créer un paquet d'installation pour les clients
gérés ou autonomes. Si vous créez un paquet pour des clients gérés, vous pouvez
les gérer avec la console Symantec Endpoint Protection Manager. Si vous créez
un paquet pour des clients autonomes, vous ne pouvez pas les gérer depuis la
console.
Remarque : Si vous exportez les paquets d'installation client à partir d'une console
distante, les paquets sont créés sur l'ordinateur exécutant cette console. De plus,
si vous utilisez plusieurs domaines, vous devez exporter les paquets pour chaque
domaine ; sinon, ils apparaissent comme disponibles pour les groupes de domaines.
Après avoir exporté un ou plusieurs paquets de fichiers d'installation, déployez
les fichiers d'installation sur les ordinateurs client.
Pour obtenir des détails au sujet de l'installation de logiciel client, consultez le
Guide d'Installation de Symantec Endpoint Protection et de Symantec Network
Access Control sur le CD.
Pour exporter des paquets d'installation client
1
Dans la console, cliquez sur Admin, puis sur Paquets d'installation.
2
Sous Afficher les paquets d'installation, cliquez sur Paquets d'installation
client.
3
Dans le volet Paquets d'installation client, sous Nom du paquet, cliquez sur
le paquet à exporter.
4
Sous Tâches, cliquez sur Exporter le paquet d'installation client.
5
Dans la boîte de dialogue Exporter le paquet, cliquez sur Parcourir.
6
Dans la boîte de dialogue Sélectionner le dossier d'exportation, recherchez
et sélectionnez le répertoire qui contiendra le paquet exporté, puis cliquez
sur OK.
Les répertoires contenant des caractères codés sur deux octets ou High-ASCII
ne sont pas pris en charge et sont bloqués.
7
Dans la boîte de dialogue Exporter le paquet, définissez les autres options
selon vos objectifs d'installation.
8
9
Cliquez sur OK.
Déployer le logiciel client avec l'assistant de
déploiement
L'assistant de déploiement apparaît automatiquement lorsque vous utilisez
l'assistant de déploiement ou vous pouvez le démarrer manuellement. Dans les
deux cas, vous devez savoir quel paquet de logiciel client vous voulez déployer et
dans quel dossier le paquet existe. Vous devez le localiser pendant le déploiement.
129
130
Pour déployer le logiciel client avec l'assistant de déploiement
1
Lancement de l'assistant de migration et de déploiement à partir du menu
Démarrer de Windows
2
Dans l'écran d'accueil, cliquez sur Suivant.
3
Cliquez sur Déployer le client (Symantec Endpoint Protection uniquement),
puis cliquez sur Suivant.
4
Cliquez sur Sélectionnez le paquet d'installation client existant à déployer,
puis cliquez sur Terminer.
5
Dans le panneau Assistant de déploiement, cliquez sur Parcourir, recherchez
et sélectionnez le dossier contenant le paquet d'installation à déployer, puis
cliquez sur OK.
6
Confirmez ou modifiez le nombre maximum de déploiements simultanés et
7
Dans le panneau Sélection d'ordinateurs, dans le volet gauche sous
Ordinateurs disponibles, développez les arborescences et sélectionnez les
ordinateurs sur lesquels installer le logiciel client, puis cliquez sur Ajouter.
Sinon, vous pouvez importer un groupe de travail ou un domaine d'ordinateurs
et également un fichier texte contenant une liste d'ordinateurs.
8
Dans la boîte de dialogue Authentification du client distant, tapez un nom
d'utilisateur et un mot de passe qui peuvent s'authentifier auprès du domaine
ou du groupe de travail Windows qui contient les ordinateurs et cliquez sur
OK.
9
Une fois tous les ordinateurs sélectionnés et affichés dans le volet droit,
cliquez sur Terminer.
Chapitre
6
Configuration de l'intégrité
de l'hôte pour la conformité
des terminaux client
■
Configuration et test d'une politique d'intégrité de l'hôte
■
Ajout des conditions d'intégrité de l'hôte
■
Ajout d'une condition de pare-feu pré-définie
■
Ajout d'une condition requise personnalisée vérifiant si l'ordinateur client
exécute un progiciel antivirus
■
Test du fonctionnement de la politique d'intégrité de l'hôte
■
Configuration de l'authentification point à point
Configuration et test d'une politique d'intégrité de
l'hôte
Symantec Network Access Control évalue si un ordinateur de bureau ou portable
est un périphérique correctement protégé et conforme avant de permettre sa
connexion au réseau d'entreprise. Cette protection aide à empêcher l'entrée des
virus et autres attaques sur le réseau par l'intermédiaire de clients non conformes.
Les politiques d'intégrité de l'hôte permettent d'appliquer la conformité de terminal
client sur des ordinateurs client.
132
Configuration de l'intégrité de l'hôte pour la conformité des terminaux client
Remarque : Symantec Network Access Control doit être installé pour permettre
la création de politiques d'intégrité de l'hôte.
Afin d'assurer la conformité du terminal client, l'ordinateur client utilise la
politique d'intégrité de l'hôte pour exécuter le processus suivant :
Tableau 6-1
Procédure exécutée par le client pour s'assurer de la conformité de
l'ordinateur client avec la politique d'intégrité de l'hôte
Pour
Action
effectuer
cette étape
Description
Etape 1 :
La politique d'intégrité de l'hôte
vérifie si l'ordinateur exécute les
versions les plus récentes du logiciel
de sécurité, des correctifs, des hotfix
ainsi que d'autres exigences de
sécurité. Par exemple, la politique
peut vérifier la date de dernière mise
à jour des définitions antivirus et les
derniers correctifs appliqués au
système d'exploitation.
Le client exécute une vérification de
l'intégrité de l'hôte. Le client
compare la configuration de
l'ordinateur à la politique d'intégrité
de l'hôte téléchargée depuis le
serveur de gestion.
Pour
Action
effectuer
cette étape
Description
Etape 2 :
En fonction du résultat de la
■ Si l'ordinateur répond à toutes les
vérification de l'intégrité de l'hôte,
exigences de la politique, le
le client autorise ou bloque l'accès de
contrôle d'intégrité réussit.
l'ordinateur client au réseau.
L'ordinateur client dispose alors
d'un accès réseau complet aux
ordinateurs ayant réussi la
vérification de l'intégrité de
l'hôte.
■ Si l'ordinateur ne répond pas aux
exigences de la politique, la
vérification de l'intégrité de l'hôte
échoue. Lorsqu'une vérification
de l'intégrité de l'hôte échoue, le
client bloque l'ordinateur non
conforme ou le place en
quarantaine jusqu'à ce que
l'utilisateur ait corrigé sa
conformité. Vous pouvez
configurer une politique de
quarantaine pour les ordinateurs
client en quarantaine. Les
ordinateurs en quarantaine ont
un accès limité ou nul au réseau.
Etape 3 :
Le client résout les ordinateurs non Si le client constate qu'une condition
conformes.
requise de la politique d'intégrité de
l'hôte n'est pas satisfaite, il installe
ou demande à l'utilisateur d'installer
le logiciel requis. Dès que
l'ordinateur client est conforme, il
essaye d'accéder au réseau de
nouveau. Si l'ordinateur est
entièrement conforme, le réseau lui
accorde l'accès.
Etape 4 :
Le client contrôle proactivement la
conformité.
Le client contrôle activement l'état
de conformité pour tous les
ordinateurs client. Dès lors que l'état
de conformité de l'ordinateur
change, les droits d'accès au réseau
de l'ordinateur sont modifiés.
133
134
Pour créer et tester une politique d'intégrité de l'hôte, vous pouvez effectuer les
étapes suivantes :
Tableau 6-2
Procédure de configuration et de test d'une politique d'intégrité de
l'hôte
Pour
Description
effectuer
cette étape
Voir la section
Etape 1 :
Créez une condition pré-définie ou
personnalisée. Le client compare
chaque condition requise aux
logiciels installés sur l'ordinateur
client.
Se reporter à "Ajout d'une condition
de pare-feu pré-définie" à la page 136.
Etape 2 :
Etape 3 :
Testez si la politique d'intégrité de
l'hôte fonctionne.
Se reporter à "Test du
fonctionnement de la politique
d'intégrité de l'hôte" à la page 138.
Se reporter à "Ajout d'une condition
requise personnalisée vérifiant si
l'ordinateur client exécute un
progiciel antivirus" à la page 137.
Une politique d'intégrité de l'hôte définit les conditions pour les pare-feu,
l'antivirus, la protection contre les logiciels espions, les correctifs, les Service
Packs ou d'autres applications requises sur les ordinateurs client.
Chaque politique d'intégrité de l'hôte inclut des conditions requises et des
paramètres généraux. Les conditions requises indiquent les éléments suivants :
■
Les conditions devant être vérifiées
■
Les actions (telles que des téléchargements et des installations) prises par le
client en réponse à la condition
Quand vous définissez des conditions d'intégrité de l'hôte, vous pouvez choisir
parmi les types suivants : conditions pré-définies, personnalisées ou de modèle.
Les conditions de modèle sont disponibles par le service de politique d'intégrité
de l'hôte LiveUpdate. Vous pouvez copier et coller, et importer et exporter des
conditions entre des politiques.
Les paramètres généraux permettent de configurer quand et à quelle fréquence
le client exécute une vérification de l'intégrité de l'hôte, les options de résolution
et les notifications.
Vous pouvez créer une politique d'intégrité de l'hôte partagée ou non partagée
Une fois que vous avez créé une nouvelle politique, vous pouvez ajouter une
condition prédéfinie, une condition personnalisée, ou les deux.
Pour ajouter une condition d'intégrité de l'hôte
1
Dans la console, ouvrez une politique d'intégrité de l'hôte.
2
Sur la page Politique d'intégrité de l'hôte, cliquez sur Conditions requises.
3
Sur la page Conditions requises, sélectionnez la fréquence d'exécution des
vérifications de l'intégrité de l'hôte sur le client en utilisant l'une des options
suivantes :
Toujours effectuer la vérification de
l'intégrité de l'hôte
Il s'agit de l'option sélectionnée par défaut.
Une vérification de l'intégrité de l'hôte est
toujours effectuée à cet emplacement selon
la fréquence que vous spécifiez.
