Guide d`évaluation de Symantec™ Endpoint Protection
Transcription
Guide d`évaluation de Symantec™ Endpoint Protection
Guide d'évaluation de Symantec™ Endpoint Protection Guide d'évaluation de Symantec™ Endpoint Protection Le logiciel décrit dans ce guide est fourni dans le cadre d'un contrat de licence et ne peut être utilisé qu'en conformité avec les termes de ce contrat. Version de documentation 11.00.02.00.00 Mentions légales Copyright © 2008 Symantec Corporation. Tous droits réservés. Symantec, le logo Symantec, LiveUpdate, Sygate, Symantec AntiVirus, Bloodhound, Confidence Online, Digital Immune System, Norton et TruScan sont des marques commerciales ou des marques déposées de Symantec Corporation ou ses filiales aux Etats-Unis et dans d'autres pays. D'autres noms peuvent être des marques commerciales de leurs propriétaires respectifs. Ce produit Symantec est susceptible de contenir des logiciels développés par des tiers ("Programmes tiers") pour lesquels Symantec doit fournir l'attribution correspondante. Certains de ces logiciels sont mis à disposition avec des licences de logiciel libre ou open source. Ce Contrat de licence n'affecte pas les droits ou obligations éventuellement applicables dans le cadre de telles licences open source ou de logiciels libres. Veuillez consulter l'annexe Mentions légales tierces de cette documentation ou le fichier lisezmoi TPIP accompagnant ce produit Symantec pour plus d'informations sur les Programmes tiers. Le produit décrit dans ce document est distribué aux termes d'une licence limitant son utilisation, sa copie, sa distribution et sa décompilation/ingénierie inverse. Ce document ne peut, en tout ou partie, être reproduit sous aucune forme et par aucun moyen sans l'autorisation écrite préalable de Symantec Corporation et de ses concédants de licence éventuels. LA DOCUMENTATION EST FOURNIE "TELLE QUELLE" A L'EXCLUSION DE TOUTES CONDITIONS, REPRESENTATIONS ET GARANTIES EXPRESSES OU IMPLICITES, Y COMPRIS LES GARANTIES IMPLICITES DE COMMERCIALISATION, D'ADAPTATION A UN USAGE PARTICULIER ET DE NON CONTREFACON, EXCEPTE DANS LA MESURE OU DE TELLES EXCLUSIONS DE RESPONSABILITE SONT TENUES POUR LEGALEMENT NON VALIDES. SYMANTEC CORPORATION NE PEUT ETRE TENUE POUR RESPONSABLE DES DOMMAGES DIRECTS OU INDIRECTS RELATIFS AU CONTENU OU A L'UTILISATION DE LA PRESENTE DOCUMENTATION. LES INFORMATIONS PRESENTES DANS CETTE DOCUMENTATION SONT SUJETTES A MODIFICATION SANS PREAVIS. Le Logiciel sous licence est considéré comme logiciel informatique commercial conformément aux définitions de la section FAR 12.212 et soumis à des droits restreints tels que définis dans la section FAR 52.227.19 "Commercial Computer Licensed Software - Restricted Rights" et DFARS 227.7202 "Rights in Commercial Computer Licensed Software or Commercial Computer Licensed Software Documentation" tels qu'applicables, et à tous règlements qui les remplaceraient. Toute utilisation, modification, reproduction, publication, exécution, présentation ou communication du Logiciel sous licence par le gouvernement des Etats-Unis ne peut se faire que conformément aux conditions du présent contrat. Symantec Corporation 20330 Stevens Creek Blvd. Cupertino, CA 95014 Etats-Unis http://www.symantec.fr Imprimé en Irlande. 10 9 8 7 6 5 4 3 2 1 Solutions de service et de support Symantec se consacre à fournir un excellent service dans le monde entier. Notre objectif est de vous apporter une assistance professionnelle pour utiliser nos logiciels et nos services, où que vous vous trouviez. Les solutions de support technique et de service clientèle varient selon les pays. Si vous avez des questions sur les services décrits ci-dessous, consultez la section « Informations de service et de support dans le monde ». Enregistrement et licences Si vous déployez un produit qui nécessite un enregistrement et/ou une clé de licence, le système le plus rapide et le plus simple consiste à accéder à notre site de licence et d’enregistrement (en anglais) à l’adresse www.symantec.com/certificate. Si vous avez acheté un abonnement de support, vous êtes habilité à bénéficier d'un support technique par téléphone et sur Internet. Lorsque vous contactez les services de support pour la première fois, vous devez disposer du numéro de votre certificat de licence ou de l’identification de contact fournie lors de l’enregistrement, pour permettre la vérification de vos droits au support. Si vous n'avez pas acheté d'abonnement de support, contactez votre revendeur ou le service clientèle de Symantec pour savoir comment obtenir un support technique auprès de Symantec. Mises à jour de la sécurité Pour obtenir les informations les plus récentes sur les virus et les menaces de sécurité, visitez le site de Symantec Security Response (anciennement SARC Centre de Recherche AntiVirus de Symantec), à l’adresse http://www.symantec.fr/region/fr/avcenter/index.html. Ce site contient des informations exhaustives sur la sécurité et les virus, ainsi que les dernières définitions de virus. Vous pouvez également télécharger les définitions de virus en utilisant la fonction LiveUpdate de votre produit. Renouvellement d’abonnement aux définitions de virus Votre achat d’un service de support avec un produit vous permet de télécharger gratuitement des définitions de virus pendant la durée de l’abonnement. Si votre abonnement au support a expiré, contactez votre revendeur ou le Service clientèle de Symantec pour savoir comment le renouveler. Sites Web Symantec : Page d’accueil Symantec (par langue) : ■ Allemand : http://www.symantec.de ■ Anglais : http://www.symantec.com ■ Espagnol : http://www.symantec.com/region/es ■ Français : http://www.symantec.fr ■ Italien : http://www.symantec.it ■ Néerlandais : http://www.symantec.nl ■ Portugais : http://www.symantec.com/br Symantec Security Response: ■ http://www.symantec.fr/region/fr/avcenter/index.html Page de service et assistance Symantec : ■ http://www.symantec.com/region/fr/techsupp/enterprise/index.html Bulletin d'informations spécifique produit : ■ Etats-Unis, Asie-Pacifique : http://www.symantec.com/techsupp/bulletin/index.html ■ Europe, Moyen-Orient, Afrique/Anglais : http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html ■ Allemand : http://www.symantec.com/region/de/techsupp/bulletin/index.html ■ Français : http://www.symantec.com/region/fr/techsupp/bulletin/index.html ■ Italien : http://www.symantec.com/region/it/techsupp/bulletin/index.html ■ Amérique latine/Anglais : http://www.symantec.com/techsupp/bulletin/index.html Support technique Au sein de Symantec Security Response, l’équipe de support technique internationale gère les centres d’assistance dans le monde entier. Son objectif premier est de répondre aux questions spécifiques sur les fonctionnalités/fonctions, l'installation et la configuration des produits Symantec ainsi que sur le contenu de la Base de connaissances accessible via le Web. Symantec Security Response est en collaboration étroite avec les autres départements de Symantec pour répondre rapidement à vos questions. Nous travaillons par exemple avec notre service d’ingénierie produit et nos centres de recherche en sécurité pour fournir des services d'alertes et des mises à jour des définitions de virus, face aux attaques virales et aux alertes de sécurité. Caractéristiques de nos offres : ■ Une panoplie d'options de support vous permet de choisir le service approprié quel que soit le type d'entreprise. ■ Le support Web et téléphonique fournit des réponses rapides et des informations de dernière minute. ■ Les mises à jour des produits fournissent une protection de mise à niveau automatique. ■ Les mises à jour de contenu des définitions de virus et les signatures de sécurité assurent la meilleure protection. ■ Le support mondial des experts Symantec Security Response est disponible 24h/24, 7j/7 dans le monde entier et dans différentes langues. ■ Les fonctionnalités avancées telles que le Service d'alertes Symantec (Symantec Alerting Service) et le Responsable de compte technique (Technical Account Manager) offrent un support d'intervention et de sécurité proactive. Rendez-vous sur notre site Web pour obtenir les dernières informations sur les programmes de support. Coordonnées du support Les clients disposant d'un contrat de support peuvent contacter l’équipe de support technique par téléphone, sur le site Web suivant ou sur les sites régionaux de Service et Support internationaux. http://www.symantec.com/region/fr/techsupp/enterprise/index.html Lorsque vous contactez le support, vérifiez que vous disposez des informations suivantes : ■ Version du produit ■ Informations sur le matériel ■ Mémoire disponible, espace disque et informations sur la carte d'interface réseau ■ Système d'exploitation ■ Niveau de version et correctif ■ Topologie du réseau ■ Informations sur le routeur, la passerelle et l'adresse IP ■ Description du problème ■ Messages d'erreur/fichiers journaux ■ Intervention effectuée avant de contacter Symantec ■ Modifications récentes de la configuration du logiciel ou du réseau Service clientèle Le Centre de service clientèle de Symantec peut vous seconder pour vos questions non techniques : ■ Informations générales sur les produits (caractéristiques, langues disponibles, adresse des distributeurs, etc) ■ Dépannage de base, par exemple vérification de la version du produit ■ Dernières informations sur les mises à jour produit ■ Comment mettre votre produit à jour/à niveau ■ Comment enregistrer votre produit et/ou votre licence ■ Informations sur les programmes de licences de Symantec ■ Informations sur les contrats de mise à niveau et de maintenance ■ Remplacement des CD et des manuels ■ Mise à jour des données d’enregistrement produit en cas de changement de nom ou d'adresse ■ Conseil sur les options de support technique de Symantec Des informations détaillées sur le Service clientèle sont disponibles sur le site Web de l’assistance Symantec. Vous pouvez également contacter le Centre de service clientèle par téléphone. Pour des informations sur les numéros de support clientèle et les sites Web, consultez la section « Informations de service et de contact en bref ». Service et support internationaux Europe, Moyen-Orient, Afrique et Amérique latine Sites Web de service et assistance Symantec ■ Allemand : www.symantec.de/desupport/ ■ Anglais : www.symantec.com/eusupport/ ■ Espagnol : www.symantec.com/region/mx/techsupp/ ■ Français : www.symantec.fr/frsupport ■ Italien : www.symantec.it/itsupport/ ■ Néerlandais : www.symantec.nl/nlsupport/ ■ Portugais : www.symantec.com/region/br/techsupp/ ■ FTP Symantec : ftp.symantec.com (téléchargement des notes techniques et des derniers correctifs) Visitez le site Service et assistance de Symantec pour trouver des informations techniques et non techniques sur votre produit. Symantec Security Response : ■ http://securityresponse.symantec.com Bulletin d'informations spécifique produit : ■ Anglais : http://www.symantec.com/techsupp/bulletin/index.html ■ Europe, Moyen-Orient, Afrique/Anglais : http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html ■ Allemand : http://www.symantec.com/region/de/techsupp/bulletin/index.html ■ Français : http://www.symantec.com/region/fr/techsupp/bulletin/index.html ■ Italien : http://www.symantec.com/region/it/techsupp/bulletin/index.html ■ Amérique latine/Anglais : http://www.symantec.com/techsupp/bulletin/index.html Service Clientèle de Symantec Fournit des informations non techniques et des conseils par téléphone dans les langues suivantes : anglais, allemand, français et italien. ■ Autriche : + (43) 1 50 137 5030 ■ Belgique : + (32) 2 2750173 ■ Danemark : + (45) 35 44 57 04 ■ Espagnol : + (34) 91 7456467 ■ Finlande : + (358) 9 22 906003 ■ France : + (33) 1 70 20 00 00 ■ Allemagne : + (49) 69 6641 0315 ■ Irlande : + (353) 1 811 8093 ■ Italie : + (39) 02 48270040 ■ Luxembourg : + (352) 29 84 79 50 30 ■ Pays-Bas : + (31) 20 5040698 ■ Norvège : + (47) 23 05 33 05 ■ Afrique du Sud : + (27) 11 797 6639 ■ Suède : + (46) 8 579 29007 ■ Suisse : + (41) 2 23110001 ■ Royaume Uni : + (44) 20 7744 0367 ■ Autres pays : + (353) 1 811 8093 (service en anglais uniquement) Service Clientèle Symantec – Adresse postale ■ Symantec Ltd Customer Service Centre Europe, Middle East and Africa (EMEA) PO Box 5689 Dublin 15 Irlande En Amérique latine Symantec dispose d'un support technique et d'un service clientèle internationaux. Les services varient selon les pays et incluent des partenaires internationaux qui représentent Symantec dans les régions où il n’y a pas de bureau Symantec. Pour des informations générales, contactez le service de support de Symantec pour votre région. ARGENTINE ■ Pte. Roque Saenz Peña 832 - Piso 6 C1035AAQ, Ciudad de Buenos Aires Argentine Numéro principal: +54 (11) 5811-3225 Site Web: http://www.service.symantec.com/mx Gold Support: 0800-333-0306 VENEZUELA ■ Avenida Francisco de Miranda. Centro Lido Torre D. Piso 4, Oficina 40 Urbanización el Rosal 1050, Caracas D.F. Dong Cheng District Venezuela Numéro principal: +58 (212) 905-6327 Site Web: http://www.service.symantec.com/mx Gold Support: 0800-1-00-2543 COLOMBIA ■ Carrera 18# 86A-14 Oficina 407, Bogota D.C. Colombia Numéro principal: +57 (1) 638-6192 Site Web: http://www.service.symantec.com/mx Gold Support: 980-915-5241 BRÉSIL ■ Symantec Brasil Market Place Tower Av. Dr. Chucri Zaidan, 920 12° andar São Paulo - SP CEP: 04583-904 Brésil, SA Numéro principal: +55 (11) 5189-6300 Télécopie: +55 (11) 5189-6210 Site Web: http://www.service.symantec.com/br Gold Support: 000814-550-4172 CHILE ■ Alfredo Barros Errazuriz 1954 Oficina 1403 Providencia, Santiago de Chile Chile Numéro principal: +56 (2) 378-7480 Site Web: http://www.service.symantec.com/mx Gold Support: 0800-333-0306 MEXIQUE ■ Boulevard Adolfo Ruiz Cortines 3642 Piso 8, Colonia Jardines del Pedregal, 01900, Mexico D.F. Mexico Numéro principal: +52 (55) 5481-2600 Site Web: http://www.service.symantec.com/mx Gold Support: 001880-232-4615 RESTE DE L'AMÉRIQUE LATINE ■ 9155 South Dadeland Blvd. Suite 1100, Miami, FL 33156 U.S.A Site Web: http://www.service.symantec.com/mx Gold Support: Costa Rica: 800-242-9445 Panama: 800-234-4856 Puerto Rico: 800-232-4615 Asie-Pacifique Symantec dispose d'un support technique et d'un service clientèle internationaux. Les services varient selon les pays et incluent des partenaires internationaux qui représentent Symantec dans les régions où il n’y a pas de bureau Symantec. Pour des informations générales, contactez le service de support de Symantec pour votre région. Service et support AUSTRALIE ■ Symantec Australia Level 2, 1 Julius Avenue North Ryde, NSW 2113 Australie Numéro principal: +61 2 8879 1000 Télécopie: +61 2 8879 1001 Site Web: http://service.symantec.com Gold Support: 1800 805 834 [email protected] Admin. contrats de support: 1800 808 089 [email protected] CHINE ■ Symantec China Unit 1-4, Level 11, Tower E3, The Towers, Oriental Plaza No.1 East Chang An Ave., Dong Cheng District Beijing 100738 Chine P.R.C. Numéro principal: +86 10 8518 3338 Support technique: +86 10 8518 6923 Télécopie: +86 10 8518 6928 Site Web: http://www.symantec.com.cn HONG KONG ■ Symantec Hong Kong Central Plaza Suite #3006 30th Floor, 18 Harbour Road Wanchai Hong Kong Numéro principal: +852 2528 6206 Support technique: +852 2528 6206 Télécopie: +852 2526 2646 Site Web: http://www.symantec.com.hk INDE ■ Symantec India Suite #801 Senteck Centrako MMTC Building Bandra Kurla Complex Bandra (East) Mumbai 400051, Inde Numéro principal: +91 22 652 0658 Support technique: +91 22 652 0671 Télécopie: +91 22 657 0669 Site Web: http://www.symantec.com/india COREE ■ Symantec Korea 15,16th Floor Dukmyung B/D 170-9 Samsung-Dong KangNam-Gu Seoul 135-741 Corée du Sud Numéro principal: +822 3420 8600 Support technique: +822 3452 1610 Télécopie: +822 3420 8650 Site Web: http://www.symantec.co.kr MALAISIE ■ Symantec Corporation (Malaysia) Sdn Bhd 31-3A Jalan SS23/15 Taman S.E.A. 47400 Petaling Jaya Selangor Darul Ehsan Malaisie Numéro principal: +603 7805 4910 Support technique: +603 7804 9280 E-mail société: [email protected] N° vert société: +1800 805 104 Site Web: http://www.symantec.com.my NOUVELLE-ZELANDE ■ Symantec New Zealand Level 5, University of Otago Building 385 Queen Street Auckland Central 1001 Nouvelle-Zélande Numéro principal: +64 9 375 4100 Télécopie: +64 9 375 4101 Site Web de support: http://service.symantec.co.nz Gold Support: 0800 174 045 [email protected] Admin. contrats de support: 0800 445 450 [email protected] SINGAPOUR ■ Symantec Singapore 6 Battery Road #22-01/02/03 Singapour 049909 Numéro principal: 1800 470 0730 Télécopie: +65 6239 2001 Support technique: 1800 720 7898 Site Web: http://www.symantec.com.sg TAIWAN ■ Symantec Taiwan 2F-7, No.188 Sec.5 Nanjing E. Rd., 105 Taipei Taïwan Numéro principal: +886 2 8761 5800 Corporate Support: +886 2 8761 5800 Télécopie: +886 2 2742 2838 Gold Support: 0800 174 045 [email protected] Site Web: http://www.symantec.com.tw L’exactitude des informations contenues dans ce document a fait l’objet de toutes les attentions. Toutefois, les informations fournies ici sont susceptibles d'être modifiées sans préavis. Symantec Corporation se réserve le droit d’apporter ces modifications sans avertissement préalable. Table des matières Solutions de service et de support .................................................................. 4 Chapitre 1 Présentation de Symantec Endpoint Protection .......... 21 Présentation de Symantec Endpoint Protection ................................. A propos de Symantec Endpoint Protection ....................................... A propos de la protection contre les menaces réseau ..................... A propos de la protection proactive contre les menaces ................. A propos de la protection antivirus et antispyware ....................... A propos de Symantec ................................................................... Chapitre 2 Installation de Symantec Endpoint Protection ............. 27 Paramètres d'installation du système ............................................... Symantec Endpoint Protection Manager, Console et base de données .......................................................................... Symantec Endpoint Protection Manager et Console ...................... Console Symantec Endpoint Protection ...................................... Symantec Endpoint Protection ................................................. Présentation du processus d'installation .......................................... A propos des pare-feux du bureau et des ports de communications .................................................................... Installation et configuration de Symantec Endpoint Protection Manager ............................................................................... Installer Symantec Endpoint Protection Manager avec une base de données intégrée .......................................................... Installation de Symantec Endpoint Protection Manager avec une base de données Microsoft SQL ........................................... Ouverture d'une session sur la console Symantec Endpoint Protection Manager ............................................................................... Chapitre 3 21 22 23 24 24 25 27 27 29 30 32 34 35 38 41 41 54 Configuration de votre produit après installation ...................................................................... 57 Configuration de la structure d'organisation et mise à jour du contenu ................................................................................ 57 Ajout d'un groupe ........................................................................ 58 18 Table des matières A propos de l'importation de la structure d'organisation ..................... Ajout de clients comme utilisateurs ou ordinateurs ............................ Ajouter un emplacement avec un assistant d'installation ..................... Ajout d'un compte d'administrateur ................................................ A propos des politiques LiveUpdate ................................................. Configuration d'une politique de paramètres LiveUpdate ..................... Configuration d'une politique de contenu LiveUpdate ......................... Chapitre 4 59 59 61 63 64 65 67 Création de politiques ........................................................ 69 A propos des politiques ................................................................. Evaluation des politiques ............................................................... Ajout d'une politique partagée. ................................................. Affectation d'une politique partagée .......................................... Mise à jour manuelle du fichier de politiques ............................... Vérification de la mise à jour des politiques ................................. Configuration et test d'une politique antivirus et antispyware .............. A propos des politiques antivirus et antispyware ......................... A propos des politiques antivirus et antispyware préconfigurées ................................................................ Ajouter des analyses planifiées à une politique antivirus et antispyware .................................................................... Configurer des actions pour les virus connus et les détections de risques de sécurité ............................................................ A propos des messages de notification sur les ordinateurs infectés .......................................................................... Personnaliser et afficher des notifications sur les ordinateurs infectés .......................................................................... Test du fonctionnement de la politique antivirus et antispyware .................................................................... A propos des analyses proactives des menaces TruScan ................ A propos de l'utilisation des paramètres par défaut de Symantec ....................................................................... A propos des processus détectés par les analyses proactives des menaces TruScan ............................................................. A propos de la gestion des faux positifs détectés par les analyses proactives des menaces TruScan ......................................... A propos de les processus que les analyses proactives des menaces TruScan ignorent ................................................ Comprendre les détections proactives des menaces TruScan ......................................................................... Configuration et test d'une politique de pare-feu ................................ A propos des règles de filtrage .................................................. 69 71 73 74 74 75 75 77 78 79 81 82 83 85 85 86 87 89 91 92 95 96 Table des matières Création d'une politique de pare-feu pour autoriser ou bloquer une application ................................................................ 97 Test de la politique de pare-feu ................................................. 99 Configuration et test d'une bibliothèque IPS personnalisée .................. 99 A propos des signatures IPS personnalisées ............................... 100 A propos de la création de signatures IPS personnalisées pour détecter une tentative de téléchargement de fichiers MP3 ............................................................................. 102 Création de signatures IPS personnalisées ................................ 104 Test de la signature IPS personnalisée ...................................... 108 Configuration et test d'une politique de contrôle des applications et des périphériques ................................................................. 109 Créer un ensemble de règles par défaut de contrôle des applications .................................................................. 110 Création d'un groupe de règles de contrôle de l'application et ajout d'une nouvelle règle au groupe .................................. 112 A propos du contrôle des périphériques .................................... 120 A propos des périphériques matériels ....................................... 121 Obtention d'un ID de classe ou de périphérique .......................... 122 Ajout d'un périphérique à la liste Périphériques matériels ............ 123 Configuration d'un contrôle des périphériques pour une politique de contrôle des applications et des périphériques ................. 124 Chapitre 5 Création des paquets d'installation client ................... 125 Création de paquets d'installation client ......................................... A propos des paquets d'installation client ....................................... Configuration des fonctions des paquets d'installation ...................... Configuration des paramètres des paquets d'installation client ........... Exportation de paquets d'installation client ..................................... Déployer le logiciel client avec l'assistant de déploiement .................. Chapitre 6 125 126 127 127 128 129 Configuration de l'intégrité de l'hôte pour la conformité des terminaux client .............................. 131 Configuration et test d'une politique d'intégrité de l'hôte ................... Ajout des conditions d'intégrité de l'hôte ........................................ Ajout d'une condition de pare-feu pré-définie .................................. Ajout d'une condition requise personnalisée vérifiant si l'ordinateur client exécute un progiciel antivirus ........................................ Test du fonctionnement de la politique d'intégrité de l'hôte ................ Exécution d'une vérification de l'intégrité de l'hôte ..................... Affichage des journaux de Network Access Control ..................... Configuration de l'authentification point à point .............................. 131 134 136 137 138 139 140 141 19 20 Table des matières Chapitre 7 Utilisation des journaux et des rapports pour contrôler la sécurité .................................................... 145 A propos des journaux et des rapports ............................................ A propos de la page d'accueil de Symantec Endpoint Protection .......... A propos des journaux ................................................................. A propos des types de journaux, du contenu et des commandes ................................................................... Affichage des journaux ................................................................ Affichage des détails des événements dans les journaux .............. Afficher les journaux d'autres sites .......................................... Exécuter des commandes et des actions à partir des journaux ............. Utilisation des notifications ......................................................... Affichage et filtrage des informations de notification administrateur ............................................................... Directives de seuil pour les notifications d'administrateur ........... Création des notifications d'administrateur ............................... A propos de la modification des notifications existantes .............. Création de rapports rapides ........................................................ 145 146 152 152 159 161 161 162 166 166 167 168 173 173 Chapitre 1 Présentation de Symantec Endpoint Protection Ce chapitre traite des sujets suivants : ■ Présentation de Symantec Endpoint Protection ■ A propos de Symantec Endpoint Protection ■ A propos de Symantec Présentation de Symantec Endpoint Protection Symantec Endpoint Protection assure une protection contre les attaques sophistiquées qui échappent aux mesures de sécurité traditionnelles, grâce à une unique solution de sécurité intégrée. Symantec Endpoint Protection sécurise proactivement les terminaux client contre les menaces connues ou inconnues en combinant la technologie antivirus avec une prévention avancée des menaces. Il regroupe au sein d'une même unité, gérée depuis une console de gestion unique, les technologies de sécurité essentielles suivantes : ■ Antivirus et antispyware ■ Pare-feu de bureau ■ Système de prévention d'intrusion (IPS) ■ Contrôle des applications et des périphériques. En regroupant une protection de référence au sein d'un paquet unique, il vous permet d'économiser du temps de travail et du temps système tout en contrôlant les coûts. Les entreprises peuvent ainsi gérer efficacement la sécurité tout en augmentant leur confiance dans la protection de leurs ressources et de leurs opérations. 22 Présentation de Symantec Endpoint Protection A propos de Symantec Endpoint Protection Symantec Endpoint Protection offre les avantages suivants : ■ Augmentation de la sécurité au niveau client. Plusieurs technologies de sécurité intégrées permettent d'assurer une meilleure protection pour l'ensemble des clients d'un réseau d'entreprise comprenant des utilisateurs distants et des ordinateurs portables. ■ Simplification de la gestion. Plusieurs composants de sécurité disposent d'une gestion centralisée. La gestion centralisée permet de simplifier la gestion globale de sécurité en fournissant aux administrateurs une vue détaillée de la sécurité des clients. Cette solution intégrée comprenant une gestion et une intervention centralisée permet de proposer aux clients d'entreprise une vue plus détaillée du niveau client. Elle assure une réaction rapide aux propagations grâce à la récupération et au déploiement de mises à jour intégrées à partir d'une console de gestion centralisée. ■ Réduction du délai d'intervention. Grâce à la gestion centrale des fonctionnalités intégrées antivirus et antispyware, du pare-feu et de la prévention d'intrusion, les administrateurs peuvent intervenir rapidement contre des types de menaces de sécurité multiples. ■ Réduction des frais de maintenance. L'intervention d'un fournisseur unique pour l'ensemble des composants de sécurité de niveau client permet de réduire les coûts par rapport à des produits multiples provenant de fournisseurs différents. Les problèmes d'interopérabilité sont inexistants, puisque tous les composants Symantec Endpoint Protection proviennent d'un fournisseur unique et peuvent être installés, mis à jour et contrôlés depuis le même endroit. Symantec Endpoint Protection est disponible auprès des fournisseurs d'entreprise et des distributeurs nationaux du réseau Symantec. A propos de Symantec Endpoint Protection Symantec Endpoint Protection protège les terminaux client contre les menaces virales et les risques et fournit trois niveaux de protection à vos terminaux client. Ces niveaux sont respectivement la protection contre les menaces réseau, la protection proactive contre les menaces et la protection antivirus et antispyware. Présentation de Symantec Endpoint Protection A propos de Symantec Endpoint Protection Figure 1-1 Couches de protection Protection contre les menaces réseau Protection proactive contre les menaces Protection antivirus et antispyware La protection contre les menaces réseau protège votre ordinateur contre les menaces à l'aide de règles et de signatures. La protection proactive contre les menaces identifie et atténue les menaces basées sur le comportement de la menace. La protection antivirus et antispyware identifie et atténue les menaces liées à une tentative d'accès ou à un accès tangible à vos ordinateurs, à l'aide de signatures créées par Symantec. A propos de la protection contre les menaces réseau La protection contre les menaces réseau comprend un pare-feu et un logiciel de prévention d'intrusion pour protéger vos terminaux client. Le pare-feu prend en charge les règles développées pour des ports et pour des applications spécifiques et utilise l'inspection "Stateful" pour l'ensemble du trafic réseau. Par conséquent, pour tout le trafic réseau initié par le client, il vous suffit de créer une règle sortante pour prendre en charge ce trafic. L'inspection "Stateful" permet automatiquement le trafic de retour qui réagit au trafic sortant. Le pare-feu fournit une prise en charge totale de TCP, UDP, ICMP et tous les protocoles IP tels qu'ICMP et RSVP. Le pare-feu prend en charge également les protocoles Ethernet et Token Ring et peut bloquer les pilotes de protocole tels que VMware et WinPcap. Le pare-feu peut automatiquement identifier le trafic légitime DNS, DHCP et WINS, vous permettant ainsi d'autoriser ce trafic avec une case à cocher, sans écrire de règles. Remarque : Symantec suppose que vous construisez vos règles de filtrage de sorte que tout le trafic non autorisé est rejeté. Le pare-feu ne prend pas en charge IPv6. 23 24 Présentation de Symantec Endpoint Protection A propos de Symantec Endpoint Protection Le moteur de prévention d'intrusion prend en charge la vérification des analyses de port et des attaques de refus de service et offre une protection contre des attaques de dépassement de tampon. Ce moteur prend également en charge le blocage automatique du trafic malveillant provenant des ordinateurs infectés. Le moteur de détection d'intrusion prend en charge l'inspection poussée des paquets, les expressions standard et vous permet de créer des signatures personnalisées. A propos de la protection proactive contre les menaces La protection proactive contre les menaces identifie les menaces, telles que les vers, les virus, les chevaux de Troie et les programmes qui consignent les frappes de clavier en fonction du comportement des processus sur l'ordinateur. La protection proactive contre les menaces TruScan identifie ces menaces par leurs actions et leurs caractéristiques, sans recours aux traditionnelles signatures de sécurité. La protection proactive contre les menaces analyse le comportement de la menace en fonction de centaines de modules de détection pour déterminer si les processus actifs sont sans risques ou malveillants. Cette technologie peut immédiatement détecter et atténuer les menaces inconnues en fonction de leur comportement sans les signatures ou correctifs traditionnels. Sur les systèmes d'exploitation 32 bits pris en charge, la protection proactive contre les menaces vous permet également de contrôler l'accès en lecture, en écriture et en exécution aux périphériques matériels, aux fichiers et aux clés de registre. Au besoin, vous pouvez restreindre le contrôle à des systèmes d'exploitation pris en charge spécifiques. Vous pouvez également bloquer les périphériques par ID de classe (par exemple, USB, Bluetooth, infrarouge, FireWire, série, parallèle, SCSI et PCMCIA). A propos de la protection antivirus et antispyware La protection antivirus et antispyware empêche les ordinateurs d'être infectés en analysant le secteur d'amorçage, la mémoire et les fichiers pour y rechercher des virus, des logiciels espions et des risques de sécurité. La protection antivirus et antispyware utilise le virus et les signatures de risque de sécurité qui sont trouvés dans des fichiers de définitions de virus. Cette protection protège également vos ordinateurs en bloquant les risques de sécurité avant qu'ils ne soient installés si, toutefois, ce faisant, les ordinateurs ne sont pas laissés dans un état instable. La protection antivirus et antispyware inclut Auto-Protect, qui détecte les virus et les risques de sécurité quand ils essayent d'accéder à la mémoire ou s'installent. Auto-Protect analyse également les risques de sécurité tels que les logiciels publicitaires et les logiciels espions. Quand il détecte des risques de sécurité, il met en quarantaine les fichiers infectés ou supprime et corrige les effets secondaires des risques de sécurité. Vous pouvez également désactiver l'analyse Présentation de Symantec Endpoint Protection A propos de Symantec des risques de sécurité dans Auto-Protect. Auto-Protect peut réparer les risques compliqués, tels que les risques engainés en mode utilisateur (rootkits). Auto-Protect peut également réparer les risques de sécurité persistants qu'il est difficile de supprimer ou qui se réinstallent eux-mêmes. La protection antivirus et antispyware inclut également l'analyse Auto-Protect des programmes de messagerie électronique Internet via le contrôle de tout le trafic POP3 et SMTP. Vous pouvez configurer la protection antivirus et antispyware afin d'analyser les messages entrants pour y rechercher des menaces et des risques de sécurité, ainsi que les messages sortants pour y rechercher des technologies heuristiques connues. L'analyse des messages sortants permet d'éviter la propagation des risques tels que les vers qui peuvent utiliser les clients de messagerie pour se dupliquer à travers un réseau. Remarque : L'installation d'Auto-Protect pour les programmes de messagerie électronique Web est bloquée sur les systèmes d'exploitation serveur. Par exemple, vous ne pouvez pas installer cette fonction sur Windows Server 2003. A propos de Symantec Leader mondial dans le domaine des solutions logicielles d'infrastructure, Symantec permet aux entreprises et aux particuliers d'avoir confiance dans le monde connecté. Symantec aide ses clients à protéger leurs infrastructures, informations et interactions en proposant des solutions logicielles et des services ayant pour but de réduire les risques en matière de sécurité, disponibilité, conformité et performance. Basée à Cupertino en Californie, Symantec est présente dans plus de 40 pays à travers le monde. Pour obtenir de plus amples informations, consultez l'URL suivante : www.symantec.fr 25 26 Présentation de Symantec Endpoint Protection A propos de Symantec Chapitre 2 Installation de Symantec Endpoint Protection Ce chapitre traite des sujets suivants : ■ Paramètres d'installation du système ■ Présentation du processus d'installation ■ A propos des pare-feux du bureau et des ports de communications ■ Installation et configuration de Symantec Endpoint Protection Manager ■ Ouverture d'une session sur la console Symantec Endpoint Protection Manager Paramètres d'installation du système Les logiciels Symantec nécessitent des protocoles, des systèmes d'exploitation et leurs Service Packs, des logiciels et des matériels spécifiques. Tous les ordinateurs sur lesquels vous installez des logiciels Symantec doivent avoir au moins la configuration système recommandée correspondant au système d'exploitation utilisé. Remarque : L'installation dans ou depuis les noms de répertoires contenant des caractères à deux octets n'est pas prise en charge. Symantec Endpoint Protection Manager, Console et base de données Tableau 2-1 énumère les spécifications minimales pour les ordinateurs sur lesquels Symantec Endpoint Protection Manager, sa console et la base de données seront installés. 28 Installation de Symantec Endpoint Protection Paramètres d'installation du système Tableau 2-1 Symantec Endpoint Protection Manager, Console et base de données Composant 32 bits 64 bits Processeur 1 gigahertz Intel Pentium III 1 gigahertz sur x64 est possible uniquement avec les processeurs suivants : Intel Xeon avec prise en charge Intel EM64T ■ Intel Pentium IV avec prise en charge EM64T ■ AMD 64 bits Opteron ■ ■ AMD 64 bits Athlon Remarque : Itanium n'est pas pris en charge. Système d'exploitation Les systèmes d'exploitation suivants sont pris Les systèmes d'exploitation suivants sont pris en charge : en charge : Windows 2000 Server/Advanced ■ Windows XP Professional x64 Edition avec Server/Datacenter Server/Small Business Service Pack 1 ou version ultérieure Server avec Service Pack 3 ou version ■ Windows Server 2003 Standard x64 ultérieure Edition/Enterprise x64 Edition/Datacenter ■ Windows XP Professional avec Service x64 Edition avec Service Pack 1 ou version pack 1 ou version ultérieure ultérieure ■ Windows Compute Cluster Server 2003 Remarque : Windows XP prend en charge ■ un nombre limité d'utilisateurs simultanés si les clients sont en mode "transfert" (push). Utilisez le mode "extraction" (pull) sur les serveurs Windows XP pour jusqu'à 100 clients. Pour plus d'informations, recherchez Symantec Endpoint Protection Manager 11.x, dépannage des problèmes de communication sur le site web du support technique de Symantec. ■ ■ Windows Storage Server 2003 Remarque : Si vous utilisez des services de cluster Microsoft pour le serveur Symantec Endpoint Protection Manager, vous devez installer Symantec Endpoint Protection Manager sur le volume local. Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Storage Edition/Web Edition/Small Business Server Mémoire 1 Go de RAM minimum (2-4 Go recommandés) 1 Go de RAM minimum (2-4 Go recommandés) Disque dur 4 Go pour le serveur et 4 Go pour la base de données. 