Professional Documents
Culture Documents
Mentions lgales
Copyright 2010 Symantec Corporation. Tous droits rservs. Symantec, le logo Symantec, Bloodhound, Confidence Online, Digital Immune System, LiveUpdate, Norton, Sygate et TruScan sont des marques commerciales ou des marques dposes de Symantec Corporation ou de ses filiales aux Etats-Unis et dans d'autres pays. Les autres noms sont des marques commerciales de leurs dtenteurs respectifs. Ce produit Symantec peut contenir le logiciel tiers pour lequel Symantec est tenu de fournir une attribution tierce partie ("Programmes tiers"). Certains de ces logiciels sont mis disposition en licence logicielle libre ou avec des licences gratuites. Le Contrat de licence accompagnant le logiciel ne modifie en aucun cas vos droits et vos obligations en vertu de ces licences. Pour plus d'informations sur les logiciels tiers, reportez-vous l'annexe consacre aux mentions lgales sur les logiciel tiers ou au fichier LisezMoi TPIP accompagnant ce produit. Le produit dcrit dans ce document est distribu aux termes d'une licence limitant son utilisation, sa copie, sa distribution et sa dcompilation/ingnierie inverse. Ce document ne peut, en tout ou partie, tre reproduit sous aucune forme et par aucun moyen sans l'autorisation pralable crite de Symantec Corporation et de ses dtenteurs de licence ventuels. LA DOCUMENTATION EST FOURNIE "EN L'ETAT" ET TOUTE GARANTIE OU CONDITION D'AUCUNE SORTE, EXPRESSE OU IMPLICITE, Y COMPRIS, SANS QUE CELA SOIT LIMITATIF, LES GARANTIES OU CONDITIONS IMPLICITES DE QUALITE MARCHANDE, D'ADEQUATION A UN USAGE PARTICULIER OU DE RESPECT DES DROITS DE PROPRIETE INTELLECTUELLE EST REFUTEE, EXCEPTE DANS LA MESURE OU DE TELLES EXCLUSIONS SERAIENT TENUES POUR LEGALEMENT NON VALIDES. SYMANTEC CORPORATION NE PEUT ETRE TENUE POUR RESPONSABLE DES DOMMAGES DIRECTS OU INDIRECTS RELATIFS AU CONTENU OU A L'UTILISATION DE LA PRESENTE DOCUMENTATION. LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION PEUVENT ETRE MODIFIEES SANS PREAVIS. Le Logiciel sous licence est considr comme logiciel informatique commercial conformment aux dfinitions de la section FAR 12.212 et soumis des droits restreints tels que dfinis dans la section FAR 52.227.19 "Commercial Computer Licensed Software - Restricted Rights" et DFARS 227.7202 "Rights in Commercial Computer Licensed Software or Commercial Computer Licensed Software Documentation" tels qu'applicable, et tous rglements qui les remplaceraient. Toute utilisation, modification, reproduction, publication, excution, prsentation ou communication du Logiciel sous licence et de la documentation par le
gouvernement des Etats-Unis ne peut se faire que conformment aux conditions du prsent contrat. Symantec Corporation 350 Ellis Street Mountain View, CA 94043 http://www.symantec.fr
Support technique
Le support technique de Symantec se compose de centres de support rpartis dans le monde entier. Le rle principal du support technique est de ragir des requtes spcifiques sur les caractristiques et la fonctionnalit des produits. Le groupe de support technique contribue galement la cration de contenu pour notre base de donnes en ligne. Il travaille en collaboration avec les autres domaines fonctionnels de Symantec pour rpondre vos questions aussi rapidement que possible, par exemple avec l'ingnierie de produit et Symantec Security Response pour fournir des services d'alerte et des mises jour de dfinitions de virus. Les offres de support de Symantec englobent :
un ventail d'options de support pour un volume flexible de services adapt aux socits de toute taille ; support tlphonique et/ou par le Web pour des rpondes rapides et des informations actuelles ; garantie de mise niveau par des mises niveau logicielles ; prise en charge achete sur une base des heures ouvrables rgionales ou 24 heures sur 24 et 7 jours sur 7 ; offres de la meilleure qualit de service qui incluent des services de gestion des comptes.
Pour plus d'informations sur les programmes de maintenance de Symantec, vous pouvez visiter notre site Web en accdant l'URL suivante : http://www.symantec.com/fr/fr/business/support/
Mmoire disponible, espace disque et informations sur la carte rseau Systme d'exploitation Niveau de correctif logiciel et de version Topologie du rseau Routeur, passerelle et informations sur l'adresse IP Description du problme :
Messages d'erreur et fichiers journaux Tentatives de dpannage effectues avant de contacter Symantec Modifications rcentes apportes la configuration logicielle et au rseau
Licence et enregistrement
Si votre produit Symantec requiert un enregistrement ou une cl de licence, accdez notre page Web de support technique l'URL suivante : http://www.symantec.com/fr/fr/business/support/
Service client
Les informations du service client sont disponibles en accdant l'URL suivante : http://www.symantec.com/fr/fr/business/support/ Le service client est fournit son aide pour les questions non techniques, telles que les types suivants de problmes :
questions concernant l'octroi et le numro de licence ; mises jour des donnes fournies l'enregistrement du produit, telles que l'adresse ou le nom ; informations gnrales sur le produit (fonctions, langues disponibles, distributeurs locaux) ; dernires informations sur les mises jour et les mises niveau du produit ; Informations sur l'assurance et les contrats de support de mise niveau informations sur les Programmes d'achats Symantec ; conseil sur les options du support technique Symantec ; questions non techniques pralables la vente ; problmes lis aux CD-ROM ou aux manuels.
Services de conseil
Services de formation
Pour accder plus d'informations sur les services destins aux entreprises, visitez s'il vous plat notre site Web sur l'URL suivante : http://www.symantec.com/fr/fr/business/services/ Slectionnez votre pays ou langue dans le sommaire du site.
Section 1
Chapitre 1
Chapitre 2
Chapitre 3
Gestion de la console Symantec Endpoint Protection Manager avec Symantec Protection Center .............................................................................. 45
A propos de Symantec Protection Center .......................................... Architecture de Symantec Protection Center ..................................... Connexion Symantec Protection Center ......................................... Tableau de bord de Symantec Protection Center ................................ A propos de la gestion des comptes Symantec Protection Center ........... Configuration de Symantec Protection Center pour grer des produits ............................................................................... Rapports Symantec Protection Center .............................................. A propos de documentation de Symantec Protection Center ................. 45 46 48 49 49 51 53 54
Chapitre 4
Chapitre 5
Chapitre 6
10
Chapitre 7
Chapitre 8
11
Utiliser l'Intelligent Updater pour tlcharger des mises jour du contenu d'antivirus pour la distribution .................................... A propos des fichiers utiliss dans la distribution tiers du contenu LiveUpdate .......................................................................... A propos de l'utilisation d'outils de distribution tiers pour distribuer des mises jour de contenu aux clients grs ............................. Activer la distribution de contenu tiers aux clients grs avec une politique de paramtres LiveUpdate ......................................... Distribution du contenu aux clients grs par des outils de distribution tiers ................................................................................... A propos de l'utilisation d'outils de distribution tiers pour distribuer des mises jour de contenu aux clients autogrs ....................... Excution de LiveUpdate sur un client partir de la console ...............
Chapitre 9
Chapitre 10
Gestion de la communication entre les serveurs de gestion et les clients ................................................... 187
Gstion de la connexion entre les serveurs de gestion et les clients ................................................................................ A propos des serveurs de gestion ................................................... Ajout d'une liste de serveurs de gestion .......................................... Spcification d'une liste de serveurs de gestion ................................ Modification de l'ordre de connexion des serveurs de gestion ............. Assignation d'une liste de serveurs de gestion un groupe et un emplacement ....................................................................... Affichage des groupes et des empacements auxquels une liste de serveurs de gestion est assigne .............................................. Remplacement d'une liste de serveurs de gestion ............................. Copie et collage d'une liste de serveurs de gestion ............................. Exportation et importation d'une liste de serveurs de gestion ............. Affichage de l'tat de sant du client dans la console de gestion .......... Configurer des paramtres de communication pour un emplacement ....................................................................... 188 190 191 192 193 194 195 195 196 196 197 199
12
Rsolution des problmes de communication entre le serveur de gestion et le client ................................................................ Investigation des problmes de client ....................................... Utiliser la commande ping pour tester la connectivit du serveur de gestion ..................................................................... Utiliser un navigateur pour tester la connectivit au serveur de gestion ......................................................................... Utiliser Telnet pour tester la connectivit au serveur de gestion ......................................................................... Vrification du journal de dbogage sur l'ordinateur client ........... Vrifier les journaux de bote de rception sur le serveur de gestion ......................................................................... Vrifier les journaux IIS sur le serveur de gestion ....................... Rcuprer les paramtres de communication client en utilisant l'outil SylinkDrop ...........................................................
Chapitre 11
13
Modification d'une action et ranalyse des ordinateurs identifis ...................................................................... Redmarrage des ordinateurs ncessitant un redmarrage pour terminer la rsolution ..................................................... A propos de l'tude et du nettoyage des risques restants .............. Elimination d'un vnement suspect ........................................ Mise jour des dfinitions et ranalyse .................................... Recherche des clients hors ligne ....................................................
Chapitre 12
14
A propos de l'utilisation du filtre Dernires 24 heures dans les rapports et les journaux ......................................................... A propos de l'utilisation des filtres qui recherchent des groupes dans les rapports et les journaux .................................................... Impression et enregistrement d'une copie d'un rapport ..................... A propos de l'utilisation de SSL avec les fonctions de notification ......................................................................... Points importants quant l'utilisation des rapports ..........................
Chapitre 13
Chapitre 14
15
Basculer entre un administrateur et un administrateur limit ............. Verrouillage d'un compte d'administrateur aprs de trop nombreuses tentatives de connexion ......................................................... Rinitialisation du mot de passe administrateur admin ................... Installer l'authentification pour les comptes administrateur .............. Renommer un compte administrateur ............................................ Modifier le mot de passe d'un administrateur ..................................
Section 2
Chapitre 15
Chapitre 16
Chapitre 17
16
Chapitre 18
Chapitre 19
Chapitre 20
Chapitre 21
Chapitre 22
17
Sauvegarde d'une base de donnes Microsoft SQL ............................. Sauvegarde d'une base de donnes Microsoft SQL ....................... Sauvegarde d'une base de donnes SQL Microsoft avec l'assistant de plan de maintenance de base de donnes ......................... Sauvegarde d'une base de donnes intgre ..................................... Planification des sauvegardes automatiques de la base de donnes .............................................................................. Restauration d'une base de donnes ............................................... Modification du nom et de la description d'une base de donnes .......... Reconfiguration d'une base de donnes Microsoft SQL ...................... Reconfiguration d'une base de donnes intgre .............................. A propos de la gestion des donnes de journal .................................. A propos des donnes de journal et du stockage ......................... Suppression manuelle des donnes de journal de la base de donnes ........................................................................ Donnes consignes des clients hrits ..................................... Configuration des paramtres de journal pour les serveurs d'un site .............................................................................. A propos de la configuration du regroupement des vnements ................................................................... Configuration des paramtres de journal client .......................... A propos de la configuration des options de gestion des journaux pour les politiques antivirus et antispyware ........................ Sauvegarde des journaux pour un site ...................................... A propos du chargement de grandes quantits de donnes de journal client ................................................................. A propos de la gestion des vnements de journal dans la base de donnes .................................................................... Configuration des options de maintenance de la base de donnes pour des journaux ........................................................... A propos de l'utilisation de l'utilitaire interactif SQL avec la base de donnes intgre ........................................................ Modification des paramtres d'expiration ................................. A propos de la restauration des journaux systme client corrompus sur les ordinateurs 64 bits ................................
383 383 384 388 389 390 391 392 394 396 396 397 398 398 399 400 401 401 402 404 404 405 406 406
Chapitre 23
18
Dconnexion des partenaires de rplication .............................. Planification de la rplication automatique et la demande ............... Rplication des donnes la demande ...................................... Modification des frquences de rplication ................................ Rplication des packages client et contenu LiveUpdate ...................... Rplication des journaux .............................................................
Chapitre 24
421
A propos de la protection contre les interventions ............................ 421 Configuration de la protection contre les interventions ..................... 422
Section 3
Chapitre 25
19
A propos des analyses proactives des menaces TruScan ............... A propos de l'analyse aprs la mise jour des fichiers de dfinitions .................................................................... A propos de l'analyse des extensions ou des dossiers slectionns .................................................................. A propos de l'exclusion de fichiers et de dossiers spcifiques .................................................................... A propos des actions pour les virus et les risques de scurit dtects par les analyses sur des clients Windows .................................. A propos des actions pour les virus et les risques de scurit dtects par les analyses sur des clients Mac ......................................... Dfinir des paramtres de gestion des journaux dans une politique antivirus et antispyware ........................................................ A propos de l'interaction client avec des options d'antivirus et de protection antispyware .......................................................... Modifier le mot de passe ncessaire pour analyser des lecteurs rseau mapps ............................................................................... Configuration du Centre de scurit Windows pour qu'il fonctionne avec le client Symantec Endpoint Protection ............................. Afficher un avertissement lorsque les dfinitions sont primes ou manquantes ........................................................................ Spcification d'une URL devant apparatre dans des notifications d'erreur d'antivirus et de protection antispyware ....................... Spcifier une URL pour une page d'accueil de navigateur ................... Configuration des options qui s'appliquent aux analyses antivirus et antispyware ........................................................................ Configurer des analyses des extensions de fichier choisies ........... Configurer les analyses des dossiers slectionns ....................... A propos des exceptions de risques de scurit ........................... Configuration des actions pour des dtections connues de virus et de risque de scurit sur les clients Windows ................... Configuration des actions pour des dtections connues de virus et de risque de scurit sur les clients Mac .......................... A propos des messages de notification sur les ordinateurs infects ........................................................................ Personnaliser et afficher des notifications sur les ordinateurs infects ........................................................................ Transmettre des informations sur des analyses Symantec ............... A propos de la limitation des soumissions ................................. Configurer des options de soumission ...................................... Gestion des fichiers en quarantaine ............................................... A propos des paramtres de quarantaine .................................. Spcifier un rpertoire de quarantaine local ..............................
450 450 451 455 455 457 457 458 459 459 461 462 463 463 464 465 466 466 468 468 469 471 472 473 474 474 474
20
Configurer des options de nettoyage automatique ...................... Transmettre des lments en quarantaine un serveur de quarantaine centralise ................................................... Transmettre des lments en quarantaine Symantec ................ Configurer des actions effectuer la rception de nouvelles dfinitions de virus ........................................................
Chapitre 26
Chapitre 27
21
Excuter des analyses la demande ............................................... 508 Configurer des options de progression d'analyse pour des analyses dfinies par l'administrateur .................................................. 510 Dfinir des options avances pour des analyses dfinies par l'administrateur ................................................................... 511
Section 4
Chapitre 28
Chapitre 29
22
Blocage d'un ordinateur attaquant ........................................... Installation d'une liste des ordinateurs exclus ............................ Cration de signatures IPS personnalises ...................................... Attribution de multiples bibliothques IPS personnalises un groupe .......................................................................... Modifier l'ordre des signatures ................................................ Copier et coller des signatures ................................................ Dfinir des variables pour des signatures ..................................
Chapitre 30
Section 5
Chapitre 31
23
A propos des processus dtects par les analyses proactives des menaces TruScan ................................................................. A propos de la gestion des faux positifs dtects par les analyses proactives des menaces TruScan ............................................. A propos de les processus que les analyses proactives des menaces TruScan ignorent ................................................................. Comment les analyses proactives des menaces TruScan fonctionnent avec la quarantaine ............................................................... Comment les analyses proactives des menaces TruScan fonctionnent avec des exceptions centralises .............................................. Comprendre les dtections proactives de menaces TruScan ................ Spcifier les types de processus que les analyses proactives des menaces dtectent .......................................................... Spcification des actions et des niveaux de sensibilit pour dtecter des chevaux de Troie, des vers et des enregistreurs de frappe ...................................................................... Spcifier des actions pour les dtections d'application commerciale .................................................................. Configurer la frquence d'analyse proactive des menaces TruScan .............................................................................. Configuration des notifications pour les analyses proactives des menaces TruScan .................................................................
Chapitre 32
24
Cration d'un groupe de rgles de contrle d'applications et ajout d'une nouvelle rgle au groupe .......................................... Ajout de conditions une rgle ............................................... Configuration des proprits de condition d'une rgle ................. Configurer les actions prendre lorsqu'une condition est remplie ......................................................................... Application d'une rgle des applications spcifiques et exclusion d'une rgle pour certaines applications ............................... Modification de l'ordre dans lequel les ensembles de rgles de contrle des applications sont appliqus. ............................ Dsactivation des ensembles de rgles de contrle des applications et des rgles individuelles dans une politique de contrle des applications et des priphriques ................. Modification du mode d'un ensemble de rgles de contrle des applications .................................................................. Configuration d'un contrle des priphriques pour une politique de contrle des applications et des priphriques ...........................
Chapitre 33
Personnalisation des politiques de contrle des applications et des priphriques ............................ 625
A propos des priphriques matriels ............................................. A propos des identificateurs de classe ...................................... A propos des ID de priphrique .............................................. Obtention d'un ID de classe ou de priphrique ................................ Ajouter un quipement la liste des priphriques matriels .............. Modifier un quipement dans la liste des priphriques matriels ............................................................................ A propos de l'autorisation d'utiliser des applications, des correctifs et des utilitaires ................................................................... Cration et importation d'une liste de signatures de fichiers ............... Cration d'une liste de signatures de fichiers ............................. Modifier une liste de signatures de fichier dans Symantec Endpoint Protection Manager ........................................... Importer une liste des signatures de fichier dans Symantec Endpoint Protection Manager ........................................... Fusionner des listes de signatures de fichier dans Symantec Endpoint Protection Manager .......................................... Suppression d'une liste de signatures de fichier ......................... A propos du verrouillage du systme .............................................. Prrequis au verrouillage du systme ....................................... Configurer le verrouillage du systme ............................................ 625 626 626 627 628 629 629 630 631 632 633 634 635 636 637 638
25
Section 6
Chapitre 34
Annexe A
26
Saisie d'un paramtre si le client est protg par mot de passe ............................................................................ 668
Annexe B
Annexe C
Section
Chapitre 1. Prsentation de Symantec Endpoint Protection Chapitre 2. Dmarrage de la console Symantec Endpoint Protection Manager Chapitre 3. Gestion de la console Symantec Endpoint Protection Manager avec Symantec Protection Center Chapitre 4. Gestion des groupes et des clients Chapitre 5. Gestion des emplacements d'un groupe Chapitre 6. Utilisation des politiques Chapitre 7. Utilisation des packages d'installation client Chapitre 8. Mise jour des dfinitions et du contenu Chapitre 9. Affichage des fonctions dans l'interface utilisateur client Chapitre 10. Gestion de la communication entre les serveurs de gestion et les clients Chapitre 11. Surveillance de la protection de terminal Chapitre 12. Affichage et configuration des rapports
28
Chapitre 13. Affichage et configuration des journaux et des notifications Chapitre 14. Grer des domaines et des administrateurs
Chapitre
A propos de Symantec Endpoint Protection A propos de Symantec Network Access Control Composants de Symantec Endpoint Protection et Symantec Network Access Control Fonctions principales de Symantec Endpoint Protection et Symantec Network Access Control A propos des types de protection
30
Votre logiciel Symantec peut inclure Symantec Network Access Control. Symantec Network Access Control utilise galement Symantec Endpoint Protection Manager pour installer et grer Symantec Endpoint Protection et Symantec Network Access Control. Symantec Network Access Control garantit que les clients sont conformes avec les politiques de scurit de votre socit avant qu'ils soient autoriss accder votre rseau. Symantec Endpoint Protection et Symantec Network Access Control travaillent ensemble mais sont vendus sparment. Se reporter "A propos de Symantec Network Access Control" la page 30. Se reporter "Composants de Symantec Endpoint Protection et Symantec Network Access Control" la page 30.
Prsentation de Symantec Endpoint Protection Composants de Symantec Endpoint Protection et Symantec Network Access Control
31
Se reporter "Ce que vous pouvez faire partir de la console" la page 42. Base de donnes La base de donnes qui enregistre des politiques de scurit et des vnements. La base de donnes est installe sur l'ordinateur qui hberge Symantec Endpoint Protection Manager. Se reporter "A propos de la gestion des bases de donnes" la page 379. Client Symantec Endpoint Protection Le client Symantec Endpoint Protection protge les ordinateurs avec des analyses antivirus, un pare-feu, un systme de prvention des intrusions, et d'autres technologies de protection. Il s'excute sur les serveurs, les ordinateurs de bureau et les ordinateurs portables que vous voulez protger. Pour plus d'informations, consultez le Guide client de Symantec Endpoint Protection et Symantec Network Access Control. Client Symantec Network Access Control Le client Symantec Network Access Control Mac applique la conformit des politiques de scurit sur les ordinateurs client en utilisant des vrifications de l'intgrit de l'hte et des fonctions d'auto-application. Le client signale son tat de conformit d'intgrit de l'hte Symantec Enforcer. Pour plus d'informations, consultez le Guide de mise en oeuvre de Symantec Network Access Control Enforcement. Pour plus d'informations, consultez le Guide client de Symantec Endpoint Protection et Symantec Network Access Control.
32
Prsentation de Symantec Endpoint Protection Composants de Symantec Endpoint Protection et Symantec Network Access Control
Composant
Description
Symantec Protection Center Symantec Protection Center est install quand vous installez Symantec Endpoint Protection Manager. Protection Center vous permet d'intgrer des consoles de gestion partir de plusieurs produits de scurit Symantec dans un environnement de gestion unique. Se reporter "A propos de Symantec Protection Center" la page 45. Symantec Enforcer (facultatif) Un module d'application Enforcer s'assure que les clients qui essayent de se connecter au rseau soient conformes aux politiques de scurit configures. Vous pouvez restreindre les ordinateurs non conformes des segments de rseau spcifiques en vue de la correction et pouvez interdire compltement l'accs aux ordinateurs non conformes. Symantec Network Access Control fournit les types de modules d'application Enforcer suivants : Le botier Enforcer, qui est un botier matriel sur lequel vous installez une de plusieurs images de botier de Symantec Enforcer. Les modules d'application Integrated Enforcers, qui sont les composants logiciels qui interagissent avec un serveur DHCP et un serveur Windows NPS de Microsoft.
Pour plus d'informations, consultez le Guide de mise en oeuvre de Symantec Network Access Control Enforcement. Clients Symantec Network Access Control la demande pour Windows et Macintosh (facultatifs) Serveur LiveUpdate (facultatif) Les clients la demande sont les clients temporaires que vous fournissez aux utilisateurs lorsqu'ils n'ont pas accs au rseau parce qu'ils ne disposent pas du logiciel qui est conforme votre politique de scurit. Le serveur LiveUpdate tlcharge des dfinitions, des signatures et des mises jour de produit d'un serveur Symantec LiveUpdate et distribue les mises jour aux ordinateurs client. Pour de plus amples informations, consultez le Guide de l'utilisateur de Symantec LiveUpdate Administrator.
Prsentation de Symantec Endpoint Protection Composants de Symantec Endpoint Protection et Symantec Network Access Control
33
Composant
Quarantaine centralise (facultative)
Description
La quarantaine centralise reoit les fichiers suspects et les lments infects non rpars des clients de Symantec Endpoint Protection. La quarantaine centralise transfre un chantillon Symantec Security Response, qui analyse l'chantillon. Si une menace est nouvelle, Symantec Security Response produit des mises jour de scurit. Pour plus d'informations, consultez le Guide de mise en oeuvre de Symantec Central Quarantine.
Figure 1-1
Ordinateur excutant le client Symantec Endpoint Protection ou le client Symantec Network Access Control, connects via un tunnel VPN
Internet
Pare-feu
Symantec Endpoint Protection Manager, avec le client Symantec Endpoint Protection ou le client Symantec Network Access Control install
Ordinateurs excutant le client Symantec Endpoint Protection ou le client Symantec Network Access Control
Se reporter "A propos de Symantec Endpoint Protection" la page 29. Se reporter "A propos de Symantec Network Access Control" la page 30. Se reporter "Fonctions principales de Symantec Endpoint Protection et Symantec Network Access Control" la page 34.
34
Prsentation de Symantec Endpoint Protection Fonctions principales de Symantec Endpoint Protection et Symantec Network Access Control
Analyses d'ordinateur client pour des virus et des menaces de scurit. Dtection et rparation des effets des virus, des vers, des chevaux de Troie, des spyware, des logiciels publicitaires et des rootkits connus. Analyse des processus pour les anomalies de comportement pour dtecter les virus connus et inconnus et les risques de scurit. Prvention de l'accs des utilisateurs non autoriss aux ordinateurs et rseaux qui se connectent Internet. Nettoyage, suppression et mise en quarantaine des fichiers infects. Dtection automatique et blocage des attaques rseau.
Se reporter "A propos des types de protection" la page 35. Gestion Les fonctions suivantes sont incluses :
Configuration d'origine pour entreprises de toutes tailles. La console de Symantec Protection Center vous permet d'intgrer plus d'une console de gestion de produit Symantec dans un environnement unique. Se reporter "A propos de Symantec Protection Center" la page 45. L'unique console Symantec Endpoint Protection Manager fournit une vue du dploiement client entier. Se reporter "Ce que vous pouvez faire partir de la console" la page 42. Symantec Endpoint Protection Manager cordonne la communication entre la console et le client et la consignation d'vnements. Comptes administrateur qui permettent d'accder la console. Se reporter "Grer des domaines et des comptes administrateur" la page 322. Tlchargements de LiveUpdate des dernires dfinitions de virus et mises jour de produit. Se reporter "Gestion du contenu pour les clients" la page 140.
35
Fonction
Migration
Description
Les fonctions suivantes sont incluses : Paramtres de groupe et de politique pour le logiciel Symantec hrit. Mises niveau d'ordinateur client l'aide de l'Assistant d'installation client.
Application client
Les fonctions suivantes sont incluses : S'assure qu'un ordinateur client est correctement protg et conforme avant qu'il soit autoris se connecter au rseau d'entreprise. Rsout les ordinateurs non conformes.
Se reporter "A propos de Symantec Endpoint Protection" la page 29. Se reporter "A propos de Symantec Network Access Control" la page 30.
Type de protection
Protection antivirus et La protection antivirus et antispyware de Symantec Endpoint antispyware Protection assure la protection contre les virus et les risques de scurit et, dans beaucoup de cas, peut rparer leurs effects secondaires. La protection inclut l'analyse en temps rel des fichiers et du courrier lectronique ainsi que des analyses planifies et des analyses la demande. Les analyses antivirus et antispyware dtectent les virus et les risques de scurit, tels que des spywares, des logiciels publicitaires et d'autres fichiers qui peuvent rendre un ordinateur, ainsi qu'un rseau, vulnrable. Se reporter "Bases de la protection antivirus et antispyware" la page 430.
36
Type de protection
Protection contre les menaces rseau
Description
La protection contre les menaces rseau assure une protection par pare-feu et de prvention des intrusions pour empcher les intrusions et le contenu malveillant d'atteindre l'ordinateur qui excute le client Symantec Endpoint Protection. Le pare-feu autorise ou bloque le trafic rseau en fonction des divers critres que l'administrateur ou l'utilisateur final dfinit. Le client analyse galement toutes les informations entrantes et sortantes pour rechercher les configurations de donnes qui sont typiques d'une attaque. Il dtecte et bloque les transmissions malveillantes et les tentatives d'attaque de l'ordinateur client manant d'utilisateurs externes. La prvention d'intrusion surveille galement le trafic entrant et empche la propagation des vers. Se reporter "A propos de la protection contre les menaces rseau et des attaques" la page 516.
La protection proactive contre les menaces assure la protection contre les vulnrabilits d'attaque "Zero Day" dans votre rseau. Les vulnrabilits d'attaque "Zero Day" sont de nouvelles vulnrabilits qui ne sont pas encore connues publiquement. Les menaces qui exploitent ces vulnrabilits peuvent se soustraire la dtection base sur les signatures (telle que les dfinitions d'antivirus et de protection antispyware). Des attaques "Zero Day" peuvent tre utilises dans des attaques cibles et dans la propagation de code malveillant. La protection proactive contre les menaces inclut ce qui suit :
Analyse proactive des menaces TruScan Politique de contrle des applications et des priphriques
Se reporter "A propos des analyses proactives des menaces TruScan" la page 582. Se reporter "A propos du contrle des applications et des priphriques" la page 600.
37
Type de protection
intgrit de l'hte
Description
L'intgrit de l'hte vous permet de dfinir, d'appliquer et de restaurer la scurit des clients pour scuriser les rseaux et les donnes d'entreprise. Vous dfinissez des politiques d'intgrit de l'hte pour vrifier que les clients tentant d'accder au rseau excutent un logiciel antivirus, des correctifs et des hotfix et d'autres critres d'application. Vous dfinissez des politiques d'intgrit de l'hte pour qu'elles s'excutent sur des ordinateurs client au dmarrage et ensuite priodiquement.
Figure 1-2 affiche les catgories de menaces bloques pour chaque type de protection.
38
Figure 1-2
Internet
Rseau d'entreprise
Vulnrabilits des applications Portes drobes Vulnrabilits du systme d'exploitation Chevaux de Troie Vers Modifications de fichier/processus/ registre Menaces internes Enregistreurs de frappe Rtrovirus Logiciel espion Attaques cibles Chevaux de Troie Vers Menaces immdiates Logiciel publicitaire Portes drobes Logiciel espion Chevaux de Troie Vers Virus
Portes drobes Attaques par dni de service Analyses de port Attaques de pile Chevaux de Troie Vers
Politique de pare-feu
Mmoire/priphriques
Point de terminaison
Chapitre
Connexion la console Symantec Endpoint Protection Manager. Ce que vous pouvez faire partir de la console
Localement, partir de l'ordinateur sur lequel le serveur de gestion est install A distance, partir de tout ordinateur qui rpond la configuration systme requise pour une console distante et dispose d'une connectivit rseau au serveur de gestion.
Beaucoup d'administrateurs ouvrent une session distance et ils peuvent effectuer les mmes tches que les administrateurs qui ouvrent une session localement. Pour vous connecter distance, vous devez connatre l'adresse IP ou le nom d'hte de l'ordinateur sur lequel le serveur de gestion est install. Vous devez galement vous assurer que vos options Internet de navigateur Web permettent d'afficher le contenu du serveur auquel vous vous connectez.
40
Dmarrage de la console Symantec Endpoint Protection Manager Connexion la console Symantec Endpoint Protection Manager.
Ce que vous pouvez afficher et faire partir de la console dpend du type d'administrateur que vous tes. Vous pouvez ouvrir une session en tant qu'administrateur systme, administrateur ou administrateur limit. Un administrateur systme possde des droits complets dans tous les domaines. Un administrateur possde des droits limits un domaine spcifique. Un administrateur limit possde un sous-ensemble de droits d'administrateur et est galement limit un domaine spcifique. Si vous avez install le serveur de gestion, vous tes un administrateur systme. Si quelqu'un d'autre a install le serveur de gestion, votre tat peut tre diffrent. Cependant, la plupart des entreprises ne doivent pas forcment se proccuper des domaines ou de l'tat d'administrateur limit. Vous pouvez galement accder aux fonctions de rapports partir d'un navigateur Web autonome connect votre serveur de gestion. Se reporter "Ouverture d'une session de rapport depuis un navigateur Web autonome" la page 211. Dans les plus petites entreprises, la plupart des administrateurs se connectent en tant qu'administrateur systme. Se reporter "A propos des administrateurs" la page 326. Une fois connect, vous pouvez accder Symantec Endpoint Protection Manager. Se reporter "Ce que vous pouvez faire partir de la console" la page 42. Pour vous connecter la console distance
Ouvrez Internet Explorer et saisissez l'adresse suivante dans la zone d'adresse : http://host name:9090 o nom d'hte est le nom d'hte ou l'adresse IP du serveur de gestion. Remarque : Internet Explorer 7 ou une version ultrieure est requis pour utiliser la console de Web Symantec Endpoint Protection Manager
Sur la page d'accs Web de la console Symantec Endpoint Protection Manager, cliquez sur le type de console souhait. Remarque : Si vous slectionnez la console Symantec Endpoint Protection Manager, l'environnement d'excution Java 2 (JRE) doit tre install sur l'ordinateur partir duquel vous vous connectez. Si tel n'est pas le cas, vous tes invit tlcharger et installer JRE. Suivez les invites pour installer le JRE. Active X doit galement tre install et la fonction de script doit tre active.
Dmarrage de la console Symantec Endpoint Protection Manager Connexion la console Symantec Endpoint Protection Manager.
41
Lors de la connexion, il se peut qu'un message vous avertissant que le nom d'hte n'est pas correct ou un avertissement de scurit s'affiche. Si le message relatif au nom d'hte s'affiche, cliquez sur Oui. Ce message signifie que l'URL de la console distante que vous avez spcifi ne correspond pas au nom du certificat de Symantec Endpoint Protection. Ce problme survient si vous vous connectez et spcifiez une adresse IP plutt que le nom d'ordinateur du serveur de gestion. Si l'avertissement de certificat de scurit de page Web apparat, cliquez sur Poursuivre sur ce site Web (non recommand) et ajoutez le certificat auto-sign Internet Explorer. Ce message signifie qu'Internet Explorer n'identifie pas le site comme scuris. Internet Explorer se base sur des certificats de scurit pour dterminer si un site est scuris. Pour obtenir des instructions sur l'ajout d'un certificat de scurit Internet Explorer, consultez l'article de la Base de donnes du support technique de Symantec, How to add the self-signed certificate for Symantec Protection Center or Symantec Endpoint Protection Manager to Internet Explorer.
Suivez les invites pour terminer le processus de connexion. Selon la mthode de connexion, des informations supplmentaires peuvent tre ncessaires. Par exemple, si votre rseau dispose de plusieurs domaines, vous devrez fournir le nom du domaine auquel vous voulez vous connecter. Remarque : S'il s'agit de la premire connexion aprs l'installation, utilisez le nom de compte administrateur
Cliquez sur Connexion. Vous pouvez recevoir un ou plusieurs messages d'avertissement de scurit pendant que la console distante dmarre. Dans ce cas, cliquez sur Oui, Excuter, Dmarrer ou leur quivalent et continuer jusqu' ce que la console s'affiche.
42
Dmarrage de la console Symantec Endpoint Protection Manager Ce que vous pouvez faire partir de la console
Dans le menu dmarrage de Windows, cliquez sur Programmes > Symantec Endpoint Protection Manager > console Symantec Endpoint Protection Manager. Dans l'invite de connexion de Symantec Endpoint Protection Manager, saisissez le nom d'utilisateur (administrateur par dfaut) et le mot de passe configurs pendant l'installation Si vous tes un administrateur et que vous n'avez pas install le serveur de gestion, utilisez le nom d'utilisateur et le mot de passe que l'administrateur vous a attribus.
Si la console possde un seul domaine, passez directement l'tape 4. Si la console comporte plusieurs domaines, cliquez sur Options>> et saisissez le nom de domaine.
Dmarrage de la console Symantec Endpoint Protection Manager Ce que vous pouvez faire partir de la console
43
Obtenir un compte des virus et d'autres risques de scurit dtects. Obtenir un compte des ordinateurs en rseau non protgs.
Obtenir un compte des ordinateurs qui ont reu les dfinitions de virus et d'autres mises jour du contenu. Rgler les prfrences de la console.
Se reporter "A propos de la page d'accueil de Symantec Endpoint Protection" la page 215. Se reporter "Utilisation de la page Symantec Network Access Control Accueil" la page 226. Contrleurs Contrler les journaux des vnements qui concernent Symantec Endpoint Protection Manager et vos ordinateurs grs. Vous pouvez effectuer les tches suivantes partir de la page Contrles :
Afficher les graphiques de la distribution des risques Afficher les journaux d'vnements. Afficher l'tat des commandes rcemment mises. Afficher et crer des notifications.
Se reporter "Surveillance de la protection de terminal" la page 207. Se reporter "Utiliser l'onglet Rsum de la page Contrleurs" la page 227. Rapports Excuter des rapports pour obtenir des informations jour sur l'ordinateur et l'activit rseau. Vous pouvez effectuer les tches suivantes partir de la page Rapports :
Excuter des rapports rapides. Excuter un compte rendu succinct quotidiennement. Excuter un compte rendu succinct de manire hebdomadaire.
Se reporter "Cration de rapports rapides" la page 274. Se reporter "Surveillance de la protection de terminal" la page 207.
44
Dmarrage de la console Symantec Endpoint Protection Manager Ce que vous pouvez faire partir de la console
Page
Politiques
Description
Afficher les politiques de scurit qui dfinissent les paramtres de technologie de protection. Vous pouvez effectuer les tches suivantes partir de la page Politiques :
Afficher et rgler les paramtres de protection. Crer, modifier, copier et supprimer des politiques de scurit. Assigner des politiques de scurit aux groupes d'ordinateurs. Configurer des ordinateurs client pour LiveUpdate.
Se reporter "Gestion du contenu pour les clients" la page 140. Se reporter "Utilisation de politiques pour grer la scurit du rseau" la page 96. Clients Grer des ordinateurs et des groupes. Vous pouvez effectuer les tches suivantes partir de la page Ordinateurs :
Crer et supprimer des groupes. Modifier des proprits de groupe. Afficher les politiques de scurit qui sont attribues aux groupes. Excuter des commandes sur des groupes. Dployer le logiciel client vers les ordinateurs dans votre rseau.
Se reporter "Gestion de groupes d'ordinateurs" la page 56. Admin Gre les paramtres, les licences et les comptes administrateur de Symantec Endpoint Protection Manager Vous pouvez effectuer les tches suivantes partir de la page Admin :
Afficher et modifie les paramtres de courrier lectronique et de serveur proxy. Rgler la planification de LiveUpdate.
Tlcharger les mises jour du contenu de LiveUpdate. Afficher l'tat de LiveUpdate et des tlchargements rcents.
Se reporter "Grer des domaines et des comptes administrateur" la page 322. Se reporter "Ajouter un compte d'administrateur" la page 329. Se reporter "Gestion du contenu pour les clients" la page 140.
Chapitre
Gestion de la console Symantec Endpoint Protection Manager avec Symantec Protection Center
Ce chapitre traite des sujets suivants :
A propos de Symantec Protection Center Architecture de Symantec Protection Center Connexion Symantec Protection Center Tableau de bord de Symantec Protection Center A propos de la gestion des comptes Symantec Protection Center Configuration de Symantec Protection Center pour grer des produits Rapports Symantec Protection Center A propos de documentation de Symantec Protection Center
46
Gestion de la console Symantec Endpoint Protection Manager avec Symantec Protection Center Architecture de Symantec Protection Center
Se reporter "Tableau de bord de Symantec Protection Center" la page 49. Les produits pris en charge sont intgrs Protection Center au cours d'un processus d'enregistrement. Une fois vos produits enregistrs, connectez-vous au Protection Center pour les grer tous. Les produits doivent tre installs et configurs sparment avant de pouvoir tre enregistrs. Les produits enregistrs, ou intgrs, fonctionnent toujours indpendamment de Protection Center. Vous pouvez grer les produits ensemble, dans Protection Center ou sparment, dans les diffrentes consoles de produits. Les produits intgrs peuvent tre achets sparment ou en tant qu'lments d'une suite. Seul Symantec Endpoint Protection inclut Symantec Protection Center. Les produits suivants peuvent tre intgrs Protection Center :
Symantec Endpoint Protection Symantec Critical System Protection Symantec Web Gateway Symantec Brightmail Gateway Symantec Data Loss Prevention Symantec IT Analytics
Les produits et les versions de produits pris en charge par Symantec Protection Center peuvent voluer au fil du temps. Pour obtenir les dernires informations concernant les produits pris en charge, consultez le site Web de support technique Symantec. Se reporter "Configuration de Symantec Protection Center pour grer des produits" la page 51. Se reporter "Connexion Symantec Protection Center" la page 48. Se reporter "Architecture de Symantec Protection Center" la page 46.
Gestion de la console Symantec Endpoint Protection Manager avec Symantec Protection Center Architecture de Symantec Protection Center
47
Protection Center communique avec les produits intgrs selon les paramtres de communication de chaque produit. Vous spcifiez ces paramtres lors de la configuration de Protection Center pour grer vos produits. Se reporter "Configuration de Symantec Protection Center pour grer des produits" la page 51. Figure 3-1 Architecture de Symantec Protection Center
Symantec Protection Center (excut sur le mme ordinateur que Symantec Endpoint Protection Manager) Utilisateur se connectant Protection Center
48
Gestion de la console Symantec Endpoint Protection Manager avec Symantec Protection Center Connexion Symantec Protection Center
Dans Internet Explorer, accdez https://<hostname>:9090, o <hostname> correspond l'adresse IP ou au nom d'ordinateur du serveur sur lequel Symantec Endpoint Protection Manager est install. Si Symantec Endpoint Protection Manager est install sur cet ordinateur, cliquez sur Dmarrer > Tous les programmes > Symantec Endpoint Protection Manager > Symantec Endpoint Protection Manager Accs Web.
Cliquez sur le lien pour lancer Symantec Protection Center. Si l'avertissement de certificat de scurit de page Web apparat, cliquez sur Poursuivre sur ce site Web (non recommand) et ajoutez le certificat auto-sign Internet Explorer. Ce message signifie qu'Internet Explorer n'identifie pas le site comme scuris. Internet Explorer se base sur des certificats de scurit pour dterminer si un site est scuris. Pour obtenir des instructions sur l'ajout d'un certificat de scurit Internet Explorer, consultez l'article de la Base de donnes du support technique de Symantec, How to add the self-signed certificate for Symantec Protection Center or Symantec Endpoint Protection Manager to Internet Explorer.
Dans le tableau de bord Protection Center, saisissez le nom d'utilisateur et le mot de passe.
Nom d'utilisateur par dfaut : admin Mot de passe par dfaut : admin
Lors de la premire connexion avec le nom d'utilisateur et le mot de passe par dfaut, la page Modifier le mot de passe, saisissez les informations requises. Notez votre nouveau mot de passe et conservez-le dans un endroit sr. Vous pouvez rcuprer le mot de passe uniquement si vous configurez un autre compte administrateur.
Se reporter "A propos de la gestion des comptes Symantec Protection Center" la page 49.
Gestion de la console Symantec Endpoint Protection Manager avec Symantec Protection Center Tableau de bord de Symantec Protection Center
49
Consoles de gestion de produits Rapports sur les produits Se reporter "Rapports Symantec Protection Center" la page 53. Gestion des paramtres pour les comptes Symantec Protection Center et les produits intgrs Se reporter "A propos de la gestion des comptes Symantec Protection Center" la page 49. Se reporter "Configuration de Symantec Protection Center pour grer des produits" la page 51.
50
Gestion de la console Symantec Endpoint Protection Manager avec Symantec Protection Center A propos de la gestion des comptes Symantec Protection Center
Compte administrateur
Permet d'accder toutes les fonctionnalits du produit associ aux comptes produit de ce compte Protection Center Permet de crer et supprimer des comptes Protection Center Permet de modifier les paramtres de compte Protection Center pour tous les comptes, y compris les mots de passe Permet d'ajouter les produits intgrs Protection Center pour tous les comptes
L'enregistrement de produit est spcifique chaque compte Protection Center utilisateur. Vous devez enregistrer un ensemble de produits pour chaque utilisateur Protection Center. L'accs fourni par un compte Protection Center aux fonctionnalits d'un produit spcifique dpend du compte produit utilis pour enregistrer le produit avec Protection Center. Par exemple, vous pouvez enregistrer Symantec Endpoint Protection Manager avec un compte Protection Center standard l'aide d'un compte d'administrateur systme Symantec Endpoint Protection Manager. L'utilisateur de ce compte peut alors effectuer les tches suivantes :
Modifier ses propres paramtres dans Protection Center Il ne peut pas crer d'autres comptes Protection Center de quelque type que ce soit. Crer et modifier tous les types de compte Symantec Endpoint Protection Manager dans la console Symantec Endpoint Protection Manager laquelle il accde via Protection Center Excuter toutes les tches dans Symantec Endpoint Protection Manager
Gestion de la console Symantec Endpoint Protection Manager avec Symantec Protection Center Configuration de Symantec Protection Center pour grer des produits
51
De mme, vous pouvez enregister Symantec Endpoint Protection Manager avec un compte Protection Center administrateur l'aide d'un compte administrateur Symantec Endpoint Protection Manager limit. L'utilisateur de ce compte peut alors effectuer les tches suivantes :
Crer et modifier tous les comptes dans Protection Center Excuter uniquement des tches limites dans Symantec Endpoint Protection Manager Il ne peut crer ou modifier aucun compte Symantec Endpoint Protection Manager.
Remarque : Si vous enregistrez Symantec Endpoint Protection Manager avec un compte administrateur limit, le compte doit au moins disposer de droits de cration de rapports. Se reporter "Configuration de Symantec Protection Center pour grer des produits" la page 51. Vous pouvez modifier vos paramtres de compte Protection Center tout moment. Aprs avoir enregistr un produit dans Symantec Protection Center, vous pouvez facilement modifier ses paramtres ou le supprimer compltement. Se reporter "A propos de Symantec Protection Center" la page 45.
52
Gestion de la console Symantec Endpoint Protection Manager avec Symantec Protection Center Configuration de Symantec Protection Center pour grer des produits
Demander ou non une connexion scurise pour obtenir les informations sur le produit Ports personnaliss Les numros de ports par dfaut sont 8014 pour la connexion au produit, le tableau de bord du produit et les rapports et 8443 pour la console produit.
Remarque : Si vous utilisez un compte administrateur limit pour enregistrer Symantec Endpoint Protection Manager dans Protection Center, le compte doit disposer de droits de cration de rapports. Se reporter "A propos des administrateurs" la page 326. Se reporter "Configurer les droits d'accs pour un administrateur limit" la page 331.
Remarque : L'enregistrement de produit est spcifique chaque compte utilisateur Protection Center. Vous devez enregistrer un ensemble de produits pour chaque compte utilisateur Protection Center. Se reporter "A propos de la gestion des comptes Symantec Protection Center" la page 49.
Gestion de la console Symantec Endpoint Protection Manager avec Symantec Protection Center Rapports Symantec Protection Center
53
1 2
Dans le tableau de bord Symantec Protection Center ou sur la page Paramtres principale, cliquez sur Ajouter un produit grer. Entrez les informations demandes dans les champs appropris. Vous devez fournir les informations suivantes :
Nom d'affichage du nouveau produit Toute chane que vous voulez utiliser pour identifier votre produit dans Protection Center Slectionnez votre produit de la liste droulante. L'adresse IP du serveur o vous avez install la version de votre produit que vous souhaitez enregistrer. Vous pouvez galement saisir un nom d'ordinateur. Le nom d'utilisateur du compte administrateur de votre produit Le mot de passe du compte administrateur de votre produit
Type de produit
Adresse du produit
Si vous avez personnalis des paramtres de communication lors de l'installation du produit, cliquez sur Paramtres de communication de produit et spcifiez les paramtres appropris. Cliquez sur Tester la connexion pour vous assurer que Protection Center peut communiquer avec votre produit. Cliquez sur Ajouter un produit.
4 5
54
Gestion de la console Symantec Endpoint Protection Manager avec Symantec Protection Center A propos de documentation de Symantec Protection Center
Chapitre
Gestion de groupes d'ordinateurs Comment structurer des groupes Ajout d'un groupe Importation d'une structure organisationnelle existante Attribution d'un nouveau nom un groupe Dplacement d'un groupe Affichage des proprits d'un groupe Activation ou dsactivation de l'hritage d'un groupe Configuration et gestion de clients au sein de groupes A propos du mode utilisateur et du mode ordinateur Affectation prliminaire des ordinateurs ou des utilisateurs des groupes avant d'installer le logiciel client A propos des groupes spcifis dans le package d'installation client Basculer un client entre le mode utilisateur et le mode ordinateur Convertir un client autonome en client gr. Bloquer l'ajout de clients des groupes Dplacement de clients entre des groupes
56
Affichage de l'tat des clients et des ordinateurs client Filtrage des clients que vous pouvez afficher dans l'onglet Clients Redmarrage d'ordinateurs client Affichage des proprits d'un client Recherche d'informations sur les clients Configurer un client pour dtecter les priphriques inconnus Excution de commandes sur des clients partir de la console
Si votre socit possde dj une structure en groupes, vous pouvez importer les groupes en tant qu'units organisationnelles. Se reporter "Importation d'une structure organisationnelle existante" la page 59.
Par dfaut, les sous-groupes hritent des paramtres de scurit du groupe parent. Vous pouvez dsactiver l'hritage. Vous pouvez dsactiver l'hritage entre un sous-groupe et un groupe parent. Se reporter "Activation ou dsactivation de l'hritage d'un groupe" la page 63.
57
Tche
Gestion des politiques de scurit pour les groupes
Description
Vous pouvez crer des politiques de scurit en fonction des besoins de chaque groupe. Vous pouvez alors attribuer diffrentes politiques diffrents groupes. Se reporter "Utilisation de politiques pour grer la scurit du rseau" la page 96.
Cration d'emplacements au Vous pouvez configurer le basculement automatique des sein des groupes clients sur une politique de scurit diffrente si l'emplacement physique du client change. Se reporter "Utiliser la dtection de l'emplacement avec des groupes" la page 83. Quelques paramtres de scurit sont spcifiques au groupe et quelques paramtres sont spcifiques l'emplacement. Vous pouvez personnaliser tout paramtre spcifique l'emplacement. Se reporter "Configurer des paramtres de communication pour un emplacement" la page 199. Affichage des proprits d'un Vous pouvez afficher les groupes pour vrifier que les groupe groupes auxquels les ordinateurs client appartiennent sont corrects. Vous pouvez galement vrifier le numro de la politique attribue au groupe. Se reporter "Affichage des proprits d'un groupe" la page 63. Dplacement d'un groupe Vous pouvez dplacer un sous-groupe vers un autre groupe pour hriter automatiquement les politiques du nouveau groupe. Se reporter "Dplacement d'un groupe" la page 62. Ajout et gestion des ordinateurs client Vous pouvez grer des clients du groupe. Par exemple, vous pouvez ajouter des clients un groupe, excuter et contrler la protection de terminal et afficher des informations sur les clients. Se reporter "Configuration et gestion de clients au sein de groupes" la page 64.
58
besoins de scurit semblables en groupes pour faciliter la gestion de la scurit du rseau. Symantec Endpoint Protection Manager contient les groupes par dfaut suivants :
Le groupe Ma socit est le plus lev ou le groupe parent. Il contient une arborescence horizontale de groupes enfant. Le groupe par dfaut est un sous-groupe de Ma socit. Les clients sont d'abord attribus au Groupe par dfaut lorsqu'ils s'enregistrent pour la premire fois Symantec Endpoint Protection Manager, moins d'appartenir un groupe prdfini. Vous ne pouvez pas crer de sous-groupe sous le Groupe par dfaut.
Vous ne pouvez pas renommer ou supprimer des groupes par dfaut. Vous pouvez crer plusieurs sous-groupes pour qu'ils correspondent la structure organisationnelle de votre entreprise. Vous pouvez baser votre structure de groupe sur la fonction, le rle, la gographie ou une combinaison de critres. Tableau 4-2 Critre
Fonction
Rle
Gographie
Combinaison Vous pouvez crer des groupes selon une combinaison de critres. Par exemple, vous pouvez utiliser la fonction et le rle. Vous pouvez ajouter un groupe parent par rle et ajouter des sous-groupes enfant par fonction, comme dans le scnario suivant : Ventes, avec des sous-groupes d'ordinateurs portables, de bureau et serveurs. Ingnierie, avec des sous-groupes d'ordinateurs portables, de bureau et serveurs.
Imaginons par exemple qu'une entreprise possde des services tlmarketing et comptabilit. Ces services ont du personnel dans les filiales de l'entreprise New York, Londres et Francfort. Les ordinateurs des deux services sont affects au
59
mme groupe, de sorte qu'ils reoivent des mises jour de dfinitions de virus et des risques de scurit provenant de la mme source. Cependant, les rapports du service informatique indiquent que le service de tlmarketing est plus vulnrable aux risques que la comptabilit. En consquence, l'administrateur systme cre des groupes diffrents pour le tlmarketing et la comptabilit. Les clients de tlmarketing partagent des paramtres de configuration qui limitent strictement la manire dont les utilisateurs peuvent interagir avec leur protection antivirus et contre les risques de scurit. Se reporter "Gestion de groupes d'ordinateurs" la page 56.
1 2 3 4 5
Dans la Console, cliquez sur Clients. Sous Afficher les clients, slectionnez le groupe auquel vous voulez ajouter un nouveau sous-groupe. Sur l'onglet Clients, sous Tches, cliquez sur Ajouter un groupe. Dans la bote de dialogue Ajouter un groupe pour nom du groupe, entrez le nom du groupe et une description. Cliquez sur OK.
60
Gestion des groupes et des clients Importation d'une structure organisationnelle existante
automatiquement synchroniser les groupes dans l'onglet Clients avec ceux sur le serveur d'annuaire. Vous ne pouvez pas utiliser l'onglet Clients pour grer ces groupes aprs les avoir imports. Vous ne pouvez pas ajouter, supprimer ou dplacer des groupes dans une unit organisationnelle. Vous pouvez attribuer des politiques de scurit l'OU importe. Vous pouvez galement copier des utilisateurs partir d'une unit organisationnelle importe vers d'autres groupes qui sont rpertoris dans le volet Afficher les clients. La politique qui a t attribue un groupe avant son importation a la priorit. Un compte utilisateur peut exister dans l'unit organisationnelle et dans un groupe extrieur. La politique qui a t applique au groupe extrieur a la priorit. Tableau 4-3 Tche
Plan pour importer des units organisationnelles
Vous ne pouvez pas filtrer les utilisateurs d'un serveur de rpertoire avant que vous importiez des donnes. Avec les serveurs LDAP, vous pouvez filtrer les utilisateurs avant d'importer des donnes. Par consquent vous pouvez ajouter un serveur Active Directory compatible LDAP en tant que serveur LDAP si vous devez filtrer les donnes. Se reporter "Ajout de serveurs de rpertoires" la page 354.
Gestion des groupes et des clients Importation d'une structure organisationnelle existante
61
Tche
Synchroniser des informations sur des comptes utilisateurs et des comptes d'ordinateur entre les serveurs d'annuaire et Symantec Endpoint Protection Manager
Description
Vous pouvez importer et synchroniser des informations sur des comptes utilisateurs et des comptes d'ordinateur entre les serveurs d'annuaire et le Symantec Endpoint Protection Manager. Se reporter "Synchronisation des comptes utilisateur entre les serveurs de rpertoire et Symantec Endpoint Protection Manager" la page 355.
Quand vous importez des informations sur des utilisateurs vers le serveur de gestion, vous devez rechercher des utilisateurs sur un serveur LDAP. Se reporter "Recherche d'utilisateurs sur un serveur de rpertoires LDAP" la page 356.
Importer des utilisateurs partir d'une Vous pouvez importer des utilisateurs partir recherche de serveur d'annuaire de d'une liste de rsultats de recherche issue d'un LDAP liste des rsultats serveur LDAP. Se reporter "Importation d'utilisateurs partir d'une liste de rsultats de recherche issue d'un serveur de rpertoires LDAP" la page 359. Importer des units organisationnelles Vous pouvez importer des OU partir d'un partir d'un serveur de rpertoire ou serveur de rpertoire ou d'un serveur d'annuaire d'un serveur d'annuaire LDAP de LDAP. Se reporter "Importation d'units organisationnelles partir d'un serveur Active Directory ou LDAP" la page 360. Importer des informations de compte Vous pouvez importer les informations de compte utilisateur et d'ordinateur partir d'un utilisateur et de compte d'ordinateur d'un serveur serveur de LDAP LDAP. Se reporter "A propos de l'importation des informations d'utilisateur et de compte d'ordinateur partir d'un serveur de rpertoire LDAP" la page 356. Synchroniser des units organisationnelles Vous pouvez synchroniser des OU. Se reporter "A propos de la synchronisation des units organisationnelles" la page 361.
62
Gestion des groupes et des clients Attribution d'un nouveau nom un groupe
1 2
Dans la console, cliquez sur Clients. Dans l'onglet Clients, sous Afficher les clients, cliquez avec le bouton droit de la souris sur le groupe que vous souhaitez renommer, puis cliquez sur Renommer. Dans la bote de dialogue Renommer le groupe pour nom du groupe, tapez le nouveau nom du groupe. Cliquez sur OK.
3 4
1 2
Dans la console, cliquez sur Clients. Dans l'onglet Clients, sous Afficher les clients, cliquez avec le bouton droit de la souris sur le groupe que vous souhaitez dplacer, puis cliquez sur Dplacer.
Gestion des groupes et des clients Affichage des proprits d'un groupe
63
3 4
Dans la bote de dialogue Dplacer le groupe, slectionnez le groupe de destination vers lequel vous souhaitez dplacer le groupe. Cliquez sur OK.
1 2 3
Dans la console, cliquez sur Clients. Dans le volet Afficher les clients, choisissez le groupe dont vous souhaitez afficher les proprits. Cliquez sur l'onglet Dtails.
1 2
Dans la Console, cliquez sur Clients. Sur la page Clients, sous Afficher les clients, slectionnez le groupe dont vous voulez activer ou dsactiver l'hritage. Vous pouvez slectionner tout groupe sauf le groupe de haut niveau, Mon entreprise.
Dans le volet Nom du groupe, sur l'onglet Politiques, excutez l'une des tches suivantes :
64
Gestion des groupes et des clients Configuration et gestion de clients au sein de groupes
Pour dsactiver l'hritage, dslectionnez l'option Hriter les politiques et les paramtres du groupe parent "nom de group name". Pour activer l'hritage, slectionnez l'option Hriter les politiques et les paramtres du groupe parent "nom de groupe", puis cliquez sur Oui lorsqu'un message vous demande de continuer.
Se connecte au serveur de gestion pour recevoir les dernires politiques et paramtres de configuration. Applique l'ordinateur les paramtres de chaque politique. Se reporter "A propos des types de protection" la page 35. Met jour les derniers contenus et dfinitions de virus et de risques de scurit sur l'ordinateur. Enregistre les informations des clients dans les journaux et charge ces informations sur le serveur de gestion.
Diffrentes mthodes permettent de configurer des clients dans Symantec Endpoint Protection Manager. Tableau 4-4 Tche
Ajouter des clients aux groupes
Tches qu'il peut tre utile de raliser sur les clients Description
Vous pouvez ajouter des clients aux groupes en tant qu'utilisateurs ou en tant qu'ordinateurs. Se reporter "Affectation prliminaire des ordinateurs ou des utilisateurs des groupes avant d'installer le logiciel client" la page 67. Se reporter "A propos du mode utilisateur et du mode ordinateur" la page 66.
Gestion des groupes et des clients Configuration et gestion de clients au sein de groupes
65
Tche
Afficher l'tat des clients
Description
Vous pouvez contrler en temps rel l'tat de fonctionnement des clients du rseau. Se reporter "Affichage de l'tat des clients et des ordinateurs client" la page 73.
Vous pouvez afficher les proprits matrielles et les proprits rseau de chaque client, notamment le groupe, le domaine, le nom de connexion et la version logicielle. Si vous avez activ la collecte des informations sur les utilisateurs, vous pouvez galement consulter des informations sur l'utilisateur actuellement connect l'ordinateur. Se reporter "Affichage des proprits d'un client" la page 76.
Vous pouvez utiliser un filtre pour dterminer quels clients doivent figurer dans l'onglet Clients. Cette fonction est particulirement utile si votre rseau comporte de nombreux clients. Se reporter "Filtrage des clients que vous pouvez afficher dans l'onglet Clients" la page 75.
Rechercher les informations Vous pouvez rechercher des informations sur les clients, sur des clients par exemple la version du systme d'exploitation utilis ou la version des dfinitions antivirus en service sur l'ordinateur. Se reporter "Recherche d'informations sur les clients" la page 77. Faire passer des clients du mode Utilisateur au mode Ordinateur Vous pouvez faire passer les clients du mode Utilisateur au mode Ordinateur et vice-versa. Se reporter "Basculer un client entre le mode utilisateur et le mode ordinateur" la page 69.
Convertir un client autogr Si l'utilisateur installe le logiciel client partir d'un CD en client gr d'installation, le client est autonome et ne communique pas avec le serveur de gestion. Vous pouvez convertir des clients autogrs en clients grs. Se reporter "Convertir un client autonome en client gr." la page 70.
66
Gestion des groupes et des clients A propos du mode utilisateur et du mode ordinateur
Tche
Description
Modifier le niveau de Le niveau de contrle utilisateur d'un client dtermine les contrle utilisateur du client paramtres des fonctions de protection contre les menaces rseau et les paramtres d'interface utilisateur client pouvant tre configurs par les utilisateurs. Se reporter "Modification du niveau de contrle de l'utilisateur" la page 179. Excuter des commandes sur Vous pouvez excuter des commandes sur un client ou un des clients partir de la groupe partir de la console. console Se reporter "Excution de commandes sur des clients partir de la console" la page 81. Dplacer des clients d'un groupe un autre Vous pouvez modifier le groupe dans lequel se trouve un client. Se reporter "Dplacement de clients entre des groupes" la page 73. Empcher l'ajout de clients Vous pouvez empcher un client d'tre ajout des groupes automatiquement un groupe. Vous pouvez bloquer des clients si vous ne voulez pas qu'ils soient ajouts automatiquement un groupe spcifique lorsqu'ils se connectent au rseau. Se reporter "Bloquer l'ajout de clients des groupes" la page 72. Configurer des clients de Les clients que vous ajoutez en mode Ordinateur peuvent sorte qu'ils dtectent les tre activs en tant que dtecteurs autonomes et utiliss priphriques non autoriss pour dtecter les priphriques non autoriss. Se reporter "Configurer un client pour dtecter les priphriques inconnus" la page 79.
Gestion des groupes et des clients Affectation prliminaire des ordinateurs ou des utilisateurs des groupes avant d'installer le logiciel client
67
clients en mode ordinateur. En fonction de votre environnement rseau, vous pouvez envisager de configurer quelques clients ayant des conditions spciales en mode utilisateur. Vous configurez les clients en tant qu'utilisateurs ou ordinateurs en ajoutant les utilisateurs et les ordinateurs un groupe existant. Aprs l'ajout d'un utilisateur ou d'un ordinateur un groupe, il assume les politiques qui ont t attribues au groupe. Mode
Mode ordinateur
Description
Le client protge l'ordinateur avec les mmes politiques, quel que soit l'utilisateur est connect l'ordinateur. La politique suit le groupe dans lequel est l'ordinateur. Le mode ordinateur est le paramtre par dfaut. Les politiques changent en fonction de l'utilisateur connect au client. La politique suit l'utilisateur.
Mode utilisateur
Se reporter "Affectation prliminaire des ordinateurs ou des utilisateurs des groupes avant d'installer le logiciel client" la page 67. Clients que vous ajoutez en mode ordinateur peuvent tre activs en tant que dtecteurs autonomes et tre utiliss pour dtecter les priphriques non autoriss. Se reporter "Configurer un client pour dtecter les priphriques inconnus" la page 79.
Affectation prliminaire des ordinateurs ou des utilisateurs des groupes avant d'installer le logiciel client
Aprs avoir install le logiciel client sur un ordinateur, le client reoit les politiques du groupe spcifi dans le package d'installation du client. Si vous ne souhaitez pas que le client reoive les politiques du groupe spcifi dans le package, vous pouvez d'abord ajouter un espace rserv pour le client dans un groupe slectionn et installer le logiciel client plus tard. Le client demeure dans le groupe pour lequel vous avez ajout un espace rserv, et non dans le groupe spcifi dans le package d'installation du client. Se reporter "A propos des groupes spcifis dans le package d'installation client" la page 68. Vous ajoutez le client en fonction d'un nom d'utilisateur ou d'un nom d'ordinateur. Vous ne pouvez pas ajouter le client plus d'un groupe. Se reporter "A propos du mode utilisateur et du mode ordinateur" la page 66.
68
Gestion des groupes et des clients A propos des groupes spcifis dans le package d'installation client
Se reporter "Configuration et gestion de clients au sein de groupes" la page 64. Remarque : Assurez-vous que le serveur de gestion ne bloque pas l'ajout de nouveaux clients un groupe. Se reporter "Bloquer l'ajout de clients des groupes" la page 72. Pour plus d'informations sur l'installation du logiciel client, consultez le Guide d'installation pour Symantec Endpoint Protection et Symantec Network Access Control. Se reporter "Dploiement du logiciel client avec Rechercher les ordinateurs non grs" la page 133. Pour affecter titre prliminaire des ordinateurs ou des utilisateurs des groupes avant d'installer le logiciel client
1 2 3
Dans la console, cliquez sur Clients. Dans la page Clients, sous Afficher les clients, localisez le groupe auquel vous souhaitez ajouter un client. Dans l'onglet Clients, sous Tches, effectuez l'une des oprations suivantes :
Pour le mode utilisateur, cliquez sur Ajouter un compte d'utilisateur. Entrez le nom d'utilisateur. Si l'utilisateur fait partie d'un domaine de Windows, saisissez le nom du domaine. Si l'utilisateur fait partie d'un groupe de travail, cliquez sur Connectez-vous l'ordinateur local. Pour le mode ordinateur, cliquez sur Ajouter un compte d'ordinateur. Saisissez le nom de l'ordinateur, puis le nom du domaine de Windows ou Workgroup.
Gestion des groupes et des clients Basculer un client entre le mode utilisateur et le mode ordinateur
69
d'installation client. Aprs que le client se connecte au serveur de gestion, le groupe auquel vous avez ajout le client remplace le groupe prfr. Se reporter "Affectation prliminaire des ordinateurs ou des utilisateurs des groupes avant d'installer le logiciel client" la page 67. Le serveur peut ne pas permettre au client de rejoindre le groupe prfr pour l'une des raisons suivantes :
Le groupe prfr n'existe pas ou a t supprim. Le client est plac dans le Groupe par dfaut. Le client est un nouveau client, mais le serveur empche le client d'tre ajout un groupe. Le client est plac dans le Groupe par dfaut. Se reporter "Bloquer l'ajout de clients des groupes" la page 72. Le client a t prcdemment enregistr un autre groupe et vous essayez de dplacer le client vers un nouveau groupe en utilisant la commande Exporter les paramtres de communication. Le client reste dans le groupe initial. Se reporter "Convertir un client autonome en client gr." la page 70.
70
Gestion des groupes et des clients Convertir un client autonome en client gr.
1 2 3
Dans la console, cliquez sur Clients. Sur la page Clients, sous Afficher les clients, slectionnez le groupe qui contient l'utilisateur ou l'ordinateur. Dans l'onglet Clients, cliquez avec le bouton droit de la souris sur l'ordinateur ou le nom d'utilisateur dans le tableau, puis slectionnez Passer en mode Ordinateur ou Passer en mode Utilisateur. Ces modes sont paramtrs pour basculer, ce qui signifie que l'un des deux modes est toujours affich. Les informations du tableau changent de faon dynamique pour reflter le nouveau paramtre.
Vous exportez un fichier qui inclut tous les paramtres de communication pour le groupe dans lequel vous voulez que le client soit. Le nom de fichier par dfaut est nom du groupe _sylink.xml. Vous dployez le fichier vers l'ordinateur client. Vous pouvez enregistrer le fichier sur un emplacement rseau ou l'envoyer un utilisateur individuel sur l'ordinateur client. Sur l'ordinateur client, l'utilisateur (ou vous-mme) importe le fichier. Vous n'avez pas besoin de redmarrer l'ordinateur client.
Le client se connecte immdiatement au serveur de gestion. Le serveur de gestion place le client dans le groupe qui est spcifi dans le fichier de communication. Le client est mis jour avec les politiques et les paramtres du groupe. Aprs que le client et le serveur de gestion communiquent, l'icne de la zone de notification avec le point vert apparat dans la barre des tches de l'ordinateur client. Les clients autonomes ne sont pas protgs par mot de passe, ainsi l'utilisateur n'a pas besoin d'un mot de passe sur le client. Cependant, si l'utilisateur essaie d'importer un fichier sur un client gr protg par mot de passe, alors l'utilisateur doit entrer un mot de passe. Le mot de passe est le mme que celui utilis pour importer ou exporter une politique. Se reporter "Protection du client par mot de passe" la page 185. Vous pouvez galement devoir rediriger un client gr vers un autre serveur.
Gestion des groupes et des clients Convertir un client autonome en client gr.