Effectuer la vérification de l'intégrité
de l'hôte uniquement à travers la
passerelle ou DHCP Enforcer
Une vérification de l'intégrité de l'hôte n'est
effectuée dans cet emplacement que lorsque
le client est authentifié par une passerelle
Gateway Enforcer ou par DHCP Enforcer.
Effectuer la vérification de l'intégrité Une vérification de l'intégrité de l'hôte n'est
de l'hôte uniquement en étant connecté effectuée à cet emplacement que lorsque le
au serveur de gestion
client est connecté à un serveur de gestion.
Ne jamais effectuer la vérification de
l'intégrité de l'hôte
Une vérification de l'intégrité de l'hôte n'est
jamais effectuée à cet emplacement.
4
Cliquez sur Ajouter.
5
Dans la boîte de dialogue Ajouter une condition requise, sélectionnez l'un des
types de condition requise suivants :
■
Condition requise pour l'antivirus
■
Condition requise pour la protection contre les logiciels espions
■
Condition requise pour le pare-feu
■
Condition requise pour le correctif
■
Condition requise pour le Service Pack
■
Condition requise personnalisée
6
Cliquez sur OK.
7
Définissez les paramètres pour la condition requise.
135
136
8
Sur la page Paramètres avancés, configurez les paramètres des vérifications
de l'intégrité de l'hôte, la résolution et les notifications.
Pour plus d'informations, cliquez sur Aide.
9
Quand vous avez terminé de configurer la politique, cliquez sur OK.
10 Assignation de la politique aux groupes ou aux emplacements
Vous pouvez créer une condition d'intégrité de l'hôte qui vérifie si le client
Symantec Endpoint Protection est installé et si le composant de protection contre
les menaces réseau est en cours d'exécution. Si vous avez déjà installé le client,
la vérification de cette condition d'intégrité de l'hôte réussit. Si vous n'avez pas
encore installé le client ou si vous désactivez la protection contre les menaces
réseau sur le client, cette condition échoue. Vous pouvez toutefois configurer la
vérification pour réussir dans tous les cas.
Pour ajouter une condition pré-définie de correctif
1
Dans la console, ouvrez une politique d'intégrité de l'hôte.
2
Sur la page Politique d'intégrité de l'hôte, cliquez sur Conditions requises.
3
Sur la page Conditions requises, cliquez sur Toujours effectuer la vérification
de l'intégrité de l'hôte, puis cliquez sur Ajouter.
4
Dans la boîte de dialogue Ajouter une condition requise, cliquez sur Condition
de pare-feu, puis cliquez sur OK.
5
Dans la boîte de dialogue Ajouter une condition requise, dans la zone de texte
Nom, entrez Vérifier si le pare-feu SEP est en cours d'exécution.
6
Dans la liste déroulante Application de pare-feu qui doit être installée et
s'exécuter, cliquez sur Symantec Endpoint Protection.
7
Pour permettre à la condition de réussir même si le contrôle échoue, activez
l'option Autoriser la réussite de la vérification de l'intégrité de l'hôte même
si cette condition n'est pas satisfaite.
8
Cliquez sur OK.
9
Sur la page Présentation, cliquez sur OK.
10 Affectez la politique à un groupe ou à un emplacement si ce n'est pas encore
le cas.
Ajout d'une condition requise personnalisée vérifiant si l'ordinateur client exécute un progiciel antivirus
Ajout d'une condition requise personnalisée vérifiant
si l'ordinateur client exécute un progiciel antivirus
Vous pouvez configurer une politique d'intégrité de l'hôte pour vérifier si un
paquet logiciel connu s'exécute sur l'ordinateur client.
Pour vérifier si le produit est en cours d'exécution
1
Ajoutez une condition requise personnalisée
2
Dans la boîte de dialogue Condition requise personnalisée, tapez un nom pour
la condition.
3
Sous Script de conditions requises personnalisées, cliquez sur Ajouter, puis
cliquez sur IF...THEN....
4
Le nœud IF étant sélectionné, dans le volet droit, sous Sélectionnez une
condition, cliquez sur Utilitaire : Le processus s'exécute.
5
Dans la zone de texte du nom de fichier du processus, tapez C:\Program
Files\WidgetWorks\WWAV.exe.
6
Sous Script de conditions requises personnalisées, sélectionnez THEN, cliquez
sur Ajouter, puis cliquez sur Retour.
7
Sélectionnez THEN, cliquez sur Ajouter, puis cliquez sur Else.
8
Sous le nœud Else, sélectionnez //Insérer les instructions ici et dans le volet
droit, tapez Exécuter le programme.
9
Sous Script de conditions requises personnalisées, cliquez sur Ajouter, puis
cliquez sur IF...THEN....
10 Dans la liste déroulante Sélectionner une condition, cliquez sur Utilitaire :
Le processus s'exécute.
11 Dans la zone de texte du nom de fichier du processus, saisissez WWAV.
12 Sous Script de conditions requises personnalisées, sélectionnez THEN, cliquez
sur Ajouter, puis cliquez sur Retour.
13 Sélectionnez END IF sous le premier END IF, cliquez sur Ajouter, puis cliquez
sur Commentaire.
14 Dans la zone de texte Commentaire, tapez échec - le produit n'est pas installé.
137
138
15 Sous Script de conditions requises personnalisées, sélectionnez PASS et dans
le volet droit, cliquez sur Echec.
16 Cliquez sur OK.
17 Pour permettre à la condition de réussir même si le contrôle échoue, activez
l'option Autoriser la réussite de la vérification de l'intégrité de l'hôte même
si cette condition n'est pas satisfaite.
18 Quand vous avez terminé de configurer la politique, cliquez sur OK.
Test du fonctionnement de la politique d'intégrité de
l'hôte
Pour tester le fonctionnement de la politique d'intégrité de l'hôte, vous pouvez
utiliser la procédure suivante :
Tableau 6-3
Procédure pour tester la politique d'intégrité de l'hôte
Pour
Description
effectuer
cette étape
Voir la section
Etape 1 :
sur les clients. Vous pouvez
également mettre à jour la politique
Se reporter à "Mise à jour manuelle
sur le client.
du fichier de politiques" à la page 74.
Etape 2 :
Exécutez la vérification de l'intégrité Se reporter à "Exécution d'une
de l'hôte.
vérification de l'intégrité de l'hôte"
à la page 139.
Etape 3 :
Affichez le journal de sécurité pour
constater si la vérification de
l'intégrité de l'hôte a réussi ou
échoué.
Se reporter à "Affichage des journaux
de Network Access Control"
à la page 140.
Exécution d'une vérification de l'intégrité de l'hôte
Votre administrateur configure la fréquence selon laquelle le client exécute une
vérification de l'intégrité de l'hôte. Vous pouvez devoir exécuter une vérification
de l'intégrité de l'hôte immédiatement plutôt qu'attendre le contrôle suivant. Par
exemple, l'échec d'une vérification de l'intégrité de l'hôte peut indiquer que vous
devez mettre à jour l'application antivirus sur votre ordinateur. Le client peut
vous permettre de choisir de télécharger le logiciel requis immédiatement ou de
reporter le téléchargement. Si vous téléchargez le logiciel immédiatement, vous
devez exécuter la vérification de l'intégrité de l'hôte de nouveau pour vérifier que
vous avez le logiciel correct. Vous pouvez attendre la vérification de l'intégrité
de l'hôte planifiée suivante ou exécuter le contrôle immédiatement.
Pour exécuter une vérification de l'intégrité de l'hôte
1
Dans le client, dans la barre latérale, cliquez sur Etat.
2
en regard de Network Access Control, cliquez sur Options > Vérifier
maintenant.
3
Si un message apparaît pour confirmer que la vérification de l'intégrité de
l'hôte s'est exécutée, cliquez sur OK.
Si vous aviez été bloqué pour l'accès au réseau, vous devriez regagner l'accès
au réseau quand votre ordinateur a été mis à jour pour être conforme à la
politique de sécurité.
139
140
Affichage des journaux de Network Access Control
Le client Symantec Network Access Control utilise les journaux suivants pour
contrôler différents aspects de son fonctionnement et de la vérification de
l'intégrité de l'hôte :
Sécurité
Enregistre les résultats et l'état de vérifications de l'intégrité de l'hôte.
Système
Enregistre toutes les modifications opérationnelles pour le client, tel
que la connexion au serveur de gestion et les mises à jour de la
politique de sécurité client.
Si vous utilisez un client géré, les deux journaux peuvent être régulièrement
envoyés au serveur. Votre administrateur peut utiliser le contenu des journaux
pour analyser l'état global de la sécurité du réseau.
Vous pouvez exporter les données de ces journaux.
Pour afficher les journaux Symantec Network Access Control
1
Dans le client, dans la barre latérale, cliquez sur Etat.
2
Pour afficher le journal système, à côté de Network Access Control, cliquez
sur Options > Afficher les journaux.
3
Pour afficher le journal de sécurité, dans la boîte de dialogue Journaux de
gestion des clients - journal système, cliquez sur Affichage > Journal de
sécurité.
4
Dans le journal de sécurité, sélectionnez la première entrée de journal.
Dans le coin inférieur gauche, les résultats de la vérification de l'intégrité de
l'hôte s'affichent. Si le client était déjà installé, la condition de pare-feu
pré-définie est vérifiée. Si le client n'était pas installé, la condition de pare-feu
pré-définie échoue mais est signalée comme vérifiée.
5
Cliquez sur Fichier > Fermer.
Vous pouvez utiliser l'authentification point à point pour autoriser un ordinateur
client distant (homologue) à se connecter à un autre ordinateur client
(authentificateur) sur le même réseau d'entreprise. L'authentificateur bloque
temporairement le trafic TCP et UDP entrant de l'ordinateur distant jusqu'à ce
que ce dernier réussisse la vérification de l'intégrité de l'hôte.
La vérification de l'intégrité de l'hôte permet de contrôler les caractéristiques
suivantes de l'ordinateur distant :
141
142
■
Symantec Endpoint Protection et Symantec Network Access Control sont
installés sur l'ordinateur distant.
■
L'ordinateur distant répond aux conditions requises par les politiques
Si l'ordinateur distant réussit la vérification de l'intégrité de l'hôte,
l'authentificateur autorise sa connexion.