4 Go pour le serveur et 4 Go pour la base de données. Affichage Super VGA (1.024x768) ou adaptateur vidéo et écran de résolution supérieure Super VGA (1.024x768) ou adaptateur vidéo et écran de résolution supérieure Installation de Symantec Endpoint Protection Paramètres d'installation du système Composant 32 bits 64 bits base de données Symantec Endpoint Protection Manager inclut Symantec Endpoint Protection Manager inclut une base de données intégrée. une base de données intégrée. Vous pouvez également utiliser l'une des Vous pouvez également décider d'utiliser l'une versions de Microsoft SQL Server suivantes : des versions suivantes de Microsoft SQL Server : ■ Microsoft SQL Server 2000 avec Service Pack 3 ou version ultérieure ■ Microsoft SQL Server 2000 avec service pack 3 ou supérieur ■ Microsoft SQL Server 2005 ■ Microsoft SQL Server 2005 Remarque : Microsoft SQL Server est Remarque : Microsoft SQL Server est facultatif. facultatif. Autres spécifications Les autres spécifications suivantes doivent être satisfaites : Les autres spécifications suivantes doivent être satisfaites : Serveur Internet Information Services ■ Serveur Internet Information Services version 5.0 ou ultérieure, avec services version 5.0 ou ultérieure, avec services World Wide Web World Wide Web ■ Internet Explorer 6.0 ou version ultérieure ■ Internet Explorer 6.0 ou version ultérieure ■ ■ Adresse IP statique (recommandé) ■ Adresse IP statique (recommandé) Symantec Endpoint Protection Manager et Console Tableau 2-2 énumère les spécifications minimales pour les ordinateurs sur lesquels Symantec Endpoint Protection Manager et sa console seront installés. Tableau 2-2 Symantec Endpoint Protection Manager et Console Composant 32 bits 64 bits Processeur Intel Pentium III 1 GHz 1 gigahertz sur x64 est possible uniquement avec les processeurs suivants : Intel Xeon avec prise en charge Intel EM64T ■ Intel Pentium IV avec prise en charge EM64T ■ AMD 64 bits Opteron ■ ■ AMD 64 bits Athlon Remarque : Itanium n'est pas pris en charge. 29 30 Installation de Symantec Endpoint Protection Paramètres d'installation du système Composant 32 bits Système d'exploitation Les systèmes d'exploitation suivants sont pris Les systèmes d'exploitation suivants sont pris en charge : en charge : Windows 2000 Server/Advanced Server/Datacenter Server avec Service Pack 3 ou version ultérieure ■ Windows XP Professional avec Service pack 1 ou version ultérieure ■ Windows XP Professional x64 Edition avec Service Pack 1 ou version ultérieure ■ Windows Server 2003 Standard x64 Edition/Enterprise x64 Edition/Datacenter x64 Edition avec Service Pack 1 ou version ultérieure Remarque : Windows XP prend en charge ■ Windows Compute Cluster Server 2003 un nombre limité d'utilisateurs simultanés ■ Windows Storage Server 2003 si les clients sont en mode "transfert" (push). Utilisez le mode "extraction" (pull) sur les serveurs Windows XP pour jusqu'à 100 clients. Pour plus d'informations, recherchez Symantec Endpoint Protection Manager 11.x, dépannage des problèmes de communication sur le site web du support technique de Symantec. ■ 64 bits ■ Remarque : Si vous utilisez des services de cluster Microsoft pour le serveur Symantec Endpoint Protection Manager, vous devez installer le serveur SEPM sur le volume local. Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Web Edition/Small Business Server Mémoire 1 Go de RAM minimum (2 Go recommandés) 1 Go de RAM (2 Go recommandés) Disque dur 2 Go (4 Go recommandés) 2 Go (4 Go recommandés) Affichage Super VGA (1.024x768) ou adaptateur vidéo et écran de résolution supérieure Super VGA (1.024x768) ou adaptateur vidéo et écran de résolution supérieure Autres spécifications Les autres spécifications suivantes doivent être satisfaites : Les autres spécifications suivantes doivent être satisfaites : Serveur Internet Information Services ■ Serveur Internet Information Services version 5.0 ou ultérieure, avec services version 5.0 ou ultérieure, avec services World Wide Web World Wide Web ■ Internet Explorer 6.0 ou version ultérieure ■ Internet Explorer 6.0 ou version ultérieure ■ ■ Adresse IP statique (recommandé) ■ Adresse IP statique (recommandé) Console Symantec Endpoint Protection Tableau 2-3 énumère les spécifications minimales pour les ordinateurs sur lesquels la console Symantec Endpoint Protection sera installée. Installation de Symantec Endpoint Protection Paramètres d'installation du système Tableau 2-3 Console Symantec Endpoint Protection Composant 32 bits 64 bits Processeur Intel Pentium III 1 GHz 1 gigahertz sur x64 est possible uniquement avec les processeurs suivants : Intel Xeon avec prise en charge Intel EM64T ■ Intel Pentium IV avec prise en charge EM64T ■ AMD 64 bits Opteron ■ ■ AMD 64 bits Athlon Remarque : Itanium n'est pas pris en charge. Système d'exploitation Les systèmes d'exploitation suivants sont pris Les systèmes d'exploitation suivants sont pris en charge : en charge : Windows 2000 ■ Windows XP Professional x64 Edition avec Professional/Server/Advanced Service Pack 1 ou version ultérieure Server/Datacenter Server/Small Business ■ Windows Server 2003 Standard x64 Server avec Service Pack 3 ou version Edition/Enterprise x64 Edition/Datacenter ultérieure x64 Edition avec Service Pack 1 ou version ■ Windows XP Professional avec Service ultérieure pack 1 ou version ultérieure ■ Windows Compute Cluster Server 2003 ■ Remarque : Windows XP prend en charge ■ Windows Storage Server 2003 un nombre limité d'utilisateurs simultanés si les clients sont en mode "transfert" (push). Utilisez le mode "extraction" (pull) sur les serveurs Windows XP pour jusqu'à 100 clients. Pour plus d'informations, recherchez Symantec Endpoint Protection Manager 11.x, dépannage des problèmes de communication sur le site web du support technique de Symantec. ■ Windows Vista (x64) Remarque : Si vous utilisez des services de cluster Microsoft pour le serveur Symantec Endpoint Protection Manager, vous devez installer le serveur Symantec Endpoint Protection Manager sur le volume local. Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Web Edition/Small Business Server ■ Windows Vista (x86) ■ Mémoire 512 Mo de RAM (1 Go recommandé) 512 Mo de RAM (1 Go recommandé) Disque dur 15 Mo 15 Mo Affichage Super VGA (1.024x768) ou adaptateur vidéo et écran de résolution supérieure Super VGA (1.024x768) ou adaptateur vidéo et écran de résolution supérieure 31 32 Installation de Symantec Endpoint Protection Paramètres d'installation du système Composant 32 bits Navigateur ■ 64 bits Internet Explorer 6.0 or version ultérieure ■ Internet Explorer 6.0 or version ultérieure Symantec Endpoint Protection Tableau 2-4 énumère les spécifications minimales pour les ordinateurs sur lesquels Symantec Endpoint Protection sera installé. Tableau 2-4 Symantec Endpoint Protection Composant 32 bits 64 bits Processeur Intel Pentium III de 400 MHz (1 gigahertz pour Windows Vista) 1 gigahertz sur x64 seulement avec les processeurs suivants : Intel Xeon avec prise en charge Intel EM64T ■ Intel Pentium IV avec prise en charge EM64T ■ AMD 64 bits Opteron ■ ■ AMD 64 bits Athlon Remarque : Itanium n'est pas pris en charge. Installation de Symantec Endpoint Protection Paramètres d'installation du système Composant 32 bits Système d'exploitation Les systèmes d'exploitation suivants sont pris Les systèmes d'exploitation suivants sont pris en charge : en charge : Windows 2000 Professional/Server/Advanced Server/Datacenter Server/Small Business Server avec Service Pack 3 ou version ultérieure ■ Windows XP Home Edition/Professional Edition/Tablet PC Edition/Media Center Edition ■ Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Web Edition/Small Business Server ■ Windows Vista (x86) Home Basic Edition/Home Premium Edition/Business Edition/Enterprise Edition/Ultimate Edition ■ ■ 64 bits ■ Windows XP Professional x64 Edition ■ Windows Server 2003 x64 Edition ■ Windows Compute Cluster Server 2003 ■ Windows Storage Server 2003 ■ Windows Vista Home Basic x64 Edition/Home Premium x64 Edition/Business x64 Edition/Enterprise x64 Edition/Ultimate x64 Edition ■ Windows Server 2008 Editions Standard x64, Enterprise x64, Datacenter x64 ou Web x64 (versions de base et complète) Remarque : Si vous utilisez les services de groupage de Microsoft, vous devez installer l'ordinateur client sur le volume local. Windows Server 2008 Standard Edition/Enterprise Edition/Datacenter Edition/Web Edition (versions de base et complète) Mémoire 256 Mo de RAM 256 Mo de RAM Disque dur 600 Mo 700 Mo Affichage Super VGA (1.024x768) ou adaptateur vidéo et écran de résolution supérieure Super VGA (1.024x768) ou adaptateur vidéo et écran de résolution supérieure Autres spécifications Internet Explorer 6.0 or version ultérieure Les clients Terminal Server connectés à un ordinateur avec protection antivirus ont les spécifications supplémentaires suivantes : Client Microsoft Terminal Server RDP (Remote Desktop Protocol) ■ Citrix Metaframe (ICA) client 1.8 ou ultérieur si vous utilisez un serveur Citrix Metaframe sur Terminal Server ■ Internet Explorer 6.0 ou version ultérieure 33 34 Installation de Symantec Endpoint Protection Présentation du processus d'installation Remarque : L'assistant de déploiement ne vérifie pas si Internet Explorer 6.0 ou version ultérieure est installé sur les ordinateurs en cas de nécessité. Si les ordinateurs cibles ne sont pas dotés de la version correcte d'Internet Explorer, l'installation échoue sans vous en informer. Présentation du processus d'installation Le Guide d'installation de Symantec Endpoint Protection et de Symantec Network Access Control contient des informations détaillées sur chaque étape de l'installation. Tableau 2-5 récapitule le processus d'installation de Symantec Endpoint Protection. Tableau 2-5 Procédure Vue d'ensemble de l'installation Description Installer Symantec Endpoint Choisissez l'ordinateur sur lequel vous voulez installer le logiciel et le type de base Protection Manager de données que vous voulez utiliser. Ensuite, exécutez le programme d'installation du CD. Le programme installe d'abord le logiciel du gestionnaire. Ensuite, il installe et configure la base de données. Se reporter à "Installation et configuration de Symantec Endpoint Protection Manager" à la page 38. Créez un paquet d'installation du client Pour votre environnement de test, vous pouvez créer et installer les paquets par défaut du logiciel client. Ces clients sont attribués au groupe Temporaire et utilisent les politiques par défaut. S'il y a un grand nombre d'ordinateurs dans votre environnement de production, vous pouvez commencer par créer des politiques de sécurité personnalisées. Vous pouvez ensuite créer des paquets d'installation du client avant d'effectuer le déploiement vers les clients. A la fin de la configuration de la base de données, il vous est demandé si vous voulez exécuter l'assistant de migration et de déploiement. Cet assistant crée, puis distribue un paquet d'installation par défaut du logiciel client. Se reporter à "Création de paquets d'installation client" à la page 125. Déployer le logiciel client Choisissez comment vous voulez déployer le logiciel client. Vous pouvez déployer le logiciel client de plusieurs manières différentes. Pour plus de facilité, vous pouvez utiliser l'assistant de migration et de déploiement après avoir installé le gestionnaire pour déployer la protection par défaut. Vous pouvez également utiliser l'assistant de migration et de déploiement à partir du menu Démarrer à tout moment. Installation de Symantec Endpoint Protection A propos des pare-feux du bureau et des ports de communications Procédure Description Connexion à la console Symantec Endpoint Protection Manager Pour ouvrir une session, vous pouvez utiliser le menu Démarrer et le nom d'utilisateur admin, avec le mot de passe que vous avez défini pendant l'installation. Rechercher votre groupe dans la Console A la page Clients, le groupe que vous avez créé lors de l'installation s'affiche sous Afficher les clients. Se reporter à "Ouverture d'une session sur la console Symantec Endpoint Protection Manager" à la page 54. Configurer LiveUpdate pour Vous devez configurer les propriétés de LiveUpdate pour le site que vous avez installé. des mises à jour de site Se reporter à "A propos des politiques LiveUpdate" à la page 64. Configurer LiveUpdate pour Après avoir configuré le site, vous devez configurer une politique de paramètres les mises à jour client LiveUpdate et une politique de contenu LiveUpdate pour vos clients. Se reporter à "A propos des politiques LiveUpdate" à la page 64. Configurer les politiques de sécurité et de test de Symantec Endpoint Protection Au minimum, vous devez configurer et tester une politique antivirus et antispyware pour vos clients. Vous pouvez également configurer une politique de pare-feu et des politiques pour les autres types de protection. Se reporter à "Evaluation des politiques" à la page 71. A propos des pare-feux du bureau et des ports de communications Si vos serveurs et vos clients exécutent le logiciel pare-feu, vous devez ouvrir certains ports de sorte que la communication entre les serveurs de gestion et les clients soit possible. Vous pouvez également autoriser l'application Rtvscan.exe sur tous les ordinateurs à envoyer et recevoir le trafic par vos pare-feu. De surcroît, les outils d'installation à distance des logiciels serveur et client nécessitent l'ouverture du port TCP 139. Remarque : Les serveurs de gestion et les clients utilisent l'intervalle par défaut de port temporaire pour TCP (1024 à 65535) pour les communications réseau. L'intervalle de port temporaire utilisé dépasse toutefois très rarement 5 000. Cette valeur est configurable pour la plupart des systèmes d'exploitation. La plupart des pare-feu utilisent une inspection Stateful lors du filtrage du trafic TCP : les réponses TCP entrantes sont autorisées automatiquement et routées jusqu'au demandeur d'origine. Vous n'avez donc pas à ouvrir les ports TCP temporaires lorsque vous configurez votre logiciel pare-feu. 35 36 Installation de Symantec Endpoint Protection A propos des pare-feux du bureau et des ports de communications Tableau 2-6 répertorie les protocoles et les ports réseau nécessaires aux clients et serveurs pour les communications et les installations réseau. Tableau 2-6 Ports pour l'installation et les communications des clients et des serveurs Fonction Composant Protocole et port Déploiement d'Assistant de déploiement Managers et clients de Symantec TCP 139 et 445 sur les Endpoint Protection managers et les clients UDP 137 et 138 sur des managers et des clients Ports temporaires TCP sur des serveurs et des clients Audit réseau Managers et clients de Symantec TCP 139 et 445 sur les Endpoint Protection managers Ports temporaires TCP sur des clients Communication de fournisseur de mise à jour de groupe Managers et fournisseurs de mise TCP 2967 sur tous les à jour de groupe de Symantec périphériques Endpoint Protection Remarque : Ce port est le Fournisseurs de mise à jour de groupe et clients Communications générales paramètre par défaut, qui peut être modifié. Managers et clients de Symantec TCP 80 sur des managers Endpoint Protection Ports temporaires TCP sur des clients Remarque : Le port 80 peut également être modifié en TCP 443 (HTTPS). Communications générales Consoles Symantec Endpoint TCP 8443 sur des managers Protection Manager distantes et Ports temporaires TCP et 9090 managers de Symantec Endpoint sur des Consoles Protection Remarque : Ce numéro de port est configurable. Communication de réplication Site à site entre les serveurs de base de données TCP 8443 entre les serveurs de base de données Installation de Symantec Endpoint Protection A propos des pare-feux du bureau et des ports de communications Fonction Composant Protocole et port Installation distante de Console Symantec Endpoint Protection Manager Symantec Endpoint Protection Manager et Console Symantec Endpoint Protection Manager distante TCP 9090 sur les managers distants Ports temporaires TCP sur les consoles distantes Remarque : Ce numéro de port est configurable. Communication externe de base de données Serveurs distants de Microsoft SQL et managers de Symantec Endpoint Protection TCP 1433 sur les serveurs distants de Microsoft SQL Ports temporaires TCP sur des managers Remarque : Le port 1433 est le port par défaut. communication de Symantec Network Access Control Enforcer Symantec Endpoint Protection Manager et Enforcer TCP 1812 sur des managers Ports temporaires TCP sur des boîtiers Enforcer Remarque : Les serveurs RADIUS utilisent également le port 1812. N'installez donc pas Symantec Endpoint Protection Manager sur le même serveur. Ce port ne peut pas être configuré sur Symantec Endpoint Protection Manager. Assistant de migration Symantec Endpoint Protection et de déploiement Manager et serveurs de gestion hérités de Symantec TCP 139, TCP 445, ports temporaires TCP et UDP 137 sur les gestionnaires TCP 139, TCP 445, ports temporaires TCP, et UDP 137 sur les serveurs de gestion hérités de Symantec LiveUpdate Clients LiveUpdate et serveurs Ports temporaires TCP sur des clients TCP 80 sur des serveurs LiveUpdate 37 38 Installation de Symantec Endpoint Protection Installation et configuration de Symantec Endpoint Protection Manager Installation et configuration de Symantec Endpoint Protection Manager L'installation du logiciel de gestion pour la première fois comporte deux parties. La première partie installe Symantec Endpoint Protection Manager. La deuxième partie installe et configure la base de données Symantec Endpoint Protection Manager. Dans la première, vous pouvez accepter tous les paramètres par défaut. Dans la deuxième partie, vous devez sélectionner le type de configuration de Symantec Endpoint Protection Manager, Simple ou Avancée, en fonction du nombre de clients pris en charge par le serveur. La configuration simple, conçue pour un serveur prenant en charge moins de 100 clients, crée automatiquement une base de données incorporée et applique les valeurs par défaut à la plupart des paramètres, avec une intervention minime de votre part. La configuration avancée, destinée aux administrateurs d'environnements plus importants, vous permet de définir des paramètres spécifiques à votre environnement. Remarque : Le logiciel de gestion n'inclut ni Symantec Endpoint Protection, ni aucun autre logiciel client géré. Pour installer Symantec Endpoint Protection Manager 1 Insérer le CD d'installation et démarrez l'installation si elle ne démarre pas automatiquement. 2 Dans la fenêtre Bienvenue, effectuez l'une des opérations suivantes : ■ Pour installer Symantec Endpoint Protection, cliquez sur Installer Symantec Endpoint Protection Manager. ■ Pour installer Symantec Network Access Control, cliquez sur InstallerSymantec Network Access Control, puis cliquez sur Installer Symantec Endpoint Protection Manager sur le panneau suivant. 3 Dans l'écran d'accueil, cliquez sur Suivant. 4 Dans l'écran du contrat de licence, acceptez les termes du contrat de licence, puis cliquez sur Suivant. 5 Dans le panneau Dossier de destination, acceptez ou modifiez le répertoire d'installation. 6 Effectuez l'une des opérations suivantes : ■ Pour permettre au serveur Web IIS de Symantec Endpoint Protection Manager de s'exécuter avec d'autres serveurs Web sur cet ordinateur, sélectionnez l'option Utiliser le site Web par défaut, puis cliquez sur Suivant. Installation de Symantec Endpoint Protection Installation et configuration de Symantec Endpoint Protection Manager ■ Pour configurer le Web IIS de Symantec Endpoint Protection Manageren tant que seul serveur Web sur cet ordinateur, cochez l'option Créer un site Web personnalisé, puis cliquez sur Suivant. 7 Dans le panneau Prêt pour l'installation, cliquez sur Installer. 8 Quand l'installation se termine et que le panneau Assistant d'installation terminé apparaît, cliquez sur Terminer Attendez que le panneau Assistant de configuration de serveur de gestion apparaisse, ce qui peut prendre 15 secondes supplémentaires. Effectuez les étapes de la section suivante en fonction du type de configuration que vous avez sélectionné, Simple ou Avancée. Pour configurer Symantec Endpoint Protection Manager en mode simple 1 Dans le volet Assistant de configuration de serveur de gestion, sélectionnez Simple et cliquez sur Suivant. Une vérification de système est effectuée pour déterminer si le système répond aux exigences minimales en matière de mémoire disponible et d'espace disque. Si ce n'est pas le cas, une boîte de dialogue d'avertissement s'affiche, indiquant que le serveur risque de ne pas fonctionner comme prévu avec les ressources disponibles. Vous pouvez choisir de continuer ou d'annuler la configuration. 2 Spécifiez et confirment un mot de passe (de 6 caractères ou plus). Vous pouvez fournir une adresse électronique (facultatif). Le mot de passe spécifié est utilisé pour le compte "admin" de Symantec Endpoint Protection Manager et représente le mot de passe de chiffrement nécessaire à la récupération d'urgence. Après l'installation, le mot de passe de chiffrement ne change pas, même si le mot de passe du compte d'admin est modifié. Notez ce mot de passe lors de l'installation de Symantec Endpoint Protection dans votre environnement de production. Il est nécessaire pour la récupération d'urgence et pour l'ajout de matériel Enforcer facultatif. Symantec Endpoint Protection Manager envoie des messages d'avertissement et de notification à l'adresse électronique que vous fournissez. 3 Cliquez sur Suivant. 4 Le panneau Résumé de la configuration affiche les valeurs utilisées pour installer Symantec Endpoint Protection Manager. Vous pouvez imprimer une copie des paramètres de maintenance de vos enregistrements ou cliquez sur Suivant pour démarrer l'installation. 39 40 Installation de Symantec Endpoint Protection Installation et configuration de Symantec Endpoint Protection Manager Pour configurer Symantec Endpoint Protection Manager en mode Avancé 1 Dans le volet Assistant de configuration de serveur de gestion, sélectionnez Avancée et cliquez sur Suivant. 2 Sélectionnez le nombre de clients que vous souhaitez faire gérer par ce serveur, puis cliquez sur Suivant. Une vérification de système est effectuée pour déterminer si le système répond aux exigences minimales en matière de mémoire disponible et d'espace disque. Si ce n'est pas le cas, une boîte de dialogue d'avertissement s'affiche, indiquant que le serveur risque de ne pas fonctionner comme prévu avec les ressources disponibles. Vous pouvez choisir de continuer ou d'annuler la configuration. 3 Dans le panneau Type de site, sélectionnez Installer mon premier site et cliquez sur Suivant. 4 Dans le panneau Informations du serveur, acceptez ou modifiez les valeurs par défaut pour les zones de texte suivantes, puis cliquez sur Suivant : ■ Nom du serveur ■ Port du serveur ■ Port de console Web ■ Dossier de données de serveur 5 Dans le panneau Nom du site, dans la zone Nom du site, entrez votre nom de site, puis cliquez sur Suivant. 6 Dans le panneau Mot de passe de chiffrement, tapez une valeur dans les deux zones de texte, puis cliquez sur Suivant. Conservez ce mot de passe quand vous installez Symantec Endpoint Protection dans votre environnement de production. Vous en avez besoin pour la récupération d'urgence et pour ajouter le matériel facultatif d'Enforcer. 7 Dans le panneau Choix du serveur de base de données, sélectionnez Base de données intégrée, puis cliquez sur Suivant. Installation de Symantec Endpoint Protection Installation et configuration de Symantec Endpoint Protection Manager 8 Dans panneau d'utilisateur "admin", dans les zones de mot de passe, tapez un mot de passe pour que le compte "admin" se connecte à la console. Vous pouvez fournir une adresse électronique (facultatif). Symantec Endpoint Protection Manager envoie des messages d'avertissement et de notification à l'adresse électronique spécifiée. Lorsque l'installation se termine, vous avez la possibilité de déployer le logiciel client à l'aide de l'assistant de migration et de déploiement. Si vous ne déployez pas le logiciel client pour l'instant, consultez le chapitre Installation du client pour obtenir des détails sur la façon d'installer le logiciel client. Ouvrez une session sur la Console avec le nom d'utilisateur et le mot de passe que vous avez entrés ici. 9 Cliquez sur Next. Installer Symantec Endpoint Protection Manager avec une base de données intégrée Installer avec la base de données intégrée est le moyen le plus facile d'installer Symantec Endpoint Protection Manager. La base de données intégrée peut prendre en charge jusqu'à 5 000 clients. Lorsque vous aurez installé Symantec Endpoint Protection Manager et commencerez à vous familiariser avec les tâches administratives, vous devrez sécuriser vos fichiers de chiffrement dans l'éventualité d'une récupération d'urgence. Vous devez également documenter le mot de passe de chiffrement que vous avez saisi pendant Symantec Endpoint Protection Manager l'installation. Installation de Symantec Endpoint Protection Manager avec une base de données Microsoft SQL Vous pouvez installer Symantec Endpoint Protection Manager sur l'ordinateur qui exécute Microsoft SQL Server 2000/2005, puis créer une base de données sur le serveur SQL local. Vous pouvez également installer Symantec Endpoint Protection Manager sur un ordinateur qui n'exécute pas Microsoft SQL Server 2000/2005, puis créez une base de données sur le serveur SQL distant. Dans les deux cas, vous devez correctement installer et configurer les composants de Microsoft SQL Server sur tous les ordinateurs. Remarque : Microsoft SQL Server 2000 est pris en charge sur les systèmes d'exploitation Windows en langue anglaise seulement. 41 42 Installation de Symantec Endpoint Protection Installation et configuration de Symantec Endpoint Protection Manager Préparation de Microsoft SQL Server 2000/2005 pour la création de la base de données Avant de créer la base de données, il est recommandé d'installer une nouvelle instance de SQL Server respectant la configuration recommandée par Symantec pour l'installation et la configuration. Vous pouvez installer une base de données dans une instance existante, mais cette instance doit être configurée correctement, sinon l'installation de votre base de données échoue. Par exemple, si l'authentification n'est pas configurée en mode mixte, l'installation échoue ou ne fonctionne pas correctement. Si vous sélectionnez une collecte SQL sensible à la casse, l'installation échoue. Avertissement : Symantec Endpoint Protection Manager s'authentifie auprès de Microsoft SQL Server avec un nom d'utilisateur et un mot de passe de propriétaire de base de données en texte clair. Si vous installez et communiquez avec un Microsoft SQL Server distant, n'importe quel ordinateur du chemin de communications peut potentiellement capturer ce nom d'utilisateur et ce mot de passe avec un utilitaire de capture de paquet. Pour maximiser la politique de sécurité des communications distantes de Microsoft SQL Server, placez les deux serveurs dans un sous-réseau sécurisé. Un sous-réseau sécurisé isole les communications réseau entre les serveurs de ce sous-réseau seulement. Un sous-réseau sécurisé est généralement placé derrière un périphérique réseau qui effectue la traduction d'adresse réseau (NAT). Un grand nombre de routeurs peu coûteux modernes qui exécutent des affectations d'adresses DHCP effectuent également la traduction d'adresse réseau. Un sous-réseau sécurisé est également sécurisé physiquement, de sorte que seulement le personnel autorisé l'ait accès physique aux périphériques réseau sur ce sous-réseau. Paramètres d'installation et de configuration de Microsoft SQL Server 2000 Les paramètres d'installation et de configuration affectent toutes les installations de Microsoft SQL Server 2000, locales et distantes. Pour créer une base de données sur un serveur SQL distant, vous devez également installer les composants client SQL Server sur le serveur qui exécute Symantec Endpoint Protection Manager. Paramètres d'installation de Microsoft SQL Server 2000 Lorsque vous installez l'instance de Microsoft SQL Server 2000, choisissez les fonctions suivantes non configurées par défaut : ■ N'acceptez pas le nom d'instance par défaut. Utilisez le nom SEPM ou définissez un autre nom. Installation de Symantec Endpoint Protection Installation et configuration de Symantec Endpoint Protection Manager Une base de données portant le nom Sem5 est créée par défaut dans cette instance quand vous installez Symantec Endpoint Protection Manager. L'instance par défaut est prise en charge, sans nom, mais peut être source de confusion si vous installez plusieurs instances sur un ordinateur. ■ Configurez l'authentification sur le mode mixte (authentification Windows et configuration SQL Server). ■ Définissez le mot de passe du compte sa lorsque vous configurez l'authentification sur le mode mixte. Vous spécifiez ce mot de passe quand vous installez Symantec Endpoint Protection Manager. Remarque : Lorsque vous installez l'instance de Microsoft SQL Server, ne sélectionnez pas la collecte SQL sensible à la casse. La base de données de notification ne prend pas en charge la sensibilité à la casse. Configuration requise pour Microsoft SQL Server 2000 Après avoir installé l'instance de Microsoft SQL Server 2000, vous devez effectuer les opérations suivantes : ■ Appliquez le Service Pack 4 de SQL Server et choisissez l'authentification SQL Server. ■ Dans Enterprise Manager, enregistrez l'instance, cliquez dessus avec le bouton droit de la souris et modifiez les propriétés d'enregistrement pour utiliser l'authentification SQL Server. ■ Après avoir effectuée ces modifications, lorsque cela vous est proposé, déconnectez-vous du serveur. ■ Cliquez avec le bouton droit de la souris sur l'instance et connectez-vous au serveur. ■ Utilisez l'utilitaire réseau de SQL Server pour vérifier que TCP/IP fait partie des protocoles activés. Si ce protocole n'est pas activé, activez-le. ■ Vérifiez que l'agent de SQL Server s'exécute et démarrez-le s'il ne s'exécute pas. Installation et configuration des composants du client Microsoft SQL Server 2000 Vous installez et configurez les composants client Microsoft SQL Server 2000 sur l'ordinateur qui exécute ou exécutera Symantec Endpoint Protection Manager. 43 44 Installation de Symantec Endpoint Protection Installation et configuration de Symantec Endpoint Protection Manager Pour installer les composants du client Microsoft SQL Server 2000 1 Lancez le CD d'installation de Microsoft SQL Server 2000 et commencez l'installation. 2 Dans la fenêtre de définition de l'installation, cliquez sur Outils client uniquement. 3 Terminez l'installation. Pour configurer les composants du client Microsoft SQL Server 2000 1 Cliquez sur Démarrer > Programmes > Microsoft SQL Server > Utilitaire réseau client. 2 Dans la boîte de dialogue de l'utilitaire réseau client de SQL Server, dans l'onglet Général, vérifiez que TCP/IP fait partie des protocoles activés. Si ce protocole n'est pas activé, activez-le. 3 Cliquez avec le bouton droit de la souris sur TCP/IP, puis cliquez sur Propriétés. 4 Dans la boîte de dialogue TCP/IP, dans la zone Port par défaut, tapez le numéro de port qui correspond au port est utilisé par l'instance de Microsoft SQL Server 2000. Le port par défaut est en général 1433. Vous spécifiez ce numéro de port quand vous créez la base de données. 5 Cliquez sur OK, puis quittez l'utilitaire réseau client de SQL Server. Paramètres d'installation et de configuration de Microsoft SQL Server 2005 Les paramètres d'installation et de configuration affectent toutes les installations de Microsoft SQL Server 2005, locales et distantes. Si vous créez une base de données sur un serveur SQL distant, vous devez également installer les composants client SQL Server sur le serveur qui exécute Symantec Endpoint Protection Manager. Paramètres d'installation de Microsoft SQL Server 2005 Lorsque vous installez l'instance de Microsoft SQL Server 2005, vous devez choisir les fonctions suivantes non configurées par défaut : ■ N'acceptez pas le nom d'instance par défaut. Utilisez le nom SEPM ou définissez un autre nom. Une base de données portant le nom Sem5 est créée par défaut dans cette instance quand vous installez Symantec Endpoint Protection Manager. L'instance par défaut est prise en charge, sans nom, mais peut être source de confusion si vous installez plusieurs instances sur un ordinateur. Installation de Symantec Endpoint Protection Installation et configuration de Symantec Endpoint Protection Manager ■ Configurez l'authentification sur le mode mixte (authentification Windows et configuration SQL Server). ■ Définissez le mot de passe du compte sa lorsque vous configurez l'authentification sur le mode mixte. Vous spécifiez ce mot de passe quand vous installez Symantec Endpoint Protection Manager. ■ Quand vous configurez des comptes de service, choisissez de démarrer le navigateur de SQL Server à la fin de l'installation. Remarque : Lorsque vous installez l'instance de Microsoft SQL Server, ne sélectionnez pas la collecte SQL sensible à la casse. La base de données ne prend pas en charge la sensibilité à la casse. Configuration requise pour Microsoft SQL Server 2005 Après avoir installé l'instance de Microsoft SQL Server 2005, appliquez le Service pack 2 de SQL Server 2005 et sélectionnez l'authentification avec les informations d'authentification de SQL server. Puis, utilisez SQL Server Configuration Manager pour faire ce qui suit : ■ Affichez les protocoles de la configuration réseau de SQL Server 2005. ■ Affichez les propriétés pour le protocole TCP/IP et activez-le. ■ Affichez les adresses IP pour TCP/IP et activez les adresses IP1 et IP2. ■ Configurez les numéros de port TCP/IP pour IP1, IP2 et PALL. La base de données Symantec Endpoint Protection Manager ne prend pas en charge les ports dynamiques. En conséquence, définissez les ports dynamiques de TCP sur vide et spécifiez un numéro de port TCP. Le paramètre par défaut est en général 1433. Vous spécifiez ce numéro de port quand vous créez la base de données. ■ Redémarrez le service SQL Server. Si vous n'avez pas choisi de démarrer le navigateur SQL pendant l'installation, votre installation à distance échoue. Si vous n'avez pas choisi cette option pendant l'installation, utilisez l'utilitaire de configuration de zone SQL Server pour effectuez les opérations suivantes : ■ Affichez la configuration de la zone pour les informations des services et des connexions. ■ Activez le service du navigateur SQL Server. Si ce service n'est pas activé, les ordinateurs clients ne peuvent pas communiquer avec le serveur. 45 46 Installation de Symantec Endpoint Protection Installation et configuration de Symantec Endpoint Protection Manager ■ Vérifiez que les connexions locales et distantes sont activées pour TCP/IP uniquement. Les canaux nommés ne sont pas requis. Installation et configuration des composants du client Microsoft SQL Server 2005 Vous installez les composants client Microsoft SQL Server 2005 sur l'ordinateur qui exécute Symantec Endpoint Protection Manager. Remarque : Vous devez installer les composants client sur un ordinateur qui exécute Windows Server 2003. L'installation du composant client requiert MDAC 2.8 Service Pack 1 ou ultérieur, Windows Installer 3.1 et Internet Explorer 6.0 Service Pack ou ultérieur. Pour installer les composants du client Microsoft SQL Server 2005 1 Lancez le CD d'installation de Microsoft SQL Server 2005 et commencez l'installation. 2 Dans la fenêtre initiale, cliquez sur Composants serveur, outils, documentations en ligne et exemples. 3 Poursuivez l'installation jusqu'à ce que le système vous demande de choisir les composants à installer. 4 Dans la boîte de dialogue Composants à installer, cliquez sur Avancé. 5 Dans le volet de gauche, développez Composants client. 6 Cliquez sur Composants client et sélectionnez Cette fonction sera installée sur le disque dur local. 7 Cliquez sur les fonctions des composants client Composants de connectivité et Outils de gestion, puis sélectionnez Cette fonction sera installée sur le disque dur local. 8 Terminez l'installation. Pour configurer les composants du client Microsoft SQL Server 2005 1 Cliquez sur Démarrer > Programmes > Microsoft SQL Server 2005 > Outils de configuration > Gestionnaire de configuration de SQL Server. 2 Sous Configuration de client natif SQL, cliquez sur Protocoles client, cliquez avec le bouton droit de la souris sur TCP/IP, puis cliquez sur Propriétés. Installation de Symantec Endpoint Protection Installation et configuration de Symantec Endpoint Protection Manager 3 Dans la zone Port par défaut, tapez le numéro de port qui correspond au port qui est utilisé par l'instance de Microsoft SQL Server 2005. Le port par défaut est en général 1433. Vous spécifiez ce numéro de port quand vous créez la base de données. 4 Cliquez sur Appliquer > OK. Conditions SQL Server requises pour l'installation de Symantec Endpoint Protection Manager L'installation de Symantec Endpoint Protection Manager avec une base de données Microsoft SQL Server nécessite une configuration spécifique de SQL Server. Symantec Endpoint Protection Manager permet une installation avec une base de données locale ou distante. Le Tableau 2-7 décrit les paramètres de configuration de SQL Server nécessaires pour Symantec Endpoint Protection Manager. Tableau 2-7 Configuration requise pour SQL Server Paramètre de configuration Condition d'installation pour Symantec Endpoint Protection Manager Nom d'instance Ne pas utiliser le nom par défaut. Créer un nom tel que SEPM. Une base de données portant le nom Sem5 est créée par défaut dans l'instance SQL Server lors de l'installation de Symantec Endpoint Protection Manager. L'instance par défaut est anonyme. Elle est prise en charge, mais peut porter à confusion si plusieurs instances sont installées sur un ordinateur. Configuration d'authentification Mode mixte mot de passe du compte sa Ce mot de passe doit être défini pour l'authentification en mode mixte. Authentification Authentification SQL Server Protocole activé TCP/IP Adresses IP pour TCP/IP (SQL Server 2005 uniquement) Activer IP1 et IP2 47 48 Installation de Symantec Endpoint Protection Installation et configuration de Symantec Endpoint Protection Manager Paramètre de configuration Condition d'installation pour Symantec Endpoint Protection Manager Numéros de port TCP/IP pour IP1, IP2 et PALL (SQL Server 2005 uniquement) Définir les ports TCP dynamiques sur vide et spécifier un numéro de port TCP. Le paramètre par défaut est en général 1433. Ce numéro de port est spécifié lors de la création de la base de données. La base de données Symantec Endpoint Protection Manager ne prend pas en charge les ports dynamiques. Service de navigateur de SQL Server (SQL Server 2005 uniquement) Doit être démarré. Si votre base de données se trouve sur un serveur distant, vous devez également installer les composants client de SQL Server sur l'ordinateur qui exécute Symantec Endpoint Protection Manager. Pendant Symantec Endpoint Protection Manager l'installation, vous décidez quelles valeurs de base de données vous souhaitez définir. Vous devez déterminer ces valeurs avant de commencer l'installation. Le Tableau 2-8 répertorie et décrit ces paramètres et les valeurs possibles. Tableau 2-8 Paramètres d'installation de Symantec Endpoint Protection Manager avec une base de données SQL Server. Paramètre Par défaut Description Options de configuration de site Web de Sélection IIS Utiliser le site Web par défaut ■ Utiliser le site Web par défaut Installe l'application Web IIS de Symantec Endpoint Protection sur le site Web IIS par défaut et fonctionne avec toute autre application Web installée sur le site Web. ■ Créer un site Web personnalisé Désactive le site Web IIS par défaut et crée un serveur Web Symantec pour Symantec Endpoint Protection Manager. Nom du serveur nom de l'hôte local Nom de l'ordinateur qui exécute Symantec Endpoint Protection Manager. Port du serveur 8443 Numéro de port sur lequel le serveur Symantec Endpoint Protection Manager écoute. Port de la console Web 9090 Port HTTP utilisé pour la connexion de consoles distantes Installation de Symantec Endpoint Protection Installation et configuration de Symantec Endpoint Protection Manager Paramètre Par défaut Description Dossier de données de C:\Program Files\Symantec serveur Endpoint Protection Manager\data Répertoire dans lequel Symantec Endpoint Protection Manager place les fichiers de données, dont les fichiers de sauvegarde, les fichiers de réplication et d'autres fichiers Symantec Endpoint Protection Manager. L'installateur crée ce répertoire s'il n'existe pas. Nom du site Site nom d'hôte local Nom de site du conteneur de plus haut niveau sous lequel toutes les fonctions sont configurées et s'exécutent avec Symantec Endpoint Protection Manager. Mot de passe de chiffrement Aucun Mot de passe qui chiffre la communication entre Symantec Endpoint Protection Manager, les clients et les boîtiers Enforcer facultatifs. Le mot de passe peut comporter 1-32 caractères alphanumériques et il est obligatoire. Documentez ce mot de passe et conservez-le en lieu sûr. Vous ne pouvez pas modifier ou récupérer le mot de passe après avoir créé la base de données. Vous devez également entrer ce mot de passe pour la récupération d'urgence si vous n'avez pas de base de données sauvegardée à restaurer. Serveur de base de données nom de l'hôte local Nom du serveur Microsoft SQL et nom facultatif d'instance. Si le serveur de base de données a été installé avec l'instance par défaut, qui n'est pas un nom, tapez nom d'hôte ou l'adresse IP de l'hôte. Si le serveur de base de données a été installé avec une instance nommée, tapez nom d'hôte\nom_instance ou adresse IP\nom_instance. La saisie du nom d'hôte ne fonctionne que lorsque le DNS a été configuré correctement. Si vous effectuez l'installation sur un serveur de base de données à distance, vous devez d'abord installer les composants clients de SQL Server sur l'ordinateur qui exécute Symantec Endpoint Protection Manager. Port du serveur SQL 1433 Port d'envoi et de réception du trafic configuré pour l'ordinateur exécutant SQL Server. Le port 0, utilisé pour spécifier un port aléatoire et négocié, n'est pas pris en charge. Nom de la base de données sem5 Nom de la base de données créée. 