71
Se reporter "Rcuprer les paramtres de communication client en utilisant l'outil SylinkDrop" la page 205. Se reporter "Assignation d'une liste de serveurs de gestion un groupe et un emplacement" la page 194. Pour exporter les paramtres de communications du serveur
1 2 3 4 5 6
Dans la console, cliquez sur Clients. Sous Afficher les clients, slectionnez le groupe dans lequel vous voulez que le client apparaisse. Cliquez avec le bouton droit de la souris sur le groupe, puis cliquez sur Exporter les paramtres de communication. Dans Exporter les paramtres de communication pour la bote de dialogue nom du groupe, cliquez sur Parcourir. Dans la bote de dialogue Slectionner le fichier d'exportation, localisez le dossier o vous voulez exporter le fichier.xml, puis cliquez sur OK. Dans la bote de dialogue Exporter les paramtres de communication nom du groupe, slectionnez l'une des options suivantes :
Pour appliquer les politiques du groupe dont l'ordinateur est membre, cliquez sur Mode Ordinateur. Pour appliquer les politiques du groupe dont l'utilisateur est membre, cliquez sur Mode Utilisateur.
Cliquez sur Exporter. Si le nom de fichier existe dj, cliquez sur OK pour l'craser ou Annuler pour enregistrer le fichier avec un nouveau nom de fichier. Pour terminer la conversion, vous ou un utilisateur devez importer le paramtre des communications sur l'ordinateur client.
1 2 3
Ouvrez Symantec Endpoint Protection sur l'ordinateur que vous voulez convertir en client gr. Dans le coin suprieur droit, cliquez sur Aide et support, puis cliquez sur Dpannage. Dans la bote de dialogue Dpannage, sous Paramtres de communication, cliquez sur Importer.
72
Gestion des groupes et des clients Bloquer l'ajout de clients des groupes
4 5
Dans la bote de dialogue Importer les paramtres de communication, localisez le fichier nom du groupe_sylink.xml, puis cliquez sur Ouvrir. Cliquez sur Fermer pour fermer la bote de dialogue Dpannage. Aprs que vous importiez le fichier de liaisons et lorsque le client et le serveur de gestion communiquent, l'icne de zone de notification apparat dans la barre des tches de l'ordinateur. Le point vert indique que le client et le serveur de gestion sont en communication l'un avec l'autre.
1 2 3 4 5 6
Dans la console, cliquez sur Clients. Sous Afficher les clients, slectionnez le groupe dont vous voulez bloquer les nouveaux clients. Cliquez sur l'onglet Dtails. Dans l'onglet Dtails, sous Tches, cliquez sur Modifier les proprits du groupe. Dans la bote de dialogue Proprits du groupe pour nom du groupe, cliquez sur Bloquer les nouveaux clients. Cliquez sur OK.
Gestion des groupes et des clients Dplacement de clients entre des groupes
73
1 2 3
Dans la console, cliquez sur Clients. Sur la page Clients, sous Afficher les clients, localisez le groupe qui contient les clients que vous souhaitez dplacer. Dans l'onglet Clients, cliquez avec le bouton droit de la souris sur les clients que vous souhaitez dplacer, puis cliquez sur Dplacer. Utilisez la touche MAJ ou Ctrl pour slectionner tous les clients ou des clients spcifiques.
4 5
Dans la bote de dialogue Dplacer le groupe : nom du groupe, slectionnez le groupe vers lequel vous souhaitez dplacer les clients slectionns. Cliquez sur OK.
74
Gestion des groupes et des clients Affichage de l'tat des clients et des ordinateurs client
Etat du client
Affiche les informations sur le client, tel que le numro de srie de politique du groupe et le numro de version du client. Indique si la protection antivirus et antispyware, la protection contre les menaces rseau et Auto-Protect sont activs ou dsactivs. Cette vue affiche galement la date et le numro de rvision des dernires signatures et contenu.
Technologie de protection
Informations Affiche les informations sur les composants du rseau de l'ordinateur relatives au rseau client, tels que l'adresse MAC de la carte rseau utilise par l'ordinateur. Systme client Affiche les informations systme au sujet de l'ordinateur client, tel que la quantit d'espace disque disponible et le numro de version du systme d'exploitation.
Une fois que vous avez connaissance de l'tat d'un client particulier, vous pouvez rsoudre tous les problmes de scurit sur les ordinateurs client. Par exemple, vous pourriez devoir tlcharger les dernires dfinitions antivirus. Ou vous pouvez excuter des commandes distance depuis chaque groupe, comme l'activation d'Auto-Protect. Se reporter "Excution de commandes sur des clients partir de la console" la page 81. Vous pouvez galement excuter les rapports rapides planifis avec les informations d'tat. Se reporter "Cration de rapports rapides" la page 274. Vous pouvez galement afficher la majeure partie de ces informations en cliquant avec le bouton droit de la souris sur chaque client, puis en cliquant sur Proprits. Le seul champ que vous pouvez modifier est le champ Description dans l'onglet Gnral.
Gestion des groupes et des clients Filtrage des clients que vous pouvez afficher dans l'onglet Clients
75
Se reporter "Affichage des proprits d'un client" la page 76. Se reporter "Filtrage des clients que vous pouvez afficher dans l'onglet Clients" la page 75. Pour afficher l'tat des clients et des ordinateurs client
1 2 3
Dans la console, cliquez sur Clients. Sur la page Clients, sous Afficher les clients, localisez le groupe qui contient les clients sur lesquels vous souhaitez avoir des informations. Dans l'onglet Clients, cliquez sur la liste droulante Affichage, puis slectionnez une catgorie. Vous pouvez atteindre directement une page particulire en saisissant son numro dans la zone de texte situe dans l'angle infrieur droit.
Filtrage des clients que vous pouvez afficher dans l'onglet Clients
Vous pouvez afficher quels clients d'un groupe apparaissent dans l'onglet Clients, en fonction du systme d'exploitation ou du type de compte. Vous pouvez afficher ou masquer quels ordinateurs sont connects au serveur de gestion. Vous pouvez galement configurer combien de clients sont affichs sur chaque page pour faciliter la gestion de la liste. Se reporter "Affichage de l'tat des clients et des ordinateurs client" la page 73. Se reporter "Affichage de l'tat de sant du client dans la console de gestion" la page 197. Pour afficher quels utilisateurs et ordinateurs vous pouvez voir dans l'onglet Clients
1 2 3 4
Dans la console, cliquez sur Clients. Dans le volet Afficher les clients, choisissez le groupe dans lequel vous souhaitez effectuer la recherche. Sur l'onglet Clients, sous Tches, cliquez sur Change Clients View (Changer la vue clients). Dans la bote de dialogue Clients Modifier Afficher (Changer la vue clients), sous Type de plate-forme, slectionnez si vous voulez afficher des ordinateurs Windows, des ordinateurs Mac ou les deux Se reporter "A propos du mode utilisateur et du mode ordinateur" la page 66.
Sous Type de compte, slectionnez si vous voulez afficher des clients en mode utilisateur ou en mode ordinateur
76
Les nouveaux ordinateurs ou utilisateurs qui n'ont pas le logiciel client install Etat en ligne
Pour raccourcir la liste, cliquez sur Rsultats par page et entrez le nombre de rsultats afficher sur chaque page. Les valeurs valides sont comprises entre 1 et 1000.
1 2 3
Dans la Console, cliquez sur Clients A la page Clients, dans l'onglet Clients, slectionnez un groupe. Dans l'onglet Clients, slectionnez un client, cliquez avec le bouton droit de la souris sur Excuter la commande sur le groupe et puis cliquez sur Redmarrer les ordinateurs client.
1 2
Dans la Console, cliquez sur Clients. A la page Clients, dans l'onglet Clients, slectionnez un groupe, cliquez avec le bouton droit de la souris sur Excuter la commande sur le groupe et puis cliquez sur Redmarrer les ordinateurs client.
Gnral
Gestion des groupes et des clients Recherche d'informations sur les clients
77
Affiche les informations sur le groupe, le domaine, le nom de connexion et la configuration matrielle de l'ordinateur.
Rseau Affiche les informations sur le serveur DNS, le serveur DHCP, le serveur WINS et l'adresse IP de l'ordinateur. Clients Affiche les informations qui sont recueillies partir de l'ordinateur client. Ces informations incluent le type de client qui s'excute sur l'ordinateur. Des informations particulires sur le logiciel et la politique sont galement fournies. Ces informations incluent la version du logiciel client, le numro de srie du profil actuel, le numro de srie de la signature actuelle et la date de la dernire mise en ligne. Informations utilisateur Affiche les informations sur la personne qui est actuellement connecte l'ordinateur. Ces informations sont automatiquement renseignes lorsque l'administrateur choisit d'activer la collecte des informations utilisateur.
Se reporter "Collecter des donnes utilisateur" la page 131. Pour afficher les proprits d'un client
1 2 3 4 5 6
Dans la console, cliquez sur Clients. Dans le volet Afficher les clients, choisissez le groupe avec les clients dont vous souhaitez afficher les proprits. Dans l'onglet Clients, slectionnez le client. Sous Tches, cliquez sur Modifier les proprits. Dans la bote de dialogue nom du client , vous pouvez afficher les informations sur le client. Cliquez sur OK.
78
Gestion des groupes et des clients Recherche d'informations sur les clients
Vous pouvez exporter les donnes qui sont contenues dans la requte dans un fichier texte. Remarque : Pour rechercher la majeure partie des informations sur les utilisateurs, vous devez collecter des donnes utilisateur pendant l'installation de logiciel client ou aprs. Ces informations d'utilisateur sont galement affiches dans l'onglet Gnral et l'onglet Informations utilisateur dans la bote de dialogue Proprits de modification du client. Se reporter "Collecter des donnes utilisateur" la page 131. Se reporter "Affichage des proprits d'un groupe" la page 63. Pour rechercher des informations sur des utilisateurs, des clients et des ordinateurs
1 2 3 4 5 6 7
Dans la console, cliquez sur Clients. Dans l'onglet Clients, sous Afficher les clients, choisissez le groupe dans lequel vous souhaitez effectuer la recherche. Sous Tches, cliquez sur Effectuer une recherche parmi les clients. Dans la bote de dialogue Recherche de clients, dans la liste droulante Rechercher, cliquez sur Ordinateurs ou Utilisateurs. Cliquez sur Parcourir pour slectionner un groupe autre que le groupe par dfaut. Dans la bote de dialogue Slectionner un groupe, slectionnez le groupe et cliquez sur OK. Sous Critres de recherche, cliquez sur la liste droulante Champ de recherche et slectionnez ensuite les critres de recherche d'aprs lesquels vous souhaitez effectuer la recherche. Cliquez sur la liste droulante d'Oprateur de comparaison et slectionnez un oprateur de comparaison. Vous pouvez utiliser les oprateurs boolens standard dans vos critres de recherche.
Gestion des groupes et des clients Configurer un client pour dtecter les priphriques inconnus
79
Activer la protection contre les menaces rseau. Se reporter "Activer et dsactiver la protection contre les menaces rseau" la page 558. Basculer le client en mode ordinateur. Se reporter "Basculer un client entre le mode utilisateur et le mode ordinateur" la page 69. Installer le client sur un ordinateur qui fonctionne tout le temps. Activer uniquement les clients Symantec Endpoint Protection en tant que dtecteurs autonomes. Un client Symantec Network Access Control ne peut pas tre un dtecteur autonome.
80
Gestion des groupes et des clients Configurer un client pour dtecter les priphriques inconnus
1 2 3
Dans la console, cliquez sur Clients. Sous Afficher les clients, slectionnez le groupe qui contient le client que vous voulez activer comme dtecteur autonome. Dans l'onglet Clients, cliquez avec le bouton droit de la souris sur le client activer comme dtecteur autonome, puis cliquez sur Activer en tant que dtecteur autonome. Pour spcifier un ou plusieurs priphriques exclure de la dtection par le dtecteur autonome, cliquez sur Configurer le dtecteur autonome. Dans les Exceptions du dtecteur autonome, pour la bote de dialogue nom du client, cliquez sur Ajouter. Dans la bote de dialogue Ajouter une exception au dtecteur autonome, cliquez sur l'une des options suivantes :
4 5 6
Exclure la dtection d'une plage d'adresses IP, puis saisissez la plage d'adresses IP pour plusieurs priphriques. Exclure la dtection d'adresse MAC, puis saisissez l'adresse MAC du priphrique.
7 8
1 2 3 4
Dans la console, cliquez sur Accueil. Sur la page d'accueil, dans la section Etat de la scurit, cliquez sur Infos supplm.. Dans la bote de dialogue Dtails d'tat de la scurit, faites dfiler jusqu'au tableau des Dfaillances de priphrique inconnu. Fermez la bote de dialogue. Vous pouvez galement afficher une liste de priphriques non autoriss dans l'onglet Ordinateurs inconnus de la bote de dialogue Rechercher les ordinateurs autonomes. Pour plus d'informations, consultez le Guide d'installation de Symantec Endpoint Protection et Symantec Network Access Control.
Gestion des groupes et des clients Excution de commandes sur des clients partir de la console
81
Met jour le contenu sur les clients en lanant une session LiveUpdate sur les clients. Les clients reoivent le contenu le plus rcent de Symantec LiveUpdate. Se reporter "Excution de LiveUpdate sur un client partir de la console" la page 174.
Met jour le contenu en lanant une session LiveUpdate et excute une analyse la demande sur les clients. Se reporter "Excution de LiveUpdate sur un client partir de la console" la page 174.
82
Gestion des groupes et des clients Excution de commandes sur des clients partir de la console
Commandes
Redmarrer les ordinateurs client Activer Auto-Protect
Description
Redmarre les clients. Se reporter "Redmarrage d'ordinateurs client" la page 76. Active le systme de fichiers Auto-Protect sur les clients. Se reporter "Activer Auto-Protect pour le systme de fichiers" la page 480.
Active la protection contre les menaces rseau sur les clients. Se reporter "Activer et dsactiver la protection contre les menaces rseau" la page 558.
Chapitre
Utiliser la dtection de l'emplacement avec des groupes Activation de la dtection de l'emplacement pour un client Ajouter un emplacement avec un assistant d'installation Ajout d'un emplacement sans assistant Modification d'un emplacement par dfaut Modification du nom et de la description de l'emplacement d'un groupe Supprimer l'emplacement d'un groupe
Type de connexion rseau, tel que connexion sans fil, Ethernet ou VPN. Emplacement de la connexion.
Vous pouvez souhaiter ajouter plusieurs emplacements qui refltent les types de connexion suivants :
84
Gestion des emplacements d'un groupe Utiliser la dtection de l'emplacement avec des groupes
Connexions sans fil dans le bureau. Connexions cbles dans le bureau. Connexions partir d'emplacements d'entreprise distants de l'extrieur du bureau. Connexions VPN de l'extrieur du bureau.
Vous pouvez ajouter des emplacements aprs avoir install tous les groupes que vous devez grer. Chaque groupe peut avoir diffrents emplacements si votre stratgie de scurit le requiert. Dans la console Symantec Endpoint Protection Manager, vous pouvez installer les conditions qui dclenchent le passage automatique de politique en fonction de l'emplacement. Lorsque vous activez la dtection de l'emplacement, elle applique automatiquement la meilleure politique de scurit un client ou un serveur, en fonction de l'emplacement partir duquel un utilisateur se connecte. Vous pouvez ajouter un ensemble de conditions aux emplacements de chaque groupe qui slectionne automatiquement les politiques de scurit correctes pour un environnement d'utilisateur. Ces conditions sont bases sur des critres tels que les paramtres rseau de l'ordinateur partir duquel la demande d'accs au rseau a t lance. Une adresse IP, une adresse MAC ou l'adresse d'un serveur de rpertoire peuvent galement fonctionner comme condition. Si vous changez une politique de scurit dans la console, le serveur du gestionnaire met jour la politique du client ou le client tlcharge la politique. Si l'emplacement actuel est non valide aprs la mise jour, le client :
Bascule vers un autre emplacement qui est valide. Ou utilise l'emplacement par dfaut.
Vous pouvez personnaliser la politique et les paramtres de chaque emplacement. Par exemple, les politiques pour un emplacement de bureau ne doivent pas forcment tre aussi strictes que les politiques d'un emplacement VPN ou de domicile. La politique associe l'emplacement par dfaut est utilise lorsque l'utilisateur est dj protg par le pare-feu d'une entreprise. Lorsque vous crez un emplacement, il s'applique au groupe pour lequel vous l'avez cr et tous les sous-groupes qui hritent du groupe parent. Vous devez crer les emplacements que vous avez l'intention d'appliquer aux clients au niveau de groupe Mon entreprise. Vous pouvez crer des emplacements spcifiques un groupe particulier. Par exemple, dans la plupart des socits, tous les utilisateurs ncessitent un emplacement par dfaut qui est automatiquement ajout au groupe Mon entreprise. Toutefois, tous les clients ne ncessitent pas une connexion VPN. Vous pouvez installer un groupe distinct appel Travailleurs mobiles pour les clients qui ncessitent une connexion VPN. Vous devez ajouter l'emplacement VPN au groupe Travailleurs mobiles ainsi qu' l'emplacement du bureau hrit.
Gestion des emplacements d'un groupe Utiliser la dtection de l'emplacement avec des groupes
85
Les clients de ce groupe peuvent utiliser les politiques associes au bureau ou l'emplacement VPN. Tableau 5-1 Tches
Planifier des emplacements
Pour contrler les politiques attribues aux clients en fonction de l'emplacement partir duquel les clients se connectent, vous pouvez activer la dtection de l'emplacement. Se reporter "Activation de la dtection de l'emplacement pour un client" la page 87.
Vous pouvez ajouter des emplacements aux groupes. Se reporter "Ajouter un emplacement avec un assistant d'installation" la page 88. Se reporter "Ajout d'un emplacement sans assistant" la page 90.
Attribuer des Tous les groupes doivent disposer d'un emplacement par dfaut. emplacements par dfaut Lorsque vous installez la console, un seul emplacement est disponible, appel Par dfaut. Lorsque vous crez un nouveau groupe, son emplacement par dfaut est toujours Par dfaut. Vous pourrez ultrieurement changer l'emplacement par dfaut aprs avoir ajout d'autres emplacements. L'emplacement par dfaut est utilis dans l'un des cas suivants : L'un des emplacements multiples rpond des critres d'emplacement et si le dernier emplacement ne rpond pas aux critres d'emplacement. Vous utilisez des informations sur l'emplacement et aucun emplacement ne rpond au critre. L'emplacement est renomm ou modifi dans la politique. Le client rcupre l'emplacement par dfaut quand il reoit la nouvelle politique.
86
Gestion des emplacements d'un groupe Utiliser la dtection de l'emplacement avec des groupes
Tches
Description
Configurer des Vous pouvez galement configurer les paramtres de paramtres de communication entre un serveur de gestion et le client sur une communication pour les base d'emplacement. emplacements Se reporter "Configurer des paramtres de communication pour un emplacement" la page 199. Modifier les proprits d'emplacement Vous pouvez modifier certaines proprits d'emplacement. Se reporter "Modification du nom et de la description de l'emplacement d'un groupe" la page 92. Vous pouvez supprimer tout emplacement obsolte ou inutilis dans votre rseau. Se reporter "Supprimer l'emplacement d'un groupe" la page 93.
A partir de quels emplacements les utilisateurs se connectent-ils ? Demandez-vous quels emplacements doivent tre crs et comment tiqueter chacun d'eux. Par exemple, les utilisateurs peuvent se connecter au bureau, de la maison, d'un site client ou d'un autre site distant tel qu'un htel lors d'un voyage. D'autres emplacements qualifis peuvent tre ncessaires pour un grand site. Les informations de l'emplacement doivent-elles tre configures pour chaque emplacement ? Comment voulez-vous identifier l'emplacement si vous utiliser les informations des emplacements ? Vous pouvez identifier l'emplacement bas sur les adresses IP, WINS, DHCP, ou les adresses du serveur DNS, les connexion au rseau, et d'autres critres. Si vous identifiez l'emplacement par connexion rseau, de quel type de connexion s'agit-il ?
Gestion des emplacements d'un groupe Activation de la dtection de l'emplacement pour un client
87
Par exemple, la connexion rseau peut tre une connexion Symantec Endpoint Protection Manager, la connexion rseau distance ou une marque particulire de serveur VPN.
Voulez-vous que les clients se connectant dans cet emplacement utilisent un type spcifique de commande, telle que la commande de serveur, la commande mlange ou la commande client ? Voulez-vous faire des vrifications de l'Intgrit de l'Hte de chaque emplacement ? Ou voulez-vous l'ignorer tout moment comme lorsque vous n'tes pas connects Symantec Endpoint Protection Manager ? Quelles applications et services doivent tre autoriss chaque emplacement ? Dsirez-vous que l'emplacement utilise les mmes paramtres de communication que les autres emplacements du groupe ou qu'il en utilise d'autres ? Vous pouvez dfinir des paramtres de communication uniques pour un emplacement.
88
Gestion des emplacements d'un groupe Ajouter un emplacement avec un assistant d'installation
le contrle du serveur. Si un emplacement de quarantaine est activ, le client pourra passer la Politique de Quarantaine aprs quelques secondes. Pour activer la dtection de l'emplacement pour un client
1 2 3
Dans la console, cliquez sur Clients. Sur la page Clients, sous Afficher les clients, slectionnez le groupe pour lequel vous souhaitez implmenter le passage automatique des emplacements. Sur l'onglet Politiques, dslectionnez Hriter les politiques et les paramtres du groupe parent "nom de groupe". Vous ne pouvez modifier que les paramtres n'appartenant pas l'emplacement pour ces groupes qui n'ont pas ces politiques et paramtres d'un groupe parent.
4 5
Sur l'onglet Politiques et Paramtres n'appartenant pas l'emplacement, cliquez sur Paramtres gnraux. Dans la bote de dialogue Paramtres Gnraux, sur l'onglet Paramtres Gnraux, sous Paramtresdel'Emplacement, cochez Sesouvenirdudernier emplacement. Par dfaut, cette option est active. Le client est initialement attribu la politique associe l'emplacement partir duquel le dernier client s'est connect au rseau.
Cochez Activez les Informations de l'emplacement. Par dfaut, les informations de l'emplacement sont actives. Le client est automatiquement assign la politique associe l'emplacement partir duquel l'utilisateur tente de se connecter au rseau.
Gestion des emplacements d'un groupe Ajouter un emplacement avec un assistant d'installation
89
Se reporter "Utiliser la dtection de l'emplacement avec des groupes" la page 83. Ajouter un emplacement avec un assistant d'installation
1 2 3
Dans la console, cliquez sur Clients. Sur la page Clients, sous Afficher les clients, slectionnez le groupe auquel vous souhaitez ajouter un ou plusieurs emplacements. Sur l'onglet Politiques, dslectionnez Hriter les politiques et les paramtres du groupe parent "nom de groupe". Vous pouvez ajouter des emplacements seulement des groupes qui n'hritent pas des politiques d'un groupe parent.
4 5 6 7
Sous Tches, cliquez sur Ajouter un emplacement. Dans le volet Bienvenue dans l'assistant Ajout d'emplacement, cliquez sur Suivant. Dans le volet Prciser un nom d'emplacement, entrez le nom et la description du nouvel emplacement et cliquez sur Suivant. Dans le volet Spcifier une condition, slectionnez l'une des conditions suivantes, sous laquelle un client passe d'un emplacement un autre :
Pas de condition spcifique Slectionnez cette option afin que le client puisse choisir cet emplacement si de multiples emplacements sont disponibles. Slectionnez cette option afin que le client puisse choisir cet emplacement si son adresse IP est incluse dans la plage spcifie. Vous devez spcifier l'adresse IP de dbut et l'adresse IP de fin. Slectionnez cette option de sorte que le client puisse choisir cet emplacement si son masque de sous-rseau et son adresse de sous-rseau sont spcifis. Slectionnez cette option de sorte que le client puisse choisir cet emplacement s'il se connecte au serveur DNS spcifi. Slectionnez cette option de sorte que le client puisse choisir cet emplacement s'il se connecte au nom de domaine spcifi et l'adresse de rsolution DNS. Slectionnez cette option pour que le client puisse choisir cet emplacement s'il se connecte au serveur de gestion spcifi.
Plage d'adresses IP
Serveur DNS
90
Gestion des emplacements d'un groupe Ajout d'un emplacement sans assistant
Slectionnez cette option de sorte que le client puisse choisir cet emplacement s'il se connecte au type spcifi de connexion rseau. Le client accde cet emplacement en utilisant l'une des connexions suivantes :
Connexion rseau quelconque Connexion rseau distance Ethernet Wireless Check Point VPN-1 VPN Cisco VPN Microsoft PPTP VPN Juniper NetScreen VPN Nortel Contivity VPN SafeNet SoftRemote VPN Aventail SSL VPN Juniper SSL
8 9
Cliquez sur Suivant. Dans le volet Assistant d'ajout d'emplacement termin, cliquez sur Terminer.
1 2 3
Dans la console, cliquez sur Clients. Dans la page Clients, sous Afficher les clients, slectionnez le groupe pour lequel vous souhaitez ajouter un ou plusieurs emplacements. Dans l'onglet Politiques, dslectionnez Hriter les politiques et les paramtres du groupe parent "nom de groupe". Vous pouvez seulement ajouter des emplacements aux groupes qui n'hritent pas des politiques d'un groupe suprieur.
Dans la page Clients, sous Tches, cliquez sur Grer les emplacements.
Gestion des emplacements d'un groupe Modification d'un emplacement par dfaut
91
5 6 7 8
Dans la bote de dialogue Grer les emplacements, sous Emplacements, cliquez sur Ajouter. Dans la bote de dialogue Ajouter un emplacement, saisissez le nom et la description du nouvel emplacement, puis cliquez sur OK. Dans la bote de dialogue Grer les emplacements, prs de Basculer vers cet emplacement lorsque, cliquez sur Ajouter. Dans la bote de dialogue Indiquez les critres d'emplacement, slectionnez et dfinissez une condition dans la liste Type. Un ordinateur client bascule vers l'emplacement si l'ordinateur remplit la condition indique.
Cliquez sur OK. emplacement si, cliquez sur Ajouter, puis slectionnez Critres avec relation ET ou Critres avec relation OU.
L'un des emplacements multiples rpond des critres d'emplacement et si le dernier emplacement ne rpond pas aux critres d'emplacement. Vous utilisez des informations sur l'emplacement et aucun emplacement ne rpond au critre. L'emplacement est renomm ou modifi dans la politique. Le client rcupre l'emplacement par dfaut quand il reoit la nouvelle politique.
92
Gestion des emplacements d'un groupe Modification du nom et de la description de l'emplacement d'un groupe
1 2 3 4 5
Dans la console, cliquez sur Clients. Dans la page Clients, sous Afficher les clients, slectionnez le groupe auquel vous souhaitez affecter un autre emplacement par dfaut. Dans l'onglet Politiques, dslectionnez Hriter les politiques et les paramtres du groupe parent "nom de groupe". Sous Tches, cliquez sur Grer les emplacements. Dans la bote de dialogue Grer les emplacements, sous Emplacements, slectionnez l'emplacement que vous souhaitez dfinir comme emplacement par dfaut. Sous Description, cochez Dfinir cet emplacement comme emplacement par dfaut en cas de conflit. Il s'agit toujours de celui par dfaut tant que vous n'en attribuez pas un autre au groupe.
1 2 3 4 5 6
Dans la console, cliquez sur Clients. Dans le volet Clients, sous Afficher les clients, cliquez sur le groupe dont vous souhaitez modifier le nom et la description. Sur l'onglet Politiques, dans le volet Tches, cliquez sur Grer les emplacements. Dans la zone de texte Nom de l'emplacement, modifiez le nom de l'emplacement. Dans la zone de texte Description, modifiez la description de l'emplacement. Cliquez sur OK.
93
1 2 3
Dans la Console, cliquez sur Clients. Dans la page Clients, sous Afficher les clients, slectionnez le groupe qui contient l'emplacement supprimer. Dans l'onglet Politiques, dslectionnez Hriter les politiques et les paramtres du groupe parent "nom de groupe". Vous ne pouvez supprimer les emplacements que des groupes qui n'hritent pas des politiques de leurs groupes parent.
4 5
Dans la page Clients, sous Tches, cliquez sur Grer les emplacements. Dans la bote de dialogue Grer les emplacements, sous Emplacements, slectionnez l'emplacement supprimer puis cliquez sur Supprimer. Vous ne pouvez pas supprimer l'emplacement par dfaut.
94
Chapitre
Utilisation de politiques pour grer la scurit du rseau A propos des politiques partages et non partages A propos de l'ajout de politiques Modifier une politique Affectation d'une politique partage Retrait d'une politique Supprimer une politique Exporter une politique Importation d'une politique A propos de la copie des politiques Copie d'une politique partage dans la page Politique Copie d'une politique partage ou non partage dans la page Clients Coller une politique Copier et coller une politique de groupe Remplacement d'une politique Copie d'une politique partage pour la convertir en politique non partage Conversion d'une copie d'une politique partage en politique non partage A propos de la mise jour des politiques sur les clients
96
Configurer le mode de transfert ou le mode de traction pour mettre jour les politiques client et le contenu Afficher le numro de srie de politique Mise jour manuelle de la politique pour vrifier le numro de srie de la politique Contrle des applications et services excuts sur les ordinateurs client Configuration du serveur de gestion pour la collecte d'informations sur les applications que les ordinateurs client excutent Recherche d'informations sur les applications que les ordinateurs excutent
Nom de la politique
Antivirus et antispyware
Pare-feu
Prvention d'intrusion
97
Nom de la politique
Intgrit de l'hte
Description
Permet de dfinir, de restaurer et d'appliquer les mesures de scurit des clients afin de protger les rseaux et les donnes de l'entreprise.
Contrle des applications et Protge les ressources systme des applications et gre les des priphriques priphriques pouvant tre connects aux ordinateurs. LiveUpdate Spcifie les ordinateurs que les clients doivent contacter pour rechercher des mises jour Spcifie galement la planification qui dfinit la frquence laquelle les clients recherchent des mises jour. Spcifie les exceptions aux fonctions particulires de politique que vous souhaitez appliquer. Il n'existe pas de politique par dfaut.
Exceptions centralises
Vous pouvez effectuer un certain nombre de tches individuelles et communes tous les types de politiques. Tableau 6-2 Tche
Ajouter une politique
98
Tche
Attribuer une politique
Description
Pour utiliser une politique, vous devez l'attribuer un ou plusieurs groupes ou emplacements. Se reporter "Affectation d'une politique partage" la page 105.
Selon la bande passante disponible, vous pouvez configurer un client pour qu'il utilise le mode 'push' ou le mode 'pull' comme mthode de mise jour. Se reporter "A propos de la mise jour des politiques sur les clients" la page 116. Se reporter "Configurer le mode de transfert ou le mode de traction pour mettre jour les politiques client et le contenu" la page 117.
Vous pouvez remplacer une politique partage par une autre politique partage. Vous pouvez remplacer la politique partage dans tous les emplacements ou pour un seul emplacement. Se reporter "Remplacement d'une politique" la page 113.
Copier et coller une politique. Au lieu d'ajouter une nouvelle politique, vous pouvez copier une politique existante pour l'utiliser comme base de la nouvelle politique. Se reporter "A propos de la copie des politiques" la page 111. Se reporter "Copier et coller une politique de groupe" la page 113. Se reporter "Coller une politique" la page 112. Se reporter "Copie d'une politique partage ou non partage dans la page Clients" la page 111. Se reporter "Copie d'une politique partage dans la page Politique" la page 111. Importer une politique Vous pouvez importer une politique partage ou non partag et l'appliquer un groupe ou un emplacement spcifique. Se reporter "Importation d'une politique" la page 110. Exporter une politique Vous pouvez exporter une politique existante si vous voulez l'utiliser sur un autre site. Se reporter "Exporter une politique" la page 109.
99
Tche
Description
Pour convertir une politique Vous pouvez copier le contenu d'une politique partage et partage en politique non crer une politique non partage partir de ce contenu. Une partage copie permet de modifier le contenu d'une politique partage dans un seul emplacement et non dans tous les emplacements. La copie remplace la politique non partage existante. Se reporter "Conversion d'une copie d'une politique partage en politique non partage" la page 115. Vous pouvez convertir une politique partage en politique non partag si la politique ne s'applique plus tous les groupes ou tous les emplacements. Une fois la conversion termine, la politique convertie et son nouveau nom s'affichent sous Politiques et paramtres spcifiques l'emplacement. Se reporter "Copie d'une politique partage pour la convertir en politique non partage" la page 115. Retirer une politique Si vous ne voulez pas supprimer une politique bien que vous n'ayez cess de l'utiliser, vous pouvez la retirer. Vous pouvez retirer toute politique sauf la Politique antivirus et antispyware et une Politique de paramtres LiveUpdate. Se reporter "Retrait d'une politique" la page 106. Supprimer une politique Si vous n'utilisez plus une politique, vous pouvez la supprimer. Se reporter "Supprimer une politique" la page 107.
100
Une politique non partage s'applique un emplacement spcifique d'un groupe. Vous ne pouvez avoir qu'une politique par emplacement. Vous pouvez avoir besoin d'une politique spcialise pour un emplacement particulier qui existe dj. Dans ce cas, vous pouvez crer une politique spcifique un emplacement. Vous pouvez appliquer une politique un groupe ou emplacement ou vous pouvez appliquer des politiques de scurit distinctes pour chaque emplacement d'un groupe. Par exemple, des emplacements multiples ont t attribus un groupe. Les utilisateurs peut devoir se connecter un rseau d'entreprise en utilisant diffrents emplacements au bureau ou domicile. Vous pouvez devoir appliquer une politique diffrente avec son propre jeu de rgles et de paramtres chaque emplacement. Vous appliquez une politique spare chaque groupe d'utilisateurs ou d'ordinateurs. Les utilisateurs distants utilisent normalement l'ADSL et le RNIS pour lesquels vous pouvez avoir besoin d'une connexion VPN. D'autres utilisateurs distants peuvent vouloir appeler pour se connecter au rseau d'entreprise par tlphone. Les employs qui travaillent au bureau utilisent typiquement une connexion Ethernet. Cependant, les groupes commerciaux et marketing peuvent galement utiliser des connexions sans fil. Chacun de ces groupes ncessite sa propre politique de pare-feu pour les emplacements partir desquels il se connecte au rseau de l'entreprise. Vous pouvez vouloir mettre en application une politique restrictive en ce qui concerne l'installation d'applications non certifies sur la plupart des postes de travail des employs pour protger le rseau d'entreprise contre les attaques. Votre groupe Informatique peut ncessiter d'accder des applications supplmentaires. Par consquent, le groupe informatique peut avoir besoin d'une politique de scurit moins restrictive que les employs typiques. Dans ce cas, vous pouvez crer une politique de pare-feu diffrente pour le groupe informatique. Quand vous crez une nouvelle politique, vous dmarrez des rgles et des paramtres de scurit par dfaut. Modifiez la politique pour les personnaliser. Se reporter "Utilisation de politiques pour grer la scurit du rseau" la page 96.
101
Si vous dcidez d'ajouter une politique dans la page Clients, vous le faire l'aide de l'une des mthodes suivantes :
Basez une nouvelle politique sur une politique existante. Crez une politique. Importez une politique partir d'une politique prcdemment exporte.
Se reporter "Ajouter une politique partage." la page 101. Se reporter "Utilisation de politiques pour grer la scurit du rseau" la page 96.
1 2 3 4 5 6
Dans la console, cliquez sur Politiques. Sous Afficher les politiques, slectionnez l'un des types de politique. Sous Tches, cliquez sur Ajouter untype de politique Politique. Dans la page type de politique Politique, dans le volet Prsentation, tapez le nom et la description de la politique. Sinon l'option n'est pas dj coche, cochez Activer cette politique. Dans le volet gauche, slectionnez l'une des vues suivantes :
Affichage sous forme d'arborescence Affichage sous forme de liste Toutes les politiques qui ont t attribues des groupes et des emplacements sont reprsentes comme des icones.
Toutes les politiques qui ont t attribues des groupes et des emplacements sont reprsentes dans une liste.
7 8
Pour configurer la politique, sous Afficher les politiques, cliquez sur un type de politique, tel que Protection antivirus et antispyware. Quand vous avez termin de configurer la politique, cliquez sur OK.
102
Dans la bote de dialogue Assigner la politique, effectuez l'une des oprations suivantes :
Pour affecter la politique un groupe ou un emplacement maintenant, cliquez sur Oui, puis passez l'tape 10. Pour affecter la politique un groupe ou un emplacement plus tard, cliquez sur Non. Se reporter "Affectation d'une politique partage" la page 105.
Vous devez attribuer la politique un groupe ou un emplacement, sinon les ordinateurs client ne reoivent pas la politique.
1 2
Dans l'assistant Ajouter une politique pour nom d'emplacement, slectionnez le type de politique ajouter et cliquez sur Suivant. Cliquez sur Crer une nouvelle politique et cliquez sur Suivant.
103
3 4
Dans le volet Prsentation de politique type de politique, tapez le nom et la description de la politique. Pour configurer la politique, sous Afficher les politiques, cliquez sur l'un des types de politique suivants :
Antivirus et antispyware Se reporter "A propos de l'utilisation des politiques antivirus et antispyware" la page 438. Se reporter "A propos de l'utilisation des politiques de pare-feu" la page 518. Se reporter "A propos de l'utilisation des politiques de prvention d'intrusion" la page 545. Se reporter "A propos de l'utilisation du contrle des applications et des priphriques " la page 609.
Pare-feu
Prvention d'intrusion
Se reporter "A propos des politiques LiveUpdate" la page 150. Se reporter "A propos de l'utilisation des politiques d'exceptions centralises" la page 647.
Exceptions centralises
Ajout d'une nouvelle politique non partage partir d'une politique existante dans la page Clients
Vous pouvez ajouter une nouvelle politique non partage partir d'une politique existante dans la page Clients. Se reporter "Utilisation de politiques pour grer la scurit du rseau" la page 96. Pour ajouter une nouvelle politique non partage partir d'une politique existante dans la page Clients :
1 2 3 4
Dans l'assistant Ajouter une politique pour nom d'emplacement, slectionnez le type de politique ajouter et cliquez sur Suivant. Cliquez sur Utiliser une politique partage existante et cliquez sur Suivant. Dans la bote de dialogue Ajouter une politique, slectionnez une politique existante dans la liste droulante. Cliquez sur OK.
104
Ajout d'une nouvelle politique non partage partir d'un fichier de politique prcdemment export dans la page Clients
Vous pouvez ajouter une nouvelle politique non partage partir d'un fichier de politique prcdemment export dans la page Clients. Se reporter "Utilisation de politiques pour grer la scurit du rseau" la page 96. Pour ajouter une nouvelle politique non partage partir d'un fichier de politique prcdemment export dans la page Clients
1 2 3 4
Dans l'assistant Ajouter une politique pour nom d'emplacement, slectionnez le type de politique ajouter et cliquez sur Suivant. Cliquez sur Importer une politique partir d'un fichier de politique et cliquez sur Suivant. Dans la bote de dialogue Importer la politique, localisez le fichier .dat qui a t prcdemment export. Cliquez sur Importer.
1 2 3 4
Dans la console, cliquez sur Politiques. Dans la page Politiques, sous Afficher les politiques, cliquez sur le type de politique. Dans le volet Politiques type de politique, cliquez sur la politique modifier. Sous Tches, cliquez sur Modifier la politique.
105
5 6
Dans le volet Prsentation de politique type de politique, moditifiez le nom et la description de la politique, si ncessaire. Pour modifier la politique, cliquez sur l'un des types de politiques dans les pages Politique.
Pour modifier une politique partage ou non partage dans la page Clients :
1 2
Dans la console, cliquez sur Clients. Dans la page Clients, sous Afficher les clients, slectionnez le groupe pour lequel vous souhaitez modifier une politique. Dans l'onglet Politiques, dslectionnez Hriter les politiques et les paramtres du groupe parent "nom de groupe". Vous devez dsactiver l'hritage pour ce groupe. Si vous ne dslectionnez pas l'hritage, vous ne pouvez pas modifier la politique.
Sous Politiques et paramtres dpendants de l'emplacement, faites dfiler le menu pour trouver le nom de l'emplacement dont vous souhaitez modifier la politique. Recherchez la politique spcifique pour l'emplacement que vous voulez modifier. A droite de la politique slectionne, cliquez sur Tches puis sur Modifier une politique. Effectuez l'une des tches suivantes :
5 6 7
Pour modifier une politique non partage, passez l'tape 8. Pour modifier une politique partage, cliquez sur Modifier une politique partage dans la bote de dialogue Modifier une politique pour modifier la politique dans tous les emplacements.
106
Crer une politique partage Se reporter "Ajouter une politique partage." la page 101.
2 3 4 5 6 7
Dans la page Politiques, sous Afficher les politiques, cliquez sur le type de politique affecter. Dans le volet Politique type de politique, slectionnez la politique affecter. Dans la page Politiques, sous Tches, cliquez sur Assigner la politique. Dans la bote de dialogue Assigner type de politiquela politique, cochez les groupes et les emplacements auxquels doit s'appliquer la politique. Cliquez sur Assigner. Cliquez sur Oui pour confirmer que vous voulez affecter la politique.
Remarque : Vous devez retirer une politique de tous les groupes et emplacements avant de la supprimer. Vous ne pouvez pas retirer une politique d'antivirus, de protection antispyware ou une politique LiveUpdate d'un emplacement ou groupe. Vous pouvez les remplacer seulement par une autre politique d'antivirus, de protection antispyware ou par une autre politique LiveUpdate.
107
1 2 3 4 5 6 7
Dans la console, cliquez sur Politiques. Dans la page Politiques, sous Afficher les politiques, cliquez sur le type de politique que vous souhaitez retirer. Dans le volet Politiques type de politique, cliquez sur la politique que vous souhaitez retirer. Dans la page Politiques, sous Tches, cliquez sur Retirer la politique. Dans la bote de dialogue Retirer la politique, cochez les groupes et les emplacements dont vous souhaitez retirer la politique. Cliquez sur Retirer. Lorsque vous tes invit confirmer le retrait de la politique des groupes et emplacements, cliquez sur Oui.
1 2 3
Dans la console, cliquez sur Clients. Dans la page Clients, sous Afficher les clients, slectionnez le groupe pour lequel vous souhaitez retirer une politique. Dans l'onglet Politiques, dsactivez l'option Hriter les politiques et les paramtres du groupe parent "nom de groupe". Vous devez dsactiver l'hritage pour ce groupe. Si vous ne dslectionnez pas l'option d'hritage, vous ne pourrez pas retirer la politique.
Sous Politiques et paramtres spcifiques l'emplacement, faites dfiler le menu pour trouver le nom de l'emplacement dont vous souhaitez retirer la politique. Recherchez la politique retirer de l'emplacement slectionn. Cliquez sur Tches puis sur Retirer la politique. Dans la bote de dialogue Retirer la politique, cliquez sur Oui.
5 6 7
108
Se reporter "Utilisation de politiques pour grer la scurit du rseau" la page 96. Vous pouvez supprimer une politique partage ou non partage. A mesure que vous ajoutez des groupes et des emplacements, vous pouvez tre amen supprimer d'anciennes politiques. Pour supprimer une politique non partage, retirez-la et supprimez-la en utilisant la mme commande. Remarque : Vous devez pralablement retirer une politique affecte un groupe ou un emplacement pour pouvoir supprimer la politique. Vous ne pouvez pas supprimer une politique antivirus et de protection antispyware, ni une politique LiveUpdate. Vous devez la remplacer par une autre politique de protection antispyware ou LiveUpdate, puis vous pouvez supprimer la politique d'origine de protection antispyware ou une politique LiveUpdate. Vous devez disposer d'au moins une politique de protection antispyware et une politique LiveUpdate pour chaque groupe et chaque emplacement. Pour supprimer une politique partage dans la page Politique
1 2
Dans la console, cliquez sur Politiques. Dans la page Politiques, sous Afficher les politiques, slectionnez le type de politique supprimer. La politique peut avoir t affecte ou non un ou plusieurs groupes et emplacements.
3 4 5
Dans le volet type de politique Politiques, cliquez sur la politique supprimer. Dans la page Politiques, sous Tches, cliquez sur Supprimer la politique. Lorsqu'un message vous demande de confirmer la suppression de la politique que vous avez slectionne, cliquez sur Oui.
1 2 3
Dans la Console, cliquez sur Clients. Dans la page Clients, sous Afficher les clients, slectionnez le groupe pour lequel vous voulez supprimer une politique. Dans l'onglet Politiques, dslectionnez Hriter les politiques et les paramtres du groupe parent "nom de groupe". Vous devez dsactiver l'hritage pour ce groupe. Si vous ne dslectionnez pas l'option d'hritage, vous ne pouvez pas supprimer la politique.
109
Sous Politiques et paramtres dpendants de l'emplacement, faites dfiler le menu jusqu' ce que vous trouviez le nom de l'emplacement dont vous voulez supprimer la politique. Recherchez la politique supprimer associe l'emplacement. A droite de la politique slectionne, cliquez sur Tches, puis sur Retirer la politique. Lorsque vous retirez la politique, vous la supprimez. Vous ne pouvez pas supprimer une politique antivirus et de protection antispyware, ni une politique LiveUpdate d'un emplacement. Vous ne pouvez la remplacer que par une autre politique.
5 6
1 2 3 4 5
Dans la console, cliquez sur Politiques. Dans la page Politiques, sous Afficher les politiques, cliquez sur le type de politique exporter. Dans le volet type de politique Politiques, cliquez sur la politique exporter. Dans la page Politiques, sous Tches, cliquez sur Exporter la politique. Dans la bote de dialogue Exporter la politique, recherchez le dossier vers lequel vous voulez exporter le fichier de politiques, puis cliquez sur Exporter.
Pour exporter une politique partage ou non partage dans la page Clients
1 2
Dans la Console, cliquez sur Clients. Dans la page Clients, sous Afficher les clients, slectionnez le groupe pour lequel vous voulez exporter une politique.
110
Dans l'onglet Politiques, dslectionnez Hriter les politiques et les paramtres du groupe parent "nom de groupe". Vous devez dsactiver l'hritage pour ce groupe. Si vous ne dslectionnez pas l'option d'hritage, vous ne pourrez pas exporter la politique.
Sous Politiques et paramtres dpendants de l'emplacement, faites dfiler le menu jusqu' ce que vous trouviez le nom de l'emplacement dont vous voulez exporter la politique. Recherchez la politique exporter associe l'emplacement. A droite de la politique, cliquez sur Tches, puis sur Exporter la politique. Dans la bote de dialogue Exporter la politique, recherchez le dossier vers lequel vous voulez exporter la politique. Dans la bote de dialogue Exporter la politique, cliquez sur Exporter.
5 6 7 8
1 2 3 4 5
Dans la console, cliquez sur Politiques. Dans la page Politiques, sous Afficher les politiques, cliquez sur le type de politique importer. Dans le volet Politiques de type de politique, cliquez sur la politique importer. Dans la page Politiques, sous Tches, cliquez sur Importer un type de politique Politique. Dans la bote de dialogue Importer la politique, recherchez le fichier de politique importer, puis cliquez sur Importer.
111
1 2 3 4 5
Dans la console, cliquez sur Politiques. Sur la page Politiques, sous Afficher les politiques, cliquez sur le type de politique que vous voulez copier. Dans le volet Politiques type de police, cliquez sur la politique que vous souhaitez copier. Sur la page Politiques, sous Tches, cliquez sur Copier la politique. Dans la bote de dialogue Copier la politique, cliquez sur Ne plus afficher ce message. Vous ne devez cocher cette option que si vous ne souhaitez plus tre inform de ce processus. Le message indique que la politique a t copie vers le presse-papiers et est prte tre colle.
112
Pour copier une politique partage ou non partage dans la page Clients
1 2 3
Dans la console, cliquez sur Clients. Dans la page Clients, sous Afficher les clients, slectionnez le groupe pour lequel vous souhaitez copier une politique. Dans l'onglet Politiques, sous Politiques et paramtres dpendants de l'emplacement, recherchez l'emplacement partir duquel vous souhaitez effectuer une copie. Recherchez la politique qui correspond cet emplacement. A droite de la politique, cliquez sur Tches, puis cliquez sur Copier. Cliquez sur OK.
4 5 6
1 2 3 4
Dans la console, cliquez sur Politiques. Dans la page Politiques, sous Afficher les politiques, cliquez sur le type de politique coller. Dans le volet Politiques type de politique, cliquez sur la politique coller. Dans la page Politiques, sous Tches, cliquez sur Coller une politique.
Pour coller une politique partage ou non partage dans la page Clients
1 2 3
Dans la console, cliquez sur Clients. Dans la page Clients, sous Afficher les clients, slectionnez le groupe pour lequel vous souhaitez coller une politique. Dans l'onglet Politiques, dsactivez l'option Hriter les politiques et les paramtres du groupe parent "nom de groupe". Vous devez dsactiver l'hritage pour ce groupe. Si vous ne dslectionnez pas l'option d'hritage, vous ne pourrez pas coller la politique.
113
Sous Politiques et paramtres dpendants de l'emplacement, faites dfiler le menu pour trouver le nom de l'emplacement dont vous souhaitez coller la politique. Recherchez la politique pour l'emplacement coller. droite de la politique, cliquez sur Tches puis sur Coller. Lorsque vous tes invit remplacer la politique existante, cliquez sur Oui.
5 6 7
1 2 3 4 5 6
Dans la console, cliquez sur Clients, puis cliquez sur l'onglet Politiques. Cliquez sur le groupe dont vous voulez copier les politiques. Sous Tches, cliquez sur Copier la politique de groupe. Cliquez sur le groupe sur lequel vous voulez copier les politiques. Sous Tches, cliquez sur Copier la politique de groupe. Dans la bote de dialogue de confirmation, cliquez sur Oui.
114
politique non partage par une politique partage. La politique non partage doit tre remplace par une politique partage pour chaque emplacement individuellement. Se reporter "Utilisation de politiques pour grer la scurit du rseau" la page 96. Pour remplacer une politique partage pour tous les emplacements
1 2 3 4 5
Dans la console, cliquez sur Politiques. Sur la page Politiques, sous Afficher les politiques, cliquez sur le type de politique que vous voulez remplacer. Dans le volet Politiques de type de politique, cliquez sur la politique. Dans la page Politiques, sous Tches, cliquez sur Remplacer la politique. Dans la bote de dialogue Remplacer la politique type de politique, dans la liste droulante Nouvelle politique type de politique, slectionnez la politique partage qui remplace l'ancienne. Slectionnez les groupes et les emplacements dont vous voulez remplacer la politique. Cliquez sur Remplacer. Quand vous tes invit confirmer le remplacement de la politique pour les groupes et les emplacements, cliquez sur Oui.
6 7 8
Pour remplacer une politique partage ou une politique non partage pour un emplacement
1 2 3
Dans la console, cliquez sur Clients. Dans la page Clients, sous Afficher les clients, slectionnez le groupe dont vous souhaitez remplacer la politique. Dans l'onglet Politiques, dsactivez l'option Hriter les politiques et les paramtres du groupe parent "nom de groupe". Vous devez dsactiver l'hritage pour ce groupe. Si vous ne dslectionnez pas l'option d'hritage, vous ne pourrez pas remplacer la politique.
4 5 6 7
Sous Politiques et paramtres dpendants de l'emplacement, recherchez l'emplacement qui contient la politique. A ct de la politique que vous voulez remplacer, cliquez sur Tches, puis sur Remplacer la politique. Dans la bote de dialogue Remplacer la politique, dans la liste droulante Nouvelle politique, slectionnez la politique de remplacement. Cliquez sur OK.
Utilisation des politiques Copie d'une politique partage pour la convertir en politique non partage
115
1 2 3 4
Dans la console, cliquez sur Clients. Dans la page Clients, sous Afficher les clients, slectionnez le groupe pour lequel vous souhaitez convertir une politique. Dans le volet qui est associ au groupe que vous avez slectionn lors de l'tape prcdente, cliquez sur Politiques. Dans l'onglet Politiques, dsactivez l'option Hriter les politiques et les paramtres du groupe parent "nom de groupe". Si vous ne dslectionnez pas l'option d'hritage, vous ne pourrez exporter aucune politique.
Sous Politiques et paramtres dpendants de l'emplacement, faites dfiler pour trouver le nom de l'emplacement et de la politique dpendant de l'emplacement convertir. A ct de la politique spcifique, cliquez sur Tches, puis cliquez sur Convertir en politique non partage. Dans la bote de dialogue Prsentation, modifiez le nom et la description de la politique. Cliquez sur OK.
6 7 8
116
Utilisation des politiques A propos de la mise jour des politiques sur les clients
Pour convertir une copie d'une politique partage en politique non partage
1 2 3
Dans la console, cliquez sur Clients. Dans la page Clients, sous Afficher les clients, slectionnez le groupe dont vous souhaitez remplacer la politique. Dans l'onglet Politiques, dsactivez l'option Hriter les politiques et les paramtres du groupe parent "nom de groupe". Vous devez dsactiver l'hritage pour ce groupe. Si vous ne dsactivez pas l'hritage, vous ne pourrez pas remplacer la politique.
4 5 6 7
Sous Politiques et paramtres dpendants de l'emplacement, recherchez l'emplacement qui contient la politique. Cliquez sur Tches, puis sur Modifier la politique, ct de la politique remplacer. Dans la bote de dialogue Modifier la politique, cliquez sur Crer une politique non partage partir d'une copie. Modifiez la politique. Se reporter "Modifier une politique" la page 104.
mode 'push'
Dans l'un de ces modes, le client effectue l'opration suivante en fonction du changement d'tat du serveur de gestion. Puisqu'elle requiert une connexion permanente, le mode 'push' ncessite une large bande passante rseau. Le plus souvent, vous pouvez configurer les clients en mode d'extraction.
Utilisation des politiques Configurer le mode de transfert ou le mode de traction pour mettre jour les politiques client et le contenu
117
Se reporter "Configurer le mode de transfert ou le mode de traction pour mettre jour les politiques client et le contenu" la page 117. Un battement est la frquence laquelle les ordinateurs client chargent les donnes telles que les entres de journal et les politiques de tlchargement. Un battement est un protocole que chaque client utilise pour communiquer avec Symantec Endpoint Protection Manager. Le premier battement se produit juste aprs le dmarrage du client. Le battement suivant se produit la frquence de battement que vous avez dfinie. La frquence de battement est un facteur cl dans le nombre de clients que chaque Symantec Endpoint Protection Manager peut prendre en charge. Si vous dfinissez une frquence de battement sur au moins 30 minutes, elle limite le nombre total de clients que Symantec Endpoint Protection Manager peut prendre en charge. Pour les dploiements d'un minimum de 1 000 clients, vous devez dfinir la frquence de battement la dure maximale qui correspond aux exigences de scurit d'une entreprise. Par exemple, pour mettre jour des politiques de scurit et collecter des journaux quotidiennement, dfinissez alors la frquence de battement sur 24 heures. Consultez les services professionnels et le support d'entreprise de Symantec pour valuer la configuration approprie, le matriel et l'architecture rseau appropris pour votre environnement rseau.
Configurer le mode de transfert ou le mode de traction pour mettre jour les politiques client et le contenu
Vous pouvez indiquer si le serveur de gestion transfre la politique aux clients ou si les clients extraient la politique du serveur de gestion. Le paramtre par dfaut est mode de transfert. Si vous slectionnez le mode extraction, les clients se connectent alors par dfaut au serveur de gestion toutes les 5 minutes, mais vous pouvez modifier cet intervalle de battements par dfaut. Se reporter "A propos de la mise jour des politiques sur les clients" la page 116. Vous pouvez dfinir le mode pour un groupe ou pour un emplacement. Pour configurer le mode de transfert ou le mode extraction pour un groupe
1 2 3
Dans la console, cliquez sur Clients. Dans la page Clients, sous Afficher les clients, slectionnez le groupe pour lequel vous souhaitez indiquer s'il faut transfrer ou extraire les politiques. Dans la page Clients, cliquez sur l'onglet Politiques.
118
Utilisation des politiques Configurer le mode de transfert ou le mode de traction pour mettre jour les politiques client et le contenu
4 5 6
Dans l'onglet Politiques, dslectionnez Hriter les politiques et les paramtres du groupe parent "nom de groupe". Dans le volet Politiques et paramtres indpendants de l'emplacement, sous Paramtres, cliquez sur Paramtres de communication. Dans la bote de dialogue Paramtres de communication du nom du groupe, sous Tlchargement, vrifiez que l'option Tlcharger les politiques et contenus depuis le serveur de gestion est coche. Effectuez l'une des oprations suivantes :
Cliquez sur Mode "Push". Cliquez sur Mode d'extraction, puis sous Intervalle de battement, dfinissez le nombre de minutes ou d'heures de l'intervalle.
1 2 3 1 2
Dans la console, cliquez sur Clients. Dans la page Clients, sous Afficher les clients, slectionnez le groupe pour lequel vous souhaitez indiquer s'il faut transfrer ou extraire les politiques. Dans la page Clients, cliquez sur l'onglet Politiques. Dans l'onglet Politiques, dslectionnez Hriter les politiques et les paramtres du groupe parent "nom de groupe". Sous Politiques et paramtres dpendants de l'emplacement, sous Politiques spcifiques aux emplacements pour l'emplacement que vous souhaitez modifier, dveloppez Paramtres spcifiques aux emplacements. Sous Paramtres spcifiques aux emplacements, la droite de Paramtres de communication, cliquez sur Tches et dslectionnez Utiliser les paramtres de communication du groupe. A droite de Paramtres de communication, cliquez sur Local - Transfert ou (Local - Extraction). Effectuez l'une des oprations suivantes :
4 5
Cliquez sur Mode "Push". Cliquez sur Mode d'extraction, puis sous Intervalle de battement, dfinissez le nombre de minutes ou d'heures de l'intervalle.
119
1 2
Dans le serveur de gestion, dans la console, cliquez sur Clients. Sous Afficher les clients, slectionnez le groupe de votre choix, puis cliquez sur Dtails. Le numro de srie de politique et la date de politique apparaissent au bas de la liste de dtails.
1 2
Sur l'ordinateur client, dans le client, dans le menu Aide et support, slectionnez Dpannage. Dans l'onglet Gestion, regardez le numro de srie de politique. Le numro de srie devrait correspondre au numro de srie de la politique que le serveur de gestion transfre au client.
Dans le client, dans le menu Aide et support, dans la bote de dialogue Dpannage, sous Profil de la politique, vous pouvez cliquer sur Mettre jour. Vous pouvez utiliser cette mthode si vous voulez effectuer une mise jour manuelle sur un client particulier.
120
Utilisation des politiques Contrle des applications et services excuts sur les ordinateurs client
Pour les clients qui sont configurs pour le mode d'extraction, le serveur de gestion tlcharge des politiques sur le client intervalles rguliers (battement). Vous pouvez modifier l'intervalle de battements de sorte que des politiques soient tlcharges sur le groupe de clients plus rapidement. Aprs l'intervalle de battements, vous pouvez vrifier si les numros de srie de politique correspondent. Pour les clients qui sont configurs pour le mode "Push", les clients reoivent toutes les mises jour de la politique immdiatement.
Aprs avoir excut une mise jour manuelle de la politique, assurez-vous que le numro de srie de politique qui apparat dans le client correspond au numro de srie qui apparat dans la console de gestion. Se reporter "Afficher le numro de srie de politique" la page 119. Pour effectuer une mise jour manuelle de la politique
1 2 3
Sur le client, cliquez sur Aide > Dpannage. Dans la bote de dialogue Dpannage, dans la colonne de gauche, slectionnez Gestion. Dans le volet Gestion, sous Profil de la politique, cliquez sur Mise jour.
Politiques de pare-feu Politiques de contrle des applications et des priphriques Analyse proactive des menaces TruScan Politiques d'intgrit de l'hte Contrle des applications rseau Listes de signatures de fichier
Vous pouvez raliser diffrentes tches pour configurer et utiliser des applications assimiles.
Utilisation des politiques Contrle des applications et services excuts sur les ordinateurs client
121
Recherche d'applications Vous pouvez utiliser un outil de requte pour rechercher la liste d'applications excutes par les ordinateurs client. Vous pouvez effectuer des recherches sur des critres bass sur l'application ou sur l'ordinateur. Par exemple, vous pouvez rechercher la version d'Internet Explorer que chaque ordinateur client utilise. Se reporter "Recherche d'informations sur les applications que les ordinateurs excutent" la page 123. Vous pouvez enregistrer les rsultats d'une recherche d'applications en vue de l'analyser ultrieurement. Se reporter "Enregistrement des rsultats d'une recherche d'application" la page 125.
Remarque : Dans certains pays, la rglementation locale peut interdire l'utilisation des applications apprises sous certaines conditions, par exemple pour obtenir des informations partir d'un ordinateur portable lorsqu'un employ se connecte, depuis son domicile, au rseau de votre entreprise l'aide d'un ordinateur portable que vous lui avez fourni. Avant d'utiliser cet outil, vrifiez que son utilisation est autorise dans le cadre de la lgislation en vigueur. Si elle n'est pas autorise, suivez les instructions pour dsactiver cet outil.
Remarque : Le client n'enregistre pas les informations concernant les applications que les clients de Symantec Network Access Control excutent. Les applications apprises ne sont pas disponibles sur la console si vous avez uniquement install Symantec Network Access Control. Si vous intgrez Symantec Network Access Control Symantec Endpoint Protection, vous pouvez utiliser l'outil des applications apprises avec les politiques d'intgrit de l'hte. Vous devez installer le module de protection contre les menaces rseau et le module de contrle des applications et des priphriques sur le client pour activer cette fonctionnalit.
122
Utilisation des politiques Configuration du serveur de gestion pour la collecte d'informations sur les applications que les ordinateurs client excutent
Configuration du serveur de gestion pour la collecte d'informations sur les applications que les ordinateurs client excutent
Vous pouvez activer des applications apprises pour des sites entiers, les groupes d'un site ou les emplacements d'un groupe. La fonction des applications apprises est active par dfaut pour le site, le groupe et l'emplacement. Vous devez d'abord activer les applications apprises pour chaque site, puis vous pouvez ventuellement activer les applications apprises pour les emplacements et les groupes spcifiques. Pour activer des applications apprises, vous devez effectuer les tches suivantes :
Activez les applications apprises pour le site. Vous devez activer l'outil d'applications apprises pour un site afin d'utiliser l'outil pour un emplacement ou un groupe spcifique. Autorisez les clients envoyer les applications apprises au serveur de gestion par groupe ou par emplacement.
Vous pouvez configurer une notification envoyer votre adresse de courrier lectronique lorsque chaque client d'un groupe ou emplacement excute une application. Se reporter "Cration des notifications d'administrateur" la page 314. Vous pouvez configurer les applications apprises pour les serveurs de gestion d'un site local ou distant. Pour activer les applications apprises d'un site
1 2
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, effectuez l'une des oprations suivantes :
Cliquez sur Site local (Site nom_site). Dveloppez Sites distants, puis cliquez sur (Site nom_site).
3 4 5
Sous Tches, cliquez sur Modifier les proprits de site. Dans la bote de dialogue Proprits de site de nom_site, dans l'onglet Gnral, cochez Suivre chaque application que les clients excutent. Cliquez sur OK.
Aprs avoir activ un site pour collecter les listes des applications apprises des clients, activez les clients pour envoyer les listes au serveur par groupe ou par emplacement.
Utilisation des politiques Recherche d'informations sur les applications que les ordinateurs excutent
123
Remarque : Vous ne pouvez modifier ce paramtre que pour les sous-groupes qui n'hritent pas des politiques et paramtres d'un groupe parent. Pour envoyer la liste des applications apprises au serveur de gestion
1 2 3 4
Dans la Console, cliquez sur Clients. Sous Afficher les clients, slectionnez un groupe. Dans l'onglet Politiques, cliquez sur Paramtres de communication. Dans la bote de dialogue Paramtres de communication de nom_groupe, assurez-vous que la case Apprendre les applications excutes sur les ordinateurs client est coche. Cliquez sur OK.
1 2 3 4
Dans la Console, cliquez sur Clients. Sous Afficher les clients, slectionnez un groupe. Sous Politiques et paramtres dpendants de l'emplacement, slectionnez l'emplacement, puis dveloppez Paramtres dpendants de l'emplacement. A droite de Paramtres de communications, cliquez sur Tches, puis dcochez Utiliser paramtres de communication du groupe. L'activation de ce paramtre permet de crer un paramtre d'emplacement plutt qu'un paramtre de groupe.
5 6
Cliquez sur Tches, puis sur Modifier les paramtres. Dans la bote de dialogue Paramtres de communication de nom_emplacement, cochez la case cocher Apprendre les applications excutes sur les ordinateurs client. Cliquez sur OK.
124
Utilisation des politiques Recherche d'informations sur les applications que les ordinateurs excutent
les ordinateurs client de faon ce qu'ils utilisent la dernire version de Microsoft Word. Vous pouvez rechercher une application de diffrentes manires :
Par application. Vous pouvez limiter la recherche des applications ou des dtails d'application particuliers, tels que le nom, la signature de fichier, le chemin d'accs, la taille ou la version de l'application ou encore l'heure de sa dernire modification. Par client ou ordinateur client. Vous pouvez rechercher les applications qu'un utilisateur ou un ordinateur particulier excute. Par exemple, vous pouvez rechercher l'adresse IP de l'ordinateur.
Vous pouvez galement rechercher les noms d'applications ajouter une rgle de filtrage, directement dans la politique de pare-feu. Se reporter "Ajouter des applications une rgle" la page 570. Remarque : Les informations de la zone de texte Recherche ne sont pas collectes jusqu' ce que vous activez la fonction qui supervise toutes les applications que les clients excutent. Pour activer cette fonction, accdez la page Admin, dans la bote de dialogue Proprits de site de nom du site de l'onglet Gnral. Pour rechercher des informations sur les applications que les ordinateurs excutent
1 2 3 4
Dans la console, cliquez sur Politiques. Dans la page Politiques, sous Tches, cliquez sur Rechercher des applications. Dans la bote de dialogue Rechercher des applications, cliquez sur Parcourir la droite du champ Rechercher les applications dans. Dans la bote de dialogue Slectionner un groupe ou un emplacement, slectionnez un groupe de clients pour lequel vous souhaitez afficher les applications, puis cliquez sur OK. Vous pouvez spcifier un seul groupe en mme temps.
5 6
Assurez-vous que la case cocher Rechercher les sous-groupes est coche. Effectuez l'une des oprations suivantes :
Pour effectuer une recherche base sur des informations d'utilisateur ou d'ordinateur, cliquez sur D'aprs les informations du client/de l'ordinateur.
Utilisation des politiques Recherche d'informations sur les applications que les ordinateurs excutent
125
Pour effectuer une recherche par application, cliquez sur D'aprs les applications.
Cliquez sur la cellule vide sous Champ de recherche, puis slectionnez les critres de recherche dans la liste. La cellule Champ de recherche affiche les critres pour l'option que vous avez slectionne. Pour des dtails sur ces critres, cliquez sur Aide.
8 9
Cliquez sur la cellule vide sous Oprateur de comparaison, puis slectionnez un des oprateurs. Cliquez sur la cellule vide sous Valeur, puis slectionnez ou entrez une valeur. La cellule Valeur peut fournir un format ou une valeur dans la liste droulante, selon les critres que vous avez slectionns dans la cellule Champ de recherche.
10 Pour ajouter un autre critre de recherche, cliquez sur la deuxime ligne, puis
entrez les informations dans les cellules Champ de recherche, Oprateur de comparaison et Valeur. Si vous entrez plusieurs lignes de critres de recherche, la requte essaie de correspondre toutes les conditions.
11 Cliquez sur Rechercher. 12 Dans la table Rsultats de requte, effectuez l'une des tches suivantes :
Cliquez sur les flches de dfilement pour afficher des lignes et des colonnes supplmentaires. Cliquez sur Prcdent et Suivant pour consulter des crans d'information supplmentaires. Slectionnez une ligne, puis cliquez sur Afficher les dtails pour consulter d'autres informations concernant l'application.
Les rsultats ne sont pas enregistrs moins que vous ne les exportiez vers un fichier.
13 Pour supprimer les rsultats de la requte, cliquez sur Effacer tout. 14 Cliquez sur Fermer.
126
Utilisation des politiques Recherche d'informations sur les applications que les ordinateurs excutent
Recherchez des informations sur une application ou un ordinateur client. Se reporter "Recherche d'informations sur les applications que les ordinateurs excutent" la page 123.
2 3 4 5 6
Dans la bote de dialogue Rechercher des applications, sous Rsultats de requte, cliquez sur Exporter. Dans la bote de dialogue Exporter les rsultats, tapez le numro de la page contenant les dtails concernant l'applications et l'ordinateur client exporter. Slectionnez ou tapez le nom de chemin d'accs et le nom du fichier dans lequel vous souhaitez exporter le fichier, puis cliquez sur Exporter. Pour confirmer, cliquez sur Oui. Si vous avez fini de rechercher des applications, cliquez sur Fermer.