Si l'ordinateur distant échoue à la vérification de l'intégrité de l'hôte,
l'authentificateur continue de le bloquer. Vous pouvez également spécifier le délai
de blocage de l'ordinateur distant avant toute nouvelle tentative de reconnexion
à l'authentificateur. Il est possible de toujours autoriser la connexion pour certains
ordinateurs distants, même s'ils échouent à la vérification de l'intégrité de l'hôte.
Si vous n'activez pas de politique d'intégrité de l'hôte pour l'ordinateur distant,
celui-ci réussit la vérification.
Les informations d'authentification point à point sont affichées dans le journal
de conformité de client Enforcer et dans le journal de trafic de protection contre
les menaces réseau.
Remarque : L'authentification point à point est possible en mode commande
serveur et commande mixte, mais pas en mode contrôle client.
Avertissement : N'activez pas l'authentification point à point pour les clients
installés sur le même ordinateur que le serveur de gestion. Dans ce cas, le serveur
de gestion ne peut pas charger les politiques vers l'ordinateur distant si ce dernier
échoue à la vérification de l'intégrité de l'hôte.
Pour configurer l'authentification point à point
1
Dans la console, ouvrez une politique de pare-feu.
2
Dans la page Politique de pare-feu, cliquez sur Paramètres d'authentification
point à point.
3
Dans le volet Paramètres d'authentification point à point, cochez Activer
l'authentification point à point.
4
Configurez chacune des valeurs figurant sur la page.
Pour plus d'informations sur ces options, cliquez sur Aide.
5
Pour autoriser des ordinateurs distants à se connecter à l'ordinateur client
sans authentification, cochez Exclure les hôtes de l'authentification, puis
cliquez sur Hôtes exclus.
L'ordinateur client autorise le trafic vers les ordinateurs figurant dans la liste
des hôtes.
6
Dans la boîte de dialogue Hôtes exclus, cliquez sur Ajouter pour ajouter les
ordinateurs distants dont l'authentification n'est pas nécessaire.
7
Dans la boîte de dialogue Hôte, définissez l'hôte à l'aide de l'adresse IP, de la
plage d'IP, ou du sous-réseau, puis cliquez sur OK.
8
Dans la boîte de dialogue Hôtes exclus, cliquez sur OK.
9
Quand vous avez terminé la configuration de cette politique, cliquez sur OK.
10 Si vous y êtes invité, assignez la politique à un emplacement.
143
144
Chapitre
7
Utilisation des journaux et
des rapports pour contrôler
la sécurité
■
A propos des journaux et des rapports
■
A propos de la page d'accueil de Symantec Endpoint Protection
■
A propos des journaux
■
Affichage des journaux
■
Exécuter des commandes et des actions à partir des journaux
■
Utilisation des notifications
■
Création de rapports rapides
A propos des journaux et des rapports
Les fonctions de rapport fournissent toutes les informations actualisées nécessaires
pour contrôler et gérer la sécurité de votre réseau. La page d'accueil de la console
Symantec Endpoint Protection Manager affiche des graphiques générés de façon
automatique, comprenant des informations sur les événements importants
survenus récemment sur votre réseau. Vous pouvez utiliser les filtres de la page
Contrôles pour afficher des informations en temps réel plus détaillées sur votre
réseau à partir des journaux. Vous pouvez utiliser les filtres de la page Rapports
pour générer des rapports prédéfinis ou personnalisés. La page Rapports vous
146
Utilisation des journaux et des rapports pour contrôler la sécurité
permet d'afficher des représentations graphiques et des statistiques sur les
événements survenus sur votre réseau.
A propos de la page d'accueil de Symantec Endpoint
Protection
Si Symantec Endpoint Protection est installé sur votre système et si les droits
associés à votre compte administrateur vous autorisent à afficher les rapports,
votre page d'accueil affiche alors les rapports générés de façon automatique. Ces
rapports contiennent des informations importantes quant à la sécurité de votre
réseau. Si vous n'êtes pas autorisé à afficher les rapports, les rapports générés de
façon automatique n'apparaissent pas sur votre page d'accueil.
Figure 7-1 montre un exemple de page d'accueil visualisée par les administrateurs
ayant l'autorisation d'afficher des rapports.
Figure 7-1
Exemple de page d'accueil de Symantec Endpoint Protection sur la
console Symantec Endpoint Protection Manager
La page d'accueil contient les rapports générés de façon automatique ainsi que
plusieurs éléments relatifs à l'état. Certains des rapports de la page d'accueil
contiennent des liens hypertexte vers des rapports plus détaillés. Vous pouvez
cliquer sur les nombres et certains diagrammes dans les rapports de la page
d'accueil pour consulter des détails.
Remarque : Les rapports sont automatiquement filtrés en fonction des autorisations
de l'utilisateur connecté. Si vous êtes un administrateur système, vous pouvez
consulter des informations sur tous les domaines. Si vous êtes un administrateur
limité dont les droits d'accès se limitent à un domaine, vous pouvez consulter des
informations sur ce domaine uniquement.
Tableau 7-1 décrit chaque élément de la page d'accueil de Symantec Endpoint
Protection.
Tableau 7-1
Eléments et rapports de la page d'accueil
Informations sur les rapports ou Description
l'état
Etat de la sécurité
L'état de la sécurité peut être Bon ou Attention requise. Les seuils que vous
définissez dans l'onglet Etat de la sécurité déterminent les définitions de Bon
et Attention requise.. Vous pouvez accéder à l'onglet Etat de la sécurité à
partir du lien Préférences de la page d'accueil.
Pour plus de détails, vous pouvez cliquer sur l'icône qui correspond à l'état
de la sécurité sur la page d'accueil.
147
148
l'état
Résumé des actions par nombre de
détections | Résumé des actions par
nombre d'ordinateurs
Par défaut, la page d'accueil affiche un résumé des actions pour les dernières
24 heures. Ce résumé indique également le nombre d'infections associées
aux virus et aux risques de sécurité. Vous pouvez cliquer sur le lien
Préférences pour modifier l'intervalle de temps utilisé et le définir sur La
dernière semaine plutôt que sur Les dernières 24 heures. Ce lien vous permet
également de remplacer l'affichage "par nombre de détections" par l'affichage
"par nombre d'ordinateurs".
Le résumé des actions par nombre de détections contient les informations
suivantes :
■
nombre d'actions entreprises sur des virus et des risques de sécurité ;
■
incidence de nouvelles détections de virus et de risques de sécurité ;
■
nombre d'ordinateurs toujours infectés par des virus et des risques de
sécurité.
Le résumé des actions par nombre d'ordinateurs contient les informations
suivantes :
nombre d'ordinateurs distincts sur lesquels les diverses actions ont été
exécutées sur des virus et des risques de sécurité ;
■ nombre total de nouvelles détections de virus et de risques de sécurité ;
■
■
nombre total d'ordinateurs restant infectés par des virus et des risques
de sécurité.
Par exemple, supposez que vous avez cinq actions de nettoyage dans la vue
du nombre de détections. Si toutes les détections se sont produites sur le
même ordinateur, la vue du nombre d'ordinateurs indique alors la valeur 1
plutôt que 5.
Pour obtenir un rapport détaillé pour l'une des actions, cliquez sur le nombre
de virus ou de risques de sécurité.
Tout risque de sécurité indique qu'une analyse proactive des menaces TruScan
a détecté un élément suspect requérant votre attention. Cet élément peut
être inoffensif ou non. Si vous constatez que ce risque est inoffensif, vous
pouvez utiliser la politique d'exceptions centralisées pour l'exclure des
détections à l'avenir. Si vous avez configuré les analyses proactives des
menaces TruScan pour consigner et que vous déterminez que ce risque est
nocif, vous pouvez utiliser la politique d'exceptions centralisées pour le
terminer ou le mettre en quarantaine. Si vous avez utilisé les paramètres
d'analyse proactive de menace TruScan par défaut, Symantec Endpoint
Protection ne peut pas résoudre le risque. Si vous constatez que ce risque est
nocif, vous devez le supprimer manuellement.
l'état
Résumé des actions par nombre de
détections | Résumé des actions par
nombre d'ordinateurs
(Suite)
Le compteur Nouvellement infecté contient le nombre de risques ayant infecté
des ordinateurs pendant l'intervalle spécifié. Le compteur Nouvellement
infecté est un sous-ensemble de Toujours infectés. Le compteur Encore infecté
affiche le nombre de risques total qu'une analyse continue de considérer
comme infectés (toujours dans l'intervalle de temps spécifié). Par exemple,
un ordinateur peut demeurer infecté parce que Symantec Endpoint Protection
ne peut supprimer le risque que partiellement. Après avoir étudié le risque,
vous pouvez effacer le compteur Encore infecté du journal d'état de
l'ordinateur.
Les compteurs Nouvellement infecté et Encore infecté identifient les risques
qui exigent votre intervention pour être nettoyés. Dans la plupart des cas,
vous pouvez prendre cette mesure depuis la console et n'êtes pas obligé
d'utiliser l'ordinateur.
Remarque : Un ordinateur est compté en tant qu'élément nouvellement
infecté si l'événement de détection s'est produit pendant l'intervalle de temps
de la page d'accueil. Par exemple, si un risque non résolu a affecté un
ordinateur dans les dernières 24 heures, le compteur Nouvellement infecté
augmente sur la page d'accueil. Le risque peut être non résolu en raison d'une
résolution partielle ou parce que la politique de sécurité pour ce risque est
définie sur Consigner seulement.
Vous pouvez configurer un balayage de base de données pour supprimer ou
conserver les événements de détection qui ont abouti à des risques non
résolus. Si le balayage est configuré pour supprimer les événements de risque
non résolus, le compteur de la page d'accueil Encore infecté ne contient plus
ces événements. Ces événements vieillissent et sont évacués de la base de
données. Cette disparition ne signifie pas que les risques ont été résolus.
Aucune limite temporelle ne s'applique aux entrées du compteur Encore
infecté. Une fois les risques nettoyés, vous pouvez modifier l'état infecté pour
l'ordinateur. Vous pouvez modifier cet état dans le journal Etat de l'ordinateur
en cliquant sur l'icône associée à l'ordinateur dans la colonne Infectés.
Remarque : Le compteur Nouvellement infecté ne diminue pas lorsque l'état
d'infection d'un ordinateur est effacé dans le journal Etat de l'ordinateur,
contrairement au compteur Encore infecté.