49 50 Installation de Symantec Endpoint Protection Installation et configuration de Symantec Endpoint Protection Manager Paramètre Par défaut Description Utilisateur sem5 Nom du compte utilisateur qui est créé pour la base de données. Ce compte utilisateur a un niveau d'accès standard en lecture et en écriture. Le nom peut être une combinaison de valeurs alphanumériques et des caractères spéciaux ~#%_+=|:./. Les caractères spéciaux '!@$^&*()-{}[]\\<;>,? ne sont pas autorisés. Les noms suivants sont également interdits : sysadmin, server admin, setupadmin, securityadmin, processadmin, dbcreator, diskadmin, bulkadmin. Mot de passe Aucun Mot de passe à associer au compte utilisateur de la base de données. Le nom peut être une combinaison de valeurs alphanumériques et de caractères spéciaux ~#%_+=|:./. Les caractères spéciaux '!@$^&*()-{}[]\\<;>,? ne sont pas autorisés. Dossier Client SQL C:\Program Files\Microsoft SQL Server\80\Tools\Binn Emplacement du répertoire utilitaire Client SQL local qui contient bcp.exe. Si vous créez une base de données sur SQL Server 2005, le répertoire numérique par défaut est 90. Le chemin par défaut complet est C:\Program Files\Microsoft SQL Server\90\Tools\Binn Utilisateur Administrateur de base de données Aucun Nom du compte administrateur du serveur de base de données, qui est typiquement SA. Mot de passe de l'administrateur de base de données Aucun Nom du mot de passe associé au compte de l'utilisateur de base de données. Installation de Symantec Endpoint Protection Installation et configuration de Symantec Endpoint Protection Manager Paramètre Par défaut Description Dossier des données de Automatiquement détecté la base de données après avoir cliqué sur Par défaut Emplacement du répertoire des données SQL Server. Si vous effectuez l'installation sur un serveur distant, l'identifiant du volume doit correspondre à l'identifiant du serveur distant. Si vous installez sur une instance nommée SQL Server 2000 : C:\Program de SQL Server 2000, le nom d'instance est ajouté à MSSQL Files\Microsoft SQL avec un signe dollar comme dans \MSSQL$nom Server\MSSQL\Data d'instance\Data. Si vous installez sur une instance nommée SQL Server 2005 : C:\Program sur SQL Server 2005, le nom d'instance est ajouté à MSSQL Files\Microsoft SQL avec un identificateur numérique à point comme dans Server\MSSQL.1\MSSQL\Data \MSSQL.1\MSSQL\Data. Remarque : Cliquer sur Par défaut affiche le répertoire d'installation correct, si vous avez entré le serveur de base de données et le nom de l'instance correctement. Si vous cliquez sur Par défaut et si le répertoire d'installation correct n'apparaît pas, votre création de base de données échoue. Nom de l'utilisateur admin admin Nom de l'utilisateur par défaut utilisé pour la première connexion à la Console Symantec Endpoint Protection Manager. (non modifiable) Mot de passe Admin Aucun Mot de passe spécifié pendant la configuration du serveur et qui devra être utilisé avec le nom d'utilisateur admin. Installation de Symantec Endpoint Protection Manager avec une base de données SQL Server Vous pouvez installer Symantec Endpoint Protection Manager sur l'ordinateur qui exécute Microsoft SQL Server, puis créer une base de données sur le serveur SQL local. Vous pouvez également installer Symantec Endpoint Protection Manager sur un ordinateur qui n'exécute pas SQL Server, puis créer une base de données sur un ordinateur distant exécutant SQL Server. Dans les deux cas, assurez-vous de la bonne configuration des composants SQL Server appropriés sur chaque ordinateur. Se reporter à "Conditions SQL Server requises pour l'installation de Symantec Endpoint Protection Manager" à la page 47. Remarque : Si vous créez une nouvelle base de données, SQL Server gère automatiquement votre base de données avec le modèle simple de récupération et active Auto Shrink. 51 52 Installation de Symantec Endpoint Protection Installation et configuration de Symantec Endpoint Protection Manager Pour installer Symantec Endpoint Protection Manager 1 Insérez le CD-ROM d'installation et démarrez l'installation. 2 Dans l'écran de bienvenue, effectuez l'une des opérations suivantes : ■ Pour procéder à l'installation pour Symantec Endpoint Protection, cliquez sur Installer Symantec Endpoint Protection Manager. ■ Pour procéder à l'installation pour Symantec Network Access Control, cliquez sur Installer Symantec Network Access Control, puis sur Installer Symantec Endpoint Protection Manager. 3 Cliquez sur les panneaux, jusqu'à ce que le panneau Dossier de destination apparaisse. 4 Dans le panneau Dossier de destination, acceptez ou modifiez le répertoire d'installation par défaut. 5 Effectuez l'une des opérations suivantes : ■ Pour permettre au serveur Web IIS de Symantec Endpoint Protection Manager de s'exécuter avec d'autres sites Web de cet ordinateur, sélectionnez Utiliser le site Web par défaut, puis cliquez sur Suivant. ■ Pour configurer Symantec Endpoint Protection Manager IIS Web en seul serveur Web sur cet ordinateur, cochez la case Créer un site Web personnalisé, puis cliquez sur Suivant. 6 Cliquez sur Installer dans le volet Prêt pour l'installation. 7 Lorsque l'installation est terminée et que l'assistant de fin d'installation s'affiche, cliquez sur Terminer. Le panneau de l'assistant de configuration du serveur peut prendre jusqu'à 15 secondes pour apparaître. Si vous êtes invité à redémarrer l'ordinateur, redémarrez l'ordinateur. Quand vous ouvrez une session, le panneau d'assistant de configuration du serveur apparaît automatiquement. Pour créer une base de données SQL 1 Dans le volet Assistant de configuration du serveur de gestion, sélectionnez Avancé, puis cliquez sur Suivant. 2 Sélectionnez le nombre de clients que vous voulez que le serveur gère, puis cliquez sur Suivant. 3 Cochez la case Installer mon premier site, puis cliquez sur Suivant. 4 Dans le panneau Informations du serveur, acceptez ou modifiez les valeurs par défaut pour les zones de texte suivantes, puis cliquez sur Suivant : ■ Nom du serveur Installation de Symantec Endpoint Protection Installation et configuration de Symantec Endpoint Protection Manager ■ Port du serveur ■ Port de la console Web ■ Dossier des données du serveur 5 Dans le panneau Information sur le site, dans la zone Nom du site, acceptez ou modifiez le nom par défaut, puis cliquez sur Suivant. 6 Dans le volet Créer un mot de passe de chiffrement, tapez un mot de passe dans les zones Créer un mot de passe de chiffrement, puis cliquez sur Suivant. Documentez ce mot de passe et conservez-le en lieu sûr. Vous ne pouvez pas modifier ou récupérer le mot de passe après que vous créiez la base de données. Vous devez également entrer ce mot de passe pour la récupération d'urgence si vous n'avez pas de base de données sauvegardée à restaurer. 7 Dans le volet de sélection du Type de base de données, sélectionnez Microsoft SQL Server, puis cliquez sur Suivant. 8 Dans le panneau Définir une nouvelle base de données, effectuez l'une des opérations suivantes : ■ Si la base de données n'existe pas, sélectionnez Créer une base de données (recommandé). ■ Si la base de données existe, sélectionnez Utiliser une base de données existante. Une base de données existante doit définir des groupes de fichier PRIMARY, FG_CONTENT, FG_LOGINFO, FG_RPTINFO et FG_INDEX. Le compte utilisateur pour l'accès à la base de données doit avoir les privilèges db_ddladmin, db_datareader et db_datawriter. Si ces exigences ne sont pas satisfaites, votre installation échoue. Une pratique d'excellence consiste à définir une nouvelle base de données. 9 Cliquez sur Suivant. 10 Dans le panneau Informations sur Microsoft SQL Server, tapez vos valeurs pour les zones de texte suivantes et cliquez sur Suivant : ■ Serveur de base de données Si vous avec créé une nouvelle instance, le format est nomserveur_ou_adresseIP\nom_instance. ■ Port du serveur SQL ■ Nom de la base de données ■ Utilisateur ■ Mot de passe 53 54 Installation de Symantec Endpoint Protection Ouverture d'une session sur la console Symantec Endpoint Protection Manager ■ Confirmer le mot de passe (seulement à la création d'une nouvelle base de données) ■ Dossier Client SQL ■ Utilisateur Administrateur de base de données (seulement à la création d'une nouvelle base de données) ■ Mot de passe de l'administrateur de base de données (seulement à la création d'une nouvelle base de données) ■ Dossier des données de la base de données 11 Spécifiez un mot de passe pour le compte administrateur de Symantec Endpoint Protection Manager et confirmez-le. Vous pouvez également spécifier l'adresse électronique de l'administrateur. 12 Cliquez sur Suivant. 13 Dans l'invite de boîte de dialogue Avertissement, lisez et comprenez les informations d'avertissement sur des communications en texte clair et cliquez sur OK. 14 Dans le panneau Configuration terminée, effectuez l'une des opérations suivantes : ■ Pour déployer le logiciel client avec l'assistant de migration et de déploiement, cliquez sur Oui. ■ Pour vous connecter d'abord à la console Symantec Endpoint Protection Manager et puis déployer le logiciel client, cliquez sur Non. Consultez le chapitre Installation du client pour obtenir des détails sur la façon de déployer le logiciel client. Lorsque vous aurez installé Symantec Endpoint Protection Manager et commencerez à vous familiariser avec les tâches administratives, vous devrez sécuriser vos fichiers de chiffrement dans l'éventualité d'une récupération d'urgence. Vous devriez également documenter le mot de passe de chiffrement que vous avez saisi pendant Symantec Endpoint Protection Manager l'installation. Ouverture d'une session sur la console Symantec Endpoint Protection Manager La console Symantec Endpoint Protection Manager permet d'effectuer des tâches administratives, telles que la gestion des clients et des politiques. Installation de Symantec Endpoint Protection Ouverture d'une session sur la console Symantec Endpoint Protection Manager Pour ouvrir une session sur la console Symantec Endpoint Protection Manager 1 Cliquez sur le Démarrer > Programmes > Symantec Endpoint Protection Manager > Console Symantec Endpoint Protection Manager. 2 Dans l'invite de commande Symantec Endpoint Protection Manager, dans la case Nom d'utilisateur, tapez admin. 3 Dans la case Mot de passe, tapez le mot de passe admin que vous avez créé pendant l'installation, puis cliquez sur Ouverture de session. 55 56 Installation de Symantec Endpoint Protection Ouverture d'une session sur la console Symantec Endpoint Protection Manager Chapitre 3 Configuration de votre produit après installation Ce chapitre traite des sujets suivants : ■ Configuration de la structure d'organisation et mise à jour du contenu ■ Ajout d'un groupe ■ A propos de l'importation de la structure d'organisation ■ Ajout de clients comme utilisateurs ou ordinateurs ■ Ajouter un emplacement avec un assistant d'installation ■ Ajout d'un compte d'administrateur ■ A propos des politiques LiveUpdate ■ Configuration d'une politique de paramètres LiveUpdate ■ Configuration d'une politique de contenu LiveUpdate Configuration de la structure d'organisation et mise à jour du contenu Après l'installation du serveur de gestion, vous devez configurer la structure d'organisation. Vous pouvez également configurer une politique LiveUpdate pour télécharger les dernières signatures et tout autre contenu vers les ordinateurs client. 58 Configuration de votre produit après installation Ajout d'un groupe Tableau 3-1 Procédure après l'installation de Symantec Endpoint Protection Manager Pour effectuer cette étape Description Voir la section Etape 1 : Ajoutez un groupe. Vous pouvez ajouter de nouveaux groupes ou importer votre structure d'organisation existante. Se reporter à "Ajout d'un groupe" à la page 58. Etape 2 : Ajoutez un client comme utilisateur ou ordinateur. Se reporter à "Ajout de clients comme utilisateurs ou ordinateurs" à la page 59. Etape 3 : Ajoutez un emplacement. Se reporter à "Ajouter un emplacement avec un assistant d'installation" à la page 61. Etape 4 : Ajoutez un compte d'administrateur. Se reporter à "Ajout d'un compte d'administrateur" à la page 63. Etape 5 : Mettez à jour le contenu sur les Se reporter à "A propos des clients. Vous pouvez configurer politiques LiveUpdate" une politique de contenu à la page 64. LiveUpdate ainsi qu'une politique de paramètres LiveUpdate. Se reporter à "A propos de l'importation de la structure d'organisation" à la page 59. Ajout d'un groupe Vous pouvez ajouter des groupes après avoir défini la structure de groupe de votre organisation. Les descriptions de groupe peuvent comporter jusqu'à 1 024 caractères. Les noms et descriptions de groupe peuvent contenir toutes sortes de caractères, à l'exception des suivants : [" / \ * ? < > | :]. Remarque : Vous ne pouvez pas ajouter des groupes au groupe Temporaire. Pour ajouter un groupe 1 Dans la console, cliquez sur Clients. 2 Sous Afficher les clients, sélectionnez le groupe auquel vous voulez ajouter un nouveau sous-groupe. Configuration de votre produit après installation A propos de l'importation de la structure d'organisation 3 Dans l'onglet Clients, sous Tâches, cliquez sur Ajouter un groupe. 4 Dans la boîte de dialogue Ajouter un groupe pour nom du groupe, tapez le nom du groupe et une description. 5 Cliquez sur OK. A propos de l'importation de la structure d'organisation Vous pouvez importer des structures de groupes, ou unités organisationnelles. Pour importer des unités organisationnelles, vous pouvez utiliser un serveur LDAP ou un serveur Active Directory. Symantec Endpoint Protection peut alors automatiquement synchroniser les groupes des onglets Clients avec ceux du serveur choisi. Vous ne pouvez pas utiliser l'onglet Clients pour gérer ces groupes après les avoir importés. Vous ne pouvez pas ajouter, supprimer ou déplacer des groupes dans une unité organisationnelle importée. Vous pouvez attribuer des politiques de sécurité à l'unité organisationnelle importée. Vous pouvez également copier des utilisateurs à partir d'une unité organisationnelle importée vers d'autres groupes qui sont répertoriés dans le volet Afficher les clients. La politique qui a été attribuée à un groupe avant son importation a la priorité. Un compte utilisateur peut exister dans l'unité organisationnelle et dans un groupe extérieur. La politique qui a été appliquée au groupe extérieur a la priorité dans ce scénario. Vous pouvez importer et synchroniser des données concernant les comptes utilisateur et les comptes d'ordinateur depuis un serveur Active Directory ou un serveur LDAP. Ajout de clients comme utilisateurs ou ordinateurs Tous les clients doivent être affectés à un groupe. Il est conseillé de créer des groupes contenant des clients ayant des besoins et paramètres de sécurité communs. Les utilisateurs peuvent être ajoutés à un groupe manuellement. Cependant, dans la plupart des cas, cette procédure est difficilement réalisable à moins que vous vouliez ajouter un nombre limité d'utilisateurs à des fins d'entretien. La plupart des administrateurs importent des listes d'utilisateurs d'un serveur LDAP ou d'un serveur de domaine. Se reporter à "A propos de l'importation de la structure d'organisation" à la page 59. 59 60 Configuration de votre produit après installation Ajout de clients comme utilisateurs ou ordinateurs Vous pouvez d'abord ajouter manuellement un utilisateur à un groupe spécifique, puis installer le client avec un groupe préféré qui lui est attribué. Effectuez cette tâche en associant des politiques de groupe pendant la création des paquets. Le client est ajouté au groupe qui est spécifié sur le serveur au lieu du groupe qui est spécifié dans le paquet. Un client peut être ajouté comme ordinateur à n'importe quel groupe. Ceci permet essentiellement de protéger un ordinateur indépendamment de l'utilisateur connecté. Par exemple, un ordinateur peut se trouver dans un emplacement vulnérable ou non sécurisé tel qu'un hall public. Vous pouvez ajouter cet ordinateur à un groupe comprenant d'autres ordinateurs publics et attribuer au groupe des politiques de sécurité très rigoureuses. Gardez à l'esprit les faits suivants lorsque vous ajoutez des ordinateurs aux groupes : ■ Vous pouvez ajouter un ordinateur à plusieurs groupes. ■ Vous devez connaître le nom réel et le domaine de l'ordinateur pour pouvoir l'ajouter. ■ Le nom de l'ordinateur peut contenir au maximum 64 caractères. ■ Le champ de description peut contenir au maximum 256 caractères. Assurez-vous que tous les clients peuvent être ajoutés aux groupes. Pour ajouter des clients en tant qu'utilisateurs 1 Dans la console, cliquez sur Clients. 2 Dans la page Clients, sous Afficher les clients, localisez le groupe auquel vous souhaitez ajouter un client. 3 Dans l'onglet Clients, sous Tâches, cliquez sur Ajouter un compte d'utilisateur. 4 Dans la boîte de dialogue Ajouter un utilisateur pour nom du groupe, dans la zone de texte Nom de l'utilisateur, saisissez le nom du nouvel utilisateur. 5 Sous Nom du domaine, indiquez si la connexion se fait sur un domaine spécifié ou sur l'ordinateur local. 6 Dans la zone de texte Description, saisissez une description de l'utilisateur (facultatif). 7 Cliquez sur OK. Configuration de votre produit après installation Ajouter un emplacement avec un assistant d'installation Pour ajouter des clients en tant qu'ordinateurs 1 Dans la console, cliquez sur Clients. 2 Dans la page Clients, sous Afficher les clients, localisez le groupe auquel vous souhaitez ajouter un client. 3 Dans l'onglet Clients, sous Tâches, cliquez sur Ajouter un compte d'ordinateur. 4 Dans la boîte de dialogue Ajouter un ordinateur, saisissez le nom de l'ordinateur et le domaine auquel vous souhaitez l'ajouter. 5 Dans la zone de texte Description, saisissez éventuellement une brève description de l'ordinateur. 6 Cliquez sur OK. Ajouter un emplacement avec un assistant d'installation Pour ajouter un emplacement à un groupe, utilisez un assistant. Chaque emplacement peut disposer d'un ensemble de politiques et de paramètres associé. Les critères (conditions) permettent de déclencher le basculement des clients vers un nouvel emplacement avec des paramètres de sécurité différents dès lors que les conditions sont remplies. Les meilleures politiques de sécurité à appliquer dépendent en général de l'emplacement du client lors de sa connexion au réseau. Lorsque la détection de l'emplacement est activée, elle garantit l'attribution à un client de la politique de sécurité la plus stricte en cas de besoin. Ajouter un emplacement avec un assistant d'installation 1 A partir de la Symantec Endpoint Protection Manager console, cliquez sur Clients. 2 Dans la page Clients, sous Afficher les clients, sélectionnez le groupe auquel vous souhaitez ajouter un ou plusieurs emplacements. 3 Dans l'onglet Politiques, décochez Hériter des politiques et des paramètres du groupe parent "nom du groupe". Vous pouvez ajouter des emplacements seulement à des groupes qui n'héritent pas des politiques d'un groupe parent. 4 Sous Tâches, cliquez sur Ajouter un emplacement. 5 Dans le volet de bienvenue de l'Assistant à l'ajout d'emplacement, cliquez sur Suivant. 61 62 Configuration de votre produit après installation Ajouter un emplacement avec un assistant d'installation 6 Dans le panneau Préciser un Nom d'Emplacement, tapez le nom et la description du nouvel emplacement, et cliquez sur Suivant. 7 Dans le volet de spécification d'une condition, sélectionnez l'une des conditions suivantes, sous laquelle un client passe d'un emplacement à un autre : Pas de condition spécifique Sélectionnez cette option afin que le client puisse choisir cet emplacement si de multiples emplacements sont disponibles. Plage d'adresse IP Sélectionnez cette option afin que le client puisse choisir cet emplacement si son adresse IP est incluse dans la plage spécifiée. Vous devez spécifier l'adresse IP de début et l'adresse IP de fin. Adresse et masque de sous-réseau Sélectionnez cette option de sorte que le client puisse choisir cet emplacement si son masque de sous-réseau et son adresse de sous-réseau sont spécifiés. Serveur DNS Sélectionnez cette option de sorte que le client puisse choisir cet emplacement s'il se connecte au serveur DNS spécifié. Le client peut résoudre le nom d'hôte Sélectionnez cette option de sorte que le client puisse choisir cet emplacement s'il se connecte au nom de domaine spécifié et à l'adresse de résolution DNS. Le client peut se connecter au serveur de gestion Sélectionnez cette option pour que le client puisse choisir cet emplacement s'il se connecte au serveur de gestion spécifié. Configuration de votre produit après installation Ajout d'un compte d'administrateur Type de connexion réseau Sélectionnez cette option de sorte que le client puisse choisir cet emplacement s'il se connecte au type spécifié de connexion réseau. Le client accède à cet emplacement en utilisant l'une des connexions suivantes : ■ Tout réseau ■ Connexion réseau à distance ■ Ethernet ■ Sans fil ■ Check Point VPN-1 ■ Cisco VPN ■ Microsoft PPTP VPN ■ Juniper NetScreen VPN ■ Nortel Contivity VPN ■ SafeNet SoftRemote VPN ■ Aventail SSL VPN ■ Juniper SSL VPN 8 Cliquez sur Suivant. 9 Dans le volet Assistant d'ajout d'emplacement terminé, cliquez sur Terminer. Ajout d'un compte d'administrateur En fonction du développement ou de la modification de votre réseau, le nombre d'administrateurs peut s'avérer insuffisant pour répondre à vos besoins. Vous pouvez ajouter un ou plusieurs administrateurs. Lorsque vous ajoutez un administrateur, vous spécifiez ses fonctions et ses contraintes. En tant qu'administrateur système, vous pouvez ajouter un autre administrateur système, un administrateur ou un administrateur limité. En tant qu'administrateur au sein d'un domaine, vous pouvez ajouter d'autres administrateurs ou administrateurs limités et configurer leurs droits. Avertissement : La création d'un nouveau compte administrateur personnel vous permet de remplacer vos nom d'utilisateur et mot de passe de connexion. 63 64 Configuration de votre produit après installation A propos des politiques LiveUpdate Pour ajouter un administrateur 1 A partir de la Symantec Endpoint Protection Manager console, cliquez sur Admin. 2 A la page Admin, sous Tâches, cliquez sur Administrateurs, puis sur Ajouter un administrateur. 3 Dans la boîte de dialogue Ajouter un administrateur, entrez le nom de l'administrateur. Ce nom est celui avec lequel l'administrateur se connecte et par lequel il est reconnu dans l'application. 4 Eventuellement, entrez le nom complet de l'administrateur dans la deuxième zone de texte. 5 Entrez puis confirmez le mot de passe. Le mot de passe doit contenir au moins six caractères. Tous les caractères sont autorisés. 6 Pour configurer la méthode d'authentification, cliquez sur Modifier. La valeur par défaut est Authentification de serveur de gestion Symantec. Vous pouvez configurer la date d'expiration du mot de passe pour la méthode par défaut ou modifier la méthode d'authentification. 7 Cliquez sur OK. 8 Sélectionnez l'un des types d'administrateur suivante : 9 ■ Administrateur système. ■ Administrateur. Les administrateurs peuvent exécuter des rapports sur l'ensemble des groupes. Si vous avez migré depuis Symantec AntiVirus 10.x et voulez que l'administrateur exécute des rapports pour ces groupes de serveurs migrés, cliquez sur Droits sur les rapports. ■ Administrateur limité, puis configurez les droits des administrateurs limités. Cliquez sur OK. A propos des politiques LiveUpdate Il existe deux types de politiques LiveUpdate. L'un est appelé Politique des paramètres de LiveUpdate et s'applique aux clients Symantec Endpoint Protection et Symantec Network Access Control. L'autre est appelé Politique de contenu Configuration de votre produit après installation Configuration d'une politique de paramètres LiveUpdate LiveUpdate et ne s'applique qu'aux clients Symantec Endpoint Protection. La politique des paramètres de LiveUpdate spécifie les ordinateurs avec lesquels les clients communiquent pour rechercher les mises à jour et contrôle la fréquence de recherche des mises à jour. S'il y a lieu, vous pouvez appliquer cette politique à des emplacements spécifiques d'un groupe. La politique de contenu LiveUpdate spécifie les types de mises à jour que les clients sont autorisés à rechercher et à installer. Pour chaque type, vous pouvez spécifier que les clients recherchent et installent la dernière mise à jour. Vous pouvez également spécifier une version d'une mise à jour que les clients installent s'ils n'exécutent pas cette version. Vous ne pouvez pas appliquer cette politique à des emplacements spécifiques d'un groupe. Vous pouvez seulement appliquer cette politique au niveau du groupe. Configuration d'une politique de paramètres LiveUpdate Quand vous ajoutez et appliquez une politique de paramètres LiveUpdate, vous devez envisager la fréquence à laquelle vous voulez que les ordinateurs client recherchent des mises à jour. Le paramètre par défaut est toutes les 4 heures. Vous devez également connaître l'emplacement à consulter par vos ordinateurs client pour la recherche et la récupération des mises à jour. Généralement, il est souhaitable que les ordinateurs client recherchent et récupèrent des mises à jour à partir de Symantec Endpoint Protection Manager. Après avoir créé votre politique, vous pouvez l'attribuer à un ou plusieurs groupes et emplacements. Remarque : Un paramètre avancée permet aux utilisateurs de démarrer manuellement LiveUpdate à partir de leurs ordinateurs client et ce paramètre est désactivé par défaut. Si vous activez ce paramètre, les utilisateurs peuvent démarrer LiveUpdate et télécharger les dernières définitions de virus, les mises à jour de composants et les mises à jour potentielles des produits. Si le paramètre avancé de politique pour Télécharger les mises à jour de produit avec LiveUpdate est activé, les mises à jour de produit qu'elles téléchargent sont des versions et des correctifs de maintenance pour le logiciel client Symantec. Selon la taille de votre population d'utilisateurs, il se peut que vous ne vouliez pas permettre aux utilisateurs de télécharger tout le contenu sans test préalable. En outre, des conflits peuvent se produire si deux sessions de LiveUpdate s'exécutent simultanément sur des ordinateurs client. Une pratique d'excellence consiste à laisser ce paramètre désactivé. 65 66 Configuration de votre produit après installation Configuration d'une politique de paramètres LiveUpdate Pour configurer une politique de paramètres LiveUpdate 1 Dans la console, cliquez sur Politiques. 2 Dans le volet Afficher les politiques, cliquez sur LiveUpdate. 3 Dans le volet Tâches de l'onglet Paramètres LiveUpdate, cliquez sur Ajouter une politique de paramètres LiveUpdate. 4 Dans le volet Présentation, dans la zone Nom de politique, tapez un nom pour la politique. 5 Sous Politique LiveUpdate, cliquez sur Paramètres du serveur. 6 Dans le volet Paramètres du serveur, sous Serveur LiveUpdate interne ou externe, cochez et activez au moins une source à partir de laquelle vous voulez récupérer des mises à jour. La plupart des organisations doivent utiliser le serveur de gestion par défaut. 7 Si vous avez coché Utiliser un serveur LiveUpdate, sous Politique LiveUpdate, cliquez sur Planifier. 8 Dans le volet Planification, acceptez ou modifiez les options de planification. 9 Si vous avez coché Utiliser un serveur LiveUpdate, sous Politique LiveUpdate, cliquez sur Paramètres avancés. 10 Décidez si vous voulez garder ou modifier les paramètres par défaut. Généralement, il n'est pas souhaitable que les utilisateurs modifient les paramètres de mise à jour. Cependant, vous pouvez souhaiter leur permettre de lancer manuellement une session LiveUpdate si vous ne prenez pas en charge des centaines ou des milliers de clients. 11 Quand vous avez configuré votre politique, cliquez sur OK. 12 Dans la boîte de dialogue Assigner la politique, effectuez l'une des opérations suivantes : ■ Cliquez sur Oui pour enregistrer et attribuer la politique à un groupe ou l'emplacement d'un groupe. ■ Cliquez sur Non pour enregistrer la politique seulement. 13 Si vous avez cliqué sur Oui, dans la boîte de dialogue Assigner la politique LiveUpdate, vérifiez les groupes et les emplacements auxquels la politique doit être attribuée, puis cliquez sur Assigner. Si vous ne pouvez pas sélectionner un groupe imbriqué, ce groupe hérite des politiques de son groupe parent, comme défini dans l'onglet Politiques des ordinateurs et des utilisateurs. Configuration de votre produit après installation Configuration d'une politique de contenu LiveUpdate Configuration d'une politique de contenu LiveUpdate Par défaut, tous les clients Symantec Endpoint Protection d'un groupe reçoivent les dernières versions de tout le contenu et de toutes les mises à jour du produit. Si un groupe de clients obtient des mises à jour via un serveur de gestion, les clients ne reçoivent que les mises à jour que le serveur est configuré pour télécharger. Si la politique de contenu LiveUpdate autorise toutes les mises à jour mais si le serveur de gestion n'est pas configuré pour télécharger toutes les mises à jour, les clients reçoivent uniquement ce que le serveur télécharge. Si un groupe est configuré pour obtenir des mises à jour d'un serveur LiveUpdate, les clients de ce groupe reçoivent toutes les mises à jour autorisées dans la politique de contenu LiveUpdate. Si la politique de contenu LiveUpdate spécifie une révision spécifique pour une mise à jour, les clients ne reçoivent jamais les révisions de cette mise à jour particulière tant que le paramètre d'une révision spécifique n'est pas remplacé par la dernière révision disponible. Les serveurs LiveUpdate ne comprennent pas la fonctionnalité de version nommée. Les versions nommées vous permettent d'exercer un contrôle plus stricte sur les mises à jour qui sont distribuées aux clients. Généralement, les environnements qui testent les dernières mises à jour avant de les distribuer aux clients utilisent la fonctionnalité de version nommée. Remarque : L'utilisation des révisions spécifiques fournit la fonctionnalité de restauration. Pour configurer une politique de contenu LiveUpdate 1 Dans la console, cliquez sur Politiques. 2 Dans le volet Afficher les politiques, cliquez sur LiveUpdate. 3 Dans l'onglet Contenu LiveUpdate, cliquez sur Ajouter une politique de contenu LiveUpdate. 4 Dans le volet Présentation, dans la zone Nom de politique, tapez un nom pour la politique. 5 Dans le volet Contenu LiveUpdate, cliquez sur Définitions de sécurité. 6 Dans le volet Définitions de sécurité, sélectionnez les mises à jour à télécharger et à installer et désélectionnez les mises à jour à ne pas autoriser. 7 Pour chaque mise à jour, faites une des opérations suivantes : ■ Cochez Utiliser le dernier disponible ■ Cochez Sélectionner une révision 67 68 Configuration de votre produit après installation Configuration d'une politique de contenu LiveUpdate 8 9 Pour continuer, effectuez l'une des opérations suivantes : ■ Si vous n'avez pas coché Sélectionner une révision pour un type de mise à jour, cliquez sur OK, puis passez à l'étape 11. ■ Si vous avez cochez Sélectionner une révision pour un type de mise à jour, cliquez sur Modifier, puis passez à l'étape suivante. Dans la boîte de dialogue Sélectionnez une révision, dans la colonne Révision, sélectionnez la révision à utiliser puis cliquez sur OK. 10 Dans la fenêtre Politique de contenu LiveUpdate, cliquez sur OK. 11 Dans la boîte de dialogue Assigner la politique, cliquez sur Oui. Vous pouvez aussi annuler cette procédure et attribuer la politique ultérieurement. 12 Dans la boîte de dialogue Assigner la politique de contenu LiveUpdate, activez un ou plusieurs groupes auxquels cette politique doit être attribuée, puis cliquez sur Assigner. Chapitre 4 Création de politiques Ce chapitre traite des sujets suivants : ■ A propos des politiques ■ Evaluation des politiques ■ Configuration et test d'une politique antivirus et antispyware ■ Configuration et test d'une politique de pare-feu ■ Configuration et test d'une bibliothèque IPS personnalisée ■ Configuration et test d'une politique de contrôle des applications et des périphériques A propos des politiques Vous pouvez utiliser différents types de politiques de sécurité pour la gestion de la sécurité du réseau. De nombreuses politiques sont créées automatiquement lors de l'installation. Vous pouvez utiliser ces politiques par défaut ou les personnaliser en fonction de votre environnement spécifique. Le Tableau 4-1 liste les différents types de politiques. Il signale également si une politique par défaut est créée lors de l'installation initiale et comprend une description de chaque type de politique. 70 Création de politiques A propos des politiques Tableau 4-1 Politiques Symantec Endpoint Protection Manager Nom de la politique Politique par défaut Description Antivirus et protection contre les Oui logiciels espions Définit les paramètres d'analyse antivirus et antispyware ainsi que le mode de traitement des processus détectés. Pare-feu Oui Définit les règles de pare-feu qui autorisent et bloquent les transmissions et indique les paramètres pour le filtrage intelligent du trafic, pour le trafic et pour l'authentification point à point. Prévention d'intrusion Oui Définit les exceptions aux signatures de prévention d'intrusion et spécifie les paramètres de prévention d'intrusion, comme l'intervention active. Intégrité d'hôte Oui Permet de définir, de restaurer et d'appliquer les mesures de sécurité des clients afin de protéger les réseaux et les données d'entreprise. Contrôle d'application et de périphérique Oui Protège les ressources système des applications et gère les périphériques pouvant être joints aux ordinateurs. LiveUpdate Oui Indique les ordinateurs que les clients doivent contacter ainsi que la fréquence qu'ils doivent observer pour rechercher des mises à jour. Exceptions centralisées Non Spécifie les exceptions aux fonctions particulières de politique que vous souhaitez appliquer. Les tâches suivantes peuvent être exécutées sur l'ensemble des politiques : Création de politiques Evaluation des politiques ■ Ajouter Si vous ajoutez ou modifiez des politiques partagées dans la page Politiques, vous devez également attribuer les politiques à un groupe ou emplacement. Autrement ces politiques ne prennent pas effet. ■ Modifier ■ Supprimer ■ Attribuer ■ Remplacer ■ Copier et coller ■ Importer et exporter Vous pouvez retirer toute type de politique, à l'exception de la politique antivirus et antispyware et de la politique de paramètres LiveUpdate. Evaluation des politiques Tableau 4-2 liste les principaux types de politiques à évaluer après l'installation initiale du serveur de gestion. Tableau 4-2 Procédure d'évaluation des politiques Pour Description effectuer cette étape Voir la section Etape 1 : Se reporter à "Configuration et test d'une politique antivirus et antispyware" à la page 75. Créez et testez une politique antivirus et antispyware. Vous pouvez définir les paramètres d'analyse antivirus et antispyware ainsi que le mode de traitement des processus détectés. Etape 2 : Créez et testez une politique de pare-feu. Vous pouvez définir les règles de pare-feu qui autorisent ou bloquent les transmissions et indiquer les paramètres pour le filtrage intelligent du trafic, pour le trafic et pour l'authentification point à point. Se reporter à "Configuration et test d'une politique de pare-feu" à la page 95. 71 72 Création de politiques Evaluation des politiques Pour Description effectuer cette étape Voir la section Etape 3 : Se reporter à "Configuration et test d'une politique de contrôle des applications et des périphériques" à la page 109. Créez et testez une politique de contrôle des applications et des périphériques. Vous pouvez protéger les ressources système des applications et gérer les périphériques pouvant se connecter aux ordinateurs. Etape 4 : Créez et testez une bibliothèque personnalisée du système de prévention d'intrusion (IPS). Se reporter à "Configuration et test d'une bibliothèque IPS personnalisée" à la page 99. Vous pouvez créer des signatures basées sur paquet qui détectent les attaques de la pile TCP/IP. Les signatures basées sur paquet examinent un paquet unique correspondant à une règle. Etape 5 : Créez et testez une politique d'intégrité de l'hôte. Vous pouvez évaluer si un ordinateur est correctement protégé et conforme avant de permettre sa connexion au réseau d'entreprise. Se reporter à "Configuration et test d'une politique d'intégrité de l'hôte" à la page 131. Pour évaluer une politique, il convient de la créer et de la tester sur l'ordinateur client. Tableau 4-3 Procédure de création et de test des politiques Pour Description effectuer cette étape Voir la section Etape 1 : Ajoutez une nouvelle politique. Toutes les nouvelles politiques incluent les paramètres par défaut. Se reporter à "Ajout d'une politique partagée." à la page 73. Etape 2 : Après avoir configuré la politique, affectez-la à un groupe ou à un emplacement. Se reporter à "Affectation d'une politique partagée" à la page 74. Création de politiques Evaluation des politiques Pour Description effectuer cette étape Voir la section Etape 3 : Se reporter à "Mise à jour manuelle du fichier de politiques" à la page 74. Pour tester la politique, sur l'ordinateur client, vérifiez que le client dispose de la politique mise à jour. Vous pouvez aussi mettre à jour la politique manuellement. Se reporter à "Vérification de la mise à jour des politiques" à la page 75. Ajout d'une politique partagée. Vous ajoutez typiquement une politique partagée dans la page Politiques au lieu de la page Clients. Les emplacements, comme les groupes, peuvent partager la même politique. Vous devez affecter la politique partagée après l'avoir ajoutée. Vous pouvez ajouter une politique non partagée depuis la page Clients. Pour ajouter une politique partagée dans la page Politiques 1 Dans la console, cliquez sur Politiques. 2 Sous Afficher les politiques, sélectionnez un type de politique. 3 Sous Tâches, cliquez sur Ajouter une politique type de politique. 4 Dans la page type de politique Politique, dans le volet Présentation, tapez le nom et la description de la politique. 5 Sinon l'option n'est pas déjà cochée, cochez Activer cette politique. 6 Dans le volet gauche, sélectionnez l'une des vues suivantes : Affichage sous forme d'arborescence Toutes les politiques qui ont été attribuées à des groupes et des emplacements sont représentées comme des icones. Affichage sous forme de liste Toutes les politiques qui ont été attribuées à des groupes et des emplacements sont représentées dans une liste. 