Chapitre
Utilisation de packages d'installation client Configuration des options des packages d'installation client Exportation de packages d'installation client Dploiement du logiciel client avec Rechercher les ordinateurs non grs A propos des ajouts de mises jour de packages d'installation client et mise niveau des clients Ajouter des mises jour de packages d'installation client Mettre niveau des clients dans un ou plusieurs groupes Supprimer des packages de mise niveau
128
est disponible pour les outils d'installation tiers et pour l'conomie potentielle de bande passante. Gnralement, si vous utilisez l'objet Politique de groupe Active Directory, vous ne choisirez pas l'exportation vers un seul fichier excutable. Lors du processus d'exportation, slectionnez les packages d'installation 32 bits ou 64 bits fournis par dfaut. Ainsi, vous slectionnez ventuellement les technologies de protection client spcifiques installer si vous ne voulez pas installer tous les composants. Vous pouvez galement spcifier comment l'installation interagit avec les utilisateurs finaux. Enfin, vous pouvez installer les fichiers exports (un package) vers les ordinateurs un par un ou dployer les fichiers exports vers plusieurs ordinateurs simultanment. Pour les options de dploiement d'installation du client, reportez-vous au Guide d'installation de Symantec Endpoint Protection et de Symantec Network Access Control sur le disque de produit. Symantec fournit de temps en temps des packages de fichiers d'installation mis jour. Lorsque le logiciel client est install sur des ordinateurs client, vous pouvez automatiquement mettre jour le logiciel client sur tous les clients d'un groupe avec la fonction de mise niveau automatique. Vous n'avez pas besoin de redployer le logiciel l'aide des outils de dploiement d'installation. Tableau 7-1 Tche
Configurer les packages d'installation client
Vous pouvez exporter des packages pour des clients grs par Symantec, des clients grs par des tiers et des clients autonomes. Se reporter "Exportation de packages d'installation client" la page 132.
Dployer les packages Vous pouvez dployer des packages d'installation client vers d'installation client l'aide les ordinateurs qui n'excutent pas le logiciel client l'aide de la fonction Rechercher les de la fonction Rechercher les ordinateurs autonomes. ordinateurs autonomes Se reporter "Dploiement du logiciel client avec Rechercher les ordinateurs non grs" la page 133.
Utilisation des packages d'installation client Configuration des options des packages d'installation client
129
Tche
Description
Ajouter des mises jour de Lorsque vous recevez des mises jour de package packages d'installation client d'installation client de Symantec, vous les ajoutez la base de donnes de site. Vous les ajoutez la base de donnes de site pour les rendre disponibles pour la distribution partir de Symantec Endpoint Protection Manager. Vous pouvez ventuellement exporter les packages pendant cette procdure pour rendre le package disponible au dploiement vers les ordinateurs qui n'excutent pas le logiciel client. Se reporter "Ajouter des mises jour de packages d'installation client" la page 135. Mettre niveau des clients Vous pouvez installer les packages exports sur les dans un ou plusieurs groupes ordinateurs un par un ou dployez les fichiers exports vers plusieurs ordinateurs simultanment. Se reporter "A propos des ajouts de mises jour de packages d'installation client et mise niveau des clients" la page 135. Se reporter "Mettre niveau des clients dans un ou plusieurs groupes" la page 136. Supprimer des oackages d'installation client Vous pouvez supprimer des packages d'installation client plus anciens pour conomiser l'espace disque. Se reporter "Supprimer des packages de mise niveau" la page 137.
130
Utilisation des packages d'installation client Configuration des options des packages d'installation client
Vous devez nommer chaque ensemble de slections. Vous slectionnez ensuite un ensemble nomm de fonctions quand vous exportez les packages 32 bits de logiciel client et les packages 64 bits de logiciel client. Se reporter "Utilisation de packages d'installation client" la page 127. Pour configurer les fonctions des packages d'installation client
1 2 3 4 5 6 7
Dans la console, cliquez sur Admin, puis cliquez sur Packages d'installation. Sous Afficher les packages d'installation, cliquez sur Ensembles de fonctions d'installation client. Sous Tches, cliquez sur Ajouter un ensemble de fonctionnalits d'installation client. Dans la bote de dialogue Ajouter un ensemble de fonctionnalits d'installation client, dans la zone Nom, tapez un nom. Dans la zone Description, entrez une description de l'ensemble de fonctionnalits d'installation client. Pour obtenir des dtails concernant la dfinition d'autres options dans cette bote de dialogue, cliquez sur Aide. Cliquez sur OK.
1 2 3 4
Dans l'onglet Admin, dans le volet infrieur gauche, cliquez sur Packages d'installation. Sous Afficher les packages d'installation, cliquez sur Paramtres d'installation client. Sous Tches, cliquez sur Ajouter des paramtres d'installation client. Dans la bote de dialogue Paramtres d'installation client, dans la zone Nom, tapez un nom.
Utilisation des packages d'installation client Configuration des options des packages d'installation client
131
5 6
Pour obtenir des dtails concernant la dfinition d'autres options dans cette bote de dialogue, cliquez sur Aide. Cliquez sur OK.
1 2 3 4 5 6 7
Dans la console, cliquez sur Admin, puis cliquez sur Packages d'installation. Sous Afficher les packages d'installation, cliquez sur Packages d'installation client. Dans le volet Packages d'installation client, cliquez sur le package pour lequel vous voulez collecter des informations d'utilisateur. Sous Tches, cliquez sur Dfinir la collecte des informations utilisateur. Dans la bote de dialogue Dfinir la collecte des informations utilisateur, cliquez sur Collecter les informations utilisateur. Dans la zone de texte Message contextuel, tapez le message que doivent lire les utilisateurs lorsque des informations leur sont demandes. Si vous voulez permettre l'utilisateur de diffrer la collecte des informations utilisateur, cochez Me rappeler plus tard, puis dfinissez un dlai en minutes.
132
Sous Slectionnez les champs qui seront affichs en vue de la saisie des informations de l'utilisateur, slectionnez le type d'informations collecter, puis cliquez sur Ajouter. Vous pouvez slectionner un champ ou plusieurs champs simultanment en appuyant sur la touche Maj ou la touche Contrle.
Dans la colonne Facultatif, cochez la case des champs que l'utilisateur peut remplir facultativement.
Utilisation des packages d'installation client Dploiement du logiciel client avec Rechercher les ordinateurs non grs
133
Remarque : Si vous exportez des packages d'installation client partir d'une console distante, les packages sont crs sur l'ordinateur partir duquel vous excutez la console distante. De plus, si vous utilisez plusieurs domaines, vous devez exporter les packages pour chaque domaine ; sinon, ils apparaissent comme disponibles pour les groupes de domaines. Aprs avoir export un ou plusieurs packages de fichiers d'installation, dployez les fichiers d'installation sur les ordinateurs client. Se reporter "Utilisation de packages d'installation client" la page 127. Pour plus d'informations sur l'installation du logiciel client, consultez le Guide d'installation de Symantec Endpoint Protection et de Symantec Network Access Control, disponible sur le disque du produit. Pour exporter des packages d'installation client
1 2 3
Dans la console, cliquez sur Admin, puis cliquez sur Packages d'installation. Sous Afficher les packages d'installation, cliquez sur Packages d'installation client. Dans le volet Packages d'installation client, sous Nom du package, cliquez avec le bouton droit de la souris sur le package exporter, puis cliquez sur Exporter. Dans la bote de dialogue Exporter le package, ct de la zone de texte Dossier d'exportation, slectionnez le rpertoire dans lequel vous souhaitez enregistrer le package export, puis cliquez sur OK. Les rpertoires contenant des caractres cods sur deux octets ou High-ASCII ne sont pas pris en charge et sont bloqus.
5 6 7
Dans la bote de dialogue Exporter le package, dfinissez les autres options selon vos objectifs d'installation. Pour obtenir des dtails concernant la dfinition d'autres options dans cette bote de dialogue, cliquez sur Aide. Cliquez sur OK.
134
Utilisation des packages d'installation client Dploiement du logiciel client avec Rechercher les ordinateurs non grs
Remarque : Vous pouvez uniquement utiliser cet utilitaire pour dtecter des ordinateurs clients Windows. Les ordinateurs clients Mac sont rpertoris dans l'utilitaire comme Inconnu et les packages d'installation client Mac doivent tre dploys sparment.
Avertissement : Cet utilitaire dtecte et affiche une srie de priphriques de gestion de rseau dans l'onglet ordinateurs inconnus. Par exemple, cet utilitaire dtecte des interfaces de routeur et les place dans l'onglet ordinateurs inconnus. Soyez prudent lorsque vous dployez le logiciel client vers des priphriques qui apparaissent dans l'onglet ordinateurs non grs. Vrifiez que ces priphriques sont des cibles valides pour le dploiement du logiciel client. Vous pouvez galement dployer le logiciel client en utilisant l'Assistant de dploiement. Pour dployer le logiciel client en utilisant Rechercher les ordinateurs non grs
1 2 3
Dans la Console Symantec Endpoint Protection Manager, cliquez sur Clients. Dans le volet Tches, cliquez sur Rechercher les ordinateurs non grs. Dans la fentre Rechercher les ordinateurs non grs, sous Rechercher par, cochez Plage d'adresses IP et entrez les adresses IP de l'intervalle parcourir. L'analyse d'une plage de 100 adresses IP qui n'existent pas dure approximativement 5,5 minutes. Eventuellement, spcifiez un nom d'ordinateur.
Sous Informations d'ouverture de session, remplissez les zones de texte Nom d'utilisateur, Mot de passe et Domaine-Groupe de travail avec les informations d'authentification de connexion qui autorisent l'administration et l'installation. Cliquez sur Rechercher maintenant. Sur les onglets Ordinateurs inconnus ou Ordinateurs non grs, effectuez l'une des oprations suivantes :
5 6
Cochez chaque ordinateur sur lequel vous voulez installer le logiciel client. Cliquez sur Slectionner tout.
Sous Installation, slectionnez le package d'installation, l'option d'installation et les fonctions que vous voulez installer.
Utilisation des packages d'installation client A propos des ajouts de mises jour de packages d'installation client et mise niveau des clients
135
8 9
Pour effectuer l'installation sur un groupe autre que le groupe par dfaut, cliquez sur Modifier, slectionnez un groupe diffrent, puis cliquez sur OK. Quand vous tes prt installer le logiciel client, cliquez sur Dmarrer l'installation.
A propos des ajouts de mises jour de packages d'installation client et mise niveau des clients
Lorsque Symantec fournit des mises jour de packages d'installation client, vous devez tout d'abord les ajouter Symantec Endpoint Protection Manager et faire en sorte qu'ils puissent tre exports. Cependant, vous n'avez pas besoin de les rinstaller l'aide des outils de dploiement des clients. La meilleure mthode pour mettre jour les clients dans des groupes l'aide du logiciel le plus rcent consiste utiliser la console pour mettre jour le groupe contenant les clients. Vous devez d'abord mettre jour un groupe avec un nombre restreint d'ordinateurs de test. Vous pouvez galement mettre jour les clients l'aide de LiveUpdate si vous autorisez les clients excuter LiveUpdate et si la politique des paramtres LiveUpdate permet les mises jour. Se reporter "Gestion du contenu pour les clients" la page 140.
1 2
Copiez le package sur un rpertoire de l'ordinateur qui excute Symantec Endpoint Protection Manager. Dans la console, cliquez sur Admin, puis cliquez sur Packages d'installation.
136
Utilisation des packages d'installation client Mettre niveau des clients dans un ou plusieurs groupes
3 4 5 6 7
Sous Tches, cliquez sur Ajouter un package d'installation client. Dans la bote de dialogue Ajouter un package d'installation client, saisissez le nom et la description du package. Cliquez sur Parcourir. Dans la bote de dialogue Slectionner le dossier, recherchez et slectionnez le fichier nom_produit.info du nouveau package, puis cliquez sur Slectionner. Dans l'invite de confirmation de russite qui s'affiche, effectuez l'une des oprations suivantes :
Si vous ne souhaitez pas exporter les fichiers d'installation et les rendre disponibles pour dploiement, cliquez sur Fermer. Vous avez termin cette procdure. Si vous ne souhaitez pas exporter les fichiers d'installation et les rendre disponibles pour dploiement, cliquez sur Exporter ce package et terminez la procdure.
8 9
Dans la bote de dialogue Exporter le package, cliquez sur Parcourir. Dans la bote de dialogue Slection d'un dossier d'exportation, cherchez et slectionnez le rpertoire qui contiendra le package export, puis cliquez sur OK. dfinissez les autres options selon vos objectifs d'installation.
10 Dans la bote de dialogue Exporter le package, slectionnez un groupe, puis 11 Pour obtenir des dtails relatifs la dfinition des autres options de cette
bote de dialogue, cliquez sur Aide.
Utilisation des packages d'installation client Supprimer des packages de mise niveau
137
Pour mettre jour des clients dans un ou plusieurs groupes de la page Admin
1 2 3 4
Dans la console, cliquez sur Admin, puis cliquez sur Packages d'installation. Sous Tches, cliquez sur le Mise niveau des groupes l'aide d'un package. Dans le panneau Assistant de mise niveau des groupes, cliquez sur Suivant. Dans le volet Slectionner un package d'installation client, sous Slectionner le nouveau package d'installation client, slectionnez le paquet ajout, puis cliquez sur Suivant. Dans le panneau Spcifiez des groupes, cochez les groupes que vous voulez mettre niveau puis cliquez sur Suivant. Dans le panneau Paramtres de mise niveau du package, cochez Tlcharger partir du serveur de gestion et cliquez sur Suivant. Dans le panneau Assistant de mise niveau des groupes termin, cliquez sur Terminer.
5 6 7
Pour mettre jour des clients dans un ou plusieurs groupes de la page Clients
1 2 3 4
Dans la console, cliquez sur Clients. Dans le volet Afficher les clients, slectionnez un groupe auquel vous avez attribu le package. Sous Tches, dans l'onglet Paquets d'installation, cliquez sur Ajouter un package d'installation client. Dans les onglets Gnral et Notification, dfinissez les paramtres relatifs la distribution de la mise jour. Pour des dtails sur la dfinition d'autres options, cliquez sur Aide.
Quand vous avez fini de configurer les options de distribution de mise jour, cliquez sur OK.
138
Utilisation des packages d'installation client Supprimer des packages de mise niveau
1 2 3 4 5
Dans la console, cliquez sur Admin. Sous Tches, cliquez sur Packages d'installation. Dans le volet Packages d'installation client, slectionnez le package supprimer. Sous Tches, cliquez sur Supprimer un package d'installation client. Dans la bote de dialogue Supprimer un package d'installation client, cliquez sur Oui.
Chapitre
Gestion du contenu pour les clients A propos des types de contenu Dfinition de la manire dont les clients obtiennent le contenu Configuration d'un site pour tlcharger des mises jour A propos des tlchargements de contenu simultans A propos des politiques LiveUpdate A propos de l'utilisation des rvisions de contenu qui ne sont pas la dernire version Configuration d'une politique de paramtres LiveUpdate Configuration d'une politique de contenu LiveUpdate Affichage et modification rapide de la Politique de contenu LiveUpdate Distribuer le contenu l'aide des fournisseurs de mise jour groupe A propos de l'Intelligent Updater Utiliser l'Intelligent Updater pour tlcharger des mises jour du contenu d'antivirus pour la distribution A propos des fichiers utiliss dans la distribution tiers du contenu LiveUpdate A propos de l'utilisation d'outils de distribution tiers pour distribuer des mises jour de contenu aux clients grs
140
Mise jour des dfinitions et du contenu Gestion du contenu pour les clients
Activer la distribution de contenu tiers aux clients grs avec une politique de paramtres LiveUpdate Distribution du contenu aux clients grs par des outils de distribution tiers A propos de l'utilisation d'outils de distribution tiers pour distribuer des mises jour de contenu aux clients autogrs Excution de LiveUpdate sur un client partir de la console
Description
Par dfaut, les clients obtiennent des mises jour du serveur de gestion par dfaut (Symantec Endpoint Protection Manager).
Remarque : Les clients Mac obtiennent des mises jour seulement partir d'un serveur
LiveUpdate interne ou externe. Typiquement, votre architecture rseau dtermine quelle mthode de distribution vous devriez utiliser. Utilisez une politique de paramtres LiveUpdate pour configurer la mthode de distribution. Vous pouvez galement configurer la planification pour que les clients reoivent le contenu directement de Symantec LiveUpdate. Se reporter "Dfinition de la manire dont les clients obtiennent le contenu" la page 142. Se reporter "Configuration d'une politique de paramtres LiveUpdate " la page 151.
Dcider ce que les Par dfaut, les ordinateurs client reoivent des mises jour pour tous les types de contenu. clients doivent Vous pouvez configurer une politique de contenu LiveUpdate pour contrler les types de mises tlcharger jour de contenu de vos clients. Ce type de politique n'est pas pris en charge pour les clients Symantec Network Access Control.
Remarque : Si vous utilisez le serveur de gestion par dfaut pour distribuer des mises jour
de contenu aux clients, le serveur de gestion doit galement tre configur pour tlcharger les mmes mises jour. Autrement, ces mises jour ne sont pas disponibles pour la distribution de groupe. Se reporter "A propos des types de contenu" la page 141.
141
Tche
Description
Configurer un site Le site qui inclut le serveur de gestion par dfaut doit enregistrer les mises jour du contenu pour tlcharger que vous voulez distribuer aux clients. des mises jour de Vous pouvez galement configurer la frquence laquelle le site reoit du contenu LiveUpdate. contenu Se reporter "Configuration d'un site pour tlcharger des mises jour" la page 147.
Remarque : Si la rplication est utilise, un seul site doit tre configur pour tlcharger des
fichiers de mise jour. La rplication met automatiquement jour l'autre base de donnes. Il est toutefois dconseill de rpliquer des mises jour de produit entre des sites. Ces mises jour peuvent tre assez grandes et il en existe une pour chaque langue que vous slectionnez. Si vous dcidez de tlcharger des mises jour de produit avec LiveUpdate vers Symantec Endpoint Protection Manager, les mises jour s'affichent automatiquement dans le volet de Packages d'installation. Vous pouvez alors mettre jour des clients avec une mise niveau automatique. Si vous utilisez cette approche pour le contrle de version, il est dconseill de slectionner des mises niveau automatiques de produits dans la politique de paramtres LiveUpdate. Si vous ne voulez pas utiliser LiveUpdate, vous pouvez utiliser Intelligent Updater pour tlcharger le contenu manuellement vers le serveur de gestion par dfaut. Vous pouvez ensuite distribuer le contenu avec des outils de gestion tiers. Se reporter "Utiliser l'Intelligent Updater pour tlcharger des mises jour du contenu d'antivirus pour la distribution" la page 167. Se reporter "Distribution du contenu aux clients grs par des outils de distribution tiers" la page 171.
142
Mise jour des dfinitions et du contenu Dfinition de la manire dont les clients obtiennent le contenu
Signatures Dcomposer
Signatures heuristiques d'analyse proactive des menaces TruScan Liste d'application commerciale d'analyse proactive des menaces TruScan Signatures de Prvention d'intrusion Signatures de contrle des transmissions
Inclut les applications commerciales lgitimes ayant gnr des faux positifs dans le pass.
Protgent contre les menaces rseau et prend en charge les moteurs de prvention et de dtection d'intrusion. Contrle le flux de transmissions vers Symantec Security Response.
Modles d'intgrit de l'hte Incluent les conditions pr-dfinies qui imposent les correctifs mis jour et les mesures de scurit sur l'ordinateur client. Uniquement disponible dans la bote de dialogue Proprits de site lorsque vous installez Symantec Network Access Control.
Mise jour des dfinitions et du contenu Dfinition de la manire dont les clients obtiennent le contenu
143
Avertissement : Les clients Mac obtiennent des mises jour seulement partir d'un serveur LiveUpdate interne ou externe. Seuls les clients Windows obtiennent des mises jour partir du serveur de gestion par dfaut ou d'un fournisseur de mises jour groupes. Tableau 8-3 Mthode Description Mthodes de distribution de contenu et quand les utiliser Quand l'utiliser
Cette mthode est configure par dfaut aprs l'installation du serveur de gestion. Vous pouvez galement combiner cette mthode avec un fournisseur de mise jour groupe. Se reporter "Configuration d'une politique de paramtres LiveUpdate " la page 151. Utilisez cette mthode pour des groupes coexistant des emplacements distants avec un minimum de bande passante. En outre, cette mthode rduit la charge sur les serveurs de gestion. Notez qu'un Fournisseur de mise jour groupe distribue tous les types de contenu de LiveUpdate except les mises jour de logiciel client. Se reporter "Distribuer le contenu l'aide des fournisseurs de mise jour groupe" la page 156.
Symantec Endpoint Le serveur de gestion par dfaut peut mettre Protection Manager aux jour les clients qu'il gre. Votre rseau clients Symantec Endpoint Protection Manager peut comporter plusieurs serveurs de (par dfaut) gestion. Le site qui inclut les serveurs de gestion reoit le contenu de LiveUpdate.
Du fournisseur de mise Un fournisseur de mise jour groupe est jour groupe aux clients un client qui agit en tant que proxy entre Symantec Endpoint Protection Manager et les clients du groupe. Le fournisseur de mise jour groupe reoit des mises jour partir d'un serveur de gestion, puis fait suivre les mises jour aux autres clients du groupe. Un fournisseur de mise jour groupe peut mettre jour plusieurs groupes.
144
Mise jour des dfinitions et du contenu Dfinition de la manire dont les clients obtiennent le contenu
Mthode
Serveur LiveUpdate interne aux clients
Description
Les clients peuvent tlcharger des mises jour directement partir d'un serveur LiveUpdate interne qui reoit des mises jour de Symantec LiveUpdate. Vous pouvez installer un serveur LiveUpdate interne sur un ordinateur, que le logiciel Symantec Endpoint Protection Manager soit install ou pas. Dans les deux cas, vous devez utiliser l'utilitaire de l'administrateur de LiveUpdate pour mettre jour le serveur LiveUpdate. L'utilitaire de l'administrateur rcupre les mises jour des dfinitions depuis un serveur LiveUpdate de Symantec. Ensuite, l'utilitaire place les packages sur un serveur Web, un site FTP ou un emplacement dfini par un chemin d'accs UNC. Vous devez alors configurer vos serveurs de gestion de manire ce qu'ils rcuprent les mises jour des dfinitions partir de cet emplacement.
Quand l'utiliser
Utilisez un serveur LiveUpdate interne dans de grands rseaux pour rduire la charge sur le serveur Symantec Endpoint Protection Manager. Vous utilisez normalement un serveur LiveUpdate interne dans de grands rseaux de plus de 10 000 clients. Dans cette architecture, le serveur de gestion allge la fonctionnalit de mise jour du contenu LiveUpdate, mais traite toujours les mises jour des journaux et de la politique. Le serveur LiveUpdate interne est galement utile pour les rseaux excutant plusieurs produits Symantec qui excutent aussi LiveUpdate pour mettre jour des clients. Pour plus d'informations propos de l'installation d'un serveur LiveUpdate interne, consultez le Guide des utilisateurs administrateurs de LiveUpdate. Le guide est disponible sur le CD d'installation et sur le site du support de Symantec. Se reporter "Configuration d'une politique de paramtres LiveUpdate " la page 151.
Les clients peuvent recevoir des mises jour Utilisez un serveur Symantec LiveUpdate directement de Symantec LiveUpdate. externe pour les ordinateurs client autogrs qui ne sont pas toujours connects au rseau d'entreprise.
Mise jour des dfinitions et du contenu Dfinition de la manire dont les clients obtiennent le contenu
145
Mthode
Description
Quand l'utiliser
Distribution d'outil tiers Les outils tiers comme Microsoft SMS vous Utilisez cette mthode quand vous voulez permettent de distribuer des fichiers tester des fichiers de mise jour avant de (Non illustr) spcifiques de mise jour aux clients. les distribuer. En outre, utilisez cette mthode si vous avez une infrastructure de distribution d'outil tiers et si vous voulez bnficier de cette infrastructure. Se reporter "Distribution du contenu aux clients grs par des outils de distribution tiers" la page 171. Intelligent Updater Intelligent Updater tlcharge du contenu manuellement. Vous pouvez rcuprer des fichiers auto-extractibles Intelligent Updater partir du site Web de Symantec qui contiennent des fichiers de dfinitions de virus et de risque de scurit avec des extensions jdb et vdb. Les extensions ldb ne sont plus prises en charge. Pour recevoir d'autres fichiers de mise jour, vous devez installer et configurer un serveur de gestion pour tlcharger et planifier les fichiers de mise jour. Vous pouvez utiliser Intelligent Updater si vous ne voulez pas utiliser Symantec LiveUpdate ou si LiveUpdate n'est pas disponible. Se reporter "Utiliser l'Intelligent Updater pour tlcharger des mises jour du contenu d'antivirus pour la distribution" la page 167.
Figure 8-1 affiche un exemple d'architecture de distribution pour de plus petits rseaux.
146
Mise jour des dfinitions et du contenu Dfinition de la manire dont les clients obtiennent le contenu
Figure 8-1
Symantec LiveUpdate
Serveur de gestion
Groupes de clients
Figure 8-2 affiche un exemple d'architecture de distribution pour de plus grands rseaux.
Mise jour des dfinitions et du contenu Configuration d'un site pour tlcharger des mises jour
147
Figure 8-2
Symantec LiveUpdate
Serveur de gestion
Groupes de clients
Groupes de clients
La frquence laquelle le site recherche les mises jour de contenu LiveUpdate. La planification par dfaut pour que Symantec Endpoint Protection Manager excute LiveUpdate toutes les 4 heures est la meilleure pratique. Remarque : Les sites tlchargent des fichiers MSP pour des mises jour de produits et crent ensuite de nouveaux fichier MSI. Les sites rpliquent des fichiers MSI si vous choisissez de rpliquer des mises jour de produits. Les fichiers MSP sont une fraction de la taille des fichiers MSI.
148
Mise jour des dfinitions et du contenu Configuration d'un site pour tlcharger des mises jour
Le type de contenu tlcharger vers le site. Assurez-vous que le site tlcharge toutes les mises jour de contenu spcifies dans les Politiques de contenu LiveUpdate client. La langue des types de mise jour tlcharger. Le serveur LiveUpdate qui sert le contenu au site. Vous pouvez spcifier un serveur Symantec LiveUpdate externe (recommand) ou bien un serveur LiveUpdate interne pralablement install et configur. Nombre de versions de contenu conserver et conservation ou non des packages client sous forme non compresse. Vous enregistrez des rvisions de contenu parce que vous pourriez vouloir tester le dernier contenu avant de le dployer pour tous vos clients. Vous pouvez souhaiter conserver des versions prcdentes du contenu de manire pouvoir revenir en arrire le cas chant. Remarque : Lorsque vous conservez un grand nombre de rvisions, plus d'espace disque est requis sur Symantec Endpoint Protection Manager.
Se reporter "Gestion du contenu pour les clients" la page 140. La configuration d'un site pour tlcharger des mises jour
1 2 3 4
Dans la console, cliquez sur Admin. Sous Tches, cliquez sur Serveurs. Dans le volet Affichage, cliquez avec le bouton droit de la souris sur Site local, puis cliquez sur Modifier. Dans la bote de dialogue Proprits de site, sur l'onglet LiveUpdate, sous Planification du tlchargement, dfinissez les options de planification dterminant la frquence laquelle le serveur doit rechercher des mises jour. Sous Type de contenu tlcharger, examinez la liste des types de mises jour tlchargs. Pour ajouter ou supprimer un type de mise jour, cliquez sur Modifier la slection, modifiez la liste, puis cliquez sur OK. La liste doit correspondre la liste des types de contenu que vous incluez dans la politique de contenu LiveUpdate pour vos ordinateurs client.
5 6
Sous Langues tlcharger, examinez la liste des langues des types de mises jour tlcharges.
Mise jour des dfinitions et du contenu A propos des tlchargements de contenu simultans
149
8 9
Pour ajouter ou supprimer une langue, cliquez sur Modifier la slection, modifiez la liste, puis cliquez sur OK. Sous Serveurs source LiveUpdate, examinez le serveur LiveUpdate actuel utilis pour mettre jour le serveur de gestion. Ce serveur est par dfaut le serveur Symantec LiveUpdate. Effectuez ensuite les oprations suivantes :
Pour utiliser le serveur source LiveUpdate existant, cliquez sur OK. Pour utiliser un serveur LiveUpdate interne, cliquez sur Modifier les serveurs source.
12 Dans la bote de dialogue Serveurs LiveUpdate, cliquez sur OK. 13 Sous Gestion de l'espace disque pour les tlchargements, modifiez le nombre
de rvisions de contenu LiveUpdate conserver. Davantage d'espace disque est requis pour le stockage d'un grand nombre de rvisions de contenu. Les packages client qui sont conservs sous forme dveloppe requirent galement plus d'espace disque.
150
alatoire. Le serveur de gestion utilise la fentre de slection alatoire pour dcaler la synchronisation des tlchargements de contenu. Typiquement, vous ne devriez pas devoir modifier les paramtres par dfaut de slection alatoire. Dans certains cas, cependant, vous pourriez vouloir augmenter la valeur de la fentre de slection alatoire. Par exemple, vous pourriez excuter le client Symantec Endpoint Protection sur plusieurs ordinateurs virtuels sur le mme ordinateur physique que celui qui excute le serveur de gestion. La valeur de slection alatoire la plus leve amliore les performances du serveur mais retarde les mises jour du contenu sur les ordinateurs virtuels. Vous pourriez galement vouloir augmenter la fentre de slection alatoire quand vous avez beaucoup d'ordinateurs client physiques qui se connectent un serveur unique qui excute le serveur de gestion. Gnralement plus le ratio client/serveur est lev, plus vous pourriez vouloir dfinir la fentre de slection alatoire. La valeur de slection alatoire la plus leve diminue la charge maximale sur le serveur mais retarde les mises jour du contenu sur les ordinateurs client. Dans un scnario o vous avez trs peu de clients et voulez la livraison du contenu rapidement, vous pouvez dfinir la fentre de slection alatoire une valeur moindre. La valeur de slection alatoire plus basse augmente la charge maximale sur le serveur mais fournit une livraison de contenu plus rapide aux clients. Pour des tlchargements depuis le serveur de gestion par dfaut ou un Fournisseur de mise jour groupe, vous configurez les paramtres de slection alatoire dans la bote de dialogue Paramtres de communication pour le groupe slectionn. Les paramtres ne font pas partie de la Politique de paramtres LiveUpdate. Pour des tlchargements d'un serveur LiveUpdate vos clients, vous configurez le paramtre de slection alatoire en tant qu'lment de Politique de paramtres LiveUpdate. Se reporter "Configuration d'une politique de paramtres LiveUpdate " la page 151.
Mise jour des dfinitions et du contenu A propos de l'utilisation des rvisions de contenu qui ne sont pas la dernire version
151
Se reporter "Configuration d'une politique de paramtres LiveUpdate " la page 151. La politique de contenu LiveUpdate spcifie les types de mises jour que les clients sont autoriss rechercher et installer. Pour chaque type, vous pouvez spcifier que les clients recherchent et installent la dernire mise jour. Vous pouvez galement spcifier une version d'une mise jour que les clients installent s'ils n'excutent pas cette version. Vous ne pouvez pas appliquer cette politique des emplacements spcifiques d'un groupe. Vous pouvez seulement appliquer cette politique au niveau du groupe. Se reporter "Configuration d'une politique de contenu LiveUpdate" la page 153.
A propos de l'utilisation des rvisions de contenu qui ne sont pas la dernire version
Si vous stockez les versions multiples de mmoire du contenu dans Symantec Endpoint Protection Manager, vous pourriez vouloir spcifier une rvision particulire dans votre politique de contenu LiveUpdate. Par exemple, vous pouvez tester la dernire rvision avant de la dployer pour les clients. Vous pouvez spcifier une rvision antrieure dans la politique. Dans certains cas, la rvision qui est spcifie dans la politique ne correspond pas aux rvisions qui sont enregistres sur Symantec Endpoint Protection Manager. Par exemple, vous pourriez importer une politique qui met en rfrence une rvision qui n'existe pas sur le serveur. Ou, vous pourriez rpliquer les politiques mais pas le contenu LiveUpdate d'un autre site. Dans les deux cas, la politique indique que la rvision n'est pas disponible. Mme si la rvision n'est pas disponible sur le serveur, les clients qui utilisent la politique sont encore protgs. Les clients utilisent la dernire rvision du contenu. Se reporter "Configuration d'une politique de contenu LiveUpdate" la page 153.
152
Mise jour des dfinitions et du contenu Configuration d'une politique de paramtres LiveUpdate
Endpoint Protection Manager. Aprs avoir cr votre politique, vous pouvez l'attribuer un ou plusieurs groupes et emplacements. Remarque : Les clients Mac obtiennent les mises jour de LiveUpdate ou manuellement. Se reporter "Utiliser l'Intelligent Updater pour tlcharger des mises jour du contenu d'antivirus pour la distribution" la page 167.
Remarque : Il existe un paramtre avanc permettant aux utilisateurs de dmarrer manuellement LiveUpdate partir de leurs ordinateurs client. Ce paramtre est dsactiv par dfaut. Si vous activez ce paramtre, les utilisateurs peuvent dmarrer LiveUpdate et tlcharger les dernires dfinitions de virus, mises jour de composants et mises jour des produits. Selon la taille de votre population d'utilisateurs, il se peut que vous ne vouliez pas permettre aux utilisateurs de tlcharger tout le contenu sans test pralable. En outre, des conflits peuvent se produire si deux sessions de LiveUpdate s'excutent simultanment sur des ordinateurs client. Par dfaut, les utilisateurs ne sont pas autoriss tlcharger des mises jour de produit provenant d'un serveur LiveUpdate. Vous pouvez modifier ce paramtre dans le panneau Paramtres avancs de la politique LiveUpdate.
Remarque : Les utilisateurs peuvent toujours excuter LiveUpdate sur des clients Mac. Vous pouvez empcher seulement des clients Windows d'excuter LiveUpdate. Les mises jour de produit partir d'un serveur LiveUpdate, cependant, peuvent tre restreintes sur des clients Mac et Windows. Si vous restreignez des mises jour de produit de LiveUpdate sur un client Mac, vous devez les fournir manuellement. Les clients Mac ne peuvent pas obtenir des mises jour du serveur de gestion. Pour configurer une politique de paramtres LiveUpdate
1 2 3 4 5
Dans la console, cliquez sur Politiques. Sous Afficher les politiques, cliquez sur LiveUpdate. Sur l'onglet Paramtres LiveUpdate, sous Tches, cliquez sur Ajouter une politique de paramtre LiveUpdate. Dans le volet Prsentation, dans la zone Nom de la politique, tapez le nom de la politique. Sous Politique LiveUpdate, cliquez sur Paramtres du serveur.
Mise jour des dfinitions et du contenu Configuration d'une politique de contenu LiveUpdate
153
Dans le volet Paramtres du serveur, sous Serveur LiveUpdate interne ou externe, slectionnez au moins une mthode de distribution de contenu. La plupart des organisations doivent utiliser le serveur de gestion par dfaut. Si vous slectionnez le serveur de gestion par dfaut dans un environnement qui contient des ordinateurs Mac et Windows, les clients Mac obtiennent leurs mises jour du serveur LiveUpdate par dfaut. Se reporter "Dfinition de la manire dont les clients obtiennent le contenu" la page 142.
7 8 9
Si vous avez slectionn Utiliser un serveur LiveUpdate, sous Politique LiveUpdate, cliquez sur Planifier. Dans le volet Planification, validez ou modifiez les options de planification. Si vous avez coch Utiliser un serveur LiveUpdate, sous Politique LiveUpdate, cliquez sur Paramtres avancs.
11 Quand vous avez configur votre politique, cliquez sur OK. 12 Dans la bote de dialogue Attribuer la politique, effectuez l'une des oprations
suivantes :
Cliquez sur Oui pour enregistrer et attribuer la politique un groupe ou l'emplacement d'un groupe. Cliquez sur Non pour enregistrer la politique seulement.
13 Si vous avez cliqu sur Oui, dans la bote de dialogue Attribuer la politique
LiveUpdate, vrifiez les groupes et les emplacements auxquels la politique doit tre attribue, puis cliquez sur Attribuer. Si vous ne pouvez pas slectionner un groupe imbriqu, ce groupe hrite des politiques partir d'un groupe parent, comme dfini dans l'onglet Politiques de la page Clients.
154
Mise jour des dfinitions et du contenu Configuration d'une politique de contenu LiveUpdate
tlcharger. Par exemple, vous pourriez configurer la politique de contenu LiveUpdate pour permettre toutes les mises jour. Si le serveur de gestion n'est pas configur pour tlcharger toutes les mises jour, les clients reoivent uniquement ce que le serveur tlcharge. Se reporter "Configuration d'un site pour tlcharger des mises jour" la page 147. Si un groupe est configur pour obtenir des mises jour d'un serveur LiveUpdate, les clients de ce groupe reoivent toutes les mises jour autorises dans la politique de contenu LiveUpdate. Si la Politique de contenu LiveUpdate spcifie une rvision prcise du contenu, les clients ne reoivent pas le contenu le plus rcent disponible. Vous pouvez spcifier que vos clients reoivent une rvision spcifique. Avec cette configuration, vous pouvez d'abord essayer la dernire version avant de la distribuer aux clients. Pendant cet essai, vos clients utilisent la rvision spcifie. Aprs l'essai, vous pouvez modifier la Politique de contenu LiveUpdate pour spcifier que les clients reoivent la dernire version du contenu. Remarque : L'utilisation des rvisions spcifiques fournit la fonctionnalit de restauration. Pour configurer une politique de contenu LiveUpdate
1 2 3 4 5 6 7
Dans la console, cliquez sur Politiques. Sous Afficher les politiques, cliquez sur LiveUpdate. Cliquez dans l'onglet Contenu LiveUpdate. Sous Tches, cliquez sur Ajouter une politique de contenu LiveUpdate. Dans le volet Prsentation, dans la zone Nom de la politique, tapez le nom de la politique. Dans le volet Contenu LiveUpdate, cliquez sur Dfinitions de scurit. Dans le volet Dfinitions de scurit, slectionnez les mises jour tlcharger et installer, et dslectionnez les mises jour dsactiver. Remarque : Les clients Mac peuvent installer seulement des mises jour aux dfinitions d'antivirus et d'antispyware.
Mise jour des dfinitions et du contenu Affichage et modification rapide de la Politique de contenu LiveUpdate
155
Si vous n'avez pas coch Slectionner une rvision pour un type de mise jour, cliquez sur OK, puis passez l'tape 12. Si vous avez coch Slectionner une rvision pour un type de mise jour, cliquez sur Modifier, puis passez l'tape suivante.
11 Dans la fentre Contenu LiveUpdate, cliquez sur OK. 12 Dans la bote de dialogue Attribuer la politique, cliquez sur Oui.
Vous pouvez aussi annuler cette procdure et attribuer la politique ultrieurement.
1 2 3 4
Dans la console, cliquez sur Politiques et crez au moins deux politiques de contenu LiveUpdate. Appliquez l'une des politiques un groupe. Cliquez sur Clients. Sur l'onglet Politiques, dans le volet droit, sous Paramtres, cliquez sur Paramtres de la politique de contenu LiveUpdate.
156
Mise jour des dfinitions et du contenu Distribuer le contenu l'aide des fournisseurs de mise jour groupe
Dans la bote de dialogue Politique de contenu LiveUpdate, notez le nom de la politique en cours d'utilisation sous Spcifier la Politique de contenu LiveUpdate utiliser pour ce groupe. Pour modifier la politique applique ce groupe, slectionnez la politique utiliser, puis cliquez sur OK.
Opration
Vrification de la communication des clients
Mise jour des dfinitions et du contenu Distribuer le contenu l'aide des fournisseurs de mise jour groupe
157
Etape
Etape 2
Opration
Configuration des fournisseurs de mise jour groupe
Description
Vous configurez des fournisseurs de mise jour groupe en spcifiant des paramtres dans la politique de paramtres LiveUpdate. Vous pouvez configurer un unique fournisseur de mise jour groupe ou des fournisseurs de mise jour groupe multiples. Se reporter "Configurer un Fournisseur de mise jour groupe" la page 162.
Etape 3
Attribution de la politique de Vous attribuez la politique de paramtres paramtres LiveUpdate aux LiveUpdate aux groupes qui utilisent les groupes fournisseurs de mise jour groupe. Vous attribuez galement la politique au groupe dans lequel le fournisseur de mise jour groupe rside. Pour un unique fournisseur de mise jour groupe, vous attribuez une politique de paramtres LiveUpdate par groupe par site. Pour les fournisseurs de mise jour groupe multiples, vous attribuez une politique de paramtres LiveUpdate aux groupes multiples travers des sous-rseaux. Se reporter "Affectation d'une politique partage" la page 105. Se reporter "A propos des types de fournisseurs de mise jour groupe" la page 158.
Etape 4
Vrification que les clients sont indiqus comme fournisseurs de mise jour groupe
Vous pouvez afficher les ordinateurs client qui sont indiqus comme fournisseurs de mise jour groupe. Vous pouvez rechercher des ordinateurs client pour afficher une liste de fournisseurs de mise jour groupe. Les proprits d'un ordinateur client s'affichent galement si c'est un fournisseur de mise jour groupe. Se reporter "Recherche des clients agissant en tant que fournisseurs de mise jour groupe" la page 165. Se reporter "Affichage des proprits d'un client" la page 76.
158
Mise jour des dfinitions et du contenu Distribuer le contenu l'aide des fournisseurs de mise jour groupe
Fournisseur unique de mise jour groupe Un fournisseur unique de mise jour groupe est un ordinateur client ddi qui fournit le contenu pour un ou plusieurs groupes de clients. Il peut s'agir d'un ordinateur client de n'importe quel groupe. Pour configurer un fournisseur unique de mise jour groupe, spcifiez l'adresse IP ou le nom d'hte de l'ordinateur client que vous voulez dsigner comme fournisseur de mise jour groupe. Fournisseur de mise jour groupe multiple Les fournisseurs de mises jour groupes multiples utilisent un jeu de rgles, ou des critres, afin de se dsigner pour servir des groupes de clients travers des sous-rseaux. Pour configurer des fournisseurs de mise jour groupe multiples, spcifiez les critres auxquels les ordinateurs client doivent rpondre pour pouvoir tre dfinis en tant que fournisseur de mise jour groupe. Si un ordinateur client rpond aux critres, Symantec Endpoint Protection Manager ajoute le client sa liste de fournisseurs de mise jour groupe. Symantec Endpoint Protection Manager rend alors la liste disponible tous les clients dans votre rseau. Les clients vrifient la liste et choisissent le fournisseur de mise jour groupe qui se trouve dans leur sous-rseau. Vous pouvez galement configurer un fournisseur de mise jour groupe unique et ddi pour distribuer le contenu aux clients quand le fournisseur de mise jour groupe local n'est pas disponible.
Utilisez une politique de paramtres LiveUpdate pour configurer le type de fournisseur de mise jour groupe. Le type que vous configurez dpend de la faon dont votre rseau est paramtr et si votre rseau inclut des clients hrits.
Mise jour des dfinitions et du contenu Distribuer le contenu l'aide des fournisseurs de mise jour groupe
159
Tableau 8-5
Quand utiliser un type particulier de fournisseur de mise jour groupe Quand l'utiliser
Utilisez un fournisseur unique de mise jour groupe quand votre rseau comporte l'un des scnarios suivants : Votre rseau inclut des clients hrits Les clients hrits peuvent obtenir du contenu d'un fournisseur unique de mise jour groupe ; ils peuvent galement tre dsigns comme fournisseurs de mise jour groupe. Les clients hrits ne prennent pas en charge les fournisseurs de mise jour groupe multiples. Vous voulez utiliser le mme fournisseur de mise jour groupe pour tous vos ordinateurs client Vous pouvez utiliser une politique unique de paramtres de contenu LiveUpdate pour spcifier une adresse IP statique ou un nom d'hte pour un fournisseur unique de mise jour groupe. Toutefois, si l'emplacement des clients change, vous devez modifier l'adresse IP dans la politique. Si vous voulez utiliser diffrents fournisseurs de mise jour groupe dans diffrents groupes, vous devez crer une politique de paramtres LiveUpdate distincte pour chaque groupe.
160
Mise jour des dfinitions et du contenu Distribuer le contenu l'aide des fournisseurs de mise jour groupe
Quand l'utiliser
Utilisez les fournisseurs de mise jour groupe multiples quand votre rseau comporte l'un des scnarios suivants : Vous excutez le dernier logiciel client sur les ordinateurs de votre rseau. Les fournisseurs de mises jour groupes multiples sont pris en charge sur les ordinateurs qui excutent le dernier logiciel client. Les fournisseurs de mises jour groupes multiples ne sont pas pris en charge par les clients hrits. Les clients hrits ne peuvent pas obtenir de contenu des fournisseurs de mise jour groupe multiples. Ils ne peuvent pas tre dfinis comme fournisseurs de mise jour groupe mme s'ils rpondent aux critres pour les fournisseurs de mise jour groupe multiples. Vous pouvez crer une politique de paramtres LiveUpdate distincte et configurer un fournisseur unique et statique de mise jour groupe pour un groupe de clients hrits Vous disposez de groupes multiples et voulez utiliser diffrents fournisseurs de mise jour groupe pour chaque groupe Vous pouvez utiliser une politique spcifiant des rgles pour la dfinition de fournisseurs de mise jour groupe multiples. Si l'emplacement des clients change, vous ne devez pas mettre jour la politique de paramtres LiveUpdate. Symantec Endpoint Protection Manager combine les fournisseurs de mise jour groupe multiples travers les sites et les domaines. Elle rend la liste disponible tous les clients de tous les groupes de votre rseau. Les fournisseurs de mises jour groupes multiples peuvent fonctionner comme mcanisme de basculement. Ils augmentent la probabilit qu'au moins un fournisseur de mise jour groupe soit disponible dans chaque sous-rseau.
Se reporter "Configurer des fournisseurs de mise jour groupe multiples" la page 164.
A propos de la configuration de rgles pour les fournisseurs de mise jour groupe multiples
Les fournisseurs de mises jour groupes multiples utilisent des rgles pour dterminer les ordinateurs client qui agissent en tant que fournisseurs de mise jour groupe. Les rgles sont structures comme suit :
Mise jour des dfinitions et du contenu Distribuer le contenu l'aide des fournisseurs de mise jour groupe
161
Jeux de rgles Un jeu de rgles inclut les rgles auxquelles un client doit correspondre pour agir en tant que fournisseur de mise jour groupe. Rgles Les rgles peuvent spcifier des adresses IP, des noms d'hte, des cls de registre Windows client ou des systmes d'exploitation client. Vous pouvez inclure chaque type de rgle dans un jeu de rgles. Conditions des rgles Une rgle spcifie une condition laquelle un client doit rpondre pour agir en tant que fournisseur de mise jour groupe. Si une rgle spcifie une condition avec des valeurs multiples, le client doit rpondre l'une des valeurs. Types de rgles Description
Cette rgle spcifie les adresses IP client ou les noms d'hte.
La correspondance des rgles est tablie sur la base des oprateurs logiques OR et AND comme suit :
La correspondance aux jeux de rgles multiples est tablie sur la base de l'oprateur OR. Un client doit correspondre un jeu de rgles. La correspondance aux rgles multiples est tablie sur la base de l'oprateur AND. Un client doit correspondre toutes les rgles spcifies dans un jeu de rgles. La correspondance aux valeurs multiples pour une condition de rgle est tablie sur la base de oprateur OR. Un client doit correspondre une valeur.
Par exemple, vous pouvez crer un Jeu de rgles 1 qui inclut une rgle d'adresse IP avec plusieurs adresses IP. Vous pouvez ensuite crer un Jeu de rgles 2 qui inclut une rgle de nom d'hte et une rgle de systme d'exploitation contenant chacune des valeurs multiples. Un ordinateur client doit correspondre soit au Jeu de rgles 1, soit au Jeu de rgles 2. Un client rpond au Jeu de rgles 1 s'il correspond l'une des adresses IP. Un client rpond au Jeu de rgles 2 s'il correspond l'un des noms d'hte ou l'un des systmes d'exploitation. Se reporter "Configurer des fournisseurs de mise jour groupe multiples" la page 164.
162
Mise jour des dfinitions et du contenu Distribuer le contenu l'aide des fournisseurs de mise jour groupe
1 2 3 4 5 6
Dans la console, cliquez sur Politiques. Sous Afficher les politiques, cliquez sur LiveUpdate. Dans le volet Politiques LiveUpdate, dans l'onglet Paramtres LiveUpdate, slectionnez la politique modifier. Dans le volet Tches, cliquez sur Modifier la politique. Dans la fentre Politique LiveUpdate, cliquez sur Paramtres du serveur. Sur la page Paramtres du serveur, sous Serveur LiveUpdate interne ou externe, cochez l'option Utiliser le serveur de gestion par dfaut (ordinateurs Windows seulement). Ne cochez pas l'option Utiliser un serveur LiveUpdate. Le Fournisseur de mise jour groupe que vous configurez agit en tant que serveur LiveUpdate par dfaut.
7 8
Sous Fournisseur de mise jour groupe, cochez l'option Utiliser un fournisseur de mises jour groupes. Cliquez sur Fournisseur de mise jour groupe.
Mise jour des dfinitions et du contenu Distribuer le contenu l'aide des fournisseurs de mise jour groupe
163
Dans la bote de dialogue Fournisseur de mise jour groupe, configurez le type de Fournisseur de mise jour groupe. Remarque : Les clients hrits peuvent ne peuvent utiliser qu'un seul Fournisseur de mise jour groupe. Les clients hrits ne prennent pas en charge plusieurs Fournisseurs de mise jour groupe. Se reporter "Configurer un fournisseur unique de mise jour groupe" la page 163. Se reporter "Configurer des fournisseurs de mise jour groupe multiples" la page 164.
164
Mise jour des dfinitions et du contenu Distribuer le contenu l'aide des fournisseurs de mise jour groupe
Suivez les tapes pour configurer un fournisseur de mise jour groupe. Se reporter "Configurer un Fournisseur de mise jour groupe" la page 162.
Dans la bote de dialogue Fournisseur de mise jour groupe, cochez Adresse IP ou nom d'hte du fournisseur de mises jour groupes unique sous Slection de fournisseur de mises jour groupes pour le client. Dans la zone de texte Adresse IP ou nom d'hte du fournisseur de mises jour groupes unique, saisissez l'adresse IP ou le nom d'hte de l'ordinateur client qui agit en tant que fournisseur unique de mise jour groupe. Cliquez sur Aide pour plus d'informations au sujet de l'adresse IP ou du nom d'hte. Se reporter "A propos des types de fournisseurs de mise jour groupe" la page 158. Se reporter "Configurer des fournisseurs de mise jour groupe multiples" la page 164. Se reporter "Distribuer le contenu l'aide des fournisseurs de mise jour groupe" la page 156.
Suivez les tapes pour configurer un fournisseur de mise jour groupe. Se reporter "Configurer un Fournisseur de mise jour groupe" la page 162.
Dans la bote de dialogue Fournisseur de mise jour groupe, cochez Fournisseurs de mises jour groupes multiples sous Slection de fournisseur de mises jour groupes pour le client. Cliquez sur Configurer la liste des fournisseurs de mises jour groupes. Dans la bote de dialogue Liste Fournisseur de mise jour groupe, slectionnez le nud d'arborescence Fournisseur de mise jour groupe. Cliquez sur Ajouter pour ajouter un jeu de rgles.
3 4 5
Mise jour des dfinitions et du contenu Distribuer le contenu l'aide des fournisseurs de mise jour groupe
165
Dans la liste droulante Cocher de la bote de dialogue Spcifiez les critres de rgles des fournisseurs de mises jour groupes, slectionnez l'une de options suivantes :
7 8
Si vous avez slectionn Adresse IP/nom d'hte de l'ordinateur ou Cls de registre, cliquez sur Ajouter. Saisissez ou slectionnez l'adresse IP, le nom d'hte, la cl de registre Windows ou les donnes du systme d'exploitation. Cliquez sur Aide pour plus d'informations sur la configuration des rgles. Se reporter "A propos de la configuration de rgles pour les fournisseurs de mise jour groupe multiples" la page 160.
Cliquez sur OK jusqu' revenir la bote de dialogue Fournisseur de mise jour groupe. si ncessaire d'autres jeux de rgles.
10 Dans la bote de dialogue Liste Fournisseur de mise jour groupe, ajoutez 11 Saisissez une adresse IP ou un nom d'hte de fournisseur de mise jour
groupe dans la zone de texte Spcifiez le nom d'hte ou l'adresse IP d'un fournisseur de mises jour groupes sur un autre sous-rseau utiliser si les fournisseurs de mises jour groupes sur le sous-rseau local ne sont pas disponibles.
Recherche des clients agissant en tant que fournisseurs de mise jour groupe
Vous pouvez vrifier que les clients sont disponibles comme fournisseurs de mise jour groupe. Vous pouvez afficher une liste des fournisseurs de mise jour groupe en les recherchant dans l'onglet Clients. Remarque : Vous pouvez galement vrifier les proprits d'un client. Les proprits incluent un champ qui indique si le client est un fournisseur de mise jour groupe.
166
Pour rechercher les clients agissant en tant que fournisseurs de mise jour groupe
1 2 3 4 5 6 7 8
Dans la console, cliquez sur Clients. Dans la zone de texte Afficher de l'onglet Clients de la page Clients, slectionnez Etat du client. Dans le volet Tches, cliquez sur Recherche de clients. Dans la zone de texte Dcouverte, slectionnez Ordinateurs. Dans la zone de texte Dans le groupe, spcifiez le nom du groupe. Dans la colonne Champ de recherche sous Critres de recherche, slectionnez Fournisseur de mise jour groupe. Dans la colonne Oprateur de comparaison sous Critres de recherche, slectionnez =. Dans la colonne Valeur sous Critres de recherche, slectionnez Vrai. Cliquez sur Aide pour plus d'informations sur les critres de recherche.
Cliquez sur Rechercher. Se reporter "Distribuer le contenu l'aide des fournisseurs de mise jour groupe" la page 156.
Mise jour des dfinitions et du contenu Utiliser l'Intelligent Updater pour tlcharger des mises jour du contenu d'antivirus pour la distribution
167
Se reporter "Utiliser l'Intelligent Updater pour tlcharger des mises jour du contenu d'antivirus pour la distribution" la page 167. Remarque : Des dfinitions antivirus et antispyware sont contenues dans les fichiers vdb et jdb que vous pouvez distribuer. Les fichiers vdb prennent en charge les clients 32 bits seulement. Les fichiers jdb prennent en charge les clients 32 bits et les clients 64 bits. Ce sont les fichiers que vous placez dans les botes de rception de l'ordinateur client. Vous pouvez tlcharger des mises jour partir du site suivant : ftp://ftp.symantec.com/AVDEFS/symantec_antivirus_corp/
Utiliser l'Intelligent Updater pour tlcharger des mises jour du contenu d'antivirus pour la distribution
Pour distribuer seulement les mises jour de virus et de risque de scurit, tlchargez le nouvel Intelligent Updater. Puis, utilisez votre mthode de distribution prfre pour fournir les mises jour vos clients. Remarque : Actuellement, Intelligent Updater met seulement jour les virus et les mises jour de risque de scurit. Veillez utiliser les fichiers Intelligent Updater pour la version entreprise plutt que ceux destins la version grand public du produit. Se reporter "A propos de l'Intelligent Updater" la page 166. Pour tlcharger Intelligent Updater
2 3
Cliquez sur le fichier de produit avec l'extension .exe appropri. Quand un message vous demande de choisir un emplacement o enregistrer les fichiers, slectionnez un dossier sur votre disque dur.
1 2
Localisez le fichier Intelligent Updater que vous avez tlcharg depuis Symantec. Double-cliquez sur le fichier et suivez les instructions affiches l'cran.
168
Mise jour des dfinitions et du contenu A propos des fichiers utiliss dans la distribution tiers du contenu LiveUpdate
Chaque groupe de clients possde un fichier index2.dax. Ce fichier est situ dans le dossier correspondant au numro de srie de la politique du groupe. Le numro de srie est rpertori dans la bote de dialogue Proprits du groupe. Les quatre premires valeurs hexadcimales du numro de srie doivent concorder avec celles de l'un des noms de dossier. Le fichier index2.dax est chiffr. Pour consulter le contenu du fichier, ouvrez le fichier index2.xml, lequel est disponible dans le mme dossier. Vous pouvez afficher une liste des monikers de contenu avec leur numro de squence (rvision). Vous pouvez par exemple obtenir l'entre suivante :
<File Checksum="191DEE487AA01C3EDA491418B53C0ECC" DeltaFlag="1" FullSize="30266080" LastModifiedTime="1186471722609" Moniker= "{C60DC234-65F9- 4674-94AE-62158EFCA433}" Seq="80806003"/>
La politique de contenu LiveUpdate sur les clients auxquels vous distribuez du contenu prsente une rvision de contenu particulire ou le contenu le plus rcent. Le numro de squence situ dans le fichier index2.dat que vous utilisez pour la distribution doit concorder avec le numro de squence correspondant au contenu indiqu dans la politique de contenu LiveUpdate du groupe. Par exemple, si la politique de contenu LiveUpdate est dfinie sur "Utiliser le dernier disponible" pour tous les types de contenu, le numro de squence de chaque type de contenu est dfini sur le dernier contenu disponible sur Symantec Endpoint Protection Manager. Dans cet exemple, la distribution ne fonctionne que si le fichier index2.dat que vous utilisez pour la distribution fait appel aux numros de
Mise jour des dfinitions et du contenu A propos de l'utilisation d'outils de distribution tiers pour distribuer des mises jour de contenu aux clients grs
169
squence (rvisions) correspondant la dernire rvision de contenu. La distribution choue si les numros de squence correspondent d'autres rvisions. Se reporter "Distribution du contenu aux clients grs par des outils de distribution tiers" la page 171.
A propos de l'utilisation d'outils de distribution tiers pour distribuer des mises jour de contenu aux clients grs
Les grands rseaux peuvent dpendre d'outils de distribution tiers comme IBM Tivoli, Microsoft SMS, etc., pour distribuer des mises jour aux ordinateurs client. Le logiciel client Symantec prend en charge la distribution de mise jour avec ces outils. Pour utiliser les outils de distribution tiers, vous devez obtenir les fichiers de mise jour et les distribuer avec un outil de distribution. Pour les clients grs, vous pouvez obtenir les fichiers de mise jour aprs avoir install et configur un serveur Symantec Endpoint Protection Management en tant que seul serveur d'un site. Vous planifiez et slectionnez alors les mises jour du contenu de LiveUpdate tlcharger sur le site. Se reporter "Configuration d'un site pour tlcharger des mises jour" la page 147. Les fichiers de mise jour sont tlchargs dans des sous-rpertoires du rpertoire (par dfaut) suivant : \Program Files\Symantec Endpoint Protection Manager\data\outbox\ Vous distribuez ensuite les fichiers au dossier de bote de rception des ordinateurs client. Par dfaut, ce dossier n'existe pas et le logiciel client ne vrifie pas et ne traite pas le contenu de ce dossier. Pour les clients grs, vous devez configurer une politique de paramtres LiveUpdate pour le groupe, activer la distribution tiers aux clients du groupe et appliquer la politique. Le dossier de bote de rception s'affiche alors sur les ordinateurs client du groupe. Pour les clients non grs, vous devez activer manuellement une cl de registre de Windows sur les ordinateurs client. Le dossier de bote de rception s'affiche dans l'emplacement suivant sur les ordinateurs client qui n'excutent pas Windows Vista : \\Documents and Settings\All Users\Application Data\Symantec\ Symantec Endpoint Protection\inbox\
170
Mise jour des dfinitions et du contenu Activer la distribution de contenu tiers aux clients grs avec une politique de paramtres LiveUpdate
Le dossier de bote de rception s'affiche dans l'emplacement suivant sur les ordinateurs client qui excutent Windows Vista : \\Program Data\Symantec\Symantec Endpoint Protection\inbox\ Se reporter "Distribution du contenu aux clients grs par des outils de distribution tiers" la page 171.
Activer la distribution de contenu tiers aux clients grs avec une politique de paramtres LiveUpdate
Quand vous crez une politique LiveUpdate qui prend en charge la distribution de contenu tiers aux clients grs, vous avez deux ou trois buts supplmentaires. L'un est de rduire la frquence avec laquelle les clients recherchent des mises jour. L'autre est typiquement de dsactiver la capacit des utilisateurs client d'effectuer LiveUpdate manuellement. Les clients grs sont grs l'aide des politiques Symantec Endpoint Protection Manager. Lorsque vous avez termin cette procdure, le rpertoire suivant s'affiche sur les ordinateurs client du groupe qui n'excute pas Windows Vista : \\Documents and Settings\All Users\Application Data\Symantec\ Symantec Endpoint Protection\inbox\ Le rpertoire suivant s'affiche sur les ordinateurs client du groupe qui excute Windows Vista : \\Program Data\Symantec\Symantec Endpoint Protection\inbox\ Pour activer la distribution de contenu tiers aux clients grs avec une politique LiveUpdate
1 2 3
Dans la console, cliquez sur Politiques. Sous Afficher les politiques, cliquez sur LiveUpdate. Dans le volet Politiques LiveUpdates, dans l'onglet de Paramtres LiveUpdate, sous Tches, cliquez sur Ajouter une politique de paramtres LiveUpdate. Dans la fentre Politique LiveUpdate, dans les zones de texte Nom de la politique et Description, saisissez un nom et la description. Cliquez sur Paramtres du serveur. Sous Gestion tierce, cochez l'option Activer la gestion du contenu tiers. Dcochez toutes les autres options de la source LiveUpdate. Cliquez sur OK.
4 5 6 7 8
Mise jour des dfinitions et du contenu Distribution du contenu aux clients grs par des outils de distribution tiers
171
Dans la bote de dialogue Assigner la politique, cliquez sur Oui. Vous pouvez aussi annuler cette procdure et attribuer la politique ultrieurement.
Distribution du contenu aux clients grs par des outils de distribution tiers
Aprs avoir activ la gestion du contenu tiers dans la politique LiveUpdate, localisez Symantec Endpoint Protection Manager et copiez-y le contenu. Une fois que vous avez localis et copi le contenu, vous pouvez le distribuer aux clients. Vous pouvez galement choisir le type de contenu que vous souhaitez copier et distribuer. Se reporter "A propos de l'utilisation d'outils de distribution tiers pour distribuer des mises jour de contenu aux clients grs" la page 169. Se reporter "A propos de l'utilisation d'outils de distribution tiers pour distribuer des mises jour de contenu aux clients autogrs" la page 173. Remarque : Si vous enregistrez les fichiers de mise jour sur des ordinateurs client avant de les placer dans le rpertoire /inbox, vous devez alors copier les fichiers. Les fichiers ne peuvent pas tre dplacs. Vous pouvez galement copier les fichiers .vdb et .jdb vers la bote de rception en vue de leur traitement. Pour distribuer du contenu aux clients grs par des outils de distribution tiers
1 2 3 4
Sur l'ordinateur qui excute Symantec Endpoint Protection Manager, crez un rpertoire de rfrence tel que \Work_Dir. Dans la console, sous l'onglet Clients, cliquez avec le bouton droit de la souris sur le groupe pour le mettre jour, puis cliquez sur Proprits. Documentez les quatre premires valeurs hexadcimales de Numro de srie de la politique, tel que 7B86. Naviguez vers le rpertoire suivant : \\Program Files\Symantec\Symantec Endpoint Protection Manager\data\outbox\agent
172
Mise jour des dfinitions et du contenu Distribution du contenu aux clients grs par des outils de distribution tiers
Recherchez le rpertoire qui contient les quatre premires valeurs hexadcimales correspondant au numro de srie de la politique de votre groupe de clients. Ouvrez ce rpertoire puis copiez index2.dax sur votre rpertoire de rfrence, tel que \Work_Dir.dax. Naviguez vers le rpertoire suivant : \\Program Files\Symantec\Symantec Endpoint Protection Manager\Inetpub\content
6 7
Ouvrez et lisez le fichier ContentInfo.txt pour dcouvrir les donnes que chaque rpertoire <<moniker cible>> contient. Le contenu de chaque rpertoire est <<moniker cible>>\<num squence>\full.zip|full.
Copiez le contenu de chaque rpertoire \<<moniker cible>> vers votre rpertoire de rfrence tel que \Work_Dir. cible>> de sorte que seuls la structure de rpertoires et le fichier suivants demeurent dans votre rpertoire de rfrence : \\Work_Dir\<<target moniker>>\<dernier numro de squence>\full.zip Votre rpertoire de travail contient maintenant la structure de rpertoires et les fichiers distribuer aux clients.
Mise jour des dfinitions et du contenu A propos de l'utilisation d'outils de distribution tiers pour distribuer des mises jour de contenu aux clients autogrs
173
A propos de l'utilisation d'outils de distribution tiers pour distribuer des mises jour de contenu aux clients autogrs
Pour des raisons de scurit, si vous avez install des clients autogrs partir du CD-ROM d'installation, les clients ne font pas confiance et ne traitent pas le contenu ou les mises jour de la politique de LiveUpdate. Pour permettre ces clients de traiter les mises jour, vous devez crer la cl de registre Windows suivante : HKLM\Software\Symantec\Symantec Endpoint Protection\SMC\TPMState Dfinissez une valeur hexadcimale 80 de sorte que la cl ressemble 0x00000080 (128) Une fois la cl dfinie, vous devez redmarrer l'ordinateur ou excuter les commandes suivantes depuis le rpertoire Symantec\Symantec Endpoint Protection\ :
smc.exe -stop smc.exe -start
Le dossier de bote de rception apparat dans l'emplacement suivant sur les ordinateurs client qui n'excutent pas Windows Vista : \\Documents and Settings\All Users\Application Data\Symantec\ Symantec Endpoint Protection\inbox\ Le dossier de bote de rception apparat dans l'emplacement suivant sur les ordinateurs client qui excutent Windows Vista : \\Program Data\Symantec\Symantec Endpoint Protection\inbox\ Vous pouvez maintenant utiliser les outils de distribution tiers pour copier le contenu ou les mises jour de la politique sur ce rpertoire. Le logiciel client Symantec fait confiance la source et traite le contenu. La distribution du contenu partir du module Symantec Endpoint Protection Manager s'effectue presque de la mme manire que pour les clients grs. Cependant, copiee index2.xml de Mon entreprise, au lieu de copier index2.dax partir de votre rpertoire de groupe de client gr. Copiez le fichier full.dax comme dcrit pour le client gr. Vous pouvez alors distribuer ces fichiers. Vous pouvez galement dposer des fichiers .vdb et de .jdb dans la bote de rception client pour le traitement.
174
Mise jour des dfinitions et du contenu Excution de LiveUpdate sur un client partir de la console
Remarque : Si vous placez les fichiers de mise jour sur les ordinateurs, vous devez les copier dans la bote de rception. Les fichiers de mise jour ne sont pas traits si vous les dplacez vers la bote de rception.
Remarque : Aprs une installation de client rseau, la cl de registre Windows de TPMState existe avec une valeur de 0, que vous pouvez modifier. (Cette cl n'existe pas aprs une installation de client autogr.) En outre, pour une installation de client rseau, il n'est pas ncessaire de redmarrer l'ordinateur ou d'excuter la commande smc.exe. Le rpertoire apparat ds que la cl de registre Windows est modifie. Se reporter "Distribution du contenu aux clients grs par des outils de distribution tiers" la page 171. Se reporter "A propos de l'utilisation d'outils de distribution tiers pour distribuer des mises jour de contenu aux clients grs" la page 169.
1 2
Dans la console, cliquez sur Clients et slectionnez un groupe sous Afficher les clients. Dans l'onglet Clients, effectuez l'une des oprations suivantes :
Pour tous les ordinateurs et utilisateurs d'un mme groupe, cliquez avec le bouton droit de la souris sur le groupe, puis slectionnez Excuter la commande sur le groupe. Pour les ordinateurs ou utilisateurs slectionns au sein d'un groupe, slectionnez le groupe, cliquez avec le bouton droit de la souris sur les ordinateurs ou les utilisateurs, puis slectionnez Excuter la commande sur les clients.
Mise jour des dfinitions et du contenu Excution de LiveUpdate sur un client partir de la console
175
Si vous avez slectionn Mettre jour le contenu, cliquez sur Oui. Si vous avez slectionn Actualiser le contenu et analyser, slectionnez le type d'analyse, cliquez sur OK, puis cliquez sur Oui.
176
Mise jour des dfinitions et du contenu Excution de LiveUpdate sur un client partir de la console
Chapitre
A propos de l'accs l'interface client Verrouillage et dverrouillage des paramtres grs Modification du niveau de contrle de l'utilisateur Protection du client par mot de passe
Pour les paramtres antivirus et antispyware, vous pouvez verrouiller ou dverrouiller les paramtres.
178
Affichage des fonctions dans l'interface utilisateur client Verrouillage et dverrouillage des paramtres grs
Pour les paramtres de pare-feu, des paramtres de prvention d'intrusion et pour quelques paramtres client d'interface utilisateur, vous pouvez dfinir le niveau de contrle de l'utilisateur et configurer les paramtres associs. Vous pouvez protger le client par mot de passe. Se reporter "Protection du client par mot de passe" la page 185.
Vous verrouillez et dverrouillez les paramtres sur les pages ou les botes de dialogue sur lesquelles ils apparaissent. Pour verrouiller et dverrouiller les paramtres grs
Ouvrez une politique antivirus et antispyware. Se reporter "Modifier une politique" la page 104.