Vous pouvez déterminer le nombre total d'événements qui se sont produits
dans la dernière période configurée pour l'afficher sur la page d'accueil. Pour
déterminer le nombre total, additionnez les compteurs de toutes les lignes
du résumé des actions mis à part la ligne Encore infecté.
Se reporter à "Affichage des journaux" à la page 159.
149
150
l'état
Attaques | Risques | InfectionsPar
heure : Dernières 12 heures | Par
heure : Dernières 24 heures
Ce rapport se compose d'un graphique linéaire. Le graphique linéaire montre
l'incidence des attaques, détections ou infections dans votre réseau de sécurité
sur les dernières 12 ou 24 heures. Vous pouvez choisir de sélectionner l'un
des éléments suivants :
Les attaques représentent les incidents que la protection contre les
menaces réseau a contrecarrés.
■ Les risques représentent l'ensemble des détections de virus, logiciels
espions et détections de l'analyse proactive des menaces TruScan qui ont
été effectuées.
■ Les infections représentent les virus et les risques de sécurité qui ont été
détectés mais qui ne peuvent pas être entièrement résolues.
■
Vous pouvez modifier l'affichage en cliquant sur une nouvelle vue dans la
zone de liste.
Remarque : Vous pouvez cliquer sur le lien Préférences pour modifier
l'intervalle de temps par défaut qui est utilisé.
Résumé de l'état des notifications
Le résumé de l'état des notifications présente un résumé en ligne de l'état
des notifications que vous avez configurées. Par exemple, 100 notifications
sans accusé de réception pendant les 24 dernières heures.
Se reporter à "Création des notifications d'administrateur" à la page 168.
Résumé de l’état
Le Résumé de l'état décrit l'état opérationnel des ordinateurs sur votre réseau.
Il indique le nombre d'ordinateurs qui présentent les problèmes suivants sur
le réseau :
■
Le moteur antivirus est désactivé.
■
Auto-Protect est désactivé.
■
La protection contre les interventions est désactivée.
Les ordinateurs nécessitent un redémarrage pour finir de résoudre un
risque ou d'installer un logiciel LiveUpdate téléchargé.
■ Les ordinateurs ont échoué une contrôle de l'intégrité de l'hôte.
Ce nombre est toujours zéro si Symantec Network Access Control n'est
pas installé.
■
Vous pouvez cliquer sur chaque nombre du Résumé de l'état pour plus de
détails.
Le nombre de notifications non acquittées des dernières 24 heures s'affiche
également.
l'état
Distribution des définitions de virus | Les sections Distribution des définitions de virus et Signatures de prévention
Signatures de prévention d'intrusion d'intrusion de la page d'accueil indiquent comment les définitions de virus
actuelles et les signatures IPS sont distribuées.
Vous pouvez passer d'une section à l'autre en cliquant sur une nouvelle vue
dans la zone de liste.
Security Response
La section Security Response affiche les menaces principales et les dernières
menaces telles qu'elle sont détectées par Symantec Security Response. Elle
affiche également le nombre d'ordinateurs qui ne sont pas protégés contre
ces menaces sur le réseau. Le compteur ThreatCon indique le niveau actuel
de gravité de la menace pour les ordinateurs d'un réseau. Les niveaux de
gravité sont basés sur les évaluations des menaces que Symantec Security
Response établit. Le niveau de gravité ThreatCon fournit une représentation
globale de la sécurité sur Internet.
Vous pouvez cliquer sur les liens pour obtenir des informations
supplémentaires.
Remarque : Symantec ne prend pas en charge l'installation de Symantec
Client Firewall sur le même ordinateur que Symantec Endpoint Protection
Manager. Si vous les installez tous deux sur le même ordinateur, cette
situation peut entraîner des erreurs de CGI lorsque vous cliquez sur les liens
Security Response de la page d'accueil.
Résumé des applications surveillées Le Résumé des applications surveillées indique les occurrences sur votre
réseau des applications qui figurent sur les listes suivantes :
■
liste des applications commerciales Symantec ;
■
liste des détections proactives forcées de menaces TruScan (c'est-à-dire
votre liste personnalisée d'applications surveillées).
Vous pouvez cliquer sur un nombre pour afficher un rapport plus détaillé.
Rapports sur les favoris
La section Rapports sur les favoris contient trois rapports par défaut. Vous
pouvez personnaliser cette section en remplaçant un ou plusieurs de ces
rapports par n'importe quel autre rapport par défaut ou personnalisé de votre
choix. Les rapports sur les favoris s'exécutent chaque fois que vous les affichez
de sorte que leurs données soient toujours pertinentes. Ils s'affichent dans
une nouvelle fenêtre.
Pour sélectionner les rapports auxquels vous souhaitez accéder depuis la
page d'accueil, vous pouvez cliquer sur l'icône Plus (+) en regard de Rapports
sur les favoris.
151
152
Vous pouvez utiliser le lien Préférences pour modifier la période des rapports et
des résumés qui s'affichent sur ces pages. Le paramètre par défaut est Dernières
24 heures. Vous pouvez également choisir l'option La semaine dernière. Vous
pouvez modifier les rapports par défaut qui sont affichés dans la section Rapports
sur les favoris de la page d'accueil.
Utilisation des journaux, vous pouvez afficher les événements détaillés qui ont
été détectés par vos produits de sécurité. Les journaux contiennent des données
d'événement issues de vos serveurs de gestion ainsi que de tous les clients qui
communiquent avec ces serveurs. Etant donné que les rapports sont statiques et
n'incluent pas autant de détails que les journaux, certains administrateurs
préfèrent contrôler leur réseau en utilisant des journaux.
Il est possible que vous souhaitiez afficher ces informations afin de dépanner des
problèmes de sécurité ou de connectivité sur votre réseau. Ces informations
peuvent également être utiles pour rechercher d'éventuelles menaces ou vérifier
l'historique des événements.
Remarque : Les pages des rapports et des journaux s'affichent toujours dans la
langue du serveur de gestion. Pour afficher ces pages à l'aide d'une console
Symantec Endpoint Protection Manager distante ou d'un navigateur, vous devez
disposer de la police appropriée sur l'ordinateur que vous utilisez.
Vous pouvez exporter certaines données d'événements de journal vers un fichier
délimité par des virgules afin que celui-ci puisse être importé dans une application
de tableur. Vous pouvez également exporter d'autres données du journal vers un
fichier de vidage mémoire ou un serveur Syslog.
A propos des types de journaux, du contenu et des commandes
Vous pouvez afficher les types de journaux suivants de la page de Contrôles :
■
Contrôle des applications et des périphériques
■
Audit
■
Conformité
■
Etat de l'ordinateur
■
Protection contre les menaces réseau
■
Analyse proactive des menaces TruScan
■
Risque
■
Analyse
■
Système
Remarque : Tous ces journaux sont accessibles à partir de la page Contrôles en
utilisant l'onglet Journaux. Vous pouvez afficher des informations sur les
notifications créées dans l'onglet Notifications et des informations sur l'état des
commandes dans l'onglet Etat de la commande.
Certains types de journaux sont encore divisés en différents types de contenu
pour faciliter l'affichage. Par exemple, les journaux de contrôle des applications
et des périphériques incluent le journal de contrôle des applications et le journal
de contrôle des périphériques. Vous pouvez également exécuter des commandes
à partir de certains journaux.
Se reporter à "Affichage et filtrage des informations de notification administrateur"
à la page 166.
Remarque : Si seul Symantec Network Access Control est installé, seulement
certains des journaux contiennent des données ; d'autres journaux sont vides. Le
journal d'audit, le journal de conformité, le journal d'état des ordinateurs et le
journal système contiennent des données. Si seul Symantec Endpoint Protection
est installé, les journaux de conformité et les journaux d'Enforcer sont vides mais
tous les autres journaux contiennent des données.
Tableau 7-2 décrit les différents types de contenu que vous pouvez afficher et les
mesures que vous pouvez prendre à partir de chaque journal.
153
154
Tableau 7-2
Type de journal
Journal et listes
Contenus et actions
Contrôle des applications et Le journal Contrôle des applications et le journal Contrôle des périphériques
des périphériques
contiennent des informations sur les événements dans lesquels certains types de
comportement étaient bloqués.
Les journaux de contrôle des applications et des périphériques suivants sont
disponibles :
Contrôle des applications, qui inclut des informations sur la protection contre les
interventions
■ Contrôle des périphériques
■
Les informations qui sont disponibles dans le journal de contrôle des applications
incluent les éléments suivants :
■
Le moment où l'événement s'est produit
■
La mesure prise
■
Le domaine et l'ordinateur qui étaient concernés
■
La gravité
■
La règle qui était concernée
■
Le processus appellant
■
La cible
Les informations qui sont disponibles dans le journal de contrôle des périphériques
incluent les éléments suivants :
■
Le moment où l'événement s'est produit
■
Le type d'événement
■
Le domaine et le groupe qui étaient concernés
■
L'ordinateur qui était concerné
■
L'utilisateur qui était impliqué
■
Le nom du système d'exploitation
■
Une description
■
L'emplacement
■
Nom de l'application qui était impliquée
Vous pouvez ajouter un fichier à une politique d'exception centralisée à partir du
journal Contrôle des applications.
Audit
Le rapport d'audit contient des informations sur l'activité de modification de la
politique. Les informations disponibles incluent le moment et le type des événements ;
la politique modifiée ; le domaine, le site et l'administrateur impliqué ; et une
description.
Aucune action n'est associée à ce journal.
Type de journal
Contenus et actions
Conformité
Les journaux de conformité contiennent des informations au sujet du trafic du serveur
Enforcer, des clients Enforcer et d'Enforcer et sur la conformité des hôtes.
Les journaux de conformité suivants sont disponibles si vous avez installé Symantec
Network Access Control :
Serveur Enforcer
Ce journal suit la communication entre les modules d'application Enforcer et leur
serveur de gestion. Les informations consignées incluent le nom d'Enforcer, quand
il se connecte au serveur de gestion, le type d'événement, le site et le nom du
serveur.
■ Client Enforcer
Fournit des données sur l'ensemble des connexions client Enforcer, y compris les
informations d'authentification point à point. Les données disponibles incluent
chaque nom, type, site, serveur à distance et adresse MAC distante d'Enforcer et
si le client a été accepté, rejeté ou authentifié.