7 Pour configurer la politique, sous Afficher les politiques, cliquez sur un type de politique tel que Protection antivirus et antispyware. 8 Quand vous avez terminé de configurer la politique, cliquez sur OK. 9 Dans la boîte de dialogue Assigner la politique, effectuez l'une des opérations suivantes : ■ Pour affecter la politique à un groupe ou un emplacement maintenant, cliquez sur Oui, puis passez à l'étape 10. 73 74 Création de politiques Evaluation des politiques ■ Pour affecter la politique à un groupe ou un emplacement plus tard, cliquez sur Non. Se reporter à "Affectation d'une politique partagée" à la page 74. Vous devez affecter la politique à un groupe ou à un emplacement pour que les ordinateurs client la reçoivent. 10 Dans la boîte de dialogue Assigner la politique 'type de politique', cochez les groupes et les emplacements auxquels la politique doit être appliquée. 11 Cliquez sur Assigner. 12 Pour confirmer, cliquez sur Oui. Affectation d'une politique partagée Après avoir créé une politique partagée dans la page Politiques, vous devez l'affecter à un ou plusieurs groupes et emplacements. Les politiques non affectées ne sont pas téléchargées vers les ordinateurs client des groupes et des emplacements. Si vous n'affectez pas la politique lorsque vous l'ajoutez, vous pouvez l'affecter à des groupes et des emplacements plus tard. Vous pouvez également affecter une politique à un groupe ou un emplacement différent. Pour affecter une politique partagée 1 Créez une politique partagée. Se reporter à "Ajout d'une politique partagée." à la page 73. 2 Dans la page Politiques, sous Afficher les politiques, cliquez sur le type de politique à affecter. 3 Dans le volet Politiques type de politique, sélectionnez la politique à assigner. 4 Dans la page Politiques, sous Tâches, cliquez sur Assigner la politique. 5 Dans la boîte de dialogue Assigner type de politiquela politique, cochez les groupes et les emplacements auxquels doit s'appliquer la politique. 6 Cliquez sur Assigner. 7 Cliquez sur Oui pour confirmer que vous voulez affecter la politique. Mise à jour manuelle du fichier de politiques Les paramètres qui contrôlent la protection sur le client sont enregistrés sur l'ordinateur dans un fichier de politique. Le fichier de politiques met à jour les paramètres pour la protection antivirus et antispyware, la protection contre les menaces réseau, la protection proactive contre les menaces et Network Access Control. Normalement, ce fichier de politique est mis à jour de façon automatique. Création de politiques Configuration et test d'une politique antivirus et antispyware Vous pouvez toutefois mettre le fichier de politiques à jour manuellement si vous ne voulez pas attendre la mise à jour. Remarque : Vous pouvez afficher le journal système pour vérifier que l'opération a mis à jour la politique avec succès. Pour mettre le fichier de politiques à jour manuellement 1 Dans la zone de notification Windows, cliquez avec le bouton droit de la souris sur l'icône client. 2 Dans le menu contextuel, cliquez sur Mettre à jour la politique. Vérification de la mise à jour des politiques Lorsque vous modifiez ou affectez une politique, vérifiez si vos clients reçoivent bien la politique mise à jour. Pour vérifier la mise à jour d'une politique depuis Symantec Endpoint Protection Manager 1 Sur la console, cliquez sur Contrôles, puis sur Journaux. 2 Dans la liste Type de journal, cliquez sur Système. 3 Dans la liste Contenu du journal, cliquez sur Activité client-serveur. 4 Cliquez sur Afficher le journal. Pour chaque client, une entrée affiche le téléchargement d'une politique. Pour vérifier que les ordinateurs client ont obtenu des politiques mises à jour 1 Sur l'ordinateur client, dans la fenêtre principale de Symantec Endpoint Protection, cliquez sur Afficher les journaux. 2 A côté de Gestion des clients, cliquez sur Afficher les journaux, puis cliquez sur Journal système. Une entrée s'affiche pour la mise à jour de la politique, contenant le numéro de série. Configuration et test d'une politique antivirus et antispyware Les politiques antivirus et antispyware Symantec Endpoint Protection permettent d'appliquer la technologie antivirus et antispyware à votre réseau. 75 76 Création de politiques Configuration et test d'une politique antivirus et antispyware Bien que les analyses proactives des menaces TruScan soient configurées en tant qu'élément de votre politique antivirus et antispyware, elles n'entrent pas dans le cadre de cette explication. Certaines informations sur le contexte sont toutefois fournies. Tableau 4-4 Procédure de configuration et de test d'une politique antivirus et antispyware Pour Description effectuer cette étape Voir la section Etape 1 : Décidez sur quelles politiques Se reporter à "A propos des antivirus et antispyware par défaut politiques antivirus et antispyware vous souhaitez baser votre sécurité préconfigurées" à la page 78. antivirus et antispyware. Etape 2 : Configurez une analyse planifiée et Se reporter à "Ajouter des analyses ajoutez-la à la politique antivirus et planifiées à une politique antivirus antispyware par défaut sélectionnée. et antispyware" à la page 79. Etape 3 : Modifiez l'action pour un risque de Se reporter à "Configurer des actions sécurité de la politique antivirus et pour les virus connus et les antispyware par défaut sélectionnée. détections de risques de sécurité" à la page 81. Etape 4 : Configurez une notification Se reporter à "A propos des messages d'utilisateur pour des ordinateurs de notification sur les ordinateurs client dans la politique antivirus et infectés" à la page 82. antispyware par défaut sélectionnée. Se reporter à "Personnaliser et afficher des notifications sur les ordinateurs infectés" à la page 83. Etape 5 : Affectez la politique à un groupe. Etape 6 : Vérifiez si la politique est mise à jour Se reporter à "Vérification de la mise sur les clients. à jour des politiques" à la page 75. Etape 7 : Testez si la politique antivirus et antispyware fonctionne. Se reporter à "Affectation d'une politique partagée" à la page 74. Se reporter à "Test du fonctionnement de la politique antivirus et antispyware" à la page 85. Création de politiques Configuration et test d'une politique antivirus et antispyware Pour Description effectuer cette étape Voir la section Etape 8 : Se reporter à "A propos des analyses proactives des menaces TruScan" à la page 85. Informez-vous sur l'analyse proactive des menaces TruScan. Se reporter à "A propos de l'utilisation des paramètres par défaut de Symantec" à la page 86. Se reporter à "A propos des processus détectés par les analyses proactives des menaces TruScan" à la page 87. Se reporter à "A propos de la gestion des faux positifs détectés par les analyses proactives des menaces TruScan" à la page 89. Se reporter à "A propos de les processus que les analyses proactives des menaces TruScan ignorent" à la page 91. Se reporter à "Comprendre les détections proactives des menaces TruScan" à la page 92. A propos des politiques antivirus et antispyware Une politique antivirus et antispyware inclut les types suivants d'options : ■ Analyses Auto-Protect ■ Analyses définies par l'administrateur (planifiées et à la demande) ■ Analyses proactives des menaces TruScan ■ Options de quarantaine ■ Options de transmission ■ Paramètres divers Lors de l'installation de Symantec Endpoint Protection, plusieurs politiques antivirus et antispyware apparaissent dans la liste des politiques de la console. Vous pouvez modifier l'une des politiques préconfigurées ou vous pouvez créer de nouvelles politiques. 77 78 Création de politiques Configuration et test d'une politique antivirus et antispyware Remarque : Les politiques antivirus et antispyware incluent la configuration pour des analyses proactives des menaces TruScan. A propos des politiques antivirus et antispyware préconfigurées Les politiques antivirus et antispyware préconfigurées suivantes sont disponibles : ■ Politique antivirus et antispyware ■ Politique antivirus et antispyware – Haute sécurité ■ Politique antivirus et antispyware – Hautes performances La politique haute sécurité est la plus rigoureuse de toutes les politiques antivirus et antispyware préconfigurées. Vous devez garder à l'esprit qu'elle peut affecter les performances d'autres applications. La politique hautes performances fournit de meilleures performances que la politique haute sécurité, mais elle ne fournit pas les mêmes dispositifs de protection. Pour détecter les menaces, elle se fonde principalement sur Auto-Protect pour le système de fichiers pour analyser les fichiers dont les extensions sont sélectionnées. La politique antivirus et antispyware par défaut contient les paramètres importants suivants : ■ Auto-Protect pour le système de fichiers est chargé au démarrage de l'ordinateur et activé pour l'ensemble des fichiers. ■ Internet Email, Microsoft Outlook et Lotus Notes Auto-Protect sont activés pour tous les fichiers. ■ L'analyse réseau Auto-Protect pour le système de fichiers est activée. ■ Les analyses proactives des menaces TruScan sont activées et sont exécutées toutes les heures. ■ ActiveScan n'est pas exécuté automatiquement lorsque de nouvelles définitions arrivent. ■ Une analyse planifiée s'exécute une fois par semaine, avec l'optimisation d'analyse définie sur Meilleures performances d'application. La politique hautes performances contient les paramètres importants suivants : ■ Auto-Protect pour le système de fichiers est chargé quand Symantec Endpoint Protection démarre et est activé pour les fichiers dont les extensions sont sélectionnées. ■ L'analyse réseau Auto-Protect pour le système de fichiers est désactivée. Création de politiques Configuration et test d'une politique antivirus et antispyware ■ Le courrier électronique Internet, Microsoft Outlook et Auto-Protect pour Lotus Notes sont désactivés. ■ Les analyses proactives des menaces sont activées et s'exécutent une fois toutes les six heures. ■ ActiveScan n'est pas exécuté automatiquement lorsque de nouvelles définitions arrivent. ■ Une analyse planifiée s'exécute une fois par mois, avec l'optimisation d'analyse définie sur Meilleures performances d'application. La politique haute sécurité contient les paramètres importants suivants : ■ Auto-Protect pour le système de fichiers est chargé au démarrage de l'ordinateur et activé pour l'ensemble des fichiers. ■ Les fonctions Auto-Protect pour la messagerie Internet, pour Microsoft Outlook et pour Lotus Notes sont activées pour l'ensemble des fichiers. ■ L'analyse réseau Auto-Protect pour le système de fichiers est activée. ■ Les analyses proactives des menaces sont activées et s'exécutent toutes les heures, ainsi qu'à chaque démarrage d'un nouveau processus. ■ ActiveScan s'exécute automatiquement quand de nouvelles définitions arrivent. ■ Une analyse planifiée s'exécute une fois par semaine, avec l'optimisation d'analyse définie pour être équilibrée. Ajouter des analyses planifiées à une politique antivirus et antispyware Vous configurez des analyses planifiées en tant qu'élément d'une politique antivirus et antispyware. Vous pouvez enregistrer vos paramètres d'analyse planifiée comme modèle. Vous pouvez utiliser n'importe quelle analyse que vous enregistrez comme modèle en tant que base pour une politique antivirus et antispyware différente. Les modèles d'analyse permettent de faciliter la configuration de plusieurs politiques antivirus et antispyware. Un modèle d'analyse planifiée est inclus par défaut dans la politique. L'analyse planifiée par défaut analyse tous les fichiers et répertoires. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilisées dans cette procédure. Pour ajouter une analyse planifiée à une politique antivirus et antispyware 1 Dans la page de la politique antivirus et de protection contre les logiciels espions, cliquez sur Analyses définies par l'administrateur. 2 Dans l'onglet Analyses, sous Analyses planifiées, cliquez sur Ajouter. 79 80 Création de politiques Configuration et test d'une politique antivirus et antispyware 3 Dans la boîte de dialogue Ajouter une analyse planifiée, cliquez sur Créer une analyse planifiée. 4 Cliquez sur OK. 5 Dans la boîte de dialogue Ajouter une analyse planifiée, dans l'onglet Détails de l'analyse, tapez un nom et une description pour cette analyse planifiée. 6 Cliquez sur Analyse rapide, Analyse complète ou Analyse personnalisée. 7 Si vous avez sélectionné Personnalisée, sous Analyse, vous pouvez spécifier les répertoires à analyser. 8 Sous Types de fichier, cliquez sur Analyser tous les fichiers ou Analyser les extensions sélectionnées uniquement. 9 Sous Améliorer l'analyse en vérifiant, cochez ou désactivez la case Mémoire, Emplacementsd'infectionscourants ou Emplacementsderisquesdesécurité et de virus connus. 10 Cliquez sur Options d'analyse avancées. 11 Définissez les options pour les fichiers compressés, la migration de stockage ou l'optimisation des performances. 12 Cliquez sur OK pour enregistrer les options d'analyse avancées de cette analyse. 13 Dans l'onglet Planification, sous Planification d'analyse, définissez la fréquence et l'heure auxquelles l'analyse doit s'exécuter. 14 Dans l'onglet Actions, définissez les options. Se reporter à "Configurer des actions pour les virus connus et les détections de risques de sécurité" à la page 81. Vous pouvez également définir des options de résolution pour l'analyse. 15 Dans l'onglet Notifications, définissez les options. Se reporter à "A propos des messages de notification sur les ordinateurs infectés" à la page 82. 16 Pour enregistrer l'analyse sous la forme d'un modèle, cochez Enregistrer une copie sous la forme d'un modèle d'analyse planifiée. 17 Cliquez sur OK. Pour ajouter une analyse planifiée d'un modèle 1 Dans la page de la politique antivirus et de protection contre les logiciels espions, cliquez sur Analyses définies par l'administrateur. 2 Dans l'onglet Analyses, sous Analyses planifiées, cliquez sur Ajouter. Création de politiques Configuration et test d'une politique antivirus et antispyware 3 Dans la boîte de dialogue Ajouter une analyse planifiée, cliquez sur Créer une analyse planifiée à partir d'un modèle. 4 Sélectionnez le modèle d'analyse que vous voulez utiliser pour cette politique. 5 Cliquez sur OK. Configurer des actions pour les virus connus et les détections de risques de sécurité Les actions permettent de spécifier la réponse des clients lorsqu'une analyse antivirus et antispyware détecte un virus ou un risque de sécurité connu. Ces actions s'appliquent aux analyses Auto-Protect et définies par l'administrateur. Vous configurez séparément les actions pour les analyses proactives des menaces. Se reporter à "A propos des analyses proactives des menaces TruScan" à la page 85. Les actions vous permettent de définir comment le logiciel client réagit quand il détecte un virus connu ou un risque de sécurité. Vous pouvez attribuer une première action et, au cas où la première action ne serait pas possible, une deuxième action. Le client Symantec Endpoint Protection utilise ces actions quand il découvre un virus ou un risque de sécurité tel qu'un logiciel publicitaire ou espion. Les types de virus et de risques de sécurité sont répertoriés dans l'arborescence. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilisées dans les procédures. Remarque : Pour les risques de sécurité, utilisez l'action de suppression avec prudence. Dans certains cas, la suppression d'un risque de sécurité peut empêcher les applications de fonctionner correctement. Avertissement : Si vous configurez le logiciel client pour supprimer les fichiers affectés par le risque de sécurité, il ne peut pas restaurer les fichiers. Pour sauvegarder les fichiers affectés par les risques de sécurité, configurez le logiciel client pour les mettre en quarantaine. 81 82 Création de politiques Configuration et test d'une politique antivirus et antispyware Pour configurer des actions pour les détections de virus connus et de risques de sécurité 1 Dans l'onglet Actions, sous Détection, sélectionnez un type de virus ou de risque de sécurité. Par défaut, chaque sous-catégorie de risque de sécurité est automatiquement configurée pour utiliser les actions définies pour la catégorie entière de risques de sécurité. 2 Pour configurer une instance spécifique d'une catégorie de risques de sécurité pour utiliser différentes actions, cochez Remplacer les actions configurées pour les risques de sécurité, puis définissez les actions pour cette catégorie uniquement. 3 Sous Opérations pour, sélectionnez les premières et deuxièmes mesures que le logiciel client prend quand il détecte cette catégorie de virus ou de risque de sécurité. Vous pouvez verrouiller des actions de sorte que les utilisateurs ne puissent pas modifier l'action sur les ordinateurs client qui utilisent cette politique. Pour les risques de sécurité, soyez prudents lors de l'utilisation de l'action de suppression. Dans certains cas, la suppression d'un risque de sécurité peut empêcher le fonctionnement normal des applications. 4 Répétez l'étape 3 pour chaque catégorie pour laquelle vous voulez définir des actions (virus et risques de sécurité). 5 Si vous avec terminé la configuration de cette politique, cliquez sur OK. A propos des messages de notification sur les ordinateurs infectés Vous pouvez activer un message de notification personnalisé sur les ordinateurs infectés quand une analyse définie par l'administrateur ou Auto-Protect trouve un virus ou un risque de sécurité. Ces notifications peuvent alerter les utilisateurs pour qu'ils passent en revue leur activité récente sur l'ordinateur client. Par exemple, un utilisateur pourrait télécharger une application ou afficher une page Web aboutissant à une infection par un logiciel espion. Remarque : La langue du système d'exploitation sur lequel vous exécutez le client peut ne pas savoir interpréter certains caractères des noms de virus. Si le système d'exploitation ne peut pas interpréter les caractères, ceux-ci apparaissent comme des points d'interrogation dans les notifications. Par exemple, certains noms de virus Unicode peuvent contenir des caractères à deux octets. Sur les ordinateurs qui exécutent le client sur un système d'exploitation anglais, ces caractères apparaissent comme des points d'interrogation. Création de politiques Configuration et test d'une politique antivirus et antispyware Pour les analyses de messagerie Auto-Protect, vous pouvez également configurer les options suivantes : ■ Ajouter des avertissements dans les messages électroniques infectés ■ Envoyer un avertissement aux expéditeurs d'un message infecté ■ Avertir les utilisateurs de messages infectés. Les notifications des résultats d'analyse proactive des menaces sont configurés séparément. Personnaliser et afficher des notifications sur les ordinateurs infectés Vous pouvez concevoir un message personnalisé qui doit apparaître sur les postes infectés lorsqu'un virus ou un risque de sécurité est détecté. Vous pouvez taper directement dans la zone de message pour ajouter ou modifier le texte. Quand vous exécutez une analyse distante, vous pouvez informer l'utilisateur d'un problème en affichant un message sur l'écran de l'ordinateur infecté. Vous pouvez personnaliser le message d'avertissement en incluant des informations telles que le nom du risque, le nom du fichier infecté et l'état du risque. Un message d'avertissement pourrait ressembler à l'exemple suivant : Type d'analyse : Analyse planifiée Evénement : Risque détecté NomRisqueSécurité: Stoned-C Fichier : C:\Autoexec.bat Emplacement : C: Ordinateur : ACCTG-2 Utilisateur : JSmith Action effectuée : Nettoyé Tableau 4-5 décrit les champs de variables disponibles pour les notifications. Tableau 4-5 Champ Variables de message de notification Description NomRisqueSécurité Nom du virus ou du risque de sécurité détecté. ActionEffectuée Action effectuée en réponse à la détection du virus ou du risque de sécurité. Il peut s'agir de la première ou de la seconde action configurée. 83 84 Création de politiques Configuration et test d'une politique antivirus et antispyware Champ Description Etat Etat du fichier : Infecté, Non Infecté ou Supprimé. Cette variable de message n'est pas utilisée par défaut. Pour afficher cette information, ajoutez manuellement cette variable au message. Nomfichier Nom du fichier infecté par le virus ou le risque de sécurité. CheminNomfichier Chemin d'accès complet et nom du fichier ayant été infecté par le virus ou le risque de sécurité. Emplacement Lecteur de l'ordinateur sur lequel le virus ou le risque de sécurité a été détecté. Ordinateur Nom de l'ordinateur sur lequel le virus ou le risque de sécurité a été détecté. Utilisateur Nom de l'utilisateur qui était connecté lorsque le virus ou le risque de sécurité a été détecté. Evénement Type d'événement tel que "Risque détecté". ConsignéPar Type d'analyse qui a détecté le virus ou le risque de sécurité. DateTrouvé Date à laquelle le virus ou le risque de sécurité a été détecté. NomStockage Zone affectée de l'application (par exemple Auto-Protect pour le système de fichiers ou Auto-Protect pour messagerie Lotus Notes). DescriptionAction Description complète des actions effectuées en réponse à la détection du virus ou du risque de sécurité. Pour afficher des messages de notification sur les ordinateurs infectés 1 2 Sur la page Politique antivirus et antispyware, sélectionnez l'une des options suivantes : ■ Analyses définies par l'administrateur ■ Auto-Protect pour le système de fichiers ■ Auto-Protect pour messagerie Internet ■ Auto-Protect pour Microsoft Outlook ■ Auto-Protect pour Lotus Notes Si vous avez sélectionné Analyses définies par l'administrateur, dans l'onglet Analyses, cliquez sur Ajouter ou sur Edition. Création de politiques Configuration et test d'une politique antivirus et antispyware 3 Dans l'onglet Notifications, cochez la case Afficher un message de notification sur l'ordinateur infecté et modifiez le corps du message de notification. 4 Cliquez sur OK. Test du fonctionnement de la politique antivirus et antispyware Pour vérifier le bon fonctionnement de la politique antivirus et antispyware, vous pouvez utiliser le fichier eicar.com comme virus d'essai. Il s'agit d'un fichier texte élaboré par l'Institut européen pour la recherche antivirus informatique (EICAR). Il offre un moyen simple et sûr de tester la plupart des logiciels antivirus. Vous pouvez l'utiliser pour vérifier le fonctionnement de la partie antivirus du client. Pour tester la politique antivirus et antispyware 1 Sur l'ordinateur client, téléchargez le fichier d'essai antivirus du site Web EICAR. Ce fichier est disponible à l'URL suivante : www.eicar.org 2 Téléchargez et exécutez le fichier d'essai eicar.com. Une notification s'affiche pour indiquer la détection d'un risque. 3 Dans la console Symantec Endpoint Protection Manager, sur la page Contrôles, cliquez sur Journaux. 4 Dans l'onglet Journaux, dans la liste déroulante Type de journal, cliquez sur Risque, puis cliquez sur Afficher le journal. L'événement de détection de virus s'affiche sur la page Journaux de risque. A propos des analyses proactives des menaces TruScan Les analyses proactives des menaces TruScan représentent un degré de protection supplémentaire pour votre ordinateur. L'analyse proactive des menaces complète vos logiciels existants de protection contre les virus et les logiciels espions, de prévention d'intrusion et de protection par pare-feu. Remarque : Analyses proactives des menaces TruScan est un autre nom pour l'analyse de menace proactive pouvant apparaître dans l'interface utilisateur. Sa signification reste identique. Les analyses d'antivirus et de protection contre les logiciels espions se fondent la plupart du temps sur des signatures pour détecter des menaces connues. Les analyses proactives des menaces utilisent des technologies heuristiques pour détecter des menaces inconnues. Les analyses de processus heuristiques analysent le comportement d'une application ou d'un processus. L'analyse détermine si le 85 86 Création de politiques Configuration et test d'une politique antivirus et antispyware processus présente les caractéristiques de menaces telles que les chevaux de Troie, les vers ou les enregistreurs de frappe. Ce type de protection est parfois désigné sous le nom de la protection contre des attaques "zero day". Remarque : Auto-Protect utilise également un type d'heuristique appelé Bloodhound pour détecter le comportement suspect dans des fichiers. Les analyses proactives des menaces détectent le comportement suspect dans des processus actifs. Les paramètres concernant les analyses proactives des menaces sont ajoutés en tant qu'élément d'une politique antivirus et antispyware. Un grand nombre de paramètres peuvent être verrouillés de sorte que les utilisateurs sur des ordinateurs client ne puissent pas les modifier. Vous pouvez configurer les paramètres suivants : ■ Quels types de menaces analyser ■ Combien de fois exécuter des analyses proactives des menaces ■ Si les notifications doivent apparaître sur l'ordinateur client quand une détection proactive des menaces se produit Les analyses proactives des menaces TruScan sont activées quand les paramètres Rechercher les chevaux de Troie et les vers ou Rechercher les enregistreurs de frappe sont activés. Si l'un de ces deux paramètres est désactivé, la page Etat du client Symantec Endpoint Protection affiche la protection proactive contre les menaces comme étant désactivée. L'analyse proactive des menaces est activée par défaut. Remarque : Puisque les analyses proactives des menaces analysent les anomalies de comportement des applications et des processus, elles peuvent affecter les performances de votre ordinateur. A propos de l'utilisation des paramètres par défaut de Symantec Vous pouvez décider comment vous voulez gérer les détections des menaces proactives. Vous pouvez utiliser les paramètres par défaut de Symantec ou spécifier le niveau de sensibilité et l'action de détection. Si vous choisissez de permettre à Symantec de gérer les détections, le logiciel client détermine l'action et le niveau de sensibilité. Le moteur d'analyse qui s'exécute sur l'ordinateur client détermine les paramètres par défaut. Si vous choisissez de gérer les détections, vous pouvez définir une action de détection unique et un niveau spécifique de sensibilité. Création de politiques Configuration et test d'une politique antivirus et antispyware Pour réduire les détections faussement positives, Symantec recommande d'utiliser initialement les paramètres par défaut gérés par Symantec. Après un certain temps, vous pouvez observer le nombre de faux positifs que les clients détectent. Si ce nombre est faible, vous pouvez ajuster progressivement les paramètres d'analyse proactive des menaces. Par exemple, pour la détection des chevaux de Troie et des vers, vous pouvez placer le curseur de sensibilité légèrement plus haut que le paramètre par défaut. Vous pouvez observer les résultats des analyses proactives des menaces exécutées avec la nouvelle configuration. Se reporter à "Comprendre les détections proactives des menaces TruScan" à la page 92. Se reporter à "Spécification des actions et des niveaux de sensibilité pour détecter des chevaux de Troie, des vers et des enregistreurs de frappe" à la page 94. A propos des processus détectés par les analyses proactives des menaces TruScan Les analyses proactives des menaces détectent les processus qui se comportent comme les chevaux de Troie, les vers ou les enregistreurs de frappe. Les processus affichent généralement un type de comportement qu'une menace peut exploiter (par exemple, ouvrir un port sur l'ordinateur d'un utilisateur). Vous pouvez configurer des paramètres pour certains types de détections proactives des menaces. Vous pouvez activer ou désactiver la détection des processus qui se comportent comme des chevaux de Troie, des vers ou des enregistreurs de frappe. Par exemple, vous pouvez détecter les processus qui se comportent comme des chevaux de Troie et des vers, mais pas les processus qui se comportent comme des applications d'enregistreur de frappe. Symantec maintient à jour une liste des applications commerciales qui pourraient être utilisées à des fins malveillantes. Cette liste inclut les applications commerciales qui enregistrent les frappes de clavier de l'utilisateur. Elle inclut également les applications qui contrôlent un ordinateur client à distance. Vous souhaiterez peut-être savoir si ces types d'applications sont installés sur des ordinateurs client. Par défaut, les analyses proactives des menaces détectent ces applications et consignent l'événement. Vous pouvez spécifier différentes actions de correction. Vous pouvez configurer le type d'action de résolution que le client effectue quand il détecte les types particuliers d'applications commerciales. La détection inclut les applications commerciales qui contrôlent ou enregistrent les frappes de clavier d'un utilisateur ou contrôlent l'ordinateur d'un utilisateur à distance. Si une analyse détecte un enregistreur de frappe commercial ou un programme commercial de téléintervention, le client utilise l'action qui est définie dans la politique. Vous pouvez également permettre à l'utilisateur de contrôler les actions. 87 88 Création de politiques Configuration et test d'une politique antivirus et antispyware Les analyses proactives des menaces détectent également les processus qui se comportent comme des logiciels publicitaires et des logiciels espions. Vous ne pouvez pas configurer la manière dont les analyses proactives des menaces traitent ces types de détection. Si les analyses proactives des menaces détectent des logiciels publicitaires ou des logiciels espions que vous voulez autoriser sur vos ordinateurs client, créez une exception centralisée. Tableau 4-6 décrit les processus détectés par les analyses proactives des menaces. Tableau 4-6 Processus détectés par les analyses proactives des menaces TruScan Type de processus Description Chevaux de Troie et vers Processus qui affichent les caractéristiques des chevaux de Troie ou des vers. Les analyses proactives des menaces utilisent des technologies heuristiques pour rechercher les processus qui se comportent comme des chevaux de Troie ou des vers. Ces processus peuvent être ou ne pas être des menaces. Enregistreurs de frappe Processus qui montrent les caractéristiques des enregistreurs de frappe. Les analyses proactives des menaces détectent les enregistreurs de frappe commerciaux, mais elles détectent également les processus inconnus qui montrent un comportement d'enregistreur de frappe. Les enregistreurs de frappes sont des applications d'enregistrement de frappes qui capturent les frappes de l'utilisateur. Ces applications peuvent être utilisées pour recueillir des informations sur les mots de passe et autres informations essentielles. Elles peuvent être ou ne pas être des menaces. Applications commerciales Applications commerciales connues qui pourraient être utilisées à des fins malveillantes. Les analyses proactives des menaces détectent plusieurs types différents d'applications commerciales. Vous pouvez configurer des actions pour deux types : enregistreurs de frappe et programmes de contrôle à distance. Logiciels publicitaires et Processus qui affichent les caractéristiques des logiciels logiciels espions publicitaires et des logiciels espions Les analyses proactives des menaces utilisent des technologies heuristiques pour détecter les processus inconnus qui se comportent comme des logiciels publicitaires et des logiciels espions. Ces processus peuvent être ou ne pas être des risques. Création de politiques Configuration et test d'une politique antivirus et antispyware Vous pouvez configurer le logiciel client pour qu'il envoie ou non à Symantec des informations sur les détections proactives des menaces. Incluez ce paramètre en tant qu'élément d'une politique antivirus et antispyware. A propos de la gestion des faux positifs détectés par les analyses proactives des menaces TruScan Les analyses proactives des menaces TruScan renvoient parfois des faux positifs. Ces analyses recherchent les applications et les processus présentant un comportement suspect plutôt que les virus ou les risques de sécurité connus. De par leur nature, ces analyses signalent généralement les éléments que vous ne penseriez pas à détecter. Pour la détection des chevaux de Troie, des vers ou des enregistreurs de frappe, vous pouvez choisir d'utiliser l'action et les niveaux de sensibilité par défaut que Symantec spécifie. Ou vous pouvez choisir de gérer les actions de détection et les niveaux de sensibilité vous-même. Si vous gérez les paramètres vous-même, vous risquez de détecter de nombreux faux positifs. Si vous voulez gérer les actions et les niveaux de sensibilité, soyez conscient de l'impact résultant sur votre réseau de sécurité. Remarque : Si vous modifiez le niveau de sensibilité, le nombre total de détections peut changer. Si vous modifiez le niveau de sensibilité, il se peut que vous réduisiez le nombre de faux positifs que les analyses proactives des menaces produisent. Si vous modifiez les niveaux de sensibilité, Symantec vous recommande de le faire graduellement et de vérifier les résultats. Si une analyse proactive des menaces détecte un processus que vous déterminez comme ne constituant pas un problème, vous pouvez créer une exception. Grâce à une exception, les analyses futures ne signalent pas le processus. Les utilisateurs sur les ordinateurs client peut également créer des exceptions. En cas de conflit entre une exception définie par l'utilisateur et une exception définie par l'administrateur, l'exception définie par l'administrateur l'emporte. Tableau 4-7 présente les tâches de création d'un plan de gestion des faux positifs. 89 90 Création de politiques Configuration et test d'une politique antivirus et antispyware Tableau 4-7 Plan de gestion des faux positifs Tâche Description Assurez-vous que Symantec gère les chevaux de Troie, les vers et les détections d'enregistreur de frappe. Les politiques antivirus et antispyware incluent les paramètres gérés par Symantec. Ce paramètre est activé par défaut. Quand ce paramètre est activé, Symantec détermine les actions effectuées lors des détections de ces types de processus. Symantec détermine également le niveau de sensibilité utilisé pour les analyser. Quand Symantec gère les détections, les analyses proactives des menaces effectuent une action basée sur la manière dont l'analyse interprète la détection. L'analyse effectue l'une des actions suivantes au niveau de la détection : Mise en quarantaine L'analyse effectue cette action pour les détections constituant probablement des menaces réelles. ■ Journal uniquement L'analyse effectue cette action pour les détections constituant probablement des faux positifs. ■ Remarque : Si vous choisissez de gérer l'action de détection, choisissez une action. Cette action est toujours effectuée pour ce type de détection. Si vous définissez l'action sur Quarantaine, le client met en quarantaine toutes les détections de ce type. Assurez-vous que le contenu de Symantec est actuel. Vérifiez que les ordinateurs qui produisent des faux positifs comportent le dernier contenu de Symantec. Le dernier contenu comprend des données sur les processus déterminés par Symantec comme faux positifs connus. Ces faux positifs connus sont exclus de la détection de l'analyse proactive des menaces. Vous pouvez exécuter un rapport via la console pour savoir quels ordinateurs exécutent la dernière version du contenu. Vous pouvez mettre à jour le contenu par l'une des actions suivantes : Appliquez une politique LiveUpdate. Se reporter à "A propos des politiques LiveUpdate" à la page 64. ■ Exécutez la commande Update pour les ordinateurs sélectionnés répertoriés dans l'onglet Clients. ■ Exécutez la commande Update sur les ordinateurs sélectionnés répertoriés dans le fichier journal d'état ou des risques de l'ordinateur. ■ Création de politiques Configuration et test d'une politique antivirus et antispyware Tâche Description Assurez-vous que les soumissions sont activées. Les paramètres de soumission sont inclus en tant qu'élément de la politique antivirus et antispyware. Créez des exceptions pour les faux positifs que vous découvrez. Vous pouvez créer une politique qui inclut des exceptions pour les faux positifs que vous découvrez. Par exemple, vous pouvez exécuter un processus ou une application spécifique sur votre réseau de sécurité. Vous savez que le processus peut s'exécuter en toute sécurité dans votre environnement. Si les analyses proactives des menaces TruScan détectent le processus, vous pouvez créer une exception de sorte que les analyses futures ne le détectent pas. Assurez-vous que les ordinateurs client sont configurés pour envoyer automatiquement à Symantec Security Response des informations sur les processus détectés par les analyses proactives des menaces. Ce paramètre est activé par défaut. A propos de les processus que les analyses proactives des menaces TruScan ignorent Les analyses proactives des menaces TruScan autorisent certains processus et dispensent ces processus des analyses. Symantec gère cette liste de processus. Symantec remplit généralement cette liste avec les applications qui sont des faux positifs connus. Les ordinateurs client de votre réseau de sécurité reçoivent périodiquement des mises à jour de cette liste quand ils téléchargent un nouveau contenu. Les ordinateurs client peuvent télécharger le contenu de différentes manières. Le serveur de gestion peut envoyer le contenu mis à jour. Vous ou vos utilisateurs peut également exécuter LiveUpdate sur les ordinateurs client. Les analyses proactives des menaces TruScan ignorent certains processus. Ces processus peuvent inclure les applications pour lesquelles Symantec n'a pas assez d'informations ou les applications qui chargent d'autres modules. Vous pouvez également spécifier que les analyses proactives des menaces TruScan ignorent certains processus. Vous spécifiez que les analyses proactives des menaces ignorent certains processus en créant une exception centralisée. Les utilisateurs des ordinateurs client peuvent également créer des exceptions pour des analyses proactives des menaces. Si une exception définie par l'administrateur est en conflit à une exception définie par l'utilisateur, les analyses proactives des menaces appliquent seulement l'exception définie par l'administrateur. L'analyse ignore l'exception de l'utilisateur. 