Sur la page antivirus et antispyware, cliquez sur l'une des pages suivantes :
Auto-Protect pour le systme de fichiers Auto-Protect pour le courrier lectronique Internet Auto-Protect pour Microsoft Outlook Auto-Protect pour Lotus Notes Analyses proactives des menaces TruScan
Affichage des fonctions dans l'interface utilisateur client Modification du niveau de contrle de l'utilisateur
179
Transmissions Divers
3 4
Cliquez sur l'icne de cadenas pour verrouiller ou dverrouiller le paramtre. Si vous avez termin de configurer cette politique, cliquez sur OK. Vous pouvez aussi verrouiller et dverrouiller les paramtres de protection contre les interventions. Se reporter "Configuration de la protection contre les interventions" la page 422.
180
Affichage des fonctions dans l'interface utilisateur client Modification du niveau de contrle de l'utilisateur
Tableau 9-2
Les paramtres que vous dfinissez sur le contrle de serveur s'affichent obscurcis ou ne sont pas visibles dans l'interface utilisateur client. Lorsque vous crez un nouvel emplacement, l'emplacement est automatiquement dfini sur contrle de serveur. Contrle client Donne aux utilisateurs la plupart de contrle du client. La commande client dverrouille les paramtres grs de sorte que les utilisateurs puissent les configurer. La commande client a les caractristiques suivantes : Les utilisateurs peuvent configurer ou activer des rgles de filtrage, des paramtres spcifiques des applications, des paramtres du pare-feu, des paramtres de prvention d'intrusion et des paramtres d'interface utilisateur client. Le client ignore les rgles de filtrage que vous configurez pour le client.
Vous pouvez donner le contrle client aux ordinateurs client que les employs utilisent sur un site distant ou domicile.
Affichage des fonctions dans l'interface utilisateur client Modification du niveau de contrle de l'utilisateur
181
Les paramtres que vous dfinissez sur le contrle client sont la disposition de l'utilisateur. Les paramtres que vous dfinissez sur le contrle de serveur s'affichent obscurcis ou ne sont pas visibles dans l'interface utilisateur client. Se reporter "A propos du contrle mixte" la page 182.
Certains paramtres grs ont des dpendances. Par exemple, les utilisateurs peuvent avoir la permission de configurer des rgles de filtrage, mais ne peuvent pas accder l'interface utilisateur client. Puisque les utilisateurs n'ont pas accs dans la bote de dialogue Configurer les rgles de filtrage, ils ne peuvent pas crer des rgles. Vous pouvez dfinir un niveau diffrent de contrle d'utilisateur pour chaque emplacement. Remarque : Les clients qui s'excutent sous contrle client ou mixte passent sous contrle serveur quand le serveur applique une politique de quarantaine.
182
Affichage des fonctions dans l'interface utilisateur client Modification du niveau de contrle de l'utilisateur
1 2 3 4
Dans la console, cliquez sur Clients. Sous Afficher les clients, slectionnez le groupe dont vous voulez modifier l'emplacement. Cliquez sur l'onglet Politiques. Sous Politiques et paramtres dpendants de l'emplacement, sous l'emplacement que vous voulez modifier, dveloppez Paramtres spcifiques aux emplacements. A droite de Paramtres de contrle d'interface utilisateur du client, cliquez sur Tches > Modifier les paramtres. Dans la bote de dialogue Paramtres de contrle de l'interface utilisateur du client, choisissez une des options suivantes :
5 6
Cliquez sur Contrle du serveur et puis cliquez sur Personnaliser. Configurez l'un des paramtres et cliquez sur OK. Cliquez sur Contrle client. Cliquez sur Contrle mixte et puis cliquez sur Personnaliser. Configurez l'un des paramtres et cliquez sur OK. Se reporter "A propos du contrle mixte" la page 182. Pour le client Symantec Network Access Control, vous pouvez cliquer sur Afficher le client et Afficher l'icne de la zone de notification.
Affichage des fonctions dans l'interface utilisateur client Modification du niveau de contrle de l'utilisateur
183
paramtres de l'interface utilisateur ; Se reporter "Configuration des paramtres d'interface utilisateur" la page 183. paramtres de protection contre les menaces rseau gnrales ; Se reporter "Configurer des paramtres de protection contre les menaces rseau pour la commande mlange" la page 559. paramtres de politique de pare-feu ; Se reporter "A propos de l'utilisation des politiques de pare-feu" la page 518. paramtres de politique de prvention d'intrusion. Se reporter "Configuration de la prvention d'intrusion" la page 544.
Dfinissez le niveau de contrle de l'utilisateur du client la commande de serveur. Dfinissez le niveau de contrle de l'utilisateur du client sur le contrle mixte et dfinissez la fonction parente dans l'onglet Paramtres de contrle du client/serveur sur Serveur. Par exemple, vous pouvez dfinir l'option Afficher/Masquer l'icne de la zone de notification sur Client. L'icne de zone de notification s'affiche sur le client et l'utilisateur peut choisir d'afficher ou masquer l'icne. Si vous dfinissez l'option Afficher/Masquer l'icne de la zone de notification sur Serveur, vous pouvez choisir d'afficher l'icne de zone de notification sur le client.
Modifiez le niveau de commande d'utilisateur contrle mixte. Se reporter "Modification du niveau de contrle de l'utilisateur" la page 179.
Dans la bote de dialogue Paramtres de contrle de l'interface utilisateur du client pour nom d'emplacement, prs de Commande mixte, cliquez sur Personnaliser. Dans la bote de dialogue Paramtres de contrle mixtes de l'interface utilisateur du client, dans l'onglet Paramtres de contrle du client/serveur, faites l'une des actions suivantes :
Verrouillez une option de sorte que vous puissiez la configurer seulement du serveur. Pour l'option que vous voulez verrouiller, cliquez sur Serveur.
184
Affichage des fonctions dans l'interface utilisateur client Modification du niveau de contrle de l'utilisateur
Tous les paramtres de protections antivirus et antispyware configurs sur le serveur remplacent les paramtres du client.
Dverrouillez une option de sorte que l'utilisateur puisse la configurer sur le client. Pour l'option que vous voulez, cliquez sur Client. Le client est slectionn par dfaut pour tous les paramtres, l'exception des paramtres antivisus et antispyware.
Pour les options suivantes configures sur le serveur, cliquez sur l'onglet Paramtres client d'interface utilisateur pour les configurer :
Afficher/Masquer l'icne de zone de notification Afficher l'icne de zone de notification
Activer/Dsactiver la protection contre Permettre aux utilisateurs d'activer et de les menaces rseau dsactiver la protection contre les menaces rseau Commande de menu Tester la scurit Permettre aux utilisateurs de raliser un rseau essai de scurit Configurer les paramtres de trafic IP non apparis Autorise le trafic d'IP ou seulement le trafic d'application, et invite l'utilisateur avant de permettre le trafic d'application Afficher les notifications de prvention d'intrusion
Pour plus d'informations sur l'emplacement de la console o configurer les options restantes dfinies sur Serveur, cliquez sur Aide. Pour activer les paramtres du pare-feu et de prvention d'intrusion, configurez-les dans la politique de pare-feu et la politique de prvention d'intrusion. Se reporter "Activation du filtrage de trafic intelligent" la page 537. Se reporter "Activation des paramtres de trafic et des paramtres furtifs" la page 538. Se reporter "Configuration de la prvention d'intrusion" la page 544.
5 6 7
Dans l'onglet Paramtres de l'interface utilisateur du client, slectionnez la case cocher de l'option de sorte que l'option soit disponible sur le client. Cliquez sur OK. Cliquez sur OK.
Affichage des fonctions dans l'interface utilisateur client Protection du client par mot de passe
185
Modifiez le niveau de commande d'utilisateur contrle mixte. Se reporter "Modification du niveau de contrle de l'utilisateur" la page 179.
Dans la bote de dialogue Paramtres de contrle de l'interface utilisateur du client pour nom d'emplacement, prs de Commande de serveur, cliquez sur Personnaliser. Dans la bote de dialogue Paramtres de l'interface utilisateur du client, slectionnez la case cocher d'une option de sorte que l'option s'affiche sur le client pour tre utilise. Cliquez sur OK. Cliquez sur OK.
4 5
Ouvrir l'interface utilisateur du client. arrter le client ; importer et exporter la politique de scurit ; dsinstaller le client.
Vous pouvez modifier des paramtres de protection par mot de passe seulement pour les sous-groupes qui n'hritent pas d'un groupe parent. Se reporter "A propos de l'accs l'interface client" la page 177. Pour protger le client par mot de passe :
1 2 3 4
Dans la console, cliquez sur Clients. Sous Afficher les clients, slectionnez le groupe pour lequel vous voulez installer la protection par mot de passe. Dans l'onglet Politiques, sous Politiques et paramtres indpendants de l'emplacement, cliquez sur Paramtres gnraux. Cliquez sur Paramtres de scurit.
186
Affichage des fonctions dans l'interface utilisateur client Protection du client par mot de passe
Dans l'onglet Paramtres de scurit, choisissez l'une des cases cocher suivantes :
Exiger un mot de passe pour l'ouverture de l'interface utilisateur du client Exiger un mot de passe pour l'arrt du service client Exiger un mot de passe pour l'importation et l'exportation des politiques Exiger un mot de passe pour la dsinstallation du client
Dans la zone de texte Mot de passe, saisissez le mot de passe. Le mot de passe est limit 15 caractres ou moins.
7 8
Dans la zone de texte Confirmer le mot de passe, saisissez le mot de passe de nouveau. Cliquez sur OK.
Chapitre
10
Gstion de la connexion entre les serveurs de gestion et les clients A propos des serveurs de gestion Ajout d'une liste de serveurs de gestion Spcification d'une liste de serveurs de gestion Modification de l'ordre de connexion des serveurs de gestion Assignation d'une liste de serveurs de gestion un groupe et un emplacement Affichage des groupes et des empacements auxquels une liste de serveurs de gestion est assigne Remplacement d'une liste de serveurs de gestion Copie et collage d'une liste de serveurs de gestion Exportation et importation d'une liste de serveurs de gestion Affichage de l'tat de sant du client dans la console de gestion Configurer des paramtres de communication pour un emplacement
188
Gestion de la communication entre les serveurs de gestion et les clients Gstion de la connexion entre les serveurs de gestion et les clients
Tche
Prendre connaissance des Vous pouvez prendre connaissance de la manire dont informations disponibles sur les les serveurs de gestion se connectent aux clients. serveurs de gestion et les listes Se reporter "A propos des serveurs de gestion" de serveurs de gestion la page 190. Opter ou non pour une utilisation Vous pouvez ajouter une liste de serveurs de gestion de la liste par dfaut des serveurs autre que la liste de serveurs de gestion par dfaut, puis de gestion la choisir. La liste de serveurs de gestion rpertorie les serveurs de gestion multiples auxquels les clients peuvent se connecter. Se reporter "Ajout d'une liste de serveurs de gestion" la page 191. Se reporter "Spcification d'une liste de serveurs de gestion" la page 192. Se reporter "Modification de l'ordre de connexion des serveurs de gestion" la page 193.
Gestion de la communication entre les serveurs de gestion et les clients Gstion de la connexion entre les serveurs de gestion et les clients
189
Tche
Description
Choisir comment tlcharger les Vous pouvez configurer le serveur de gestion de manire politiques et le contenu vers les telle ce qu'il tlcharge les politiques vers les clients clients ou de manire telle ce que les clients tlchargent les politiques partir du serveur de gestion. Se reporter "A propos de la mise jour des politiques sur les clients" la page 116. Se reporter "Configurer le mode de transfert ou le mode de traction pour mettre jour les politiques client et le contenu" la page 117. Vrifier le numro de srie de la Ces deux numros doivent correspondre si le client peut politique dans le client et dans la communiquer avec le serveur et reoit des mises jour console de gestion. rgulires de la politique. Vous pouvez effectuer une mise jour manuelle de la politique, puis vrifier les numros de srie de la politique en les comparant les uns aux autres. Se reporter "Mise jour manuelle de la politique pour vrifier le numro de srie de la politique" la page 119. Configurer les paramtres de communication d'un emplacement Vous pouvez configurer des paramtres de communication distincts pour un emplacement et un groupe. Se reporter "Configurer des paramtres de communication pour un emplacement" la page 199. Vrifiez que le client est connect Vous pouvez vrifier l'icne d'tat dans le client et dans au serveur de gestion la console de gestion. L'icne d'tat indique si le client et le serveur communiquent. Se reporter "Affichage de l'tat de sant du client dans la console de gestion" la page 197. Un ordinateur peut tre quip du logiciel client, mais non du fichier de communication correct. Se reporter "Convertir un client autonome en client gr." la page 70. Se reporter "Dploiement du logiciel client avec Rechercher les ordinateurs non grs" la page 133.
190
Gestion de la communication entre les serveurs de gestion et les clients A propos des serveurs de gestion
Tche
Rsoudre les problmes de connectivit avec le serveur de gestion
Description
Vous pouvez rsoudre les problmes de connexion entre le serveur de gestion et le client. Se reporter "Rsolution des problmes de communication entre le serveur de gestion et le client" la page 200.
Gestion de la communication entre les serveurs de gestion et les clients Ajout d'une liste de serveurs de gestion
191
1 2 3 4 5
Dans la console, cliquez sur Politiques. Dans la page Politiques, sous Afficher les politiques, cliquez sur Composants de politique > Listes de serveurs de gestion. Sous Tches, cliquez sur Ajouter une liste de serveurs de gestion. Dans la bote de dialogue Listes de serveurs de gestion, tapez un nom pour la liste de serveurs de gestion et une description facultative. Pour spcifier le protocole de communication utiliser entre les serveurs de gestion et les clients, slectionnez l'une des options suivantes :
192
Gestion de la communication entre les serveurs de gestion et les clients Spcification d'une liste de serveurs de gestion
Utiliser le protocole HTTP Utiliser le protocole HTTPS Utilisez cette option si vous voulez que les serveurs de gestion communiquent l'aide d'HTTPS et si le serveur excute Secure Sockets Layer (SSL).
Si vous exigez la vrification d'un certificat par une autorit de certificat tierce approuve, cochez Vrifier le certificat lors de l'utilisation du protocole HTTPS. Pour ajouter un serveur, cliquez sur Ajouter > Nouveau serveur. Dans la bote de dialogue Ajouter un serveur de gestion, saisissez l'adresse IP ou le nom d'hte du serveur de gestion dans la zone Adresse du serveur. Si vous voulez changer le numro du port du protocole HTTP ou HTTPS de ce serveur, procdez de l'une des manires suivantes :
7 8 9
Cochez Personnaliser numro de port HTTP et entrez un nouveau numro de port. Le numro de port par dfaut pour le protocole HTTP est 8014. Cochez Personnaliser numro de port HTTPS et entrez un nouveau numro de port. Par dfaut, le numro de port utilis pour le protocole HTTPS est 443. Si vous personnalisez les numros de port HTTP ou HTTPS aprs le dploiement des clients, les communications entre les clients et le serveur de gestion sont interrompues.
10 Cliquez sur OK. 11 Si vous voulez ajouter un serveur de gestion ayant une priorit diffrente de
celle du serveur de gestion que vous venez d'ajouter, cliquez sur Ajouter > Nouvelle priorit.
12 Rptez les tapes 7 10 pour ajouter des serveurs de gestion supplmentaires. 13 Dans la bote de dialogue Listes de serveurs de gestion, cliquez sur OK.
Gestion de la communication entre les serveurs de gestion et les clients Modification de l'ordre de connexion des serveurs de gestion
193
1 2 3
Dans la console, cliquez sur Clients. Dans la page Clients, sous Afficher les clients, slectionnez le groupe pour lequel vous souhaitez spcifier une liste de serveurs de gestion. Dans l'onglet Politiques, dsactivez l'option Hriter les politiques et les paramtres du groupe parent. Vous ne pouvez dfinir les paramtres de communication d'un groupe que si celui-ci n'hrite plus d'aucune politique ou paramtre d'un groupe parent.
4 5
Sous Politiques et paramtres indpendants de l'emplacement dans la zone Paramtres, cliquez sur Paramtres de communication. Dans les paramtres de communication du nom du groupe, sous Liste de serveurs de gestion, slectionnez la liste de serveurs de gestion de votre choix. Le groupe que vous slectionnez utilise ensuite cette liste de serveurs de gestion pour communiquer avec un serveur de gestion.
1 2 3
Dans la console, cliquez sur Politiques. Dans la page Politiques, sous Afficher les politiques, cliquez sur Composants de politique> Listes de serveurs de gestion. Dans le volet Listes de serveurs de gestion, slectionnez la liste pour laquelle vous souhaitez modifier l'ordre des serveurs.
194
Gestion de la communication entre les serveurs de gestion et les clients Assignation d'une liste de serveurs de gestion un groupe et un emplacement
4 5
Sous Tches, cliquez sur Modifier la liste. Dans la bote de dialogue Listes de serveurs de gestion, sous Serveurs de gestion, slectionnez l'adresse IP, le nom d'hte ou le niveau de priorit du serveur de gestion. Vous pouvez redfinir le niveau de priorit d'une adresse IP ou d'un nom d'hte. Si vous dcidez de modifier un niveau de priorit, toutes les adresses IP et tous les noms d'hte associs ce niveau de priorit sont automatiquement modifis.
6 7
Cliquez sur Vers le haut ou Vers le bas. Dans la bote de dialogue Listes de serveur de gestion, cliquez sur OK.
1 2 3 4 5
Dans la console, cliquez sur Politiques. Dans la page Politiques, sous Afficher les politiques, cliquez sur Composants de politique> Listes de serveurs de gestion. Dans le volet Listes de serveurs de gestion, slectionnez la liste de serveurs de gestion que vous souhaitez assigner. Sous Tches, cliquez sur Assigner la liste. Dans la bote de dialogue Appliquer la liste de serveurs de gestion, cochez les groupes et les emplacements auxquels vous souhaitez appliquer la liste de serveurs de gestion. Cliquez sur Assigner. Cliquez sur Oui dans l'invite qui s'affiche.
6 7
Gestion de la communication entre les serveurs de gestion et les clients Affichage des groupes et des empacements auxquels une liste de serveurs de gestion est assigne
195
Affichage des groupes et des empacements auxquels une liste de serveurs de gestion est assigne
Il est possible que vous souhaitiez afficher les groupes et les emplacements auxquels une liste de serveurs de gestion a t attribue. Se reporter "Assignation d'une liste de serveurs de gestion un groupe et un emplacement" la page 194. Pour afficher des groupes et des empacements auxquels une liste de serveurs de gestion est assigne
1 2 3 4
Dans la console, cliquez sur Politiques. Sur la page Politiques, sous Afficher les politiques, cliquez sur Composants de politique > Listes de serveurs de gestion. Dans le volet Listes de serveurs de gestion, slectionnez la liste de serveurs de gestion dont vous souhaitez afficher les groupes et les emplacements. Sous Tches, cliquez sur Afficher les groupes ou emplacements assigns. Les groupes ou emplacements qui sont assigns la liste de serveurs de gestion slectionne sont signals par un petit cercle vert contenant une coche blanche.
Dans la bote de dialogue nom de la liste de serveurs de gestion: Groupes et emplacements assigns, cliquez sur OK.
1 2 3 4
Dans la console, cliquez sur Politiques. Sur la page Politiques, sous Afficher les politiques, cliquez sur Composants de politique > Listes de serveurs de gestion. Dans le volet Listes de serveurs de gestion, slectionnez la liste de serveurs de gestion que vous souhaitez remplacer. Sous Tches, cliquez sur Remplacer la liste.
196
Gestion de la communication entre les serveurs de gestion et les clients Copie et collage d'une liste de serveurs de gestion
Dans la bote de dialogue Remplacer la liste de serveurs de gestion, slectionnez la nouvelle liste de serveurs de gestion depuis la Nouvelle liste droulante de serveurs de gestion. Cochez les groupes ou les emplacements auxquels vous souhaitez appliquer la nouvelle liste de serveurs de gestion. Cliquez sur Remplacer. Cliquez sur Oui dans l'invite qui s'affiche.
6 7 8
1 2 3 4 5
Dans la console, cliquez sur Politiques. Dans la page Politiques, sous Afficher les politiques, cliquez sur Composants de politique> Listes de serveurs de gestion. Dans le volet Listes de serveurs de gestion, slectionnez la liste copier. Sous Tches, cliquez sur Copier la liste. Sous Tches, cliquez sur Coller la liste.
1 2
Dans la console, cliquez sur Politiques. Dans la page Politiques, sous Afficher les politiques, cliquez sur Composants de politique> Listes de serveurs de gestion.
Gestion de la communication entre les serveurs de gestion et les clients Affichage de l'tat de sant du client dans la console de gestion
197
3 4 5 6 7
Dans le volet Listes de serveurs de gestion, slectionnez la liste exporter. Dans la page Politiques, sous Tches, cliquez sur Exporter la liste. Dans la bote de dialogue Exporter la politique, recherchez le dossier dans lequel vous souhaitez exporter le fichier de liste de serveurs de gestion. Cliquez sur Exporter. Si vous tes invit modifier le nom de fichier dans la bote de dialogue Exporter la politique, modifiez le nom du fichier, puis cliquez sur OK.
1 2 3 4 5
Dans la console, cliquez sur Politiques. Dans la page Politiques, sous Afficher les politiques, cliquez sur Composants de politique> Listes de serveurs de gestion. Sous Tches, cliquez sur Importer une liste de serveurs de gestion. Dans la bote de dialogue Importer la politique, recherchez le fichier de liste de serveurs de gestion importer, puis cliquez sur Importer. Si vous tes invit modifier le nom de fichier dans la bote de dialogue de saisie, modifiez le nom du fichier, puis cliquez sur OK.
Cette icne indique l'tat suivant : Le client ne peut pas communiquer avec Symantec Endpoint Protection Manager. Le client se trouve en mode Ordinateur.
Le client est susceptible d'avoir t ajout partir de la console et de ne disposer d'aucun logiciel client Symantec.
198
Gestion de la communication entre les serveurs de gestion et les clients Affichage de l'tat de sant du client dans la console de gestion
Icne
Description
Cette icne indique l'tat suivant : Le client peut communiquer avec Symantec Endpoint Protection Manager. Le client se trouve en mode Ordinateur.
Cette icne indique l'tat suivant : Le client ne peut pas communiquer avec Symantec Endpoint Protection Manager. Le client se trouve en mode Ordinateur.
Cette icne indique l'tat suivant : Le client peut communiquer avec Symantec Endpoint Protection Manager. Le client se trouve en mode Utilisateur.
Cette icne indique l'tat suivant : Le client ne peut pas communiquer avec Symantec Endpoint Protection Manager. Le client se trouve en mode Utilisateur.
Le client est susceptible d'avoir t ajout partir de la console et de ne disposer d'aucun logiciel client Symantec.
Cette icne indique l'tat suivant : Le client peut communiquer avec Symantec Endpoint Protection Manager sur un autre site. Le client se trouve en mode Ordinateur.
Cette icne indique l'tat suivant : Le client peut communiquer avec Symantec Endpoint Protection Manager sur un autre site. Le client se trouve en mode Ordinateur.
Cette icne indique l'tat suivant : Le client peut communiquer avec Symantec Endpoint Protection Manager sur un autre site. Le client se trouve en mode Utilisateur.
Se reporter "Ce que vous pouvez faire partir de la console" la page 42.
Gestion de la communication entre les serveurs de gestion et les clients Configurer des paramtres de communication pour un emplacement
199
1 2
Dans la console de gestion, la page Clients, sous Afficher les clients, slectionnez le groupe auquel le client appartient. Consultez l'onglet Clients. Le nom du client devrait apparatre dans la liste ct d'une icne qui affiche l'tat du client.
Le mode de commande dans lequel les clients sont excuts. La liste de serveurs de gestion que les clients utilisent. Le mode de tlchargement dans lequel les clients sont excuts. Si vous voulez qu'une liste de toutes les applications excutes sur des clients soit constitue et envoye au serveur de gestion. L'intervalle de battements que les clients utilisent pour des tlchargements. Si le serveur de gestion slectionne de faon alatoire ou non les tlchargements de contenu du serveur de gestion par dfaut ou de Fournisseur de mise jour groupe.
1 2
200
Gestion de la communication entre les serveurs de gestion et les clients Rsolution des problmes de communication entre le serveur de gestion et le client
Dans l'onglet Politiques, sous Politiques et paramtres dpendants de l'emplacement, sous un emplacement, dveloppez Paramtres spcifiques aux emplacements. A droite de Paramtresdecommunications, cliquez sur Tches, puis dcochez Utiliser paramtres de communication du groupe. Cliquez sur Tches, puis sur Modifier les paramtres. Dans Paramtres de communication pour la bote de dialogue nom de l'emplacement, modifiez les paramtres pour cet emplacement seulement. Cliquez sur OK.
4 5 6 7
Afficher les paramtres de Vous pouvez tlcharger et afficher le fichier de dpannage communication sur le client sur le client pour vrifier les paramtres de communication. Se reporter "Investigation des problmes de client" la page 202.
Gestion de la communication entre les serveurs de gestion et les clients Rsolution des problmes de communication entre le serveur de gestion et le client
201
Description
Vous pouvez mettre plusieurs commandes sur le client afin de tester la connectivit au serveur de gestion. Vous pouvez effectuer les tests suivants : Excutez une commande ping sur le serveur de gestion partir de l'ordinateur client. Se reporter "Utiliser la commande ping pour tester la connectivit du serveur de gestion" la page 202. Excutez une commande Telnet sur le serveur de gestion partir de l'ordinateur client. Se reporter "Utiliser Telnet pour tester la connectivit au serveur de gestion" la page 203. Utilisez un navigateur Web sur l'ordinateur client pour vous connecter au serveur de gestion. Se reporter "Utiliser un navigateur pour tester la connectivit au serveur de gestion" la page 203.
Vous devez vrifier qu'il n'y a aucun problme rseau en vrifiant les lments suivants : testez d'abord la connectivit entre le client et le serveur de gestion. Si l'ordinateur client ne peut pas excuter la commande ping ou telnet vers le serveur de gestion, vrifiez le service DNS pour le client. Vrifiez le chemin d'accs de routage du client.
Vrifiez que le serveur de gestion n'a pas de problme rseau. Vrifiez que le pare-feu Symantec Endpoint Protection (ou tout pare-feu tiers) ne pose aucun problme rseau.
Vrifier les journaux IIS sur Vous pouvez vrifier les journaux IIS sur le serveur de le serveur de gestion gestion. Les journaux peuvent vous aider dterminer si le client peut communiquer avec le serveur IIS sur l'ordinateur du serveur de gestion. Se reporter "Vrifier les journaux IIS sur le serveur de gestion" la page 205. Vrifier les journaux de dbogage sur le client Vous pouvez utiliser le journal de dbogage sur le client pour dterminer si le client a des problmes de communication. Se reporter "Vrification du journal de dbogage sur l'ordinateur client" la page 204.
202
Gestion de la communication entre les serveurs de gestion et les clients Rsolution des problmes de communication entre le serveur de gestion et le client
Description
Rcuprer la communication Si les clients ont perdu la communication avec un serveur client perdue de gestion, vous pouvez utiliser un outil pour rcuprer le fichier de communication. Se reporter "Rcuprer les paramtres de communication client en utilisant l'outil SylinkDrop" la page 205.
1 2 3 4
Sur l'ordinateur client, ouvrez le client. Dans le client, cliquez sur Aide, puis cliquez sur Dpannage. Dans le client, sous Donnes de dpannage, cliquez sur Exporter. Dans la bote de dialogue Enregistrer sous, acceptez le nom de fichier de dpannage par dfaut ou saisissez un nouveau nom de fichier et puis cliquez sur Enregistrer. Vous pouvez enregistrer le fichier sur le bureau ou dans un dossier de votre choix.
En utilisant un diteur de texte, ouvrez Troubleshooting.txt pour examiner le contenu. Contactez avec le support technique de Symantec pour l'aide. Le support technique de Symantec pourrait vous demander d'envoyer par courrier lectronique le fichier de Troubleshooting.txt.
Gestion de la communication entre les serveurs de gestion et les clients Rsolution des problmes de communication entre le serveur de gestion et le client
203
1 2
Sur le client, ouvrez une invite de commandes. Tapez la commande ping. Par exemple : ping nom o nom est le nom d'ordinateur du serveur de gestion. Vous pouvez utiliser l'adresse IP du serveur au lieu du nom de l'ordinateur. Dans l'un ou l'autre cas, la commande devrait renvoyer l'adresse IP correcte du serveur. Si la commande ping ne retourne pas l'adresse exacte, vrifiez le service DNS pour le client et vrifiez son chemin d'accs de routage.
1 2
Sur l'ordinateur client, ouvrez un navigateur Web, tel qu'Internet Explorer. Dans la ligne de commande de navigateur, entrez une commande semblable l'une ou l'autre des commandes suivantes : http://adresse IP du serveur de gestion:8014/reporting/index.php Si la page Web de rapport de connexion s'affiche, le client peut communiquer avec le serveur de gestion. http://nom du serveur de gestion:8014/secars/secars.dll?secars,hello Si la page Symantec Endpoint Protection Manager s'affiche, le client peut communiquer avec le serveur de gestion.
Si aucune page Web ne s'affiche, recherchez les problmes rseau. Vrifiez le service DNS pour le client et son chemin d'accs de routage.
204
Gestion de la communication entre les serveurs de gestion et les clients Rsolution des problmes de communication entre le serveur de gestion et le client
Remarque : Vous pourriez devoir rgler vos rgles de filtrage de sorte que l'ordinateur client puisse mettre une commande telnet dans le serveur de gestion. Se reporter "Rsolution des problmes de communication entre le serveur de gestion et le client" la page 200. Pour utiliser Telnet pour tester la connectivit au serveur de gestion
1 2
Sur l'ordinateur client, assurez-vous que le service Telnet est activ et dmarr. Ouvrez une invite de commande et entrez la commande Telnet. Par exemple : telnet adresse IP:80 o l'adresse IP est celle du serveur de gestion. Si la connexion Telnet choue, vrifiez le service DNS du client et vrifiez son chemin d'accs de routage.
Dans le client, dans le menu Aide et support, dans la bote de dialogue Dpannage, vous pouvez cliquer sur Modifier les paramtres de journal de dbogage et taper un nom pour le journal. Vous pouvez alors cliquer sur Afficher le journal. Vous pouvez utiliser le registre Windows pour activer le dbogage dans le client. Vous pouvez trouver la cl de registre Windows dans l'emplacement suivant : HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC\smc_debuglog_on
Gestion de la communication entre les serveurs de gestion et les clients Rsolution des problmes de communication entre le serveur de gestion et le client
205
dpanner la communication entre client et serveur. Vous pouvez trouver les journaux dans le rpertoire de journal de la bote de rception sur le serveur de gestion. Se reporter "Rsolution des problmes de communication entre le serveur de gestion et le client" la page 200. Pour vrifier les journaux de bote de rception sur le serveur de gestion
Sur le serveur de gestion, sous HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SEPM, dfinissez la valeur de DebugLevel sur 3. Typiquement, la bote de rception apparat dans l'emplacement suivant sur l'ordinateur de serveur de gestion :
\Program Files\Symantec\Symantec Endpoint Protection Manager\data\ inbox\log
Vous pouvez ouvrir les journaux avec une application de texte telle que Bloc-notes.
Sur le serveur de gestion, allez au rpertoire de fichiers journaux IIS. Un chemin d'accs typique au rpertoire est : \WINDOWS\system32\LogFiles\W3SVC1
2 3
Ouvrez le fichier journal le plus rcent avec une application de texte telle que Bloc-notes. Par exemple, le nom de fichier de journal peut tre ex070924.log. Examinez les messages de journal. Le fichier doit inclure les messages GET et POST.
206
Gestion de la communication entre les serveurs de gestion et les clients Rsolution des problmes de communication entre le serveur de gestion et le client
communication avec un serveur de gestion, vous devez remplacer le vieux fichier Sylink.xml par un nouveau fichier. L'outil SylinkDrop remplace automatiquement le fichier Sylink.xml sur l'ordinateur client par un nouveau fichier Sylink.xml. Lorsque vous excutez l'outil SylinkDrop, il peut galement effectuer les tches suivantes :
Migrer ou dplacer les clients vers un nouveau domaine ou le serveur de gestion. Restaurer les ruptures de communication sur le client ne pouvant pas tre corriges sur le serveur de gestion. Dplacer un client d'un serveur un autre serveur n'tant pas un partenaire de rplication. Dplacer un client d'un domaine un autre. Convertir un client autonome en client gr. Convertir un client gr en client autonome.
Vous pouvez utiliser Enregistrer un script avec l'outil pour modifier des paramtres de communication pour de grands nombres de clients. Se reporter "Rsolution des problmes de communication entre le serveur de gestion et le client" la page 200. Pour rcuprer les paramtres de communication client en utilisant l'outil SylinkDrop
Dans la console, exportez le fichier de liaison du groupe qui se connecte au serveur de gestion auquel vous voulez que l'ordinateur client se connecte. Se reporter "Convertir un client autonome en client gr." la page 70.
2 3
Dployez le fichier de liaison vers l'ordinateur client. Sur le disque 3 du CD d'installation, localisez le dossier \Tools\NoSupport\SylinkDrop et ouvrez SylinkDrop.exe. Vous pouvez excuter l'outil distance ou l'enregistrer et puis l'excuter sur l'ordinateur client. Si vous utilisez l'outil sur la ligne de commande, lisez le fichier SylinkDrop.txt pour une liste des paramtres de commande des outils.
4 5 6 7
Dans la bote de dialogue Sylink Drop, cliquez sur Parcourir et localisez le fichier .xml dploy l'tape 2 vers l'ordinateur client. Cliquez sur Mettre jour Sylink. Si une bote de dialogue de confirmation s'affiche, cliquez sur OK. Dans la bote de dialogue de Sylink Drop, cliquez sur Quitter.
Chapitre
11
Surveillance de la protection de terminal A propos des diffrentes mthodes d'accs aux fonctions de cration de rapports A propos de Reporting A propos de la page d'accueil de Symantec Endpoint Protection Configuration des Rapports sur les favoris dans la page d'accueil A propos de l'utilisation des liens Security Response Utilisation de la page Symantec Network Access Control Accueil Utiliser l'onglet Rsum de la page Contrleurs Configuration des prfrences de rapport Elimination des virus et des risques de scurit Recherche des clients hors ligne
208
Symantec Endpoint Protection Manager vous permet d'effectuer les tches suivantes pour protger les ordinateurs de votre rseau. Tableau 11-1 Tche Tches de surveillance de la protection de terminal Description
Surveillance de l'tat de Vous pouvez afficher des informations sur la distribution des scurit du rseau dfinitions de virus, des liens vers Symantec Security Response et des liens vers vos rapports prfrs. Vous pouvez effectuer les tches suivantes pour obtenir l'tat de scurit des ordinateurs client :
Affichez le nombre de virus et d'autres risques pour la scurit dtects et consultez-en les informations dtailles. Se reporter "A propos de la page d'accueil de Symantec Endpoint Protection" la page 215. Affichez un graphique des risques, des attaques ou des infections par heure. Affichez le nombre d'ordinateurs non protgs du rseau et consultez-en les informations dtailles. Affichez les distributions de dfinitions de virus et de prvention d'intrusion pour les 12 dernires heures. Affichez galement les dates de la dernire version des dfinitions partir de Symantec et sur Symantec Endpoint Protection Manager. Affichez un rcapitulatif du nombre d'ordinateurs client protgs Se reporter "Utiliser l'onglet Rsum de la page Contrleurs" la page 227.
Procdez comme suit pour dterminer quels ordinateurs requirent une protection supplmentaire : Affichez les journaux d'vnements. Se reporter "A propos des journaux" la page 287. Se reporter "Affichage des journaux" la page 296. Excutez des rapports prdfinis et personnalisables avec les donnes obtenues des clients par le serveur de gestion. Se reporter "A propos de Reporting" la page 213. Se reporter "Cration de rapports rapides" la page 274. Planifiez l'envoi rgulier par courrier lectronique aux autres administrateurs des rapports sur l'tat de la scurit. Se reporter "Cration et suppression de rapports planifis" la page 279.
Surveillance de la protection de terminal A propos des diffrentes mthodes d'accs aux fonctions de cration de rapports
209
Tche
Protection des ordinateurs client
Description
Vous pouvez envoyer des commandes partir de la console pour protger les ordinateurs client. Supprimez les risques affectant la scurit des ordinateurs client. Se reporter "Elimination des virus et des risques de scurit" la page 233. Affichez les clients hors ligne. Se reporter "Recherche des clients hors ligne" la page 238. Excutez des commandes sur le client partir de la console. Se reporter "Excuter des commandes et des actions partir des journaux" la page 304.
Vous pouvez crer et configurer des notifications qui seront dclenches lorsque certains vnements affectant la scurit se produisent. Vous pouvez par exemple dfinir l'envoi d'une notification toute tentative d'intrusion sur un ordinateur client. Se reporter "A propos de l'utilisation de notifications" la page 312. Se reporter "Affichage et filtrage des informations de notification administrateur" la page 313. Se reporter "Cration des notifications d'administrateur" la page 314.
210
Surveillance de la protection de terminal A propos des diffrentes mthodes d'accs aux fonctions de cration de rapports
Remarque : Les informations du prsent document supposent que vous utilisez la console pour accder aux fonctions de rapport plutt qu'un navigateur Web. Les procdures d'utilisation des fonctions de cration de rapports sont similaires, quelle que soit la manire dont vous y accdez. Cependant, certaines procdures expliquant plus spcifiquement comment utiliser les fonctions de cration de rapports dans un navigateur autonome ne sont pas documentes : seule la mthode de connexion l'aide d'un navigateur Web autonome est explique. Se reporter "Ouverture d'une session de rapport depuis un navigateur Web autonome" la page 211. Se reporter "Connexion la console Symantec Endpoint Protection Manager." la page 39. Pour accder aux fonctions de rapport par l'une ou l'autre mthode, vous devez avoir Internet Explorer 6.0 ou suprieur. Les autres navigateurs Web ne sont pas pris en charge. Vous pouvez galement utiliser la console ou un navigateur Web pour afficher des rapports en cas de connexion par l'intermdiaire d'une session de terminal distance. Les pages de rapport et de journal s'affichent toujours dans la langue avec laquelle le serveur de gestion a t install. Pour afficher ces pages quand vous utilisez une console distante ou un navigateur, vous devez disposer de la police approprie sur l'ordinateur que vous utilisez. Pour accder aux rapports depuis un navigateur Web, vous devez avoir les informations suivantes :
Adresse IP ou nom d'hte du serveur de gestion. Nom et mot de passe de compte pour le gestionnaire.
Quand vous utilisez un navigateur Web pour accder des fonctions de rapport, aucune page ni icne de page n'est dans l'affichage. Tous les onglets prsents sur la page d'accueil et les pages Contrleurs et Rapports se trouvent en haut de la fentre du navigateur. Vous pouvez accder l'aide contextuelle en cliquant sur le lien En savoir plus, qui se trouve dans les pages de la console contenant des fonctions de cration de rapports. Se reporter "Modification du port utilis pour accder l'aide contextuelle pour le rapport" la page 211.
Surveillance de la protection de terminal A propos des diffrentes mthodes d'accs aux fonctions de cration de rapports
211
1 2
Ouvrez un navigateur Web. Tapez URL de rapport dans la zone de texte d'adresse en respectant le format suivant : http://nom serveur:port /reporting/index.php?
Lorsque la bote de dialogue de connexion s'affiche, tapez votre nom d'utilisateur et votre mot de passe, puis cliquez sur Ouvrir une session. Si vous disposez de plusieurs domaines, saisissez le nom du domaine dans la zone de texte Domain.
1 2
Modifiez le rpertoire du lecteur:\Program Files\Symantec\Symantec Endpoint Protection Manager\Inetpub\Reporting\Resources. Ouvrez le fichier de configuration Reporter.php avec un diteur.
212
Surveillance de la protection de terminal A propos des diffrentes mthodes d'accs aux fonctions de cration de rapports
Ajoutez la ligne suivante au fichier et remplacez numro de port par le numro de port que vous avez utilis quand vous avez install l'aide de rapport. $scm_http_port=numro de port
Placer le rpertoire l'emplacement de votre fichier d'htes. Par dfaut, le fichier d'htes se trouve dans %SystemRoot%\system32\drivers\etc
2 3
Ouvrir le fichier d'htes avec un diteur. Ajouter la ligne suivante au fichier d'htes : xxx.xxx.xxx.xxx localhost #pour vous connecter aux fonctions de notification o vous remplacez xxx.xxx.xxx.xxx par l'adresse IP de votre ordinateur. Vous pouvez ajouter un commentaire aprs le symbole de la livre (#). Par exemple, vous pouvez taper la ligne suivante : 192.168.1.100 localhost # cette entre est pour mon ordinateur de console
213
A propos de Reporting
Les fonctions de Reporting fournissent toutes les informations dont vous avez besoin pour contrler et grer la scurit de votre rseau. La page Accueil de la console Symantec Endpoint Protection Manager affiche des graphiques automatiquement cres contenant des informations sur les vnements importants rcemment survenus dans votre rseau. Vous pouvez utiliser les filtres de la page Rapports pour crer des rapports prdfinis ou personnaliss. La page Rapports vous permet galement d'afficher des reprsentations graphiques et des statistiques des vnements survenant au sein de votre rseau. Les filtres de la page Contrles vous permettent d'afficher des informations (issues des fichiers journaux) plus dtailles et en temps rel sur le rseau. Tableau 11-2 Tche
Surveiller l'tat de scurit en utilisant la page d'accueil (Symantec Endpoint Protection et Symantec Network Access Control)
Gnrer des rapports rapides rapports rapides prdfinis et rapports graphiques (Symantec Endpoint personnalisables avec plusieurs options de filtrage Protection et Symantec configurables ; Network Access Control) Se reporter "Au sujet des rapports rapides" la page 269. Gnrer des rapports possibilit de planifier les rapports envoyer par courrier planifis (Symantec Endpoint lectronique aux destinataires intervalles rguliers Protection et Symantec Se reporter "A propos des rapports planifis" la page 278. Network Access Control)
214
Tche
Afficher les rapports rcapitulatifs (Symantec Endpoint Protection seulement)
Description
Vues rcapitulatives des rapports affichant l'tat de l'antivirus et de l'analyse proactive des menaces TruScan, de la protection contre les menaces rseau, de la conformit et de l'tat de site. Se reporter "Utiliser l'onglet Rsum de la page Contrleurs" la page 227.
Signaler les excutions comme des applications Web sur la console. L'application utilise un serveur Web pour fournir ces informations. Vous pouvez galement accder aux fonctions de Reporting partir de tout navigateur Web autonome tant connect votre serveur de gestion. Se reporter "A propos des diffrentes mthodes d'accs aux fonctions de cration de rapports" la page 209. Se reporter "A propos des rapports pouvant tre excuts" la page 242.
215
Comment les rapports exploitent les journaux stocks dans la base de donnes
Symantec Endpoint Protection collecte et lit les vnements qui se produisent sur votre rseau partir des journaux des serveurs de gestion stocks dans la base de donnes. Il peut s'agir d'une base de donnes Microsoft SQL existante de votre rseau ou de la base de donnes intgre avec le logiciel de rapports. La base de donnes doit tre entretenue en fonction des rapports. Se reporter "A propos de la gestion des vnements de journal dans la base de donnes" la page 404. Vous pouvez obtenir le schma de base de donnes que Symantec Endpoint Protection utilise pour crer vos propres rapports l'aide de logiciels tiers. Pour plus d'informations sur le schma de base de donnes, tlchargez la Rfrence du schma de base de donnes la plus rcente partir du site de documentation de Symantec Endpoint Protection.
216
Tableau 11-3
217
nombre d'actions entreprises sur des virus et des risques de scurit ; incidence de nouvelles dtections de virus et de risques de scurit ; nombre d'ordinateurs toujours infects par des virus et des risques de scurit.
Le rsum des actions par nombre d'ordinateurs contient les informations suivantes : nombre d'ordinateurs distincts sur lesquels les diverses actions ont t excutes sur des virus et des risques de scurit ; nombre total de nouvelles dtections de virus et de risques de scurit ;
nombre total d'ordinateurs restant infects par des virus et des risques de scurit.
Par exemple, supposez que vous avez cinq actions de nettoyage dans la vue du nombre de dtections. Si toutes les dtections se sont produites sur le mme ordinateur, la vue du nombre d'ordinateurs indique alors la valeur 1 plutt que 5. Pour obtenir un rapport dtaill pour l'une des actions, cliquez sur le nombre de virus ou de risques de scurit. Tout risque de scurit indique qu'une analyse proactive des menaces TruScan a dtect un lment suspect requrant votre attention. Cet lment peut tre inoffensif ou non. Si vous constatez que ce risque est inoffensif, vous pouvez utiliser la politique d'exceptions centralises pour l'exclure des dtections l'avenir. Si vous avez configur les analyses proactives des menaces TruScan pour consigner et que vous dterminez que ce risque est nocif, vous pouvez utiliser la politique d'exceptions centralises pour le terminer ou le mettre en quarantaine. Si vous avez utilis les paramtres d'analyse proactive de menace TruScan par dfaut, alors Symantec Endpoint Protection ne peut pas rsoudre le risque. Si vous constatez que ce risque est nocif, vous devez le supprimer manuellement.
218
219
Vous pouvez modifier l'affichage en cliquant sur une nouvelle vue dans la zone de liste.
220
Le moteur antivirus est dsactiv. Auto-Protect est dsactiv. La protection contre les interventions est dsactive.
Les ordinateurs ncessitent un redmarrage pour finir de rsoudre un risque ou d'installer un logiciel LiveUpdate tlcharg. Les ordinateurs ont chou une vrification de l'intgrit d'hte. Ce nombre est toujours gal zro si Symantec Network Access Control n'est pas install. Les ordinateurs qui ne se sont pas authentifis auprs du serveur de gestion. Vous pouvez cliquer sur chaque nombre sous Ordinateurs pour afficher les dtails. En outre, le nombre de notifications sans accus de rception survenues au cours des dernires 24 heures apparat comme lien au-dessous du Rsum de l'tat. Cliquez sur le lien pour ouvrir la fentre Notifications. Se reporter "Affichage et filtrage des informations de notification administrateur" la page 313. Distribution des dfinitions de virus | La section Distribution des dfinitions de virus et Distrib.signature de Signatures de prvention d'intrusion prvention d'intrusion de la page d'accueil affiche comment les dfinitions de virus et les signatures IPS actuelles sont distribues. Vous pouvez passer d'une section l'autre en cliquant sur une nouvelle vue dans la zone de liste.
221
La liste Dtection d'application commerciale La liste des dtections proactives forces de menaces TruScan (c'est--dire votre liste personnalise d'applications surveilles).
Vous pouvez cliquer sur un nombre pour afficher un rapport plus dtaill. Rapports sur les favoris La section Rapports sur les favoris contient trois rapports par dfaut. Vous pouvez personnaliser cette section en remplaant un ou plusieurs de ces rapports par n'importe quel autre rapport par dfaut ou personnalis de votre choix. Les rapports sur les favoris s'excutent chaque fois que vous les affichez de sorte que leurs donnes soient toujours pertinentes. Ils s'affichent dans une nouvelle fentre. Pour slectionner les rapports auxquels vous souhaitez accder depuis la page d'accueil, vous pouvez cliquer sur l'icne Plus (+) en regard de Rapports sur les favoris. Se reporter "Configuration des Rapports sur les favoris dans la page d'accueil" la page 222.
Vous pouvez cliquer sur Prfrences sous Etat de la scurit pour modifier la priode des rapports et des rsums qui s'affichent sur ces pages. Le paramtre par dfaut est Dernires 12 heures. Vous pouvez galement choisir l'option
222
Surveillance de la protection de terminal Configuration des Rapports sur les favoris dans la page d'accueil
Dernires 24 heures. Vous pouvez modifier les rapports par dfaut qui sont affichs dans la section Rapports sur les favoris de la page d'accueil.
Principales sources d'attaque Corrlation des principales dtections de risque Distribution des menaces - Protection proactive TruScan
Remarque : Lorsque vous personnalisez l'affichage, c'est uniquement l'affichage du compte utilisateur actuellement connect qui est personnalis. Les paramtres que vous configurez sur cette page sont conservs d'une session l'autre. A votre prochaine connexion la console avec les mmes coordonnes utilisateurs, ces paramtres seront utiliss dans la page d'accueil. Tableau 11-4 dcrit les options d'affichage de la page d'accueil.
Surveillance de la protection de terminal Configuration des Rapports sur les favoris dans la page d'accueil
223
Tableau 11-4
Les rapports sur les favoris de la page d'accueil offrent diverses options Dfinition
Indique les types de rapport disponibles. Symantec Endpoint Protection fournit les types de rapports suivants :
Option
Type de rapport
Contrle des applications et des priphriques Audit Conformit Etat d'ordinateur Protection contre les menaces rseau Risque Analyse Systme
Nom du rapport
Rpertorie les noms des rapports disponibles pour le type de rapport que vous avez slectionn. Si vous avez sauvegard des filtres pour le rapport que vous avez slectionn, ils apparaissent dans cette zone de liste. Le filtre par dfaut est toujours rpertori.
Filtre
Se reporter "A propos de la page d'accueil de Symantec Endpoint Protection" la page 215. Pour configurer les rapports sur les favoris de la page d'accueil
1 2 3 4 5
Cliquez sur Domicile. Cliquez sur l'icone en forme de signe plus en regard de Rapports sur les favoris. Dans la zone de liste du rapport que vous souhaitez modifier, cliquez sur un type de rapport. Par exemple, cliquez sur Risque. Dans la zone de liste suivante, cliquez sur le nom du rapport appropri. Par exemple, cliquez sur Distribution des risques dans le temps. Si vous avez sauvegard des filtres pour le rapport que vous avez slectionn, slectionnez celui que vous souhaitez utiliser ou slectionnez le filtre par dfaut.
224
6 7
Rptez ces oprations pour les deuximes et troisime liens de rapport, si vous le souhaitez. Cliquez sur OK. Les liens de rapport que vous avez slectionns apparaissent sur votre page d'accueil.
1 - Normal Aucune activit d'incident de rseau ni aucune activit de code malveillant avec un indique de risque lev ou modr. Sous des conditions normales, seul un fonctionnement de scurit de routine conu pour protger des menaces de rseau normales est ncessaire. Vous pouvez utiliser les systmes automatiss et les mcanismes de notification. 2 - Elev Des activits d'attaque sont prvues ou ont t constates, sans qu'aucun vnement particulier ne se soit produit. Cette valuation est utilise lorsqu'un code malveillant atteint un indice de risque modr. Si le niveau de risque est moyen, un examen soigneux des systmes vulnrables et exposs se montre alors plus appropri. Les applications de scurit doivent tre mises jour avec de nouvelles signatures et rgles ds que ces dernires sont disponibles. Un contrle mticuleux des journaux est recommand, mais aucune modification de l'infrastructure de scurit en cours n'est requise. 3 Elev Ce niveau indique qu'une menace isole affectant l'infrastructure informatique est prsente ou qu'un code malveillant a atteint un indice de risque svre. Si le niveau de risque est lev, une surveillance accrue est ncessaire. Les applications de scurit doivent tre mises jour avec de nouvelles signatures et rgles ds que ces dernires sont disponibles. Le redploiement et la reconfiguration des systmes de scurit est recommand. 4 - Extrme
225
Ce niveau indique qu'une activit d'incident rseau globale extrme a t dtecte. La mise en uvre de mesures contre ce niveau de menace pendant une priode prolonge risque d'entraner des problmes et d'affecter le fonctionnement de l'infrastructure rseau. Pour plus d'informations sur les niveaux de menace, cliquez sur le lien Symantec pour afficher le site Web de Symantec. Remarque : Chaque risque de scurit peut tre compris entre 1 et 5. Chaque lien affiche une page dans une nouvelle fentre. Tableau 11-5 dcrit les liens Security Response. Tableau 11-5 Lien
Alertes de scurit
Symantec
Affiche le site Web de Symantec. Vous pouvez obtenir des informations concernant les risques et les risques de scurit, le tlchargement des dfinitions de virus et des informations rcentes concernant les produits de scurit Symantec. Affiche la page de tlchargement des dfinitions de virus du site Web de Symantec. Affiche le site Web de Symantec Security Response, qui fournit les informations les plus rcentes sur les dernires menaces, ainsi que des conseils de scurit. Affiche le site Web de Security Focus, qui fournit des informations sur les derniers virus.
Dfinitions
Dernires menaces
Security Focus
Se reporter "A propos de la page d'accueil de Symantec Endpoint Protection" la page 215.
226
Surveillance de la protection de terminal Utilisation de la page Symantec Network Access Control Accueil
Echec d'tat de conformit du rseau La section Echec d'tat de conformit du rseau fournit un clich de la conformit globale de votre rseau pour la priode configure. Elle affiche les clients qui ont tent de se connecter au rseau mais n'ont pas pu parce qu'ils sont non conformes. Distribution d'tat de conformit Affiche les clients qui ont chou la vrification d'intgrit de l'hte qui s'excute sur leur ordinateur. Ce rsum affiche le taux d'chec de la spcification de conformit globale. Elle contient un diagramme barres reprsentant le nombre de stations de travail uniques, par type d'vnement d'chec de contrle. Des exemples des types d'vnement d'chec de contrle sont un problme d'antivirus, de pare-feu ou de VPN.
227
Rsum
Dtails d'chec de conformit
Description
Fournit un histogramme plus dtaill que le rsum Clients par chec de conformit. Par exemple, supposons que le rsum Clients par chec de conformit montre dix clients avec un chec de conformit d'antivirus. Par opposition, ce rapport affiche les dtails suivants : Quatre clients ne contiennent aucun logiciel antivirus actuellement en fonctionnement. Deux clients n'ont aucun logiciel antivirus install. Quatre clients ont des fichiers de dfinitions de virus prims.
Si seul Symantec Network Access Control est install, les rapports de la page Accueil ne sont pas personnalisables, l'exception d'un paramtre : la priode couverte par les rapports et les rsums. Vous pouvez modifier la priode en utilisant le lien Prfrences. Les options sont la semaine passe et les dernires 24 heures. Remarque : Si vous tes administrateur systme, vous voyez des informations travers les domaines. Si vous tes administrateur limit avec des droits d'accs un seul domaine, vous ne voyez que des informations issues de ce domaine.
Antivirus et menace proactive TruScan Protection contre les menaces rseau Conformit Etat du site
228
Analyses proactives des menaces TruScan Distribution des risques Nouveaux risques Distribution des risques par source Distribution des risques par attaquant Distribution des risques par groupe
Principales cibles attaques par groupe Types d'vnements d'attaque Principales sources dattaque Evnements de scurit par gravit
229
Vue rsume
Conformit
Contenu
La vue Conformit contient les informations suivantes :
Echec d'tat de conformit du rseau Rpartition de l'tat de conformit Rsum des clients par dfaut de conformit Dtails du dfaut de conformit
Etat du site Principaux gnrateurs d'erreurs par serveur Principaux gnrateurs d'erreurs par client Echecs de rplication dans le temps Principaux gnrateurs d'erreurs par Enforcer
Si Symantec Network Access Control est le seul install sur votre ordinateur, vous devez tenir compte des informations suivantes :
La vue Conformit dcrite dans la section Tableau 11-7 comprend votre page d'Accueil. La vue Etat de site est la seule vue disponible sur l'onglet Rsum.
Vous pouvez cliquer sur les diagrammes circulaires de l'onglet Rsum pour afficher plus de dtails. Pour le rsum Principales cibles attaques par sous Protection contre les menaces rseau, utilisez la zone de liste pour afficher le rcapitulatif par groupes, sous-rseaux, clients ou ports. Remarque : Si votre ordinateur comporte uniquement Symantec Endpoint Protection, les diagrammes de la vue rcapitulative Conformit sont vides. Si votre ordinateur comporte uniquement Symantec Network Access Control, l'onglet Rsum contient uniquement la vue Etat de site. Vous pouvez afficher les informations rcapitulatives de Conformit sur la page d'Accueil.
230
1 2
Dans la fentre principale, cliquez sur Contrleurs. Dans la partie suprieure de l'onglet Rsum, dans la zone de liste Type de rsum, slectionnez le type de vue afficher.
Les pages Accueil et Contrles affichent des options Les seuils de l'tat de la scurit Les options d'affichage qui sont utilises pour les journaux et les rapports, ainsi que le chargement du fichier journal hrit
Pour plus d'informations concernant les options de prfrence configurables, vous pouvez cliquer sur Aide dans chaque onglet de la bote de dialogue Prfrences. Pour configurer des prfrences de rapport
1 2
Depuis la console, dans la page d'accueil, cliquez sur Prfrences. Cliquez sur l'un des onglets suivants, selon le type de prfrences que vous voulez dfinir :
Domicile et Contrles Se reporter "A propos des options d'affichage Domicile et Contrles" la page 230. Etat de la scurit Se reporter "Configuration des seuils d'tat de scurit" la page 231. Journaux et rapports Se reporter "Configuration des journaux et des prfrences de rapports" la page 232.
3 4
Dfinissez les valeurs des options que vous voulez modifier. Cliquez sur OK.
L'unit de temps qui est utilise pour les rapports dans la page d'accueil et dans l'onglet Vue rsume de la page Contrles
231
La frquence d'actualisation automatique de la page d'accueil et de l'onglet Vue rsume de la page Contrles L'ampleur des notifications qui sont incluses au nombre de notifications sans accus de rception dans la page d'accueil Le contenu du rsum des actions dans la page d'accueil
Par dfaut, vous consultez les informations des dernires 24 heures, mais vous pouvez consulter celles de la semaine coule si vous le souhaitez. Vous pouvez galement configurer la frquence d'actualisation automatique de la page d'accueil et de l'onglet Vue rsume de la page Contrles. Les valeurs valides vont de jamais toutes les 5 minutes. Remarque : Pour configurer la frquence d'actualisation des diffrents journaux, vous pouvez afficher le journal que vous voulez consulter. Ensuite, vous pouvez slectionner la frquence que vous voulez dans la zone de liste d'actualisation automatique de la vue de ce journal. Si vous tes un administrateur systme, vous pouvez configurer le nombre de la page d'accueil pour n'inclure que les notifications que vous avez cres mais qui n'ont pas d'accus de rception. Par dfaut, les administrateurs systme voient le nombre total de notifications sans accus de rception, quel que soit le crateur des notifications. Si vous tes un administrateur limit, le nombre des notifications sans accus de rception ne compte que celles que vous avez cres vous-mme sans accus de rception. Vous pouvez configurer le Rsum des actions dans la page d'accueil pour afficher selon le nombre de dtections sur les ordinateurs ou selon le nombre d'ordinateurs. Se reporter "A propos de la page d'accueil de Symantec Endpoint Protection" la page 215. Pour obtenir la description de ces options d'affichage, consultez l'aide contextuelle de l'onglet Domicile et Contrles. Vous pouvez accder l'aide contextuelle partir du lien Prfrences de la page d'accueil. Se reporter "Configuration des prfrences de rapport" la page 230.
232
pourcentage des ordinateurs avec des dfinitions de virus primes qui dclenche un tat de scurit mdiocre. Vous pouvez galement dfinir l'ge (en jours) que doivent avoir les dfinitions pour tre considres comme tant primes. Symantec Endpoint Protection dtermine ce qui est jour quand il calcule, comme suit, si les signatures ou les dfinitions sont primes. Sa norme est base sur les dfinitions de virus les plus jour et sur les dates de signature d'IPS disponibles sur le serveur de gestion sur lequel la console s'excute. Remarque : Si vous avez install uniquement Symantec Network Access Control, vous ne disposerez pas de l'onglet Etat de la scurit permettant la configuration des seuils de scurit. Pour obtenir la description de ces options d'affichage, consultez l'aide contextuelle de l'onglet Etat de la scurit. Vous pouvez accder l'aide contextuelle partir du lien Prfrences de la page d'accueil. Se reporter "Configuration des prfrences de rapport" la page 230. Pour configurer des seuils d'tat de scurit
1 2
Depuis la console, dans la page d'accueil, cliquez sur Prfrences. Dans l'onglet Etat de la scurit, slectionnez les lments que vous voulez inclure dans les critres qui dterminent l'tat global de scurit de la page d'accueil. Pour chaque lment, tapez le numro vous voulez pour dclencher un tat Attention requise.. Cliquez sur OK.
3 4
Le format de date et le sparateur de date qui sont utiliss pour l'affichage de la date Le nombre de lignes, le fuseau horaire et le format de l'adresse IP qui sont utiliss pour l'affichage du tableau L'affichage du filtre dans les rapports et les notifications La disponibilit des donnes du journal des ordinateurs du rseau qui excutent le logiciel Symantec Antivirus 10.x
233
Pour obtenir la description de ces options d'affichage, consultez l'aide contextuelle de l'onglet Journaux et Rapports. Vous pouvez accder l'aide contextuelle partir du lien Prfrences de la page d'accueil. Remarque : Le format d'affichage de la date que vous dfinissez ici ne s'applique pas aux dfinitions de virus les dates et aux versions qui s'affichent dans des colonnes du tableau. Ces lments utilisent toujours le format A-M-J. Se reporter "Configuration des prfrences de rapport" la page 230.
Identifiez tous les ordinateurs client infects Se reporter "Identification des ordinateurs ou les ordinateurs en danger. infects et risque" la page 234. Dterminez pourquoi les ordinateurs sont infects ou en danger Vous pouvez vrifier pour vous assurer que les ordinateurs ont Symantec Endpoint Protection install et configur correctement. Vous pouvez excuter des mises jour et des analyses pour vrifier que vous consultez la liste d'infections et de risques la plus rcente. Se reporter "Mise jour des dfinitions et ranalyse" la page 237.
234
Etape
Rsolvez l'infection ou le risque
Description
La remdiation dpend du type d'infection ou du risque. La correction peut se faire de l'une des manires suivantes : Passer en revue les actions associes aux analyses et refaire une analyse des ordinateurs infects ou en danger. Se reporter "Modification d'une action et ranalyse des ordinateurs identifis" la page 235. Se reporter "Redmarrage des ordinateurs ncessitant un redmarrage pour terminer la rsolution" la page 236. Examiner et nettoyer les risques restants. Se reporter "A propos de l'tude et du nettoyage des risques restants" la page 236. Eliminez tous les vnements suspects (clients Windows seulement). Se reporter "Elimination d'un vnement suspect" la page 237.
Dans la console, cliquez sur Accueil et consultez le rsum des actions. Si vous tes un administrateur systme, les compteurs du nombre d'ordinateurs nouvellement infects et du nombre d'ordinateurs encore infects de votre site sont affichs. Si vous tes un administrateur de domaine, les compteurs du nombre d'ordinateurs nouvellement infects et du nombre d'ordinateurs encore infects de votre domaine sont affichs. Le compteur Encore infect est un sous-ensemble du compteur Nouvellement infect. Le compteur Encore infect diminue mesure que vous liminez les risques de votre rseau. Les ordinateurs sont encore infects si une analyse ultrieure les signale comme infects. Par exemple, si Symantec Endpoint Protection n'a nettoy un risque que partiellement sur un ordinateur, Auto-Protect dtecte toujours le risque.
235
3 4 5
Dans la zone de liste Type de rapport, cliquez sur Risque. Dans la zone de liste Slectionner un rapport, cliquez sur Ordinateurs infects et risque. Cliquez sur Crer un rapport et notez les listes des ordinateurs infects et risque qui apparaissent.
1 2
Dans la console, cliquez sur Contrles. Dans l'onglet Journaux, slectionnez le journal des risques, puis cliquez sur Afficher le journal. La colonne des vnements du journal des risques affiche ce qui s'est produit et l'action qui a t effectue. La colonne Nom du risque affiche les noms des risques qui sont toujours actifs. La colonne Utilisateur du groupe de domaine affiche le groupe auquel appartient l'ordinateur. Si un client est risque parce qu'une analyse a effectu l'action Laiss tel quel, vous devrez peut-tre modifier la politique antivirus et antispyware pour le groupe. La colonne Ordinateur affiche les noms des ordinateurs qui contiennent encore des risques actifs. Se reporter "Configuration des actions pour des dtections connues de virus et de risque de scurit sur les clients Windows" la page 466. Si votre politique est configure pour utiliser le mode de transfert, elle est transfre aux clients du groupe au prochain battement. Se reporter "Configurer le mode de transfert ou le mode de traction pour mettre jour les politiques client et le contenu" la page 117.
236
4 5
Dans l'onglet Journaux, slectionnez le journal d'tat de l'ordinateur, puis cliquez sur Afficher le journal. Si vous avez modifi une action et transfr une nouvelle politique, slectionnez les ordinateurs qui doivent tre ranalyss avec les nouveaux paramtres. De la zone de liste Commande, slectionnez Analyse, puis cliquez sur Dmarrer pour ranalyser les ordinateurs. Vous pouvez contrler l'tat de la commande Analyse partir de l'onglet Etat de la commande.
Dans le journal des risques, consultez la colonne Redmarrage requis. Il se peut qu'un risque ait t partiellement nettoy de certains ordinateurs, mais les ordinateurs ncessitent toujours un redmarrage pour terminer la rsolution.
2 3
Slectionnez dans la liste les ordinateurs qui ncessitent un redmarrage. Dans la zone de liste Commande, slectionnez Redmarrer les ordinateurs, puis cliquez sur Dmarrer. Vous pouvez contrler l'tat de la commande Redmarrer les ordinateurs partir de l'onglet Etat de la commande.
237
Se reporter "Cration d'une politique de contrle des applications et des priphriques" la page 611. ou vous devrez dconnecter l'ordinateur du rseau, supprimer des fichiers et des cls de registre Windows et arrter les processus manuellement.
238
Pour les ordinateurs restants affichs, consultez la colonne Date des dfinitions. Si certains ordinateurs ont des dfinitions de virus primes, slectionnez ces ordinateurs. Dans la zone de liste Commande, slectionnez Mettre jour le contenu et analyser, puis cliquez sur Dmarrer. Vous pouvez contrler l'tat de la commande Mettre jour le contenu et analyser partir de l'onglet Etat de la commande.
Cliquez sur Accueil et consultez les nombres dans les lignes Encore infect et Nouvellement infect du rsum des actions. Si les compteurs sont zro, vous avez limin les risques. Si les compteurs ne sont pas zro, vous devez tudier les risques restants.
Excutez le rapport rapide d'tat des ordinateurs Ordinateurs non contrls dans le serveur pour consulter l'tat en ligne. Configurez et excutez une version personnalise de ce rapport pour consulter les ordinateurs d'un groupe ou d'un site particulier. Affichez le Journal d'tat des ordinateurs, qui contient l'adresse IP de l'ordinateur et l'heure de la dernire authentification.
Se reporter "A propos des rapports pouvant tre excuts" la page 242. Un client peut tre hors ligne pour un certain nombre de raisons. Vous pouvez identifier les ordinateurs qui sont hors ligne et rsoudre ces problmes d'un certain nombre de manires. Si le module Symantec Network Access Control est install, vous pouvez utiliser les options de filtre de conformit pour personnaliser le rapport rapide Ordinateurs non contrls dans le serveur. Vous pouvez alors utiliser ce rapport pour connatre les raisons spcifiques pour lesquelles les ordinateurs ne sont pas sur le rseau. Vous pouvez alors rsoudre les problmes existants. Vous pouvez filtrer selon les problmes de conformit suivants :
La version de l'antivirus de l'ordinateur est prime. Le logiciel antivirus de l'ordinateur n'est pas en cours d'excution.
239
1 2 3 4 5
Dans la console, cliquez sur Clients. Dans l'onglet Journaux, partir de la liste Type de journal, cliquez sur Etat de l'ordinateur. Cliquez sur Paramtres avancs. Dans la liste Etat connect, cliquez sur Hors ligne. Cliquez sur Afficher le journal. Par dfaut, une liste des ordinateurs qui sont hors ligne pour les dernires 24 heures apparat. La liste inclut le nom de chaque ordinateur, l'adresse IP et la dernire authentification auprs de son serveur. Vous pouvez rgler l'intervalle de temps pour afficher les ordinateurs hors ligne pour l'intervalle que vous voulez consulter.
240
Chapitre
12
A propos des rapports pouvant tre excuts A propos de l'affichage des rapports Au sujet des rapports rapides Cration de rapports rapides Enregistrement et suppression des filtres de rapports rapides A propos des rapports planifis Cration et suppression de rapports planifis Modification du filtre utilis pour un rapport planifi A propos de l'utilisation du filtre Dernires 24 heures dans les rapports et les journaux A propos de l'utilisation des filtres qui recherchent des groupes dans les rapports et les journaux Impression et enregistrement d'une copie d'un rapport A propos de l'utilisation de SSL avec les fonctions de notification Points importants quant l'utilisation des rapports
242
Affichage et configuration des rapports A propos des rapports pouvant tre excuts
Contrle des applications et Affiche des informations sur les vnements o un certain des priphriques type de comportement a t bloqu. Ces rapports incluent des informations sur les alertes de scurit des applications, les cibles bloques et les priphriques bloqus. Les cibles bloques peuvent tre des cls de registre de Windows, des dll, des fichiers et des processus. Se reporter "A propos des informations des rapports et des journaux Contrle d'application et Contrle de priphrique" la page 245. Conformit Affiche des informations sur l'tat de conformit de votre rseau. Ces rapports incluent des informations sur les serveurs Enforcer, les clients Enforcer, le trafic d'Enforcer et la conformit de l'hte. Se reporter " A propos des informations dans les rapports et les journaux de conformit " la page 246.