■ Trafic d'Enforcer (Gateway Enforcer seulement)
Fournit quelques informations au sujet du trafic qui passe par un boîtier Enforcer.
Ces informations incluent la direction et la période du trafic, le protocole qui a
été utilisé, le nom d'Enforcer et le site. Les informations incluent également le
port local qui a été utilisé, la direction et un compte. Vous pouvez filtrer les
tentatives de connexion qui ont été permises ou bloquées.
■ Conformité d'hôte
Ce journal suit les détails des vérifications de l'intégrité d'hôte des clients. Les
informations disponibles incluent le moment, l'emplacement, le système
d'exploitation, la raison des échecs et une description.
■
Aucune action n'est associée à ces journaux.
155
156
Type de journal
Etat de l'ordinateur
Contenus et actions
Type de journal
Contenus et actions
Le journal d'état de l'ordinateur contient des informations sur l'état de fonctionnement
des ordinateurs clients dans le réseau en temps réel. Les informations disponibles
incluent le nom et l'adresse IP de l'ordinateur, le dernier enregistrement, la date des
définitions, l'état d'infection, l'état d'Auto-Protect, le serveur, le groupe, le domaine
et le nom d'utilisateur.
Vous pouvez exécuter les actions suivantes à partir du journal d'état de l'ordinateur :
■
■
■
■
■
■
■
■
Analyse
Cette commande lance une analyse active, complète ou personnalisée. Les options
d'analyse personnalisée sont celles que vous avez définies pour des analyses de
commande sur la page Analyse définie par l'administrateur. La commande utilise
les paramètres de la politique antivirus et antispyware qui s'applique aux clients
que vous avez sélectionnés pour analyse.
Mise à jour de contenu
Cette commande déclenche une mise à jour des politiques, des définitions et du
logiciel depuis la console Symantec Endpoint Protection Manager vers les clients
du groupe sélectionné.
Mise à jour de contenu et analyse
Cette commande déclenche une mise à jour des politiques, des définitions et du
logiciel sur les clients du groupe sélectionné. Cette commande lance ensuite une
analyse active, complète ou personnalisée. Les options d'analyse personnalisée
sont celles que vous avez définies pour des analyses de commande sur la page
Analyse définie par l'administrateur. La commande utilise les paramètres de la
politique antivirus et antispyware qui s'applique aux clients que vous avez
sélectionnés pour analyse.
Annuler toutes les analyses
Cette commande annule toutes les analyses en cours et toutes les analyses en
attente sur les destinataires sélectionnés.
Redémarrer les ordinateurs client
Cette commande redémarre les ordinateurs que vous avez sélectionnés. Si des
utilisateurs sont connectés, ils sont avertis du redémarrage basé sur les options
de redémarrage que l'administrateur a configurées pour cet ordinateur. Vous
pouvez configurer des options de redémarrage client dans l'onglet Paramètres
généraux de la boîte de dialogue Paramètres généraux dans l'onglet Politiques de
la page Clients.
Activation d'Auto-Protect
Cette commande active Auto-Protect pour tous les ordinateurs clients que vous
avez sélectionnés.
Activation de la protection contre les menaces réseau
Cette commande active la protection contre les menaces réseau pour tous les
ordinateurs clients que vous avez sélectionnés.
Désactivation de la protection contre les menaces réseau
Cette commande désactive la protection contre les menaces réseau pour tous les
157
158
Type de journal
Contenus et actions
ordinateurs clients que vous avez sélectionnés.
Vous pouvez également effacer l'état d'infection des ordinateurs à partir de ce journal.
Protection contre les
menaces réseau
Les journaux de protection contre les menaces réseau contiennent des informations
à propos des attaques sur le pare-feu et sur la prévention d'intrusion. Des informations
sont disponibles au sujet des attaques de refus de service, des analyses de port et des
modifications qui ont été apportées aux fichiers exécutables. Ils contiennent également
des informations sur les connexions qui sont faites par le pare-feu (trafic) et sur les
paquets de données qui le traversent. Ces journaux contiennent également certaines
des modifications opérationnelles qui sont apportées aux ordinateurs, telles que la
détection des applications réseau et la configuration des logiciels. Les informations
disponibles incluent des éléments tels que le moment, le type d'événement ; et la
mesure prise. Les informations complémentaires disponibles incluent la gravité ; la
direction, le nom d'hôte, la mesure prise, l'adresse IP et le protocole impliqué.
Les journaux suivants de protection contre les menaces réseau sont disponibles :
■
Attaques
■
Trafic
■
Paquet
Analyse proactive des
menaces TruScan
Le journal de la protection proactive contre les menaces TruScan contient des données
sur les menaces détectées au cours de cette analyse. Les analyses proactives des
menaces TruScan utilisent des technologies heuristiques pour analyser tout
comportement similaire à celui des virus ou présentant un risque pour la sécurité.
Cette méthode peut détecter des virus inconnus et les risques de sécurité. Les
informations disponibles incluent des éléments tels que la période de l'occurrence,
le nom d'événement, l'ordinateur et l'utilisateur impliqués, le nom et le type de
l'application et le nom du fichier.
Vous pouvez ajouter un processus détecté à une politique d'exceptions centralisées
préexistente à partir de ce journal.
Risque
Le journal de Risque contient des informations sur des événements à risque. Les
informations disponibles peuvent comprendre le nom et l'heure de l'événement, le
nom d'utilisateur, l'ordinateur, le nom du risque, la fréquence, la source et le nom du
chemin d'accès.
Vous pouvez prendre les mesures suivantes à partir de ce journal :
■
Ajouter le risque à la politique d'exception centralisée
■
Ajouter un fichier à la politique d'exceptions centralisées
■
Ajouter un dossier à la politique d'exceptions centralisées
■
Ajouter une extension à la politique d'exceptions centralisées
■
Suppression de la quarantaine
Type de journal
Contenus et actions
Analyse
Le journal d'Analyse contient des informations sur l'activité d'analyse antivirus et
antispyware. Les informations disponibles incluent des éléments tels que le nom
d'ordinateur, l'adresse IP, l'état, le moment de l'analyse, sa durée et ses résultats.
Système
Les journaux système contiennent des informations sur des événements tels que le
démarrage et l'arrêt des services. Les informations disponibles incluent des éléments
tels que le moment et le type des événements ; le site, le domaine et le serveur
impliqués ; et la gravité.
Les journaux système suivants sont disponibles :
■
Administratif
■
Activité client-serveur
■
Activité serveur
■
Activité client
■
Activité Enforcer
Liste Etat de la commande
La liste Etat de la commande contient des informations sur l'état des commandes que
vous avez exécutées à partir de la console. Elle inclut des informations telles que la
date d'exécution de la commande, qui les a émises et une description de la commande.
Elle inclut également l'état d'avancement de la commande et les clients affectés par
la commande.
Liste Notifications
La liste Notifications contient des informations sur des événements de notification.
De tels événements incluent des informations telles que la date et l'heure de la
notification. Elle inclut également si la notification a été reconnue, qui l'a créée, son
sujet et le message.
Remarque : Le journal de Notifications est accessible à partir de l'onglet Notifications
à la page Contrôles, et non à partir de l'onglet Journaux.
Se reporter à "Affichage et filtrage des informations de notification administrateur"
à la page 166.
Vous pouvez générer une liste des événements à afficher à partir des journaux
basés sur des paramètres de filtrage particuliers. Chaque type de journal et de
contenu est associé à une configuration de filtre par défaut que vous pouvez
utiliser tel quel ou sous une forme modifiée. Vous pouvez également créer et
enregistrer de nouvelles configurations de filtre. Ces nouveaux filtres peuvent
159
160
être basés sur le filtre par défaut ou sur un filtre que vous avez créé précédemment.
Si vous enregistrez une configuration de filtre, vous pouvez la restaurer
ultérieurement dans la même vue de journal. Cela vous évite de devoir reconfigurer
les paramètres à chaque fois. Vous pouvez supprimer vos configurations de filtre
personnalisées si elles ne vous sont plus utiles.
Remarque : Si des erreurs de base de données se produisent lorsque vous affichez
des journaux comprenant de nombreuses données, vous pouvez modifier les
paramètres d'expiration de la base de données.
Si des erreurs de CGI ou de processus arrêtés surviennent, vous pouvez modifier
d'autres paramètres d'expiration.
Pour plus d'informations sur ces paramètres d'expiration supplémentaires,
reportez-vous à l'article de la base de connaissances Symantec intitulé "Reporting
server does not report or shows a timeout error message when querying large
amounts of data (Le serveur Reporting ne génère pas de rapport ou affiche un
message d'erreur signalant un dépassement de délai)".
Etant donné que certaines des informations contenues dans les journaux sont
collectées à intervalles réguliers, vous pouvez actualiser vos vues de journal. Pour
configurer la fréquence d'actualisation d'un journal, affichez le journal de votre
choix et sélectionnez une option dans la zone de liste Actualisation automatique
qui se trouve dans la partie supérieure droite de la vue du journal.
Remarque : Si vous affichez des données de journal pour des dates particulières,
la fonction d'actualisation automatique n'a alors aucun effet. Les données restent
toujours les mêmes.
Pour une description de chaque option configurable, vous pouvez cliquer sur le
lien Plus d'infos du type de rapport sur la console Symantec Endpoint Protection
Manager. Vous accédez alors à l'aide contextuelle.
Remarque : Les champs d'option de filtre qui acceptent des caractères génériques
et recherchent des correspondances ne fait aucune distinction entre majuscules
et minuscules. Le caractère astérisque ASCII est le seul astérisque qui puisse être
utilisé comme caractère générique.
Pour afficher un journal
1
Dans la fenêtre principale, cliquez sur Contrôles.
2
Sous l'onglet Journaux, dans la zone de liste Type de journal, sélectionnez le
type de journal que vous souhaitez afficher.
3
Pour certains types de journaux, une liste de contenu de journal apparaît. Si
elle apparaît, sélectionnez le contenu que vous voulez afficher.
4
Dans la liste Utiliser un filtre sauvegardé, sélectionnez un filtre sauvegardé
ou laissez la valeur par défaut.