91 92 Création de politiques Configuration et test d'une politique antivirus et antispyware Comprendre les détections proactives des menaces TruScan Quand une analyse proactive des menaces TruScan détecte des processus qu'elle signale comme potentiellement malveillants, certains de ces processus sont généralement des processus légitimes. Certaines détections ne fournissent pas assez d'informations pour pouvoir être classées comme menaces ou faux positifs ; ces processus sont considérés comme "inconnus." Une analyse proactive des menaces examine le comportement des processus actifs pendant qu'elle s'exécute. Le moteur d'analyse recherche des comportements tels que l'ouverture de ports ou la capture de frappes de clavier. Si un processus implique une quantité suffisante de ces types de comportements, l'analyse signale ce processus comme constituant une menace potentielle. L'analyse ne signale pas le processus s'il n'affiche aucun comportement suspect pendant l'analyse. Par défaut, les analyses proactives des menaces détectent les processus qui se comportent comme des chevaux de Troie, des vers ou des enregistreurs de frappe. Vous pouvez activer ou désactiver ces types de détection dans une politique antivirus et antispyware. Remarque : Les paramètres d'analyse proactive des menaces n'ont aucun effet sur les analyses antivirus et antispyware, qui utilisent des signatures pour détecter les risques connus. Le client détecte d'abord les risques connus. Le client utilise les paramètres par défaut de Symantec pour déterminer quelle mesure prendre au niveau des éléments détectés. Si le moteur d'analyse détermine que l'élément n'a besoin d'aucune correction, le client consigne la détection. Si le moteur d'analyse détermine que l'élément doit être corrigé, le client met en quarantaine l'élément. Remarque : Les options pour l'analyse des chevaux de Troie et des vers et pour l'analyse des enregistreurs de frappe ne sont actuellement pas prises en charge sur les systèmes d'exploitation de serveur Windows. Vous pouvez modifier les options dans la politique antivirus et antispyware des clients qui s'exécutent sur des systèmes d'exploitation de serveur, mais les analyses ne s'exécutent pas. Dans l'interface utilisateur client des systèmes d'exploitation de serveur, les options d'analyse ne sont pas disponibles. Si vous activez les options d'analyse dans la politique, elles sont sélectionnées et non disponibles. Les paramètres par défaut de Symantec sont également utilisés pour déterminer la sensibilité de l'analyse proactive des menaces. Quand le niveau de sensibilité est plus élevé, plus de processus sont signalés. Quand le niveau de sensibilité est plus bas, moins de processus sont signalés. Le niveau de sensibilité n'indique pas Création de politiques Configuration et test d'une politique antivirus et antispyware le niveau de certitude relatif à la détection. De même, il n'affecte pas le taux de détections de faux positifs. Plus le niveau de sensibilité est élevé, plus l'analyse détecte des faux positifs et des vrais positifs. Utilisez les paramètres par défaut de Symantec pour mieux réduire le nombre de faux positifs que vous détectez. Vous pouvez désactiver les paramètres par défaut de Symantec. Quand vous désactivez les paramètres par défaut de Symantec, vous pouvez configurer les actions et le niveau de sensibilité pour la détection des chevaux de Troie, des vers ou des enregistreurs de frappe. Dans l'interface utilisateur client, les paramètres par défaut qui apparaissent ne reflètent pas les paramètres par défaut de Symantec. Ils reflètent les paramètres par défaut utilisés quand vous gérez manuellement les détections. Pour les applications commerciales, vous pouvez spécifier la mesure que le client prend quand une analyse proactive des menaces fait une détection. Vous pouvez spécifier des actions distinctes pour la détection d'un enregistreur de frappe commercial et la détection d'une application commerciale de téléintervention. Remarque : Les utilisateurs sur des ordinateurs client peuvent modifier les paramètres d'analyse proactive des menaces si les paramètres sont déverrouillés dans la politique antivirus et antispyware. Sur l'ordinateur client, les paramètres d'analyse proactive des menaces TruScan apparaissent sous Protection proactive contre les menaces. Spécifier les types de processus que les analyses proactives des menaces détectent Par défaut, les analyses proactives des menaces TruScan détectent les chevaux de Troie, les vers et les enregistreurs de frappe. Vous pouvez désactiver la détection des chevaux de Troie et des vers ou des enregistreurs de frappe. Vous pouvez cliquer sur Aide pour plus d'informations sur les options de type de processus de l'analyse. Pour spécifier les types de processus que les analyses proactives des menaces TruScan détectent 1 Dans la page Politique antivirus et antispyware, cliquez sur Analyses proactives des menaces TruScan. 2 Dans l'onglet Détails de l'analyse, sous Analyse, cochez ou désélectionnez Rechercher les chevaux de Troie et les vers et Rechercher les enregistreurs de frappe. 3 Cliquez sur OK. 93 94 Création de politiques Configuration et test d'une politique antivirus et antispyware Spécification des actions et des niveaux de sensibilité pour détecter des chevaux de Troie, des vers et des enregistreurs de frappe Les analyses proactives des menaces TruScan diffèrent des analyses antivirus et antispyware. Les analyses d'antivirus et de protection contre les logiciels espions recherchent des risques connus. Les analyses proactives des menaces recherchent des risques inconnus basés sur le comportement de certains types de processus ou d'applications. Les analyses détectent n'importe quel comportement semblable au comportement des chevaux de Troie, des vers ou des enregistreurs de frappe. Quand vous permettez à Symantec de gérer les détections, l'action de détection est Mettre en quarantaine pour les vrais positifs et Consigner suelement pour les faux positifs. Quand vous gérez les détections vous-même, vous pouvez configurer l'action de détection. Cette action est toujours utilisée quand les analyses proactives des menaces effectuent une détection. Par exemple, vous pourriez spécifier que le client de Symantec Endpoint Protection consigne la détection des processus qui se comportent comme des chevaux de Troie et des vers. Quand le client effectue une détection, il ne met pas le processus en quarantaine, il consigne seulement l'événement. Vous pouvez configurer le niveau de sensibilité. Les analyses proactives des menaces effectuent plus de détections (vrais positifs et faux positifs) quand vous définissez le niveau de sensibilité plus haut. Remarque : Si vous activez ces paramètres, vous risquez de détecter beaucoup de faux positifs. Vous devez connaître les types de processus que vous exécutez dans votre réseau de sécurité. Vous pouvez cliquer sur Aide pour plus d'informations sur les options d'action et de sensibilité de l'analyse. Pour spécifier l'action et la sensibilité des chevaux de Troie, des vers ou des enregistreurs de frappe 1 Dans la page Politique antivirus et antispyware, cliquez sur Analyses proactives des menaces TruScan. 2 Dans l'onglet Détails de l'analyse, sous Analyse, assurez-vous d'activer les options Rechercher les chevaux de Troie et les vers et Rechercher les enregistreurs de frappe. 3 Pour l'un ou l'autre type de risque, désactivez la case Utiliser les paramètres par défaut définis par Symantec. Création de politiques Configuration et test d'une politique de pare-feu 4 Pour l'un ou l'autre type de risque, définissez l'action sur Journal, Supprimer ou Mise en quarantaine. Des notifications sont envoyées si une action est définie sur Mettre en quarantaine ou sur Terminer, et si vous avez activé les notifications. (Les notifications sont activées par défaut.) Utilisez l'action Terminer avec prudence. Dans certains cas, vous pouvez entraîner la perte de fonctionnalité d'une application. 5 6 Effectuez l'une des opérations suivantes : ■ Déplacez la case de défilement vers la gauche ou la droite ou augmenter, respectivement la sensibilité. ■ Cliquez sur Basse ou Elevée. Cliquez sur OK. Spécifier des actions pour les détections d'application commerciale Vous pouvez modifier l'action effectuée quand une analyse proactive des menaces TruScan fait une détection. Si vous définissez l'action sur Ignorer, les analyses proactives des menaces ignorent les applications commerciales. Vous pouvez cliquer sur Aide pour obtenir plus d'informations sur les options utilisées dans les procédures. Pour spécifier des actions pour les détections d'application commerciale 1 Dans la page Politique antivirus et antispyware, cliquez sur Analyses proactives des menaces TruScan. 2 Dans l'onglet Détails de l'analyse, sous Application commerciale détectée, définissez l'opération à effectuer : Ignorer, Consigner, Arrêter ou Mettre en quarantaine. 3 Cliquez sur OK. Configuration et test d'une politique de pare-feu Les politiques de pare-feu permettent de configurer le pare-feu sur des ordinateurs client. Une politique de pare-feu permet les types de protection suivants pour des ordinateurs client : ■ Les règles de filtrage contrôlent comment le pare-feu protège les ordinateurs contre les applications et le trafic entrant malveillants. Le pare-feu vérifie automatiquement tous les paquets entrants et sortants avec ces règles. Le 95 96 Création de politiques Configuration et test d'une politique de pare-feu pare-feu autorise ou bloque alors les paquets selon les données spécifiées dans les règles. ■ Les filtres de trafic intelligents autorisent le trafic DHCP, DNS et WINS. ■ Les paramètres de trafic et de furtivité détectent et bloquent le trafic provenant de certains pilotes, protocoles ou d'autres sources. ■ L'authentification point à point empêche un ordinateur distant de se connecter à un ordinateur client tant que l'ordinateur client n'a pas authentifié cet ordinateur distant. L'authentification point à point applique la politique d'intégrité de l'hôte. Tableau 4-8 Procédure de configuration et de test d'une politique de pare-feu Pour Description effectuer cette étape Voir la section Etape 1 : Créez une politique de pare-feu pour Se reporter à "Création d'une autoriser ou bloquer une application. politique de pare-feu pour autoriser ou bloquer une application" à la page 97. Etape 2 : Affectez la politique à un groupe. Etape 3 : Vérifiez si la politique est mise à jour Se reporter à "Vérification de la mise sur les clients. à jour des politiques" à la page 75. Etape 4 : Testez si la politique de pare-feu fonctionne. Se reporter à "Affectation d'une politique partagée" à la page 74. Se reporter à "Test de la politique de pare-feu" à la page 99. A propos des règles de filtrage Les règles de filtrage contrôlent la manière dont le client protège l'ordinateur client du trafic entrant et sortant malveillant. Le pare-feu vérifie automatiquement tous les paquets entrants et sortants en fonction de ces règles. Le pare-feu autorise ou bloque alors les paquets en fonction des informations spécifiées dans les règles. Quand un ordinateur essaye de se connecter à un autre ordinateur, le pare-feu compare le type de connexion à sa liste de règles de filtrage. A propos des éléments d'une règle de filtrage Généralement une règle de pare-feu décrit les conditions dans lesquelles une connexion réseau peut être autorisée ou refusée. Vous utilisez les critères suivants pour définir une règle de pare-feu : Création de politiques Configuration et test d'une politique de pare-feu Déclencheurs Applications, hôtes, protocoles et cartes réseau Lorsque le pare-feu évalue la règle, tous les déclencheurs doivent être vrais pour qu'une correspondance soit positive. Si l'un des déclencheurs n'est pas vrai par rapport au paquet actuel, le pare-feu ne peut pas appliquer la règle. Vous pouvez combiner les définitions de déclencheur pour former des règles plus complexes, par exemple pour identifier un protocole particulier par rapport à une adresse de destination spécifique. Conditions Planification et état d'écran de veille Les paramètres conditionnels ne décrivent pas un aspect d'une connexion réseau. Ils déterminent l'état d'activité d'une règle. Vous pouvez définir une planification ou identifier un état d'écran de veille qui détermine quand une règle est considérée active ou inactive. Les paramètres conditionnels sont facultatifs et non significatifs s'ils ne sont pas définis. Le pare-feu n'évalue pas les règles inactives. Actions Autoriser ou bloquer et consigner ou ne pas consigner Les paramètres d'action spécifient quelles mesures le pare-feu prend quand il trouve une correspondance avec une règle. Si la règle correspond et est sélectionnée en réponse à un paquet reçu, le pare-feu exécute toutes les actions. Le pare-feu autorise ou bloque le paquet et consigne ou ne consigne pas le paquet. Si le pare-feu permet le trafic, il laisse le trafic spécifié par la règle accéder à votre réseau. Si le pare-feu bloque le trafic, il bloque le trafic spécifié par la règle de sorte qu'il n'accède pas au réseau. Une règle qui combine tous les critères pourrait permettre le trafic de l'adresse IP 192.58.74.0 sur le port distant 80 entre 9 heures et 17 heures chaque jour. Création d'une politique de pare-feu pour autoriser ou bloquer une application Vous pouvez créer une règle de politique de pare-feu pour autoriser ou bloquer une application spécifique sur un ordinateur client. Vous pouvez par exemple choisir d'autoriser ou de bloquer la connexion d'Internet Explorer aux ressources extérieures au pare-feu en ajoutant une règle à une politique de pare-feu. Vous pouvez également créer des règles permettant d'autoriser ou de bloquer des types spécifiques de trafic, de communications d'hôte ou de services réseau. Lors de la création d'une règle, elle est configurée par défaut pour autoriser l'application spécifiée. Après sa création, vous pouvez modifier la règle pour bloquer l'application. 97 98 Création de politiques Configuration et test d'une politique de pare-feu Remarque : Pour tester la règle créée dans cette procédure, Internet Explorer doit être installé sur l'ordinateur client. Pour créer une politique de pare-feu permettant d'autoriser ou de bloquer une application 1 Dans la console, cliquez sur Politiques. 2 Sur la page Politiques, sous Afficher les politiques, cliquez sur Pare-feu. 3 Sous Tâches, cliquez sur Ajouter une politique de pare-feu. 4 Spécifiez un nom et éventuellement une description pour la politique. 5 Vérifiez si la case Activer cette politique est cochée. 6 Dans la page Firewall Policy, cliquez sur Règles. 7 Dans l'onglet Règles, sous la liste Règles, cliquez sur Ajouter une règle. 8 Dans l'Assistant de règle de filtrage, cliquez sur Suivant. 9 Dans le volet Sélectionner un type de règle, cliquez sur Application, puis sur Suivant. 10 Dans le volet Spécifier les informations d'application, sélectionnez Définir une application, puis cliquez sur Suivant. 11 Dans le volet Définir une application, dans le champ Nom de fichier, tapez iexplore.exe. Vous pouvez également rechercher le fichier ou taper le chemin d'accès complet au fichier dans le champ. 12 Le cas échéant, entrez des valeurs pour les champs Description de fichier, Taille, Dernière modification et Signature de fichier. 13 Cliquez sur Suivant. 14 Cliquez sur Terminer pour fermer l'assistant. 15 Afin de configurer la règle pour bloquer Internet Explorer, sélectionnez la règle qui affiche iexplorer.exe dans la colonne Application. Il doit s'agir de la dernière ligne au-dessus de la ligne bleue dans le tableau. 16 Cliquez avec le bouton droit de la souris sur Autoriser dans la colonne Action, puis sélectionnez Bloquer. 17 Sur la page Règles, cliquez sur OK. 18 Affectez la politique à un groupe. Se reporter à "Affectation d'une politique partagée" à la page 74. Création de politiques Configuration et test d'une bibliothèque IPS personnalisée Test de la politique de pare-feu Pour tester la politique de pare-feu mise à jour sur l'ordinateur client, vous pouvez lancer Internet Explorer et essayer d'accéder au site Web Symantec à l'adresse http://www.symantec.fr. Vous devez pour cela disposer d'un ordinateur client pouvant se connecter aux sites Web en ligne. Si la règle de blocage concernant Internet Explorer à été correctement mise à jour sur le client, le navigateur essaye d'accéder à la page pendant plusieurs secondes, puis affiche un message indiquant que la page Web ou le serveur est introuvable. Pour vous assurer que la communication a été bloquée par la règle, vous pouvez désactiver la protection contre les menaces réseau sur le client. Dès lors que la protection est désactivée, ouvrez une nouvelle fenêtre Internet Explorer et tentez d'accéder au site Web de Symantec. Après le chargement du site Web, activez la protection contre les menaces réseau puis essayez de réactualiser la page Web. Après plusieurs secondes, le navigateur affiche de nouveau un message indiquant que la page ou le serveur est introuvable. Configuration et test d'une bibliothèque IPS personnalisée Une bibliothèque IPS personnalisée est une collection de signatures IPS personnalisées. Vous pouvez créer des signatures IPS personnalisées pour compléter ou remplacer les signatures IPS Symantec de la politique de prévention d'intrusion. Tableau 4-9 Procédure de configuration et de test d'une bibliothèque IPS personnalisée Pour Description effectuer cette étape Voir la section Etape 1 : Se reporter à "A propos des signatures IPS personnalisées" à la page 100. Informez-vous sur les signatures IPS personnalisées et l'écriture de la syntaxe correspondante pour des exemples de signatures IPS personnalisées. Les deux signatures détectent des tentatives de téléchargement de fichiers MP3 par un navigateur Web et un client FTP. Se reporter à "A propos de la création de signatures IPS personnalisées pour détecter une tentative de téléchargement de fichiers MP3" à la page 102. 99 100 Création de politiques Configuration et test d'une bibliothèque IPS personnalisée Pour Description effectuer cette étape Voir la section Etape 2 : Créez la bibliothèque IPS personnalisée et ajoutez une signature IPS personnalisée. Se reporter à "Création de signatures IPS personnalisées" à la page 104. Etape 3 : Affectez la politique à un groupe. Se reporter à "Affectation d'une politique partagée" à la page 74. Se reporter à "Attribution de multiples bibliothèques IPS personnalisées à un groupe" à la page 108. Etape 4 : Vérifiez si la politique est mise à jour Se reporter à "Vérification de la mise sur les clients. à jour des politiques" à la page 75. Etape 5 : Testez le fonctionnement de la signature IPS personnalisée. Se reporter à "Test de la signature IPS personnalisée" à la page 108. A propos des signatures IPS personnalisées Le client contient un moteur IPS supplémentaire qui prend en charge les signatures basées sur paquet. Tant le moteur basé sur flux que celui basé sur paquet détectent les signatures dans les données réseau qui attaquent la pile TCP/IP, les composants du système d'exploitation et la couche application. Cependant, les signatures basées sur paquet peuvent détecter des attaques dans la pile TCP/IP plus rapidement que les signatures basées sur flux. Le moteur basé sur paquet ne détecte pas les signatures couvrant plusieurs paquets. Le moteur IPS basé sur paquet est plus limité, car il ne bufferise pas les correspondances partielles et analyse seulement les résultats d'activation de paquets uniques. les signatures basées sur paquet examinent un paquet unique qui correspond à une règle. La règle est basée sur plusieurs critères, tels que le port, le protocole, l'adresse IP source ou destination, le nombre d'indicateurs TCP ou une application. Par exemple, une signature personnalisée peut contrôler les paquets de données reçus pour la chaîne "phf" dans GET / cgi-bin/phf? comme indicateur d'une attaque de programme CGI. Chaque paquet est évalué pour ce modèle spécifique. Si le paquet de trafic correspond à la règle, le client permet ou bloque le paquet et consigne éventuellement l'événement dans le journal des paquets. Une signature IPS personnalisée comprend les éléments suivants : ■ Nom descriptif Création de politiques Configuration et test d'une bibliothèque IPS personnalisée Le nom et la description apparaissent dans le journal de sécurité et éventuellement dans le journal des paquets. ■ Description facultative ■ Gravité Fournit un niveau de gravité pour l'événement dans le journal de sécurité si l'événement déclenche la signature. ■ Direction du trafic ■ Contenu Le contenu est la syntaxe. Utilisez la syntaxe standard suivante : rule type de protocole, [options de protocole,] [options de protocole IP,] msg, content... ■ rule type de protocole, [options de protocole,] [options de protocole IP,] = La description de trafic. ■ msg = La chaîne de texte qui apparaît dans le journal de sécurité. ■ content = La chaîne comparée au composant de corps du paquet pour une éventuelle correspondance. ■ Application facultative Vous pouvez éventuellement fournir le nom d'application qui déclenche la signature. Le moteur IPS peut alors comparer la signature aux seules applications spécifiées au lieu de toutes les applications. En fournissant le nom de l'application, vous pouvez également aider à réduire les faux positifs éventuellement générés par d'autres applications. ■ Action à effectuer lorsque l'événement déclenche la signature. Lorsqu'une signature est déclenchée, le trafic est autorisé ou bloqué et cette action est consignée dans le journal de sécurité. Lorsque le niveau de gravité est élevé, il est conseillé de bloquer le traffic. Autorisez le trafic si vous voulez seulement le contrôler. Vous pouvez éventuellement consigner l'événement dans le journal des paquets. Le journal des paquets contient un vidage mémoire de paquet de la transaction. Les signatures peut entraîner des faux positifs car ils sont souvent basés sur des expressions régulières et des correspondances de chaînes. Les signatures personnalisées utilisent les deux critères pour rechercher des chaînes en essayant de correspondre à un paquet. Le client n'inclut pas les signatures personnalisées par défaut. Vous créez des signatures IPS personnalisées. Se reporter à "Création de signatures IPS personnalisées" à la page 104. 101 102 Création de politiques Configuration et test d'une bibliothèque IPS personnalisée A propos de la création de signatures IPS personnalisées pour détecter une tentative de téléchargement de fichiers MP3 Vous pouvez créer des exemples de signatures IPS personnalisées permettant de détecter une tentative d'accés et de téléchargement de fichiers MP3 par un navigateur Web ou un client FTP. Pour détecter un fichier MP3 et bloquer son accès, vous devez écrire deux signatures. Une signature détecte le fichier MP3 par le service HTTP. La deuxième signature détecte le fichier MP3 par le service FTP. Le format des fichiers MP3 les rend difficiles à détecter dans le trafic réseau. Vous pouvez toutefois afficher les paquets TCP pour trouver les commandes et les protocoles utilisés pour récupérer les fichiers MP3. Vous pouvez alors utiliser ces données pour créer la syntaxe d'une signature IPS personnalisée. L'illustration suivante est une capture de paquet d'une requête HTTP GET pour un fichier MP3 : Au cours d'une session HTTP ou FTP, le serveur et client échangent des données. Ces données sont contenues dans les paquets TCP destinés au service compétent sur le serveur. Le service HTTP utilise le port 80 et le service de FTP utilise le port 21. Le corps des paquets TCP contient les données requises. Les paquets mis en surbrillance affichent la commande HTTP GET utilisée par les navigateurs Web pour le téléchargement de fichiers. Le client FTP utilise la commande FTP RETR pour télécharger des fichiers. La commande FTP est également utilisée pour récupérer plusieurs fichiers avec la commande MGET. Le nom de fichier et l'extension mp3 respective sont présents dans les deux requêtes. Les deux protocoles insèrent des caractères [CR][LF] pour indiquer la fin de la requête. Les signatures personnalisées doivent également contenir plusieurs paramètres, y compris une expression standard qui identifie les commandes spécifiques à bloquer. Les expressions standard sont des motifs de caractères à comparer au contenu du paquet. Les commandes à bloquer sont contenues dans ces paquets. Puisque vous ne connaissez pas le nom du fichier MP3, vous pouvez utiliser le Création de politiques Configuration et test d'une bibliothèque IPS personnalisée 103 caractère générique (*) pour indiquer le nombre inconnu de caractères entre la commande et le nom de fichier. La commande doit figurer en minuscules, mais la casse de l'extension de fichier peut varier. Utilisez la syntaxe standard pour écrire le contenu : rule type de protocole, [options de protocole,] [option de protocole IP ] msg, contenu... Le contenu de la signature HTTP contient la syntaxe suivante : rule tcp, dest=(80 443), tcp_flag&ack, saddr=$LOCALHOST, msg="MP3 GET détecté dans HTTP", regexpcontent="[Gg][Ee][Tt] .*[Mm][Pp]3 .*\x0d\x0a" Le contenu de la signature FTP contient la syntaxe suivante : rule tcp, dest=(21), tcp_flag&ack, saddr=$LOCALHOST, msg="MP3 GET détecté dans FTP", regexpcontent="[Rr][Ee][Tt][Rr] .*[Mm][Pp]3\x0d\x0a" Le Tableau 4-10 détaille les parties des signatures HTTP et FTP. Tableau 4-10 Syntaxe des signatures HTTP et FTP Utilisez la syntaxe suivante Pour effectuer la tâche suivante Pour la signature HTTP : Indique au moteur basé sur paquet quel trafic analyser. Ainsi, le moteur ne consacre pas de ressources système à l'analyse du trafic inutile. Plus les informations fournies sont détaillées, meilleures seront les performances du moteur basé sur paquets. rule tcp dest=(80,443) Pour la signature FTP : rule tcp dest=(21) Cet argument limite les ports de destination à 80 et 443 pour le service HTTP et à 21 pour le service FTP. tcp_flag&ack Réduit le nombre de faux positifs. saddr=$LOCALHOST Vérifie si la requête provient de l'hôte. Pour la signature HTTP : Affiche le nom de la signature lorsqu'elle est déclenchée. Le nom s'affiche dans le Journal de sécurité. Utilisez une chaîne descriptive pour pouvoir identifier la signature déclenchée dans le journal. msg="MP3 GET dans HTTP" Pour la signature FTP : msg="MP3 GET dans FTP" 104 Création de politiques Configuration et test d'une bibliothèque IPS personnalisée Utilisez la syntaxe suivante Pour effectuer la tâche suivante Pour la signature HTTP : Compare cette chaîne au corps des paquets TCP du trafic HTTP ou FTP. Pour réduire le nombre de faux positifs, utilisez cet argument avec prudence. regexpcontent="[Gg][Ee][Tt] .*[Mm][Pp]3 .*\x0d\x0a" Pour la signature FTP : La chaîne est comparée au texte ASCII du paquet TCP, qui est "GET [.*].mp3[CR][LF]" pour regexpcontent="[Rr][Ee][Tt][Rr] la signature HTTP et "RETR [.*].mp3[CR][LF]" .*[Mm][Pp]3\x0d\x0a" pour la signature FTP. La chaîne est écrite de sorte à ignorer la casse du texte. Création de signatures IPS personnalisées Vous pouvez enregistrer vos propres signatures pour identifier une intrusion spécifique et pour réduire la possibilité de signatures qui entraînent un faux positif. Plus vous ajoutez d'informations à une signature personnalisée, plus celle-ci est efficace. Quand vous créez une bibliothèque personnalisée, vous pouvez organiser des signatures en groupes pour les gérer plus facilement. Vous devez ajouter au moins un groupe de signatures à une bibliothèque personnalisée de signatures avant d'ajouter les signatures au groupe. Vous pouvez copier et coller des signatures entre les groupes et entre les bibliothèques. Avertissement : Vous devez être familiarisé avec les protocoles TCP, UDP ou ICMP pour développer des signatures de prévention d'intrusion. Une signature incorrectement formée peut corrompre la bibliothèque IPS personnalisée et endommager l'intégrité des clients. Pour créer des signatures IPS personnalisées, vous devez effectuer les étapes suivantes : ■ Créez une bibliothèque IPS personnalisée. ■ Ajoutez une signature. Pour créer une bibliothèque IPS personnalisée 1 Dans la console, cliquez sur Politiques et cliquez sur Prévention d'intrusion. 2 Sous Tâches, cliquez sur Ajouter des signatures de prévention d'intrusion personnalisée. Création de politiques Configuration et test d'une bibliothèque IPS personnalisée 3 Dans la boîte de dialogue Signatures personnalisées de prévention d'intrusion, tapez un nom et description facultative pour la bibliothèque. Le groupe NetBIOS Groupe est un groupe de signatures témoin avec une signature témoin. Vous pouvez modifier le groupe existant ou ajouter un nouveau groupe. 4 Pour ajouter un nouveau groupe, dans l'onglet Signatures, sous la liste Groupes de signatures, cliquez sur Ajouter. 5 Dans la boîte de dialogue Groupe de signatures de prévention d'intrusion, tapez un nom de groupe et une description facultative et cliquez sur OK. Le groupe est activé par défaut. Si le groupe de signatures est activé, toutes les signatures au sein du groupe sont activées automatiquement. Pour conserver le groupe pour référence mais le désactiver, supprimez la coche Activer ce groupe. 6 Ajoutez une signature personnalisée. Pour ajouter une signature personnalisée 1 Créez une bibliothèque IPS personnalisée. 2 Dans l'onglet Signatures, sous Signatures pour ce groupe, cliquez sur Ajouter. 3 Dans la boîte de dialogue Ajouter une signature, tapez un nom et une description facultative pour la signature. 4 Dans la liste déroulante Gravité, sélectionnez un niveau de gravité. Les événements qui correspondent aux conditions de signature sont consignés avec cette gravité. 5 Dans la liste déroulante Sens, spécifiez la direction du trafic que vous voulez que la signature vérifie. 105 106 Création de politiques Configuration et test d'une bibliothèque IPS personnalisée 6 Dans le champ Contenu, tapez la syntaxe de la signature. Par exemple, la signature HTTP inclut la syntaxe suivante : rule tcp, dest=(80,443), tcp_flag&ack, saddr=$LOCALHOST, msg="MP3 GET détecté dans HTTP", regexpcontent="[Gg][Ee][Tt] .*[Mm][Pp]3 .*\x0d\x0a" Pour plus d'informations sur la syntaxe, cliquez sur Aide. 7 Si vous voulez qu'une application déclenche la signature, cliquez sur Ajouter. 8 Dans la boîte de dialogue Ajouter une application, tapez le nom de fichier et une description facultative pour l'application. Par exemple, pour ajouter l'application Microsoft Internet Explorer, tapez iexplore ou iexplore.exe en tant que nom de fichier. Si vous ne spécifiez pas de nom de fichier, n'importe quelle application peut déclencher la signature. Création de politiques Configuration et test d'une bibliothèque IPS personnalisée 9 Cliquez sur OK. L'application ajoutée est activée par défaut. Si vous voulez désactiver l'application plus tard, décochez la case de la colonne Enabled (Activé). 10 Dans la zone de groupe Action, sélectionnez l'action que vous voulez que le client effectue quand la signature détecte l'événement : Bloquer Identifie et bloque les évènements ou les attaques et les enregistre dans le Journal de Sécurité. Autoriser Identifie et autorise les évènements ou les attaques et les enregistre dans le Journal de Sécurité. 11 Pour enregistrer l'événement ou l'attaque dans le journal des paquets, activez l'option Ecrire dans le journal de paquet. 12 Cliquez sur OK. La signature ajoutée est activée par défaut. Si vous voulez désactiver la signature plus tard, décochez la case de la colonne Enabled (Activé). 13 Pour ajouter des signatures supplémentaires au groupe de signatures, répétez les étapes 2 à 12. Par exemple, la signature FTP inclut la syntaxe suivante : rule tcp, dest=(21), tcp_flag&ack, saddr=$LOCALHOST, msg="MP3 GET détecté dans FTP", regexpcontent="[Rr][Ee][Tt][Rr] .*[Mm][Pp]3\x0d\x0a" Pour modifier ou supprimer une signature, sélectionnez-la et cliquez sur Modifier ou Supprimer. 14 Si vous avez terminé avec la configuration de cette bibliothèque, cliquez sur OK. 15 Si nécessaire, assignez les signatures IPS personnalisées à un groupe. Se reporter à "Affectation d'une politique partagée" à la page 74. Vous pouvez également assigner à un groupe plusieurs bibliothèques IPS personnalisées. Se reporter à "Attribution de multiples bibliothèques IPS personnalisées à un groupe" à la page 108. 107 108 Création de politiques Configuration et test d'une bibliothèque IPS personnalisée Attribution de multiples bibliothèques IPS personnalisées à un groupe Après avoir créé une bibliothèque IPS personnalisée, vous l'attribuez à un groupe plutôt qu'à un emplacement particulier. Vous pouvez ultérieurement attribuer au groupe des bibliothèques IPS personnalisées supplémentaires. Pour attribuer de multiples bibliothèques IPS personnalisées à un groupe 1 Dans la console, cliquez sur Clients. 2 Sous Afficher les clients, sélectionnez le groupe auquel vous souhaitez attribuer les signatures personnalisées. 3 Dans l'onglet Politiques, sous Politiques et paramètres indépendants de l'emplacement, cliquez sur Prévention d'intrusion personnalisée. 4 Dans la boîte de dialogue Prévention d'intrusion personnalisée pour nom de groupe, vérifiez la case à cocher de la colonne Activée de chaque bibliothèque IPS à attribuer à ce groupe. 5 Cliquez sur OK. Test de la signature IPS personnalisée Pour tester les signatures IPS personnalisées, vous pouvez effectuer les tâches suivantes, dans l'ordre : ■ Assurez-vous que la politique a été mise à jour sur l'ordinateur client. La prochaine fois que le client reçoit la politique, il applique les nouvelles signatures IPS. Se reporter à "Vérification de la mise à jour des politiques" à la page 75. ■ Essayez de télécharger un fichier MP3 sur l'ordinateur client. Pour tester les deux signatures, vous devez tester ce téléchargement par un client FTP et par un navigateur Web. Si le téléchargement échoue ou expire après de nombreuses tentatives, la signature IPS personnalisée est réussie. ■ Consultez les événements bloqués sur la console Symantec Endpoint Protection Manager. Vous pouvez afficher les événements enregistrés par le journal Attaques de la protection contre les menaces réseau dès lors que le client a bloqué le téléchargement du fichier MP3. Création de politiques Configuration et test d'une politique de contrôle des applications et des périphériques Pour essayer de télécharger le fichier MP3 sur l'ordinateur client 1 Sur l'ordinateur client, essayez de télécharger un fichier MP3 vers un client FTP. Le client peut être basé sur ligne de commande ou disposer d'une interface utilisateur graphique, puisque tous les clients connus utilisent la même commande RETR. La commande expire et le serveur distant réinitialise la connexion, qui déconnecte le client. 2 Ouvrez un navigateur Web tel qu'Internet Explorer et essayez de télécharger un fichier MP3. Le téléchargement ne devrait pas se produire. Le client enregistre ces événements dans journal de sécurité et le journal des paquets. Le client envoie alors les résultats au serveur de gestion quelques minutes plus tard. Pour afficher l'événement bloqué dans la console Symantec Endpoint Protection Manager 1 Sur la console, cliquez sur Contrôles, puis sur Journaux. 2 Dans l'onglet Journaux, dans la liste déroulante Type de journal, cliquez sur Protection contre les menaces réseau. 3 Dans la liste déroulante Contenu du journal, cliquez sur Attaques, puis sur Afficher les journaux. 4 Dans le volet Journaux de protection contre les menaces réseau, cliquez sur MP3 GET détecté dans HTTP ou MP3 GET détecté dans FTP, puis cliquez sur Détails. 5 Fermez la boîte de dialogue Informations détaillées sur l'événement de protection contre les menaces réseau. Configuration et test d'une politique de contrôle des applications et des périphériques Les politiques de contrôle des applications et des périphériques permettent de mettre en place un contrôle des applications et des périphériques sur des ordinateurs client. Une politique de contrôle des applications et des périphériques permet d'appliquer aux ordinateurs client les types de protection suivants : 109 110 Création de politiques Configuration et test d'une politique de contrôle des applications et des périphériques ■ Le contrôle des applications permet de surveiller les appels API Windows effectués sur les ordinateurs client et de contrôler l'accès aux fichiers, dossiers, clés de registre et processus des clients. Il protège les ressources système des applications. ■ Le contrôle des périphériques assure la gestion des périphériques pouvant se connecter aux ordinateurs. Tableau 4-11 Procédure de configuration et de test d'une politique de contrôle des applications et des périphériques Pour Description effectuer cette étape Voir la section Etape 1 : Activez les groupes de règles à Se reporter à "Créer un ensemble de utiliser dans la politique de contrôle règles par défaut de contrôle des des applications et des périphériques applications" à la page 110. par défaut. Etape 2 : Créez un nouveau groupe de règles de contrôle des applications et ajoutez-le à la politique de contrôle des applications et des périphériques par défaut. Se reporter à "Création d'un groupe de règles de contrôle de l'application et ajout d'une nouvelle règle au groupe" à la page 112. Etape 3 : Informez-vous sur le contrôle des périphériques. Se reporter à "A propos du contrôle des périphériques" à la page 120. Ajoutez un périphérique à la liste Périphériques matériels. Se reporter à "Ajout d'un périphérique à la liste Périphériques matériels" à la page 123. Personnalisez la partie contrôle des applications de la politique de Se reporter à "Configuration d'un contrôle des applications et des contrôle des périphériques pour une périphériques par défaut. politique de contrôle des applications et des périphériques" à la page 124. Etape 4 : Affectez la politique à un groupe. Se reporter à "Affectation d'une politique partagée" à la page 74. Etape 5 : Vérifiez si la politique est mise à jour Se reporter à "Vérification de la mise sur les clients. à jour des politiques" à la page 75. Créer un ensemble de règles par défaut de contrôle des applications La partie contrôle des applications d'une politique de contrôle des applications et des périphériques se compose des ensembles de règles de contrôle des applications. Chaque ensemble de règles de contrôle des applications se compose Création de politiques Configuration et test d'une politique de contrôle des applications et des périphériques d'une ou plusieurs règles. Des ensembles de règles par défaut de contrôle des applications sont installés lorsque vous installez Symantec Endpoint Protection Manager. Les ensembles de règles par défaut sont désactivés lors de l'installation. Remarque : Ne modifiez pas ces ensembles de règles de contrôle des applications par défaut. Si les groupes de règles et les contrôles par défaut ne répondent pas à vos exigences, vous pouvez créer des groupes de règles de contrôle des applications personnalisés. Si vous voulez utiliser les ensembles de règles par défaut d'une politique de contrôle des applications et des périphériques, vous devez les activer. Pour créer un ensemble de règles par défaut de contrôle des applications : 1 Dans la console, cliquez sur Politiques. 2 Sous Afficher les politiques, cliquez sur Contrôle des applications et des périphériques. 3 Dans le volet Politiques de contrôle des applications et des périphériques, cliquez sur la politique à laquelle vous voulez ajouter un groupe de règles par défaut de contrôle des applications. 4 Sous Tâches, cliquez sur Modifier la politique. 5 Dans le volet Politique de contrôle des applications et des périphériques, cliquez sur Contrôle des applications. 6 Pour examiner la configuration d'un ensemble de règles par défaut de contrôle des applications, cliquez sur le nom sous Groupe de règles, puis sur Modifier. Prenez soin de n'effectuer aucune modification. 7 Lorsque vous avez terminé la révision de la configuration des règles et des conditions, cliquez sur Annuler. 8 Cochez la case en regard de chaque ensemble de règles à activer. Par exemple, à côté du groupe de règles Bloquer l'écriture sur des lecteurs USB, sélectionnez la case à cocher dans la colonne Activée. 9 Cliquez sur OK. Pour tester le groupe de règles Bloquer l'écriture sur des lecteurs USB 1 Sur l'ordinateur client, connectez un lecteur USB. 2 Ouvrez l'Explorateur Windows et cliquez deux fois sur le lecteur USB. 111 112 Création de politiques Configuration et test d'une politique de contrôle des applications et des périphériques 3 Cliquez avec le bouton droit de la souris sur la fenêtre et cliquez sur Nouveau > Dossier. 4 Si le contrôle des applications est actif, unmessage d'erreur Impossible de créer le dossier s'affiche. Création d'un groupe de règles de contrôle de l'application et ajout d'une nouvelle règle au groupe Un nouveau groupe de règles d'application contient une ou plusieurs règles définies par l'administrateur. Chaque groupe de règles et chaque règle comportent des propriétés. Chaque règle peut également comporter une ou plusieurs conditions permettant de surveiller les applications et leur accès à des fichiers, dossiers, clés de registre et processus donnés. Vous pouvez créer des règles multiples et les ajouter à un groupe unique de règles de contrôle de l'application. Créez le nombre de règles et de groupes de règles nécessaires pour mettre en œuvre la protection souhaitée. Vous pouvez librement supprimer des règles dans la liste des règles et modifier leur position dans la hiérarchie des groupes de règles. Vous pouvez également activer et désactiver des groupes de règles ou des règles individuelles au sein d'un groupe. L'ordre dans lequel les règles sont répertoriées est important pour le fonctionnement du contrôle de l'application. Les règles de contrôle de l'application fonctionnent comme la plupart des règles de pare-feu réseau, dans le sens où elles font toutes les deux appel à la fonction de première correspondance de règle. S'il existe plusieurs règles pour lesquelles les conditions sont vraies, la règle supérieure est la seule qui est appliquée, sauf si l'action qui est configurée pour la règle est de continuer à traiter d'autres règles. Afin d'éviter toute conséquence inattendue, prenez en compte l'ordre des règles et leurs conditions lors de leur configuration. Envisagez le scénario suivant : supposez qu'un administrateur souhaite empêcher tous les utilisateurs de déplacer, copier et créer des fichiers sur des unités USB. L'administrateur dispose d'une règle avec une condition permettant l'accès en écriture à un fichier nommé Test.doc. L'administrateur ajoute une deuxième condition à cette règle existante pour bloquer l'ensemble des lecteurs USB. Dans cet exemple, les utilisateurs sont toujours en mesure de créer et de modifier un fichier Test.doc sur les lecteurs USB. Puisque, dans la règle, la condition Permettre l'accès en écriture à Test.doc vient avant la condition Bloquer l'accès en écriture aux lecteurs USB, cette dernière condition n'est pas traitée car la condition précédente dans la règle est vraie. Vous pouvez vérifier la structure des groupes de règles par défaut pour voir la façon dont ils sont conçus. Création de politiques Configuration et test d'une politique de contrôle des applications et des périphériques Avertissement : Seuls les administrateurs avancés peuvent créer des groupes de règles de contrôle de l'application. Les erreurs de configuration dans les groupes de règles utilisés dans une politique de contrôle et d'application peuvent désactiver un ordinateur ou un serveur. L'ordinateur client peut échouer ou sa communication avec Symantec Endpoint Protection Manager peut être bloquée. Vous pouvez ajouter et tester un groupe de règles comprenant plusieurs règles qui contrôlent une application sur l'ordinateur client. Les règles peuvent être ajoutées et testées une par une ou ajoutées simultanément et testées par la suite. Pour créer un groupe de règles et lui ajouter des règles 1 Créez une nouvelle politique de contrôle des applications et des périphériques. Se reporter à "Ajout d'une politique partagée." à la page 73. 