Affichage et configuration des rapports A propos des rapports pouvant tre excuts
243
Type de rapport
Etat de l'ordinateur
Description
Affiche des informations sur l'tat oprationnel des ordinateurs prsents sur votre rseau, telles que les ordinateurs dont les fonctions de scurit sont dsactives. Ces rapports incluent des informations sur les versions, les clients qui ne se sont pas authentifis auprs du serveur, l'inventaire client et l'tat connect. Se reporter "A propos des informations dans les rapports et le journal d'tat de l'ordinateur" la page 248.
Affiche des informations sur la prvention d'intrusion, les attaques enregistres sur le pare-feu ainsi que le trafic et les paquets de pare-feu. Les rapports de protection contre les menaces rseau vous permettent de suivre l'activit d'un ordinateur ainsi que son interaction avec d'autres ordinateurs et rseaux. Ils enregistrent des informations sur le trafic qui tente d'entrer ou de sortir sur les ordinateurs par leurs connexions rseau. Se reporter "A propos des informations dans les rapports et les journaux de protection contre les menaces rseau" la page 252.
Risque
Affiche des informations sur les vnements de risque enregistrs sur vos serveurs de gestion et leurs clients. Il inclut des informations sur les analyses proactives des menaces TruScan. Se reporter "A propos des informations dans les rapports et le journal des risques" la page 256. Se reporter "A propos des informations figurant dans les rapports et les journaux d'analyse proactive des menaces TruScan" la page 255.
Analyse
Affiche des informations sur l'activit d'analyse antivirus et antispyware. Se reporter "A propos des informations dans les rapports et le journal d'analyse" la page 260.
Systme
Affiche des informations sur l'heure des vnements, les types d'vnement, les sites, les domaines, les serveurs et les niveaux de gravit. Se reporter "A propos des informations dans les rapports et les journaux systme" la page 262.
244
Affichage et configuration des rapports A propos des rapports pouvant tre excuts
Vous pouvez configurer les paramtres de base et les paramtres avancs pour tous les rapports afin de mieux cibler les donnes afficher. Vous pouvez modifier les rapports prdfinis et enregistrer votre configuration. Vous pouvez galement enregistrer votre filtre personnalis en lui attribuant un nom diffrent de manire ce que le mme rapport personnalis puisse s'excuter ultrieurement. Vous pouvez galement supprimer vos configurations personnalises si vous n'avez plus besoin d'elles. Les paramtres de filtre actifs sont indiqus dans le rapport si vous avez configur le journal et les prfrences du rapport de manire ce que les filtres soient inclus dans le rapport. Si votre rseau comprend plusieurs domaines, de nombreux rapports vous permettent d'afficher des donnes sur tous les domaines, sur un site ou sur plusieurs sites. Par dfaut, les rapports rapides affichent tous les domaines, groupes, serveurs, etc., selon le rapport que vous souhaitez crer. Se reporter "Au sujet des rapports rapides" la page 269. Se reporter "Cration de rapports rapides" la page 274. Remarque : Certains rapports prdfinis contiennent des informations qui sont obtenues de Symantec Network Access Control. Si vous n'avez pas achet ce produit, mais que vous excutez l'un des rapports de ce produit, le rapport est vide.
Remarque : Si vous avez uniquement install Symantec Network Access Control, un nombre important de rapports sont vides. Les rapports Contrle des applications et des priphriques, Protection contre les menaces rseau, Risque et Analyse ne contiennent pas de donnes. Les rapports Conformit et Audit contiennent des donnes, de mme que certains des rapports Etat de l'ordinateur et Systme. Se reporter "Configuration des journaux et des prfrences de rapports" la page 232. Lorsque vous crez un rapport, celui-ci apparat dans une nouvelle fentre. Vous pouvez enregistrer une copie du rapport au format d'archivage Web ou en imprimer une copie. Le fichier enregistr ou le rapport imprim fournit un clich des donnes actuelles de votre base de donnes Rapport et vous permet ainsi de conserver un enregistrement historique. Vous pouvez galement crer des rapports planifis, lesquels sont automatiquement gnrs en fonction de la planification que vous avez configure. Vous devez dfinir les filtres qui devront tre appliqus au rapport ainsi que
Affichage et configuration des rapports A propos des rapports pouvant tre excuts
245
l'heure laquelle le rapport devra s'excuter. Une fois le rapport termin, il est envoy par courrier lectronique un ou plusieurs destinataires. Les rapports planifis s'excutent toujours par dfaut. Vous pouvez modifier les paramtres des rapport planifis tant que ceux-ci n'ont pas encore t excuts. Vous pouvez galement supprimer un rapport planifi ou l'ensemble de ces rapports. Se reporter "A propos des rapports planifis" la page 278. Se reporter "Cration et suppression de rapports planifis" la page 279.
A propos des informations des rapports et des journaux Contrle d'application et Contrle de priphrique
Les journaux et les rapports Contrle d'applications et contrle de priphriques incluent des informations sur les politiques de contrle d'applications et contrle de priphriques et la protection contre les interventions. Les journaux contiennent des informations sur les types d'vnements suivants :
Les fichiers, les cls de registre Windows et les processus sont des exemples d'entits d'ordinateur. Tableau 12-2 dcrit les cas d'utilisation les plus courants pour le type d'informations que vous pouvez obtenir avec les rapports et les journaux de contrle des applications et des priphriques.
246
Affichage et configuration des rapports A propos des rapports pouvant tre excuts
Tableau 12-2
Rapport ou journal
Utilisations standard
rapport Principauxgroupesavec Utilisez ce rapport pour vrifier quels groupes sont les plus vulnrables dans le plus grand nombre d'alertes votre rseau. du contrle d'application Rapport de Principales cibles bloques Rapport des principaux priphriques bloqus Journal de Contrle d'applications Ce rapport permet de vrifier les fichiers, les processus et autres entits utiliss le plus souvent dans des attaques contre votre rseau. Ce rapport prsente un graphique sectoriel et une barre relative indiquant les priphriques les plus souvent bloqus lors de leur accs au rseau. Utilisez ce journal pour consulter des informations sur les entits suivantes :
Actions effectues en rponse aux vnements Processus impliqus dans les vnements Noms des rgles appliques par la politique lorsque l'accs d'une application est bloqu Vous pouvez dcider d'ajouter un fichier la politique d'Exceptions centralises en raison d'un vnement dans le journal Contrle de l'application. Se reporter "Cration d'exceptions centralises partir des vnements de journal" la page 658.
Utilisez ce journal lorsque vous devez consulter des dtails de contrle de priphrique, tels que le moment exact o le contrle de priphrique a activ ou dsactiv des priphriques. Ce journal affiche galement des informations comme le nom de l'ordinateur, son emplacement, l'utilisateur qui tait connect et le systme d'exploitation impliqu.
Se reporter "A propos des rapports pouvant tre excuts" la page 242.
Affichage et configuration des rapports A propos des rapports pouvant tre excuts
247
Tableau 12-3 dcrit les cas d'utilisation les plus courants pour le type d'informations que vous pouvez obtenir avec les rapports et les journaux de conformit. Tableau 12-3 Rapport ou journal
Rapport de l'Etat de conformit du rseau
Utilisations standard
Ce rapport permet d'examiner la conformit globale, de voir si des clients n'ont pas russi aux vrifications d'intgrit de l'hte ou l'authentification ou s'ils ont t dconnects. Utilisez ce rapport pour voir le nombre total de clients qui ont russi ou chou une vrification d'intgrit de l'hte dans votre rseau. Utilisez ce rapport pour voir les raisons gnrales des vnements d'chec de contrle, tels que les antivirus, le pare-feu ou VPN.
Rapport des Dtails de l'chec de Utilisez ce rapport pour obtenir un niveau de dtail suprieur sur les checs de conformit conformit. Il affiche les critres et la rgle impliqus dans chaque chec. Il comprend le pourcentage de clients qui ont t dploys et le pourcentage des clients qui ont chou. Par exemple, le rsum d'chec de conformit peut afficher dix checs de client dus au logiciel antivirus. En revanche, les dtails d'chec de conformit affichent les informations suivantes : Quatre clients ne contiennent pas de logiciel antivirus actuellement en fonctionnement. Deux clients ne comportent pas de logiciel antivirus.
Ce rapport contient un tableau indiquant les vnements d'chec de conformit. Ces vnements s'affichent sous forme de groupes en fonction de leur emplacement. Ce rapport indique les ordinateurs individuels qui ont rat le contrle de conformit, le pourcentage d'chec total et les checs par emplacement. Utilisez ce journal pour obtenir des informations sur des vnements de conformit d'Enforcer, le nom d'Enforcer impliqu, son site et son serveur. Ce journal contient notamment les informations suivantes :
Quels modules d'application Enforcer n'ont pas pu s'inscrire sur leur serveur
Quels modules d'application Enforcer ont reu avec succs des tlchargements de politiques et du fichier de communication sylink.xml Indique si le serveur des Enforcers a reu les journaux des Enforcers.
248
Affichage et configuration des rapports A propos des rapports pouvant tre excuts
Rapport ou journal
Journal Enforcer Client
Utilisations standard
Utilisez ce journal pour voir quels clients ont russi ou rat les vrifications d'intgrit de l'hte, ont t authentifis ou rejets, ou ont t dconnects du rseau. Utilisez ce journal pour obtenir des informations sur le trafic traversant Enforcer. Les informations disponibles incluent :
La direction du trafic Le moment o le trafic a commenc et le moment o il s'est termin Le protocole utilis Les adresses IP source et cible utilises Le port utilis La longueur de paquet (en octets) Les tentatives de connexions autorises ou bloques.
Ce journal s'applique uniquement aux modules d'application Gateway Enforcer. Journal de conformit d'hte Utilisez ce journal pour examiner des informations spcifiques sur des vnements de conformit particuliers. De tels vnements incluent la raison, l'utilisateur impliqu et le nom du systme d'exploitation impliqu.
Se reporter "A propos des rapports pouvant tre excuts" la page 242.
Affichage et configuration des rapports A propos des rapports pouvant tre excuts
249
Utilisations standard
Utilisez ce rapport pour vous assurer que tous les groupes, domaines ou serveurs de votre rseau utilisent des versions jour de fichiers de dfinitions de virus. Ce rapport affiche les versions de fichier de dfinitions de virus utilises sur l'ensemble du rseau ainsi que le nombre et le pourcentage d'ordinateurs utilisant chaque version. Il contient un graphique sectoriel, un tableau et des barres relatives.
Utilisez ce rapport pour trouver les ordinateurs qui ne se sont pas connects un serveur et pourraient donc tre perdus ou manquants. Il affiche galement l'adresse IP de l'ordinateur, l'heure de sa dernire authentification et l'utilisateur qui tait connect ce moment-l. Utilisez ce rapport pour vrifier les versions du logiciel Symantec Endpoint Protection, des dfinitions de virus, des signatures d'IPS et du contenu de la protection proactive en service dans votre rseau. Il comprend galement le domaine et le serveur de chacun de ces produits, ainsi que le nombre et le pourcentage d'ordinateurs associs chacun. Il contient un graphique sectoriel et des barres relatives. Avec ces informations vous pouvez identifier exactement les ordinateurs ncessitant une mise jour.
Utilisez ce rapport pour vous assurer que tous les groupes du rseau utilisent des signatures jour pour la prvention d'intrusion. Vous pouvez galement identifier les domaines ou les serveurs prims. Il contient un graphique sectoriel et des barres relatives. Utilisez ce rapport pour vrifier le nombre et le pourcentage d'ordinateurs dans certaines catgories de matriel et de logiciel. Ce rapport comprend les graphiques suivants, sachant que les barres relatives prsentent le nombre total d'ordinateurs et le pourcentage de chacun :
Systme d'exploitation Mmoire totale Mmoire libre Espace disque total Espace disque libre Type de processeur
Par exemple, dans le rapport d'inventaire client, vous pouvez constater que 22 % d'ordinateurs ont moins de 1 Go d'espace disque disponible.
250
Affichage et configuration des rapports A propos des rapports pouvant tre excuts
Rapport ou journal
Utilisations standard
Rapport de distribution de l'tat Utilisez ce rapport, compos d'un graphique sectoriel et de barres relatives pour de conformit afficher les russites et les checs de conformit par groupe ou par sous-rseau. Il affiche le nombre d'ordinateurs et le pourcentage d'ordinateurs conformes. Vous pouvez vouloir tudier si certains groupes semblent rencontrer plus de problmes de conformit que d'autres. Rapport de l'Etat de connexion du Utilisez ce rapport pour savoir quels groupes ou sous-rseaux ont le plus grand client pourcentage de clients en ligne. Ce rapport contient des graphiques sectoriels et des barres relatives pour chaque groupe et sous-rseau. L'expression "En ligne" dsigne les cas de figure suivants : Pour les clients en mode 'push', "en ligne" signifie que les clients sont actuellement connects au serveur. Pour les clients en mode 'pull', "en ligne" signifie que les clients ont contact le serveur au cours des deux derniers battements du client. Pour les clients des sites distants, "en ligne" signifie que les clients taient en ligne au moment de la dernire rplication.
Vous pouvez devoir tudier pourquoi certains groupes ou sous-rseaux rencontrent actuellement plus de problmes que d'autres. Rapport rapide des Clients avec la politique la plus rcente Utilisez ce rapport pour voir le nombre d'ordinateurs et le pourcentage d'ordinateurs sur lesquels la dernire politique est applique.
Rapport planifi de la distribution Ce rapport contient des graphiques sectoriels et des barres relatives pour chaque des clients par politique groupe et sous-rseau. Rapport du nombre de clients par Utilisez ce rapport pour connatre le nombre total de clients et d'utilisateurs groupe par groupe. Si vous utilisez plusieurs domaines, ces informations sont indiques en fonction de chaque domaine. Rapport du Rsum de l'tat de la Utilisez ce rapport pour connatre rapidement le nombre total d'ordinateurs qui scurit ont les problmes suivants :
Auto-Protect est dsactiv Le moteur antivirus est dsactiv La protection contre les interventions est dsactive L'ordinateur doit redmarrer L'ordinateur a rat une vrification d'intgrit de l'hte La protection contre les menaces rseau est dsactive
Affichage et configuration des rapports A propos des rapports pouvant tre excuts
251
Rapport ou journal
Utilisations standard
Rapport des versions du contenu Utilisez ce rapport pour vrifier les versions du contenu de Protection proactive de protection utilises travers le rseau dans un seul rapport. Un graphique sectoriel est affich pour chaque type de protection. Les types de contenu suivants sont disponibles :
Versions de Decomposer Versions du moteur Eraser Versions du Contenu de l'analyse proactive des menaces TruScan Versions du Moteur d'analyse proactive des menaces TruScan Version de la liste d'applications commerciales Versions du moteur du gestionnaire de contenu proactif Versions de la liste des applications autorises Les nouveaux types de contenu que Symantec Security Response a ajouts
Utilisez ce rapport pour consulter l'tat de migration des clients par domaine, groupe et serveur. Vous pouvez identifier rapidement les clients pour lesquels la migration a russi, chou ou n'a pas encore dmarr.
Rapport Dploiement logiciel du Utilisez ce rapport pour suivre la progression des dploiements de packages client (clichs) rapport client. Ces informations de clichs permettent de connatre la vitesse de progression des dploiements et d'identifier les clients partiellement dploys. Ce rapport n'est disponible qu'en tant que rapport planifi. Rapport Clients en ligne/hors ligne dans le temps Rapport (de clichs) Ce rapport n'est disponible qu'en tant que rapport planifi. Rapport Clients ayant la dernire Utilisez ce rapport pour dterminer les clients qui ne rcuprent pas les mises politique dans le temps (clichs) jour de politique assez frquemment. Ce rapport n'est disponible qu'en tant que rapport planifi. Rapport Clients non conformes dans le temps (clichs) Ce rapport n'est disponible qu'en tant que rapport planifi. Rapport de dploiement des dfinitions de virus (clichs) Ce rapport n'est disponible qu'en tant que rapport planifi. Utilisez ce rapport pour consulter la liste des versions de packages de dfinition de virus dployes vers les clients. Utilisez ce rapport pour dterminer les clients qui ratent frquemment les vrifications d'intgrit de l'hte. Utilisez ce rapport pour dterminer les clients qui ne se connectent pas au rseau assez frquemment.
252
Affichage et configuration des rapports A propos des rapports pouvant tre excuts
Rapport ou journal
Journal d'tat de l'ordinateur
Utilisations standard
Vrifiez le journal d'Etat de l'ordinateur pour plus de dtails sur les domaines couverts par les rapports.
Se reporter "A propos des rapports pouvant tre excuts" la page 242.
A propos des informations dans les rapports et les journaux de protection contre les menaces rseau
Les rapports et les journaux de protection contre les menaces rseau permettent de surveiller l'activit d'un ordinateur et son interaction avec d'autres ordinateurs et rseaux. Ils enregistrent des informations sur le trafic qui tente d'entrer ou de sortir des ordinateurs par leurs connexions rseau. Les journaux de protection contre les menaces rseau contiennent des dtails sur les attaques contre le pare-feu, tels que les informations suivantes :
Attaques par dni de service Analyses de port Modifications des fichiers excutables
Les journaux deprotection contre les menaces rseau collectent des informations sur la prvention d'intrusion. Ils contiennent galement des informations sur les connexions tablies travers le pare-feu (trafic), les cls de registre Windows, les fichiers et les DLL utiliss. Ils contiennent des informations sur les paquets de donnes qui traversent les ordinateurs. Les modifications oprationnelles apportes aux ordinateurs sont galement consignes dans ces journaux. Ces informations peuvent inclure le moment de dmarrage ou d'arrt des services ou le moment auquel quelqu'un configure le logiciel. Parmi les autres types d'informations pouvant tre disponibles figurent des lments tels que le moment et le type d'vnement et la mesure prise. Elles peuvent galement inclure la direction, le nom d'hte, l'adresse IP et le protocole utilis pour le trafic impliqu. Si elles s'appliquent l'vnement, les informations peuvent galement inclure le niveau de gravit. Tableau 12-5 dcrit les cas d'utilisation les plus courants pour le type d'informations que vous pouvez obtenir avec les rapports et les journaux de protection contre les menaces rseau.
Affichage et configuration des rapports A propos des rapports pouvant tre excuts
253
Tableau 12-5
Rsum des rapports rapides et des journaux de protection contre les menaces rseau
Rapport ou journal
Rapport des principales cibles attaques
Utilisations standard
Utilisez ce rapport pour identifier les groupes, sous-rseaux, ordinateurs ou ports frquemment attaqus. Ce rapport comprend des informations telles que le nombre et le pourcentage d'attaques, le type et la gravit des attaques et la distribution des attaques. Vous pouvez vouloir prendre des mesures bases sur ce rapport. Par exemple, vous pouvez constater que les clients connects par l'intermdiaire d'un VPN sont attaqus beaucoup plus frquemment. Vous pouvez vouloir regrouper ces ordinateurs de manire pouvoir leur appliquer une politique de scurit plus rigoureuse.
Utilisez ce rapport pour identifier quels htes attaquent le rseau le plus souvent. Ce rapport contient un graphique sectoriel et des barres relatives indiquant les principaux htes qui se trouvent l'origine d'une attaque contre le rseau. Ce rapport comprend des informations telles que le nombre et le pourcentage d'attaques, le type et la gravit des attaques et la distribution des attaques. Utilisez ce rapport pour identifier les types d'attaque dirigs sur votre rseau le plus souvent. Les types d'attaque possibles que vous pouvez contrler incluent les analyses de port, les attaques par dni de service et les usurpations MAC. Ce rapport prsente un graphique sectoriel et des barres relatives. Il comprend des informations telles que le nombre et le pourcentage d'vnements. Il comprend galement le groupe et la gravit, ainsi que le type et le nombre d'vnements par groupe.
Rapport des principales applications bloques Rapport des applications bloques dans le temps
Utilisez ces rapports ensemble pour identifier les applications utilises le plus souvent pour attaquer le rseau. Vous pouvez galement vrifier si les applications utilises pour les attaques ont chang dans le temps. Le rapport Principales applications bloques se compose d'un graphique sectoriel et de barres obliques qui affichent les applications qui n'ont pas pu accder au rseau. Ce rapport comprend des informations telles que le nombre et le pourcentage d'attaques, le groupe et la gravit des attaques et la distribution des attaques par groupe. Le rapport des applications bloques dans le temps se compose d'un graphique sectoriel et d'un tableau. Il indique le nombre total d'applications qui n'ont pas pu accder au rseau pendant une priode que vous devez spcifier. Il comprend l'heure des vnements ainsi que le nombre et le pourcentage d'attaques. Vous pouvez afficher les informations pour tous les ordinateurs ou par groupe, par adresse IP, par systme d'exploitation ou par utilisateur.
254
Affichage et configuration des rapports A propos des rapports pouvant tre excuts
Rapport ou journal
Rapport des attaques dans le temps
Utilisations standard
Utilisez ce rapport pour identifier les groupes, les adresses IP, les systmes d'exploitation et les utilisateurs qui sont attaqus le plus souvent dans votre rseau. Utilisez-le pour identifier galement le type d'attaque le plus frquent sur le rseau. Ce rapport contient un ou plusieurs graphiques linaires indiquant les attaques au cours de la priode slectionne. Par exemple, si l'intervalle spcifi correspond au mois prcdent, le rapport affiche le nombre total d'attaques par jour pour le mois pass. Il comprend le nombre et le pourcentage d'attaques. Vous pouvez afficher les attaques pour tous les ordinateurs ou par systme d'exploitation, par utilisateur, par adresse IP, par groupe ou par type d'attaque.
Utilisez ce rapport pour obtenir un rsum de la gravit des vnements de scurit dans votre rseau. Ce rapport se compose d'un graphique sectoriel indiquant le nombre total et le pourcentage d'vnements de scurit sur votre rseau, classs par ordre de gravit.
Rapport des principales notifications de trafic Rapport des notifications de trafic dans le temps
Ces rapports affichent le nombre d'attaques qui ont viol les rgles de filtrage configures pour vous informer des violations. Utilisez-les pour savoir quels groupes sont les plus exposs aux attaque par le pare-feu. Ce rapport contient un graphique sectoriel et des barres relatives indiquant le groupe ou le sous-rseau ainsi que le nombre et le pourcentage de notifications. Il indique le nombre de notifications relatives des violations de rgle de filtrage que vous avez configures comme devant tre notifie. Les rgles prises en compte sont celles o l'option Envoyer une alerte par message lectronique a t coche dans la colonne Consignation de la liste des rgles de politique de pare-feu. Vous pouvez afficher toutes les informations, les informations du journal Trafic ou du journal Journal de Paquets, regroups par sous-rseaux ou groupes principaux. Le rapport des notifications de trafic dans le temps se compose d'un graphique linaire. Il indique le nombre de notifications relatives des violations de rgle de filtrage. Les rgles prises en compte sont celles o l'option Envoyer une alerte par message lectronique a t coche dans la colonne Consignation de la liste des rgles de politique de pare-feu. Vous pouvez afficher les informations pour tous les ordinateurs ou par groupe, par adresse IP, par systme d'exploitation ou par utilisateur.
Affichage et configuration des rapports A propos des rapports pouvant tre excuts
255
Rapport ou journal
Rapport du rapport complet
Utilisations standard
Utilisez ce rapport pour consulter au mme endroit les informations qui apparaissent dans tous les rapports rapides de la protection contre les menaces rseau. Ce rapport fournit les informations de protection contre les menaces rseau suivantes :
Principaux types dattaques Cibles principales attaques par groupe Cibles principales attaques par sous-rseau Cibles principales attaques par client Principales sources dattaques Principales notifications de trafic par groupe (trafic) Principales notifications de trafic par groupe (paquets) Principales notifications de trafic par sous-rseau (trafic) Principales notifications de trafic par sous-rseau (paquets)
Utilisez ce journal si vous avez besoin d'informations plus dtailles sur une attaque spcifique qui s'est produite. Utilisez ce journal si vous avez besoin de plus d'informations sur un vnement de trafic ou un type de trafic spcifique qui traverse votre pare-feu. Utilisez ce journal si vous avez besoin de plus d'informations sur un paquet spcifique. Vous pouvez vouloir examiner des paquets pour tudier en dtail un vnement de scurit rpertori dans un rapport.
Journal de trafic
Journal de paquets
Se reporter "A propos des rapports pouvant tre excuts" la page 242.
A propos des informations figurant dans les rapports et les journaux d'analyse proactive des menaces TruScan
Tableau 12-6 dcrit les cas d'utilisation les plus courants pour le type d'informations que vous pouvez obtenir avec les rapports et les journaux d'analyse proactive contre les menaces TruScan.
256
Affichage et configuration des rapports A propos des rapports pouvant tre excuts
Tableau 12-6
Rsum des rapports et des journaux d'analyse proactive contre les menaces TruScan
Rapport ou journal
Utilisations standard
Rapport Rsultats de la dtection Utilisez le rapport Rsultats de dtection de l'analyse proactive contre les proactive de menaces TruScan menaces TruScan pour consulter les informations suivantes : (sous Rapports de risques) Une liste des applications tiquetes comme tant risque que vous avez Rapport Dtection proactive de ajoutes vos exceptions comme acceptables sur le rseau. menaces TruScan dans le temps Une liste des applications dtectes comme prsentant un risque confirm. (situe sous Rapports de risques) Une liste des applications dtectes mais dont l'tat de risque n'est pas encore confirm. Utilisez la fonction Dtection proactive de menaces TruScan dans le temps pour savoir si les menaces dtectes par les analyses proactives de menaces TruScan ont t modifies dans le temps. Rapport de distribution proactive Utilisez ce rapport pour les raisons suivantes : des menaces TruScan (situ sous Pour savoir quelles applications issues de la liste des applications Rapports des risques) commerciales et de la liste des dtections forces sont le plus souvent dtectes. Pour savoir quelle action a t entreprise en rponse la dtection. Pour dterminer si des ordinateurs spcifiques de votre rseau sont attaqus plus frquemment par ce vecteur. Pour obtenir des dtails sur l'application ayant provoqu l'attaque.
Utilisez ce journal pour obtenir des informations plus dtailles sur des vnements spcifiques de dtection proactive de menaces. Il peut s'agir par exemple du nom de l'utilisateur qui tait connect quand la dtection s'est produite. Vous pouvez galement utiliser des commandes de ce journal afin d'ajouter des entits lgitimes telles que des fichiers, des dossiers, des extensions et des processus la politique d'exceptions centralises. Une fois ajoutes la liste, si une activit lgitime est dtecte comme risque, aucune action n'est entreprise sur l'entit.
Se reporter "A propos des rapports pouvant tre excuts" la page 242.
Affichage et configuration des rapports A propos des rapports pouvant tre excuts
257
Tableau 12-7 dcrit les cas d'utilisation les plus courants pour le type d'informations que vous pouvez obtenir avec les rapports et le journal des risques. Tableau 12-7 Rsum des rapports et du journal des risques
258
Affichage et configuration des rapports A propos des rapports pouvant tre excuts
Nom du risque Catgorie ou type de risque Date de dtection Premire occurrence dans l'entreprise Type d'analyse ayant dtect le risque pour la premire fois
Domaine sur lequel le risque a t dcouvert (groupe de serveurs sur les ordinateurs hrits) Serveur sur lequel le risque a t dcouvert (serveur parent sur les ordinateurs hrits) Groupe sur lequel le risque a t dcouvert (serveur parent sur les ordinateurs hrits) L'ordinateur sur lequel le risque a t dcouvert et le nom de l'utilisateur connect ce moment l Le graphique sectoriel indique la nouvelle distribution des risques par type de cible de slection : domaine (groupe de serveurs sur les ordinateurs hrits), groupe, serveur (serveur parent sur les ordinateurs hrits), ordinateur ou nom d'utilisateur. Rapport Corrlation de dtection Utilisez ce rapport pour rechercher des corrlations entre les risques et les des principaux risques ordinateurs, les utilisateurs, les domaines et les serveurs. Ce rapport se compose d'un diagramme barres tridimensionnel conu pour tablir une corrlation entre les virus et les dtections de risque de scurit partir de deux variables. Vous pouvez slectionner l'ordinateur, le nom d'utilisateur, le domaine, le groupe, le serveur ou le nom de risque comme variables x et y (abscisse et ordonne). Ce rapport indique les cinq instances principales associes chaque variable d'axe. Si vous slectionnez l'ordinateur en tant que variable alors que moins de cinq ordinateurs sont infects, il est possible que des ordinateurs non infects s'affichent sur le graphique.
Affichage et configuration des rapports A propos des rapports pouvant tre excuts
259
260
Affichage et configuration des rapports A propos des rapports pouvant tre excuts
Se reporter "A propos des rapports pouvant tre excuts" la page 242.
Affichage et configuration des rapports A propos des rapports pouvant tre excuts
261
Tableau 12-8 dcrit les cas d'utilisation les plus courants pour le type d'informations que vous pouvez obtenir avec les rapports et les journaux rapides sur les analyses. Tableau 12-8 Rapport ou journal
Rapport Histogramme des statistiques d'analyse
Utilisations standard
Regroupez les donnes par chance d'analyse lorsque vous utilisez ce rapport pour consulter un histogramme de la dure d'excution des analyses planifies sur les clients. Vous pouvez vouloir modifier l'chance de planification de l'analyse en fonction de ces informations. Vous pouvez filtrer ce rapport en fonction du nombre de fichiers analyss. Ces rsultats aident consulter si des utilisateurs restreignent les analyses certains fichiers de leurs ordinateurs. Vous pouvez slectionner le mode de distribution des informations qui figurent dans le rapport d'analyse. Vous pouvez choisir l'une des mthodes suivantes :
dure de l'analyse (en secondes) ; nombre de risques dtects ; nombre de fichiers avec dtections ; nombre de fichiers analyss ; nombre de fichiers omis lors des analyses.
Vous pouvez galement configurer la largeur d'emplacement et le nombre d'emplacements utiliss dans l'histogramme. La largeur d'emplacement reprsente l'intervalle de donnes utilis pour le groupe par slection. Le nombre d'emplacements spcifie le nombre de rptitions de l'intervalle de donnes dans l'histogramme. Les informations fournies incluent le nombre d'entres, les valeurs minimales et maximales, ainsi que les carts type moyen et standard. Vous pouvez modifier les valeurs de rapport pour maximiser le nombre d'informations gnres dans l'histogramme du rapport. Par exemple, vous pouvez examiner la taille de votre rseau et la quantit d'informations affiches. Rapport Ordinateurs par heure de dernire analyse rapport Utilisez ce rapport pour identifier les ordinateurs qui n'ont pas excut d'analyse rcemment. Vous pouvez le configurer sur le dernier jour ou la dernire semaine ou sur une priode personnalise que vous voulez vrifier. Utilisez ce rapport pour obtenir la liste des ordinateurs qui n'ont pas t analyss pendant une priode spcifique. Ce rapport indique galement les adresses IP des ordinateurs par domaine ou par groupe spcifique. Ces ordinateurs peuvent tre vulnrables. Vous pouvez trier ce journal par la dure d'analyse pour identifier les ordinateurs qui prennent plus de temps analyser dans votre rseau. Suivant ces informations, vous pouvez personnaliser des analyses planifies pour ces ordinateurs si ncessaire.
Journal d'analyse
262
Affichage et configuration des rapports A propos des rapports pouvant tre excuts
Se reporter "A propos des rapports pouvant tre excuts" la page 242.
Utilisations standard
Utilisez ce rapport pour voir quels clients gnrent le plus grand nombre d'erreurs et d'avertissements. Vous pouvez regarder l'emplacement et le type d'utilisateurs de ces clients pour voir pourquoi ils rencontrent plus de problmes que d'autres. Vous pouvez ainsi consulter le journal systme pour des dtails.
Rapport Principaux serveurs qui Utilisez ce rapport pour voir quels serveurs gnrent le plus grand nombre gnrent des erreurs d'erreurs et d'avertissements. Vous pouvez regarder ces serveurs pour voir pourquoi ils rencontrent plus de problmes que la normale sur votre rseau. Rapport Principaux Enforcer qui Utilisez ce rapport pour voir quels Enforcers gnrent le plus grand nombre gnrent des erreurs d'erreurs et d'avertissements. Vous pouvez regarder ces Enforcers pour voir pourquoi ils rencontrent plus de problmes que la normale sur votre rseau. Rapport Echec de rplication de base de donnes dans le temps Utilisez ce rapport pour voir quels serveurs ou quels sites rencontrent le plus de problmes avec la rplication de base de donnes. Il indique galement pourquoi les rplications chouent de sorte que vous puissiez rsoudre les problmes.
Affichage et configuration des rapports A propos des rapports pouvant tre excuts
263
Rapport ou journal
Rapport sur l'tat du site
Utilisations standard
264
Affichage et configuration des rapports A propos des rapports pouvant tre excuts
Rapport ou journal
Utilisations standard
Utilisez ce rapport pour voir comment votre serveur traite la charge client. Suivant les informations disponibles dans ce rapport, vous pouvez rgler la charge. Ce rapport affiche l'tat actuel et le dbit de tous les serveurs sur le site local. Il contient galement des informations sur l'installation client, l'tat des clients connects et le volume du journal client du site local. Les donnes l'origine de ce rapport sont mises jour toutes les dix secondes, mais vous devez toutefois rexcuter le rapport pour consulter des donnes mises jour.
Faible : le serveur dispose de peu de mmoire ou d'espace disque ou prsente un grand nombre d'checs de demande de client. Critique : Le serveur est en panne Pour chaque serveur, ce rapport indique l'tat, la condition, la raison, l'utilisation de l'UC et de la mmoire ainsi que l'espace disque disponible. Il contient galement des informations sur le dbit du serveur, telles que les politiques tlcharges et le dbit de site chantillonn lors du dernier battement. Il inclut les informations de dbit suivantes pour le site :
Total des clients en ligne et total des clients installs Politiques tlcharges par seconde Signatures de prvention dintrusion tlcharges par seconde Applications apprises par seconde
Journaux systme, journaux de trafic et journaux de paquets par seconde d'Enforcer Mises jour dinformations du client par seconde Journaux de scurit, journaux systme, journaux de trafic et journaux de paquets reus par seconde des clients Journaux de contrle dapplication et de priphrique reus par seconde
L'expression "en ligne" dsigne les cas de figure suivants dans ce rapport : Pour les clients en mode 'push', "en ligne" signifie que les clients sont actuellement connects au serveur. Pour les clients en mode 'pull', "en ligne" signifie que les clients ont contact le serveur au cours des deux derniers battements du client.
Affichage et configuration des rapports A propos des rapports pouvant tre excuts
265
Rapport ou journal
Utilisations standard
Pour les clients des sites distants, "en ligne" signifie que les clients taient en ligne au moment de la dernire rplication.
Journal d'administration
les connexions et les fermetures de session ; les modifications de politique ; les modifications de mot de passe ; la mise en correspondance de certificats ; Evnements de rplication les vnements de journal.
Ce journal peut tre utile pour la rparation des problmes client lis par exemple l'absence de certificats, de politiques ou d'importations. Vous pouvez consulter sparment des vnements associs aux domaines, aux groupes, aux utilisateurs, aux ordinateurs, aux importations, aux packages, aux rplications et d'autres vnements. Journal d'activit client/serveur Utilisez ce journal pour consulter toutes les activits client qui ont lieu pour un serveur spcifique. Par exemple, vous pouvez utiliser ce journal pour consulter les lments suivants :
tlchargements de politique russis et non russis ; connexions client au serveur ; enregistrements de serveur ;
Journal d'activit client/serveur Entre autres, utilisez ce journal pour les raisons suivantes :
pour localiser et dpanner des problmes de rplication ; pour localiser et dpanner des problmes de sauvegarde ; pour localiser et dpanner des problmes de serveur Radius ; pour consulter tous les vnements de serveur d'un niveau de gravit particulier.
266
Rapport ou journal
Journal d'activit du client
Utilisations standard
Entre autres, vous pouvez utiliser ce journal pour contrler les activits client suivantes :
clients dont l'accs au rseau a t bloqu ; clients devant tre redmarrs ; installations russies ou non russies sur les clients ; problmes de dclenchement et d'arrt de service sur les clients ; problmes d'importation de rgles sur les clients ; problmes de tlchargement de politiques sur les clients ; connexions dfectueuses au serveur. Etat du client comme fournisseur de mise jour groupe (GUP)
Utilisez ce journal pour surveiller les problmes avec les modules d'application Enforcer. Dans ce journal, vous pouvez afficher des vnements de gestion, des vnements d'Enforcer, des vnements d'activation et des vnements de politique. Vous pouvez les filtrer par niveau de gravit. Par exemple, vous pouvez utiliser ce journal pour dpanner les types de problmes suivants :
connectivit d'Enforcer ; importation et application des politiques et configurations ; dmarrage, arrts et interruptions d'Enforcer.
Remarque : Si Symantec Network Access Control n'est pas install sur votre ordinateur, le journal Activit Enforcer et les entres d'autres journaux applicables aux modules d'application Enforcer sont vides. Se reporter "A propos des rapports pouvant tre excuts" la page 242.
267
Figure 12-1
Plage horaire
Dernires 24 heures
268
Plage horaire
La semaine dernire Le mois dernier Le mois en cours Les 3 derniers mois L'anne dernire Plage horaire
mois un jour (24 heures quelconques) : par heure suprieure 1 jour mais infrieure ou gale 7 jours : par heure suprieure 7 jours mais infrieure ou gale 31 jours : par jour suprieure 31 jours mais infrieure ou gale 2 ans : par mois suprieure 2 ans : par an
269
1 2 3
Modifiez le rpertoire du lecteur:\Program Files\ Symantec\Symantec Endpoint Protection Manager\Inetpub\Reporting\Common. Ouvrez le fichier de configuration I18nCommon.bundle avec un diteur. Tapez le nom du fichier de police que vous voulez utiliser aprs le signe gal (=) suivant la variable SPECIAL_FONT. Par exemple, si vous voulez utiliser Arial, vous taperez ce qui suit : SPECIAL_FONT=arial.ttf
4 5
Enregistrez le fichier dans le format UTF-8 et fermez-le. Assurez-vous que le fichier de police se trouve dans le rpertoire %WINDIR%\fonts.
Description
Le rapport d'audit contient des informations sur les activits de modification des politiques, telles que les heures et les types des vnements, les modifications de politique, les domaines, les sites, les administrateurs et les descriptions. Se reporter "A propos des informations dans le rapport et le journal d'audit " la page 245.
270
Type de Rapport
Description
Contrle des applications et Les rapports de contrle des applications et des priphriques contiennent des des priphriques informations sur des vnements o l'accs un ordinateur a t bloqu ou un priphrique a t retenu hors du rseau. Se reporter "A propos des informations des rapports et des journaux Contrle d'application et Contrle de priphrique" la page 245. Conformit Les rapports de conformit contiennent des informations sur le serveur Enforcer, les clients Enforcer, le trafic Enforcer et la conformit de l'hte. Se reporter " A propos des informations dans les rapports et les journaux de conformit " la page 246. Etat d'ordinateur Les rapports Etat de l'ordinateur contiennent des informations sur l'tat oprationnel en temps rel des ordinateurs sur le rseau. Se reporter "A propos des informations dans les rapports et le journal d'tat de l'ordinateur" la page 248. Protection contre les menaces rseau Les rapports de protection contre les menaces rseau vous permettent de suivre l'activit d'un ordinateur ainsi que son interaction avec d'autres ordinateurs et rseaux. Ils enregistrent des informations sur le trafic qui tente d'entrer ou de sortir sur les ordinateurs par leurs connexions rseau. Se reporter "A propos des informations dans les rapports et les journaux de protection contre les menaces rseau" la page 252. Risque Les rapports de risque comprennent des informations sur les vnements de risque prsents sur vos serveurs de gestion et leurs clients. Se reporter "A propos des informations dans les rapports et le journal des risques" la page 256. Egalement incluses dans les rapports de risque sont les rapports d'analyse proactive des menaces TruScan. Se reporter "A propos des informations figurant dans les rapports et les journaux d'analyse proactive des menaces TruScan" la page 255. Analyse Les rapports d'analyse fournissent des informations sur l'activit d'analyse antivirus et antispyware. Se reporter "A propos des informations dans les rapports et le journal d'analyse" la page 260. Systme Les rapports systme contiennent les informations utiles pour le dpannage des problmes des clients. Se reporter "A propos des informations dans les rapports et les journaux systme" la page 262.
271
Vous pouvez configurer les paramtres de base et les paramtres avancs pour tous les rapports afin de mieux cibler les donnes afficher. Vous pouvez galement enregistrer votre filtre personnalis en lui attribuant un nom diffrent de manire ce que le mme rapport personnalis puisse s'excuter ultrieurement. Tableau 12-12 dcrit tous les paramtres de base disponibles pour tous les types de rapports rapides. Tableau 12-12 Paramtre
Plage horaire
Description
Spcifie l'intervalle de temps des vnements que vous voulez afficher dans le rapport. Slectionnez une des priodes suivantes :
Dernires 24 heures La semaine dernire Le mois dernier Le mois en cours Les trois derniers mois L'anne dernire Dfinir des dates spcifiques
Si vous slectionnez Dfinir des dates spcifiques, certains rapports requirent la dfinition d'une date de dbut et de fin. D'autres rapports requirent que vous dfinissiez la date du dernier enregistrement, qui correspond la dernire fois o l'ordinateur s'est authentifi auprs de son serveur. Le paramtre par dfaut est Les dernires 24 heures. Date de dbut Dfinit la date de dbut pour la plage de dates. Cette option est disponible uniquement lorsque vous slectionnez l'option Dfinir des dates spcifiques pour la plage horaire. Date de fin Dfinit la date de fin pour la plage de dates. Cette option est disponible uniquement lorsque vous slectionnez l'option Dfinir des dates spcifiques pour la plage horaire.
Remarque : Vous ne pouvez pas dfinir une date de fin qui soit la mme que la date de
dbut ou antrieure la date de dbut. Dernire Spcifie que vous voulez consulter toutes les entres qui impliquent un ordinateur qui ne authentificationaprs s'est pas authentifi auprs de son serveur depuis cette poque. Seulement disponible pour les rapports d'tat de l'ordinateur quand vous slectionnez Dfinir des dates spcifiques pour l'intervalle de temps.
272
Paramtre
Etat
Description
Disponible pour le rapport de conformit d'tat de conformit du rseau. Slectionnez parmi les options suivantes :
Authenticated (Authentifi) Disconnected (Dconnect) Failed (Echec) Passed (Autoris) Rejected (Rejet)
Disponible pour le rapport de conformit d'tat de conformit. Slectionnez parmi les actions suivantes :
Regrouper par
De nombreux rapports peuvent tre regroups de faon approprie. Par exemple, le choix le plus commun est d'afficher des informations pour seulement un groupe ou sous-rseau, mais certains rapports fournissent d'autres choix appropris.
273
Paramtre
Cible
Description
Disponible pour le rapport sur les principales cibles attaques de la protection contre les menaces rseau. Slectionnez parmi les options suivantes :
Disponible pour le rapport sur les Attaques dans le temps de la protection contre les menaces rseau. Slectionnez parmi les options suivantes :
Disponible pour les rapports Applications bloques dans le temps et Notifications de trafic dans le temps de la protection contre les menaces rseau. Slectionnez parmi les options suivantes :
Disponible pour le rapport sur les Principales notifications de trafic de la protection contre les menaces rseau. Slectionnez parmi les options suivantes :
Axe X Axe Y
Disponible pour le rapport de corrlation des principales dtections de risque. Slectionnez parmi les options suivantes :
Largeur d'emplacement
Spcifie la largeur d'un emplacement pour former un histogramme. Disponible pour le rapport d'analyse d'histogramme d'analyses statistiques.
274
Paramtre
Nombre d'emplacements
Description
Spcifie le nombre d'emplacements que vous voulez utiliser pour former les barres d'un histogramme. Disponible pour le rapport d'analyse d'histogramme d'analyses statistiques.
Les paramtres avancs permettent un contrle supplmentaire des donnes que vous voulez afficher. Ils sont spcifiques au type et au contenu de rapport. Pour une description de chaque paramtre que vous pouvez configurer, vous pouvez cliquer sur Plus d'infos pour afficher l'aide contextuelle pour ce type de rapport. Si votre rseau comprend plusieurs domaines, de nombreux rapports vous permettent d'afficher des donnes sur tous les domaines, sur un site ou sur plusieurs sites. Par dfaut, les rapports rapides affichent tous les domaines, groupes, serveurs, etc., selon le rapport que vous souhaitez crer. Remarque : Si vous avez uniquement install Symantec Network Access Control, un nombre important de rapports sont vides. Les rapports Contrle des applications et des priphriques, Protection contre les menaces rseau, Risque et Analyse ne contiennent pas de donnes. Les rapports Conformit et Audit contiennent des donnes, de mme que certains des rapports Etat de l'ordinateur et Systme. Se reporter "Cration de rapports rapides" la page 274. Se reporter "A propos de l'utilisation des filtres qui recherchent des groupes dans les rapports et les journaux" la page 282.
275
Remarque : Les champs d'option de filtre qui acceptent des caractres gnriques et recherchent des correspondances ne distinguent pas les majuscules et les minuscules. L'astrisque ASCII est le seul astrisque qui puisse tre utilis comme caractre gnrique. Se reporter "Enregistrement et suppression des filtres de rapports rapides" la page 276. Se reporter "Impression et enregistrement d'une copie d'un rapport" la page 282. Se reporter "Cration et suppression de rapports planifis" la page 279. Pour crer un rapport rapide
1 2 3
Dans la console, cliquez sur Reports. Dans l'onglet Rapports rapides, dans la liste Type de rapport, slectionnez le type de rapport crer. Dans la zone de liste Slectionner un rapport, slectionnez le nom du rapport afficher. Pour le rapport Etat de conformit du rseau et le rapport Etat de conformit, dans la zone de liste Etat, slectionnez une configuration de filtre enregistre que vous souhaitez utiliser ou maintenez le filtre par dfaut. Pour le rapport Corrlation de dtection des principaux risques, vous pouvez slectionner des valeurs pour que les zones de liste Axe x et Axe y spcifient le mode d'affichage du rapport. Pour le rapport Analyse d'histogramme de statistiques d'analyse, vous pouvez slectionner des valeurs pour Largeur d'emplacement et Nombre demplacements. Pour certains rapports, vous pouvez spcifier comment grouper les rsultats du rapport dans la zone de liste Groupe. Pour d'autres rapports, vous pouvez slectionner une cible dans le champ Cible sur lequel filtrer les rsultats du rapport.
Dans la liste Utiliser un filtre enregistr, slectionnez une configuration de filtrage enregistre que vous souhaitez utiliser, ou conservez le filtre par dfaut. Sous Quels paramtres de filtrage voulez-vous utiliser ?, dans la zone de liste Plage horaire, slectionnez la plage horaire du rapport.
276
Affichage et configuration des rapports Enregistrement et suppression des filtres de rapports rapides
Si vous slectionnez Dfinir des dates spcifiques, utilisez les zones de liste Date de dbut et Date de fin. Ces options dfinissent l'intervalle de temps pour lequel vous voulez afficher des informations. Lorsque vous gnrez un rapport Etat de l'ordinateur et slectionnez Dfinir des dates spcifiques, vous spcifiez que vous voulez consulter toutes les entres qui impliquent un ordinateur qui ne s'est pas authentifi avec son serveur depuis la priode que vous avez spcifiez dans le champ Dernier contrle aprs.
Pour configurer des paramtres supplmentaires pour le rapport, cliquez sur Paramtres avancs et dfinissez les options souhaites. Vous pouvez cliquer sur En savoir plus pour consulter des descriptions des options de filtre dans l'aide contextuelle. Vous pouvez enregistrer les paramtres de configuration du rapport si vous pensez vouloir excuter nouveau ce rapport l'avenir.
Affichage et configuration des rapports Enregistrement et suppression des filtres de rapports rapides
277
Se reporter "A propos de l'utilisation des filtres qui recherchent des groupes dans les rapports et les journaux" la page 282. Pour enregistrer un filtre
1 2 3 4 5
Dans la console, cliquez sur Reports. Dans l'onglet Rapports rapides, slectionnez un type de rapport de la zone de liste. Modifiez les paramtres de base ou les paramtres avancs du rapport. Cliquez sur Enregistrer le filtre. Dans la zone de texte Nom du filtre, saisissez un nom descriptif pour le filtre de rapport. Seuls les 32 premiers caractres du nom s'affichent lorsque le filtre sauvegard est ajout la liste Utiliser un filtre sauvegard. Cliquez sur OK. Lorsque la bote de dialogue de validation s'affiche, cliquez sur OK. Une fois enregistr, le filtre s'affiche dans la zone de liste Utilisez un filtre sauvegard pour les rapports et les journaux associs.
6 7
1 2 3 4 5
Dans la console, cliquez sur Reports. Dans l'onglet Rapports rapides, slectionnez un type de rapport. Dans la zone de liste Utilisez un filtre sauvegard, slectionnez le nom du filtre supprimer. Cliquez sur l'icne Supprimer qui se trouve ct de la zone de liste Utiliser un filtre sauvegard. Lorsque la bote de dialogue de validation s'affiche, cliquez sur Oui.
Deux utilisateurs sont connects au compte "admin" par dfaut sur diffrents sites et chacun d'eux cre un filtre avec le mme nom. Un utilisateur cre un filtre, se connecte un site diffrent et cre immdiatement un filtre avec le mme nom.
278
Si l'une ou l'autre condition se produit avant que la rplication de site ait lieu, deux filtres avec le mme nom s'affichent alors dans la liste des filtres. Seul l'un des filtres est utilisable. Si ce problme se pose, la meilleure action consiste supprimer le filtre utilisable et le recrer avec un nom diffrent. Si vous supprimez le filtre utilisable, vous supprimez galement le filtre inutilisable. Se reporter "Enregistrement et suppression des filtres de rapports rapides" la page 276.
Dploiement de logiciel client (clichs) Clients en ligne/hors ligne dans le temps (clichs) Clients avec la dernire politique dans le temps (clichs)
279
Clients non compatibles 100% au cours du temps (clichs) Dploiement de dfinition de virus (clichs)
Vous pouvez imprimer et enregistrer des rapports planifis de la mme manire que des rapports rapides. Remarque : Lorsque vous crez un rapport planifi pour la premire fois, vous devez utiliser le filtre par dfaut ou un filtre dj sauvegard. Une fois que vous avez planifi le rapport, vous pouvez y revenir tout moment pour modifier le filtre. Se reporter "Modification du filtre utilis pour un rapport planifi" la page 280. Pour plus d'informations sur les options que vous pouvez dfinir au cours de ces procdures, cliquez sur En savoir plus dans l'onglet Rapports planifis. Se reporter "Cration et suppression de rapports planifis" la page 279. Se reporter "A propos de l'utilisation des filtres qui recherchent des groupes dans les rapports et les journaux" la page 282.
1 2 3
Dans la console, cliquez sur Reports. Dans l'onglet Rapports planifis, cliquez sur Ajouter. Dans la zone de texte Nom du rapport, saisissez un nom descriptif et entrez une description plus dtaille (facultatif). Bien que vous puissiez coller plus de 255 caractres dans la zone de texte de la description, seuls 255 caractres sont enregistrs dans la description.
4 5 6
Pour empcher l'excution de ce rapport, dslectionnez l'option Activer ce rapport planifi. Slectionnez le type de rapport que vous souhaitez planifier dans la liste. Slectionnez le nom du rapport que vous souhaitez planifier dans la liste.
280
Affichage et configuration des rapports Modification du filtre utilis pour un rapport planifi
7 8
Slectionnez le nom du filtre sauvegard que vous souhaitez utiliser dans la liste. Dans la zone de texte Excuter toutes les :, slectionnez la frquence (heures, jours, semaines, mois) laquelle vous souhaitez que le rapport soit envoy par courrier lectronique aux destinataires. Saisissez ensuite la valeur que vous souhaitez attribuer l'intervalle que vous avez slectionn. Par exemple, si vous souhaitez que le rapport vous soit envoy un jour sur deux, slectionnez Jours et saisissez 2. Dans la zone de texte Dmarrer aprs, saisissez la date laquelle le rapport doit dmarrer ou cliquez sur l'icne du calendrier et slectionnez une date. Slectionnez ensuite l'heure et la minute partir des zones de liste. lectroniques en les sparant par des virgules. Vous devez avoir dj install des proprits de serveur de messagerie pour que les notifications par message lectronique fonctionnent.
1 2 3 4
Dans la console, cliquez sur Reports. Dans la liste des rapports de l'onglet Rapports planifis, cliquez sur le nom du rapport supprimer. Cliquez sur Supprimer. Lorsque la bote de dialogue de validation s'affiche, cliquez sur Oui.
Affichage et configuration des rapports A propos de l'utilisation du filtre Dernires 24 heures dans les rapports et les journaux
281
Se reporter "A propos de l'utilisation du filtre Dernires 24 heures dans les rapports et les journaux" la page 281. Se reporter "A propos de l'utilisation des filtres qui recherchent des groupes dans les rapports et les journaux" la page 282. Pour modifier le filtre utilis par un rapport planifi
1 2 3 4 5 6
Dans la console, cliquez sur Rapports. Cliquez sur Rapports planifis. Dans la liste des rapports, cliquez sur le rapport planifi que vous souhaitez modifier. Cliquez sur Modifier le filtre. Apportez vos modifications au filtre. Cliquez sur Enregistrer le filtre. Si vous souhaitez conserver le filtre d'origine, vous devez lui attribuer une nouveau nom.
7 8
Cliquez sur OK. Cliquez sur OK dans la bote de dialogue qui s'affiche.
A propos de l'utilisation du filtre Dernires 24 heures dans les rapports et les journaux
Si vous slectionnez l'option Dernires 24 heures comme plage horaire pour une vue de rapport ou de journal, la plage horaire dbute lorsque vous slectionnez le filtre. Si vous actualisez la page, le point de dpart de l'intervalle de 24 heures n'est pas rinitialis. Si vous slectionnez le filtre et dcidez d'afficher un journal, la plage horaire dbute lorsque vous slectionnez le filtre. Cette condition s'applique galement lorsque vous affichez un journal des vnements ou d'alertes. La plage horaire ne dbute pas lorsque vous crez le rapport ou affichez le journal. Si vous souhaitez que la plage horaire Dernires 24 heures dbute immdiatement, slectionnez une autre plage horaire, puis reslectionnez le filtre Dernires 24 heures. Remarque : La plage horaire du filtre Dernires 24 heures de la page d'accueil est dtermin au moment o vous accdez la page d'accueil. Se reporter "Enregistrement et suppression des filtres de rapports rapides" la page 276.
282
Affichage et configuration des rapports A propos de l'utilisation des filtres qui recherchent des groupes dans les rapports et les journaux
A propos de l'utilisation des filtres qui recherchent des groupes dans les rapports et les journaux
Puisque tous les groupes sont des sous-groupes du groupe parent Mon entreprise, quand un filtre recherche des groupes, il recherche hirarchiquement en commenant par la chane Mon entreprise. Si le nom du groupe ne commence pas par la lettre m, mettez un astrisque devant la chane que vous recherchez. Ou, vous pouvez commencer la chane par m* quand vous utilisez des caractres gnriques. Par exemple, si vous avez un groupe nomm Services et que vous saisissez s* dans cette zone de texte, aucun groupe ne sera trouv et utilis dans la vue. Pour trouver un groupe nomm Services, vous devez utiliser la chane *s* la place. Si plusieurs groupes contiennent la lettre s, vous pouvez utiliser une chane comme*ser*. Se reporter "Enregistrement et suppression des filtres de rapports rapides" la page 276.
1 2
Dans la fentre du rapport, cliquez sur Imprimer. Dans la bote de dialogue Imprimer, slectionnez l'imprimante que vous souhaitez utiliser puis cliquez sur Imprimer.
Lorsque vous enregistrez un rapport, vous enregistrez un "clich" de votre environnement de scurit bas sur les donnes qui se trouvent actuellement dans votre base de donnes Reporting. Si vous excutez le mme rapport ultrieurement, avec la mme configuration de filtrage, le nouveau rapport affiche des donnes diffrentes.
Affichage et configuration des rapports A propos de l'utilisation de SSL avec les fonctions de notification
283
1 2 3 4 5
Dans la fentre du rapport, cliquez sur Enregistrer. Dans la bote de dialogue de tlchargement de fichier, cliquez sur Enregistrer. Dans la bote de dialogue Enregistrer sous, dans la zone Enregistrer dans, localisez l'emplacement o vous souhaitez enregistrer le fichier. Dans la zone de liste Nom du fichier, vous pouvez modifier le nom de fichier par dfaut si vous le souhaitez. Cliquez sur Enregistrer. Le rapport est enregistr sous forme de fichier unique (*.mht) au format d'archivage Web de Microsoft dans l'emplacement que vous avez slectionn.
Les horodatages, y compris les priodes d'analyse du client, des rapports et des journaux sont donns en heure locale de l'utilisateur. Les vnements de la base de donnes de gnration de rapports sont bass sur l'heure GMT (Greenwich Mean Time). Lorsque vous crez un rapport, les valeurs GMT sont converties en heure locale de l'ordinateur sur lequel vous affichez les rapports.
284
Affichage et configuration des rapports Points importants quant l'utilisation des rapports
Si les clients grs sont dans un fuseau horaire diffrent de celui du serveur de gestion et que vous utilisez l'option de filtre Dfinir des dates spcifiques, des rsultats inattendus peuvent s'afficher. L'exactitude des donnes et l'heure sur le client et le serveur de gestion peuvent tre affects. Si vous modifiez le fuseau horaire sur le serveur, fermez la session de la console et rouvrez-la pour voir les heures prcises dans les journaux et les rapports. Dans certains cas, les donnes de rapport ne peuvent tre mises en correspondance avec les donnes affiches par vos produits de scurit. Ce manque de correspondance rsulte de la collecte des vnements de scurit par le logiciel de notification. Vous pouvez utiliser SSL avec les fonctions de notification pour une scurit accrue. SSL permet la confidentialit, l'intgrit des donnes et l'authentification entre le client et le serveur. Se reporter "A propos de l'utilisation de SSL avec les fonctions de notification" la page 283. Les informations relatives aux catgories de risque des rapports sont obtenues auprs du site Web de Symantec Security Response. Jusqu' ce que la console Symantec Endpoint Protection Manager puisse rcuprer ces informations, tous les rapports que vous gnrez affichent Inconnu dans les champs de catgorie de risque. Les rapports que vous gnrez offrent un aperu dtaill des ordinateurs compromis sur le rseau. Les rapports reposent sur les donnes du journal et non pas sur les donnes de registre Windows. Les pages de rapport et de journal s'affichent toujours dans la langue avec laquelle le serveur de gestion a t install. Pour afficher ces pages lorsque vous utilisez une console distante ou un navigateur, vous devez disposer de la police approprie sur l'ordinateur que vous utilisez. Si des erreurs de base de donnes surviennent lorsque vous gnrez des rapports contenant un volume important de donnes, cela peut signifier que vous devez modifier les paramtres d'expiration de la base de donnes concerne. Se reporter "Modification des paramtres d'expiration" la page 406. Si des erreurs CGI ou d'arrts de processus surviennent, vous pouvez modifier d'autres paramtres d'expiration. Pour plus d'informations, consultez le document suivant dans la base de connaissances de Symantec : Le SAV Reporting Server ou le SEPM Reporting ne ragit pas ou n'affiche pas de message d'erreur de dlai d'attente lors d'une requte un grand nombre de donnes
Affichage et configuration des rapports Points importants quant l'utilisation des rapports
285
Veillez tenir compte des informations suivantes si certains des ordinateurs prsents sur votre rseau excutent des versions hrites de Symantec AntiVirus :
Lorsque vous utilisez des filtres de rapport et de journal, les groupes de serveurs sont classs par domaine. Les groupes clients sont classs par groupe et les serveurs parents sont classs par serveur. Si vous gnrez un rapport comprenant des ordinateurs hrits, les champs d'adresse IP et d'adresse MAC affichent Aucun(e).
286
Affichage et configuration des rapports Points importants quant l'utilisation des rapports
Chapitre
13
A propos des journaux Affichage des journaux Enregistrement et suppression des filtres Paramtres de base du filtre pour les journaux et les rapports Paramtres avancs du filtre pour les journaux et les rapports Excuter des commandes et des actions partir des journaux Exportation des donnes de journal A propos de l'utilisation de notifications
288
Vous pouvez utiliser le filtre par dfaut pour afficher les journaux ou vous pouvez configurer les options de filtre pour limiter les donnes affiches. Vous pouvez enregistrer un filtre que vous avez personnalis de sorte que vous puissiez l'utiliser l'avenir. Vosu pouvez galement consulter les journaux pour rsoudre les problmes de scurit et de connectivit dans le rseau. Ces informations peuvent galement tre utiles pour rechercher d'ventuelles menaces ou vrifier l'historique des vnements. Remarque : Les pages des rapports et des journaux s'affichent toujours dans la langue du serveur de gestion. Pour afficher ces pages lorsque vous utilisez une console Symantec Endpoint Protection Manager ou un navigateur distant, la police approprie doit tre installe sur l'ordinateur que vous utilisez. Vous pouvez exporter certaines donnes d'vnements de journal vers un fichier dlimit par des virgules, puis l'importer dans une application de tableur. Vous pouvez galement exporter d'autres donnes du journal vers un fichier de vidage mmoire ou un serveur Syslog. Se reporter "Exportation des donnes de journal" la page 307. Se reporter "A propos des vnements consigns issus de votre rseau" la page 214.
Audit Contrle des applications et des priphriques Conformit Etat de l'ordinateur Protection contre les menaces rseau Analyse proactive des menaces TruScan Risque Analyse Systme
289
Remarque : Tous ces journaux sont accessibles partir de la page de Contrles de l'onglet Journaux. Certains types de journaux sont encore diviss en diffrents types de contenu pour faciliter l'affichage. Par exemple, les journaux Contrle des applications et Contrle des priphriques incluent le journal Contrle des applications et le journal Contrle des priphriques. Vous pouvez galement excuter des commandes partir de certains journaux. Remarque : Si seul Symantec Network Access Control est install, seulement certains des journaux contiennent des donnes ; d'autres journaux sont vides. Le journal d'audit, le journal de conformit, le journal d'tat des ordinateurs et le journal systme contiennent des donnes. Si seul Symantec Endpoint Protection est install, les journaux Conformit et Enforcer sont vides, mais tous les autres journaux contiennent des donnes. Vous pouvez afficher des informations sur les notifications cres dans l'onglet Notifications et des informations sur l'tat des commandes dans l'onglet Etat de la commande. Se reporter "Affichage et filtrage des informations de notification administrateur" la page 313. Se reporter "Excuter des commandes et des actions partir des journaux" la page 304. Tableau 13-1 dcrit les diffrents types de contenu que vous pouvez afficher et les actions que vous pouvez entreprendre partir de chaque journal. Tableau 13-1 Type de journal
Audit
Types de journaux
Contenus et actions
Le rapport d'audit contient des informations sur l'activit de modification de la politique. Les informations disponibles incluent l'heure et le type d'vnement, la politique modifie, le domaine, le site et l'administrateur concerns, ainsi qu'une description. Aucune action n'est associe ce journal.
290
Type de journal
Contenus et actions
Contrle des applications et Le journal Contrle des applications et le journal Contrle des priphriques des priphriques contiennent des informations sur les vnements dans lesquels certains types de comportement taient bloqus. Les journaux de contrle des applications et des priphriques suivants sont disponibles : Contrle des applications, qui inclut des informations sur la protection contre les interventions Contrle des priphriques
Les informations disponibles incluent l'heure de l'vnement, l'action entreprise, le domaine, l'ordinateur et l'utilisateur concerns, la gravit, la rgle concerne, le processus de l'appelant et la cible. Vous pouvez ajouter un fichier la politique d'exceptions centralises partir du journal Contrle des applications. Les informations disponibles incluent l'heure de l'vnement, le type d'vnement, le domaine, le groupe, l'ordinateur et l'utilisateur concerns, le nom du systme d'exploitation, une description, l'emplacement et le nom de l'application concerne.
291
Type de journal
Conformit
Contenus et actions
Les journaux de conformit contiennent des informations au sujet du trafic du serveur Enforcer, des clients Enforcer et d'Enforcer et sur la conformit des htes. Les journaux de conformit suivants sont disponibles si vous avez install Symantec Network Access Control : Serveur Enforcer Ce journal suit la communication entre les modules d'application Enforcer et leur serveur de gestion. Les informations consignes incluent le nom d'Enforcer, l'heure de connexion au serveur de gestion, le type d'vnement, le site et le nom du serveur. Client Enforcer Fournit les informations sur toutes les connexions client Enforcer, y compris les informations d'authentification point point Les informations disponibles incluent l'heure, le nom, le type, le site, l'hte distant et l'adresse MAC distante de chaque Enforcer, et indiquent si le client a t accept, rejet ou authentifi. Trafic Enforcer (Gateway Enforcer uniquement) Fournit quelques informations au sujet du trafic qui passe par un botier Enforcer. Les informations disponibles incluent l'heure, le nom de l'Enforcer, le type d'Enforcer et le site. Les informations incluent galement le port local utilis, la direction, l'action et le nombre d'occurrences. Vous pouvez filtrer les tentatives de connexion qui ont t permises ou bloques. Conformit d'hte Ce journal ralise un suivi des dtails des vrifications de l'intgrit d'hte des clients. Les informations disponibles incluent l'heure, le type d'vnement, le domaine/groupe, l'ordinateur, l'utilisateur, le systme d'exploitation, la description et l'emplacement.
292
Type de journal
Etat de l'ordinateur
Contenus et actions
293
Type de journal
Contenus et actions
Le journal d'tat de l'ordinateur contient des informations sur l'tat de fonctionnement des ordinateurs clients dans le rseau en temps rel. Les informations disponibles incluent le nom de l'ordinateur, l'adresse IP, l'tat d'infection; les technologies de protection, l'tat d'Auto-Protect, les versions, la date des dfinitions, l'utilisateur, l'heure du dernier contrle, la politique, le groupe, le domaine et l'tat de redmarrage requis. Vous pouvez excuter les actions suivantes partir du journal d'tat de l'ordinateur :
Analyse Cette commande lance une analyse active, complte ou personnalise. Les options d'analyse personnalise sont celles que vous avez dfinies pour des analyses de commande sur la page Analyse dfinie par l'administrateur. La commande utilise les paramtres de la politique antivirus et antispyware qui s'applique aux clients que vous avez slectionns pour analyse. Mise jour de contenu Cette commande dclenche une mise jour des politiques, des dfinitions et du logiciel de la console Symantec Endpoint Protection Manager vers les clients du groupe slectionn. Mise jour de contenu et analyse Cette commande dclenche une mise jour des politiques, des dfinitions et du logiciel sur les clients du groupe slectionn. Cette commande lance ensuite une analyse active, complte ou personnalise. Les options d'analyse personnalise sont celles que vous avez dfinies pour des analyses de commande sur la page Analyse dfinie par l'administrateur. La commande utilise les paramtres de la politique antivirus et antispyware qui s'applique aux clients que vous avez slectionns pour analyse. Annuler toutes les analyses Cette commande annule toutes les analyses en cours et toutes les analyses en attente sur les destinataires slectionns. Redmarrer les ordinateurs client Cette commande redmarre les ordinateurs que vous avez slectionns. Si des utilisateurs sont connects, ils sont avertis du redmarrage bas sur les options de redmarrage que l'administrateur a configures pour cet ordinateur. Vous pouvez configurer les options de redmarrage des clients dans l'onglet Paramtres gnraux de la bote de dialogue Paramtres gnraux, dans l'onglet Politiques de la page Clients. Activation d'Auto-Protect Cette commande active Auto-Protect pour tous les ordinateurs clients que vous avez slectionns. Activation de la protection contre les menaces rseau Cette commande active la protection contre les menaces rseau pour tous les ordinateurs clients que vous avez slectionns. Dsactivation de la protection contre les menaces rseau
294
Type de journal
Contenus et actions
Cette commande dsactive la protection contre les menaces rseau pour tous les ordinateurs clients que vous avez slectionns. Vous pouvez galement effacer l'tat d'infection des ordinateurs partir de ce journal.
Les journaux de protection contre les menaces rseau contiennent des informations propos des attaques sur le pare-feu et sur la prvention d'intrusion. Des informations sont disponibles au sujet des attaques de refus de service, des analyses de port et des modifications qui ont t apportes aux fichiers excutables. Ils contiennent galement des informations sur les connexions qui sont faites par le pare-feu (trafic) et sur les paquets de donnes qui le traversent. Ces journaux contiennent galement certaines des modifications oprationnelles apportes aux ordinateurs, telles que la dtection des applications rseau et la configuration des logiciels. Les journaux suivants de protection contre les menaces rseau sont disponibles : Attaques Les informations disponibles incluent l'heure, le type d'attaque, le domaine/groupe, l'ordinateur et le nom d'utilisateur du client. D'autres informations sont disponibles, notamment la gravit, la direction/le protocole, l'IP de l'hte local/distant, l'emplacement et le nombre. Trafic Les informations disponibles incluent l'heure, le type d'vnement, l'action, la gravit, la direction, l'ordinateur, l'IP de l'hte local/distant, le protocole, le nom d'utilisateur du client et le nombre d'occurrences. Paquet Les informations disponibles incluent l'heure, le type d'vnement, l'action, le domaine, la direction, l'ordinateur, l'IP de l'hte local, le port local et l'IP de l'hte distant.