5
Sélectionnez une heure dans la liste Plage horaire ou laissez la valeur par
défaut. Si vous sélectionnez Définir des dates spécifiques, vous devez définir
la ou les dates et heures dont vous souhaitez afficher les entrées.
6
Cliquez sur Paramètres avancés pour limiter le nombre d'entrées à afficher.
Vous pouvez également définir les autres Paramètres avancés disponibles
pour le type de journal que vous avez sélectionné.
7
Une fois que vous avez obtenu la configuration de vue souhaitée, cliquez sur
Afficher le journal.
La vue de journal apparaît dans la même fenêtre.
Affichage des détails des événements dans les journaux
Vous pouvez afficher les détails des événements stockés dans les journaux.
Pour afficher les détails d'un événement
1
Dans la fenêtre principale, cliquez sur Contrôles.
2
Sous l'onglet Journaux, dans la zone de liste Type de journal, sélectionnez le
type de journal que vous souhaitez afficher.
3
Pour certains types de journaux, une liste de contenu de journal apparaît. Si
elle apparaît, sélectionnez le contenu que vous voulez afficher.
4
5
Cliquez sur l'événement dont vous souhaitez afficher les détails, puis cliquez
sur Détails.
Afficher les journaux d'autres sites
Pour afficher les journaux d'un autre site, vous devez vous connecter à un serveur
du site distant depuis la console Symantec Endpoint Protection Manager. Si vous
avez un compte sur un serveur du site distant, vous pouvez ouvrir une session à
distance et afficher les journaux du site.
161
162
Si vous avez configuré des partenaires de réplication, vous pouvez choisir que
tous les journaux des partenaires de réplication soient copiés sur le partenaire
local et vice versa.
Si vous choisissez de répliquer des journaux, vous voyez par défaut à la fois les
informations de votre site et celles des sites répliqués quand vous affichez
n'importe quel journal. Si vous voulez consulter un unique site, vous devez filtrer
les données pour les limiter à l'emplacement que vous voulez afficher.
Remarque : Si vous choisissez de répliquer des journaux, soyez sûr que vous avez
le suffisamment d'espace disque pour les journaux supplémentaires de tous les
partenaires de réplication.
Pour afficher les journaux d'un autre site
1
Ouvrez un navigateur Web.
2
Tapez le nom ou l'adresse IP du serveur et le numéro de port, 9090, dans la
zone d'adresse comme suit :
http://192.168.1.100:9090
La console effectue alors le téléchargement. L'environnement d'exécution
Java 2 (JRE) doit être installé sur l'ordinateur depuis lequel vous vous
connectez. Si ce n'est pas le cas, vous êtes invité à télécharger et à installer
le JRE. Suivez les invites pour installer le JRE.
3
Dans la boîte de dialogue d'ouverture de session de la console, tapez votre
nom d'utilisateur et votre mot de passe.
4
Dans la zone de texte Serveur, si elle ne se remplit pas automatiquement,
tapez le nom ou l'adresse IP du serveur et le numéro de port 8443 comme
suit :
http://192.168.1.100:8443
5
Cliquez sur Connexion.
Exécuter des commandes et des actions à partir des
journaux
Depuis le journal d'état de l'ordinateur, vous pouvez exécuter plusieurs commandes
sur des clients sélectionnés.
Pour exécuter des commandes, vous pouvez également cliquer sur un groupe avec
le bouton droit de la souris directement dans la page Client de la console Symantec
Endpoint Protection Manager. L'ordre dans lequel les commandes et les actions
sont traitées sur le client diffère selon la commande. Indépendamment d'où la
commande est lancée, les commandes et les actions sont traitées de la même
manière.
Pour plus d'informations au sujet des options que vous pouvez définir quand vous
exécutez des commandes, dans la console dans l'onglet Journaux, vous pouvez
cliquer sur Plus d'infos. Vous accédez alors à l'aide contextuelle.
Depuis l'onglet Etat de la commande, vous pouvez afficher l'état des commandes
que vous avez exécutées depuis la console et leurs détails. Vous pouvez également
annuler une analyse spécifique depuis cet onglet si l'analyse est en cours.
Vous pouvez annuler toutes les analyses en cours et en attente pour les clients
sélectionnés depuis le journal d'état de l'ordinateur. Si vous confirmez la
commande, le tableau est actualisé et vous voyez la commande d'annulation
ajoutée au tableau d'état de commande.
Remarque : Si vous exécutez une commande d'analyse et sélectionnez une analyse
personnalisée, l'analyse utilise les paramètres d'analyse de commande configurés
sur la page Analyse définie par l'administrateur. La commande utilise les
paramètres de la politique antivirus et antispyware appliquée aux clients
sélectionnés.
Si vous exécutez une commande Redémarrer l'ordinateur client depuis un journal,
la commande est envoyée immédiatement. Si des utilisateurs sont connectés au
client, ils sont avertis du redémarrage selon les options que l'administrateur a
configurées pour ce client. Vous pouvez configurer des options de redémarrage
client dans l'onglet Paramètres généraux de la boîte de dialogue Paramètres
généraux dans l'onglet Politiques de la page Clients.
Les journaux suivants vous permettent d'ajouter des exceptions à une politique
d'exceptions centralisées :
■
Journal de contrôle d'application
■
Journal TruScan Proactive Threat Scan
■
Journal de risque
Pour ajouter n'importe quel type d'exception depuis un journal, vous devez avoir
déjà créé une politique d'exceptions centralisées.
Depuis le journal de risque, vous pouvez également supprimer des fichiers de la
quarantaine.
Si Symantec Endpoint Protection détecte des risques dans un fichier compressé,
le fichier compressé est tout entier mis en quarantaine. Cependant, le journal de
risque contient une entrée séparée pour chaque fichier du fichier compressé. Vous
163
164
ne pouvez pas utiliser la commande Supprimer de la quarantaine du journal de
risque pour supprimer seulement les fichiers infectés de la quarantaine. Pour
supprimer le(s) risque(s) avec succès, vous devez sélectionner tous les fichiers du
fichier compressé avant d'utiliser la commande Supprimer de la quarantaine.
Remarque : Pour sélectionner les fichiers dans le fichier compressé, vous devez
les afficher tous dans la vue de journal. L'option Limiter dans les paramètres
avancés du filtre de journal de risque permet d'augmenter le nombre d'entrées
dans la vue.
Pour supprimer des fichiers de la quarantaine depuis le journal de risque
1
Cliquez sur Contrôles.
2
Dans l'onglet Journaux, dans la zone de liste Type de journal, sélectionnez le
journal de risque, puis cliquez sur Afficher le journal.
3
Sélectionnez dans le journal une entrée qui a un fichier en quarantaine.
4
Dans la zone de liste Action, sélectionnez Supprimer de la mise en quarantaine.
5
Cliquez sur Démarrer.
6
Dans la boîte de dialogue qui apparaît, cliquez sur Supprimer.
7
Dans la boîte de dialogue de confirmation qui apparaît, cliquez sur OK.
Pour supprimer un fichier compressé de la quarantaine depuis le journal de risque
1
Cliquez sur Indicateurs.
2
Dans l'onglet Journaux, dans la zone de liste Type de journal, sélectionnez le
journal de risque, puis cliquez sur Afficher le journal.
3
Sélectionnez toutes les entrées de fichier dans le fichier compressé.
Vous devez voir toutes les entrées du fichier compressé dans la vue de journal.
Vous pouvez utiliser l'option Limiter sous Paramètres avancés pour augmenter
le nombre d'entrées dans la vue.
4
Dans la zone de liste Action, sélectionnez Supprimer de la quarantaine.
5
6
Dans la boîte de dialogue qui s'affiche, cliquez sur Supprimer.
7
Dans la boîte de dialogue de confirmation qui apparaît, cliquez sur OK.
Pour exécuter une commande depuis le journal d'état de l'ordinateur
1
2
Dans l'onglet Journaux, dans la zone de liste Type de journal, sélectionnez
Etat de l'ordinateur.
3
4
Sélectionnez une commande dans la zone de liste Opération.
5
S'il y a des choix de paramètres pour la commande que vous avez sélectionnée,
une nouvelle page paraît pour configurer les paramètres appropriés.
6
Une fois la configuration terminée, cliquez sur Oui ou sur OK.
7
Dans la boîte de message de confirmation de commande qui apparaît, cliquez
sur Oui.
8
Dans la boîte de dialogue Message, cliquez sur OK.
Si la commande n'est pas mise en attente avec succès, vous devrez peut-être
répéter cette procédure. Vous pouvez vérifier si le serveur est en panne. Si
la console a perdu la connectivité avec le serveur, vous pouvez fermer la
session de console puis rouvrir une session pour essayer de résoudre le
problème.
Pour afficher les détails d'état de commande
1
2
Dans l'onglet Etat de la commande, sélectionnez une commande dans la liste
puis cliquez sur Détails.
Pour annuler une analyse spécifique en cours
1
2
Dans l'onglet Etat de la commande, cliquez sur l'icone Annuler l'analyse dans
la colonne Commande de la commande d'analyse que vous voulez annuler.
3
Lorsqu'un message apparaît pour confirmer que la commande a été mise en
file d'attente, cliquez sur OK.
Pour annuler toutes les analyses en cours et en attente
1
2
Dans l'onglet Journaux, dans la zone de liste Type de journal, sélectionnez
Etat de l'ordinateur.
3
165
166
4
Sélectionnez les ordinateurs dans la liste, puis Tout annuler dans la liste des
commandes.
5
6
Quand la boîte de dialogue de confirmation apparaît, cliquez sur Oui pour
annuler toutes les analyses en cours et en attente pour les ordinateurs
sélectionnés.
7
Lorsqu'un message apparaît pour confirmer la mise en file d'attente de la
commande, cliquez sur OK.
Les notifications sont des messages au sujet des événements de sécurité qui ont
eu lieu dans votre réseau. Vous pouvez configurer une multiplicité de types de
notifications. Certaines notifications sont adressées aux utilisateurs et certaines
notifications sont adressées aux administrateurs.
Vous pouvez configurer les actions de notification suivantes pour alerter les
administrateurs ou autres utilisateurs spécifiques lorsque certaines conditions
en relation avec la sécurité sont remplies :
■
Envoyer un courrier électronique.
■
Exécuter un fichier batch ou un autre fichier exécutable.