2 Dans le volet contrôle des applications, cliquez sur Ajouter. 3 Dans la boîte de dialogue Ajouter un groupe de règles de contrôle des applications, désactivez l'option Activer la consignation si vous ne voulez pas consigner les événements correspondant à ce groupe de règles. La consignation est activée par défaut. 4 Dans la zone de texte Nom du groupe de règles, modifiez le nom par défaut du groupe de règles. Définissez par exemple le nom sur Groupe de règles de test du contrôle des applications. 5 Dans le champ Description, tapez une description. 6 Modifiez le nom par défaut de la règle dans la zone de texte Nom de règle, puis tapez une description de la règle. 7 Si vous ne souhaitez pas activer immédiatement cette nouvelle règle, désélectionnez Activer règle. 8 Pour ajouter une seconde règle, cliquez sur Ajouter, puis sur Ajouter une règle. 9 Ajoutez les règles suivantes : ■ Ajoutez une règle qui bloque le lancement du FTP depuis l'invite de commande. Se reporter à "Ajout et test d'une règle qui bloque le lancement d'un processus" à la page 115. ■ Ajoutez une règle ne permettant que d'afficher mais pas de modifier une clé de registre. 113 114 Création de politiques Configuration et test d'une politique de contrôle des applications et des périphériques Se reporter à "Ajout et test d'une règle qui bloque l'écriture dans le registre" à la page 115. ■ Ajoutez une règle ne permettant que d'afficher mais pas de modifier un fichier texte dans le Bloc-notes. Se reporter à "Ajout et test d'une règle de blocage de DLL" à la page 117. ■ Ajoutez une règle qui vous empêche d'ouvrir Microsoft WordPad. Se reporter à "Ajout et test d'une règle permettant de bloquer ou d'autoriser l'accès à un fichier" à la page 118. ■ Ajoutez une règle qui termine l'outil Process Explorer si l'outil essaie de terminer la Calculatrice. Se reporter à "Ajout et test d'une règle qui termine un processus" à la page 119. 10 Cliquez sur OK. Une fois le groupe de règles et la règle créés, vous devez définir les applications auxquelles la règle doit s'appliquer. Le cas échéant, vous pouvez également définir les applications auxquelles la règle ne doit pas s'appliquer. Vous pouvez ensuite ajouter des conditions à la règle et configurer les actions à effectuer lorsque les conditions sont remplies. Création de politiques Configuration et test d'une politique de contrôle des applications et des périphériques Ajout et test d'une règle qui bloque le lancement d'un processus Le client FTP est un mode de transfert de fichiers courant d'un serveur vers un ordinateur client. Pour empêcher des utilisateurs de transférer des fichiers, vous pouvez ajouter une règle qui bloque le lancement par l'utilisateur d'un client FTP depuis l'invite de commande. Pour ajouter une règle qui bloque le lancement d'un processus 1 Dans la boîte de dialogue Ajout d'un groupe de règles de contrôle d'application, dans la liste Règles, sélectionnez une règle et dans l'onglet Propriétés, dans la zone de texte Nom de règle, tapez ftp_bloqué_depuis_cmd. 2 A droite de l'option Appliquer cette règle aux processus suivants, cliquez sur Ajouter. 3 Dans la boîte de dialogue Ajouter une définition de processus, sous Nom du processus à faire correspondre, entrez cmd.exe, puis cliquez sur OK. 4 Dans la boîte de dialogue Ajouter un groupe de règles de contrôle des applications, sous la liste Règles, cliquez sur Ajouter une condition > Tentatives de lancement de processus. 5 Dans l'onglet Propriétés, dans la zone de texte Description, entrez pas de ftp depuis cmd. 6 A droite de l'option Appliquer cette règle aux processus suivants, cliquez sur Ajouter. 7 Dans la boîte de dialogue Ajouter une définition de processus, sous Nom du processus à faire correspondre, entrez ftp.exe, puis cliquez sur OK. 8 Dans la boîte de dialogue Ajouter un groupe de règles de contrôle des applications, dans l'onglet Actions, cliquez sur Bloquer l'accès puis sélectionnez les options Activer la consignation et Avertir l'utilisateur. 9 Sous Avertir l'utilisateur, tapez ftp est bloqué si lancé depuis cmd. Pour tester une règle qui bloque le lancement d'un processus 1 Sur l'ordinateur client, lancez l'invite de commande. 2 Dans la fenêtre d'invite de commande, tapez ftp et appuyez sur Entrée. Comme spécifié dans la règle, le client FTP ne s'ouvre pas. Ajout et test d'une règle qui bloque l'écriture dans le registre Vous pouvez protéger une clé de registre spécifique en bloquant l'accès ou la modification de clés ou de valeurs de registre par l'utilisateur. Vous pouvez 115 116 Création de politiques Configuration et test d'une politique de contrôle des applications et des périphériques permettre aux utilisateurs de consulter la clé de registre sans pouvoir la renommer ou la modifier. Pour tester la fonctionnalité : ■ Ajoutez une clé de registre d'essai. ■ Ajoutez une règle permettant la lecture mais pas l'écriture vers la clé de registre. ■ Essayez d'ajouter une nouvelle valeur à la clé de registre. Pour ajouter une clé de registre d'essai 1 Sur l'ordinateur client, ouvrez l'Editeur du registre en ouvrant une ligne de commande, puis en tapant regedit. 2 Dans l'Editeur du registre, développez HKEY_LOCAL_MACHINE\Software, puis créez une nouvelle clé de registre nommée test. Pour ajouter une règle qui bloque l'écriture dans le registre 1 Dans la boîte de dialogue Modifier un groupe de règles de contrôle des applications, sous la liste Règles, cliquez sur Ajouter > Ajouter une règle. 2 Dans l'onglet Propriétés, dans la zone de texte Nom des règles, saisissez HKLM_écriture_interdite_depuis_regedit. 3 A droite de l'option Appliquer cette règle aux processus suivants, cliquez sur Ajouter. 4 Dans la boîte de dialogue Ajouter une définition de processus, sous Nom du processus à faire correspondre, entrez regedit.exe, puis cliquez sur OK. 5 Dans la boîte de dialogue Modifier un groupe de règles de contrôle des applications, sous la liste Règles, cliquez sur Ajouter une condition > Tentatives d'accès au registre. 6 Dans l'onglet Propriétés, dans la zone de texte Description, entrez accès au registre. 7 A droite de l'option Appliquer cette règle aux processus suivants, cliquez sur Ajouter. 8 Dans la boîte de dialogue Ajouter une définition de clé de registre, dans la zone de texte Clé de registre, tapez HKEY_LOCAL_MACHINE\software\test puis cliquez sur OK. 9 Dans la boîte de dialogue Modifier un groupe de règles de contrôle des applications, dans l'onglet Actions, dans la zone de groupe Tentative de lecture, sélectionnez Autoriser l'accès, puis activez les options Activer la consignation et Avertir l'utilisateur. Création de politiques Configuration et test d'une politique de contrôle des applications et des périphériques 10 Sous Avertir l'utilisateur, tapez la lecture est autorisée. 11 Dans la zone de groupe Tentatives de création, de suppression ou d'écriture, cliquez sur Bloquer l'accès et sélectionnez les options Activer la consignation et Avertir l'utilisateur. 12 Sous Avertir l'utilisateur, tapez l'écriture est bloquée. Pour tester une règle qui bloque l'écriture dans le registre 1 Après avoir appliqué la politique, sur l'ordinateur client, dans l'Editeur du registre, développez HKEY_LOCAL_MACHINE\Software. 2 Cliquez sur la clé de registre créée précédemment, nommée test. 3 Cliquez avec le bouton droit de la souris sur la clé test, cliquez sur Nouveau, puis cliquez sur Valeur de chaîne. Vous ne devriez pas pouvoir ajouter une nouvelle valeur à la clé de registre test. Ajout et test d'une règle de blocage de DLL Il peut s'avérer nécessaire d'empêcher l'utilisateur d'ouvrir une application spécifique. Pour ce faire, vous pouvez bloquer une DLL nécessaire à l'exécution de l'application. Le blocage de la DLL peut être assuré grâce à une règle qui empêche son chargement. Dès lors, les utilisateurs ne peuvent lancer l'application. Par exemple, le fichier Msvcrt.dll contient le code de programme permettant d'exécuter différentes applications Windows telles que Microsoft WordPad. Si Msvcrt.dll est bloqué par une règle sur l'ordinateur client, il est impossible d'ouvrir Microsoft WordPad. Pour ajouter une règle qui bloque une DLL 1 Dans la boîte de dialogue Modifier un groupe de règles de contrôle des applications, sous la liste Règles, cliquez sur Ajouter > Ajouter une règle. 2 Dans l'onglet Propriétés, dans la zone de texte Nom des règles, tapez Bloquer l'ouverture de WordPad par l'utilisateur. 3 A droite de l'option Appliquer cette règle aux processus suivants, cliquez sur Ajouter. 4 Dans la boîte de dialogue Ajouter une définition de processus, sous Nom du processus à faire correspondre, entrez C:\Program Files\Windows NT\Accessories\wordpad.exe, puis cliquez sur OK. 5 Dans la boîte de dialogue Modifier un groupe de règles de contrôle des applications, sous la liste Règles, cliquez sur Ajouter une condition > Tentatives de chargement de DLL. 117 118 Création de politiques Configuration et test d'une politique de contrôle des applications et des périphériques 6 Dans l'onglet Propriétés, dans la zone de texte Description, entrez DLL lancée. 7 A droite de l'option Appliquer cette règle aux processus suivants, cliquez sur Ajouter. 8 Dans la boîte de dialogue Ajouter une définition de DLL, dans la zone de texte de la zone de groupe Nom de DLL pour la correspondance, entrez MSVCRT.dll, puis cliquez sur OK. 9 Dans la boîte de dialogue Modifier un groupe de règles de contrôle des applications, dans l'onglet Actions, cliquez sur Bloquer l'accès puis sélectionnez les options Activer la consignation et Avertir l'utilisateur. 10 Sous Activer l'utilisateur, entrez Ne devrait pas pouvoir lancer WordPad. Pour tester une règle qui bloque une DLL ◆ Sur l'ordinateur client, essayez d'ouvrir Microsoft WordPad. Ajout et test d'une règle permettant de bloquer ou d'autoriser l'accès à un fichier Il peut s'avérer nécessaire d'autoriser les utilisateurs à accéder à un fichier sans pouvoir le modifier. Par exemple, un fichier peut comprendre des données financières que les employés ne doivent que consulter mais pas modifier. Pour tester une règle qui donne un accès en lecture seule à un fichier, ajoutez une règle qui permet d'ouvrir un fichier texte avec le Bloc-notes mais ne permet pas de le modifier. Pour ajouter une règle qui autorise ou bloque l'accès à un fichier 1 Dans la boîte de dialogue Modifier un groupe de règles de contrôle des applications, sous la liste Règles, cliquez sur Ajouter > Ajouter une règle. 2 Dans l'onglet Propriétés, dans la zone de texte Nom des règles, tapez 1.txt sur c lecture autorisée écriture arrêt. 3 A droite de l'option Appliquer cette règle aux processus suivants, cliquez sur Ajouter. 4 Dans la boîte de dialogue Ajouter une définition de processus, sous Nom du processus à faire correspondre, entrez notepad.exe, puis cliquez sur OK. 5 Dans la boîte de dialogue Modifier un groupe de règles de contrôle des applications, sous la liste Règles, cliquez sur Ajouter une condition > Tentatives d'accès aux fichiers et dossiers. 6 Dans l'onglet Propriétés, dans la zone de texte Description, entrez accès au fichier lancé. Création de politiques Configuration et test d'une politique de contrôle des applications et des périphériques 7 A droite de l'option Appliquer cette règle aux processus suivants, cliquez sur Ajouter. 8 Dans la boîte de dialogue Ajouter une définition de fichier ou de dossier, dans la zone de texte de la zone de groupe Nom de fichier ou de dossier pour la correspondance, tapez c:\1.txt, puis cliquez sur OK. 9 Dans la boîte de dialogue Modifier un groupe de règles de contrôle des applications, dans l'onglet Actions, dans la zone de groupe Tentative de lecture, sélectionnez Autoriser l'accès, puis activez les options Activer la consignation et Avertir l'utilisateur. 10 Sous Avertir l'utilisateur, tapez la lecture est autorisée. 11 Dans la zone de groupe Tentatives de création, de suppression ou d'écriture, cliquez sur Arrêter le processus et sélectionnez les options Activer la consignation et Avertir l'utilisateur. 12 Sous Avertir l'utilisateur, tapez si écriture, terminer Bloc-notes. Pour tester une règle qui autorise ou bloque l'accès à un fichier 1 Sur l'ordinateur client, lancez l'Explorateur de fichiers, accédez au lecteur c:\ puis cliquez sur Fichier > Nouveau > Document texte. Si vous créez le fichier à l'aide du Bloc-notes, il sera en lecture seule. 2 Renommez le fichier en 1.txt. Assurez-vous que le fichier est enregistré dans le dossier c:\. 3 Ouvrez le fichier c:\1.txt dans le Bloc-notes. Vous pouvez ouvrir le fichier mais vous ne pouvez pas le modifier. Ajout et test d'une règle qui termine un processus Process Explorer est un outil qui affiche les processus de DLL ouverts ou chargés, ainsi que les ressources utilisées par ces processus. Vous pouvez également utiliser Process Explorer pour terminer un processus. Vous pouvez ajouter une règle qui termine Process Explorer si l'utilisateur l'emploie pour tenter de terminer l'application Calculatrice. Pour ajouter une règle qui termine un processus 1 Dans la boîte de dialogue Modifier un groupe de règles de contrôle des applications, sous la liste Règles, cliquez sur Ajouter > Ajouter une règle. 2 Dans l'onglet Propriétés, dans la zone de texte Nom des règles, tapez Termine Process Explorer si celui-ci tente de terminer calc.exe. 3 A droite de l'option Appliquer cette règle aux processus suivants, cliquez sur Ajouter. 119 120 Création de politiques Configuration et test d'une politique de contrôle des applications et des périphériques 4 Dans la boîte de dialogue Ajouter une définition de processus, sous Nom du processus à faire correspondre, entrez procexp.exe, puis cliquez sur OK. 5 Dans la boîte de dialogue Modifier un groupe de règles de contrôle des applications, sous la liste Règles, cliquez sur Ajouter une condition > Tentatives d'arrêt de processus. 6 Dans l'onglet Propriétés, dans la zone de texte Description, entrez DLL lancée. 7 A droite de l'option Appliquer cette règle aux processus suivants, cliquez sur Ajouter. 8 Dans la boîte de dialogue Ajouter une définition de processus, dans la zone de texte de la zone de groupe Nom de processus pour la correspondance, entrez calc.exe, puis cliquez sur OK. 9 Dans la boîte de dialogue Modifier un groupe de règles de contrôle des applications, dans l'onglet Actions, cliquez sur Arrêter le processus puis sélectionnez les options Activer la consignation et Avertir l'utilisateur. 10 Sous Activer l'utilisateur, entrez Si vous tentez de terminer calc depuis procexp, procexp s'arrête. Pour tester une règle qui termine un processus 1 Sur l'ordinateur client, téléchargez et exécutez une version gratuite de Process Explorer à partir de l'URL suivante : http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx 2 Dans Windows, ouvrez la calculatrice. 3 Ouvrez Process Explorer. 4 Dans la fenêtre principale de Process Explorer, cliquez avec le bouton droit de la souris sur le processus calc.exe, puis cliquez sur Arrêter le processus. Process Explorer s'arrête. A propos du contrôle des périphériques Utilisez le contrôle des périphériques pour gérer l'accès des périphériques aux ordinateurs client. Vous pouvez mettre en oeuvre le contrôle des périphériques en construisant des listes de contrôle des périphériques matériels. Vous pouvez construire une liste de périphériques à bloquer de l'accès à l'ordinateur et une liste de périphériques dont l'accès est autorisé. Biens qu'un périphérique soit physiquement connecté à un ordinateur, l'accès à l'ordinateur peut toujours lui être interdit. Vous pouvez bloquer ou autoriser des périphériques USB, infrarouge, FireWire et SCSI, ainsi que des ports séries et parallèles. Création de politiques Configuration et test d'une politique de contrôle des applications et des périphériques Le contrôle des périphériques offre à l'administrateur un niveau de contrôle plus précis sur les périphériques autorisés à accéder aux ordinateurs. Les administrateurs peuvent personnaliser un contrôle des périphériques pour bloquer l'accès de certain types de périphérique (comme tous les périphériques USB) aux ordinateurs. Toutefois, l'administrateur peut également interdire le blocage d'autres types de périphérique (comme les disques durs USB). L'administrateur peut également décider de définir le contrôle des périphériques à l'aide du GUID Windows ou de l'identifiant du périphérique. Tableau 4-12 liste des exemples de combinaisons de configuration de ports et de périphériques et l'effet que chaque combinaison a sur le périphérique qui tente d'accéder à l'ordinateur client. Tableau 4-12 Combinaisons de configuration de ports et de périphériques Configuration Résultat Port bloqué + périphérique exclu Périphérique actif Port bloqué + périphérique bloqué Le périphérique ne fonctionne pas. Remarque : Vous ne devez jamais bloquer un clavier. Vous pouvez décider, par exemple, de bloquer tous les ports, mais d'exclure une souris USB afin qu'elle puisse être connectée à un ordinateur client. Dans ce scénario, la souris USB travaille sur l'ordinateur client, bien que ce port soit bloqué. A propos des périphériques matériels Vous pouvez utiliser une liste par défaut de périphériques matériels pour ajouter un périphérique spécifique au fabricant à une politique de contrôle des applications et des périphériques. Cette liste élimine le besoin de retaper ces périphériques chaque fois que vous voulez en ajouter un d'une règle existante. Deux valeurs numériques identifient les périphériques matériels : les ID de périphérique et de classe. Vous pouvez utiliser l'une ou l'autre de ces valeurs pour identifier les périphériques de la liste Périphériques matériels. La Symantec Endpoint Protection Manager console comprend des listes de périphériques pouvant être bloqués ou exclus du blocage, le cas échéant. Un administrateur peut ajouter, supprimer ou modifier les périphériques des listes en question. Remarque : Vous ne pouvez modifier ni supprimer les périphériques par défaut. 121 122 Création de politiques Configuration et test d'une politique de contrôle des applications et des périphériques A propos des identificateurs de classe L'identificateur de classe se rapporte au GUID Windows. A chaque type de périphérique est associé à la fois une Classe et un ClassGuid. L'identificateur ClassGuid est une valeur hexadécimale au format suivant : {00000000-0000-0000-0000-000000000000} A propos de l'ID de périphérique Un ID de périphérique est l'ID le plus spécifique qui soit d'un périphérique. Les périphériques peuvent avoir soit un ID de périphérique spécifique, soit un ID plus générique. Vous pouvez par exemple spécifier tous les périphériques USB utilisant un ID de périphérique ou choisir un lecteur USB amovible spécifique. Vous devez utiliser les ID de périphérique pour les équipements à ajouter. Voici un exemple d'ID de périphérique : {IDE\CDROMHL-DT-ST_RW/DVD_GCC-4242N_______________0201____ \5&3CCF215&0&0.0.0} Obtention d'un ID de classe ou de périphérique L'outil DevViewer de Symantec permet d'obtenir l'ID de classe ou de périphérique. L'outil Gestionnaire de périphériques de Windows permet d'obtenir l'ID de classe. Pour obtenir un ID de classe ou de périphérique à l'aide de l'outil DevViewer 1 Sur le CD n° 3 de votre produit, accédez au répertoire \TOOLS\NOSUPPORT\DEVVIEWER, puis copiez l'outil DevViewer.exe sur l'ordinateur client. 2 Sur l'ordinateur client, exécutez DevViewer.exe. 3 Développez l'arborescence des périphériques et accédez au périphérique dont vous nécessitez l'ID de périphérique ou le GUID. Par exemple, développez les claviers et sélectionnez le périphérique au sein de cette catégorie. 4 Dans le volet de droite, cliquez avec le bouton droit de la souris sur l'ID de périphérique (il commence par [id de périphérique]) puis cliquez sur Copier l'ID de périphérique. 5 Cliquez sur Quitter. 6 Sur le serveur de gestion, collez l'ID de périphérique dans la liste des périphériques matériels. Création de politiques Configuration et test d'une politique de contrôle des applications et des périphériques Pour obtenir un ID de périphérique à partir du Panneau de configuration 1 Dans la barre des tâches de Windows, cliquez sur Démarrer > Paramètres > Panneau de configuration > Système . 2 Dans l'onglet Matériel, cliquez sur Gestionnaire de périphériques. 3 Dans la liste Gestionnaire de périphériques, cliquez deux fois sur le périphérique concerné. 4 Dans la boîte de dialogue Propriétés du périphérique, onglet Détails, sélectionnez son identifiant. Par défaut, l'ID de périphérique est la première valeur affichée. 5 Appuyez sur la combinaison de touches Ctrl+C pour copier la chaîne de l'ID. 6 Cliquez sur OK ou sur Annuler. Se reporter à "Ajout d'un périphérique à la liste Périphériques matériels" à la page 123. Ajout d'un périphérique à la liste Périphériques matériels Après avoir obtenu un ID de classe ou de périphérique pour un périphérique matériel, vous pouvez ajouter l'équipement à la liste Périphériques matériels par défaut. Cette liste par défaut est accessible à partir de la partie contrôle des périphériques de la politique de contrôle des applications et des périphériques. Pour ajouter des équipements à la liste Périphériques matériels 1 A partir de la Symantec Endpoint Protection Manager console, cliquez sur Politiques. 2 Sous Composants de politique, cliquez sur Périphériques matériels. 3 Sous Tâches, cliquez sur Ajouter un périphérique matériel. 4 Entrez le nom du périphérique à ajouter. Les ID de classe et de périphérique sont, par convention, placés entre des accolades. 5 Sélectionnez ID de classe ou ID de périphérique et collez l'ID copiée depuis le Gestionnaire de périphériques Windows ou depuis l'outil DevViewer. Vous pouvez utiliser des caractères génériques pour définir un ensemble d'ID de périphérique. Par exemple, vous pouvez utiliser la chaîne suivante : *IDE\CDROM*. Se reporter à "Obtention d'un ID de classe ou de périphérique" à la page 122. 6 Cliquez sur OK. 123 124 Création de politiques Configuration et test d'une politique de contrôle des applications et des périphériques Configuration d'un contrôle des périphériques pour une politique de contrôle des applications et des périphériques Pour la gestion des périphériques matériels, utilisez le contrôle des périphériques. Vous pouvez modifier cette liste à tout moment. Se reporter à "A propos des périphériques matériels" à la page 121. Pour ajouter un contrôle des périphériques à une politique de contrôle des applications et des périphériques 1 Dans le volet Politique de contrôle des applications et des périphériques, cliquez sur Contrôle des périphériques. 2 Sous Périphériques bloqués, cliquez sur Ajouter. 3 Examinez la liste des périphériques et cliquez sur un ou plusieurs périphériques que vous voulez empêcher d'accéder à l'ordinateur client. 4 Cliquez sur OK. 5 Sous Périphériques ne devant pas être bloqués, cliquez sur Ajouter. 6 Examinez la liste des périphériques matériels et cliquez sur les périphériques que vous ne voulez pas bloquer quand ils accèdent à l'ordinateur client. 7 Si vous ne souhaitez pas consigner les informations de contrôle des périphériques, désactivez l'option Consigner les périphériques bloqués. Les informations sont consignées par défaut. 8 Si vous souhaitez que les utilisateurs soient avertis, activez l'option Avertir les utilisateurs lorsque les périphériques sont bloqués. Si vous avez activé la notification, cliquez sur Définir le texte du message, puis tapez le texte que les utilisateurs doivent voir. 9 Cliquez sur OK. Pour tester le contrôle des périphériques dans une Politique de contrôle des applications et des périphériques 1 Dans la console, ajoutez un équipement à la liste Périphériques matériels pour le clavier de l'ordinateur client. Se reporter à "Obtention d'un ID de classe ou de périphérique" à la page 122. 2 Assignez la politique au groupe de l'ordinateur client. 3 Sur l'ordinateur client, essayez d'utiliser le clavier. Chapitre 5 Création des paquets d'installation client Ce chapitre traite des sujets suivants : ■ Création de paquets d'installation client ■ A propos des paquets d'installation client ■ Configuration des fonctions des paquets d'installation ■ Configuration des paramètres des paquets d'installation client ■ Exportation de paquets d'installation client ■ Déployer le logiciel client avec l'assistant de déploiement Création de paquets d'installation client Les processus suivants permettent de créer un paquet d'installation et de le déployer vers les ordinateurs client. Il est conseillé de configurer d'abord des groupes, ainsi que les politiques et autres paramètres de sécurité avant de créer un paquet d'installation client. Tableau 5-1 Procédure de configuration d'un paquet d'installation client Pour Action effectuer cette étape Voir la section Etape 1 : Se reporter à "A propos des paquets d'installation client" à la page 126. Informez-vous sur les paquets d'installation client. 126 Création des paquets d'installation client A propos des paquets d'installation client Pour Action effectuer cette étape Etape 2 : Voir la section Configurez les fonctionnalités et les Se reporter à "Configuration des paramètres des paquets fonctions des paquets d'installation" d'installation client. à la page 127. Se reporter à "Configuration des paramètres des paquets d'installation client" à la page 127. Etape 3 : Exportez le paquet d'installation client. Se reporter à "Exportation de paquets d'installation client" à la page 128. A propos des paquets d'installation client Pour gérer les ordinateurs à l'aide de Symantec Endpoint Protection Manager Console, vous devez exporter au moins un paquet d'installation client vers un serveur de gestion du site. Une fois le paquet d'installation client installé, installez les fichiers du paquet sur les ordinateurs client. Vous pouvez exporter des paquets pour des clients gérés par Symantec, des clients gérés par des tiers et des clients autonomes. La console permet d'exporter ces paquets comme fichier exécutable unique ou comme série de fichiers dans un répertoire. La méthode choisie dépend du mode de déploiement et de la mise à niveau éventuelle du logiciel client dans les groupes à partir de la console. L'exécutable unique est disponible pour les outils d'installation tiers et pour l'économie potentielle de bande passante. Généralement, si vous utilisez l'objet Politique de groupe Active Directory, vous ne choisirez pas l'exportation vers un fichier exécutable unique. Lors du processus d'exportation, vous sélectionnez les paquets d'installation 32 bits ou 64 bits fournis par défaut. Vous sélectionnez alors éventuellement les technologies client spécifiques de protection à installer si vous ne voulez pas installer tous les composants. Vous pouvez également spécifier comment l'installation interagit avec les utilisateurs finaux. Enfin, vous pouvez installer les fichiers exportés (un paquet) vers les ordinateurs un par un ou déployer les fichiers exportés vers plusieurs ordinateurs simultanément. Pour connaître les options de déploiement d'installation client, consultez le Guide d'Installation de Symantec Endpoint Protection et de Symantec Network Access Control sur le CD. Création des paquets d'installation client Configuration des fonctions des paquets d'installation Symantec fournit de temps en temps des paquets mis à jour de fichiers d'installation. Quand le logiciel client est installé sur des ordinateurs client, vous pouvez automatiquement mettre à jour le logiciel client sur tous les clients d'un groupe avec la fonction automatique de mise à niveau. Vous n'avez pas besoin de redéployer le logiciel à l'aide des outils de déploiement d'installation. Configuration des fonctions des paquets d'installation Les fonctions d'installation représentent les composants client disponibles pour l'installation. Par exemple, si vous créez des paquets de Symantec Endpoint Protection, vous pouvez choisir d'installer les fonctions d'antivirus et les dispositifs de pare-feu. Ou vous pouvez choisir d'installer uniquement la fonction d'antivirus. Vous devez nommer chaque ensemble de sélections. Vous sélectionnez ensuite un ensemble nommé de fonctionnalités quand vous exportez les paquets 32 bits de logiciel client et les paquets 64 bits de logiciel client. Pour configurer les fonctions des paquets d'installation 1 Dans la console, cliquez sur Admin, puis sur Paquets d'installation. 2 Sous Afficher les paquets d'installation, cliquez sur Ensembles de fonctions d'installation client. 3 Sous Tâches, cliquez sur Ajouter un ensemble de fonctionnalités d'installation client. 4 Dans la boîte de dialogue Ajouter un ensemble de fonctionnalités d'installation client, dans la zone Nom, tapez un nom. 5 Dans la zone Description, entrez une description de l'ensemble de fonctionnalités d'installation client. 6 Pour obtenir des détails concernant la définition d'autres options dans cette boîte de dialogue, cliquez sur Aide. 7 Cliquez sur OK. Configuration des paramètres des paquets d'installation client Les paramètres d'installation affectent la façon dont le logiciel client est installé sur les ordinateurs client. Vous devez nommer chaque ensemble de sélections. Vous sélectionnez ensuite un ensemble nommé de paramètres de paquet quand vous exportez les paquets 32 bits de logiciel client et les paquets 64 bits de logiciel client. 127 128 Création des paquets d'installation client Exportation de paquets d'installation client Pour configurer les paramètres des paquets d'installation client 1 Dans l'onglet Admin, dans le volet inférieur gauche, cliquez sur Paquets d'installation. 2 Sous Afficher les paquets d'installation, cliquez sur Paramètres d'installation client. 3 Sous Tâches, cliquez sur Ajouter des paramètres d'installation client. 4 Dans la boîte de dialogue Paramètres d'installation client, dans la zone Nom, tapez un nom. 5 Pour obtenir des détails concernant la définition d'autres options dans cette boîte de dialogue, cliquez sur Aide. 6 Cliquez sur OK. Exportation de paquets d'installation client Lorsque vous exportez des paquets de logiciel client, vous créez des fichiers d'installation client à déployer. Quand vous exportez des paquets, vous devez rechercher un répertoire devant contenir les paquets exportés. Si vous spécifiez un répertoire qui n'existe pas, vous le créez automatiquement. Le processus d'exportation crée d'une manière descriptive les sous-répertoires nommés dans ce répertoire et place les fichiers d'installation dans ces sous-répertoires. Par exemple, si vous créez un paquet d'installation pour un groupe nommé MonGroupe sous Global, un répertoire Global_MonGroupe est créé. Ce répertoire contient le paquet d'installation exporté. Remarque : Cette convention de dénomination ne distingue pas les paquets d'installation client destinés à Symantec Endpoint Protection ou à Symantec Network Access Control. Le nom du paquet exporté pour un fichier exécutable unique est Setup.exe à la fois pour Symantec Endpoint Protection et pour Symantec Network Access Control. Par conséquent, veillez à créer une structure de répertoires qui vous permette de distinguer les fichiers d'installation de Symantec Endpoint Protection et de Symantec Network Access Control. Vous avez une décision importante à prendre quand vous exportez des paquets. Vous devez décider si vous souhaitez créer un paquet d'installation pour les clients gérés ou autonomes. Si vous créez un paquet pour des clients gérés, vous pouvez les gérer avec la console Symantec Endpoint Protection Manager. Si vous créez un paquet pour des clients autonomes, vous ne pouvez pas les gérer depuis la console. Création des paquets d'installation client Déployer le logiciel client avec l'assistant de déploiement Remarque : Si vous exportez les paquets d'installation client à partir d'une console distante, les paquets sont créés sur l'ordinateur exécutant cette console. De plus, si vous utilisez plusieurs domaines, vous devez exporter les paquets pour chaque domaine ; sinon, ils apparaissent comme disponibles pour les groupes de domaines. Après avoir exporté un ou plusieurs paquets de fichiers d'installation, déployez les fichiers d'installation sur les ordinateurs client. Pour obtenir des détails au sujet de l'installation de logiciel client, consultez le Guide d'Installation de Symantec Endpoint Protection et de Symantec Network Access Control sur le CD. Pour exporter des paquets d'installation client 1 Dans la console, cliquez sur Admin, puis sur Paquets d'installation. 2 Sous Afficher les paquets d'installation, cliquez sur Paquets d'installation client. 3 Dans le volet Paquets d'installation client, sous Nom du paquet, cliquez sur le paquet à exporter. 4 Sous Tâches, cliquez sur Exporter le paquet d'installation client. 5 Dans la boîte de dialogue Exporter le paquet, cliquez sur Parcourir. 6 Dans la boîte de dialogue Sélectionner le dossier d'exportation, recherchez et sélectionnez le répertoire qui contiendra le paquet exporté, puis cliquez sur OK. Les répertoires contenant des caractères codés sur deux octets ou High-ASCII ne sont pas pris en charge et sont bloqués. 7 Dans la boîte de dialogue Exporter le paquet, définissez les autres options selon vos objectifs d'installation. 8 Pour obtenir des détails concernant la définition d'autres options dans cette boîte de dialogue, cliquez sur Aide. 9 Cliquez sur OK. Déployer le logiciel client avec l'assistant de déploiement L'assistant de déploiement apparaît automatiquement lorsque vous utilisez l'assistant de déploiement ou vous pouvez le démarrer manuellement. Dans les deux cas, vous devez savoir quel paquet de logiciel client vous voulez déployer et dans quel dossier le paquet existe. Vous devez le localiser pendant le déploiement. 129 130 Création des paquets d'installation client Déployer le logiciel client avec l'assistant de déploiement Pour déployer le logiciel client avec l'assistant de déploiement 1 Lancement de l'assistant de migration et de déploiement à partir du menu Démarrer de Windows 2 Dans l'écran d'accueil, cliquez sur Suivant. 3 Cliquez sur Déployer le client (Symantec Endpoint Protection uniquement), puis cliquez sur Suivant. 4 Cliquez sur Sélectionnez le paquet d'installation client existant à déployer, puis cliquez sur Terminer. 5 Dans le panneau Assistant de déploiement, cliquez sur Parcourir, recherchez et sélectionnez le dossier contenant le paquet d'installation à déployer, puis cliquez sur OK. 6 Confirmez ou modifiez le nombre maximum de déploiements simultanés et cliquez sur Suivant. 7 Dans le panneau Sélection d'ordinateurs, dans le volet gauche sous Ordinateurs disponibles, développez les arborescences et sélectionnez les ordinateurs sur lesquels installer le logiciel client, puis cliquez sur Ajouter. Sinon, vous pouvez importer un groupe de travail ou un domaine d'ordinateurs et également un fichier texte contenant une liste d'ordinateurs. 8 Dans la boîte de dialogue Authentification du client distant, tapez un nom d'utilisateur et un mot de passe qui peuvent s'authentifier auprès du domaine ou du groupe de travail Windows qui contient les ordinateurs et cliquez sur OK. 9 Une fois tous les ordinateurs sélectionnés et affichés dans le volet droit, cliquez sur Terminer. Chapitre 6 Configuration de l'intégrité de l'hôte pour la conformité des terminaux client Ce chapitre traite des sujets suivants : ■ Configuration et test d'une politique d'intégrité de l'hôte ■ Ajout des conditions d'intégrité de l'hôte ■ Ajout d'une condition de pare-feu pré-définie ■ Ajout d'une condition requise personnalisée vérifiant si l'ordinateur client exécute un progiciel antivirus ■ Test du fonctionnement de la politique d'intégrité de l'hôte ■ Configuration de l'authentification point à point Configuration et test d'une politique d'intégrité de l'hôte Symantec Network Access Control évalue si un ordinateur de bureau ou portable est un périphérique correctement protégé et conforme avant de permettre sa connexion au réseau d'entreprise. Cette protection aide à empêcher l'entrée des virus et autres attaques sur le réseau par l'intermédiaire de clients non conformes. Les politiques d'intégrité de l'hôte permettent d'appliquer la conformité de terminal client sur des ordinateurs client. 132 Configuration de l'intégrité de l'hôte pour la conformité des terminaux client Configuration et test d'une politique d'intégrité de l'hôte Remarque : Symantec Network Access Control doit être installé pour permettre la création de politiques d'intégrité de l'hôte. Afin d'assurer la conformité du terminal client, l'ordinateur client utilise la politique d'intégrité de l'hôte pour exécuter le processus suivant : Tableau 6-1 Procédure exécutée par le client pour s'assurer de la conformité de l'ordinateur client avec la politique d'intégrité de l'hôte Pour Action effectuer cette étape Description Etape 1 : La politique d'intégrité de l'hôte vérifie si l'ordinateur exécute les versions les plus récentes du logiciel de sécurité, des correctifs, des hotfix ainsi que d'autres exigences de sécurité. Par exemple, la politique peut vérifier la date de dernière mise à jour des définitions antivirus et les derniers correctifs appliqués au système d'exploitation. Le client exécute une vérification de l'intégrité de l'hôte. Le client compare la configuration de l'ordinateur à la politique d'intégrité de l'hôte téléchargée depuis le serveur de gestion. Configuration de l'intégrité de l'hôte pour la conformité des terminaux client Configuration et test d'une politique d'intégrité de l'hôte Pour Action effectuer cette étape Description Etape 2 : En fonction du résultat de la ■ Si l'ordinateur répond à toutes les vérification de l'intégrité de l'hôte, exigences de la politique, le le client autorise ou bloque l'accès de contrôle d'intégrité réussit. l'ordinateur client au réseau. L'ordinateur client dispose alors d'un accès réseau complet aux ordinateurs ayant réussi la vérification de l'intégrité de l'hôte. ■ Si l'ordinateur ne répond pas aux exigences de la politique, la vérification de l'intégrité de l'hôte échoue. Lorsqu'une vérification de l'intégrité de l'hôte échoue, le client bloque l'ordinateur non conforme ou le place en quarantaine jusqu'à ce que l'utilisateur ait corrigé sa conformité. Vous pouvez configurer une politique de quarantaine pour les ordinateurs client en quarantaine. Les ordinateurs en quarantaine ont un accès limité ou nul au réseau. Etape 3 : Le client résout les ordinateurs non Si le client constate qu'une condition conformes. requise de la politique d'intégrité de l'hôte n'est pas satisfaite, il installe ou demande à l'utilisateur d'installer le logiciel requis. Dès que l'ordinateur client est conforme, il essaye d'accéder au réseau de nouveau. Si l'ordinateur est entièrement conforme, le réseau lui accorde l'accès. Etape 4 : Le client contrôle proactivement la conformité. Le client contrôle activement l'état de conformité pour tous les ordinateurs client. Dès lors que l'état de conformité de l'ordinateur change, les droits d'accès au réseau de l'ordinateur sont modifiés. 