Aucune action n'est associe ces journaux. Analyse proactive des menaces TruScan Le journal de protection proactive contre les menaces TruScan contient des informations sur les menaces qui ont t dtectes lors d'une analyse proactive. Les analyses proactives des menaces TruScan utilisent des technologies heuristiques pour analyser tout comportement similaire celui des virus ou prsentant un risque pour la scurit. Cette mthode peut dtecter des virus inconnus et les risques de scurit. Les informations disponibles incluent des lments tels que l'heure de l'vnement, l'action relle de l'vnement, le nom d'utilisateur, l'ordinateur, le domaine, l'application, le type d'application, le nombre d'occurrences, le fichier et le chemin d'accs. Vous pouvez ajouter un processus dtect une politique d'exceptions centralises prexistente partir de ce journal.
295
Type de journal
Risque
Contenus et actions
Le journal de Risque contient des informations sur des vnements risque. Les informations disponibles incluent l'heure de l'vnement, l'action relle de l'vnement, le nom d'utilisateur, l'ordinateur/le domaine, le nom et la source du risque, le nombre d'occurrences, le fichier et le chemin d'accs. Vous pouvez prendre les mesures suivantes partir de ce journal :
Ajouter le risque la politique d'exception centralise Ajouter un fichier la politique d'exceptions centralises Ajouter un dossier la politique d'exceptions centralises Ajouter une extension la politique d'exceptions centralises Suppression de la quarantaine
Analyse
Le journal d'Analyse contient des informations sur l'activit d'analyse antivirus et antispyware. Les informations disponibles incluent des lments concernant l'analyse, tels que l'heure, l'ordinateur, l'adresse IP, l'tat, la dure, les dtections, le nombre d'lments analyss, le nombre d'lments omis et le domaine. Aucune action n'est associe ces journaux.
296
Type de journal
Systme
Contenus et actions
Les journaux systme contiennent des informations sur des vnements tels que le dmarrage et l'arrt des services. Les journaux systme suivants sont disponibles :
Administratif Les informations disponibles incluent des lments tels que l'heure et le type d'vnement, le domaine, le site et le serveur concerns, la gravit, l'administrateur et la description. Activit client-serveur Les informations disponibles incluent des lments tels que l'heure et le type d'vnement, le domaine, le site et le serveur concerns, le client et le nom d'utilisateur. Activit serveur Les informations disponibles incluent des lments tels que l'heure et le type d'vnement, le site et le serveur concerns, la gravit, la description et le message. Activit client Les informations disponibles incluent des lments tels que l'heure de l'vnement, le type d'vnement, la source de l'vnement, le domaine, la description, le site, l'ordinateur et la gravit. Activit Enforcer Les informations disponibles incluent des lments tels que l'heure de l'vnement, le type d'vnement, le nom de l'Enforcer, le type d'Enforcer, le site, la gravit et la description.
297
Remarque : Si des erreurs de base de donnes se produisent lorsque vous affichez des journaux comprenant de nombreuses donnes, vous pouvez modifier les paramtres d'expiration de la base de donnes. Se reporter "Modification des paramtres d'expiration" la page 406. Si des erreurs de CGI ou de processus arrts surviennent, vous pouvez modifier d'autres paramtres d'expiration. Vous pouvez obtenir de plus amples informations sur les paramtres d'expiration supplmentaires. Reportez-vous l'article de la base de connaissances Symantec suivant : "Reporting server does not report or shows a timeout error message when querying large amounts of data (Le serveur Reporting ne gnre pas de rapport ou affiche un message d'erreur signalant un dpassement de dlai)". Etant donn que certaines des informations contenues dans les journaux sont collectes intervalles rguliers, vous pouvez actualiser vos vues de journal. Pour configurer la frquence d'actualisation d'un journal, affichez le journal de votre choix et slectionnez une option dans la zone de liste Actualisation automatique qui se trouve dans la partie suprieure droite de la vue du journal. Remarque : Si vous affichez des donnes de journal pour des dates spcifiques, les donnes ne changent pas aprs avoir cliqu sur Actualisation automatique. Pour une description de chaque option configurable, vous pouvez cliquer sur En savoir plus en regard du type de rapport sur la console Symantec Endpoint Protection Manager. Cliquez sur En savoir plus pour afficher l'aide contextuelle. Remarque : Les champs d'option de filtre qui acceptent des caractres gnriques et recherchent des correspondances ne fait aucune distinction entre majuscules et minuscules. Le caractre astrisque ASCII est le seul astrisque qui puisse tre utilis comme caractre gnrique. Pour afficher un journal
1 2 3 4
Dans la fentre principale, cliquez sur Contrles. Dans la zone de liste Type de journal de l'onglet Journaux, slectionnez le type de journal que vous souhaitez afficher. Pour certains types de journaux, la zone de liste Contenu du journal s'affiche. Si elle apparat, slectionnez le contenu que vous voulez afficher. Dans la zone de liste Utiliser un filtre sauvegard, slectionnez un filtre sauvegard ou conservez la valeur par dfaut.
298
Slectionnez une heure dans la liste Plage horaire ou conservez la valeur par dfaut. Si vous slectionnez Dfinir des dates spcifiques, vous devez dfinir la ou les dates et heures dont vous souhaitez afficher les entres. Cliquez sur Paramtres avancs pour limiter le nombre d'entres afficher. Vous pouvez galement dfinir les autres Paramtres avancs disponibles pour le type de journal que vous avez slectionn. Se reporter "Paramtres avancs du filtre pour les journaux et les rapports" la page 303.
Une fois que vous avez obtenu la configuration de vue souhaite, cliquez sur Afficher le journal. La vue de journal apparat dans la mme fentre.
1 2 3 4 5
Dans la fentre principale, cliquez sur Contrles. Dans la zone de liste Type de journal de l'onglet Journaux, slectionnez le type de journal que vous souhaitez afficher. Pour certains types de journaux, la zone de liste Contenu du journal s'affiche. Si elle apparat, slectionnez le contenu que vous voulez afficher. Cliquez sur Afficher le journal. Cliquez sur l'vnement dont vous souhaitez afficher les dtails, puis cliquez sur Dtails.
Affichage et configuration des journaux et des notifications Enregistrement et suppression des filtres
299
Si vous choisissez de rpliquer des journaux, vous consultez par dfaut la fois les informations de votre site et celles des sites rpliqus lorsque vous affichez tout journal. Pour consulter un seul site, vous devez filtrer les donnes pour les limiter l'emplacement afficher. Remarque : Si vous choisissez de rpliquer des journaux, assurez-vous de disposer de suffisamment d'espace disque pour les journaux supplmentaires de tous les partenaires de rplication. Pour afficher les journaux d'un autre site
1 2
Ouvrez un navigateur Web. Tapez le nom ou l'adresse IP du serveur et le numro de port, 9090, dans la zone d'adresse de la manire suivante : http://192.168.1.100:9090 La console effectue alors le tlchargement. L'environnement d'excution Java 2 (JRE) doit tre install sur l'ordinateur partir duquel vous vous connectez. Si tel n'est pas le cas, vous tes invit tlcharger et installer JRE. Suivez les invites pour installer JRE. Se reporter "Connexion la console Symantec Endpoint Protection Manager." la page 39.
3 4
Dans la bote de dialogue de connexion de la console, tapez votre nom d'utilisateur et votre mot de passe. Dans la zone de texte Serveur, si elle ne se remplit pas automatiquement, saisissez le nom ou l'adresse IP du serveur et le numro de port 8443 de la manire suivante : http://192.168.1.100:8443
300
Affichage et configuration des journaux et des notifications Enregistrement et suppression des filtres
Remarque : Si vous avez slectionn Dernires 24 heures comme plage horaire pour un filtre de journal, la plage horaire de 24 heures dbute lorsque vous slectionnez le filtre pour la premire fois. Si vous actualisez la page, le point de dpart de l'intervalle de 24 heures n'est pas rinitialis. Si vous slectionnez le filtre et dcidez d'afficher un journal, la plage horaire dbute lorsque vous slectionnez le filtre et non pas lorsque vous affichez le journal. Si vous souhaitez que la plage horaire Dernires 24 heures dbute immdiatement, slectionnez une autre plage horaire, puis reslectionnez le filtre Dernires 24 heures. Pour enregistrer un filtre
1 2 3
Dans la fentre principale, cliquez sur Contrles. Dans l'onglet Journaux, slectionnez le type d'affichage de journal pour lequel vous souhaitez configurer un filtre dans la zone de liste Type de journal. Pour certains types de journaux, la zone de liste Contenu du journal s'affiche. Si elle apparat, slectionnez le contenu pour lequel vous souhaitez configurer un filtre. Dans la zone de liste Utilisez un filtre sauvegard, slectionnez le filtre partir duquel vous souhaitez dmarrer. Vous pouvez slectionner le filtre par dfaut, par exemple. Sous Quels paramtres de filtrage voulez-vous utiliser ?, cliquez sur Paramtres avancs. Modifiez les paramtres selon vos besoins. Cliquez sur Enregistrer le filtre. Dans la zone Nom de filtre de la bote de dialogue qui s'affiche, tapez le nom utiliser pour cette configuration de filtre de journal. Seuls les 32 premiers caractres du nom s'affichent lorsque le filtre sauvegard est ajout la liste des filtres. Cliquez sur OK. Votre nouveau nom de filtre est ajout la zone de liste Utilisez un filtre sauvegard.
5 6 7 8
Affichage et configuration des journaux et des notifications Paramtres de base du filtre pour les journaux et les rapports
301
1 2 3
Dans la zone de liste Utilisez un filtre sauvegard, slectionnez le nom du filtre de journal supprimer. En regard de la zone de liste Utilisez un filtre sauvegard, cliquez sur l'icne Supprimer. Vous tes alors invit confirmer la suppression du filtre. Cliquez sur Oui.
Deux utilisateurs sont connects au compte "admin" par dfaut sur diffrents sites et chacun d'eux cre un filtre avec le mme nom. Un utilisateur cre un filtre, se connecte un site diffrent et cre immdiatement un filtre avec le mme nom.
Si l'une ou l'autre condition se produit avant que la rplication de site ait lieu, deux filtres avec le mme nom s'affichent alors dans la liste des filtres. Seul l'un des filtres est utilisable. Si ce problme se pose, la meilleure action consiste supprimer le filtre utilisable et le recrer avec un nom diffrent. Si vous supprimez le filtre utilisable, vous supprimez galement le filtre inutilisable. Se reporter "Enregistrement et suppression des filtres" la page 299.
302
Affichage et configuration des journaux et des notifications Paramtres de base du filtre pour les journaux et les rapports
Audit Contrle des applications et des priphriques Conformit Etat de l'ordinateur Protection contre les menaces rseau Analyse proactive des menaces TruScan Risque Analyse Systme
Contenudujournal/Contenu S'il existe plusieurs journaux ou rapport de ce type, vous du rapport pouvez slectionner le type de contenu afficher. Utiliser un filtre enregistr Spcifie le filtre utiliser pour crer la vue. Vous pouvez utiliser le filtre par dfaut ou un filtre personnalis que vous avez nomm et enregistr pour afficher des informations du journal ou du rapport. Plage horaire Spcifie l'intervalle de temps des vnements afficher dans le journal ou le rapport. Slectionnez une des priodes suivantes :
Dernires 24 heures La semaine dernire Le mois dernier Le mois en cours Les trois derniers mois L'anne dernire Dfinir des dates spcifiques
Disponible uniquement pour le journal Etat de l'ordinateur lorsque vous slectionnez Dfinir des dates spcifiques pour l'intervalle de temps. Spcifie que vous voulez consulter toutes les entres qui impliquent un ordinateur qui ne s'est pas authentifi son serveur depuis cette poque.
Affichage et configuration des journaux et des notifications Paramtres avancs du filtre pour les journaux et les rapports
303
Paramtre
Paramtres avancs
Description
Chaque journal ou rapport dispose de paramtres avancs qui lui sont spcifiques. Cliquez sur Paramtres avancs et Paramtres de base pour alterner entre les deux.
Les paramtres avancs permettent un contrle supplmentaire des donnes afficher. Ils sont spcifiques au type et au contenu de rapport. Pour une description de chaque paramtre avanc que vous pouvez configurer, vous pouvez cliquer sur Plus d'infos pour afficher l'aide contextuelle pour ce type de rapport. Se reporter "Enregistrement et suppression des filtres" la page 299.
Les groupes de serveurs hrits sont classs comme des domaines Les groupes de clients hrits sont classs comme des groupes Les serveurs parents hrits sont classs comme des serveurs
Remarque : Vous ne pouvez pas filtrer sur les donnes hrites de Symantec Client Firewall pour les signatures de prvention d'intrusion. Pour consulter les versions de signature qui s'excutent sur un ordinateur, vous pouvez accder au journal ou au rapport Etat de l'ordinateur. Slectionnez un ordinateur sur lequel Symantec Client Firewall est install, puis cliquez sur Dtails. Le champ Version IDS contient ces informations. Pour une description de chaque option configurable, vous pouvez cliquer sur Plus d'infos pour ce type de journal ou de rapport sur la console Symantec Endpoint Protection Manager. Cliquez sur Plus d'infos pour afficher l'aide contextuelle. Se reporter "Enregistrement et suppression des filtres" la page 299.
304
Affichage et configuration des journaux et des notifications Excuter des commandes et des actions partir des journaux
Affichage et configuration des journaux et des notifications Excuter des commandes et des actions partir des journaux
305
Les journaux suivants permettent d'ajouter des exceptions une politique Exceptions centralises :
Journal de Contrle d'applications Journal d'Analyse proactive des menaces TruScan Journal de Risques
Se reporter "Cration d'exceptions centralises partir des vnements de journal" la page 658. Pour ajouter un type quelconque d'exception partir d'un journal, vous devez avoir dj cr une politique Exceptions centralises. Se reporter "Configuration d'une politique d'exceptions centralises" la page 649. Dans le journal Risques, vous pouvez galement supprimer des fichiers de Quarantaine. Si Symantec Endpoint Protection dtecte des risques dans un fichier compress, le fichier compress est mis en quarantaine dans son ensemble. Toutefois, le journal Risques contient une entre spare pour chaque fichier du fichier compress. Il est impossible d'utiliser la commande Supprimer de la quarantaine du journal Risques pour supprimer uniquement les fichiers infects de la Quarantaine. Pour supprimer le(s) risque(s) avec succs, vous devez slectionner tous les fichiers du fichier compress avant d'utiliser la commande Supprimer de la quarantaine. Remarque : Pour slectionner les fichiers dans le fichier compress, vous devez les afficher tous dans la vue de journal. Vous pouvez utiliser l'option Limiter dans le filtre du journal Risques, la zone Paramtres avancs, pour augmenter le nombre d'entres de la vue. Pour supprimer des fichiers de la quarantaine partir du journal Risques
1 2 3 4 5 6 7
Cliquez sur Contrleurs. Sur l'onglet Journaux de la zone de liste Type de journal, slectionnez le journal Risques, puis cliquez sur Afficher le journal. Slectionnez dans le journal une entre qui a un fichier en quarantaine. Dans la liste Action, slectionnez Supprimer de la quarantaine. Cliquez sur Dmarrer. Dans la bote de dialogue qui s'affiche, cliquez sur Supprimer. Dans la bote de dialogue de confirmation, cliquez sur OK.
306
Affichage et configuration des journaux et des notifications Excuter des commandes et des actions partir des journaux
1 2 3
Cliquez sur Contrleurs. Sur l'onglet Journaux de la zone de liste Type de journal, slectionnez le journal Risques, puis cliquez sur Afficher le journal. Slectionnez toutes les entres de fichier dans le fichier compress. Vous devez voir toutes les entres du fichier compress dans la vue de journal. Vous pouvez utiliser l'option Limiter sous Paramtres avancs pour augmenter le nombre d'entres dans la vue.
4 5 6 7
Dans la liste Action, slectionnez Supprimer de la quarantaine. Cliquez sur Dmarrer. Dans la bote de dialogue qui s'affiche, cliquez sur Supprimer. Dans la bote de dialogue de confirmation, cliquez sur OK.
1 2 3 4 5
Cliquez sur Contrleurs. Sur l'onglet Journaux, dans la zone de liste Type de journal, slectionnez Etat de l'ordinateur. Cliquez sur Afficher le journal. Slectionnez une commande dans la zone de liste Action. Cliquez sur Dmarrer. S'il y a des choix de paramtres pour la commande que vous avez slectionne, une nouvelle page parat pour configurer les paramtres appropris.
6 7 8
Une fois la configuration termine, cliquez sur Oui ou sur OK. Dans la bote de message de confirmation de commande qui s'affiche, cliquez sur Oui. Dans la bote de dialogue Message, cliquez sur OK. Si la commande n'est pas mise en attente avec succs, vous devrez peut-tre rpter cette procdure. Vous pouvez vrifier si le serveur est en panne. Si la console a perdu la connectivit avec le serveur, vous pouvez fermer la session de console puis rouvrir une session pour essayer de rsoudre le problme.
1 2
Cliquez sur Contrleurs. Sur l'onglet Etat de la commande, slectionnez une commande dans la liste puis cliquez sur Dtails.
Affichage et configuration des journaux et des notifications Exportation des donnes de journal
307
1 2 3
Cliquez sur Contrleurs. Sur l'onglet Etat de la commande, cliquez sur l'icone Annuler l'analyse dans la colonne Commande de la commande d'analyse annuler. Lorsqu'un message s'affiche pour confirmer que la commande a t mise en file d'attente, cliquez sur OK.
1 2 3 4 5 6
Cliquez sur Contrleurs. Sur l'onglet Journaux, dans la zone de liste Type de journal, slectionnez Etat de l'ordinateur. Cliquez sur Afficher le journal. Slectionnez les ordinateurs dans la liste, puis Tout annuler dans la liste des commandes. Cliquez sur Dmarrer. Lorsque la bote de dialogue de confirmation s'affiche, cliquez sur Oui pour annuler toutes les analyses en cours et en attente pour les ordinateurs slectionns. Lorsqu'un message s'affiche pour confirmer que la commande a t mise en file d'attente, cliquez sur OK.
308
Affichage et configuration des journaux et des notifications Exportation des donnes de journal
exports. Chaque champ apparat dans une colonne spare, un enregistrement spar du journal sur chaque ligne. Remarque : Vous ne pouvez pas restaurer la base de donnes en utilisant les donnes exportes du journal. Se reporter "Exportation des donnes de journal vers un fichier texte dlimit par des virgules" la page 311. Se reporter "L'exportation de donnes vers un serveur Syslog" la page 310. Se reporter "Exportation de donnes de journal vers un fichier texte" la page 308.
Donnes de journal
Administration de serveur Contrle des applications du serveur Client serveur Politique serveur Systme serveur Paquet client Menace proactive client Risque client Analyse client
Affichage et configuration des journaux et des notifications Exportation des donnes de journal
309
Donnes de journal
Scurit client Systme client Trafic client
Remarque : Les noms de journal dans Tableau 13-3 ne correspondent pas linairement aux noms de journal utiliss sur l'onglet Journaux de la page Ecrans. Tableau 13-4 affiche la correspondance des types de donnes de journal avec les noms des fichiers de donnes de journal exports pour les journaux d'Enforcer. Tableau 13-4 Noms de fichiers texte supplmentaires pour Symantec Network Access Control Nom de fichier texte
scm_enforcer_act.log enf_client_act.log enf_system.log enf_traffic.log
Donnes de journal
Activit du serveur Enforcer Activit de client Enforcer Systme Enforcer Trafic Enforcer
Remarque : Lorsque vous exportez des donnes de journal vers un fichier texte, le nombre d'enregistrements exports peut diffrer du nombre dfini dans la bote de dialogue Journalisation externe. Cette situation apparat lorsque vous redmarrez le serveur de gestion. Aprs que vous ayez redmarr le serveur de gestion, le compte d'entre de journal se rinitialise zro, mais il peut dj y avoir des entres dans les fichiers journaux temporaires. Dans cette situation, le premier fichier *.log de chaque type qui est gnr aprs le redmarrage contient plus d'entres que la valeur spcifie. Tous les fichiers journaux qui sont ultrieurement exports contiennent le nombre correct d'entres. Pour plus d'informations sur les options dfinir dans cette procdure, cliquez sur Aide sur l'onglet Gnral, dans la bote de dialogue Journalisation externe du site. Se reporter "Exportation des donnes de journal" la page 307.
310
Affichage et configuration des journaux et des notifications Exportation des donnes de journal
1 2 3 4 5 6
Dans la console, cliquez sur Admin. Cliquez sur Serveurs. Cliquez sur le site local ou le site distance dont vous voulez configurer la journalisation externe. Cliquez sur Configurer la journalisation externe. Sur l'onglet Gnral, slectionnez la frquence laquelle vous voulez que les donnes de journal soient envoyes au fichier. Dans la zone de liste Serveur principal de journalisation, slectionnez le serveur vers lequel vous voulez envoyer des journaux. Si vous utilisez Microsoft SQL avec plus d'un serveur de gestion se connectant la base de donnes, un seul serveur doit tre le serveur principal de journalisation.
7 8 9
Cochez Exporter les journaux vers un fichier de vidage. Au besoin, cochez l'option Limiter les enregistrements du fichier de vidage et tapez le nombre d'entres envoyer la fois au fichier texte. Sur l'onglet Filtre de journal, slectionnez tous les journaux envoyer aux fichiers texte. Si un type de journal que vous slectionnez vous permet de slectionner le niveau de gravit, vous devez cocher les niveaux de gravit que vous voulez enregistrer. Tous les niveaux que vous slectionnez sont enregistrs.
Affichage et configuration des journaux et des notifications Exportation des donnes de journal
311
1 2 3 4 5 6
Dans la console, cliquez sur Administration. Cliquez sur Serveurs. Cliquez sur le site local ou le site distance partir duquel vous souhaitez exporter des donnes de journal. Cliquez sur Configurer la consignation externe. Sur l'onglet Gnral, slectionnez la frquence laquelle vous voulez que les donnes de journal soient envoyes au fichier. Dans la zone de liste de Serveur de journalisation principal, slectionnez le serveur que vous voulez envoyer des journaux . Si vous utilisez Microsoft SQL et si vous avez plusieurs serveurs de gestion connects la base de donnes, vous n'avez besoin que d'un seul serveur qui soit serveur principal de consignation.
7 8
Cochez Activer la transmission des journaux un Serveur Syslog. Configurez selon vos prfrences les champs suivants :
Serveur Syslog : Entrez l'adresse IP ou le nom de domaine du serveur Syslog qui doit recevoir les donnes de journal. Port de destination UDP : Entrez le port de destination utilis par le serveur Syslog pour couter les messages Syslog ou utilisez le paramtre par dfaut. Service de journal : Entrez le numro du service de journal qui sera utilis dans le fichier de configuration Syslog ou utilisez le paramtre par dfaut. Les valeurs valides sont comprises entre 0 et 23.
Dans l'onglet Filtre de journal, slectionnez tous les journaux que vous dsirez envoyer aux fichiers texte. Si un type de journal que vous slectionnez vous permet de choisir le niveau de gravit, cochez les niveaux de gravit que vous voulez enregistrer.
Exportation des donnes de journal vers un fichier texte dlimit par des virgules
Vous pouvez exporter les donnes des journaux vers un fichier texte dlimit par des virgules.
312
Se reporter "Exportation des donnes de journal" la page 307. Pour exporter des journaux vers un fichier texte dlimit par des virgules
1 2 3 4 5 6 7 8
Dans la console, cliquez sur Contrles. Dans l'onglet Journaux, slectionnez le journal exporter. Modifiez les Paramtres de base ou les Paramtres avancs. Cliquez sur Afficher le journal. Cliquez sur Exporter. Dans la nouvelle fentre qui s'affiche, cliquez sur le menu Fichier, puis sur Enregistrer sous. Si vous tes invit continuer, cliquez sur Oui. Dans la fentre Enregistrer la page Web qui s'affiche, utilisez la zone de liste Enregistrer dans pour rechercher le rpertoire dans lequel vous souhaitez enregistrer le fichier. Dans la zone de texte Nom du fichier, tapez le nom de fichier utiliser. dans la zone de liste Enregistrer sous.
10 Pour enregistrer les donnes brutes, slectionnez le type Fichier texte (*.txt) 11 Cliquez sur Enregistrer pour exporter les donnes vers le fichier.
Envoyer un courrier lectronique. Excuter un fichier batch ou un autre fichier excutable. Consigner une entre dans le journal des notifications de la base de donnes.
Se reporter "Cration des notifications d'administrateur" la page 314. Se reporter "Affichage et filtrage des informations de notification administrateur" la page 313.
313
Plage horaire Etat accus de rception Type de notification Cr par Nom de notification.
1 2
Dans la console, cliquez sur Clients. Dans l'onglet Notifications, cliquez sur Afficher les notifications. La liste de tous les types de notifications apparat.
1 2 3
Dans la console, cliquez sur Indicateurs. Dans l'onglet Notifications, sous Quels paramtres de filtrage voulez-vous utiliser ?, cliquez sur Paramtres avancs. Dfinissez l'option de filtrage souhaite. Vous pouvez raliser un filtrage sur n'importe quelle combinaison : intervalle de temps, tat d'accus de rception, type de notification, crateur ou nom spcifique de notification.
Cliquez sur Afficher les notifications. Une liste du type de notifications que vous avez slectionnes apparat.
314
notifications trop rarement ou si les notifications vous inondent, vous ou votre rseau. Pour la dtection des virus, des risques de scurit et des vnement de pare-feu, supposons que vous ayez moins de 100 ordinateurs dans un rseau. Un point de dpart raisonnable pour ce rseau serait de configurer une notification quand deux vnements de risque sont dtects dans un dlai d'une minute. Si vous avez 100 1000 ordinateurs, la dtection de cinq vnements de risque dans un dlai d'une minute peut constituer un point de dpart plus utile. Vous pouvez galement vouloir tre alert quand les clients ont des dfinitions primes. Vous pouvez vouloir tre avis de chaque client dont le fichier de dfinitions est prim de plus de deux jours. Se reporter "Cration des notifications d'administrateur" la page 314.
Consigner la notification dans la base de donnes. Envoyer un courrier lectronique aux individus. Remarque : Pour envoyer des notifications par message lectronique, vous devez galement configurer un serveur de messagerie. Pour configurer un serveur de messagerie, cliquez sur la page Admin > Serveurs, slectionnez un serveur, cliquez sur Modifier les proprits du serveur, puis cliquez sur l'onglet Serveur de messagerie :. Excuter un fichier batch ou tout autre genre de fichier excutable.
La priode d'attnuation par dfaut des notifications est Auto (automatique). Si une notification est dclenche et que l'tat de dclenchement continue exister, l'action de notification que vous avez configure n'est pas excute de nouveau pendant 60 minutes. Par exemple, supposons que vous dfinissiez une notification de sorte que vous tre avis par courrier lectronique quand un virus infecte cinq ordinateurs dans un dlai d'une heure. Si un virus continue infecter vos ordinateurs ce taux ou un taux suprieur, Symantec Endpoint Protection vous en informe par courrier lectronique toute les heures. Les messages lectroniques continuent jusqu' ce que la cadence ralentisse moins de cinq ordinateurs par heure.
315
Vous pouvez configurer le logiciel pour vous informer quand un certain nombre de diffrents types d'vnements se produisent. Se reporter "Directives de seuil pour les notifications d'administrateur" la page 313. Tableau 13-5 dcrit les diffrents types d'vnements qui dclenchent diffrents types de notifications. Tableau 13-5 Notification
Echec d'authentification
316
Notification
Application force ou commerciale dtecte
Description
La dtection d'une application de la liste des applications commerciales ou de la liste des applications observer de l'administrateur dclenche cette notification. Les nouvelles applications apprises dclenchent ce type de notification. Les nouveaux risques dclenchent ce type de notification. Les tlchargements de nouveaux packages logiciels dclenchent ce type de notification. Vous dfinissez le nombre et le type d'occurrences des nouveaux risques et la priode qui devraient dclencher ce type de notification. Les types comprennent les occurrences sur n'importe quel ordinateur, les occurrences sur un unique ordinateur et les occurrences sur des ordinateurs distincts. Les tats de sant du serveur hors ligne, mdiocre ou critique dclenchent cette notification. La notification liste le nom du serveur, l'tat de sant, la raison et le dernier tat. La dtection d'un unique vnement de risque dclenche cette notification. La notification liste un certain nombre de dtails au sujet du risque, incluant l'utilisateur et l'ordinateur impliqus et la mesure prise par Symantec Endpoint Protection. Les vnements systme tels que les activits du serveur et du module Enforcer, les checs de rplication, les problmes de sauvegarde et de restauration et les erreurs systme dclenchent cette notification. La notification liste le nombre d'vnements de ce type qui ont t dtects. Les ordinateurs autonomes dclenchent cette notification. La notification liste des dtails tels que l'adresse IP, l'adresse MAC et le systme d'exploitation pour chaque ordinateur.
Propagation de risque
Etat du serveur
Evnement systme
Ordinateurs autonomes
317
Notification
Dfinitions de virus primes
Description
Vous dfinissez le dlai "prim" en configurant la notification. Vous dfinissez le nombre d'ordinateurs et le nombre de jours dont les dfinitions de l'ordinateur doivent tre ges pour dclencher cette notification.
En utilisant les paramtres Conditions de notification, vous pouvez configurer une alerte de scurit client par occurrences sur tout ordinateur, sur un ordinateur unique ou sur plusieurs ordinateurs. Vous pouvez galement configurer ces options pour une propagation de risque. Vous pouvez vouloir crer une notification de protection contre les menaces rseau dclenche quand un vnement de trafic correspond aux critres dfinis pour une rgle de filtrage. Pour crer ce type de notification, vous devez effectuer les tches suivantes :
Dans la liste Rgles de politique de pare-feu, cochez l'option Envoyer une alerte par message lectronique dans la colonne Consigner des rgles dont vous souhaitez recevoir des notifications. Sur l'onglet Notifications, configurez une alerte de scurit client pour les vnements de la protection contre les menaces rseau, de paquet ou de trafic.
Se reporter "Configurer des notifications pour la protection contre les menaces rseau" la page 573. Pour une description de chaque option configurable, vous pouvez cliquer sur Plus d'infos sur la console Symantec Endpoint Protection Manager. Plus d'infos affiche l'aide contextuelle. Remarque : Vous pouvez filtrer la vue des Conditions de notification que vous avez cre, en utilisant la zone de liste Afficher les types de notification. Pour tre sr que les nouvelles notifications cres sont affiches, vrifiez que l'option Tout est slectionne dans cette zone de liste. Pour crer une notification
1 2 3 4
Dans la console, cliquez sur Contrleurs. Sur l'onglet Notifications, cliquez sur Conditions de notification. Cliquez sur Ajouter, puis slectionnez le type de notification que vous voulez ajouter, partir de la liste qui s'affiche. Dans la nouvelle fentre qui s'affiche, dans la zone de texte Nom de la notification, saisissez un nom descriptif.
318
Spcifiez les options de filtre que vous voulez. Par exemple, pour certains types de notifications, vous pouvez limiter la notification des domaines, groupes, serveurs, ordinateurs, risques ou applications spcifiques. Spcifiez les paramtres de notification et les actions que vous voulez voir se produire quand cette notification est dclenche. Vous pouvez cliquer sur Aide pour consulter les descriptions d'options disponibles pour tous les types de notifications. Si vous slectionnez Excuter le fichier batch ou excutable comme action effectuer, tapez le nom du fichier. Les noms de chemin d'accs ne sont pas autoriss. Le fichier batch ou le fichier excutable excuter doit se trouver dans le rpertoire suivant : lecteur:\Program Files\Symantec\Symantec Endpoint Protection Manager\ bin Si vous slectionnez Envoyer un message lectronique comme action effectuer, la notification par email dpend de l'option du nom d'utilisateur du serveur de messagerie. Le nom d'utilisateur configur pour le serveur de messagerie dans la bote de dialogue Proprits de serveur doit tre de la forme utilisateur@domaine. Si ce champ est laiss vide, les notifications sont envoyes par SYSTEM@nom d'ordinateur. Si le serveur de notification a un nom utilisant des caractres sur deux octets (DBCS), vous devez spcifier le champ de nom d'utilisateur avec un nom de compte d'email de la forme utilisateur@domaine.
1 2 3 4 5 6
Dans la console, cliquez sur Contrleurs. Sur l'onglet Notifications, cliquez sur Conditions de notification. Cliquez sur Ajouter et slectionnez Alerte de scurit client. Tapez un nom pour cette notification. Si vous voulez limiter cette notification des domaines, groupes, serveurs ou ordinateurs spcifiques, spcifiez les options de filtrage que vous voulez. Slectionnez un des types suivants de manifestation :
Occurrences sur des ordinateurs distincts Occurrences sur tout ordinateur Occurrences sur un ordinateur
Pour spcifier le type d'activit de protection contre les menaces rseau, cochez l'une des cases suivantes :
319
Pour les attaques et les vnements que le pare-feu ou la prvention d'intrusion dtecte, cochez Evnements de protection contre les menaces rseau. Pour les rgles de filtrage dclenches et enregistres dans le journal Paquets, cochez Evnements de paquets. Pour les rgles de filtrage dclenches et enregistres dans le journal Trafic, cochez Evnements de trafic.
Eventuellement, modifiez les conditions de notification par dfaut pour dfinir le nombre d'occurrences dans le nombre de minutes que vous voulez voir dclencher cette notification. Cochez Envoyer un message lectronique , puis tapez les adresses lectroniques des personnes que vous voulez informer quand ces critres sont remplis.
320
Chapitre
14
Grer des domaines et des comptes administrateur A propos des domaines Ajout d'un domaine Spcifier le domaine courant A propos des administrateurs Ajouter un compte d'administrateur A propos des droits d'accs Configurer les droits d'accs pour un administrateur limit Basculer entre un administrateur et un administrateur limit Verrouillage d'un compte d'administrateur aprs de trop nombreuses tentatives de connexion Rinitialisation du mot de passe administrateur admin Installer l'authentification pour les comptes administrateur Renommer un compte administrateur Modifier le mot de passe d'un administrateur
322
Grer des domaines et des administrateurs Grer des domaines et des comptes administrateur
Dcidez qui doit accder Symantec Endpoint Protection Manager. Dcidez si l'accs devrait tre restreint ou sans restriction. Ces administrateurs peuvent afficher et grer le contenu de leur propre domaine, mais ils ne peuvent pas afficher et grer le contenu d'autres domaines. Se reporter "A propos des administrateurs" la page 326.
Crez un compte pour les administrateurs et les utilisateurs qui ont besoin de l'accs Symantec Endpoint Protection Manager. Se reporter "Ajouter un compte d'administrateur" la page 329.
Au besoin, vous pouvez modifier des comptes aprs que vous les avez cr. Se reporter "Basculer entre un administrateur et un administrateur limit" la page 333.
Verrouiller un compte Vous pouvez verrouiller un compte administrateur aprs que administrateur quelqu'un a essay d'ouvrir une session Symantec Endpoint Protection Manager trop de fois. Se reporter "Verrouillage d'un compte d'administrateur aprs de trop nombreuses tentatives de connexion" la page 333.
323
Tche
Rinitialiser les mots de passe
Description
Vous pouvez effectuer les tches suivantes pour des mots de passe :
Se reporter "Rinitialisation du mot de passe administrateur admin" la page 334. Modifier le mot de passe d'un administrateur Se reporter "Modifier le mot de passe d'un administrateur" la page 337.
324
Figure 14-1
Client A
Client B
Client C
https
https
https
Console SEPM
Console SEPM
Console SEPM
Domaine A
Domaine B
Domaine C
Quand vous ajoutez le domaine, au dbut, le domaine est vide. Vous devez configurer le domaine pour qu'il soit le domaine courant. Vous ajoutez alors des groupes, des clients, des ordinateurs et des politiques ce domaine. Se reporter "Ajout d'un domaine" la page 324. Se reporter "Spcifier le domaine courant" la page 325. Vous pouvez copier des politiques et des clients d'un domaine l'autre. Pour copier des politiques entre les domaines, vous exportez la politique du domaine d'origine et vous importez la politique dans le domaine de destination. Pour copier des clients entre les domaines, vous pouvez utiliser l'outil SylinkDrop. Cet outil remplace le fichier de communication sur un client pour permettre au client de parler un serveur de gestion diffrent. L'outil SylinkDrop se trouve dans le dossier Tools\NoSupport\Sylinkdrop sur le CD 3. Se reporter "Exporter une politique" la page 109. Se reporter "Rcuprer les paramtres de communication client en utilisant l'outil SylinkDrop" la page 205.
325
Se reporter "A propos des domaines" la page 323. Remarque : Vous pouvez utiliser un ID de domaine pour la reprise aprs incident. Si tous les serveurs de gestion de votre entreprise sont dfaillants, vous devez recrer le serveur de gestion en utilisant le mme ID que l'ancien serveur. Vous pouvez obtenir l'ancien ID de domaine depuis le fichier sylink.xml dans n'importe quel client. Pour ajouter un domaine
1 2 3 4 5 6 7
Dans la console, cliquez sur Admin. Dans la page Admin, cliquez sur Domaines. Sous Tches, cliquez sur Ajouter domaine. Dans la bote de dialogue Ajouter un domaine, tapez un nom de domaine et un nom de socit facultatif. Dans la zone de texte Liste de contacts, tapez ventuellement des informations supplmentaires, telles que le nom de la personne responsable du domaine. Pour ajouter un ID de domaine, cliquez sur Avanc et tapez la valeur dans la zone de texte. Cliquez sur OK.
326
1 2 3
Dans la console, cliquez sur Admin. Dans la page Admin, cliquez sur Domaines. Ajoutez et puis slectionnez un nouveau domaine. Se reporter "Ajout d'un domaine" la page 324.
4 5 6
Sous Tches, cliquez sur Administrer le domaine. Dans la bote de dialogue Administrer domaine, pour confirmer, cliquez sur Oui. Cliquez sur OK.
327
Tableau 14-2
Rle d'administrateur
Administrateur systme
Crer et grer tous les autres comptes administrateur systme, comptes administrateur et administrateur limit pour tous les domaines. Grer les bases de donnes et les serveurs de gestion.
Grer les modules d'application Enforcer. Afficher et utiliser tous les paramtres de console.
Administrateur
Crer et grer des comptes administrateur et des comptes administrateur limit dans un seul domaine. Ces droits incluent les notifications, paramtres de scurit, paramtres de groupe et paramtres de politique. Ne peut pas grer des bases de donnes ou des serveurs de gestion. Ne peut pas grer des modules d'application Enforcer.
Peut afficher et utiliser tous les paramtres de console pour un seul domaine.
328
Rle d'administrateur
Administrateur limit
Responsabilits
Un administrateur limit peut effectuer les tches suivantes :
Effectuer les tches dans un domaine mais ne peut pas grer un domaine. Grer les rapports, excuter les commandes distantes et configurer les politiques pour les groupes spcifiques dans un seul domaine. Les administrateurs limits qui n'ont pas accs une politique spcifique et des paramtres relatifs ne peuvent pas afficher ou modifier la politique. En outre, ils ne peuvent pas appliquer, remplacer ou retirer une politique. Ne peut pas crer d'autres comptes administrateur limits. Seulun administrateur systme ou un administrateur peut configurer les droits pour l'administrateur limit. Gre les droits de mot de passe pour son compte personnel uniquement. Peut afficher Domicile, Contrles ou signaler des pages dans la console seulement s'il a recu les droits lui permettant d'effectuer des rapports.
Vous pouvez dfinir un rle d'administrateur pour chaque type d'administrateur dans votre socit. Par exemple, une grande entreprise peut utiliser les types d'administrateurs suivants :
Un administrateur qui installe le serveur de gestion et les packages d'installation client. Aprs que le produit soit install, un administrateur responsable des oprations prend la relve. Un administrateur d'oprations met jour les serveurs, bases de donnes et installe des correctifs. Un administrateur d'antivirus, qui cre et met jour l'antivirus et les politiques antivirus et le Politiques LiveUpdate sur les clients. Un administrateur de bureau, qui est responsable de la scurit et cre et met jour les politiques de pare-feu et des politiques de prvention d'intrusion pour les clients. Un administrateur de service de support, qui cre des rapports et a accs aux politiques en lecture seule. L'administrateur d'antivirus et l'administrateur de bureau lisent les rapports que l'administrateur de service de support envoie.
329
Dans ce scnario, l'administrateur qui installe le serveur de gestion et l'administrateur d'oprations devraient tre des administrateurs systme. L'administrateur d'antivirus et l'administrateur de bureau devraient tre des administrateurs pour leur domaine uniquement. L'administrateur de service de support devrait tre un administrateur limit. Lorsque vous installez Symantec Endpoint Protection Manager, un administrateur systme par dfaut appel admin est cr. Vous pouvez ensuite crer un compte pour tous les administrateurs que vous ajoutez. Se reporter "Ajouter un compte d'administrateur" la page 329.
1 2 3 4
Dans la console, cliquez sur Admin. Dans la page Admin, cliquez sur Administrateurs. Sous Tches, cliquez sur Ajouter un administrateur. Dans la bote de dialogue Ajouter un administrateur, entrez le nom de l'administrateur. Ce nom est celui avec lequel l'administrateur se connecte et par lequel il est reconnu dans l'application.
330
Entrez puis confirmez le mot de passe. Le mot de passe doit contenir au moins six caractres. Tous les caractres sont autoriss.
Pour configurer la mthode d'authentification, cliquez sur Modifier. La valeur par dfaut est Authentification de serveur de gestion Symantec. Vous pouvez configurer le dlai d'expiration du mot de passe pour la mthode par dfaut ou modifier la mthode d'authentification. Se reporter "Installer l'authentification pour les comptes administrateur" la page 335.
8 9
Administrateur systme Administrateur les administrateurs peuvent excuter des rapports sur tous les groupes. Si vous avez migr depuis Symantec AntiVirus 10.x et voulez que l'administrateur excute des rapports pour ces groupes de serveurs migrs, cliquez sur Droits sur les rapports. Administrateur limit Se reporter "Configurer les droits d'accs pour un administrateur limit" la page 331.
Grer des domaines et des administrateurs Configurer les droits d'accs pour un administrateur limit
331
limitez galement les paramtres disponibles dans l'onglet Politiques de la page Clients. Les administrateurs ont par dfaut tous les droits d'accs, except des droits de rapport aux groupes de serveurs de Symantec AntiVirus 10.x. Les administrateurs limits n'ont aucun droit d'accs par dfaut ; vous devez explicitement configurer les droits. Tableau 14-3 Types de droits d'accs Types de droits d'accs Description
Droits de reporting Pour les administrateurs, indique les groupes de serveurs de Symantec AntiVirus excut 10.x pour lequel l'administrateur peut afficher des rapports. Les administrateurs peuvent afficher tous les autres rapports. Pour les administrateurs limits, indique tous les ordinateurs pour lesquels l'administrateur peut excuter des rapports. Indique galement les groupes de serveurs qui excutent Symantec AntiVirus 10.x pour lequel l'administrateur peut afficher des rapports. Droits de Groupe Pour les administrateurs limits seulement, indique quels groupes l'administrateur limit peut afficher et grer (accs complet), peut afficher uniquement (accs en lecture seule) ou ne peut pas afficher (aucun accs). Pour les administrateurs limits seulement, indique quels commandes l'administrateur limit peut excuter sur les ordinateurs client. L'administrateur limit peut seulement excuter ces commandes sur les clients et les groupes auxquels elles ont un accs total. Les droits de commande sont seulement disponibles si le reporting des droits ou les droits de groupe sont configurs pour l'administrateur limit. Droits de type de politique Pour les administrateurs limits seulement, indique quelles politiques et paramtres lis aux politiques l'administrateur peut grer.
Droits de Commande
Se reporter "Configurer les droits d'accs pour un administrateur limit" la page 331.
332
Grer des domaines et des administrateurs Configurer les droits d'accs pour un administrateur limit
d'accs crs pour l'administrateur limit sont dans un tat dsactiv et l'empchent de se connecter au serveur de gestion. Se reporter "A propos des droits d'accs" la page 330. Remarque : Assurez-vous que vous accordez des droits de cration de rapports aux administrateurs limits qui utiliseront Symantec Protection Center pour accder la console Symantec Endpoint Protection Manager. Les droits de cration de rapport sont ncessaires pour intgrer Symantec Endpoint Protection Manager avec Symantec Protection Center. Se reporter "A propos de la gestion des comptes Symantec Protection Center" la page 49. Pour configurer les droits pour un administrateur limit
1 2 3
Dans la console, cliquez sur Admin. Sur la page Administrateur, cliquez sur Administrateurs. Slectionnez un administrateur limit. Vous pouvez galement configurer les droits d'accs quand vous crez un compte administrateur limit. Se reporter "Ajouter un compte d'administrateur" la page 329.
4 5
Sous Tches, cliquez sur Modifier les proprits administrateur, puis sur Droits d'accs. Sur l'onglet Droits d'accs, assurez-vous qu'Administrateur limit est slectionn et effectuez l'une des actions suivantes :
Cochez Afficher les rapports et cliquez sur Droits sur les rapports. Cochez Afficher les groupes et cliquez sur Droits sur les groupes. Cochez l'option Excuter des commandes distance et puis cliquez sur Droits de commande. Cochez Grer les politiques, puis cliquez sur Droits de type de politique. Vous pouvez autoriser l'administrateur crer uniquement des politiques non partages pour un emplacement en cochant Autoriser uniquement la modification de politiques spcifiques un emplacement.
Grer des domaines et des administrateurs Basculer entre un administrateur et un administrateur limit
333
1 2 3 4 5
Dans la console, cliquez sur Administration. Dans la page Admin, cliquez sur Administrateurs. Sous Afficher les administrateurs, slectionnez l'administrateur. Sous Tches, cliquez sur Edit Administrator Properties, puis sur Droits d'accs. Dans l'onglet Droits d'accs, excutez l'une des tches suivantes :
Cliquez sur Administrateur. Si vous avez migr depuis Symantec AntiVirus 10.x et voulez que l'administrateur excute des rapports pour ces groupes de serveurs migrs, cliquez sur Droits sur les rapports. Cliquez sur Administrateur limit. Configurez les droits pour l'administrateur limit.
334
Grer des domaines et des administrateurs Rinitialisation du mot de passe administrateur admin
L'administrateur a le nombre complet de tentatives pour se connecter nouveau ultrieurement. Aprs que l'administrateur a atteint la limite de tentatives de connexion infructueuses, le compte est verrouill. L'administrateur doit alors attendre le nombre de minutes spcifi avant d'essayer de se connecter nouveau. Pour verrouiller un compte d'administrateur aprs de trop nombreuses tentatives de connexion
1 2 3 4 5
Dans la console, cliquez sur Administration. Sur la page Admin (Admin), cliquez sur Administrators (Administrateurs). Sous View Administrators (Afficher les administrateurs), slectionnez l'administrateur. Sous Tasks (Tches), cliquez sur Edit Administrator Properties (Modifier les proprits d'administrateur). Sur l'onglet Gnral, dans la zone de texte Courrier lectronique, tapez l'adresse lectronique de l'administrateur. Le serveur de gestion envoie un message lectronique cette adresse lectronique lorsque le serveur de gestion verrouille le compte d'administrateur. Vous devez slectionner la case cocher Send email alert when account is locked (Envoyer une alerte par message lectronique lorsque le compte est verrouill) pour envoyer le messsage lectronique.
Sous Log On Attempt Threshold (Seuil de Tentative de Connexion), dplacez le curseur pour dfinir le nombre de tentatives de connexion incorrectes permises. Pour verrouiller le compte lorsque l'administrateur a dpass le nombre de tentatives de connexion, cliquez sur Lock this account when log on attempts exceed the threshold (Verrouiller ce compte lorsque les tentatives de connexion dpassent le seuil). Cochez ou dslectionnez le Envoyer une alerte par courrier lectronique quand le compte est verrouill, puis dfinissez le nombre de minutes. Cliquez sur OK.
8 9
Grer des domaines et des administrateurs Installer l'authentification pour les comptes administrateur
335
Remarque : Si vous modifiez le nom admin du compte d'administrateur, puis excutez resetpass.bat, le nom du compte redevient admin. Se reporter "Ajouter un compte d'administrateur" la page 329. Pour rinitialiser le mot de passe d'administrateur
1 2 3
Ouvrez l'Explorateur Windows sur l'ordinateur qui excute Symantec Endpoint Protection Manager. Recherchez le dossier <Drive>:\Program Files\Symantec\Symantec Endpoint Protection Manager\Tools. Cliquez deux fois sur le fichier excutable resetpass.bat. Le mot de passe est rinitialis sur admin.
Avertissement : N'utilisez pas le compte de "admin" lors de l'installation d'Active Directory Authentication. Utilisez un nouveau compte administrateur pour utiliser Active Directory Authentication. Pour plus d'informations, consultez le document de la base de donnes du support technique de Symantec, How to setup a SEPM administrator account to use your Active Directory authentication (Comment installer un compte administrateur SEPM pour utiliser votre authentification Active Directory).
336
Carte SecurID RSA Carte de pav numrique RSA (pas les cartes puce RSA)
2 3 4
A la page Administrateurs, sous Afficher les administrateurs, slectionnez l'administrateur. Sous Tches, cliquez sur Modifier proprits de l'administrateur puis cliquez sur Authentification. Dans l'onglet Authentification, slectionnez l'une des options d'authentifications suivantes que vous souhaitez utiliser pour authentifier le compte de l'administrateur :
Authentification du serveur de gestion Symantec, puis slectionnez quand le mot de passe d'authentification doit expirer. Se reporter "Ajout de serveurs de rpertoires" la page 354. Authentification RSA SecurID Se reporter "Configuration de Symantec Endpoint Protection Manager pour utiliser l'authentification RSA SecurID" la page 370. Authentification du rpertoire Tapez ensuite le nom du serveur de rpertoires et du compte de l'administrateur.
1 2 3 4
Dans la console, cliquez sur Administration. Dans la page Admin, cliquez sur Administrateurs. Sous Afficher les administrateurs, slectionnez l'administrateur renommer. Sous Tches, cliquez sur Renommer l'administrateur.
Grer des domaines et des administrateurs Modifier le mot de passe d'un administrateur
337
5 6
Dans la bote de dialogue Renommer l'administrateur pour nom, modifiez le nom du compte. Cliquez sur OK.
1 2 3 4 5
Dans la console, cliquez sur Administration. Sur la page Admin, cliquez sur Administrateurs. Sous Afficher les administrateurs, slectionnez l'administrateur voulu. Sous Tches, cliquez sur Modifier le mot de passe de l'administrateur. Entrez et confirmez le nouveau mot de passe. Le mot de passe doit comporter six caractres ou plus et tous les caractres sont permis.
338
Grer des domaines et des administrateurs Modifier le mot de passe d'un administrateur
Section
Chapitre 15. Grer des sites Chapitre 16. Gestion des serveurs Chapitre 17. Gestion des serveurs de rpertoires Chapitre 18. Gestion des serveurs de messagerie Chapitre 19. Gestion des serveurs proxy Chapitre 20. Gestion des serveurs RSA Chapitre 21. Gestion des certificats de serveur Chapitre 22. Gestion des bases de donnes Chapitre 23. Rplication des donnes Chapitre 24. Gestion de la protection contre les interventions
340
Chapitre
15
A propos de la gestion de site A propos de la rplication de site sur plusieurs sites de l'entreprise A propos des sites distants Modification des proprits du site Sauvegarde d'un site Suppression de sites distants
342
Pour les sites locaux et distants, vous pouvez effectuer les tches suivantes partir d'un site particulier :
Modifier la description d'un site. Se reporter "Modification des proprits du site" la page 343. Dfinir la console pour fermer une session aprs un certain temps. Se reporter "Modification des proprits du site" la page 343. Effacer les clients qui n'ont pas t connects depuis un certain temps. Se reporter "Modification des proprits du site" la page 343. Configurer les seuils des journaux. Planifier des rapports quotidiens et hebdomadaires. Configurer la journalisation externe pour filtrer les journaux et les transfrer vers un fichier ou un serveur Syslog. Modifier le nom et la description d'une base de donnes. Se reporter "Modification du nom et de la description d'une base de donnes" la page 391.
Lorsque vous vous trouvez sur un site particulier, vous pouvez effectuer les tches suivantes pour un site local uniquement :
Sauvegarder le site local immdiatement. Se reporter "Sauvegarde d'une base de donnes Microsoft SQL" la page 383. Se reporter "Sauvegarde d'une base de donnes intgre" la page 388. Modifier la planification de sauvegarde. Se reporter "Planification des sauvegardes automatiques de la base de donnes" la page 389. Supprimer un serveur slectionn (uniquement si plusieurs serveurs de gestion sont connects une seule base de donnes Microsoft SQL). Ajouter une connexion un partenaire de rplication du mme site. Se reporter "Ajouter et dconnecter un partenaire de rplication" la page 414. Mettre jour le certificat de serveur. Se reporter "A propos des types de certificats de serveur" la page 373. Rechercher des informations dans la base de donnes.
Ces listes ne sont pas compltes. Elles donnent simplement une ide des types de tche que vous pouvez effectuer localement ou distance. Il est impossible d'effectuer certaines tches partir d'un site distant. Pour installer un nouveau site, vous devez accder un ordinateur spcifique sur lequel vous avez install un serveur de gestion ou un module d'application Enforcer. Toutefois,
Grer des sites A propos de la rplication de site sur plusieurs sites de l'entreprise
343
vous pouvez vous connecter sur un site distance pour effectuer d'autres tches qui peuvent tre effectues uniquement sur la console d'un site local. Se reporter "Connexion la console Symantec Endpoint Protection Manager." la page 39.
Supprimer un site distant et ses partenariats de rplication. Modifier la description du serveur distant. Modifier l'accs la console de site distance. Installer un serveur de messagerie pour un site distant. Planifier une synchronisation de serveur de rpertoire pour un site distant. Configurer une connexion du serveur du site distant un serveur proxy. Configurer la consignation externe pour envoyer des journaux un fichier ou un serveur Syslog.
Nom du site et description de site Spcification du laps de temps pour l'expiration de la console
344
S'il faut supprimer les clients qui ne se sont pas connects aprs un certain laps de temps Si les applications apprises sont actives ou non pour le site Tailles maximum de journal qui sont conserves sur le site Planification des rapports
Vous pouvez modifier des proprits de site local ou distance partir de la console. Pour modifier des proprits de site
1 2 3 4 5 6
Dans la console, cliquez sur Administration. Dans la page Admin, sous Tches, cliquez sur Serveurs. Dans la page Admin, sous Afficher, dveloppez Site local (nom_site) ou Sites distants. Slectionnez le site dont vous voulez modifier les proprits. Dans la page Admin, sous Tches, cliquez sur Modifier les proprits du site. Dans la bote de dialogue Proprits du site, dans l'onglet Gnral, modifiez la description du site dans la zone Description. Vous pouvez utiliser jusqu' 1024 caractres.
Dans la bote de dialogue Proprits du site, dans l'onglet Gnral, slectionnez une valeur, de 5 minutes Jamais, dans la liste de dlai d'expiration de la console. Le paramtre par dfaut est d'une (1) heure. L'administrateur est automatiquement dconnect de la console quand le dlai d'expiration de la console est atteint.
Dans la bote de dialogue Proprits du site, dans l'onglet Gnral, cochez Supprimer les clients ne s'tant pas connects depuis x jours. Vous pouvez supprimer les utilisateurs qui ne se sont pas connects pendant un nombre spcifi de jours (de 1 99999). Le paramtre par dfaut est activ pendant une priode de trente (30) jours.
345
Dans la bote de dialogue Proprits de site, dans l'onglet Gnral, cochez Suivre chaque application excute par les clients. Les applications apprises aident les administrateurs suivre l'accs au rseau d'un client et l'utilisation d'applications en enregistrant toutes les applications dmarres sur chaque client. Vous pouvez activer ou dsactiver l'apprentissage des applications pour un site spcifique. Si cette option n'est pas active, le suivi des applications ne se produit pas pour ce site. De mme, le suivi des applications ne se produit plus mme s'il est activ pour les clients qui se connectent au site indiqu. Cette option fonctionne comme une option matre.
1 2 3 4 5
Dans la console, cliquez sur Administration. Dans la page Administrateur, sous Tches, cliquez sur Serveurs. Dans la page Administrateur, sous Afficher les serveurs, cliquez sur localhost. Dans la page Administrateur, sous Tches, cliquez sur Modifier les paramtres de sauvegarde. Dans la bote de dialogue Site de sauvegarde pour le site local : (Nom du site), slectionnez le nom du serveur de sauvegarde dans la liste des serveurs de sauvegarde. Par dfaut, le chemin d'accs est Program Files\Symantec\Symantec Endpoint Protection Manager\data\backup. Cependant, vous pouvez modifier le nom du chemin de sauvegarde en utilisant l'un des utilitaires de sauvegarde disponibles.
346
Slectionnez le nombre de sauvegardes conserver dans la liste intitule Nombre de sauvegardes conserver. Vous pouvez slectionner jusqu' 10 sauvegardes que vous pouvez conserver avant qu'une copie de sauvegarde soit automatiquement supprime.
1 2 3 4 5
Dans la console, cliquez sur Administration. Dans la page Admin, sous Tches, cliquez sur Serveurs. Dans la page Admin, sous Afficher, cliquez sur Sites distants. Dans la page Admin, sous Afficher, dveloppez Sites distants et slectionnez le site que vous prvoyez de supprimer. Cliquez sur Supprimer un site distant. Dans la bote de dialogue Supprimer un site distant, vous tes invit confirmer la suppression du site distant :
La suppression du site distant supprime galement tous les partenariats de rplication auxquels ce site participe. Etes-vous sr de vouloir supprimer ce site ?
Cliquez sur Oui pour supprimer le site distant. Vous pouvez rajouter un site distant qui a t supprim en ajoutant un partenaire de rplication.
Chapitre
16
A propos de la gestion de serveur A propos des serveurs et des mots de passe tiers Dmarrer et arrter le service de serveur de gestion Octroi ou refus d'accder aux consoles distantes Symantec Endpoint Protection Manager Suppression des serveurs slectionns Exportation et importation des paramtres de serveur
Site local La console sur le site local, bases de donnes, partenaires de rplication, tels que d'autres consoles dont les bases de donnes rpliquent et modules d'application Enforcer facultatifs Sites distants La console sur tout site distant, les bases de donnes, les partenaires de rplication, tels que les autres serveurs de gestion dont les bases de donnes sont rpliques, et les modules d'application Enforcer facultatifs
348
Gestion des serveurs A propos des serveurs et des mots de passe tiers
Gestion des serveurs Octroi ou refus d'accder aux consoles distantes Symantec Endpoint Protection Manager
349
Octroi ou refus d'accder aux consoles distantes Symantec Endpoint Protection Manager
Vous pouvez scuriser la console principale en autorisant ou en refusant l'accs aux ordinateurs sur lesquels une console distante est installe. Par dfaut, l'accs est autoris toutes les consoles. Les administrateurs peuvent se connecter la console principale localement ou distance de n'importe quel ordinateur sur le rseau. Outre la possibilit d'accorder ou de refuser globalement l'accs, vous pouvez spcifier des exceptions par adresse IP. La liste d'exceptions refuse automatiquement l'accs si vous avez choisi d'accorder l'accs toutes les consoles distantes. A l'inverse, si vous refusez l'accs toutes les consoles distantes, vous accordez automatiquement l'accs toutes les exceptions. Quand vous crez une exception, l'ordinateur que vous avez spcifi doit avoir une adresse IP statique. Vous pouvez galement crer une exception pour un groupe d'ordinateurs en spcifiant un masque de sous-rseau. Par exemple, vous pouvez autoriser l'accs dans toutes les zones que vous grez. Cependant, vous pouvez vouloir refuser l'accs une console qui se trouve dans un secteur public. Pour autoriser ou refuser l'accs une console distante
1 2 3 4
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, slectionnez le serveur dont vous souhaitez modifier l'autorisation d'accs de console. Sous Tches, cliquez sur Modifier les proprits du serveur. Dans l'onglet Gnral, cliquez sur Accs autoris ou Accs refus.
350
Si vous voulez spcifier des adresses IP des ordinateurs qui sont exempts de cette autorisation d'accs la console, cliquez sur Ajouter. Les ordinateurs que vous ajoutez deviennent des exceptions par rapport ceux auxquels l'accs est accord. L'accs est refus ces ordinateurs. Si vous slectionnez Accs refus, les ordinateurs que vous spcifiez deviennent les seuls auxquel l'accs est autoris. Crez une exception pour un ordinateur unique ou un ensemble d'ordinateurs.
Dans la bote de dialogue Refuser l'accs console, cliquez sur l'une des options suivantes :
Ordinateur individuel Pour un ordinateur individuel, tapez l'adresse IP. Groupe d'ordinateurs Pour plusieurs ordinateurs, tapez la fois l'adresse IP et le masque de sous-rseau du groupe.
Cliquez sur OK. Les ordinateurs apparaissent maintenant dans la liste d'exceptions. L'tat d'autorisation de chaque adresse IP/masque apparat. Si vous modifiez Accs autoris pour Accs refus ou vice versa, toutes les exceptions changent galement. Si vous avez cr des exceptions pour refuser l'accs, l'accs leur est maintenant accord.
Cliquez sur Modifier tout pour modifier les adresses IP ou les noms d'hte des ordinateurs qui apparaissent dans la liste d'exceptions. L'diteur d'adresse IP apparat. L'diteur d'adresse IP est un diteur de texte qui vous permet de modifier des adresses IP et des masques de sous-rseau.
351
Arrtez le service Symantec Endpoint Protection Manager. Se reporter "Dmarrer et arrter le service de serveur de gestion" la page 348.
2 3 4 5 6
Dans la console, cliquez sur Administration. Dans la page Administration, cliquez sur Serveurs. Sous Afficher les serveurs, dveloppez Site local (nom de site) et cliquez sur le serveur de gestion que vous voulez supprimer. Cliquez sur Supprimer le serveur slectionn. Cliquez sur Oui pour confirmer que vous voulez supprimer le serveur slectionn.
1 2 3 4 5
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, dveloppez Site local (nom de site de site), puis slectionnez le serveur de gestion que vous voulez exporter. Cliquez sur Exporter les proprits du serveur. Slectionnez un emplacement dans lequel enregistrer le fichier et spcifiez un nom de fichier. Cliquez sur Exporter.
1 2
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, dveloppez Site local (Site nom de site), puis slectionnez le serveur de gestion pour lequel vous voulez importer des paramtres. Cliquez sur Importer les proprits du serveur. Slectionnez le fichier que vous souhaitez importer, puis cliquez sur Importer. Cliquez sur Oui pour confirmer l'importation.
3 4 5
352
Chapitre
17
A propos de la gestion des serveurs de rpertoires Ajout de serveurs de rpertoires Synchronisation des comptes utilisateur entre les serveurs de rpertoire et Symantec Endpoint Protection Manager A propos de l'importation des informations d'utilisateur et de compte d'ordinateur partir d'un serveur de rpertoire LDAP Recherche d'utilisateurs sur un serveur de rpertoires LDAP Importation d'utilisateurs partir d'une liste de rsultats de recherche issue d'un serveur de rpertoires LDAP A propos des units organisationnelles et du serveur LDAP
354
1 2 3 4 5 6 7
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, slectionnez le serveur de gestion auquel vous voulez ajouter un serveur de rpertoire. Sous Tches, cliquez sur Modifier les proprits du serveur. Dans la bote de dialogue Proprits du serveur pour nom_site, dans l'onglet Serveurs de rpertoires, cliquez sur Ajouter. Dans la bote de dialogue Ajouter un serveur de rpertoires, entrez le nom du serveur de rpertoires que vous voulez ajouter dans le champ Nom. Dans la bote de dialogue Ajouter un serveur de rpertoire, cochez Active Directory ou LDAP en tant que type de serveur. Dans la bote de dialogue Ajouter un serveur de rpertoires, entrez l'adresse IP, le nom d'hte ou le nom de domaine dans la zone Adresse IP ou nom de serveur. Vous devez taper l'adresse IP, le nom d'hte ou le nom de domaine du serveur de rpertoires que vous voulez ajouter.
Si vous ajoutez un serveur LDAP, entrez le numro de port du serveur LDAP dans la zone Port LDAP. Vous ne pouvez pas modifier les valeurs si vous ajoutez un serveur Active Directory. Le paramtre de port par dfaut est 389.
Si vous ajoutez un serveur LDAP, entrez le DN de base LDAP dans la zone DN de base LDAP. la zone Nom d'utilisateur.
Gestion des serveurs de rpertoires Synchronisation des comptes utilisateur entre les serveurs de rpertoire et Symantec Endpoint Protection Manager
355
Synchronisation des comptes utilisateur entre les serveurs de rpertoire et Symantec Endpoint Protection Manager
Vous pouvez configurer des serveurs de rpertoire pour importer et synchroniser des utilisateurs avec Symantec Endpoint Protection Manager. Vous devez d'abord ajouter les serveurs de rpertoires avant de pouvoir synchroniser des informations sur les utilisateurs. Pour synchroniser des comptes utilisateur entre les serveurs de rpertoire et Symantec Endpoint Protection Manager
1 2 3 4 5
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, slectionnez le serveur de gestion auquel vous voulez ajouter un serveur de rpertoire. Sous Tches, cliquez sur Modifier les proprits du serveur. Dans la bote de dialogue Proprits du serveur, cliquez sur l'onglet Serveurs de rpertoires. Cochez la case Synchroniser avec les serveurs de rpertoires si ncessaire. Il s'agit du paramtre par dfaut.
Pour dfinir la frquence de synchronisation du serveur de gestion avec le serveur de rpertoires, procdez l'une des actions suivantes :
Pour raliser une synchronisation automatique toutes les 24 heures, cliquez sur Planification automatique. Le paramtre par dfaut est planifi pour synchroniser toutes les 86400 secondes. Vous pouvez galement personnaliser l'intervalle en modifiant le fichier tomcat\etc\conf.properties.
356
Gestion des serveurs de rpertoires A propos de l'importation des informations d'utilisateur et de compte d'ordinateur partir d'un serveur de rpertoire LDAP
Pour spcifier la frquence laquelle vous souhaitez raliser une synchronisation, cliquez sur Synchroniser toutes les et indiquez un nombre d'heures.
A propos de l'importation des informations d'utilisateur et de compte d'ordinateur partir d'un serveur de rpertoire LDAP
Les administrateurs peuvent importer des informations sur les comptes d'utilisateur et d'ordinateur partir d'un serveur de rpertoire LDAP l'aide du protocole LDAP. Si vous prvoyez d'importer des informations sur l'utilisateur et les comptes, vous devez d'abord tablir une connexion entre Symantec Endpoint Protection Manager et un serveur de rpertoire. Se reporter "Ajout de serveurs de rpertoires" la page 354. Vous pouvez alors rechercher et importer des informations sur les utilisateurs et les comptes en effectuant les tches suivantes :
Recherchez des utilisateurs sur le serveur LDAP. Se reporter "Recherche d'utilisateurs sur un serveur de rpertoires LDAP" la page 356. Importez les informations sur les comptes utilisateur. Se reporter "Importation d'utilisateurs partir d'une liste de rsultats de recherche issue d'un serveur de rpertoires LDAP" la page 359.
1 2 3
Dans la console, cliquez sur Clients. Sous Afficher les clients, slectionnez le groupe dans lequel vous voulez importer des utilisateurs. Sous Tches, cliquez sur Importer les utilisateurs de Active Directory et LDAP.
Gestion des serveurs de rpertoires Recherche d'utilisateurs sur un serveur de rpertoires LDAP
357
4 5
Dans la bote de dialogue Importer les utilisateurs Active Directory et LDAP, tapez l'adresse IP ou le nom d'hte dans la zone Serveur. Dans la bote de dialogue Importer les utilisateurs Active Directory et LDAP, saisissez le numro de port du serveur LDAP ou du serveur Active Directory dans la zone Port du serveur. Le numro de port par dfaut est 389.
Si vous souhaitez vous connecter au serveur de rpertoires l'aide de Secure Sockets Layer (SSL), cliquez sur Utiliser une connexion scurise. Si vous ne cochez pas cette case, une connexion non code sera utilise.
358
Gestion des serveurs de rpertoires Recherche d'utilisateurs sur un serveur de rpertoires LDAP
Affichez les utilisateurs en cliquant sur Rpertorier des utilisateurs. Vous pouvez galement taper une requte LDAP afin de localiser les noms des utilisateurs que vous souhaitez importer dans la zone Base de recherche LDAP. Vous pouvez spcifier des options de recherche telles que des paires attribut=valeur. Vous devez sparer les attributs par des virgules.