■
Consigner une entrée dans le journal des notifications de la base de données.
Se reporter à "Création des notifications d'administrateur" à la page 168.
Affichage et filtrage des informations de notification administrateur
Vous pouvez afficher les informations du journal des notifications de la même
façon que les informations qui sont contenues dans d'autres journaux. Vous pouvez
filtrer le journal des notifications pour afficher des informations sur un seul type
d'événement de notification à la fois. Vous pouvez filtrer l'affichage des
notifications et enregistrer les filtres pour future référence.
Vous pouvez filtrer le journal des notifications en fonction des critères suivants :
■
Plage horaire
■
Etat d'accusé de réception
■
Type
■
Créateur
■
Nom
Pour afficher toutes les notifications :
1
2
Dans l'onglet Notifications, cliquez sur Afficher les notifications.
La liste de tous les types de notifications apparaît.
Pour filtrer l'affichage des notifications :
1
Dans la console, cliquez sur Indicateurs.
2
Dans l'onglet Notifications, sous le Quels paramètres de filtrage voulez-vous
utiliser, cliquez sur Paramètres avancés.
3
Définissez l'option de filtrage souhaitée.
Vous pouvez filtrer sur n'importe quelle combinaison : intervalle de temps,
état d'accusé de réception, type de notification, créateur ou nom spécifique
de notification.
4
Cliquez sur Afficher les notifications.
Une liste du type de notifications que vous avez sélectionnées apparaît.
Directives de seuil pour les notifications d'administrateur
Certains types de notification contiennent des valeurs par défaut quand vous les
configurez. Ces directives fournissent des points de départ raisonnables selon la
taille de votre environnement, mais qui peuvent devoir être ajustés. Des essais et
erreurs peuvent être requis pour trouver le bon équilibre entre un trop grand
nombre de notifications et trop peu pour votre environnement. Définissez le seuil
à une première limite, puis attendez quelques jours. Voyez si vous recevez des
notifications trop rarement ou si les notifications vous inondent, vous ou votre
réseau.
Pour la détection des virus, des risques de sécurité et des événement de pare-feu,
supposons que vous ayez moins de 100 ordinateurs dans un réseau. Un point de
départ raisonnable pour ce réseau serait de configurer une notification quand
deux événements de risque sont détectés dans un délai d'une minute. Si vous avez
100 à 1000 ordinateurs, la détection de cinq événements de risque dans un délai
d'une minute peut constituer un point de départ plus utile.
Vous pouvez également vouloir être alerté quand les clients ont des définitions
périmées. Vous pouvez vouloir être avisé de chaque client dont le fichier de
définitions est périmé de plus de deux jours.
167
168
Création des notifications d'administrateur
Vous pouvez créer et configurer des notifications à déclencher quand certains
événements en relation avec la sécurité se produisent.
Vous pouvez configurer le logiciel pour prendre les mesures suivantes de
notification :
■
Consigner la notification dans la base de données.
■
Envoyer un courrier électronique aux individus.
Remarque : Pour envoyer des notifications par message électronique, vous
devez également configurer un serveur de messagerie. Pour ce faire, cliquez
sur la page Admin > Serveurs, sélectionnez un serveur, cliquez sur Modifier
les propriétés du serveur, puis sur l'onglet Serveur de messagerie.
■
Exécuter un fichier batch ou tout autre genre de fichier exécutable.
La période d'atténuation par défaut des notifications est Auto (automatique). Si
une notification est déclenchée et que l'état de déclenchement continue à exister,
l'action de notification que vous avez configurée n'est pas exécutée de nouveau
pendant 60 minutes. Par exemple, supposons que vous définissiez une notification
de sorte que vous être avisé par courrier électronique quand un virus infecte cinq
ordinateurs dans un délai d'une heure. Si un virus continue à infecter vos
ordinateurs à ce taux ou à un taux supérieur, Symantec Endpoint Protection vous
en informe par courrier électronique toute les heures. Les messages électroniques
continuent jusqu'à ce que la cadence ralentisse à moins de cinq ordinateurs par
heure.
Le logiciel peut être configuré pour vous informer d'un certain nombre de types
d'événements différents.
Le Tableau 7-3 décrit les différents types d'événements qui déclenchent différents
types de notifications.
Tableau 7-3
Types de notification
Notification
Description
Echec d'authentification
Les échecs de connexion déclenchent ce type de
notification. Vous définissez le nombre d'échecs de
connexion et la période qui doivent déclencher une
notification. Symantec Endpoint Protection vous
informe si le nombre d'échecs de connexion qui se
produisent au cours de la période dépasse votre
paramètre. Il signale le nombre d'échecs de connexion
qui se sont produits.
Modification de liste client
Les modifications aux clients déclenchent ce type de
notification. Les types de modifications qui peuvent
déclencher cette notification incluent l'ajout, le
mouvement, le changement de nom ou la suppression
d'un client. Les possibilités supplémentaires sont que
l'état du détecteur non géré d'un client, le mode client
ou le matériel ont été modifiés.
Alerte de sécurité client
Vous pouvez choisir par mi les événements de
conformité, de protection contre les menaces réseau,
de trafic, de paquet, de contrôle de périphérique et de
contrôle d'application. Vous pouvez également choisir
le type et l'ampleur de la manifestation qui devrait
déclencher cette notification et la période. Les types
incluent des occurrences sur n'importe quel ordinateur,
des occurrences sur un unique ordinateur ou des
occurrences sur des ordinateurs distincts. Certains de
ces types requièrent que vous activiez également la
consignation dans la politique associée.
Enforcer est arrêté
Un boîtier Enforcer hors ligne déclenche ce type de
notification. La notification vous indique le nom de
chaque module Enforcer, son groupe et la période de
son dernier état.
Forcé ou application commerciale La détection d'une application de la liste des
détectée
applications commerciales ou de la liste des
applications à observer de l'administrateur déclenche
cette notification.
Nouvelle application apprise
Les nouvelles applications apprises déclenchent ce
type de notification.
Nouveau risque détecté
Les nouveaux risques déclenchent ce type de
notification.
169
170
Notification
Description
Nouveau progiciel
Les téléchargements de nouveaux progiciels
déclenchent ce type de notification.
Manifestation de risque
Vous définissez le nombre et le type d'occurrences des
nouveaux risques et la période qui devraient déclencher
ce type de notification. Les types incluent des
occurrences sur n'importe quel ordinateur, des
occurrences sur un unique ordinateur ou des
occurrences sur des ordinateurs distincts.
Etats du serveur
Les états de santé du serveur hors ligne, médiocre ou
critique déclenchent cette notification. La notification
liste le nom du serveur, l'état de santé, la raison et le
dernier état.
Evénement de risque unique
La détection d'un unique événement de risque
déclenche cette notification. La notification liste un
certain nombre de détails au sujet du risque, incluant
l'utilisateur et l'ordinateur impliqués et la mesure prise
par Symantec Endpoint Protection.
Evénement système
Les événements système tels que les activités du
serveur et d'Enforcer, les échecs de réplication, les
problèmes de sauvegarde et de restauration et les
erreurs système déclenchent cette notification. La
notification liste le nombre d'événements de ce type
qui ont été détectés.
Ordinateur non géré
Les ordinateurs non gérés déclenchent cette
notification. La notification liste des détails tels que
l'adresse IP, l'adresse MAC et le système d'exploitation
pour chaque ordinateur.
Définitions de virus périmées
Vous définissez le délai "périmé" en configurant la
notification. Vous définissez le nombre d'ordinateurs
et le nombre de jours dont les définitions de
l'ordinateur doivent être âgées pour déclencher cette
notification.
En utilisant les paramètres Conditions de notification, vous pouvez configurer
une alerte de sécurité client par occurrences sur n'importe quel ordinateur, un
ordinateur unique ou des ordinateurs distincts. Vous pouvez également configurer
ces options pour une manifestation de risque.
Vous pouvez vouloir créer une notification de protection contre les menaces réseau
déclenchée quand un événement de trafic correspond aux critères définis pour
une règle de filtrage.
Pour créer ce type de notification, vous devez effectuer les tâches suivantes :
■
Dans la liste Règles de politique de pare-feu, cochez l'option Envoyer une alerte
par message électronique dans la colonne Consignation des règles à propos
desquelles vous voulez être notifié.
■
Dans l'onglet Notifications, configurez une alerte de sécurité client pour les
événements de la protection contre les menaces réseau, de paquet ou de trafic.
Pour obtenir une description de chaque option configurable, vous pouvez cliquer
sur Plus d'infos sur la console Symantec Endpoint Protection Manager. Vous
accédez alors à l'aide contextuelle.
Remarque : Vous pouvez filtrer votre vue de Conditions de notification que vous
avez créé en utilisant la zone de liste Afficher les types de notification. Pour être
sûr que les nouvelles notifications que vous créez sont affichées, vérifiez que Tout
est sélectionné dans cette zone de liste.
Pour créer une notification
1
Dans la console, cliquez sur Contrôles.
2
Dans l'onglet Notifications, cliquez sur Conditions de notification.
3
Cliquez sur Ajouter, puis sélectionnez le type de notification que vous voulez
ajouter depuis la liste qui apparaît.
4
Dans la nouvelle fenêtre qui apparaît, dans la zone de texte Nom de la
notification, tapez un nom descriptif.
5
Spécifiez les options de filtre que vous voulez. Par exemple, pour certains
types de notifications, vous pouvez limiter la notification à des domaines,
groupes, serveurs, ordinateurs, risques ou applications spécifiques.
171
172
6
Spécifiez les paramètres de notification et les actions que vous voulez voir
se produire quand cette notification est déclenchée. Vous pouvez cliquer sur
Aide pour consulter des descriptions des options possibles pour tous les types
de notifications.
Si vous sélectionnez Envoyer un message électronique à comme action à
effectuer, la notification par email dépend de l'option du nom d'utilisateur
du serveur de messagerie. Le nom d'utilisateur configuré pour le serveur de
messagerie dans la boîte de dialogue Propriétés de serveur doit être de la
forme utilisateur@domaine. Si ce champ est laissé vide, les notifications sont
envoyées par SYSTEM@nom d'ordinateur. Si le serveur de notification a un
nom utilisant des caractères sur deux octets (DBCS), vous devez spécifier le
champ de nom d'utilisateur avec un nom de compte d'email de la forme
utilisateur@domaine.