133 134 Configuration de l'intégrité de l'hôte pour la conformité des terminaux client Ajout des conditions d'intégrité de l'hôte Pour créer et tester une politique d'intégrité de l'hôte, vous pouvez effectuer les étapes suivantes : Tableau 6-2 Procédure de configuration et de test d'une politique d'intégrité de l'hôte Pour Description effectuer cette étape Voir la section Etape 1 : Créez une condition pré-définie ou personnalisée. Le client compare chaque condition requise aux logiciels installés sur l'ordinateur client. Se reporter à "Ajout d'une condition de pare-feu pré-définie" à la page 136. Etape 2 : Affectez la politique à un groupe. Se reporter à "Affectation d'une politique partagée" à la page 74. Etape 3 : Testez si la politique d'intégrité de l'hôte fonctionne. Se reporter à "Test du fonctionnement de la politique d'intégrité de l'hôte" à la page 138. Se reporter à "Ajout d'une condition requise personnalisée vérifiant si l'ordinateur client exécute un progiciel antivirus" à la page 137. Ajout des conditions d'intégrité de l'hôte Une politique d'intégrité de l'hôte définit les conditions pour les pare-feu, l'antivirus, la protection contre les logiciels espions, les correctifs, les Service Packs ou d'autres applications requises sur les ordinateurs client. Chaque politique d'intégrité de l'hôte inclut des conditions requises et des paramètres généraux. Les conditions requises indiquent les éléments suivants : ■ Les conditions devant être vérifiées ■ Les actions (telles que des téléchargements et des installations) prises par le client en réponse à la condition Quand vous définissez des conditions d'intégrité de l'hôte, vous pouvez choisir parmi les types suivants : conditions pré-définies, personnalisées ou de modèle. Les conditions de modèle sont disponibles par le service de politique d'intégrité de l'hôte LiveUpdate. Vous pouvez copier et coller, et importer et exporter des conditions entre des politiques. Les paramètres généraux permettent de configurer quand et à quelle fréquence le client exécute une vérification de l'intégrité de l'hôte, les options de résolution et les notifications. Configuration de l'intégrité de l'hôte pour la conformité des terminaux client Ajout des conditions d'intégrité de l'hôte Vous pouvez créer une politique d'intégrité de l'hôte partagée ou non partagée Une fois que vous avez créé une nouvelle politique, vous pouvez ajouter une condition prédéfinie, une condition personnalisée, ou les deux. Pour ajouter une condition d'intégrité de l'hôte 1 Dans la console, ouvrez une politique d'intégrité de l'hôte. 2 Sur la page Politique d'intégrité de l'hôte, cliquez sur Conditions requises. 3 Sur la page Conditions requises, sélectionnez la fréquence d'exécution des vérifications de l'intégrité de l'hôte sur le client en utilisant l'une des options suivantes : Toujours effectuer la vérification de l'intégrité de l'hôte Il s'agit de l'option sélectionnée par défaut. Une vérification de l'intégrité de l'hôte est toujours effectuée à cet emplacement selon la fréquence que vous spécifiez. Effectuer la vérification de l'intégrité de l'hôte uniquement à travers la passerelle ou DHCP Enforcer Une vérification de l'intégrité de l'hôte n'est effectuée dans cet emplacement que lorsque le client est authentifié par une passerelle Gateway Enforcer ou par DHCP Enforcer. Effectuer la vérification de l'intégrité Une vérification de l'intégrité de l'hôte n'est de l'hôte uniquement en étant connecté effectuée à cet emplacement que lorsque le au serveur de gestion client est connecté à un serveur de gestion. Ne jamais effectuer la vérification de l'intégrité de l'hôte Une vérification de l'intégrité de l'hôte n'est jamais effectuée à cet emplacement. 4 Cliquez sur Ajouter. 5 Dans la boîte de dialogue Ajouter une condition requise, sélectionnez l'un des types de condition requise suivants : ■ Condition requise pour l'antivirus ■ Condition requise pour la protection contre les logiciels espions ■ Condition requise pour le pare-feu ■ Condition requise pour le correctif ■ Condition requise pour le Service Pack ■ Condition requise personnalisée 6 Cliquez sur OK. 7 Définissez les paramètres pour la condition requise. 135 136 Configuration de l'intégrité de l'hôte pour la conformité des terminaux client Ajout d'une condition de pare-feu pré-définie 8 Sur la page Paramètres avancés, configurez les paramètres des vérifications de l'intégrité de l'hôte, la résolution et les notifications. Pour plus d'informations, cliquez sur Aide. 9 Quand vous avez terminé de configurer la politique, cliquez sur OK. 10 Assignation de la politique aux groupes ou aux emplacements Se reporter à "Affectation d'une politique partagée" à la page 74. Ajout d'une condition de pare-feu pré-définie Vous pouvez créer une condition d'intégrité de l'hôte qui vérifie si le client Symantec Endpoint Protection est installé et si le composant de protection contre les menaces réseau est en cours d'exécution. Si vous avez déjà installé le client, la vérification de cette condition d'intégrité de l'hôte réussit. Si vous n'avez pas encore installé le client ou si vous désactivez la protection contre les menaces réseau sur le client, cette condition échoue. Vous pouvez toutefois configurer la vérification pour réussir dans tous les cas. Pour ajouter une condition pré-définie de correctif 1 Dans la console, ouvrez une politique d'intégrité de l'hôte. 2 Sur la page Politique d'intégrité de l'hôte, cliquez sur Conditions requises. 3 Sur la page Conditions requises, cliquez sur Toujours effectuer la vérification de l'intégrité de l'hôte, puis cliquez sur Ajouter. 4 Dans la boîte de dialogue Ajouter une condition requise, cliquez sur Condition de pare-feu, puis cliquez sur OK. 5 Dans la boîte de dialogue Ajouter une condition requise, dans la zone de texte Nom, entrez Vérifier si le pare-feu SEP est en cours d'exécution. 6 Dans la liste déroulante Application de pare-feu qui doit être installée et s'exécuter, cliquez sur Symantec Endpoint Protection. 7 Pour permettre à la condition de réussir même si le contrôle échoue, activez l'option Autoriser la réussite de la vérification de l'intégrité de l'hôte même si cette condition n'est pas satisfaite. 8 Cliquez sur OK. 9 Sur la page Présentation, cliquez sur OK. 10 Affectez la politique à un groupe ou à un emplacement si ce n'est pas encore le cas. Se reporter à "Affectation d'une politique partagée" à la page 74. Configuration de l'intégrité de l'hôte pour la conformité des terminaux client Ajout d'une condition requise personnalisée vérifiant si l'ordinateur client exécute un progiciel antivirus Ajout d'une condition requise personnalisée vérifiant si l'ordinateur client exécute un progiciel antivirus Vous pouvez configurer une politique d'intégrité de l'hôte pour vérifier si un paquet logiciel connu s'exécute sur l'ordinateur client. Pour vérifier si le produit est en cours d'exécution 1 Ajoutez une condition requise personnalisée 2 Dans la boîte de dialogue Condition requise personnalisée, tapez un nom pour la condition. 3 Sous Script de conditions requises personnalisées, cliquez sur Ajouter, puis cliquez sur IF...THEN.... 4 Le nœud IF étant sélectionné, dans le volet droit, sous Sélectionnez une condition, cliquez sur Utilitaire : Le processus s'exécute. 5 Dans la zone de texte du nom de fichier du processus, tapez C:\Program Files\WidgetWorks\WWAV.exe. 6 Sous Script de conditions requises personnalisées, sélectionnez THEN, cliquez sur Ajouter, puis cliquez sur Retour. 7 Sélectionnez THEN, cliquez sur Ajouter, puis cliquez sur Else. 8 Sous le nœud Else, sélectionnez //Insérer les instructions ici et dans le volet droit, tapez Exécuter le programme. 9 Sous Script de conditions requises personnalisées, cliquez sur Ajouter, puis cliquez sur IF...THEN.... 10 Dans la liste déroulante Sélectionner une condition, cliquez sur Utilitaire : Le processus s'exécute. 11 Dans la zone de texte du nom de fichier du processus, saisissez WWAV. 12 Sous Script de conditions requises personnalisées, sélectionnez THEN, cliquez sur Ajouter, puis cliquez sur Retour. 13 Sélectionnez END IF sous le premier END IF, cliquez sur Ajouter, puis cliquez sur Commentaire. 14 Dans la zone de texte Commentaire, tapez échec - le produit n'est pas installé. 137 138 Configuration de l'intégrité de l'hôte pour la conformité des terminaux client Test du fonctionnement de la politique d'intégrité de l'hôte 15 Sous Script de conditions requises personnalisées, sélectionnez PASS et dans le volet droit, cliquez sur Echec. 16 Cliquez sur OK. 17 Pour permettre à la condition de réussir même si le contrôle échoue, activez l'option Autoriser la réussite de la vérification de l'intégrité de l'hôte même si cette condition n'est pas satisfaite. 18 Quand vous avez terminé de configurer la politique, cliquez sur OK. Test du fonctionnement de la politique d'intégrité de l'hôte Pour tester le fonctionnement de la politique d'intégrité de l'hôte, vous pouvez utiliser la procédure suivante : Configuration de l'intégrité de l'hôte pour la conformité des terminaux client Test du fonctionnement de la politique d'intégrité de l'hôte Tableau 6-3 Procédure pour tester la politique d'intégrité de l'hôte Pour Description effectuer cette étape Voir la section Etape 1 : Vérifiez si la politique est mise à jour Se reporter à "Vérification de la mise sur les clients. Vous pouvez à jour des politiques" à la page 75. également mettre à jour la politique Se reporter à "Mise à jour manuelle sur le client. du fichier de politiques" à la page 74. Etape 2 : Exécutez la vérification de l'intégrité Se reporter à "Exécution d'une de l'hôte. vérification de l'intégrité de l'hôte" à la page 139. Etape 3 : Affichez le journal de sécurité pour constater si la vérification de l'intégrité de l'hôte a réussi ou échoué. Se reporter à "Affichage des journaux de Network Access Control" à la page 140. Exécution d'une vérification de l'intégrité de l'hôte Votre administrateur configure la fréquence selon laquelle le client exécute une vérification de l'intégrité de l'hôte. Vous pouvez devoir exécuter une vérification de l'intégrité de l'hôte immédiatement plutôt qu'attendre le contrôle suivant. Par exemple, l'échec d'une vérification de l'intégrité de l'hôte peut indiquer que vous devez mettre à jour l'application antivirus sur votre ordinateur. Le client peut vous permettre de choisir de télécharger le logiciel requis immédiatement ou de reporter le téléchargement. Si vous téléchargez le logiciel immédiatement, vous devez exécuter la vérification de l'intégrité de l'hôte de nouveau pour vérifier que vous avez le logiciel correct. Vous pouvez attendre la vérification de l'intégrité de l'hôte planifiée suivante ou exécuter le contrôle immédiatement. Pour exécuter une vérification de l'intégrité de l'hôte 1 Dans le client, dans la barre latérale, cliquez sur Etat. 2 en regard de Network Access Control, cliquez sur Options > Vérifier maintenant. 3 Si un message apparaît pour confirmer que la vérification de l'intégrité de l'hôte s'est exécutée, cliquez sur OK. Si vous aviez été bloqué pour l'accès au réseau, vous devriez regagner l'accès au réseau quand votre ordinateur a été mis à jour pour être conforme à la politique de sécurité. 139 140 Configuration de l'intégrité de l'hôte pour la conformité des terminaux client Test du fonctionnement de la politique d'intégrité de l'hôte Affichage des journaux de Network Access Control Le client Symantec Network Access Control utilise les journaux suivants pour contrôler différents aspects de son fonctionnement et de la vérification de l'intégrité de l'hôte : Sécurité Enregistre les résultats et l'état de vérifications de l'intégrité de l'hôte. Système Enregistre toutes les modifications opérationnelles pour le client, tel que la connexion au serveur de gestion et les mises à jour de la politique de sécurité client. Si vous utilisez un client géré, les deux journaux peuvent être régulièrement envoyés au serveur. Votre administrateur peut utiliser le contenu des journaux pour analyser l'état global de la sécurité du réseau. Vous pouvez exporter les données de ces journaux. Pour afficher les journaux Symantec Network Access Control 1 Dans le client, dans la barre latérale, cliquez sur Etat. 2 Pour afficher le journal système, à côté de Network Access Control, cliquez sur Options > Afficher les journaux. 3 Pour afficher le journal de sécurité, dans la boîte de dialogue Journaux de gestion des clients - journal système, cliquez sur Affichage > Journal de sécurité. Configuration de l'intégrité de l'hôte pour la conformité des terminaux client Configuration de l'authentification point à point 4 Dans le journal de sécurité, sélectionnez la première entrée de journal. Dans le coin inférieur gauche, les résultats de la vérification de l'intégrité de l'hôte s'affichent. Si le client était déjà installé, la condition de pare-feu pré-définie est vérifiée. Si le client n'était pas installé, la condition de pare-feu pré-définie échoue mais est signalée comme vérifiée. 5 Cliquez sur Fichier > Fermer. Configuration de l'authentification point à point Vous pouvez utiliser l'authentification point à point pour autoriser un ordinateur client distant (homologue) à se connecter à un autre ordinateur client (authentificateur) sur le même réseau d'entreprise. L'authentificateur bloque temporairement le trafic TCP et UDP entrant de l'ordinateur distant jusqu'à ce que ce dernier réussisse la vérification de l'intégrité de l'hôte. La vérification de l'intégrité de l'hôte permet de contrôler les caractéristiques suivantes de l'ordinateur distant : 141 142 Configuration de l'intégrité de l'hôte pour la conformité des terminaux client Configuration de l'authentification point à point ■ Symantec Endpoint Protection et Symantec Network Access Control sont installés sur l'ordinateur distant. ■ L'ordinateur distant répond aux conditions requises par les politiques d'intégrité de l'hôte. Si l'ordinateur distant réussit la vérification de l'intégrité de l'hôte, l'authentificateur autorise sa connexion. Si l'ordinateur distant échoue à la vérification de l'intégrité de l'hôte, l'authentificateur continue de le bloquer. Vous pouvez également spécifier le délai de blocage de l'ordinateur distant avant toute nouvelle tentative de reconnexion à l'authentificateur. Il est possible de toujours autoriser la connexion pour certains ordinateurs distants, même s'ils échouent à la vérification de l'intégrité de l'hôte. Si vous n'activez pas de politique d'intégrité de l'hôte pour l'ordinateur distant, celui-ci réussit la vérification. Les informations d'authentification point à point sont affichées dans le journal de conformité de client Enforcer et dans le journal de trafic de protection contre les menaces réseau. Remarque : L'authentification point à point est possible en mode commande serveur et commande mixte, mais pas en mode contrôle client. Avertissement : N'activez pas l'authentification point à point pour les clients installés sur le même ordinateur que le serveur de gestion. Dans ce cas, le serveur de gestion ne peut pas charger les politiques vers l'ordinateur distant si ce dernier échoue à la vérification de l'intégrité de l'hôte. Pour configurer l'authentification point à point 1 Dans la console, ouvrez une politique de pare-feu. 2 Dans la page Politique de pare-feu, cliquez sur Paramètres d'authentification point à point. 3 Dans le volet Paramètres d'authentification point à point, cochez Activer l'authentification point à point. 4 Configurez chacune des valeurs figurant sur la page. Pour plus d'informations sur ces options, cliquez sur Aide. Configuration de l'intégrité de l'hôte pour la conformité des terminaux client Configuration de l'authentification point à point 5 Pour autoriser des ordinateurs distants à se connecter à l'ordinateur client sans authentification, cochez Exclure les hôtes de l'authentification, puis cliquez sur Hôtes exclus. L'ordinateur client autorise le trafic vers les ordinateurs figurant dans la liste des hôtes. 6 Dans la boîte de dialogue Hôtes exclus, cliquez sur Ajouter pour ajouter les ordinateurs distants dont l'authentification n'est pas nécessaire. 7 Dans la boîte de dialogue Hôte, définissez l'hôte à l'aide de l'adresse IP, de la plage d'IP, ou du sous-réseau, puis cliquez sur OK. 8 Dans la boîte de dialogue Hôtes exclus, cliquez sur OK. 9 Quand vous avez terminé la configuration de cette politique, cliquez sur OK. 10 Si vous y êtes invité, assignez la politique à un emplacement. Se reporter à "Affectation d'une politique partagée" à la page 74. 143 144 Configuration de l'intégrité de l'hôte pour la conformité des terminaux client Configuration de l'authentification point à point Chapitre 7 Utilisation des journaux et des rapports pour contrôler la sécurité Ce chapitre traite des sujets suivants : ■ A propos des journaux et des rapports ■ A propos de la page d'accueil de Symantec Endpoint Protection ■ A propos des journaux ■ Affichage des journaux ■ Exécuter des commandes et des actions à partir des journaux ■ Utilisation des notifications ■ Création de rapports rapides A propos des journaux et des rapports Les fonctions de rapport fournissent toutes les informations actualisées nécessaires pour contrôler et gérer la sécurité de votre réseau. La page d'accueil de la console Symantec Endpoint Protection Manager affiche des graphiques générés de façon automatique, comprenant des informations sur les événements importants survenus récemment sur votre réseau. Vous pouvez utiliser les filtres de la page Contrôles pour afficher des informations en temps réel plus détaillées sur votre réseau à partir des journaux. Vous pouvez utiliser les filtres de la page Rapports pour générer des rapports prédéfinis ou personnalisés. La page Rapports vous 146 Utilisation des journaux et des rapports pour contrôler la sécurité A propos de la page d'accueil de Symantec Endpoint Protection permet d'afficher des représentations graphiques et des statistiques sur les événements survenus sur votre réseau. A propos de la page d'accueil de Symantec Endpoint Protection Si Symantec Endpoint Protection est installé sur votre système et si les droits associés à votre compte administrateur vous autorisent à afficher les rapports, votre page d'accueil affiche alors les rapports générés de façon automatique. Ces rapports contiennent des informations importantes quant à la sécurité de votre réseau. Si vous n'êtes pas autorisé à afficher les rapports, les rapports générés de façon automatique n'apparaissent pas sur votre page d'accueil. Figure 7-1 montre un exemple de page d'accueil visualisée par les administrateurs ayant l'autorisation d'afficher des rapports. Figure 7-1 Exemple de page d'accueil de Symantec Endpoint Protection sur la console Symantec Endpoint Protection Manager La page d'accueil contient les rapports générés de façon automatique ainsi que plusieurs éléments relatifs à l'état. Certains des rapports de la page d'accueil contiennent des liens hypertexte vers des rapports plus détaillés. Vous pouvez Utilisation des journaux et des rapports pour contrôler la sécurité A propos de la page d'accueil de Symantec Endpoint Protection cliquer sur les nombres et certains diagrammes dans les rapports de la page d'accueil pour consulter des détails. Remarque : Les rapports sont automatiquement filtrés en fonction des autorisations de l'utilisateur connecté. Si vous êtes un administrateur système, vous pouvez consulter des informations sur tous les domaines. Si vous êtes un administrateur limité dont les droits d'accès se limitent à un domaine, vous pouvez consulter des informations sur ce domaine uniquement. Tableau 7-1 décrit chaque élément de la page d'accueil de Symantec Endpoint Protection. Tableau 7-1 Eléments et rapports de la page d'accueil Informations sur les rapports ou Description l'état Etat de la sécurité L'état de la sécurité peut être Bon ou Attention requise. Les seuils que vous définissez dans l'onglet Etat de la sécurité déterminent les définitions de Bon et Attention requise.. Vous pouvez accéder à l'onglet Etat de la sécurité à partir du lien Préférences de la page d'accueil. Pour plus de détails, vous pouvez cliquer sur l'icône qui correspond à l'état de la sécurité sur la page d'accueil. 147 148 Utilisation des journaux et des rapports pour contrôler la sécurité A propos de la page d'accueil de Symantec Endpoint Protection Informations sur les rapports ou Description l'état Résumé des actions par nombre de détections | Résumé des actions par nombre d'ordinateurs Par défaut, la page d'accueil affiche un résumé des actions pour les dernières 24 heures. Ce résumé indique également le nombre d'infections associées aux virus et aux risques de sécurité. Vous pouvez cliquer sur le lien Préférences pour modifier l'intervalle de temps utilisé et le définir sur La dernière semaine plutôt que sur Les dernières 24 heures. Ce lien vous permet également de remplacer l'affichage "par nombre de détections" par l'affichage "par nombre d'ordinateurs". Le résumé des actions par nombre de détections contient les informations suivantes : ■ nombre d'actions entreprises sur des virus et des risques de sécurité ; ■ incidence de nouvelles détections de virus et de risques de sécurité ; ■ nombre d'ordinateurs toujours infectés par des virus et des risques de sécurité. Le résumé des actions par nombre d'ordinateurs contient les informations suivantes : nombre d'ordinateurs distincts sur lesquels les diverses actions ont été exécutées sur des virus et des risques de sécurité ; ■ nombre total de nouvelles détections de virus et de risques de sécurité ; ■ ■ nombre total d'ordinateurs restant infectés par des virus et des risques de sécurité. Par exemple, supposez que vous avez cinq actions de nettoyage dans la vue du nombre de détections. Si toutes les détections se sont produites sur le même ordinateur, la vue du nombre d'ordinateurs indique alors la valeur 1 plutôt que 5. Pour obtenir un rapport détaillé pour l'une des actions, cliquez sur le nombre de virus ou de risques de sécurité. Tout risque de sécurité indique qu'une analyse proactive des menaces TruScan a détecté un élément suspect requérant votre attention. Cet élément peut être inoffensif ou non. Si vous constatez que ce risque est inoffensif, vous pouvez utiliser la politique d'exceptions centralisées pour l'exclure des détections à l'avenir. Si vous avez configuré les analyses proactives des menaces TruScan pour consigner et que vous déterminez que ce risque est nocif, vous pouvez utiliser la politique d'exceptions centralisées pour le terminer ou le mettre en quarantaine. Si vous avez utilisé les paramètres d'analyse proactive de menace TruScan par défaut, Symantec Endpoint Protection ne peut pas résoudre le risque. Si vous constatez que ce risque est nocif, vous devez le supprimer manuellement. Utilisation des journaux et des rapports pour contrôler la sécurité A propos de la page d'accueil de Symantec Endpoint Protection Informations sur les rapports ou Description l'état Résumé des actions par nombre de détections | Résumé des actions par nombre d'ordinateurs (Suite) Le compteur Nouvellement infecté contient le nombre de risques ayant infecté des ordinateurs pendant l'intervalle spécifié. Le compteur Nouvellement infecté est un sous-ensemble de Toujours infectés. Le compteur Encore infecté affiche le nombre de risques total qu'une analyse continue de considérer comme infectés (toujours dans l'intervalle de temps spécifié). Par exemple, un ordinateur peut demeurer infecté parce que Symantec Endpoint Protection ne peut supprimer le risque que partiellement. Après avoir étudié le risque, vous pouvez effacer le compteur Encore infecté du journal d'état de l'ordinateur. Les compteurs Nouvellement infecté et Encore infecté identifient les risques qui exigent votre intervention pour être nettoyés. Dans la plupart des cas, vous pouvez prendre cette mesure depuis la console et n'êtes pas obligé d'utiliser l'ordinateur. Remarque : Un ordinateur est compté en tant qu'élément nouvellement infecté si l'événement de détection s'est produit pendant l'intervalle de temps de la page d'accueil. Par exemple, si un risque non résolu a affecté un ordinateur dans les dernières 24 heures, le compteur Nouvellement infecté augmente sur la page d'accueil. Le risque peut être non résolu en raison d'une résolution partielle ou parce que la politique de sécurité pour ce risque est définie sur Consigner seulement. Vous pouvez configurer un balayage de base de données pour supprimer ou conserver les événements de détection qui ont abouti à des risques non résolus. Si le balayage est configuré pour supprimer les événements de risque non résolus, le compteur de la page d'accueil Encore infecté ne contient plus ces événements. Ces événements vieillissent et sont évacués de la base de données. Cette disparition ne signifie pas que les risques ont été résolus. Aucune limite temporelle ne s'applique aux entrées du compteur Encore infecté. Une fois les risques nettoyés, vous pouvez modifier l'état infecté pour l'ordinateur. Vous pouvez modifier cet état dans le journal Etat de l'ordinateur en cliquant sur l'icône associée à l'ordinateur dans la colonne Infectés. Remarque : Le compteur Nouvellement infecté ne diminue pas lorsque l'état d'infection d'un ordinateur est effacé dans le journal Etat de l'ordinateur, contrairement au compteur Encore infecté. Vous pouvez déterminer le nombre total d'événements qui se sont produits dans la dernière période configurée pour l'afficher sur la page d'accueil. Pour déterminer le nombre total, additionnez les compteurs de toutes les lignes du résumé des actions mis à part la ligne Encore infecté. Se reporter à "Affichage des journaux" à la page 159. 149 150 Utilisation des journaux et des rapports pour contrôler la sécurité A propos de la page d'accueil de Symantec Endpoint Protection Informations sur les rapports ou Description l'état Attaques | Risques | InfectionsPar heure : Dernières 12 heures | Par heure : Dernières 24 heures Ce rapport se compose d'un graphique linéaire. Le graphique linéaire montre l'incidence des attaques, détections ou infections dans votre réseau de sécurité sur les dernières 12 ou 24 heures. Vous pouvez choisir de sélectionner l'un des éléments suivants : Les attaques représentent les incidents que la protection contre les menaces réseau a contrecarrés. ■ Les risques représentent l'ensemble des détections de virus, logiciels espions et détections de l'analyse proactive des menaces TruScan qui ont été effectuées. ■ Les infections représentent les virus et les risques de sécurité qui ont été détectés mais qui ne peuvent pas être entièrement résolues. ■ Vous pouvez modifier l'affichage en cliquant sur une nouvelle vue dans la zone de liste. Remarque : Vous pouvez cliquer sur le lien Préférences pour modifier l'intervalle de temps par défaut qui est utilisé. Résumé de l'état des notifications Le résumé de l'état des notifications présente un résumé en ligne de l'état des notifications que vous avez configurées. Par exemple, 100 notifications sans accusé de réception pendant les 24 dernières heures. Se reporter à "Création des notifications d'administrateur" à la page 168. Résumé de l’état Le Résumé de l'état décrit l'état opérationnel des ordinateurs sur votre réseau. Il indique le nombre d'ordinateurs qui présentent les problèmes suivants sur le réseau : ■ Le moteur antivirus est désactivé. ■ Auto-Protect est désactivé. ■ La protection contre les interventions est désactivée. Les ordinateurs nécessitent un redémarrage pour finir de résoudre un risque ou d'installer un logiciel LiveUpdate téléchargé. ■ Les ordinateurs ont échoué une contrôle de l'intégrité de l'hôte. Ce nombre est toujours zéro si Symantec Network Access Control n'est pas installé. ■ Vous pouvez cliquer sur chaque nombre du Résumé de l'état pour plus de détails. Le nombre de notifications non acquittées des dernières 24 heures s'affiche également. Utilisation des journaux et des rapports pour contrôler la sécurité A propos de la page d'accueil de Symantec Endpoint Protection Informations sur les rapports ou Description l'état Distribution des définitions de virus | Les sections Distribution des définitions de virus et Signatures de prévention Signatures de prévention d'intrusion d'intrusion de la page d'accueil indiquent comment les définitions de virus actuelles et les signatures IPS sont distribuées. Vous pouvez passer d'une section à l'autre en cliquant sur une nouvelle vue dans la zone de liste. Security Response La section Security Response affiche les menaces principales et les dernières menaces telles qu'elle sont détectées par Symantec Security Response. Elle affiche également le nombre d'ordinateurs qui ne sont pas protégés contre ces menaces sur le réseau. Le compteur ThreatCon indique le niveau actuel de gravité de la menace pour les ordinateurs d'un réseau. Les niveaux de gravité sont basés sur les évaluations des menaces que Symantec Security Response établit. Le niveau de gravité ThreatCon fournit une représentation globale de la sécurité sur Internet. Vous pouvez cliquer sur les liens pour obtenir des informations supplémentaires. Remarque : Symantec ne prend pas en charge l'installation de Symantec Client Firewall sur le même ordinateur que Symantec Endpoint Protection Manager. Si vous les installez tous deux sur le même ordinateur, cette situation peut entraîner des erreurs de CGI lorsque vous cliquez sur les liens Security Response de la page d'accueil. Résumé des applications surveillées Le Résumé des applications surveillées indique les occurrences sur votre réseau des applications qui figurent sur les listes suivantes : ■ liste des applications commerciales Symantec ; ■ liste des détections proactives forcées de menaces TruScan (c'est-à-dire votre liste personnalisée d'applications surveillées). Vous pouvez cliquer sur un nombre pour afficher un rapport plus détaillé. Rapports sur les favoris La section Rapports sur les favoris contient trois rapports par défaut. Vous pouvez personnaliser cette section en remplaçant un ou plusieurs de ces rapports par n'importe quel autre rapport par défaut ou personnalisé de votre choix. Les rapports sur les favoris s'exécutent chaque fois que vous les affichez de sorte que leurs données soient toujours pertinentes. Ils s'affichent dans une nouvelle fenêtre. Pour sélectionner les rapports auxquels vous souhaitez accéder depuis la page d'accueil, vous pouvez cliquer sur l'icône Plus (+) en regard de Rapports sur les favoris. 151 152 Utilisation des journaux et des rapports pour contrôler la sécurité A propos des journaux Vous pouvez utiliser le lien Préférences pour modifier la période des rapports et des résumés qui s'affichent sur ces pages. Le paramètre par défaut est Dernières 24 heures. Vous pouvez également choisir l'option La semaine dernière. Vous pouvez modifier les rapports par défaut qui sont affichés dans la section Rapports sur les favoris de la page d'accueil. A propos des journaux Utilisation des journaux, vous pouvez afficher les événements détaillés qui ont été détectés par vos produits de sécurité. Les journaux contiennent des données d'événement issues de vos serveurs de gestion ainsi que de tous les clients qui communiquent avec ces serveurs. Etant donné que les rapports sont statiques et n'incluent pas autant de détails que les journaux, certains administrateurs préfèrent contrôler leur réseau en utilisant des journaux. Il est possible que vous souhaitiez afficher ces informations afin de dépanner des problèmes de sécurité ou de connectivité sur votre réseau. Ces informations peuvent également être utiles pour rechercher d'éventuelles menaces ou vérifier l'historique des événements. Remarque : Les pages des rapports et des journaux s'affichent toujours dans la langue du serveur de gestion. Pour afficher ces pages à l'aide d'une console Symantec Endpoint Protection Manager distante ou d'un navigateur, vous devez disposer de la police appropriée sur l'ordinateur que vous utilisez. Vous pouvez exporter certaines données d'événements de journal vers un fichier délimité par des virgules afin que celui-ci puisse être importé dans une application de tableur. Vous pouvez également exporter d'autres données du journal vers un fichier de vidage mémoire ou un serveur Syslog. A propos des types de journaux, du contenu et des commandes Vous pouvez afficher les types de journaux suivants de la page de Contrôles : ■ Contrôle des applications et des périphériques ■ Audit ■ Conformité ■ Etat de l'ordinateur ■ Protection contre les menaces réseau ■ Analyse proactive des menaces TruScan Utilisation des journaux et des rapports pour contrôler la sécurité A propos des journaux ■ Risque ■ Analyse ■ Système Remarque : Tous ces journaux sont accessibles à partir de la page Contrôles en utilisant l'onglet Journaux. Vous pouvez afficher des informations sur les notifications créées dans l'onglet Notifications et des informations sur l'état des commandes dans l'onglet Etat de la commande. Certains types de journaux sont encore divisés en différents types de contenu pour faciliter l'affichage. Par exemple, les journaux de contrôle des applications et des périphériques incluent le journal de contrôle des applications et le journal de contrôle des périphériques. Vous pouvez également exécuter des commandes à partir de certains journaux. Se reporter à "Affichage et filtrage des informations de notification administrateur" à la page 166. Remarque : Si seul Symantec Network Access Control est installé, seulement certains des journaux contiennent des données ; d'autres journaux sont vides. Le journal d'audit, le journal de conformité, le journal d'état des ordinateurs et le journal système contiennent des données. Si seul Symantec Endpoint Protection est installé, les journaux de conformité et les journaux d'Enforcer sont vides mais tous les autres journaux contiennent des données. Tableau 7-2 décrit les différents types de contenu que vous pouvez afficher et les mesures que vous pouvez prendre à partir de chaque journal. 153 154 Utilisation des journaux et des rapports pour contrôler la sécurité A propos des journaux Tableau 7-2 Type de journal Journal et listes Contenus et actions Contrôle des applications et Le journal Contrôle des applications et le journal Contrôle des périphériques des périphériques contiennent des informations sur les événements dans lesquels certains types de comportement étaient bloqués. Les journaux de contrôle des applications et des périphériques suivants sont disponibles : Contrôle des applications, qui inclut des informations sur la protection contre les interventions ■ Contrôle des périphériques ■ Les informations qui sont disponibles dans le journal de contrôle des applications incluent les éléments suivants : ■ Le moment où l'événement s'est produit ■ La mesure prise ■ Le domaine et l'ordinateur qui étaient concernés ■ La gravité ■ La règle qui était concernée ■ Le processus appellant ■ La cible Les informations qui sont disponibles dans le journal de contrôle des périphériques incluent les éléments suivants : ■ Le moment où l'événement s'est produit ■ Le type d'événement ■ Le domaine et le groupe qui étaient concernés ■ L'ordinateur qui était concerné ■ L'utilisateur qui était impliqué ■ Le nom du système d'exploitation ■ Une description ■ L'emplacement ■ Nom de l'application qui était impliquée Vous pouvez ajouter un fichier à une politique d'exception centralisée à partir du journal Contrôle des applications. Audit Le rapport d'audit contient des informations sur l'activité de modification de la politique. Les informations disponibles incluent le moment et le type des événements ; la politique modifiée ; le domaine, le site et l'administrateur impliqué ; et une description. Aucune action n'est associée à ce journal. Utilisation des journaux et des rapports pour contrôler la sécurité A propos des journaux Type de journal Contenus et actions Conformité Les journaux de conformité contiennent des informations au sujet du trafic du serveur Enforcer, des clients Enforcer et d'Enforcer et sur la conformité des hôtes. Les journaux de conformité suivants sont disponibles si vous avez installé Symantec Network Access Control : Serveur Enforcer Ce journal suit la communication entre les modules d'application Enforcer et leur serveur de gestion. Les informations consignées incluent le nom d'Enforcer, quand il se connecte au serveur de gestion, le type d'événement, le site et le nom du serveur. ■ Client Enforcer Fournit des données sur l'ensemble des connexions client Enforcer, y compris les informations d'authentification point à point. Les données disponibles incluent chaque nom, type, site, serveur à distance et adresse MAC distante d'Enforcer et si le client a été accepté, rejeté ou authentifié. ■ Trafic d'Enforcer (Gateway Enforcer seulement) Fournit quelques informations au sujet du trafic qui passe par un boîtier Enforcer. Ces informations incluent la direction et la période du trafic, le protocole qui a été utilisé, le nom d'Enforcer et le site. Les informations incluent également le port local qui a été utilisé, la direction et un compte. Vous pouvez filtrer les tentatives de connexion qui ont été permises ou bloquées. ■ Conformité d'hôte Ce journal suit les détails des vérifications de l'intégrité d'hôte des clients. Les informations disponibles incluent le moment, l'emplacement, le système d'exploitation, la raison des échecs et une description. ■ Aucune action n'est associée à ces journaux. 