CN DC L ST O OU C STREET CommonName DomainComponent LocalityName StateOrProvinceName OrganizationName OrganizationalUnitName CountryName StreetAddress
La disponibilit des options varie en fonction des serveurs LDAP. Par exemple, Microsoft Active Directory ne prend pas en charge l'attribut O. L'ordre dans lequel vous spcifiez les paires attribut=valeur est important puisqu'il indique l'emplacement de l'entre dans la hirarchie des rpertoires LDAP. Si vous spcifiez un nom de domaine de type DNS tel que itsupport.sygate.com pendant l'installation d'un serveur de rpertoires, vous pourrez effectuer des recherches sur ce serveur de rpertoires, itsupport tant un nom typique de domaine NetBIOS. Pour effectuer des recherches sur un serveur Active Directory, vous devez spcifier la base de recherche LDAP dans cet ordre :
CN=Users, DC=itsupport, DC=sygate, DC=com
Vous pouvez utiliser des caractres gnriques ou des expressions standard dans la base de recherche. Par exemple :
CN=a*, CN=Users, DC=itsupport, DC=sygate, DC=com
Cette requte renvoie tous les noms d'utilisateur qui commencent par la lettre a.
Gestion des serveurs de rpertoires Importation d'utilisateurs partir d'une liste de rsultats de recherche issue d'un serveur de rpertoires LDAP
359
Un autre exemple reprsente les organismes dans lesquels vous tes susceptible de vouloir effectuer une recherche de rpertoire structurale :
mycorp.com -> engineering.mycorp.com ou sales.mycorp.com
Vous pouvez spcifier l'une ou l'autre de ces options selon l'emplacement o vous souhaitez lancer la recherche sur le rpertoire LDAP.
o=mycorp.com ou o=engineering.mycorp.com
Vous pouvez spcifier une comparaison en plaant des oprateurs logiques > ou < dans le chane de recherche LDAP. Toute requte LDAP aboutissant plus de 1 000 rsultats est susceptible d'chouer. Veillez installer la base de recherche de faon ce moins de 1 000 utilisateurs soient renvoys.
8 9
Saisissez le nom du compte d'utilisateur LDAP dans la zone Compte autoris. Saisissez le mot de passe du compte d'utilisateur LDAP dans la zone Mot de passe. disponibles sur le serveur LDAP. Si la case Afficher uniquement les utilisateurs qui n'appartiennent aucun groupe est coche, seuls les utilisateurs qui n'appartiennent aucun groupe et qui n'ont pas dj t ajouts apparaissent.
10 Cliquez sur Rpertorier des utilisateurs pour afficher une liste des utilisateurs
Importation d'utilisateurs partir d'une liste de rsultats de recherche issue d'un serveur de rpertoires LDAP
Vous pouvez galement importer des utilisateurs partir d'une liste de rsultats de recherche issue d'un serveur LDAP. Pour importer des utilisateurs partir d'une liste de rsultats de recherche issue d'un serveur de rpertoires LDAP
1 2
Dans la console, cliquez sur Clients. Dans l'arborescence Liste des groupes, slectionnez le groupe auquel vous souhaitez ajouter des utilisateurs partir du serveur de LDAP. Cliquez sur Ajouter tout pour ajouter tous les utilisateurs ou slectionnez des utilisateurs particuliers dans la liste avant de cliquer sur Ajouter.
360
Gestion des serveurs de rpertoires A propos des units organisationnelles et du serveur LDAP
Cliquez sur le nom de la zone que vous souhaitez utiliser pour le tri. Vous pouvez trier les rsultats de la recherche par champ dans l'ordre dcroissant ou croissant.
Slectionnez un ou plusieurs utilisateurs dans la liste des utilisateurs LDAP. Vous pouvez utiliser les touches de slection standard de Windows, telles que la touche de Ctrl, pour slectionner des utilisateurs non contigus.
5 6
Cliquez sur Ajouter de sorte que les noms de nouveaux utilisateurs apparaissent dans l'arborescence du groupe. Rptez cette procdure pour ajouter des utilisateurs d'autres groupes jusqu' ce que vous ayez ajout tous les nouveaux utilisateurs aux groupes appropris. Cliquez sur Fermer.
Gestion des serveurs de rpertoires A propos des units organisationnelles et du serveur LDAP
361
Vous ne pouvez pas filtrer les rsultats de la bote de dialogue Importer une unit organisationnelle. Si vous devez filtrer des utilisateurs, vous devez le faire quand vous ajoutez le serveur LDAP au serveur de gestion. Les serveurs Active Directory ne peuvent en aucun cas tre filtrs. La dure de ce processus varie en fonction du nombre d'utilisateurs. Une unit organisationnelle ne peut pas tre place dans plus d'une arborescence de groupe. Pour importer une unit organisationnelle partir d'un serveur LDAP
1 2 3 4 5 6
Dans la console, cliquez sur Clients. Sous Afficher les clients, slectionnez le groupe auquel vous voulez ajouter l'unit organisationnelle ou le conteneur. Sous Tches, cliquez sur le Importer une unit organisationnelle ou un conteneur. Choisissez le domaine. Slectionnez l'unit organisationnelle. Cliquez sur OK.
copi un utilisateur partir d'une unit organisationnelle vers un groupe ; supprim cet utilisateur du serveur LDAP.
362
Gestion des serveurs de rpertoires A propos des units organisationnelles et du serveur LDAP
Chapitre
18
A propos de la gestion des serveurs de messagerie Etablissement de la communication entre Symantec Endpoint Protection Manager et les serveurs de messagerie lectronique
Installez les notifications automatiques par message lectronique pour que les vnements de scurit soient envoys aux administrateurs. Installez les notifications automatiques par message lectronique pour que les vnements de scurit soient envoys aux clients.
Les notifications automatiques par message lectronique peuvent tre envoyes uniquement si vous tablissez une connexion entre le serveur de gestion et au moins un des serveurs de messagerie du rseau. Se reporter "Configurer les messages lectroniques pour les vnements de trafic" la page 574.
364
Gestion des serveurs de messagerie Etablissement de la communication entre Symantec Endpoint Protection Manager et les serveurs de messagerie lectronique
Etablissement de la communication entre Symantec Endpoint Protection Manager et les serveurs de messagerie lectronique
Si vous voulez utiliser la notification de courrier lectronique, vous devez configurer le serveur de messagerie lectronique sur Symantec Endpoint Protection Manager. Pour tablir la communication entre Symantec Endpoint Protection Manager et les serveurs de messagerie lectronique
1 2 3 4 5 6
Dans la console, cliquez sur Admin, puis sur Serveur. Sous Afficher les serveurs, slectionnez le serveur de gestion pour lequel vous voulez tablir une connexion au serveur de messagerie lectronique. Sous Tches, cliquez sur Modifier les proprits du serveur. Dans la bote de dialogue Proprits de serveur, cliquez sur l'onglet de Serveur de messagerie. Tapez l'adresse IP, le nom d'hte ou le nom de domaine du serveur de messagerie dans la zone Adresse du serveur. Tapez le nom d'utilisateur du compte du serveur de messagerie dans la zone Nom d'utilisateur. Vous devez ajouter un nom d'utilisateur uniquement si le serveur de messagerie requiert une authentification.
Dans la bote de dialogue Proprits du serveur, tapez le mot de passe d'un compte du serveur de messagerie dans la zone Mot de passe. Vous devez ajouter un mot de passe uniquement si le serveur de messagerie requiert une authentification.
Chapitre
19
A propos des serveurs proxy Etablissement d'une connexion entre un serveur proxy HTTP et Symantec Endpoint Protection Manager Configuration d'une connexion entre un serveur proxy FTP et Symantec Endpoint Protection Manager
serveur proxy HTTP Se reporter "Etablissement d'une connexion entre un serveur proxy HTTP et Symantec Endpoint Protection Manager" la page 365. serveur proxy FTP Se reporter "Configuration d'une connexion entre un serveur proxy FTP et Symantec Endpoint Protection Manager" la page 366.
Etablissement d'une connexion entre un serveur proxy HTTP et Symantec Endpoint Protection Manager
En prsence d'un serveur proxy HTTP dans le rseau d'entreprise, vous devez connecter le serveur proxy HTTP Symantec Endpoint Protection Manager. Vous pouvez utiliser le serveur proxy HTTP pour tlcharger automatiquement le contenu LiveUpdate.
366
Gestion des serveurs proxy Configuration d'une connexion entre un serveur proxy FTP et Symantec Endpoint Protection Manager
Pour tablir une connexion entre un serveur proxy HTTP et Symantec Endpoint Protection Manager
1 2 3 4 5 6
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, slectionnez le serveur de gestion auquel vous voulez connecter un serveur proxy HTTP. Sous Tches, cliquez sur Modifier les proprits du serveur. Dans la bote de dialogue Proprits de serveur, cliquez sur l'onglet Serveur proxy. Sous Paramtres proxy HTTP, slectionnez Utiliser les paramtres proxy personnaliss dans la liste. Tapez l'adresse IP du serveur proxy HTTP dans la zone d'adresse du serveur. Une adresse IP ou un nom du serveur valide ayant jusqu' 256 caractres.
Tapez le numro de port du serveur proxy dans la zone Port. Les numros de port valides vont de 0 65535.
8 9
Cochez la case Authentification ncessaire la connexion via serveur proxy. Tapez le nom d'utilisateur du serveur proxy dans la zone approprie. dans la zone Mot de passe.
10 Tapez le mot de passe du serveur proxy auquel vous voulez vous connecter 11 Cliquez sur OK.
Configuration d'une connexion entre un serveur proxy FTP et Symantec Endpoint Protection Manager
Vous pouvez utiliser le serveur proxy HTTP pour tlcharger automatiquement le contenu de LiveUpdate. Pour configurer une connexion entre un serveur proxy FTP et Symantec Endpoint Protection Manager
1 2 3 4
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, slectionnez le serveur de gestion auquel vous voulez connecter un serveur proxy FTP. Sous Tches, cliquez sur Modifier les proprits du serveur. Dans la bote de dialogue Proprits de serveur, cliquez sur l'onglet Serveur proxy.
Gestion des serveurs proxy Configuration d'une connexion entre un serveur proxy FTP et Symantec Endpoint Protection Manager
367
5 6
Sous Paramtres de serveurs proxy FTP, slectionnez Utiliser les paramtres Proxy personnaliss dans la liste d'utilisation Proxy. Tapez l'adresse IP du serveur proxy FTP dans la zone Adresse du serveur. L'adresse IP ou le nom du serveur peut contenir un maximum de 256 caractres.
Saisissez le numro du port du serveur proxy dans le champ Port. Un numro de port valide s'tend de 0 65535.
368
Gestion des serveurs proxy Configuration d'une connexion entre un serveur proxy FTP et Symantec Endpoint Protection Manager
Chapitre
20
A propos des conditions pralables pour l'utilisation de RSA SecurID avec Symantec Endpoint Protection Manager Configuration de Symantec Endpoint Protection Manager pour utiliser l'authentification RSA SecurID Spcification d'une authentification SecurID pour un administrateur Symantec Endpoint Protection Manager Configuration du serveur de gestion pour prendre en charge la communication HTTPS
A propos des conditions pralables pour l'utilisation de RSA SecurID avec Symantec Endpoint Protection Manager
Si vous voulez authentifier des administrateurs utilisant Symantec Endpoint Protection Manager avec RSA SecurID, vous devez activer l'authentification chiffre en excutant l'assistant d'installation de RSA. Avant d'excuter l'assistant, assurez-vous que :
Un serveur RSA ACE est install. L'ordinateur sur lequel vous avez install le serveur de gestion est enregistr comme hte valide sur le serveur RSA ACE Crez le fichier secret de nud pour le mme hte. Le fichier sdconf.rec sur le serveur RSA ACE est accessible sur le rseau.
370
Gestion des serveurs RSA Configuration de Symantec Endpoint Protection Manager pour utiliser l'authentification RSA SecurID
Un fob synchronis de carte ou de cl de SecurID a t attribu un compte du serveur de gestion. Le nom de connexion doit tre activ sur le serveur du RSA ACE. L'administrateur possde le code RSA ou le mot de passe.
Jeton RSA SecurID (pas des jetons RSA de logiciel) Carte RSA SecurID Carte de pav numrique RSA (pas de cartes puce RSA)
Pour se connecter au serveur de gestion avec RSA SecurID, l'administrateur a besoin d'un nom de connexion, du jeton (matriel) et d'un code PIN.
Configuration de Symantec Endpoint Protection Manager pour utiliser l'authentification RSA SecurID
Si votre rseau d'entreprise comprend un serveur RSA, vous devez installer le logiciel pour un agent RSA ACE sur l'ordinateur sur lequel vous avez install Symantec Endpoint Protection Manager et le configurer en tant que client d'authentification SecurID. Pour configurer Symantec Endpoint Protection Manager de manire utiliser l'authentification RSA SecurID
Installez le logiciel pour l'agent RSA ACE sur l'ordinateur sur lequel vous avez install le serveur de gestion. Vous pouvez installer le logiciel en excutant le fichier .msi de Windows partir du CD d'agent d'authentification RCA. Copiez les fichiers nodesecret.rec, sdconf.rec et agent_nsload.exe du serveur RSA ACE sur l'ordinateur sur lequel vous avez install le serveur de gestion. A l'invite, saisissez la commande qui suit :
agent_nsload -f nodesecret.rec -p mot de passe pour le fichier nodesecret
2 3
4 5 6 7
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, slectionnez le serveur de gestion auquel vous voulez connecter un serveur RSA. Sous Tches, cliquez sur le Configurer l'authentification de SecurID. Au panneau de bienvenue de l'assistant de configuration de l'authentification SecurID, cliquez sur Suivant.
Gestion des serveurs RSA Spcification d'une authentification SecurID pour un administrateur Symantec Endpoint Protection Manager
371
Au panneau Qualification du panneau Assistant de configuration de l'authentification SecurID, lisez les informations ncessaires afin de pouvoir rpondre toutes les exigences. Cliquez sur Suivant. de l'authentification SecurID, recherchez le dossier dans lequel se trouve le fichier sdconf.rec. Vous pouvez galement taper le nom du chemin d'accs.
11 Cliquez sur Suivant. 12 Cliquez sur Test pour tester votre configuration. 13 Dans la bote de dialogue Tester la configuration, tapez le nom d'utilisateur
et le mot de passe pour votre SecurID puis cliquez sur Test. Il authentifie maintenant avec succs.
Spcification d'une authentification SecurID pour un administrateur Symantec Endpoint Protection Manager
Vous pouvez spcifier que les administrateurs doivent d'abord tre authentifis par SecurID pour pouvoir se connecter la console de gestion. Vous pouvez crer un nouvel administrateur ou modifier les paramtres pour un administrateur existant. La procdure dcrit ici comment spcifier l'authentification pour un nouvel administrateur. Se reporter "Ajouter un compte d'administrateur" la page 329. Pour crer une authentification SecurID pour un administrateur de Symantec Endpoint Protection Manager
1 2 3 4 5 6
Dans la console, cliquez sur Admin, puis sur Administrateurs. Sous Tches, cliquez sur Ajouter un administrateur. Dans la bote de dialogue Ajouter un administrateur, tapez le nom d'un utilisateur que vous avez prcdemment configur pour le client RSA ACE. En regard de Type d'authentification, cliquez sur Modifier. Dans la bote de dialogue Authentification de l'administrateur, slectionnez Authentification RSA SecurID , puis cliquez sur OK. Dans la bote de dialogue Ajouter un administrateur, cliquez sur OK.
372
Gestion des serveurs RSA Configuration du serveur de gestion pour prendre en charge la communication HTTPS
Gnrez ou achetez un certificat SSL. Ajoutez le certificat au serveur IIS qui est install sur le mme ordinateur que le serveur de gestion. Configurez les listes de serveurs de gestion devant prendre en charge la communication HTTPS.
1 2 3 4 5
Cliquez sur Dmarrer > Programmes > Outils d'administration > Internet Information Services (IIS) Manager. Dans l'ordinateur local, slectionnez Serveur Web Symantec sous Sites Web. Cliquez avec le bouton droit de la souris sur Serveur Web Symantec et choisissez Proprits. Dans l'onglet Scurit du rpertoire, cliquez sur Certificat de serveur pour dmarrer l'assistant de certificat de serveur Web. Crez ou importez un certificat de serveur en suivant les tapes de l'assistant. Pour plus d'informations, reportez-vous l'aide en ligne IIS.
Dans l'onglet Site Web, spcifiez le numro du port SSL (443 par dfaut).
Chapitre
21
A propos des types de certificats de serveur Mettre jour un certificat de serveur Sauvegarde d'un certificat de serveur Recherche du mot de passe keystore
374
Un outil Java appel keytool.exe gnre le fichier keystore. Symantec ne prend en charge que le format de la norme cl Java (JKS). Le format Java Cryptography Extension (JCEKS) ncessite une version spcifique de Java Runtime Environment (JRE). Le serveur de gestion prend en charge uniquement un fichier keystore de JCEKS gnr avec la mme version que Java Development Kit (kit de dveloppement Java, JDK) sur le serveur de gestion. Le mot de passe keystore doit contenir la fois un certificat et une cl prive. Le mot de passe keystore doit tre identique au mot de passe cl. Il est en gnral export partir d'Internet Information Services (IIS).
Fichier keystore PKCS12 (.pfx et .p12) Certificat et fichier de cl prive (formats DER et PEM) Symantec prend en charge les certificats et les cls prives non chiffrs dans le format DER ou PEM. Les fichiers de cl prive PKCS8 chiffrs ne sont pas pris en charge.
Vous pouvez sauvegarder les informations sur le certificat comme mesure de scurit. Si le serveur de gestion est endommag ou si vous avez oubli le mot de passe Keystore, vous pouvez facilement rcuprer le mot de passe. Se reporter "Recherche du mot de passe keystore" la page 377. Pour plus d'informations sur l'installation des certificats de serveur, voir le Guide d'installation de Symantec Endpoint Protection et de Symantec Network Access Control. Se reporter "Mettre jour un certificat de serveur" la page 374. Se reporter "Sauvegarde d'un certificat de serveur" la page 376.
1 2 3 4 5
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, cliquez sur le serveur de gestion dont vous souhaitez mettre jour le certificat. Sous Tches, cliquez sur Grer le certificat de serveur. Dans le volet de bienvenue de l'assistant de gestion du certificat de serveur, cliquez sur Suivant. Dans le panneau Grer le certificat de serveur, slectionnez Mettre jour le certificat de serveur, puis cliquez sur Suivant.
375
6 7
Au volet Mettre jour le certificat de serveur, cliquez sur Fichier keystore JKS (.jks) et puis cliquez sur Suivant. Dans le volet Keystore JKS, cliquez sur Parcourir pour localiser le Fichier keystore JKS (.jks) sur le serveur de gestion ou tapez le nom d'accs ce fichier dans le champ de texte, puis cliquez sur Ouvrir. Saisissez le mot de passe de keystore dans la zone de texte de texte Mot de passe de keystore. Saisissez le mot de passe de keystore dans le champ des textes de mot de passe de cl pour la deuxime fois. et puis cliquez sur Suivant. Terminer. Dans le volet indiquant que l'assistant de gestion de certificat de serveur est termin, un message s'affiche, indiquant si le certificat a t ajout avec succs ou non. Vous devez vous dconnecter et redmarrer le serveur de gestion avant que le certificat ne prenne effet.
8 9
1 2 3 4 5 6 7
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, cliquez sur le serveur de gestion dont vous souhaitez mettre jour le certificat. Sous Tches, cliquez sur Grer le certificat de serveur. Dans le volet de bienvenue de l'assistant de gestion du certificat de serveur, cliquez sur Suivant. Dans le panneau Grer le certificat de serveur, slectionnez Mettre jour le certificat de serveur, puis cliquez sur Suivant. Au volet Mettre jour le certificat de serveur, cliquez sur Fichier keystore PKCS12 (.pfx et .p12), puis cliquez sur Suivant. Dans le volet Keystore PKCS12, cliquez sur Parcourir pour localiser le Fichier keystore PKCS12 (.pfx et .p12) sur le serveur de gestion ou tapez le nom d'accs ce fichier dans le champ de texte, puis cliquez sur Ouvrir.
376
8 9
Au volet Keystore PKCS12, saisissez le mot de passe de keystore dans la zone de texte de texte Mot de passe de keystore, puis cliquez sur Suivant. Dans le volet indiquant que l'assistant de gestion de certificat de serveur est termin, cliquez sur Terminer. Dans le volet indiquant que l'assistant de gestion de certificat de serveur est termin, un message s'affiche, indiquant si le certificat a t ajout avec succs ou non. Vous devez vous dconnecter et redmarrer le serveur de gestion avant que le certificat ne prenne effet.
Pour mettre jour les certificats de serveur dcrypts et les cls prives (format DER ou PEM)
1 2 3 4 5 6 7
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, cliquez sur le serveur de gestion dont vous souhaitez mettre jour le certificat. Sous Tches, cliquez sur Grer le certificat de serveur. Dans le volet de bienvenue de l'assistant de gestion du certificat de serveur, cliquez sur Suivant. Dans le panneau Grer le certificat de serveur, slectionnez Mettre jour le certificat de serveur, puis cliquez sur Suivant. Au volet Mettre jour le certificat de serveur, cliquez sur le Fichier de certificat et de cl prive (format DER et PEM), puis cliquez sur Suivant. Au volet Fichier de certificat, cliquez sur Parcourir pour localiser le certificat (format DER et PEM) sur le serveur de gestion ou pour saisir le nom du chemin d'accs pour ce fichier dans la zone de texte de texte Chemin d'accs au certificat, puis cliquez sur Ouvrir. Dans le volet indiquant que l'assistant de gestion de certificat de serveur est termin, cliquez sur Terminer. Dans le volet indiquant que l'assistant de gestion de certificat de serveur est termin, un message s'affiche, indiquant si le certificat a t ajout avec succs ou non. Vous devez vous dconnecter et redmarrer le serveur de gestion avant que le certificat ne prenne effet.
377
1 2 3 4 5 6
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, cliquez sur le serveur de gestion dont vous souhaitez sauvegarder le certificat de serveur. Sous Tches, cliquez sur Grer le certificat de serveur. Dans le panneau Bienvenue dans l'Assistant de gestion des certificats de serveur, cliquez sur Suivant. Dans le panneau Grer le certificat de serveur, slectionnez Sauvegarder le certificat de serveur, puis cliquez sur Suivant. Dans le volet Sauvegarder le certificat de serveur, saisissez le nom du chemin d'accs ou cliquez sur Parcourir pour localiser le dossier dans lequel vous voulez sauvegarder la cl prive, puis cliquez sur Ouvrir. Notez que vous sauvegardez le certificat du serveur de gestion dans le mme dossier. Le fichier Keystore JKS est sauvegard pendant l'installation initiale. Un fichier qui est appel servertimestamp.xml est galement sauvegard. Le fichier keystore JKS inclut les paires de cls prives et publiques du serveur et le certificat auto-sign.
7 8
Dans le panneau Certificat de serveur de sauvegarde, cliquez sur Suivant. Dans le panneau Grer le certificat de serveur, cliquez sur Terminer.
Ouvrez Windows Explorer et localisez le dossier dans lequel vous avez sauvegard les fichiers pour le certificat. Par dfaut, Symantec Endpoint Protection Manager sauvegarde le certificat dans le rpertoire rpertoire_installation:\Program Files\Symantec\Symantec Endpoint Protection Manager\Server Private Key Backup.
378
Chapitre
22
A propos de la gestion des bases de donnes Sauvegarde d'une base de donnes Microsoft SQL Sauvegarde d'une base de donnes intgre Planification des sauvegardes automatiques de la base de donnes Restauration d'une base de donnes Modification du nom et de la description d'une base de donnes Reconfiguration d'une base de donnes Microsoft SQL Reconfiguration d'une base de donnes intgre A propos de la gestion des donnes de journal
380
prend dj en charge un serveur Microsoft SQL, vous pouvez tirer profit du matriel et des logiciels existants. Les serveurs Microsoft SQL permettent gnralement de prendre en charge un plus grand nombre de clients. Une base de donnes contient des informations sur les politiques de scurit et d'application. En outre, tous les paramtres de configuration, les donnes concernant les attaques, les journaux et les rapports sont galement inclus dans la base de donnes. Par consquent, vous pouvez contrler les failles de scurit sur le rseau. Les informations de la base de donnes sont stockes dans des tableaux galement appels schmas de bases de donnes. Le schma est fourni aux administrateurs qui peuvent en avoir besoin pour gnrer des rapports spcialiss. Pour plus d'informations sur le schma de base de donnes, tlchargez la Symantec Endpoint Protection ManagerRfrence du schma de base de donnes la plus rcente partir du site site de documentation de Symantec Endpoint Protection.
381
A propos de l'Assistant de configuration de serveur de gestion et des outils de base de donnes Symantec
Vous pouvez sauvegarder, planifier et modifier certains paramtres de base de donnes, par exemple le nom de la base, partir de la console de Symantec Endpoint Protection Manager. Cependant, vous pouvez restaurer et modifier des bases de donnes uniquement en utilisant l'Assistant de configuration du serveur de gestion et l'utilitaire Symantec Database Backup and Restore. Vous pouvez utiliser l'Assistant de configuration du serveur de gestion pour modifier tous les paramtres de bases de donnes Microsoft SQL et de bases de donnes intgres. Se reporter "A propos de la reconfiguration d'une base de donnes" la page 382. Vous pouvez utiliser l'utilitaire Outils de base de donnes Symantec pour sauvegarder, restaurer et modifier tous les paramtres de bases de donnes Microsoft SQL et de bases de donnes intgres. Se reporter "A propos de la sauvegarde de la base de donnes" la page 381.
Base de donnes Microsoft SQL uniquement Vous pouvez utiliser Microsoft SQL Server Enterprise Manager pour configurer un plan de maintenance qui permet de planifier des sauvegardes automatiques.
382
Base de donnes incorpore ou Microsoft SQL Vous pouvez effectuer une sauvegarde sur demande et galement planifier les sauvegardes automatiques depuis la console.
Les sauvegardes doivent tre stockes de prfrence sur une unit de disques spare. Il est conseill de sauvegarder le lecteur de disques priodiquement. Se reporter "Sauvegarde d'une base de donnes Microsoft SQL" la page 383. Se reporter "Sauvegarde d'une base de donnes intgre" la page 388.
L'adresse IP ou le nom d'hte du serveur de base de donnes ont t modifis. Le port du serveur de base de donnes par lequel il se connecte Symantec Endpoint Protection Manager a t modifi. Le nom de la base de donnes a t modifi. Remarque : Vous pouvez galement modifier le nom de la base de donnes dans le serveur de gestion. Se reporter "Modification du nom et de la description d'une base de donnes" la page 391.
Microsoft SQL uniquement : Le nom de l'utilisateur responsable de la base de donnes a t modifi. Si vous modifiez le nom d'utilisateur du serveur de base de donnes sur un serveur de base de donnes, la console du serveur de gestion ne peut plus se connecter au serveur de base de donnes. Le mot de passe de l'utilisateur responsable de la base de donnes a t modifi. Vous pouvez modifier le mot de passe de l'utilisateur responsable du serveur de base de donnes. Si vous modifiez le mot de passe, le serveur de gestion ne peut plus se connecter au serveur de base de donnes. Microsoft SQL uniquement : Le chemin du client SQL a t modifi. Le dossier Corbeille du client SQL qui se trouve par dfaut dans C:\Program Files\Microsoft SQL Server\80\Tools\Binn a t modifi. Si vous avez modifi le chemin d'accs client SQL sur le serveur de base de donnes de Microsoft SQL, la console ne peut plus se connecter au serveur de base de donnes.
Gestion des bases de donnes Sauvegarde d'une base de donnes Microsoft SQL
383
Vous mettez niveau une base de donnes intgrre vers une base de donnes Microsoft SQL.
Se reporter "Reconfiguration d'une base de donnes Microsoft SQL" la page 392. Se reporter "Reconfiguration d'une base de donnes intgre" la page 394. Consultez le Guide d'installation de Symantec Endpoint Protection et Symantec Network Access Control. Il fournit des informations sur la procdure de mise niveau d'une base de donnes intgre vers une base de donnes Microsoft SQL.
La taille de votre socit. La quantit d'espace disque que vous avez rserve pour les sauvegardes. Toutes directives requises de votre entreprise.
384
Gestion des bases de donnes Sauvegarde d'une base de donnes Microsoft SQL
1 2 3
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, cliquez sur l'icne reprsentant la base de donnes intgre. Sous Tches, cliquez sur Sauvegarder maintenant. Cette mthode sauvegarde toutes les donnes de site, y compris la base de donnes. Vous pouvez vrifier le journal Systme comme le dossier de sauvegarde pour l'tat pendant et aprs la sauvegarde.
Sauvegarde d'une base de donnes SQL Microsoft avec l'assistant de plan de maintenance de base de donnes
Microsoft SQL Server Enterprise Manager fournit un assistant pour aider installer un plan de maintenance de base de donnes. Vous pouvez utiliser l'assistant de plan de maintenance de base de donnes pour grer la base de donnes et pour planifier des sauvegardes automatiques de la base de donnes Microsoft SQL. Remarque : Assurez-vous que l'agent SQL Server est dmarr. Des droits d'accs Sysadmin sont requis pour excuter l'assistant de plan de maintenance de base de donnes. Consultez la documentation de Microsoft SQL Server pour des dtails sur la faon de mettre jour une base de donnes Microsoft SQL Server. Pour sauvegarder une base de donnes SQL Microsoft en utilisant l'assistant de plan de maintenance de base de donnes dans Microsoft SQL Sever 2000 Enterprise Manager
1 2 3
Dans SQL Server Enterprise Manager, cliquez sur Programmes > Microsoft SQL Server > Enterprise Manager. Dveloppez le nom du serveur o le nom du serveur est le nom du serveur sur lequel la base de donnes est installe. Cliquez deux fois sur le dossier Gestion. L'agent SQL Server affiche une flche verte sur l'icone s'il est dj dmarr. S'il n'est pas dmarr, dmarrez SQL Server Service Manager en slectionnant l'agent SQL Server et en cliquant avec le bouton droit de la souris sur Dmarrer et en slectionnant l'option.
Gestion des bases de donnes Sauvegarde d'une base de donnes Microsoft SQL
385
5 6 7
Cliquez avec le bouton droit de la souris sur sem5 et slectionnez Toutes les tches > Plan de maintenance. Sur l'cran Bienvenue dans l'assistant de plan de maintenance de base de donnes, cliquez sur Suivant. Dans l'cran de slection de bases de donnes, slectionnez Ces bases de donnes et, ct, cochez sem5 pour sauvegarder la base de donnes. Cliquez ensuite sur Suivant. Sur l'cran de mise jour des informations d'optimisation, slectionnez Supprimer l'espace inutilis des fichiers de base de donnes. Dans la zone de texte Lorsque la base de donnes dpasse , tapez 1024 ou une taille maximale approprie en fonction de la taille de votre entreprise. Quand la base de donnes dpasse la taille spcifie, l'espace inutilis est automatiquement supprim.
8 9
12 Quand vous avez fini de configurer l'optimisation, cliquez sur Suivant. 13 Sur l'cran de contrle d'intgrit de la base de donnes, cliquez sur Suivant
sans configurer cette option, puisque le serveur de gestion assure l'intgrit de la base de donnes.
15 Slectionnez les supports sur lesquels enregistrer la sauvegarde. 16 Cliquez sur Modifier pour modifier la planification pour la sauvegarde. 17 Dans la bote de dialogue Modifier la planification de la tche priodique,
aprs Se produit, cliquez sur Quotidiennement. Slectionnez la frquence avec laquelle la base de donnes doit tre sauvegarde. Tout les 1 jour est recommand.
386
Gestion des bases de donnes Sauvegarde d'une base de donnes Microsoft SQL
20 Cliquez sur Suivant. 21 Dans l'cran Spcifier un rpertoire de sauvegarde, choisissez un rpertoire
de sauvegarde en cliquant sur Utiliser le rpertoire de sauvegarde par dfaut (le chemin d'accs par dfaut est \MSSQL\BACKUP) ou Utiliser ce rpertoire.
23 Cochez Crer un sous-rpertoire pour chaque base de donnes. 24 Cliquez sur Supprimer les fichiers antrieurs , puis spcifiez une priode
aprs laquelle les sauvegardes les plus anciennes seront automatiquement supprimes. Veillez disposer de suffisamment d'espace disque pour enregistrer des sauvegardes pour la priode spcifie et cliquez sur Suivant.
Passez l'tape 26
Gestion des bases de donnes Sauvegarde d'une base de donnes Microsoft SQL
387
31 Slectionnez une date de dbut et une date de fin ou Pas de date de fin, le cas
chant, et cliquez sur OK.
32 Cliquez sur Suivant. 33 Sur l'cran Spcifier un rpertoire de sauvegarde, slectionnez un rpertoire
de sauvegarde en cliquant sur Utiliser le rpertoire de sauvegarde par dfaut ou Utiliser ce rpertoire. Le chemin d'accs par dfaut est \MSSQL\BACKUP.
34 Slectionnez le rpertoire de destination de la copie des fichiers. 35 Cochez Crer un sous-rpertoire pour chaque base de donnes. 36 Cliquez sur Supprimer les fichiers antrieurs : 37 Spcifiez une priode aprs laquelle les sauvegardes les plus anciennes sont
automatiquement supprimes. Assurez-vous que vous avez suffisamment d'espace disque pour enregistrer des sauvegardes pour la priode spcifie, puis cliquez sur Suivant.
388
1 2 3
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, cliquez sur l'icne reprsentant la base de donnes intgre. Sous Tches, cliquez sur Sauvegarder maintenant. Cette mthode sauvegarde toutes les donnes de site, y compris la base de donnes. Vous pouvez vrifier l'tat du journal du systme ainsi que du dossier de sauvegarde pendant et aprs la sauvegarde.
4 5
Cliquez sur Oui lorsque le message de sauvegarde apparat. Cliquez sur Fermer.
Gestion des bases de donnes Planification des sauvegardes automatiques de la base de donnes
389
1 2
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, cliquez sur l'icne qui reprsente la base de donnes Microsoft SQL ou intgre et dont vous souhaitez modifier les paramtres de sauvegarde. Sous Tches, cliquez sur Modifier les paramtres de sauvegarde. Dans la bote de dialogue Site de sauvegarde pour le site local, cliquez sur Planifier des sauvegardes. Spcifiez la frquence de sauvegarde en slectionnant Horaire, Quotidienne ou Hebdomadaire, puis choisissez l'une des options suivantes :
3 4 5
Si vous choisissez Horaire dans la zone Heure de dbut, entrez le nombre de minutes aprs l'heure laquelle les sauvegardes doivent avoir lieu. Si vous choisissez Quotidienne dans la zone Heure de dbut, entrez l'heure et les minutes pour indiquer le moment auquel les sauvegardes doivent avoir lieu chaque jour.
390
Si vous choisissez Hebdomadaire dans la zone Heure de dbut, entrez l'heure et les minutes pour indiquer le moment auquel les sauvegardes doivent avoir lieu. Si vous choisissez Hebdomadaire, spcifiez la Jour de la semaine pour indiquer le jour o les sauvegardes doivent se produire.
Cliquez sur OK. A l'heure planifie, les sauvegardes se produisent automatiquement et sont places dans un fichier.zip qui est libell avec la date de la sauvegarde. Le fichier de sauvegarde est stock dans un dossier de sauvegarde qui est cr dans le chemin d'accs comme spcifi pour les donnes de serveur racine. Par exemple, un fichier de sauvegarde qui est cr le 1er aot 2007 09h46 est appel 2007-Aug-01_09-46-13-AM.zip.
Recherchez le dernier fichier de sauvegarde que vous avez. Ce fichier est en format .zip et libell avec la date. Le fichier est enregistr dans un dossier de sauvegarde qui a t cr dans le chemin d'accs qui a t spcifi pour la racine de donnes de serveur. Configurez l'ordinateur sur lequel vous voulez restaurer la base de donnes en utilisant l'une des mthodes suivantes :
En utilisant un autre ordinateur Si l'ordinateur prcdent a t victime d'une dfaillance matrielle, vous devez installer le systme d'exploitation et le serveur de gestion sur le nouvel ordinateur. Bien que vous remplaciez la base de donnes par de nouvelles donnes, vous devez encore configurer une base de donnes aprs avoir termin l'installation. En utilisant le mme ordinateur Si le matriel et le serveur de gestion fonctionnent correctement, vous pouvez restaurer la base de donnes sur le mme ordinateur. Si vous rencontrez des problmes, vous pouvez dsinstaller le serveur de gestion, le rinstaller, configurer la base de donnes, puis restaurer les donnes.
3 4
Dconnectez-vous de la console de Symantec Endpoint Protection Manager. Arrtez le service Symantec Endpoint Protection Manager en slectionnant Dmarrer > Programmes > Outils d'administration > Services.
Gestion des bases de donnes Modification du nom et de la description d'une base de donnes
391
5 6 7 8 9
Recherchez le service du serveur de gestion et cliquez avec le bouton droit de la souris afin de slectionner Arrter. Slectionnez Dmarrer > Programmes > Symantec Endpoint Protection Manager > Database Back Up and Restore. Cliquez sur Restaurer, puis sur Oui dans la fentre de message qui s'ouvre. Dans la bote de dialogue Restauration de base de donnes, slectionnez la sauvegarde que vous souhaitez appliquer dans la liste. Cliquez sur OK. La restauration de la base de donnes prend quelques minutes. La dure de la restauration dpend de la taille de la base de donnes, du nombre d'utilisateurs, des partenaires de rplication et d'autres critres.
11 Cliquez sur Quitter. 12 Cliquez sur Dmarrer > Programmes > Symantec Endpoint Protection
Manager si vous avez restaur la base de donnes sur un autre ordinateur diffrent parce que vous deviez effacer l'ancien serveur de base de donnes. Autrement la restauration de la base de donnes est termine.
13 Connectez-vous la console . 14 Cliquez sur Admin. 15 Cliquez sur Serveurs. 16 Dans la page d'Administration, sous Tches, cliquez avec le bouton droit de
la souris sur l'ancien serveur de base de donnes et slectionnez Supprimer.
392
Gestion des bases de donnes Reconfiguration d'une base de donnes Microsoft SQL
Vous pouvez galement modifier le nom de la base de donnes en utilisant l'assistant de configuration du serveur de gestion. Se reporter "Reconfiguration d'une base de donnes Microsoft SQL" la page 392. Pour modifier le nom et la description d'une base de donnes
1 2 3
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, dveloppez Site local. Slectionnez la base de donnes locale ou dveloppez Sites distants pour slectionner la base de donnes d'un site distance dont vous voulez modifier les proprits. Sous Tches, cliquez sur Modifier les proprits de base de donnes. Dans la bote de dialogue Proprits de base de donnes, modifiez le nom de la base de donnes dans le champ Nom. Dans la bote de dialogue Proprits de base de donnes, modifiez la description de la base de donnes dans le champ Description. Cliquez sur OK.
4 5 6 7
1 2 3 4 5 6
Arrtez le service Symantec Endpoint Protection Manager en slectionnant Dmarrer > Tous les programmes > Outils d'administration > Services. Recherchez Symantec Endpoint Protection Manager, cliquez avec le bouton droit de la souris et slectionnez Arrter. Cliquez sur Dmarrer > Tous les programmes > Symantec Endpoint Protection Manager > Assistant de configuration du serveur de gestion. Dans l'cran de bienvenue de l'assistant de configuration du serveur de gestion, cliquez sur Reconfigurer le serveur de gestion. Cliquez sur Suivant pour lancer la reconfiguration. Dans la zone Nom du serveur, modifiez le nom de l'ordinateur sur lequel le serveur de gestion est install.
Gestion des bases de donnes Reconfiguration d'une base de donnes Microsoft SQL
393
Dans la zone Port du serveur, modifiez le numro de port HTTPS que le serveur de gestion coute. Le numro de port par dfaut est 8443.
Modifiez l'emplacement du dossier des donnes du serveur ou localisez le dossier racine o les fichiers de donnes se trouvent. Le dossier racine contient des fichiers de sauvegarde et de rplication ainsi que d'autres fichiers du serveur de gestion. Le nom du chemin d'accs par dfaut est C:\Program Files\ Symantec\Symantec Endpoint Protection Manager\data)
10 Cliquez sur Microsoft SQL Server. 11 Cliquez sur Suivant. 12 Tapez le nom du serveur de base de donnes dans la zone Serveur de base de
donnes, le cas chant. Tapez l'adresse IP ou le nom d'hte du serveur de base de donnes dans lequel le serveur SQL Server Enterprise Manager (SEM) enregistre des donnes de l'application.
13 Tapez le numro de port du serveur SQL dans la zone Port du serveur SQL.
Le numro de port par dfaut est 1433.
394
17 Tapez le nom du chemin d'accs client SQL dans Chemin d'accs client SQL.
Par dfaut, le dossier SQL client contient le fichier bcp.exe. Par exemple, C:\Program Files\Microsoft SQL Server\80\Tools\Binn. Le fichier bcp.exe doit se trouver sur l'ordinateur sur lequel vous avez install le serveur de gestion. Ce fichier fait partie du package client SQL Server. Vous devez galement spcifier le nom d'accs correct du client Microsoft SQL dans l'Assistant de configuration du serveur de gestion. Si ce nom n'est pas spcifi correctement ou si le package Microsoft SQL Client n'a jamais t install, vous ne pouvez pas reconfigurer la base de donnes.
1 2 3 4 5
Arrtez le service Symantec Endpoint Protection Manager en slectionnant Dmarrer > Programmes > Outils d'administration > Services. Recherchez Symantec Endpoint Protection Manager et cliquez avec le bouton droit de la souris afin de slectionner Arrter. Cliquez sur Dmarrer > Programmes > Symantec Endpoint Protection Manager > Assistant de configuration du serveur de gestion. Dans l'cran de bienvenue de l'assistant de configuration du serveur de gestion, cliquez sur Reconfigurer le serveur de gestion. Cliquez sur Suivant pour lancer la reconfiguration.
395
6 7
Dans la zone Nom du serveur, modifiez le nom de l'ordinateur sur lequel le serveur de gestion est install. Dans la zone Port de serveur, modifiez le numro du port HTTPS cout par le serveur de gestion. Le numro de port par dfaut est 8443.
Modifiez l'emplacement du dossier des donnes du serveur ou localisez le dossier racine o les fichiers de donnes se trouvent. Le dossier racine inclut les fichiers de sauvegarde et de rplication du serveur de gestion, ainsi que d'autres fichiers. Le nom du chemin d'accs par dfaut est C:\Program Files\ Symantec\Symantec Endpoint Protection Manager\data)
10 Cliquez sur Base de donnes intgre. 11 Cliquez sur Suivant. 12 Entrez le numro de port du serveur dans la zone de texte du port de serveur
de base de donnes. Le numro de port par dfaut est 2638.
14 Entrez le mot de passe dans la zone de texte Confirmez le mot de passe. 15 Cliquez sur Suivant.
La cration de la base de donnes prend quelques minutes. Un message de base de donnes s'affiche au cours de cette priode si le service du serveur de gestion est toujours en cours d'excution.
396
Contrle des applications et des priphriques Audit Enforcer Protection contre les menaces rseau Systme
Les donnes des autres journaux sont enregistres dans une table unique. Vous pouvez dfinir les options de journal pour grer les journaux de base de donnes qui sont enregistrs dans deux tables. Se reporter "Configuration des paramtres de journal pour les serveurs d'un site" la page 398. La table unique qui contient les donnes des autres journaux est gre en utilisant les options de maintenance de base de donnes dans les proprits de site. Vous pouvez dfinir les options de maintenance de base de donnes qui affectent les donnes qui sont enregistres dans une seule table. Se reporter "Configuration des options de maintenance de la base de donnes pour des journaux" la page 404. Pour les journaux qui sont enregistrs dans deux tables, une table (la table A) correspond la table de journal actuelle. Les nouvelles entres de journal sont consignes dans cette table. Quand le seuil ou la date d'expiration de journal est atteint, les nouvelles entres de journal sont consignes dans la deuxime table (table B). Les donnes demeurent dans la table A jusqu' ce que le seuil ou le nombre de jours spcifi dans le champ Expire aprs soit atteint pour la table B. A ce stade, la table A est efface compltement et de nouvelles entres y sont consignes. Les informations dans la table B demeurent jusqu'au prochain basculement. Le basculement d'une table l'autre, aussi appel suppression des donnes des journaux de la base de donnes, se produit automatiquement. L'chance de basculement dpend des paramtres de journal dfinis dans les proprits de site.
397
Le processus est identique indpendamment de si le champ est automatique ou manuel. Vous pouvez supprimer les donnes de journal manuellement aprs avoir sauvegard la base de donnes, si vous prfrez utiliser cette mthode en tant qu'lment de la maintenance courante de base de donnes. Si une suppression automatique intervient, vous risquez de perdre quelques donnes de journal si vos sauvegardes de la base de donnes ne se produisent pas assez frquemment. Si vous effectuez rgulirement une suppression manuelle des donnes de journal aprs une sauvegarde de la base de donnes, vous tes assur de conserver toutes les donnes. Cette procdure est trs utile si vous devez maintenir vos journaux pendant une priode relativement longue (par exemple, une anne). Remarque : La procdure manuelle dcrite dans Suppression manuelle des donnes de journal de la base de donnes n'affecte pas les donnes prsentes dans les journaux qui sont stocks dans une table unique de la base de donnes.
Pour empcher la suppression automatique du contenu de la base de donnes avant qu'une sauvegarde se produise, dfinissez l'option des paramtres de journal des proprits de site sur la valeur maximale. Se reporter "Configuration des paramtres de journal pour les serveurs d'un site" la page 398.
2 3
Effectuez la sauvegarde, comme appropri. Sur l'ordinateur o Symantec Endpoint Protection Manager est install, ouvrez un navigateur Web et tapez l'URL suivante : https://localhost:8443/servlet/ConsoleServlet?ActionType=ConfigServer&action =SweepLogs Aprs que vous avez effectu cette tche, les entres de journal pour tous les types de journaux sont enregistres dans la table de base de donnes alternative. La table initiale est conserve jusqu' ce que l'effacement suivant soit lanc.
398
Pour vider tout sauf les entres les plus actuelles, effectuez un deuxime effacement. La table initiale est efface et des entres sont nouveau enregistres. Souvenez-vous des restaurer les valeurs de paramtres de journal de proprits de site.
1 2 3 4
Dans la console, cliquez sur Admin. Dans le coin infrieur gauche, cliquez sur Serveurs. Slectionnez le site que vous voulez configurer. Sous Tches, cliquez sur Modifier les proprits de site.
399
Dans l'onglet Paramtres de journal, dfinissez le nombre d'entres et le nombre de jours conserver pour chaque type de journal. Vous pouvez dfinir des tailles pour des journaux de serveur de gestion, des journaux client et des journaux d'Enforcer.
Dans la page Politiques, Politique Utilisez cet emplacement pour configurer le antivirus et antispyware, Divers, regroupement des vnements de risque. Le temps de onglet Gestion des journaux regroupement par dfaut est de 5 minutes. La premire occurrence d'un vnement est immdiatement consigne. Des occurrences ultrieures des mmes vnements sont collectes et le nombre d'occurrences est consign sur le client toutes les 5 minutes. Dans la page Clients, page Politiques, Paramtres de journalisation client Utilisez cet emplacement pour configurer le regroupement d'vnements de protection contre les menaces rseau. Des vnements sont maintenus sur les clients pour la priode d'attnuation avant qu'ils soient collects en un vnement unique puis chargs sur la console. La priode d'attnuation aide ramener les vnements un nombre maniable. La valeur par dfaut de la priode d'attnuation est Auto (automatique). La priode d'inactivit de l'attnuateur dtermine le laps de temps qui doit passer entre les entres de journal avant que l'occurrence suivante soit considre comme une nouvelle entre. L'inactivit par dfaut de l'attnuateur est 10 secondes.
Se reporter "Dfinir des paramtres de gestion des journaux dans une politique antivirus et antispyware" la page 457. Se reporter "Configuration des paramtres de journal client" la page 400.
400
Si Symantec Network Access Control est install, vous pouvez activer et dsactiver la consignation et envoyer des journaux Enforcer au serveur de gestion. Vous pouvez galement configurer le nombre d'entres de journal et le nombre de jours pendant lesquels les entres sont conserves sur le client. Pour plus d'informations sur les journaux Enforcer, consultez le Guide de mise en oeuvre de Symantec Network Access Control Enforcement. Pour les journaux Scurit, Risque et Trafic, vous pouvez galement configurer la priode d'attnuation et la priode d'inactivit de l'attnuateur utiliser pour le regroupement des vnements. Vous pouvez indiquer si vous souhaitez ou non charger chaque type de journal client au serveur et la taille maximale des tlchargements. La non-configuration du chargement des journaux client a les consquences suivantes :
Vous ne pouvez pas afficher les donnes de journal client de la console de Symantec Endpoint Protection Manager par le biais de l'onglet Journaux de la page Contrles. Vous ne pouvez pas sauvegarder les journaux client quand vous sauvegardez la base de donnes. Vous ne pouvez pas exporter les donnes de journal client vers un fichier ou un serveur de journal centralis.
401
1 2
Dans la console, cliquez sur Clients. Dans l'onglet Politiques, sous Politiques et paramtres indpendants de l'emplacement, sous Paramtres, cliquez sur Paramtres de journalisation client. Dans la bote de dialogue Paramtres de journal client de nom du groupe, dfinissez la taille de fichier maximale et le nombre de jours de conservation des entres de journal. Activez Taille de chargement maximale : pour tous les journaux que vous voulez que les clients transfrent au serveur. Pour le journal Scurit et le journal Trafic, dfinissez la priode d'attnuation et la priode d'inactivit de l'attnuateur. Ces paramtres dterminent la frquence de regroupement des vnements Protection contre les menaces rseau.
4 5
6 7
Spcifie le nombre maximal d'entres qu'un client doit charger en une fois vers le module Symantec Endpoint Protection Manager. Cliquez sur OK.
A propos de la configuration des options de gestion des journaux pour les politiques antivirus et antispyware
Vous pouvez configurer les options suivantes de gestion des journaux pour les politiques antivirus et antispyware :
Les vnements antivirus et antispyware qui sont transfrs partir des clients vers les journaux de protection antivirus et antispyware dans le serveur. Combien de temps les vnements dans les journaux de protection antivirus et antispyware sont maintenus sur le serveur. Comment les vnements frquemment collects sont chargs partir des clients sur le serveur.
Se reporter "Dfinir des paramtres de gestion des journaux dans une politique antivirus et antispyware" la page 457.
402
donnes, mais les connexions la base de donnes ne contiennent pas de donnes quand elles sont restaures. Cette option de configuration se trouve au mme endroit que les autres options de sauvegarde des sites locaux, c'est--dire dans la page Serveurs de la page Administrateur. Vous pouvez choisir de conserver jusqu' dix versions de sauvegardes de site. Vous devriez vous assurer que vous avez suffisamment d'espace disque disponible pour conserver toutes vos donnes si vous choisissez de conserver plusieurs versions. Pour sauvegarder les journaux d'un site :
1 2 3 4 5
Dans la console, cliquez sur Admin. Slectionnez un serveur de base de donnes. Sous Tches, cliquez sur Modifier les paramtres de sauvegarde. Dans la zone de groupe Paramtres de sauvegarde, cochez Sauvegarder les journaux. Cliquez sur OK.
Charger seulement certains des journaux client dans le serveur. Se reporter "Configuration des paramtres de journal client" la page 400. Filtrer les vnements de risque et les vnements systme moins importants de sorte que moins de donnes soient transfres au serveur. Se reporter "Dfinir des paramtres de gestion des journaux dans une politique antivirus et antispyware" la page 457.
Si vous prvoyez toujours de charger un grand nombre de donnes de journal client un serveur, vous devez tenir compte des facteurs suivants :
nombre de clients dans votre rseau ; frquence de battement, qui contrle quelle frquence les journaux client sont chargs au serveur ; quantit d'espace dans le rpertoire o les donnes de journal sont enregistres avant d'tre insres dans la base de donnes.
403
Une configuration qui charge un grand volume de donnes de journal client au serveur intervalles frquents peut poser des problmes d'espace. Si vous devez charger un grand volume de donnes de journal client, vous devrez peut-tre rgler quelques valeurs par dfaut pour viter ces problmes d'espace. Pendant le dploiement vers des clients, surveillez l'espace sur le serveur dans le rpertoire de mise en place de journal et rglez ces valeurs si ncessaire. Le rpertoire par dfaut dans lequel les journaux sont convertis en fichiers .dat avant d'tre inscrits dans la base de donnes est lecteur:\Program Files\Symantec\Symantec Endpoint Protection Manager\data\inbox\log. L'emplacement du rpertoire de donnes de serveur est dfini pendant l'installation quand vous tes invit slectionner le dossier de donnes de serveur. Si vous le souhaitez, vous pouvez excuter l'Assistant de configuration du serveur de gestion partir du menu Dmarrer afin de modifier ce rpertoire. Le rpertoire \inbox\log s'ajoute automatiquement au rpertoire configur. La frquence laquelle les journaux client sont chargs est configure dans la page Politiques de la page de Clients, sous Paramtres de communication. Par dfaut, la frquence de chargement des journaux est toutes les cinq minutes. Pour rgler les valeurs qui contrlent l'espace disponible sur le serveur, vous devez modifier ces valeurs dans le registre de Windows. Les cls de registre de Windows que vous devez modifier se trouvent sur le serveur dans HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\ SEPM. Tableau 22-2 affiche une liste des cls de registre de Windows et de leurs valeurs par dfaut, et dcrit leur rle. Tableau 22-2 Cls de registre de Windows qui contiennent des paramtres de tlchargement de journal Valeur par dfaut et description
MaxInboxSpace spcifie l'espace qui est allou au rpertoire o des fichiers journaux sont convertis en fichiers .dat avant qu'ils soient enregistrs dans la base de donnes. La valeur par dfaut est 200 Mo. MinDataFreeSpace MinDataFreeSpace spcifie la quantit minimum d'espace conserver libre dans ce rpertoire. Cette cl est utile pour s'assurer que les autres applications qui utilisent le mme rpertoire ont assez d'espace pour s'excuter sans effets nuisibles sur la performance. La valeur par dfaut est 0.
Nom de valeur
MaxInboxSpace
404
Nom de valeur
IntervalOfInboxSpaceChecking IntervalOfInboxSpaceChecking spcifie la dure d'attente de Symantec Endpoint Protection entre les contrles sur la quantit d'espace qui reste disponible pour les donnes de journal dans la bote de rception. La valeur par dfaut est 30 secondes.
1 2 3
Dans la console, cliquez sur Admin. Slectionnez un site. Sous Tches, cliquez sur Modifier les proprits de site.
405
Dans l'onglet Base de donnes, dfinissez le nombre de jours pendant lesquels les vnements de risque devront tre conservs. Pour conserver le sous-ensemble d'vnements d'infection risque au-del du seuil dfini pour les vnements de risque, cochez la case Ne pas supprimer les vnements d'infection.
5 6
Indiquez la frquence laquelle les vnements de risque identiques devront tre compresss sous forme d'vnement unique. Dfinissez le nombre de jours pendant lesquels les vnements compresss devront tre conservs. Cette valeur inclut le dlai avant que les vnements ne soient compresss. Supposez par exemple que les vnements compresss devront tre supprims tous les dix jours et que les vnements devront tre compresss tous les sept jours. Dans ce cas, les vnements sont supprims trois jours aprs avoir t compresss.
7 8 9
Dfinissez le nombre de jours pendant lesquels les notifications avec et sans accus de rception devront tre conserves. Dfinissez le nombre de jours pendant lesquels les vnements d'analyse devront tre conservs. Dfinissez le nombre de jours pendant lesquels les commandes que vous avez excutes partir de la console et leurs informations d'tat associes devront tre conserves. Une fois ces oprations effectues, Symantec Endpoint Protection ne peut plus distribuer les commandes leurs destinataires respectifs. les vnements de virus inutiliss qui indiquent EICAR comme nom de virus. Le virus de test EICAR est un fichier texte dvelopp par l'Institut europen pour la recherche antivirus informatique (EICAR). Il offre un moyen sr de tester la plupart des logiciels antivirus. Vous pouvez le tlcharger partir du site Web de l'EICAR. Vous pouvez l'utiliser pour vrifier que la partie antivirus de Symantec Endpoint Protection fonctionne.
406
bloque. Si vous utilisez l'application pendant un certain temps, les fichiers .dat s'accumulent dans les rpertoires lecteur:\Program Files\Symantec\Symantec\ Symantec Endpoint Protection Manager\data\inbox\log. Pour viter l'accumulation de fichiers .dat et redmarrer l'insertion de donnes dans la base de donnes, fermez l'application.
Modification du dlai d'expiration des connexions au serveur Microsoft SQL Modification du dlai d'expiration des commandes du serveur Microsoft SQL
Le dlai d'expiration des connexions est de 300 secondes (5 minutes). Le dlai d'expiration des commandes est de 300 secondes (5 minutes).
Si des erreurs de CGI ou de processus arrts surviennent, vous pouvez modifier d'autres paramtres d'expiration. Reportez-vous l'article de la base de connaissances Symantec suivant : "Reporting server does not report or shows a timeout error message when querying large amounts of data (Le serveur Reporting ne gnre pas de rapport ou affiche un message d'erreur signalant un dpassement de dlai)". Pour modifier des paramtres d'expiration
Ouvrez le fichier Reporter.php qui se trouve dans le rpertoire \Program Files\Symantec\Symantec Endpoint Protection Manager\Inetpub\Reporting\ Resources. Utilisez un diteur de texte pour ajouter les paramtres suivants au fichier :
$CommandTimeout =xxxx $ConnectionTimeout =xxxx Les dlais d'expiration sont exprims en secondes. Si vous spcifiez la valeur zro ou laissez le champ vide, les paramtres par dfaut sont utiliss.
A propos de la restauration des journaux systme client corrompus sur les ordinateurs 64 bits
Si un journal Systme est corrompu sur un client 64 bits, un message d'erreur inconnue est susceptible de s'afficher dans les journaux Systme de la console
407
Symantec Endpoint Protection Manager. Lorsqu'un journal systme est corrompu, vous ne pouvez pas en afficher les donnes dans le client et les donnes ne sont pas charges sur la console. Ce problme peut affecter les donnes des journaux et des rapports Etat de l'ordinateur, Risque et Analyse de la console. Pour corriger ce problme, vous pouvez supprimer le fichier journal corrompu et le fichier serialize.dat sur le client. Ces fichiers se trouvent sur le client dans Lecteur:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Logs\date.Log. Une fois ces fichiers supprims, le fichier journal est recr et les entres sont consignes correctement.
408
Chapitre
23
A propos de la rplication des donnes A propos de l'incidence de la rplication Ajouter et dconnecter un partenaire de rplication Planification de la rplication automatique et la demande Rplication des packages client et contenu LiveUpdate Rplication des journaux
410
Par exemple, vous pouvez installer un site votre bureau principal (site 1) et un deuxime site (site 2). Le site 2 est un partenaire de rplication du premier site. Les bases de donnes sur le site 1 et sur le site 2 sont synchronises en utilisant une planification que vous devez configurer. Si une modification est effectue sur le site 1, elle apparat automatiquement sur le site 2 aprs la rplication. Si une modification est effectue sur le site 2, elle apparat automatiquement sur le site 1 aprs la rplication. Vous pouvez galement installer un troisime site (site 3) qui peut rpliquer les donnes du site 1 ou du site 2. Le troisime site est un partenaire de rplication des deux autres sites. Figure 23-1 illustre comment la rplication des donnes se produit d'un site local deux autres sites.
411
Figure 23-1
Une prsentation de la rplication des donnes entre un site local et deux partenaires
Site 2 Symantec Endpoint Protection Manager Base de donnes MS SQL Rplication
Les partenaires de rplication sont lists la page Administration. Vous pouvez afficher des informations sur les partenaires de rplication en slectionnant le partenaire dans l'arborescence. Tous les sites ont habituellement le mme type de base de donnes. Vous pouvez toutefois configurer la rplication entre les sites en utilisant diffrents types de bases de donnes. En outre, vous pouvez configurer la rplication entre une base de donnes intgre et une base de donnes MS SQL.
Rplication
412
Si vous utilisez une base de donnes intgre, vous ne pouvez y connecter qu'un Symantec Endpoint Protection Manager en raison des conditions de configuration. Si vous utilisez une base de donnes MS SQL, vous pouvez connecter plusieurs serveurs de gestion ou partager une base de donnes. Seul le premier serveur de gestion doit tre configur comme partenaire de rplication. Tous les sites qui sont configurs en tant que partenaires de rplication sont considrs comme faisant partie de la mme ferme de site. Au commencement, vous devez installez le premier site, puis installer un deuxime site en tant que partenaire de rplication. Un troisime site pourra tre install et configur pour se connecter l'un ou l'autre des deux premiers sites. Vous pouvez ajouter autant de sites que ncessaire la ferme de sites. Vous pouvez supprimer les partenaires de rplication pour arrter la rplication. Vous pourrez ajouter ce partenaire de rplication ultrieurement pour assurer la cohrence des bases de donnes. Cependant, certains changements peuvent tre en conflit. Se reporter "A propos des paramtres qui sont rpliqus" la page 412. Vous pouvez dfinir la rplication de donnes pendant l'installation initiale ou ultrieurement. Quand vous dfinissez la rplication pendant l'installation initiale, vous pouvez galement dfinir une planification pour la synchronisation des partenaires de rplication.
413
Crez des paramtres de communication gnriques de sorte que la connexion d'un client soit base sur le type de connexion. Par exemple, vous pouvez utiliser un nom DNS gnrique, tel que symantec.com pour tous les sites d'une ferme de site. A chaque connexion d'un client, le serveur DNS rsout le nom et connecte le client au Symantec Endpoint Protection Manager local. Crez des paramtres de communication spcifiques en attribuant des groupes aux sites de sorte que tous les clients d'un groupe se connectent au serveur de gestion indiqu. Par exemple, vous pouvez crer deux groupes pour les clients du site 1, deux groupes diffrents pour le site 2 et deux autres pour le site 3. Vous pouvez appliquer les paramtres de communication au niveau de groupe pour que les clients se connectent au serveur de gestion.
Vous pouvez dfinir des directives pour grer des paramtres d'emplacement pour les groupes. Ces directives peuvent contribuer empcher des conflits de se produire sur les mmes emplacements. Vous pouvez galement contribuer empcher les conflits pour tous les groupes qui se trouvent dans des sites diffrents.
414
Si des politiques sont ajoutes aux deux sites, les nouvelles politiques apparaissent sur les deux sites aprs rplication. Des conflits peuvent se produire quand une politique est modifie sur deux sites diffrents. Si une politique est modifie sur plusieurs sites, la dernire mise jour de n'importe quel changement est conserve aprs rplication. Si vous effectuez les tches suivantes avec la rplication prvue pour se produire chaque heure l'heure :
Vous modifiez AvAsPolicy1 sur le site 1 14:00. Vous modifiez la mme politique sur le site 2 14:30.
Seulement les changements termins sur le site 2 apparaissent lorsque la rplication est termine quand la rplication se produit 15:00. Si l'un des partenaires de rplication est dconnect, le site distant peut nanmoins indiquer l'tat comme en ligne.
Adresse IP ou nom d'hte de l'installation Symantec Endpoint Protection Manager pour laquelle vous voulez crer un partenaire de rplication. Le serveur de gestion auquel vous voulez vous connecter doit avoir dj t un partenaire de rplication. Le serveur de gestion peut galement avoir t partenaire d'un autre site de la mme ferme de sites.
1 2 3
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, slectionnez un site. Sous Tches, cliquez sur Ajouter un partenaire de rplication.
415
4 5 6
Dans l'assistant d'ajout d'un partenaire de rplication, cliquez sur Suivant. Saisissez l'adresse IP ou le nom d'hte du serveur de gestion que vous souhaitez dfinir comme partenaire de rplication. Saisissez le numro de port du serveur distant sur lequel vous avez install le serveur de gestion. Le paramtre par dfaut du port de serveur distant est 8443.
7 8 9
Entrez le nom d'utilisateur et le mot de passe de l'administrateur. Cliquez sur Suivant. Dans le volet Planifier la rplication, entrez la date prvue pour la rplication entre les deux partenaires en effectuant l'une des oprations suivantes :
Supprimez la coche de l'option Rplication automatique. Cela entrane une rplication frquente et automatique entre deux sites. Il s'agit du paramtre par dfaut. Par consquent vous ne pouvez pas installer une planification personnalise pour la rplication. Dslectionner Rplication automatique Vous pouvez maintenant installer une planification personnalise pour la rplication :
Slectionnez une Frquence de rplication horaire, quotidienne ou hebdomadaire. Slectionnez le jour spcifique de la rplication dans la liste Jour de la semaine pour installer une planification hebdomadaire.
10 Cliquez sur Suivant. 11 Dans le volet Rplication des fichiers journaux et des packages client, cochez
ou supprimez la coche des options, selon que vous souhaitez ou non rpliquer les journaux. Par dfaut, les options ne sont pas actives.
Si la base de donnes a t restaure sur le site du partenaire de rplication, cliquez sur Oui. Vous devez restaurer la base de donnes sur chaque site de partenaire de rplication avant de continuer si vous mettez niveau ou restaurez une base de donnes. Cliquez sur Non si la base de donnes n'a pas t restaure. Restaurez ensuite la base de donnes et redmarrez cette procdure.
416
1 2 3 4 5
Dans la console, cliquez sur Administration. Dans la page Administrateur, sous Afficher les serveurs, cliquez sur Partenaires de rplication. Dveloppez Partenaires de rplication et slectionnez le partenaire dont vous voulez vous dconnecter. Dans la page Administrateur, sous Tches, cliquez sur Supprimer le partenaire de rplication. Saisissez Oui lorsqu'il vous est demand de confirmer que vous voulez supprimer le partenaire de rplication.
417
1 2
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, dveloppez Partenaires de rplication et slectionnez le partenaire dont vous voulez rpliquer immdiatement la base de donnes. Sous Tches, cliquez sur Rpliquer maintenant. Cliquez sur Oui lorsqu'il vous est demand de confirmer que vous voulez dmarrer immdiatement une rplication unique. Le message suivant apparat :
La rplication a t planifie. Pour plus de dtails sur le rsultat de l'vnement planifi, consultez les journaux systme du serveur aprs un dlai de quelques minutes. Le dlai dpend de la charge du serveur, de la quantit de modifications rpliquer et de la bande passante du canal de communication.
3 4
Cliquez sur OK. La base de donnes est rplique immdiatement. Si vous utilisez une base de donnes Microsoft SQL avec plusieurs serveurs, vous ne pouvez lancer la rplication qu' partir du premier serveur configur sur le site. Si vous essayez d'effectuer la rplication maintenant partir du deuxime serveur, vous recevrez le message suivant :
Seul le premier serveur du site peut effectuer la rplication. Veuillez vous connecter au serveur : <nom premier serveur> pour lancer la rplication
1 2 3
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, cliquez sur Partenaires de rplication. Sous Tches, cliquez sur Modifier un partenaire de rplication.
418
Dans la bote de dialogue Modifier le partenaire de rplication, spcifiez la planification pour la rplication entre les deux partenaires en effectuant une des actions suivantes :
Supprimez la coche de l'option Rplication automatique. Cela entrane une rplication frquente et automatique entre deux sites. Il s'agit du paramtre par dfaut. Par consquent vous ne pouvez pas installer une planification personnalise pour la rplication. Dslectionner Rplication automatique Vous pouvez maintenant installer une planification personnalise pour la rplication.
Slectionnez une Frquence de rplication horaire, quotidienne ou hebdomadaire. Slectionnez le jour spcifique de la rplication dans la liste Jour de la semaine pour installer une planification hebdomadaire.
1 2
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, cliquez sur Partenaires de rplication.
419
3 4 5
Dveloppez Partenaires de rplication et slectionnez le partenaire de rplication avec lequel vous voulez rpliquer les packages client. Sous Tches, cliquez sur Modifier les proprits du partenaire de rplication. Dans la bote de dialogue Proprits de partenaire de rplication, sous Partenaire, cliquez sur Rpliquer les packages client entre le site local et le site partenaire. Cliquez sur OK.
1 2 3
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, cliquez sur Partenaires de rplication. Dveloppez Partenaires de rplication et slectionnez le partenaire de rplication pour lequel vous voulez dmarrer la gnration des journaux de rplication. Dans la page Admin, sous Tches, cliquez sur Modifier les proprits du partenaire de rplication. Dans la bote de dialogue Proprits de partenaire de rplication, sous Partenaire, cliquez sur Rpliquer les journaux du site local vers ce site de partenaire ou Rpliquer les journaux de ce partenaire vers le site local Cliquez sur OK.
4 5
420
Chapitre
24
A propos de la protection contre les interventions Configuration de la protection contre les interventions
422
Gestion de la protection contre les interventions Configuration de la protection contre les interventions
L'action entreprise par la protection contre les interventions lorsqu'une tentative d'intervention est dtecte consiste bloquer la tentative et de consigner l'vnement. La protection contre les interventions envoie un message par dfaut l'utilisateur lorsqu'une tentative d'intervention est dtecte.