Si vous sélectionnez Exécuter le fichier batch ou exécutable comme action
à effectuer, tapez le nom du fichier. Les noms de chemin d'accès ne sont pas
autorisés. Le fichier batch ou le fichier exécutable à exécuter doit se trouver
dans le répertoire suivant :
lecteur:\Program Files\Symantec\Symantec Endpoint Protection Manager\
bin
7
Cliquez sur OK.
Pour créer une notification de protection contre les menaces réseau
1
Dans la console, cliquez sur Indicateurs.
2
Dans l'onglet Notifications, cliquez sur Conditions de notification.
3
Cliquez sur Ajouter et sélectionnez l'alerte de sécurité client.
4
Tapez un nom pour cette notification.
5
Si vous voulez limiter cette notification à des domaines, groupes, serveurs
ou ordinateurs spécifiques, spécifiez les options de filtrage que vous voulez.
6
Sélectionnez un des types suivants de manifestation :
7
■
Occurrences sur des ordinateurs distincts
■
Occurrences sur tout ordinateur
■
Occurrences sur ordinateur unique
Pour spécifier le type d'activité de protection contre les menaces réseau,
cochez l'une des cases suivantes :
■
Pour les attaques et les événements que le pare-feu ou la prévention
d'intrusion détecte, cochez Evénements de protection contre les menaces
réseau.
■
Pour les règles de filtrage qui sont déclenchées et enregistrées dans le
journal des paquets, cochez Evénements de paquets.
■
Pour les règles de filtrage qui sont déclenchées et enregistrées dans le
journal du trafic, cochez Evénements de trafic.
8
Eventuellement, modifiez les conditions de notification par défaut pour définir
le nombre d'occurrences dans le nombre de minutes que vous voulez voir
déclencher cette notification.
9
Cochez Envoyer un message électronique à, puis tapez les adresses
électroniques des personnes que vous voulez informer quand ces critères
sont remplis.
10 Cliquez sur OK.
L'option Envoyer une alerte par message électronique dans la colonne
Consignation de la liste Règles de politique de pare-feu est maintenant
opérationnelle. Quand cette notification est déclenchée, le courrier
électronique est envoyé.
A propos de la modification des notifications existantes
Si vous modifiez les paramètres d'une notification existante, les entrées
précédentes qu'elle a générées affichent des messages dans le journal des
notifications en fonction des nouveaux paramètres. Si vous voulez conserver vos
messages de notification précédents dans la vue du journal des notifications, ne
modifiez les paramètres d'aucune notification existante. Au lieu de cela, créez
une notification avec un nouveau nom. Ensuite, désactivez la notification existante
en désélectionnant les actions que vous avez configurées sous Que doit-il se
produire lorsque cette notification est déclenchée.
Générez un rapport rapide à partir des options Paramètres de base qui apparaissent
sous "Quels paramètres de filtrage voulez-vous utiliser". Si vous voulez configurer
des options supplémentaires pour construire un rapport, cliquez sur Paramètres
avancés. Les paramètres de base et les paramètres avancés varient d'un rapport
à l'autre.
Pour obtenir une description de chaque paramètre avancé configurable, vous
pouvez cliquer sur le lien Plus d'infos du type de rapport dans la console Symantec
Endpoint Protection Manager. L'option Plus d'infos affiche l'aide contextuelle de
ce type de rapport.
173
174
Vous pouvez enregistrer les paramètres d'un rapport afin de pouvoir exécuter le
même rapport ultérieurement et vous pouvez imprimer et enregistrer des rapports.
Remarque : Les champs d'option de filtre qui acceptent des caractères génériques
et recherchent des correspondances ne distinguent pas les majuscules et les
minuscules. L'astérisque ASCII est le seul astérisque qui puisse être utilisé comme
caractère générique.
Tableau 7-4 décrit tous les Paramètres de base disponibles pour tous les types de
rapports rapides.
Tableau 7-4
Paramètres de filtre de base pour les rapports rapides
Paramètre
Description
Plage horaire
Spécifie l'intervalle de temps des événements que vous voulez afficher dans le rapport.
Sélectionnez une des périodes suivantes :
■
Les dernières 24 heures
■
La semaine dernière
■
Le mois dernier
■
Le mois en cours
■
Les trois derniers mois
■
L'année dernière
■
Définir des dates spécifiques
Si vous sélectionnez Définir des dates spécifiques, certains rapports requièrent la définition
d'une date de début et de fin. D'autres rapports requièrent que vous définissiez la date du
dernier enregistrement, qui correspond à la dernière fois où l'ordinateur s'est authentifié
à son serveur.
Le paramètre par défaut est Les dernières 24 heures.
Date de début
Définit la date de début pour la plage de dates.
Cette option n'est disponible que lorsque vous sélectionnez l'option Définir des dates
spécifiques pour la plage horaire.
Date de fin
Définit la date de fin pour la plage de dates.
Cette option est disponible uniquement lorsque vous sélectionnez l'option Définir des dates
spécifiques pour la plage horaire.
Remarque : Vous ne pouvez pas définir une date de fin qui soit la même que la date de
début ou antérieure à la date de début.
Paramètre
Description
Dernière
Spécifie que vous voulez consulter toutes les entrées qui impliquent un ordinateur qui ne
authentification après s'est pas authentifié à son serveur depuis cette époque.
Seulement disponible pour les rapports d'état de l'ordinateur quand vous sélectionnez
Définir des dates spécifiques pour l'intervalle de temps.
Etat
Disponible pour le rapport de conformité d'état de conformité du réseau. Sélectionnez
parmi les actions suivantes :
■
Authentifié
■
Déconnecté
■
Echec
■
Réussi
■
Rejeté
Disponible pour le rapport de conformité d'état de conformité. Sélectionnez parmi les
actions suivantes :
Regrouper par
■
Réussi
■
Echec
De nombreux rapports peuvent être regroupés de façon appropriée. Par exemple, le choix
le plus commun est d'afficher des informations pour seulement un groupe ou sous-réseau,
mais certains rapports fournissent d'autres choix appropriés.
175
176
Paramètre
Description
Cible
Disponible pour le rapport sur les principales cibles attaquées de la protection contre les
menaces réseau. Sélectionnez parmi les options suivantes :
■
Groupe
■
Sous-réseau
■
Client
■
Port
Disponible pour le rapport Attaques dans le temps de la protection contre les menaces
réseau. Sélectionnez parmi les options suivantes :
■
Tous
■
Groupe
■
Adresse IP
■
■
Nom d'utilisateur
■
Type d'attaque
Disponible pour les rapports Applications bloquées dans le temps et Notifications de trafic
dans le temps de la protection contre les menaces réseau. Sélectionnez parmi les options
suivantes :
■
Toutes
■
Groupe
■
Adresse IP
■
■
User Name
Disponible pour le rapport Principales notifications de trafic de la protection contre les
menaces réseau. Sélectionnez parmi les options suivantes :
Axe X
Axe Y
Largeur
d'emplacement
■
Toutes
■
Trafic
■
Paquet
Disponible pour le rapport de corrélation des principales détections de risque. Sélectionnez
parmi les options suivantes :
■
Ordinateur
■
Nom de l'utilisateur
■
Domaine
■
Groupe
■
Serveur
■
Nom du risque
Spécifie la largeur d'un emplacement pour former un histogramme. Disponible pour le
rapport d'analyse d'histogramme d'analyses statistiques.
Paramètre
Description
Nombre
d'emplacements
Spécifie le nombre d'emplacements que vous voulez utiliser pour former les barres d'un
histogramme. Disponible pour le rapport d'analyse d'histogramme d'analyses Statistiques.
Les paramètres avancés permettent un contrôle supplémentaire des données que
vous voulez afficher. Ils sont spécifiques au type et au contenu de rapport.
Pour obtenir une description de chaque paramètre avancé que vous pouvez
configurer, vous pouvez cliquer sur Plus d'infos en regard du type de rapport dans
la console. Le lien Plus d'infos affiche l'aide contextuelle de ce type de rapport.
Pour créer un rapport rapide
1
Dans la console, cliquez sur Rapports.
2
Dans l'onglet Rapports rapides, dans la zone de liste Type de rapport,
sélectionnez le type de rapport que vous voulez créer. Par exemple,
sélectionnez Risque.
3
Sous le type de rapport d'analyse que vous désirez consulter, dans la zone de
liste Sélectionner un rapport, sélectionnez le nom du rapport que vous voulez
afficher. Par exemple, sélectionnez Compte des détections de Risque.
4
Dans la zone de liste Utilisez un filtre sauvegardé, sélectionnez une
configuration de filtre sauvegardé, ou conservez le filtre par défaut.
5
Sous les paramètres de filtrage que vous désirez utiliser, dans la zone de liste
Plage horaire, sélectionnez l'intervalle de temps pour le rapport.
6
Si vous sélectionniez Définir des dates spécifiques, alors utilisez les zones de
liste Date de début et Date de fin. Ces options définissent l'intervalle de temps
à propos duquel vous voulez afficher des informations.
7
Si vous voulez configurer des paramètres supplémentaires pour le rapport,
cliquez sur Paramètres avancés et définissez les options que vous voulez.
Vous pouvez cliquer sur Plus d'infos dans l'onglet Rapports rapides pour
consulter les descriptions des options de filtre dans l'aide contextuelle.
Quand le bouton à 3 points est disponible, il vous conduit à une liste des
options connues pour ce choix. Par exemple, cette option peut vous conduire
à une liste des serveurs connus ou à une liste des domaines connus.
Vous pouvez enregistrer les paramètres de configuration du rapport si vous
pensez vouloir exécuter à nouveau ce rapport à l'avenir.
8
Cliquez sur Créer un rapport.
177
178

Guide d`évaluation de Symantec™ Endpoint Protection

Transcription

Documents pareils

Symantec Endpoint Protection Nouvelles fonctionnalités

Pour consulter le manuel d`utilisation d`une machine John Deere

Comment accéder aux fiches de sécurité (FDS) de nos produits.

FOOTJOY MyJoys - American Golf

1er pas dans I-Prof

Comment scanner et télécharger votre signature

INFORMATIONS – GEKO YPRES RALLY