155 156 Utilisation des journaux et des rapports pour contrôler la sécurité A propos des journaux Type de journal Etat de l'ordinateur Contenus et actions Utilisation des journaux et des rapports pour contrôler la sécurité A propos des journaux Type de journal Contenus et actions Le journal d'état de l'ordinateur contient des informations sur l'état de fonctionnement des ordinateurs clients dans le réseau en temps réel. Les informations disponibles incluent le nom et l'adresse IP de l'ordinateur, le dernier enregistrement, la date des définitions, l'état d'infection, l'état d'Auto-Protect, le serveur, le groupe, le domaine et le nom d'utilisateur. Vous pouvez exécuter les actions suivantes à partir du journal d'état de l'ordinateur : ■ ■ ■ ■ ■ ■ ■ ■ Analyse Cette commande lance une analyse active, complète ou personnalisée. Les options d'analyse personnalisée sont celles que vous avez définies pour des analyses de commande sur la page Analyse définie par l'administrateur. La commande utilise les paramètres de la politique antivirus et antispyware qui s'applique aux clients que vous avez sélectionnés pour analyse. Mise à jour de contenu Cette commande déclenche une mise à jour des politiques, des définitions et du logiciel depuis la console Symantec Endpoint Protection Manager vers les clients du groupe sélectionné. Mise à jour de contenu et analyse Cette commande déclenche une mise à jour des politiques, des définitions et du logiciel sur les clients du groupe sélectionné. Cette commande lance ensuite une analyse active, complète ou personnalisée. Les options d'analyse personnalisée sont celles que vous avez définies pour des analyses de commande sur la page Analyse définie par l'administrateur. La commande utilise les paramètres de la politique antivirus et antispyware qui s'applique aux clients que vous avez sélectionnés pour analyse. Annuler toutes les analyses Cette commande annule toutes les analyses en cours et toutes les analyses en attente sur les destinataires sélectionnés. Redémarrer les ordinateurs client Cette commande redémarre les ordinateurs que vous avez sélectionnés. Si des utilisateurs sont connectés, ils sont avertis du redémarrage basé sur les options de redémarrage que l'administrateur a configurées pour cet ordinateur. Vous pouvez configurer des options de redémarrage client dans l'onglet Paramètres généraux de la boîte de dialogue Paramètres généraux dans l'onglet Politiques de la page Clients. Activation d'Auto-Protect Cette commande active Auto-Protect pour tous les ordinateurs clients que vous avez sélectionnés. Activation de la protection contre les menaces réseau Cette commande active la protection contre les menaces réseau pour tous les ordinateurs clients que vous avez sélectionnés. Désactivation de la protection contre les menaces réseau Cette commande désactive la protection contre les menaces réseau pour tous les 157 158 Utilisation des journaux et des rapports pour contrôler la sécurité A propos des journaux Type de journal Contenus et actions ordinateurs clients que vous avez sélectionnés. Vous pouvez également effacer l'état d'infection des ordinateurs à partir de ce journal. Protection contre les menaces réseau Les journaux de protection contre les menaces réseau contiennent des informations à propos des attaques sur le pare-feu et sur la prévention d'intrusion. Des informations sont disponibles au sujet des attaques de refus de service, des analyses de port et des modifications qui ont été apportées aux fichiers exécutables. Ils contiennent également des informations sur les connexions qui sont faites par le pare-feu (trafic) et sur les paquets de données qui le traversent. Ces journaux contiennent également certaines des modifications opérationnelles qui sont apportées aux ordinateurs, telles que la détection des applications réseau et la configuration des logiciels. Les informations disponibles incluent des éléments tels que le moment, le type d'événement ; et la mesure prise. Les informations complémentaires disponibles incluent la gravité ; la direction, le nom d'hôte, la mesure prise, l'adresse IP et le protocole impliqué. Les journaux suivants de protection contre les menaces réseau sont disponibles : ■ Attaques ■ Trafic ■ Paquet Aucune action n'est associée à ces journaux. Analyse proactive des menaces TruScan Le journal de la protection proactive contre les menaces TruScan contient des données sur les menaces détectées au cours de cette analyse. Les analyses proactives des menaces TruScan utilisent des technologies heuristiques pour analyser tout comportement similaire à celui des virus ou présentant un risque pour la sécurité. Cette méthode peut détecter des virus inconnus et les risques de sécurité. Les informations disponibles incluent des éléments tels que la période de l'occurrence, le nom d'événement, l'ordinateur et l'utilisateur impliqués, le nom et le type de l'application et le nom du fichier. Vous pouvez ajouter un processus détecté à une politique d'exceptions centralisées préexistente à partir de ce journal. Risque Le journal de Risque contient des informations sur des événements à risque. Les informations disponibles peuvent comprendre le nom et l'heure de l'événement, le nom d'utilisateur, l'ordinateur, le nom du risque, la fréquence, la source et le nom du chemin d'accès. Vous pouvez prendre les mesures suivantes à partir de ce journal : ■ Ajouter le risque à la politique d'exception centralisée ■ Ajouter un fichier à la politique d'exceptions centralisées ■ Ajouter un dossier à la politique d'exceptions centralisées ■ Ajouter une extension à la politique d'exceptions centralisées ■ Suppression de la quarantaine Utilisation des journaux et des rapports pour contrôler la sécurité Affichage des journaux Type de journal Contenus et actions Analyse Le journal d'Analyse contient des informations sur l'activité d'analyse antivirus et antispyware. Les informations disponibles incluent des éléments tels que le nom d'ordinateur, l'adresse IP, l'état, le moment de l'analyse, sa durée et ses résultats. Aucune action n'est associée à ces journaux. Système Les journaux système contiennent des informations sur des événements tels que le démarrage et l'arrêt des services. Les informations disponibles incluent des éléments tels que le moment et le type des événements ; le site, le domaine et le serveur impliqués ; et la gravité. Les journaux système suivants sont disponibles : ■ Administratif ■ Activité client-serveur ■ Activité serveur ■ Activité client ■ Activité Enforcer Aucune action n'est associée à ces journaux. Liste Etat de la commande La liste Etat de la commande contient des informations sur l'état des commandes que vous avez exécutées à partir de la console. Elle inclut des informations telles que la date d'exécution de la commande, qui les a émises et une description de la commande. Elle inclut également l'état d'avancement de la commande et les clients affectés par la commande. Liste Notifications La liste Notifications contient des informations sur des événements de notification. De tels événements incluent des informations telles que la date et l'heure de la notification. Elle inclut également si la notification a été reconnue, qui l'a créée, son sujet et le message. Aucune action n'est associée à ces journaux. Remarque : Le journal de Notifications est accessible à partir de l'onglet Notifications à la page Contrôles, et non à partir de l'onglet Journaux. Se reporter à "Affichage et filtrage des informations de notification administrateur" à la page 166. Affichage des journaux Vous pouvez générer une liste des événements à afficher à partir des journaux basés sur des paramètres de filtrage particuliers. Chaque type de journal et de contenu est associé à une configuration de filtre par défaut que vous pouvez utiliser tel quel ou sous une forme modifiée. Vous pouvez également créer et enregistrer de nouvelles configurations de filtre. Ces nouveaux filtres peuvent 159 160 Utilisation des journaux et des rapports pour contrôler la sécurité Affichage des journaux être basés sur le filtre par défaut ou sur un filtre que vous avez créé précédemment. Si vous enregistrez une configuration de filtre, vous pouvez la restaurer ultérieurement dans la même vue de journal. Cela vous évite de devoir reconfigurer les paramètres à chaque fois. Vous pouvez supprimer vos configurations de filtre personnalisées si elles ne vous sont plus utiles. Remarque : Si des erreurs de base de données se produisent lorsque vous affichez des journaux comprenant de nombreuses données, vous pouvez modifier les paramètres d'expiration de la base de données. Si des erreurs de CGI ou de processus arrêtés surviennent, vous pouvez modifier d'autres paramètres d'expiration. Pour plus d'informations sur ces paramètres d'expiration supplémentaires, reportez-vous à l'article de la base de connaissances Symantec intitulé "Reporting server does not report or shows a timeout error message when querying large amounts of data (Le serveur Reporting ne génère pas de rapport ou affiche un message d'erreur signalant un dépassement de délai)". Etant donné que certaines des informations contenues dans les journaux sont collectées à intervalles réguliers, vous pouvez actualiser vos vues de journal. Pour configurer la fréquence d'actualisation d'un journal, affichez le journal de votre choix et sélectionnez une option dans la zone de liste Actualisation automatique qui se trouve dans la partie supérieure droite de la vue du journal. Remarque : Si vous affichez des données de journal pour des dates particulières, la fonction d'actualisation automatique n'a alors aucun effet. Les données restent toujours les mêmes. Pour une description de chaque option configurable, vous pouvez cliquer sur le lien Plus d'infos du type de rapport sur la console Symantec Endpoint Protection Manager. Vous accédez alors à l'aide contextuelle. Remarque : Les champs d'option de filtre qui acceptent des caractères génériques et recherchent des correspondances ne fait aucune distinction entre majuscules et minuscules. Le caractère astérisque ASCII est le seul astérisque qui puisse être utilisé comme caractère générique. Utilisation des journaux et des rapports pour contrôler la sécurité Affichage des journaux Pour afficher un journal 1 Dans la fenêtre principale, cliquez sur Contrôles. 2 Sous l'onglet Journaux, dans la zone de liste Type de journal, sélectionnez le type de journal que vous souhaitez afficher. 3 Pour certains types de journaux, une liste de contenu de journal apparaît. Si elle apparaît, sélectionnez le contenu que vous voulez afficher. 4 Dans la liste Utiliser un filtre sauvegardé, sélectionnez un filtre sauvegardé ou laissez la valeur par défaut. 5 Sélectionnez une heure dans la liste Plage horaire ou laissez la valeur par défaut. Si vous sélectionnez Définir des dates spécifiques, vous devez définir la ou les dates et heures dont vous souhaitez afficher les entrées. 6 Cliquez sur Paramètres avancés pour limiter le nombre d'entrées à afficher. Vous pouvez également définir les autres Paramètres avancés disponibles pour le type de journal que vous avez sélectionné. 7 Une fois que vous avez obtenu la configuration de vue souhaitée, cliquez sur Afficher le journal. La vue de journal apparaît dans la même fenêtre. Affichage des détails des événements dans les journaux Vous pouvez afficher les détails des événements stockés dans les journaux. Pour afficher les détails d'un événement 1 Dans la fenêtre principale, cliquez sur Contrôles. 2 Sous l'onglet Journaux, dans la zone de liste Type de journal, sélectionnez le type de journal que vous souhaitez afficher. 3 Pour certains types de journaux, une liste de contenu de journal apparaît. Si elle apparaît, sélectionnez le contenu que vous voulez afficher. 4 Cliquez sur Afficher le journal. 5 Cliquez sur l'événement dont vous souhaitez afficher les détails, puis cliquez sur Détails. Afficher les journaux d'autres sites Pour afficher les journaux d'un autre site, vous devez vous connecter à un serveur du site distant depuis la console Symantec Endpoint Protection Manager. Si vous avez un compte sur un serveur du site distant, vous pouvez ouvrir une session à distance et afficher les journaux du site. 161 162 Utilisation des journaux et des rapports pour contrôler la sécurité Exécuter des commandes et des actions à partir des journaux Si vous avez configuré des partenaires de réplication, vous pouvez choisir que tous les journaux des partenaires de réplication soient copiés sur le partenaire local et vice versa. Si vous choisissez de répliquer des journaux, vous voyez par défaut à la fois les informations de votre site et celles des sites répliqués quand vous affichez n'importe quel journal. Si vous voulez consulter un unique site, vous devez filtrer les données pour les limiter à l'emplacement que vous voulez afficher. Remarque : Si vous choisissez de répliquer des journaux, soyez sûr que vous avez le suffisamment d'espace disque pour les journaux supplémentaires de tous les partenaires de réplication. Pour afficher les journaux d'un autre site 1 Ouvrez un navigateur Web. 2 Tapez le nom ou l'adresse IP du serveur et le numéro de port, 9090, dans la zone d'adresse comme suit : http://192.168.1.100:9090 La console effectue alors le téléchargement. L'environnement d'exécution Java 2 (JRE) doit être installé sur l'ordinateur depuis lequel vous vous connectez. Si ce n'est pas le cas, vous êtes invité à télécharger et à installer le JRE. Suivez les invites pour installer le JRE. 3 Dans la boîte de dialogue d'ouverture de session de la console, tapez votre nom d'utilisateur et votre mot de passe. 4 Dans la zone de texte Serveur, si elle ne se remplit pas automatiquement, tapez le nom ou l'adresse IP du serveur et le numéro de port 8443 comme suit : http://192.168.1.100:8443 5 Cliquez sur Connexion. Exécuter des commandes et des actions à partir des journaux Depuis le journal d'état de l'ordinateur, vous pouvez exécuter plusieurs commandes sur des clients sélectionnés. Pour exécuter des commandes, vous pouvez également cliquer sur un groupe avec le bouton droit de la souris directement dans la page Client de la console Symantec Endpoint Protection Manager. L'ordre dans lequel les commandes et les actions Utilisation des journaux et des rapports pour contrôler la sécurité Exécuter des commandes et des actions à partir des journaux sont traitées sur le client diffère selon la commande. Indépendamment d'où la commande est lancée, les commandes et les actions sont traitées de la même manière. Pour plus d'informations au sujet des options que vous pouvez définir quand vous exécutez des commandes, dans la console dans l'onglet Journaux, vous pouvez cliquer sur Plus d'infos. Vous accédez alors à l'aide contextuelle. Depuis l'onglet Etat de la commande, vous pouvez afficher l'état des commandes que vous avez exécutées depuis la console et leurs détails. Vous pouvez également annuler une analyse spécifique depuis cet onglet si l'analyse est en cours. Vous pouvez annuler toutes les analyses en cours et en attente pour les clients sélectionnés depuis le journal d'état de l'ordinateur. Si vous confirmez la commande, le tableau est actualisé et vous voyez la commande d'annulation ajoutée au tableau d'état de commande. Remarque : Si vous exécutez une commande d'analyse et sélectionnez une analyse personnalisée, l'analyse utilise les paramètres d'analyse de commande configurés sur la page Analyse définie par l'administrateur. La commande utilise les paramètres de la politique antivirus et antispyware appliquée aux clients sélectionnés. Si vous exécutez une commande Redémarrer l'ordinateur client depuis un journal, la commande est envoyée immédiatement. Si des utilisateurs sont connectés au client, ils sont avertis du redémarrage selon les options que l'administrateur a configurées pour ce client. Vous pouvez configurer des options de redémarrage client dans l'onglet Paramètres généraux de la boîte de dialogue Paramètres généraux dans l'onglet Politiques de la page Clients. Les journaux suivants vous permettent d'ajouter des exceptions à une politique d'exceptions centralisées : ■ Journal de contrôle d'application ■ Journal TruScan Proactive Threat Scan ■ Journal de risque Pour ajouter n'importe quel type d'exception depuis un journal, vous devez avoir déjà créé une politique d'exceptions centralisées. Depuis le journal de risque, vous pouvez également supprimer des fichiers de la quarantaine. Si Symantec Endpoint Protection détecte des risques dans un fichier compressé, le fichier compressé est tout entier mis en quarantaine. Cependant, le journal de risque contient une entrée séparée pour chaque fichier du fichier compressé. Vous 163 164 Utilisation des journaux et des rapports pour contrôler la sécurité Exécuter des commandes et des actions à partir des journaux ne pouvez pas utiliser la commande Supprimer de la quarantaine du journal de risque pour supprimer seulement les fichiers infectés de la quarantaine. Pour supprimer le(s) risque(s) avec succès, vous devez sélectionner tous les fichiers du fichier compressé avant d'utiliser la commande Supprimer de la quarantaine. Remarque : Pour sélectionner les fichiers dans le fichier compressé, vous devez les afficher tous dans la vue de journal. L'option Limiter dans les paramètres avancés du filtre de journal de risque permet d'augmenter le nombre d'entrées dans la vue. Pour supprimer des fichiers de la quarantaine depuis le journal de risque 1 Cliquez sur Contrôles. 2 Dans l'onglet Journaux, dans la zone de liste Type de journal, sélectionnez le journal de risque, puis cliquez sur Afficher le journal. 3 Sélectionnez dans le journal une entrée qui a un fichier en quarantaine. 4 Dans la zone de liste Action, sélectionnez Supprimer de la mise en quarantaine. 5 Cliquez sur Démarrer. 6 Dans la boîte de dialogue qui apparaît, cliquez sur Supprimer. 7 Dans la boîte de dialogue de confirmation qui apparaît, cliquez sur OK. Pour supprimer un fichier compressé de la quarantaine depuis le journal de risque 1 Cliquez sur Indicateurs. 2 Dans l'onglet Journaux, dans la zone de liste Type de journal, sélectionnez le journal de risque, puis cliquez sur Afficher le journal. 3 Sélectionnez toutes les entrées de fichier dans le fichier compressé. Vous devez voir toutes les entrées du fichier compressé dans la vue de journal. Vous pouvez utiliser l'option Limiter sous Paramètres avancés pour augmenter le nombre d'entrées dans la vue. 4 Dans la zone de liste Action, sélectionnez Supprimer de la quarantaine. 5 Cliquez sur Démarrer. 6 Dans la boîte de dialogue qui s'affiche, cliquez sur Supprimer. 7 Dans la boîte de dialogue de confirmation qui apparaît, cliquez sur OK. Utilisation des journaux et des rapports pour contrôler la sécurité Exécuter des commandes et des actions à partir des journaux Pour exécuter une commande depuis le journal d'état de l'ordinateur 1 Cliquez sur Indicateurs. 2 Dans l'onglet Journaux, dans la zone de liste Type de journal, sélectionnez Etat de l'ordinateur. 3 Cliquez sur Afficher le journal. 4 Sélectionnez une commande dans la zone de liste Opération. 5 Cliquez sur Démarrer. S'il y a des choix de paramètres pour la commande que vous avez sélectionnée, une nouvelle page paraît pour configurer les paramètres appropriés. 6 Une fois la configuration terminée, cliquez sur Oui ou sur OK. 7 Dans la boîte de message de confirmation de commande qui apparaît, cliquez sur Oui. 8 Dans la boîte de dialogue Message, cliquez sur OK. Si la commande n'est pas mise en attente avec succès, vous devrez peut-être répéter cette procédure. Vous pouvez vérifier si le serveur est en panne. Si la console a perdu la connectivité avec le serveur, vous pouvez fermer la session de console puis rouvrir une session pour essayer de résoudre le problème. Pour afficher les détails d'état de commande 1 Cliquez sur Indicateurs. 2 Dans l'onglet Etat de la commande, sélectionnez une commande dans la liste puis cliquez sur Détails. Pour annuler une analyse spécifique en cours 1 Cliquez sur Indicateurs. 2 Dans l'onglet Etat de la commande, cliquez sur l'icone Annuler l'analyse dans la colonne Commande de la commande d'analyse que vous voulez annuler. 3 Lorsqu'un message apparaît pour confirmer que la commande a été mise en file d'attente, cliquez sur OK. Pour annuler toutes les analyses en cours et en attente 1 Cliquez sur Indicateurs. 2 Dans l'onglet Journaux, dans la zone de liste Type de journal, sélectionnez Etat de l'ordinateur. 3 Cliquez sur Afficher le journal. 165 166 Utilisation des journaux et des rapports pour contrôler la sécurité Utilisation des notifications 4 Sélectionnez les ordinateurs dans la liste, puis Tout annuler dans la liste des commandes. 5 Cliquez sur Démarrer. 6 Quand la boîte de dialogue de confirmation apparaît, cliquez sur Oui pour annuler toutes les analyses en cours et en attente pour les ordinateurs sélectionnés. 7 Lorsqu'un message apparaît pour confirmer la mise en file d'attente de la commande, cliquez sur OK. Utilisation des notifications Les notifications sont des messages au sujet des événements de sécurité qui ont eu lieu dans votre réseau. Vous pouvez configurer une multiplicité de types de notifications. Certaines notifications sont adressées aux utilisateurs et certaines notifications sont adressées aux administrateurs. Vous pouvez configurer les actions de notification suivantes pour alerter les administrateurs ou autres utilisateurs spécifiques lorsque certaines conditions en relation avec la sécurité sont remplies : ■ Envoyer un courrier électronique. ■ Exécuter un fichier batch ou un autre fichier exécutable. ■ Consigner une entrée dans le journal des notifications de la base de données. Se reporter à "Création des notifications d'administrateur" à la page 168. Affichage et filtrage des informations de notification administrateur Vous pouvez afficher les informations du journal des notifications de la même façon que les informations qui sont contenues dans d'autres journaux. Vous pouvez filtrer le journal des notifications pour afficher des informations sur un seul type d'événement de notification à la fois. Vous pouvez filtrer l'affichage des notifications et enregistrer les filtres pour future référence. Vous pouvez filtrer le journal des notifications en fonction des critères suivants : ■ Plage horaire ■ Etat d'accusé de réception ■ Type ■ Créateur ■ Nom Utilisation des journaux et des rapports pour contrôler la sécurité Utilisation des notifications Pour afficher toutes les notifications : 1 Dans la console, cliquez sur Clients. 2 Dans l'onglet Notifications, cliquez sur Afficher les notifications. La liste de tous les types de notifications apparaît. Pour filtrer l'affichage des notifications : 1 Dans la console, cliquez sur Indicateurs. 2 Dans l'onglet Notifications, sous le Quels paramètres de filtrage voulez-vous utiliser, cliquez sur Paramètres avancés. 3 Définissez l'option de filtrage souhaitée. Vous pouvez filtrer sur n'importe quelle combinaison : intervalle de temps, état d'accusé de réception, type de notification, créateur ou nom spécifique de notification. 4 Cliquez sur Afficher les notifications. Une liste du type de notifications que vous avez sélectionnées apparaît. Directives de seuil pour les notifications d'administrateur Certains types de notification contiennent des valeurs par défaut quand vous les configurez. Ces directives fournissent des points de départ raisonnables selon la taille de votre environnement, mais qui peuvent devoir être ajustés. Des essais et erreurs peuvent être requis pour trouver le bon équilibre entre un trop grand nombre de notifications et trop peu pour votre environnement. Définissez le seuil à une première limite, puis attendez quelques jours. Voyez si vous recevez des notifications trop rarement ou si les notifications vous inondent, vous ou votre réseau. Pour la détection des virus, des risques de sécurité et des événement de pare-feu, supposons que vous ayez moins de 100 ordinateurs dans un réseau. Un point de départ raisonnable pour ce réseau serait de configurer une notification quand deux événements de risque sont détectés dans un délai d'une minute. Si vous avez 100 à 1000 ordinateurs, la détection de cinq événements de risque dans un délai d'une minute peut constituer un point de départ plus utile. Vous pouvez également vouloir être alerté quand les clients ont des définitions périmées. Vous pouvez vouloir être avisé de chaque client dont le fichier de définitions est périmé de plus de deux jours. 167 168 Utilisation des journaux et des rapports pour contrôler la sécurité Utilisation des notifications Création des notifications d'administrateur Vous pouvez créer et configurer des notifications à déclencher quand certains événements en relation avec la sécurité se produisent. Vous pouvez configurer le logiciel pour prendre les mesures suivantes de notification : ■ Consigner la notification dans la base de données. ■ Envoyer un courrier électronique aux individus. Remarque : Pour envoyer des notifications par message électronique, vous devez également configurer un serveur de messagerie. Pour ce faire, cliquez sur la page Admin > Serveurs, sélectionnez un serveur, cliquez sur Modifier les propriétés du serveur, puis sur l'onglet Serveur de messagerie. ■ Exécuter un fichier batch ou tout autre genre de fichier exécutable. La période d'atténuation par défaut des notifications est Auto (automatique). Si une notification est déclenchée et que l'état de déclenchement continue à exister, l'action de notification que vous avez configurée n'est pas exécutée de nouveau pendant 60 minutes. Par exemple, supposons que vous définissiez une notification de sorte que vous être avisé par courrier électronique quand un virus infecte cinq ordinateurs dans un délai d'une heure. Si un virus continue à infecter vos ordinateurs à ce taux ou à un taux supérieur, Symantec Endpoint Protection vous en informe par courrier électronique toute les heures. Les messages électroniques continuent jusqu'à ce que la cadence ralentisse à moins de cinq ordinateurs par heure. Le logiciel peut être configuré pour vous informer d'un certain nombre de types d'événements différents. Le Tableau 7-3 décrit les différents types d'événements qui déclenchent différents types de notifications. Utilisation des journaux et des rapports pour contrôler la sécurité Utilisation des notifications Tableau 7-3 Types de notification Notification Description Echec d'authentification Les échecs de connexion déclenchent ce type de notification. Vous définissez le nombre d'échecs de connexion et la période qui doivent déclencher une notification. Symantec Endpoint Protection vous informe si le nombre d'échecs de connexion qui se produisent au cours de la période dépasse votre paramètre. Il signale le nombre d'échecs de connexion qui se sont produits. Modification de liste client Les modifications aux clients déclenchent ce type de notification. Les types de modifications qui peuvent déclencher cette notification incluent l'ajout, le mouvement, le changement de nom ou la suppression d'un client. Les possibilités supplémentaires sont que l'état du détecteur non géré d'un client, le mode client ou le matériel ont été modifiés. Alerte de sécurité client Vous pouvez choisir par mi les événements de conformité, de protection contre les menaces réseau, de trafic, de paquet, de contrôle de périphérique et de contrôle d'application. Vous pouvez également choisir le type et l'ampleur de la manifestation qui devrait déclencher cette notification et la période. Les types incluent des occurrences sur n'importe quel ordinateur, des occurrences sur un unique ordinateur ou des occurrences sur des ordinateurs distincts. Certains de ces types requièrent que vous activiez également la consignation dans la politique associée. Enforcer est arrêté Un boîtier Enforcer hors ligne déclenche ce type de notification. La notification vous indique le nom de chaque module Enforcer, son groupe et la période de son dernier état. Forcé ou application commerciale La détection d'une application de la liste des détectée applications commerciales ou de la liste des applications à observer de l'administrateur déclenche cette notification. Nouvelle application apprise Les nouvelles applications apprises déclenchent ce type de notification. Nouveau risque détecté Les nouveaux risques déclenchent ce type de notification. 169 170 Utilisation des journaux et des rapports pour contrôler la sécurité Utilisation des notifications Notification Description Nouveau progiciel Les téléchargements de nouveaux progiciels déclenchent ce type de notification. Manifestation de risque Vous définissez le nombre et le type d'occurrences des nouveaux risques et la période qui devraient déclencher ce type de notification. Les types incluent des occurrences sur n'importe quel ordinateur, des occurrences sur un unique ordinateur ou des occurrences sur des ordinateurs distincts. Etats du serveur Les états de santé du serveur hors ligne, médiocre ou critique déclenchent cette notification. La notification liste le nom du serveur, l'état de santé, la raison et le dernier état. Evénement de risque unique La détection d'un unique événement de risque déclenche cette notification. La notification liste un certain nombre de détails au sujet du risque, incluant l'utilisateur et l'ordinateur impliqués et la mesure prise par Symantec Endpoint Protection. Evénement système Les événements système tels que les activités du serveur et d'Enforcer, les échecs de réplication, les problèmes de sauvegarde et de restauration et les erreurs système déclenchent cette notification. La notification liste le nombre d'événements de ce type qui ont été détectés. Ordinateur non géré Les ordinateurs non gérés déclenchent cette notification. La notification liste des détails tels que l'adresse IP, l'adresse MAC et le système d'exploitation pour chaque ordinateur. Définitions de virus périmées Vous définissez le délai "périmé" en configurant la notification. Vous définissez le nombre d'ordinateurs et le nombre de jours dont les définitions de l'ordinateur doivent être âgées pour déclencher cette notification. En utilisant les paramètres Conditions de notification, vous pouvez configurer une alerte de sécurité client par occurrences sur n'importe quel ordinateur, un ordinateur unique ou des ordinateurs distincts. Vous pouvez également configurer ces options pour une manifestation de risque. Utilisation des journaux et des rapports pour contrôler la sécurité Utilisation des notifications Vous pouvez vouloir créer une notification de protection contre les menaces réseau déclenchée quand un événement de trafic correspond aux critères définis pour une règle de filtrage. Pour créer ce type de notification, vous devez effectuer les tâches suivantes : ■ Dans la liste Règles de politique de pare-feu, cochez l'option Envoyer une alerte par message électronique dans la colonne Consignation des règles à propos desquelles vous voulez être notifié. ■ Dans l'onglet Notifications, configurez une alerte de sécurité client pour les événements de la protection contre les menaces réseau, de paquet ou de trafic. Pour obtenir une description de chaque option configurable, vous pouvez cliquer sur Plus d'infos sur la console Symantec Endpoint Protection Manager. Vous accédez alors à l'aide contextuelle. Remarque : Vous pouvez filtrer votre vue de Conditions de notification que vous avez créé en utilisant la zone de liste Afficher les types de notification. Pour être sûr que les nouvelles notifications que vous créez sont affichées, vérifiez que Tout est sélectionné dans cette zone de liste. Pour créer une notification 1 Dans la console, cliquez sur Contrôles. 2 Dans l'onglet Notifications, cliquez sur Conditions de notification. 3 Cliquez sur Ajouter, puis sélectionnez le type de notification que vous voulez ajouter depuis la liste qui apparaît. 4 Dans la nouvelle fenêtre qui apparaît, dans la zone de texte Nom de la notification, tapez un nom descriptif. 5 Spécifiez les options de filtre que vous voulez. Par exemple, pour certains types de notifications, vous pouvez limiter la notification à des domaines, groupes, serveurs, ordinateurs, risques ou applications spécifiques. 171 172 Utilisation des journaux et des rapports pour contrôler la sécurité Utilisation des notifications 6 Spécifiez les paramètres de notification et les actions que vous voulez voir se produire quand cette notification est déclenchée. Vous pouvez cliquer sur Aide pour consulter des descriptions des options possibles pour tous les types de notifications. Si vous sélectionnez Envoyer un message électronique à comme action à effectuer, la notification par email dépend de l'option du nom d'utilisateur du serveur de messagerie. Le nom d'utilisateur configuré pour le serveur de messagerie dans la boîte de dialogue Propriétés de serveur doit être de la forme utilisateur@domaine. Si ce champ est laissé vide, les notifications sont envoyées par SYSTEM@nom d'ordinateur. Si le serveur de notification a un nom utilisant des caractères sur deux octets (DBCS), vous devez spécifier le champ de nom d'utilisateur avec un nom de compte d'email de la forme utilisateur@domaine. Si vous sélectionnez Exécuter le fichier batch ou exécutable comme action à effectuer, tapez le nom du fichier. Les noms de chemin d'accès ne sont pas autorisés. Le fichier batch ou le fichier exécutable à exécuter doit se trouver dans le répertoire suivant : lecteur:\Program Files\Symantec\Symantec Endpoint Protection Manager\ bin 7 Cliquez sur OK. Pour créer une notification de protection contre les menaces réseau 1 Dans la console, cliquez sur Indicateurs. 2 Dans l'onglet Notifications, cliquez sur Conditions de notification. 3 Cliquez sur Ajouter et sélectionnez l'alerte de sécurité client. 4 Tapez un nom pour cette notification. 5 Si vous voulez limiter cette notification à des domaines, groupes, serveurs ou ordinateurs spécifiques, spécifiez les options de filtrage que vous voulez. 6 Sélectionnez un des types suivants de manifestation : 7 ■ Occurrences sur des ordinateurs distincts ■ Occurrences sur tout ordinateur ■ Occurrences sur ordinateur unique Pour spécifier le type d'activité de protection contre les menaces réseau, cochez l'une des cases suivantes : ■ Pour les attaques et les événements que le pare-feu ou la prévention d'intrusion détecte, cochez Evénements de protection contre les menaces réseau. Utilisation des journaux et des rapports pour contrôler la sécurité Création de rapports rapides ■ Pour les règles de filtrage qui sont déclenchées et enregistrées dans le journal des paquets, cochez Evénements de paquets. ■ Pour les règles de filtrage qui sont déclenchées et enregistrées dans le journal du trafic, cochez Evénements de trafic. 8 Eventuellement, modifiez les conditions de notification par défaut pour définir le nombre d'occurrences dans le nombre de minutes que vous voulez voir déclencher cette notification. 9 Cochez Envoyer un message électronique à, puis tapez les adresses électroniques des personnes que vous voulez informer quand ces critères sont remplis. 10 Cliquez sur OK. L'option Envoyer une alerte par message électronique dans la colonne Consignation de la liste Règles de politique de pare-feu est maintenant opérationnelle. Quand cette notification est déclenchée, le courrier électronique est envoyé. A propos de la modification des notifications existantes Si vous modifiez les paramètres d'une notification existante, les entrées précédentes qu'elle a générées affichent des messages dans le journal des notifications en fonction des nouveaux paramètres. Si vous voulez conserver vos messages de notification précédents dans la vue du journal des notifications, ne modifiez les paramètres d'aucune notification existante. Au lieu de cela, créez une notification avec un nouveau nom. Ensuite, désactivez la notification existante en désélectionnant les actions que vous avez configurées sous Que doit-il se produire lorsque cette notification est déclenchée. Création de rapports rapides Générez un rapport rapide à partir des options Paramètres de base qui apparaissent sous "Quels paramètres de filtrage voulez-vous utiliser". Si vous voulez configurer des options supplémentaires pour construire un rapport, cliquez sur Paramètres avancés. Les paramètres de base et les paramètres avancés varient d'un rapport à l'autre. Pour obtenir une description de chaque paramètre avancé configurable, vous pouvez cliquer sur le lien Plus d'infos du type de rapport dans la console Symantec Endpoint Protection Manager. L'option Plus d'infos affiche l'aide contextuelle de ce type de rapport. 173 174 Utilisation des journaux et des rapports pour contrôler la sécurité Création de rapports rapides Vous pouvez enregistrer les paramètres d'un rapport afin de pouvoir exécuter le même rapport ultérieurement et vous pouvez imprimer et enregistrer des rapports. Remarque : Les champs d'option de filtre qui acceptent des caractères génériques et recherchent des correspondances ne distinguent pas les majuscules et les minuscules. L'astérisque ASCII est le seul astérisque qui puisse être utilisé comme caractère générique. Tableau 7-4 décrit tous les Paramètres de base disponibles pour tous les types de rapports rapides. Tableau 7-4 Paramètres de filtre de base pour les rapports rapides Paramètre Description Plage horaire Spécifie l'intervalle de temps des événements que vous voulez afficher dans le rapport. Sélectionnez une des périodes suivantes : ■ Les dernières 24 heures ■ La semaine dernière ■ Le mois dernier ■ Le mois en cours ■ Les trois derniers mois ■ L'année dernière ■ Définir des dates spécifiques Si vous sélectionnez Définir des dates spécifiques, certains rapports requièrent la définition d'une date de début et de fin. D'autres rapports requièrent que vous définissiez la date du dernier enregistrement, qui correspond à la dernière fois où l'ordinateur s'est authentifié à son serveur. Le paramètre par défaut est Les dernières 24 heures. Date de début Définit la date de début pour la plage de dates. Cette option n'est disponible que lorsque vous sélectionnez l'option Définir des dates spécifiques pour la plage horaire. Date de fin Définit la date de fin pour la plage de dates. Cette option est disponible uniquement lorsque vous sélectionnez l'option Définir des dates spécifiques pour la plage horaire. Remarque : Vous ne pouvez pas définir une date de fin qui soit la même que la date de début ou antérieure à la date de début. Utilisation des journaux et des rapports pour contrôler la sécurité Création de rapports rapides Paramètre Description Dernière Spécifie que vous voulez consulter toutes les entrées qui impliquent un ordinateur qui ne authentification après s'est pas authentifié à son serveur depuis cette époque. Seulement disponible pour les rapports d'état de l'ordinateur quand vous sélectionnez Définir des dates spécifiques pour l'intervalle de temps. Etat Disponible pour le rapport de conformité d'état de conformité du réseau. Sélectionnez parmi les actions suivantes : ■ Authentifié ■ Déconnecté ■ Echec ■ Réussi ■ Rejeté Disponible pour le rapport de conformité d'état de conformité. Sélectionnez parmi les actions suivantes : Regrouper par ■ Réussi ■ Echec De nombreux rapports peuvent être regroupés de façon appropriée. Par exemple, le choix le plus commun est d'afficher des informations pour seulement un groupe ou sous-réseau, mais certains rapports fournissent d'autres choix appropriés. 175 176 Utilisation des journaux et des rapports pour contrôler la sécurité Création de rapports rapides Paramètre Description Cible Disponible pour le rapport sur les principales cibles attaquées de la protection contre les menaces réseau. Sélectionnez parmi les options suivantes : ■ Groupe ■ Sous-réseau ■ Client ■ Port Disponible pour le rapport Attaques dans le temps de la protection contre les menaces réseau. Sélectionnez parmi les options suivantes : ■ Tous ■ Groupe ■ Adresse IP ■ Système d'exploitation ■ Nom d'utilisateur ■ Type d'attaque Disponible pour les rapports Applications bloquées dans le temps et Notifications de trafic dans le temps de la protection contre les menaces réseau. Sélectionnez parmi les options suivantes : ■ Toutes ■ Groupe ■ Adresse IP ■ Système d'exploitation ■ User Name Disponible pour le rapport Principales notifications de trafic de la protection contre les menaces réseau. Sélectionnez parmi les options suivantes : Axe X Axe Y Largeur d'emplacement ■ Toutes ■ Trafic ■ Paquet Disponible pour le rapport de corrélation des principales détections de risque. Sélectionnez parmi les options suivantes : ■ Ordinateur ■ Nom de l'utilisateur ■ Domaine ■ Groupe ■ Serveur ■ Nom du risque Spécifie la largeur d'un emplacement pour former un histogramme. Disponible pour le rapport d'analyse d'histogramme d'analyses statistiques. Utilisation des journaux et des rapports pour contrôler la sécurité Création de rapports rapides Paramètre Description Nombre d'emplacements Spécifie le nombre d'emplacements que vous voulez utiliser pour former les barres d'un histogramme. Disponible pour le rapport d'analyse d'histogramme d'analyses Statistiques. Les paramètres avancés permettent un contrôle supplémentaire des données que vous voulez afficher. Ils sont spécifiques au type et au contenu de rapport. Pour obtenir une description de chaque paramètre avancé que vous pouvez configurer, vous pouvez cliquer sur Plus d'infos en regard du type de rapport dans la console. Le lien Plus d'infos affiche l'aide contextuelle de ce type de rapport. Pour créer un rapport rapide 1 Dans la console, cliquez sur Rapports. 2 Dans l'onglet Rapports rapides, dans la zone de liste Type de rapport, sélectionnez le type de rapport que vous voulez créer. Par exemple, sélectionnez Risque. 3 Sous le type de rapport d'analyse que vous désirez consulter, dans la zone de liste Sélectionner un rapport, sélectionnez le nom du rapport que vous voulez afficher. Par exemple, sélectionnez Compte des détections de Risque. 4 Dans la zone de liste Utilisez un filtre sauvegardé, sélectionnez une configuration de filtre sauvegardé, ou conservez le filtre par défaut. 5 Sous les paramètres de filtrage que vous désirez utiliser, dans la zone de liste Plage horaire, sélectionnez l'intervalle de temps pour le rapport. 6 Si vous sélectionniez Définir des dates spécifiques, alors utilisez les zones de liste Date de début et Date de fin. Ces options définissent l'intervalle de temps à propos duquel vous voulez afficher des informations. 7 Si vous voulez configurer des paramètres supplémentaires pour le rapport, cliquez sur Paramètres avancés et définissez les options que vous voulez. Vous pouvez cliquer sur Plus d'infos dans l'onglet Rapports rapides pour consulter les descriptions des options de filtre dans l'aide contextuelle. Quand le bouton à 3 points est disponible, il vous conduit à une liste des options connues pour ce choix. Par exemple, cette option peut vous conduire à une liste des serveurs connus ou à une liste des domaines connus. Vous pouvez enregistrer les paramètres de configuration du rapport si vous pensez vouloir exécuter à nouveau ce rapport à l'avenir. 8 Cliquez sur Créer un rapport. 177 178 Utilisation des journaux et des rapports pour contrôler la sécurité Création de rapports rapides