Vous pouvez dsactiver les notifications de protection contre les interventions sur des ordinateurs client. Vous pouvez galement crer des exceptions pour les applications dtectes par la protection contre les interventions. Se reporter "Configuration de la protection contre les interventions" la page 422. Se reporter "Configurer une exception centralise pour la protection contre les interventions" la page 657. Se reporter "Ajout d'une exception centralise pour des vnements de protection contre les interventions" la page 661. Lorsqu'un client est install en tant que client gr, la protection contre les interventions adopte les valeurs suivantes par dfaut :
La protection contre les interventions est active. L'action entreprise par la protection contre les interventions lorsqu'une tentative d'intervention est dtecte consiste consigner l'vnement uniquement. La protection contre les interventions n'envoie aucun message l'utilisateur lorsqu'une tentative d'intervention est dtecte.
Remarque : Si vous activez des notifications quand Symantec Endpoint Protection dtecte une tentative d'intervention, des notifications concernant les processus de Windows sont envoyes aux ordinateurs affects ainsi que des notifications concernant les processus de Symantec. Se reporter "Configuration de la protection contre les interventions" la page 422.
Gestion de la protection contre les interventions Configuration de la protection contre les interventions
423
Lorsque vous utilisez Symantec Endpoint Protection pour la premire fois, il est conseill d'utiliser l'action Consigner l'vnement uniquement tout en contrlant les journaux chaque semaine. Lorsque vous tes certain qu'aucun faux positif n'est prsent, dfinissez la protection contre les interventions sur Bloquer et consigner l'vnement. Se reporter "A propos de la protection contre les interventions" la page 421. Vous pouvez configurer un message de faon ce qu'il apparaisse sur les clients lorsque Symantec Endpoint Protection dtecte une tentative d'intervention. Par dfaut, les messages de notification apparaissent lorsque le logiciel dtecte une tentative d'intervention. Le message que vous crez peut contenir un mlange de texte et de variables. Les variables sont renseignes l'aide des valeurs qui identifient des caractristiques de l'attaque. Si vous utilisez une variable, vous devez la saisir exactement telle qu'elle apparat. Tableau 24-1 dcrit les variables disponibles pour configurer un message. Tableau 24-1 Variables et descriptions du message de protection contre les interventions Description
Action entreprise par la protection contre les interventions en rponse l'attaque. Numro d'identification du processus ayant attaqu une application Symantec. Nom du processus ayant attaqu une application Symantec. Nom de l'ordinateur attaqu. Date laquelle l'attaque s'est produite. Type de cible attaqu par le processus. Nom du fichier ayant attaqu les processus protgs. Zone du matriel ou des logiciels de l'ordinateur protge contre les interventions. Pour les messages de protection contre les interventions, il s'agit des applications Symantec. Chemin et nom complet du fichier ayant attaqu les processus protgs. Type de tentative d'intervention s'tant produit. Emplacement de la cible que le processus a attaqu.
Champ
[ActionEffectue]
[IDProcessusActeur]
[CheminNomfichier]
[EvnementSystme] [NomCheminCible]
424
Gestion de la protection contre les interventions Configuration de la protection contre les interventions
Champ
[IDProcessusCible]
Description
Identifiant de processus de la cible que le processus a attaque. Identifiant de la session de terminal au cours de laquelle l'vnement s'est produit. Nom de l'utilisateur connect lorsque l'attaque s'est produite.
[IDSessionTerminalCible]
[Utilisateur]
1 2 3
Dans la console, cliquez sur Clients. Dans l'onglet Politiques, sous Paramtres, cliquez sur Paramtres gnraux. Dans l'onglet Protection contre les interventions, cochez ou dslectionnez la case Protger les logiciels de scurit Symantec contre les interventions ou interruptions. Cliquez sur l'icne de verrouillage si vous souhaitez que les utilisateurs ne puissent pas modifier ce paramtre. Cliquez sur OK.
4 5
1 2 3
Dans la console, cliquez sur Clients. Dans l'onglet Policies (Politiques), sous Settings (Paramtres), cliquez sur General Settings (Paramtres gnraux). Dans l'onglet Protection contre les interventions, dans les zones de liste, slectionnez l'une des actions suivantes :
Pour bloquer et consigner l'activit non autorise, cliquez sur Bloquer et consigner l'vnement. Pour consigner l'activit non autorise sans interdire son excution, cliquez sur Consigner l'vnement uniquement.
4 5
Cliquez sur l'icne de verrouillage si vous souhaitez que les utilisateurs ne puissent pas modifier ce paramtre. Cliquez sur OK.
Gestion de la protection contre les interventions Configuration de la protection contre les interventions
425
Pour activer et personnaliser des messages de notification de protection contre les interventions
1 2 3 4
Dans la console, cliquez sur Clients. Dans l'onglet Policies (Politiques), sous Settings (Paramtres), cliquez sur General Settings (Paramtres gnraux). Dans l'onglet Protection contre les interventions, cliquez sur le Afficher un message de notification si une modification est dtecte. Dans la zone de texte, vous pouvez saisir ou supprimer du texte afin de modifier le message par dfaut. Si vous utilisez une variable, vous devez la saisir exactement telle qu'elle apparat.
5 6
Cliquez sur l'icne de verrouillage si vous souhaitez que les utilisateurs ne puissent pas modifier ce paramtre. Cliquez sur OK.
426
Gestion de la protection contre les interventions Configuration de la protection contre les interventions
Section
Chapitre 25. Paramtres de base de la politique antivirus et antispyware Chapitre 26. Configuration d'Auto-Protect Chapitre 27. Utilisation d'analyses dfinies par l'administrateur
428
Chapitre
25
Bases de la protection antivirus et antispyware A propos de l'utilisation des politiques antivirus et antispyware A propos des virus et des risques de scurit A propos des analyses A propos des actions pour les virus et les risques de scurit dtects par les analyses sur des clients Windows A propos des actions pour les virus et les risques de scurit dtects par les analyses sur des clients Mac Dfinir des paramtres de gestion des journaux dans une politique antivirus et antispyware A propos de l'interaction client avec des options d'antivirus et de protection antispyware Modifier le mot de passe ncessaire pour analyser des lecteurs rseau mapps Configuration du Centre de scurit Windows pour qu'il fonctionne avec le client Symantec Endpoint Protection Afficher un avertissement lorsque les dfinitions sont primes ou manquantes
430
Spcification d'une URL devant apparatre dans des notifications d'erreur d'antivirus et de protection antispyware Spcifier une URL pour une page d'accueil de navigateur Configuration des options qui s'appliquent aux analyses antivirus et antispyware Transmettre des informations sur des analyses Symantec Gestion des fichiers en quarantaine
Crez un plan pour ragir face aux virus et aux risques de scurit. Se reporter "A propos de la cration d'un plan pour ragir face aux virus et aux risques de scurit" la page 430. Affichez le statut de votre rseau sur la page d'accueil dans la console. Se reporter "A propos de la page d'accueil de Symantec Endpoint Protection" la page 215. Excutez des commandes via la console pour activer Auto-Protect, lancez une analyse la demande ou mettez jour les dfinitions. Se reporter "Excution de commandes sur des clients partir de la console" la page 81. Se reporter "Excuter des analyses la demande" la page 508. Se reporter "Gestion du contenu pour les clients" la page 140. Utilisez les politiques antivirus et antispyware pour modifier Auto-Protect et les paramtres d'analyse sur les ordinateurs client. Se reporter "Configuration d'Auto-Protect pour le systme de fichiers pour des clients Windows" la page 481. Se reporter "Configurer des options avances d'analyse et de surveillance" la page 484.
A propos de la cration d'un plan pour ragir face aux virus et aux risques de scurit
Pour rpondre de manire rapide et efficace une propagation de virus et de risques de scurit, vous devez laborer une stratgie. Crez un plan pour faire
431
face aux pidmies de virus et dfinissez des actions permettant de traiter les fichiers suspects. Se reporter "Bases de la protection antivirus et antispyware" la page 430. Tableau 25-1 prsente les tches de cration d'un plan antivirus et de lutte contre la propagation des risques de scurit. Tableau 25-1 Tche
Vrifiez que les fichiers de dfinitions sont jour.
Prparez une carte de la topologie de votre rseau pour pouvoir systmatiquement isoler et nettoyer les ordinateurs par segment avant de les reconnecter au rseau local. Votre carte doit contenir les informations suivantes :
432
Tche
Matrisez les solutions de scurit.
Description
Matrisez la topologie de votre rseau et votre mise en uvre du client dans votre rseau. Matrisez galement la mise en uvre de tous les autres produits de scurit utiliss sur votre rseau. Considrez les points suivants : Quels programmes de scurit protgent les serveurs et stations de travail en rseau ? Quelle est la planification de la mise jour des dfinitions ? Quelles autres mthodes de rcupration des mises jour sont disponibles si les canaux habituels sont attaqus ? Quels fichiers journaux sont disponibles pour effectuer le suivi des virus sur votre rseau ?
En cas d'infection catastrophique, il se peut que vous deviez restaurer les ordinateurs client. Assurez-vous que vous disposez d'un plan de secours pour restaurer les ordinateurs vitaux. Les menaces combines (par exemple, les vers) peuvent circuler via des ressources partages sans intervention de l'utilisateur. Pour ragir une infection par un ver informatique, il est essentiel d'isoler les ordinateurs infects en les dconnectant du rseau. Les rapports et journaux de la console de gestion reprsentent une mine d'informations quant aux risques auxquels votre rseau est expos. Vous pouvez utiliser l'encyclopdie de virus de Symantec Security Response pour en savoir plus sur un risque particulier que vous identifiez dans les rapports ou les fichiers journaux. Dans certains cas, vous pouvez trouver des instructions supplmentaires permettant de traiter le risque.
Identifiez le risque.
433
Tche
Ragissez face aux risques inconnus.
Description
Il est souhaitable d'accder au site Web Symantec Security Response pour obtenir des informations jour, lorsque les situations suivantes sont vraies : Vous ne pouvez pas identifier un fichier suspect en examinant les fichiers journaux et les rapports. Les derniers fichiers de dfinitions de virus ne nettoient pas le fichier suspect.
Sur le site Web, il se peut que vous trouviez des informations rcentes sur le fichier suspect. Vrifiez les derniers conseils relatifs aux menaces virales et la scurit. http://www.symantec.com/fr/fr/security_response/
434
435
Analyses proactives des menaces TruScan Options de quarantaine Options de transmission Paramtres divers
Quand vous installez Symantec Endpoint Protection, plusieurs politiques antivirus et antispyware apparaissent dans la liste des politiques de la console. Vous pouvez modifier l'une des politiques prconfigures ou vous pouvez crer de nouvelles politiques. Remarque : Les politiques antivirus et antispyware incluent la configuration pour des analyses proactives des menaces TruScan. Se reporter "A propos des analyses" la page 442.
Politique antivirus et antispyware Politique antivirus et antispyware Haute scurit Politique antivirus et antispyware Haute performance
La politique haute scurit est la plus rigoureuse de toutes les politiques antivirus et antispyware prconfigures. Vous devez garder l'esprit qu'elle peut affecter les performances d'autres applications. La politique hautes performances fournit de meilleures performances que la politique haute scurit, mais elle ne fournit pas les mmes dispositifs de protection. Pour dtecter les menaces, elle se fonde principalement sur Auto-Protect pour le systme de fichiers pour analyser les fichiers dont les extensions sont slectionnes. La politique antivirus et antispyware par dfaut contient les paramtres importants suivants :
Auto-Protect pour le systme de fichiers est charg au dmarrage de l'ordinateur et activ pour tous les fichiers. Le courrier lectronique Internet, Microsoft Outlook et Auto-Protect pour Lotus Notes sont activs pour tous les fichiers. L'analyse rseau de la protection automatique du systme de fichiers est active. Les analyses proactives des menaces TruScan sont actives et sont excutes toutes les heures.
436
ActiveScan ne s'excute pas automatiquement quand les nouvelles dfinitions arrivent. Une analyse planifie s'excute une fois par semaine, avec l'optimisation d'analyse dfinie sur Meilleures performances d'application.
Auto-Protect pour le systme de fichiers est charg quand Symantec Endpoint Protection dmarre et est activ pour les fichiers dont les extensions sont slectionnes. L'analyse rseau de la protection automatique du systme de fichiers est dsactive. Le courrier lectronique Internet, Microsoft Outlook et Auto-Protect pour Lotus Notes sont dsactivs. Les analyses proactives des menaces sont actives et s'excutent une fois toutes les six heures. ActiveScan n'est pas excut automatiquement lorsque de nouvelles dfinitions arrivent. Une analyse planifie s'excute une fois par mois, avec l'optimisation d'analyse dfinie sur Meilleures performances d'application.
Auto-Protect pour le systme de fichiers est charg au dmarrage de l'ordinateur et activ pour tous les fichiers. Internet Email, Microsoft Outlook et Lotus Notes Auto-Protect sont activs pour tous les fichiers. L'analyse rseau de la protection automatique du systme de fichiers est active. Les analyses proactives des menaces sont actives et s'excutent toutes les heures, ainsi qu' chaque dmarrage d'un nouveau processus. ActiveScan s'excute automatiquement quand de nouvelles dfinitions arrivent. Une analyse planifie s'excute une fois par semaine, avec l'optimisation d'analyse dfinie pour tre quilibre.
437
A propos des paramtres par dfaut de prise en charge des fichiers suspects
Grce la politique antivirus et antispyware par dfaut, le client de Symantec Endpoint Protection excute les actions suivantes lorsqu'il identifie un fichier susceptible d'tre infect par un virus :
Le client essaye de rparer le fichier. Si le fichier ne peut pas tre rpar l'aide de l'ensemble de dfinitions actuel, le client transfert le fichier infect dans la zone de quarantaine locale. En outre, le client cre une entre dans le journal des vnements de risque. Le client transmet les donnes au serveur de gestion. Vous pouvez afficher les donnes du journal partir de la console.
Vous pouvez effectuer les actions supplmentaires suivantes pour complter votre stratgie de gestion des virus :
Configurez la fonction de cration de rapports pour tre inform lorsque des virus sont dtects. Se reporter "A propos de l'utilisation de notifications" la page 312. Dfinissez les diffrentes actions de rparation en fonction du type de virus. Par exemple, vous pouvez configurer le client de faon ce qu'il rpare automatiquement les virus macro. Vous pouvez galement configurer une action diffrente pour les cas de figure o le client dtecte un fichier de programme et attribuer une action de sauvegarde pour les fichiers que le client ne peut pas rparer. Se reporter "Configuration des actions pour des dtections connues de virus et de risque de scurit sur les clients Windows" la page 466.
Configurez la zone de quarantaine locale de manire ce que les fichiers infects soient transfrs vers la quarantaine centralise. Vous pouvez configurer la quarantaine centralise de manire ce qu'elle tente une rparation. Lorsque la quarantaine centralise tente une rparation, elle utilise son propre ensemble de dfinitions de virus. Les dfinitions de la quarantaine centralise sont parfois plus appropries que celles de l'ordinateur local. Vous
438
Paramtres de base de la politique antivirus et antispyware A propos de l'utilisation des politiques antivirus et antispyware
pouvez galement configurer le transfert automatique d'chantillons de fichiers infects Symantec Security Response des fins d'analyse. Pour plus d'informations, consultez le Guide de mise en oeuvre de Symantec Central Quarantine.
A propos de l'utilisation de politiques pour grer des lments dans la zone de quarantaine
Quand le client dtecte un virus connu, il place le fichier dans la zone de quarantaine locale de l'ordinateur client. Le client peut galement mettre en quarantaine les lments que les analyses proactives des menaces dtectent. Vous configurez les paramtres de quarantaine dans le cadre d'une politique antivirus et antispyware que vous appliquez aux clients. Vous pouvez dfinir les lments suivants :
Un chemin de rpertoire de quarantaine local Si les clients soumettent manuellement ou non Symantec Security Response les lments mis en quarantaine Si les clients soumettent automatiquement ou non un serveur de quarantaine centralis les lments mis en quarantaine La manire dont la zone de quarantaine locale traite la correction quand de nouvelles dfinitions de virus sont reues
Se reporter "Gestion des fichiers en quarantaine" la page 474. Vous pouvez galement supprimer des lments mis en quarantaine sur vos ordinateurs client du journal des risques de la console. Se reporter "Surveillance de la protection de terminal" la page 207.
Paramtres de base de la politique antivirus et antispyware A propos des virus et des risques de scurit
439
Les procdures de ce chapitre supposent que vous matrisez les bases de la configuration des politiques. Se reporter "Utilisation de politiques pour grer la scurit du rseau" la page 96.
Dtection, limination et rparation des effets secondaires des virus, des vers, des chevaux de Troie et des menaces combines. Dtection, limination et rparation des effets secondaires des risques de scurit tels que les logiciels publicitaires, les composeurs, les outils de piratage, les blagues, les programmes d'accs distance, les spywares, les outils de suivi et autres.
Se reporter "Bases de la protection antivirus et antispyware" la page 430. Tableau 25-2 dcrit les types de risques que le logiciel client analyse. Tableau 25-2 Risque
Virus
440
Paramtres de base de la politique antivirus et antispyware A propos des virus et des risques de scurit
Risque
Robots Web malveillants
Description
Programmes qui excutent des tches automatises sur Internet des fins malveillantes. Des robots Web peuvent tre utiliss pour automatiser des attaques sur des ordinateurs ou pour collecter des informations de sites Web.
Vers
Programmes qui se reproduisent sans infecter d'autres programmes. Certains vers se rpandent en se copiant de disque en disque, tandis que d'autres se reproduisent uniquement dans la mmoire afin de ralentir les ordinateurs. Programmes malveillants qui se masquent dans quelque chose d'inoffensif, comme un jeu ou un utilitaire. Menaces qui combinent les caractristiques des virus, des vers, des chevaux de Troie et des codes malveillants avec les vulnrabilits de serveur et d'Internet pour lancer, transmettre et propager une attaque. Les menaces combines utilisent plusieurs mthodes et techniques pour se propager rapidement et causent des dommages tendus travers un rseau. Programmes autonomes ou ajouts qui collectent, de faon clandestine, des informations personnelles via Internet et relayent ces informations vers un autre ordinateur. Ces logiciels peuvent surveiller vos habitudes de navigation dans un but publicitaire. Ils peuvent galement diffuser des contenus publicitaires. Vous tes susceptible de tlcharger inconsciemment des logiciels publicitaires partir de sites Web (gnralement sous la forme de partagiciel ou graticiel), de courriers lectroniques ou de programmes de messagerie instantane. Parfois, un utilisateur tlcharge son insu un logiciel publicitaire en acceptant le Contrat de licence Utilisateur d'un programme.
Chevaux de Troie
Menaces combines
Logiciel de publicit
Composeurs
Programmes qui utilisent un ordinateur, sans permission de l'utilisateur ou son insu, pour composer par Internet un numro 900 ou accder un site FTP. Habituellement, ces numros sont composs pour engendrer des frais.
Paramtres de base de la politique antivirus et antispyware A propos des virus et des risques de scurit
441
Risque
Outils de piratage
Description
Programmes utiliss par un pirate pour obtenir un accs non autoris l'ordinateur d'un utilisateur. Une exemple est un programme d'enregistrement automatique des frappes qui piste et enregistre chaque frappe au clavier et envoie ces informations au pirate. Le pirate peut ensuite effectuer des analyses de port ou de vulnrabilit. Les outils de piratage peuvent galement servir crer des virus. Programmes qui altrent ou interrompent le fonctionnement d'un ordinateur d'une manire qui se veut amusante ou effrayante. Par exemple, un programme tlcharg depuis un site Web, dans un courrier lectronique ou dans un programme de messagerie instantane. Il peut, par exemple, dplacer la Corbeille loin de la souris lorsque l'utilisateur tente de le supprimer ou inverser les boutons de la souris. Tous les autres risques de scurit qui ne se conforment pas aux dfinitions strictes des virus, des chevaux de Troie, des vers ou d'autres catgories de risque de scurit. Programmes permettant un accs par Internet partir d'un autre ordinateur afin d'obtenir des informations ou d'attaquer voire d'altrer votre ordinateur. Un utilisateur ou un autre processus peut, par exemple, installer un programme sans que l'utilisateur le sache. Le programme peut tre utilis des fins malveillantes avec ou sans modification du programme d'accs distance d'origine. Programmes autonomes pouvant surveiller secrtement les activits du systme et dtecter des informations comme les mots de passe et autres informations confidentielles et retransmettre ces informations un autre ordinateur. Vous tes susceptible de tlcharger inconsciemment des spywares partir de sites Web (gnralement sous la forme de partagiciel ou graticiel), de courriers lectroniques ou de programmes de messagerie instantane. Parfois, un utilisateur tlcharge son insu un spyware en acceptant le Contrat de licence Utilisateur d'un programme.
Programmes plaisanterie
Autres
Spyware
442
Risque
Logiciel de pistage
Description
Applications autonomes ou ajoutes qui suivent l'itinraire d'un utilisateur sur Internet et envoient les informations au systme cible. Par exemple, l'application peut tre tlcharge depuis un site Web, dans un courrier lectronique ou dans un programme de messagerie instantane. Elle peut ensuite obtenir des informations confidentielles concernant le comportement de l'utilisateur.
Par dfaut, Auto-Protect analyse la prsence des virus, des chevaux de Troie, des vers et des risques de scurit quand il s'excute. Certains risques, tels que Back Orifice, taient dtects comme tant des virus dans les versions antrieures du logiciel client. Ils restent dtectes comme tant des virus afin que le logiciel client puisse continuer protger les anciens systmes.
Analyses Auto-Protect Se reporter "A propos des analyses Auto-Protect" la page 443. Analyses dfinies par l'administrateur Se reporter "A propos des analyses dfinies par l'administrateur" la page 448.
Analyses proactives des menaces TruScan Se reporter "A propos des analyses proactives des menaces TruScan" la page 450.
Par dfaut, toutes les analyses antivirus et antispyware dtectent des virus et des risques de scurit, tels que des logiciels publicitaires et des spywares ; les analyses mettent en quarantaine les virus et les risques de scurit, puis elles suppriment ou rparent leurs effets secondaires. Les analyses Auto-Protect et dfinies par l'administrateur dtectent les virus et les risques de scurit connus. Les analyses proactives des menaces dtectent les virus et les risques de scurit inconnus en analysant la possibilit d'un comportement malveillant.
443
Remarque : Dans certains cas, vous pouvez installer votre insu une application incluant un risque de scurit tel qu'un logiciel publicitaire ou un spyware. Si Symantec dtermine qu'il n'est pas nuisible pour un ordinateur de bloquer un risque de scurit, le logiciel client bloque celui-ci par dfaut. Pour viter de laisser l'ordinateur dans un tat instable, le logiciel client attend que l'installation de l'application soit termine avant de placer le risque en quarantaine. Il rpare ensuite les effets secondaires du risque.
Analyses Auto-Protect pour le systme de fichiers Analyses Auto-Protect des pices jointes pour Lotus Notes et Outlook (MAPI et Internet) Analyses Auto-Protect pour les messages Internet et les pices jointes de message utilisant les protocoles de communication POP3 ou SMTP ; les analyses Auto-Protect pour messagerie Internet inclut aussi l'analyse heuristique des messages sortants
Remarque : Pour des raisons de performance, Auto-Protect pour messagerie Internet pour POP3 n'est pas pris en charge sur les systmes d'exploitation serveur. Sur un serveur Microsoft Exchange, vous ne devrez pas installer Auto-Protect pour Microsoft Outlook. Auto-Protect analyse continuellement les fichiers et les donnes de message pour rechercher les virus et les risques de scurit ; les virus et les risques de scurit peuvent inclure des spywares et des logiciels publicitaires, car ils sont lus ou enregistrs sur un ordinateur. Vous pouvez configurer Auto-Protect pour analyser seulement des extensions de fichier choisies. Quand il analyse des extensions slectionnes, Auto-Protect peut galement dterminer le type d'un fichier mme si un virus modifie l'extension de fichier. Lorsque vous effectuez la configuration, vous pouvez verrouiller les options d'Auto-Protect sur les clients pour imposer une politique de scurit au niveau de l'entreprise afin d'assurer une protection contre les virus et les risques de scurit. Les utilisateurs ne peuvent pas modifier les options que vous verrouillez. Auto-Protect est activ par dfaut. Vous pouvez afficher l'tat d'Auto-Protect dans la console sous l'onglet Clients ou en gnrant les rapports et les journaux qui
444
affichent l'tat de l'ordinateur. Vous pouvez galement afficher l'tat d'Auto-Protect directement sur le client. Auto-Protect peut analyser les pices jointes de messagerie des applications suivantes :
Lotus Notes 4.5x, 4.6, 5.0 et 6.x Microsoft Outlook 98/2000/2002/2003/2007 (MAPI et Internet)
Si vous utilisez Microsoft Outlook sur MAPI ou le client Microsoft Exchange et que Auto-Protect est activ pour le courrier lectronique, les pices jointes sont immdiatement tlcharges sur l'ordinateur qui excute le client de messagerie. Les pices jointes sont analyses au moment de leurs ouvertures. Si vous tlchargez une pice jointe volumineuse sur une connexion lente, les performances de la messagerie sont affectes. Vous pouvez dsactiver cette fonction pour les utilisateurs qui reoivent souvent des pices jointes de grande taille. Remarque : Si Lotus Notes ou Microsoft Outlook est dj install sur l'ordinateur quand vous effectuez une installation de logiciel client, le logiciel client dtecte l'application de messagerie. Le client installe alors le type de courrier lectronique correct d'Auto-Protect. Les deux types sont installs si vous slectionnez une installation complte quand vous excutez une installation manuelle. Si votre programme de messagerie lectronique ne correspond aucun des formats de donnes pris en charge, vous pouvez protger votre rseau en activant Auto-Protect sur votre systme de fichiers. Si un utilisateur reoit un message avec une pice jointe infecte sur un systme de messagerie de Novell GroupWise, Auto-Protect peut dtecter le virus quand l'utilisateur ouvre la pice jointe. En effet, la plupart des programmes de messagerie lectronique (comme GroupWise) enregistrent les pices jointes dans un rpertoire temporaire lorsque les utilisateurs les lancent depuis le client de messagerie. Si vous activez Auto-Protect sur votre systme de fichiers, Auto-Protect dtecte le virus quand il est enregistr dans le rpertoire temporaire. Auto-Protect dtecte galement le virus si l'utilisateur essaye d'enregistrer la pice jointe infecte sur un lecteur local ou lecteur rseau local. Se reporter "A propos de la configuration d'Auto-Protect" la page 479. Se reporter "A propos de la dtection d'Auto-Protect des processus qui tlchargent continuellement le mme risque de scurit" la page 445. Se reporter "A propos de l'exclusion automatique des fichiers et des dossiers" la page 445.
445
Se reporter "Si les applications de messagerie client utilisent une bote de rception unique" la page 447.
A propos de la dtection d'Auto-Protect des processus qui tlchargent continuellement le mme risque de scurit
Si Auto-Protect dtecte un processus qui tlcharge continuellement un risque de scurit vers un ordinateur client, il peut afficher une notification et consigner la dtection. (Auto-Protect doit tre configur pour envoyer des notifications.) Si le processus continue tlcharger le mme risque de scurit, plusieurs notifications apparaissent sur l'ordinateur de l'utilisateur et Auto-Protect consigne ces vnements. Pour empcher que plusieurs notifications aient lieu et que plusieurs vnements soient consigns, Auto-Protect arrte automatiquement d'envoyer des notifications au sujet du risque de scurit au bout de trois dtections. Auto-Protect arrte galement de consigner l'vnement au bout de trois dtections. Dans certaines situations, Auto-Protect n'arrte pas d'envoyer des notifications et de consigner des vnements pour le risque de scurit. Auto-Protect continue envoyer des notifications et consigner des vnements quand l'un des cas suivants se produit :
Vous ou des utilisateurs sur des ordinateurs client dsactivez le blocage de l'installation des risques de scurit (par dfaut, il est activ). L'action pour le type de risque de scurit des tlchargements de processus est Ignorer.
446
Remarque : Pour consulter les exclusions que le client cre sur les ordinateurs 32 bits, vous pouvez examiner le contenu du registre Windows HKEY_LOCAL_MACHINE\Software\Symantec\Symantec Endpoint Protection\AV\Exclusions. Vous ne devez pas modifier ce registre Windows directement. Sur les ordinateurs 64 bits, consultez HKEY_LOCAL_MACHINE\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Exclusions. Le client n'exclut pas de l'analyse les dossiers systme temporaires car cela pourrait aboutir une vulnrabilit grave de l'ordinateur. Vous pouvez configurer des exclusions supplmentaires en utilisant des exceptions centralises. Se reporter "Configuration d'une politique d'exceptions centralises" la page 649.
A propos de l'exclusion automatique des fichiers et des dossiers pour Microsoft Exchange Server
Si des serveurs Microsoft Exchange sont installs sur l'ordinateur sur lequel vous avez install le client Symantec Endpoint Protection, le logiciel client dtecte automatiquement la prsence de Microsoft Exchange. Quand le logiciel client dtecte un serveur Microsoft Exchange, il cre les exclusions de fichiers et de dossiers appropries pour les analyses Auto-Protect pour le systme de fichiers et toutes les autres analyses. Les serveurs Microsoft Exchange peuvent inclure des serveurs en cluster. Le logiciel client vrifie la prsence de modifications dans l'emplacement des fichiers et dossiers Microsoft Exchange appropris intervalles rguliers. Si vous installez Microsoft Exchange sur un ordinateur o le logiciel client est dj install, les exclusions sont cres quand le client recherche des modifications. Le client exclut les fichiers et les dossiers ; si un fichier unique est dplac d'un dossier exclu, il demeure exclu. Le logiciel client cre des exclusions d'analyse de fichiers et de dossiers pour les versions suivantes de Microsoft Exchange Server :
Exchange 5.5 Exchange 6.0 Exchange 2000 Exchange 2003 Exchange 2007 Exchange 2007 SP1
Pour Exchange 2007, consultez votre documentation utilisateur pour plus d'informations sur la compatibilit avec les logiciels antivirus. Dans certaines
447
circonstances, vous pourriez devoir crer manuellement des exclusions d'analyse pour certains dossiers Exchange 2007. Dans un environnement de cluster, vous pouvez devoir crer des exclusions. Pour plus d'informations, consultez le document suivant dans la base de donnes de Symantec : Empcher Symantec Endpoint Protection 11.0 d'analyser la structure de rpertoire de Microsoft Exchange 2007
A propos de l'exclusion automatique des fichiers et des dossiers issus de produits Symantec
Le client cre des exclusions d'analyses de fichiers et dossiers appropries pour certains produits Symantec quand ils sont dtects. Le client cre des exclusions pour les produits Symantec suivants :
Symantec Mail Security 4.0, 4.5, 4.6, 5.0 et 6.0 pour Microsoft Exchange Symantec AntiVirus/Filtering 3.0 pour Microsoft Exchange Norton AntiVirus 2.x pour Microsoft Exchange Base de donnes intgre et journaux de Symantec Endpoint Protection Manager
Le client dtecte un virus dans le fichier de bote de rception pendant une analyse la demande ou une analyse planifie.
448
Symantec ne recommande gnralement pas d'exclure des fichiers des analyses. Quand vous excluez le fichier de bote de rception des analyses, la bote de rception ne peut pas tre mise en quarantaine ; cependant, si le client dtecte un virus quand un utilisateur ouvre un message, il peut sans risque mettre en quarantaine ou supprimer le message.
Analyses planifies Se reporter "A propos des analyses planifies" la page 448. Analyses sur demande Se reporter "A propos des analyses la demande" la page 449.
En gnral, il est conseill de crer une analyse planifie complte excution hebdomadaire et une analyse Active Scan excution quotidienne. Par dfaut, le client Symantec Endpoint Protection gnre une analyse active "Active Scan" pour s'excuter au dmarrage sur les ordinateurs client.
449
Certains paramtres des analyses planifies sont similaires ceux des analyses Auto-Protect, mais chaque type d'analyse est configur sparment. Les exceptions centralises que vous configurez s'appliquent tous les types d'analyses antivirus et antispyware. Si un ordinateur est hors tension lors d'une analyse planifie, l'analyse n'est pas excute, sauf si l'ordinateur est configur pour excuter les analyses manques. Les analyses planifies recherchent les virus et les risques de scurit (comme les logiciels publicitaires et spywares). Se reporter "Configurer une analyse planifie pour des clients Windows" la page 502. Se reporter "Dfinir des options avances pour des analyses dfinies par l'administrateur" la page 511. Tableau 25-3 dcrit les types d'analyses planifies. Tableau 25-3 Type
Active Scan
Analyse complte
Analyse personnalise
450
Se reporter "Excuter des commandes et des actions partir des journaux" la page 304. L'analyse la demande par dfaut analyse tous les fichiers et dossiers. Vous pouvez modifier les paramtres pour des analyses la demande dans une politique antivirus et antispyware. Dans la politique, vous pouvez spcifier les extensions de fichier et les dossiers que vous voulez analyser. Quand vous excutez une analyse la demande de la page Contrles, l'analyse s'excute sur le client selon les paramtres qui sont configurs dans la politique. Se reporter "Configurer une analyse sur demande pour des clients Windows" la page 505.
451
par des analyses proactives des menaces comme il analyse les lments mis en quarantaine par d'autres types d'analyses. Pour les dtections mises en quarantaine, le logiciel client procde la correction et limine les effets secondaires. Si la dtection proactive de menaces figure maintenant sur la liste blanche de Symantec, le logiciel client restaure et supprime la dtection de la quarantaine ; cependant, le processus n'est pas relanc.
Quand vous analysez des extensions de fichier ou des dossiers slectionns, vous pouvez amliorer les performances de l'analyse. Par exemple, si vous copiez un
452
dossier volumineux ne figurant pas dans la liste des dossiers slectionns, le processus de copie est plus rapide car le contenu du dossier est exclu. Vous pouvez exclure des fichiers de l'analyse par type d'extension ou de rpertoire. Pour exclure des fichiers, dfinissez une politique d'exceptions centralise qui contient les exclusions. Quand vous spcifiez des exclusions dans une politique, les exclusions sont appliques chaque fois que des analyses antivirus et antispyware sont excutes sur des clients comportant cette politique. Se reporter "Configuration d'une politique d'exceptions centralises" la page 649. Quand vous analysez les extensions slectionnes, le logiciel client ne lit pas l'en-tte de fichier pour dterminer le type de fichier. Quand vous analysez les extensions slectionnes, le client analyse seulement les fichiers avec les extensions que vous spcifiez. Avertissement : Parce que le logiciel client exclut des fichiers et des dossiers des analyses, il ne protge pas les fichiers et les dossiers exclus contre les virus et les risques menaant la scurit. Tableau 25-4 dcrit les extensions qu'il est recommand d'analyser. Tableau 25-4 Extensions de fichier recommandes pour l'analyse Description
Le HTML a compil le fichier d'aide pour Microsoft Windows Gestionnaire Gestionnaire ; gestionnaire de compression audio Gestionnaire ; gestionnaire de compression/dcompression audio Fichier ADT ; tlcopie Fichier AX Fichier de traitement par lot Fichier de traitement par lot Binaire Classe Java Fichier de commande
Extension de fichier
CHM
453
Extension de fichier
COM CPL
Description
Fichier excutable Panneau de configuration d'applet pour Microsoft Windows Script Corel Script de shell UNIX Bibliothque de liaisons dynamiques (Dynamic Link Library) Microsoft Word Microsoft Word Pilote Fichier excutable Fichier d'aide Application HTML HTML HTML HTML Script d'installation Fichier d'initialisation Fichier graphique Fichier graphique JavaScript Encod JavaScript Ichitaro Microsoft Access Microsoft Project Microsoft Office 2000 Classeur Microsoft Office
DOC DOT DRV EXE HLP HTA HTM HTML HTT INF INI JPEG JPG JS JSE JTD MDB MP? MSO OBD
454
Extension de fichier
OBT OCX
Description
Classeur Microsoft Office Objet de Microsoft qui joint et inclut le contrle personnalis Recouvrement Format PDF d'Adobe Fichier d'informations de programme Code source de programme PERL (UNIX) Graphique bitmap Presentation Manager Microsoft PowerPoint Microsoft PowerPoint Microsoft PowerPoint Document RTF (Rich Text Format) Tlcopie, cran de veille, clich ou script pour Farview ou Microsoft Windows Script Shell (UNIX) Fichier d'arrire-plan Corel Show Fichier de travail Shell Lotus AmiPro Gestionnaire de priphrique BIOS VESA (fonctions de base) Script Visual Basic Microsoft Office Visio Microsoft Office Visio Microsoft Office Visio Gestionnaire de priphrique virtuel Fichier script Windows Fichier de paramtres hte de script Windows
SH SHB SHS SMM SYS VBE VBS VSD VSS VST VXD WSF WSH
Paramtres de base de la politique antivirus et antispyware A propos des actions pour les virus et les risques de scurit dtects par les analyses sur des clients Windows
455
Extension de fichier
XL? XL? ACCD ? DOC DOT Pp ? Pp ?
Description
Microsoft Excel Microsoft Excel Microsoft Office Access Microsoft Office Word Microsoft Office Word Microsoft Office PowerPoint Microsoft Office PowerPoint
A propos des actions pour les virus et les risques de scurit dtects par les analyses sur des clients Windows
De nombreuses options d'analyse semblables sont disponibles pour diffrents types d'analyse. Cependant, les actions que vous pouvez attribuer quand une
456
Paramtres de base de la politique antivirus et antispyware A propos des actions pour les virus et les risques de scurit dtects par les analyses sur des clients Windows
analyse trouve des virus et des risques de scurit sont diffrentes en fonction des systmes d'exploitation client. Pour des ordinateurs Windows, vous pouvez attribuer la premire et la deuxime action que le logiciel prend quand une analyse la demande, planifie ou d'Auto-Protect trouve des virus et des risques de scurit. Vous pouvez dfinir une premire et une seconde action particulires effectuer lorsque le client dcouvre les types suivants de risques :
Virus macro Virus non-macro Tous les risques de scurit (logiciels publicitaires, spywares, blagues, composeurs, outils de piratage, programmes d'accs distance, outils de suivi et autres) Catgories individuelles de risque de scurit, comme les spywares Actions personnalises pour un risque spcifique
Par dfaut, le client Symantec Endpoint Protection tente d'abord de nettoyer un fichier infect par un virus. Si le logiciel client ne peut pas nettoyer le fichier, il effectue les actions suivantes :
Place le fichier en quarantaine sur l'ordinateur infect Refuse l'accs au fichier Consigne l'vnement
Par dfaut, le client place tous les fichiers infects par des risques de scurit en quarantaine sur l'ordinateur infect. Le client tente galement de supprimer ou rparer les effets secondaires du risque. Par dfaut, la quarantaine contient un enregistrement de toutes les actions que le client a effectues. Vous pouvez remettre l'ordinateur client dans l'tat prcdant la tentative de suppression et de rparation par le client. Si un risque de scurit ne peut pas tre mis en quarantaine et rpar, la deuxime action est de consigner le risque. Pour des dtections d'analyse proactive des menaces TruScan, les actions dpendent de votre choix d'utiliser des paramtres par dfaut grs par Symantec ou de dfinir les actions vous-mme. Vous devez configurer les actions pour les analyses proactives des menaces dans une partie distincte de la politique antivirus et antispyware. Se reporter "Spcification des actions et des niveaux de sensibilit pour dtecter des chevaux de Troie, des vers et des enregistreurs de frappe" la page 594.
Paramtres de base de la politique antivirus et antispyware A propos des actions pour les virus et les risques de scurit dtects par les analyses sur des clients Mac
457
Se reporter "A propos des actions pour les virus et les risques de scurit dtects par les analyses sur des clients Mac" la page 457.
A propos des actions pour les virus et les risques de scurit dtects par les analyses sur des clients Mac
Pour les ordinateurs client Mac, vous pouvez choisir si le logiciel doit rparer tous les fichiers infects dtects par une analyse. Vous pouvez galement choisir si le logiciel doit mettre en quarantaine tous les fichiers infects qu'il ne peut pas rparer. Ces options sont disponibles pour des analyses planifies et des analyses Auto-Protect. Se reporter "A propos des actions pour les virus et les risques de scurit dtects par les analyses sur des clients Windows" la page 455.
Dfinir des paramtres de gestion des journaux dans une politique antivirus et antispyware
Vous pouvez inclure des paramtres de gestion des journaux dans la politique antivirus et antispyware. Par dfaut, les clients envoient toujours certains types d'vnements au serveur de gestion (tels que les vnements Arrt d'analyse ou Dmarrage d'analyse). Vous pouvez choisir d'envoyer ou de ne pas envoyer d'autres types d'vnements (tel que l'vnement Fichier non analys). Les vnements que les clients envoient au serveur de gestion affectent les informations des rapports et des journaux. Vous devez dterminer les types d'vnements transfrer au serveur de gestion. Vous pouvez rduire la taille des journaux et la quantit d'informations incluses dans les rapports, si vous slectionnez seulement certains types d'vnements. Vous pouvez galement configurer la dure de conservation des lments de journal par le client . L'option n'affecte aucun vnement que les clients envoient la console de gestion. Vous pouvez utiliser l'option pour rduire la taille relle du journal sur les ordinateurs client. Vous pouvez cliquer sur Aide pour obtenir plus d'informations sur les options utilises dans cette procdure.
458
Paramtres de base de la politique antivirus et antispyware A propos de l'interaction client avec des options d'antivirus et de protection antispyware
Pour dfinir des paramtres de gestion des journaux pour une politique antivirus et antispyware
1 2
A la page Politique antivirus et antispyware, sous Paramtres Windows, cliquez sur Divers. Sur l'onglet Gestion des journaux, sous Filtrage des vnements des journaux antivirus et antispyware, slectionnez les vnements transfrer au serveur de gestion. Sous Conservation du journal, slectionnez la frquence de suppression des lignes de journal par le client. Sous Regroupement des vnements des journaux, slectionnez la frquence d'envoi des vnements regroups au serveur. Lorsque vous avez termin la configuration de cette politique, cliquez sur OK.
3 4 5
Configurer des options de progression d'analyse pour des analyses planifies. Dfinir des options d'analyse pour des clients. Modifier le mot de passe ncessaire pour analyser des lecteurs mapps. Spcifier la manire dont le Centre de scurit Windows interagit avec le client Symantec Endpoint Protection. Spcifier une URL inclure dans des notifications d'erreur d'antivirus et de protection antispyware.
Paramtres de base de la politique antivirus et antispyware Modifier le mot de passe ncessaire pour analyser des lecteurs rseau mapps
459
Spcifier une URL pour rediriger un navigateur Internet si un risque de scurit essaye de modifier l'URL.
Remarque : Vous pouvez galement verrouiller des paramtres de politique de sorte que les utilisateurs ne puissent pas modifier les paramtres.
Modifier le mot de passe ncessaire pour analyser des lecteurs rseau mapps
Symantec Endpoint Protection exige que les utilisateurs sur des ordinateurs client fournissent un mot de passe avant de pouvoir analyser un lecteur rseau mapp. Par dfaut, ce mot de passe est symantec. Remarque : Si les utilisateurs analysent des lecteurs rseau, l'analyse peut affecter la performance d'ordinateur client. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilises dans la procdure. Pour modifier le mot de passe ncessaire pour analyser des lecteurs mapps
1 2 3 4 5 6
A la page Politique antivirus et antispyware, sous Paramtres Windows, cliquez sur Divers. Dans l'onglet Divers, sous Analyser le lecteur rseau, cochez la case Exiger un mot de passe avant l'analyse des lecteurs rseau mapps. Cliquez sur Modifier le mot de passe. Dans la bote de dialogue de configuration de mot de passe, saisissez un nouveau mot de passe et confirmez-le. Cliquez sur OK. Lorsque vous avez termin la configuration de la politique, cliquez sur OK.
Configuration du Centre de scurit Windows pour qu'il fonctionne avec le client Symantec Endpoint Protection
Le Centre de scurit Windows fournit des alertes sur vos ordinateurs client si un logiciel de scurit n'est pas jour ou si des paramtres de scurit doivent tre
460
Paramtres de base de la politique antivirus et antispyware Configuration du Centre de scurit Windows pour qu'il fonctionne avec le client Symantec Endpoint Protection
renforcs. Il est inclus avec le Service Pack 2 de Windows XP, Windows Vista et Windows 7. Utilisez une politique antivirus et antispyware pour configurer certains paramtres de Centre de scurit Windows sur les ordinateurs client utilisant le Service Pack 2 de Windows XP. Remarque : Vous ne pouvez pas utiliser une politique antivirus et antispyware pour configurer le Centre de scurit Windows sur les ordinateurs client utilisant Windows Vista ou Windows 7. Tableau 25-5 Options de configuration de la manire dont le Centre de scurit Windows fonctionne avec le client Quand l'utiliser ?
Option
Dsactiver Windows Security Center
Description
Vous permet de dsactiver de manire Dsactiver le Centre de scurit Windows de permanente ou temporairement le Centre de manire permanente pour que vos scurit Windows sur vos ordinateurs client utilisateurs client ne reoivent pas les alertes de scurit qu'il envoie. Les utilisateurs client Options disponibles : peuvent toujours recevoir des alertes Jamais Le Centre de scurit Windows est Symantec Endpoint Protection. toujours activ sur l'ordinateur client. Dsactiver le Centre de scurit Windows de Une fois Le Centre de scurit Windows manire permanente pour que vos est dsactiv seulement une fois. Si un utilisateurs client ne reoivent pas les alertes utilisateur l'active, il n'est alors plus de scurit qu'il envoie. Vous pouvez dsactiv. configurer le Centre de scurit Windows Toujours Le Centre de scurit Windows pour afficher Symantec Endpoint Protection est dsactiv de manire permanente sur des alertes. l'ordinateur client. Si un utilisateur l'active, il est immdiatement dsactiv. Restaurer Le Centre de scurit Windows est activ si la politique antivirus et antispyware le dsactivait prcdemment. Vous permet de dfinir l'affichage des alertes d'antivirus Symantec Endpoint Protection du client dans la zone de notification de Windows. Activez ce paramtre pour que vos utilisateurs client reoivent Symantec Endpoint Protection des alertes ainsi que d'autres alertes de scurit dans la zone de notification de Windows de leurs ordinateurs.
Paramtres de base de la politique antivirus et antispyware Afficher un avertissement lorsque les dfinitions sont primes ou manquantes
461
Option
Afficher un message du Centre de scurit Windows lorsque les dfinitions sont primes
Description
Vous permet de dfinir le nombre de jours aprs lequel le Centre de scurit Windows considre que des dfinitions primes. Par dfaut, le Centre de scurit Windows envoie ce message aprs 30 jours.
Quand l'utiliser ?
Dfinissez cette option pour que le Centre de scurit Windows informe vos utilisateurs client au sujet des dfinitions primes plus souvent que la frquence par dfaut (30 jours).
Configurer le Centre de scurit Windows pour fonctionner avec Symantec Endpoint Protection
1 2
A la page Politique antivirus et antispyware, sous Paramtres Windows, cliquez sur Divers. Sous Centre de scurit Windows, dfinissez les options que les politiques de scurit de votre entreprise requirent.
Remarque : L'tat du produit Symantec est toujours disponible dans la console de gestion, que le Centre de scurit Windows soit actif ou non.
462
Paramtres de base de la politique antivirus et antispyware Spcification d'une URL devant apparatre dans des notifications d'erreur d'antivirus et de protection antispyware
1 2
A la page Politique antivirus et antispyware, sous Paramtres Windows, cliquez sur Divers. Dans l'onglet Notifications, sous Notifications, slectionnez l'une des options suivantes ou les deux :
Afficher un avertissement lorsque les dfinitions sont primes Afficher un avertissement lorsque Symantec Endpoint Protection s'excute sans dfinition de virus
Pour la premption des dfinitions de virus et de risques de scurit, dfinissez la dure (en jours) pendant laquelle les dfinitions peuvent tre primes avant affichage de l'avertissement. Pour les dfinitions de virus et de risques de scurit manquantes, dfinissez le nombre de tentatives de correction que Symantec Endpoint Protection doit observer avant affichage de l'avertissement. Cliquez sur Message d'avertissement pour chaque option que vous avez coche, puis personnalisez le message par dfaut. Dans la bote de dialogue de confirmation, cliquez sur OK. Si vous avez termin de configurer cette politique, cliquez sur OK.
5 6 7
Spcification d'une URL devant apparatre dans des notifications d'erreur d'antivirus et de protection antispyware
Dans de rares cas, les utilisateurs peuvent voir apparatre des erreurs sur des ordinateurs client. Par exemple, l'ordinateur client peut rencontrer des dpassements de tampon ou des problmes de dcompression pendant les analyses. Vous pouvez spcifier URL qui pointe vers le site du support technique de Symantec ou vers une URL personnalise. Par exemple, vous pouvez, la place, spcifier un site Web interne. Remarque : L'URL apparat galement dans le journal des vnements systme pour l'ordinateur client sur lequel l'erreur se produit.
Paramtres de base de la politique antivirus et antispyware Spcifier une URL pour une page d'accueil de navigateur
463
Pour spcifier une URL devant apparatre dans des notifications d'erreur d'antivirus et de protection antispyware
1 2 3
A la page de Politique antivirus et antispyware, sous Paramtres Windows, cliquez sur Divers. Dans l'onglet Notifications, slectionnez Afficher les messages d'erreur avec un lien vers une solution. Slectionnez l'une des options suivantes :
Afficher l'URL d'un article de la base de connaissances du support technique de Symantec. Afficher une URL personnalise
4 5 6
Cliquez sur Personnaliser le message d'erreur si vous voulez personnaliser le message. Entrez le texte personnalis que vous voulez inclure, puis cliquez sur OK. Si vous avec termin la configuration de cette politique, cliquez sur OK.
1 2 3
A la page Politique antivirus et antispyware, sous Paramtres Windows, cliquez sur Divers. Dans l'onglet Divers, sous Protection du navigateur Internet, tapez l'URL. Si vous avez fini de configurer cette politique, cliquez sur OK.
464
Paramtres de base de la politique antivirus et antispyware Configuration des options qui s'appliquent aux analyses antivirus et antispyware
Configurer les exceptions centralises pour les risques de scurit. Configurer les actions pour les virus connus et les dtections de risque de scurit. Grer les messages de notification sur les ordinateurs infects. Personnaliser et afficher les notifications sur les ordinateurs infects. Ajouter des avertissements dans les messages lectroniques infects. Avertir les expditeurs de messages infects Avertir les utilisateurs de messages infects.
Des informations au sujet des actions et des notifications pour les analyses proactives des menaces sont incluses dans une section spare. Se reporter "Configuration des notifications pour les analyses proactives des menaces TruScan" la page 596.
La quantit de protection que votre rseau requiert Le laps de temps et les ressources requis pour assurer la protection
Par exemple, vous pouvez choisir de n'analyser que les fichiers portant certaines extensions, susceptibles d'tre infects par un virus ou un risque de scurit. Lorsque vous choisissez de n'analyser que certaines extensions, vous excluez automatiquement de l'analyse tous les fichiers qui portent d'autres extensions. Quand vous excluez des fichiers des analyses, vous diminuez la quantit de ressources informatiques requises pour excuter l'analyse. Avertissement : Quand vous slectionnez les extensions que vous voulez analyser, aucune autre extension n'est protge des virus et des risques de scurit.
Paramtres de base de la politique antivirus et antispyware Configuration des options qui s'appliquent aux analyses antivirus et antispyware
465
Vous pouvez cliquer sur Aide pour obtenir des informations supplmentaires sur les options utilises dans la procdure. Pour inclure seulement des fichiers avec des extensions particulires pour Auto-Protect ou des analyses dfinies par l'administrateur
1 2 3
Dans l'onglet Dtails de l'analyse, sous Types de fichier, cliquez sur Analyser les extensions slectionnes uniquement. Cliquez sur Slectionner des extensions. Dans la bote de dialogue Extensions de fichier, vous pouvez effectuer les actions suivantes :
Ajoutez vos propres extensions en les saisissant et en cliquant sur Ajouter. Pour supprimer une extension, slectionnez-la et cliquez sur Supprimer. Pour ramener la liste sa valeur par dfaut, cliquez sur Utiliser dfaut. Cliquez sur Ajouter les programmes communs pour ajouter toutes les extensions de programme. Cliquez sur Ajouter les documents commun pour ajouter toutes les extensions de document.
Si vous avez termin avec la configuration pour cette politique, cliquez sur OK.
1 2
Sur la page Politique antivirus et antispyware, cliquez sur Analyses dfinies par l'administrateur. Sur l'onglet Analyses, effectuez l'une des oprations suivantes :
Cliquez sur Ajouter. Sous Analyses planifies, slectionnez une analyse existante, puis cliquez sur Modifier.
466
Paramtres de base de la politique antivirus et antispyware Configuration des options qui s'appliquent aux analyses antivirus et antispyware
Sur l'onglet Dtails de l'analyse, dans la liste droulante Type d'analyse, cliquez sur Analyse personnalise. Les analyses la demande sont prdfinies sur Analyse personnalise.
4 5
Sous Analyse, cliquez sur Modifier les dossiers. Dans la bote de dialogue Modifier les dossiers, cliquez sur Analyser les dossiers slectionns, puis, dans la liste des dossiers, slectionnez les dossiers que cette analyse analyse. Le champ Dossiers slectionns affiche tous vos choix.
6 7
Cliquez sur OK jusqu' ce que vous reveniez la page Analyses dfinies par l'administrateur. Lorsque vous avez termin la configuration de cette politique, cliquez sur OK.
Configuration des actions pour des dtections connues de virus et de risque de scurit sur les clients Windows
Les actions permettent de spcifier la rponse des clients lorsqu'une analyse antivirus et antispyware dtecte un virus connu ou un risque de scurit. Ces
Paramtres de base de la politique antivirus et antispyware Configuration des options qui s'appliquent aux analyses antivirus et antispyware
467
actions s'appliquent aux analyses Auto-Protect et dfinies par l'administrateur. Vous configurez sparment les actions pour les analyses proactives des menaces. Se reporter "A propos des analyses proactives des menaces TruScan" la page 582. Les actions aident dfinir le mode de rponse du logiciel client lorsqu'il dtecte un virus connu ou un risque de scurit. Pour des ordinateurs de client Windows, vous pouvez attribuer une premire action et une deuxieme action au cas o la premire action n'est pas possible. Le client Symantec Endpoint Protection utilise ces actions quand il dcouvre un virus ou un risque de scurit tel qu'un logiciel publicitaire ou un spyware. Les types de virus et de risques de scurit sont rpertoris dans l'arborescence. Vous configurez les actions diffremment pour des ordinateurs client Mac. Se reporter "Configuration des actions pour des dtections connues de virus et de risque de scurit sur les clients Mac" la page 468. Pour plus d'informations sur les options utilises dans les procdures, cliquez sur Aide. Remarque : Pour les risques de scurit, soyez prudents lors de l'utilisation de l'action de suppression. Dans certains cas, la suppression d'un risque de scurit peut empcher les applications de fonctionner correctement.
Avertissement : Si vous configurez le logiciel client pour supprimer les fichiers affects par le risque de scurit, il ne peut pas restaurer les fichiers. Pour sauvegarder les fichiers affects par les risques de scurit, configurez le logiciel client pour les mettre en quarantaine. Pour configuration des actions pour des dtections connues de virus et de risque de scurit sur des clients Windows
Sur l'onglet Actions, sous Dtection, slectionnez un type de virus ou de risque de scurit. Par dfaut, chaque sous-catgorie de risque de scurit est automatiquement configure pour utiliser les actions dfinies pour la catgorie Risques de scurit entire.
Pour configurer une instance spcifique d'une catgorie de risques de scurit pour utiliser diffrentes actions, cochez Remplacer les actions configures pour les risques de scurit, puis dfinissez les actions pour cette catgorie uniquement.
468
Paramtres de base de la politique antivirus et antispyware Configuration des options qui s'appliquent aux analyses antivirus et antispyware
Sous Oprations pour, slectionnez la premire et la deuxime mesure que le logiciel client prend lorsqu'il dtecte cette catgorie de virus ou de risque de scurit. Vous pouvez verrouiller des actions de sorte que les utilisateurs ne puissent pas modifier l'action sur les ordinateurs client qui utilisent cette politique. Pour les risques de scurit, utilisez l'action Supprimer avec prcaution. Dans certains cas, la suppression d'un risque de scurit peut empcher les applications de fonctionner correctement.
4 5
Rptez l'tape 3 pour chaque catgorie pour laquelle vous voulez dfinir des actions (virus et risques de scurit). Une fois que vous avez termin de configurer cette politique, cliquez sur OK.
Configuration des actions pour des dtections connues de virus et de risque de scurit sur les clients Mac
Les actions permettent de spcifier la rponse des clients lorsqu'une analyse d'antivirus et d'antispyware dtecte un virus ou un risque de scurit connu. Ces actions s'appliquent aux analyses Auto-Protect et dfinies par l'administrateur. Pour les ordinateurs client Mac, choisissez si vous voulez rparer les fichiers ou mettre en quarantaine les fichiers qui ne peuvent pas tre rpars. Vous configurez des actions diffremment pour les ordinateurs Windows. Se reporter "Configuration des actions pour des dtections connues de virus et de risque de scurit sur les clients Windows" la page 466. Pour configurer des actions pour des dtections connues de virus et de risque de scurit sur les clients Mac
Dans l'onglet de Paramtres communs, sous Actions, vrifiez l'une ou l'autre des options suivantes :
Rparer automatiquement les fichiers infects Mettre en quarantaine les fichiers ne pouvant pas tre rpars
Vous pouvez verrouiller des actions de sorte que les utilisateurs ne puissent pas modifier l'action sur les ordinateurs client qui utilisent cette politique.
Une fois que vous avez termin de configurer cette politique, cliquez sur OK.
Paramtres de base de la politique antivirus et antispyware Configuration des options qui s'appliquent aux analyses antivirus et antispyware
469
un virus ou un risque de scurit. Ces notifications peuvent alerter les utilisateurs pour qu'ils passent en revue leur activit rcente sur l'ordinateur client. Par exemple, un utilisateur pourrait tlcharger une application ou afficher une page Web aboutissant une infection par un spyware. Vous pouvez galement afficher la bote de dialogue Rsultats de l'analyse sur l'ordinateur infect lorsqu'une analyse File System Auto-Protect trouve un virus ou un risque de scurit. Remarque : La langue du systme d'exploitation sur lequel vous excutez le client peut ne pas savoir interprter certains caractres des noms de virus. Si le systme d'exploitation ne peut pas interprter les caractres, ceux-ci s'affichent comme des points d'interrogation dans les notifications. Par exemple, certains noms de virus Unicode peuvent contenir des caractres deux octets. Sur les ordinateurs qui excutent le client sur un systme d'exploitation en anglais, des points d'interrogation s'affichent la place de ces caractres. Pour les analyses de messagerie Auto-Protect, vous pouvez galement configurer les options suivantes :
Insrer un avertissement dans le message lectronique Envoyer un message lectronique l'expditeur Envoyer le message lectronique d'autres destinataires.
Se reporter "Configurer des options de notification pour Auto-Protect" la page 492. Les notifications des rsultats d'analyse proactive des menaces sont configurs sparment. Se reporter "Configuration des notifications pour les analyses proactives des menaces TruScan" la page 596.
470
Paramtres de base de la politique antivirus et antispyware Configuration des options qui s'appliquent aux analyses antivirus et antispyware
Type d'analyse : Analyse planifie Evnement : Risque dtect NomRisqueScurit: Stoned-C Fichier : C:\Autoexec.bat Emplacement : C: Ordinateur : ACCTG-2 Utilisateur : JSmith Action effectue : Nettoy(s)
Tableau 25-6 dcrit les champs de variables disponibles pour les notifications. Tableau 25-6 Nom
Type d'analyse
Description
Type d'analyse ( la demande, planifie, etc...) qui a dtect le virus ou le risque de scurit. Type d'vnement tel que "Risque dtect". Nom du virus ou du risque de scurit dtect. Chemin d'accs complet et nom du fichier infect par le virus ou le risque de scurit. Lecteur de l'ordinateur sur lequel le virus ou le risque de scurit a t dtect. Nom de l'ordinateur sur lequel le virus ou le risque de scurit a t dtect. Nom de l'utilisateur qui tait connect lorsque le virus ou le risque de scurit a t dtect. Action effectue en rponse la dtection du virus ou du risque de scurit. Il peut s'agir de l'action principale ou secondaire configure. Date laquelle le virus ou le risque de scurit a t dtect.
Evnement
Evnement
Emplacement
Emplacement
Ordinateur
Ordinateur
Utilisateur
Utilisateur
Action effectue
ActionEffectue
Paramtres de base de la politique antivirus et antispyware Transmettre des informations sur des analyses Symantec
471
Sur la page Politique antivirus et antispyware, cliquez sur l'une des options suivantes :
Analyses dfinies par l'administrateur : Auto-Protect pour le systme de fichiers Auto-Protect pour le courrier lectronique Internet Auto-Protect pour Microsoft Outlook Auto-Protect pour Lotus Notes
2 3 4
Si vous avez slectionn Analyses dfinies par l'administrateur, sur l'onglet Analyses, cliquez sur Ajouter ou Modifier. Sur l'onglet Notifications, cochez la case Afficher un message de notification sur l'ordinateur infect et modifiez le corps du message de notification. Cliquez sur OK.
Le chemin d'accs l'excutable L'excutable Les informations d'tat interne Les informations sur le fichier et les points de registre de Windows qui se rapportent la menace La version de contenu utilise par l'analyse proactive des menaces
472
Paramtres de base de la politique antivirus et antispyware Transmettre des informations sur des analyses Symantec
Aucune coordonne permettant d'identifier l'ordinateur client n'est envoye. Les informations sur les taux de dtection aident potentiellement Symantec affiner les mises jour de dfinitions de virus. Les taux de dtection indiquent les virus et les risques de scurit les plus dtects par des clients. Symantec Security Response peut supprimer les signatures qui ne sont pas dtectes et fournir une liste de dfinitions de virus segmente aux clients qui la demandent. Les listes segmentes amliorent les performances des analyses antivirus et antispyware. Quand une analyse proactive des menaces fait une dtection, le logiciel client vrifie si des informations sur le processus ont t dj envoyes. Si les informations ont t envoyes, le client n'envoie pas les informations de nouveau. Remarque : Quand les analyses proactives des menaces dtectent des lments sur la liste des applications commerciales, les informations sur ces dtections ne sont pas transfres Symantec Security Response. Si vous activez la transmission pour des processus, les lments qui sont mis en quarantaine par des analyses proactives des menaces sont mis jour. Quand les lments sont mis jour, la fentre Quarantaine indique que les chantillons ont t transmis Symantec Security Response. Le logiciel client n'informe pas des utilisateurs et la console de gestion ne donne pas une indication quand des dtections avec d'autres types d'actions sont transmises. D'autres types d'actions incluent la consignation ou l'arrt. Vous pouvez transmettre des chantillons de quarantaine Symantec. Se reporter "Transmettre des lments en quarantaine Symantec" la page 477.
La date du fichier de contrle des donnes de soumission Le pourcentage des ordinateurs autoriss envoyer des soumissions
Symantec publie son fichier SCD (Submission Control Data) et l'inclut en tant qu'lment d'un package LiveUpdate. Chaque produit Symantec comporte son propre fichier SCD. Le fichier contrle les paramtres suivants :
Le nombre de soumissions qu'un client peut soumettre en un jour La dure d'attente avant que le logiciel client relance des soumissions Le nombre de nouvelles tentatives des soumissions ayant chou
Paramtres de base de la politique antivirus et antispyware Transmettre des informations sur des analyses Symantec
473
Si le fichier SCD est prim, les clients arrtent d'envoyer des soumissions. Symantec considre le fichier SCD comme prim quand un ordinateur client n'a pas rcupr de contenu LiveUpdate depuis 7 jours. Si les clients arrtent la transmission des soumissions, le logiciel client ne collecte pas les informations de soumission et ne les envoie pas ultrieurement. Quand les clients recommencent transmettre les soumissions, ils n'envoient que les informations relatives aux vnements se produisant aprs le redmarrage de la transmission. Les administrateurs peuvent galement configurer le pourcentage d'ordinateurs autoriss soumettre des informations. Chaque ordinateur client dtermine s'il doit ou non soumettre des informations. L'ordinateur client slectionne de manire alatoire un nombre allant de 1 100. Si le nombre est infrieur ou gal au pourcentage dfini dans la politique de cet ordinateur, l'ordinateur soumet des informations. Si le nombre est suprieur au pourcentage configur, l'ordinateur ne soumet pas d'informations.
1 2
A la page Politique antivirus et antispyware, sous Paramtres Windows, cliquez sur Transmissions. Sous Analyses proactives des menaces TruScan, activez ou dsactivez la case Autoriser les ordinateurs clients transmettre les processus dtects par les analyses. Quand vous slectionnez ce paramtre, vous pouvez modifier le pourcentage d'ordinateurs client autoriss soumettre des informations sur des processus. Si vous avez activ les soumissions, utilisez la flche vers le haut ou vers le bas pour slectionner le pourcentage ou tapez la valeur dsire dans la zone de texte. Si vous avez termin de configurer cette politique, cliquez sur OK.
3 4
474
Pour indiquer si des informations sont envoyes ou non concernant Auto-Protect et les taux de dtection d'analyse manuelle
1 2
A la page Politique antivirus et antispyware, sous Paramtres Windows, cliquez sur Transmissions. Sous Taux de dtection, cochez ou dcochez Autoriser les ordinateurs client transmettre les taux de dtection de menaces. Quand vous slectionnez ce paramtre, vous pouvez modifier le pourcentage d'ordinateurs client autoriss soumettre des taux de dtection de menaces.
Spcifier un rpertoire de quarantaine local Transmettre des lments en quarantaine Symantec Configurer des actions effectuer la rception de nouvelles dfinitions de virus
475
%PROGRAM_FILES%
Il s'agit gnralement du chemin d'accs C:\Program Files. Il s'agit gnralement du chemin d'accs C:\Program Files\Common. Il s'agit gnralement du chemin d'accs C:\ Documents and Settings\All Users\Start Menu\Programs Il s'agit gnralement du chemin d'accs C:\ Documents and Settings\All Users\Start Menu\Programs\Startup Il s'agit gnralement du chemin d'accs C:\ Documents and Settings\All Users\Desktop Il s'agit gnralement du chemin d'accs C:\ Documents and Settings\All Users\ Documents Il s'agit gnralement du chemin d'accs C:\ Windows\System32 Il s'agit gnralement du chemin d'accs C:\Windows.
%PROGRAM_FILES_COMMON%
%COMMON_PROGRAMS%
%COMMON_STARTUP%
%COMMON_DESKTOPDIRECTORY%
%COMMON_DOCUMENT%
%SYSTEM%
%WINDOWS%
1 2 3
Dans la page Politique antivirus et antispyware, cliquez sur Quarantaine. Dans l'onglet Divers, sous Options de quarantaine locales, cliquez sur Spcifier le rpertoire de quarantaine. Dans la zone de texte, tapez le nom d'un rpertoire local sur les ordinateurs client. Vous pouvez utiliser l'expansion de chemin d'accs en incluant le signe pourcentage quand vous tapez le chemin d'accs. Par exemple, vous pouvez taper %COMMON_APPDATA%, mais des chemins relatifs ne sont pas permis. Lorsque vous avez termin la configuration de la politique, cliquez sur OK.
476
Vous pouvez configurer ces options dans la politique antivirus et antispyware. Vous pouvez individuellement configurer le nombre de jours pour conserver les fichiers rpars, de sauvegarde et en quarantaine. Vous pouvez galement dfinir la taille maximum de rpertoire qui est permise avant que des fichiers soient automatiquement supprims de l'ordinateur client. Vous pouvez utiliser l'un de ces paramtres ou utiliser les deux en mme temps. Si vous configurez les deux types de limites, les fichiers antrieurs la dure de conservation que vous avez dfinie sont purgs en premier. Si la taille du rpertoire dpasse toujours la limite de taille que vous dfinissez, alors les fichiers les plus anciens sont supprims un un. Les fichiers sont supprims jusqu' ce que la taille de rpertoire tombe au-dessous de la limite. Par dfaut, ces options ne sont pas actives. Pour configurer des options de nettoyage automatique
1 2 3 4
Sur la page Politique antivirus et antispyware, cliquez sur Quarantaine. Dans l'onglet Nettoyer, sous Fichiers rpars, cochez ou dcochez l'option Activer la suppression automatique des fichiers rpars. Dans la zone Supprimer aprs, tapez une valeur ou cliquez sur une flche pour slectionner la priode en jours. Cochez Supprimer les fichiers les plus anciens pour limiter la taille du dossier , puis tapez la taille maximale de rpertoire exprime en mgaoctets. Le paramtre par dfaut est 50 Mo. Sous Fichiers de sauvegarde, cochez ou dcochez l'option Activer la suppression automatique des fichiers de sauvegarde. Dans la zone Supprimer aprs, entrez une valeur ou cliquez sur une flche pour slectionner l'intervalle de temps en jours. Cochez Supprimer les fichiers les plus anciens pour limiter la taille du dossier , puis tapez la taille maximale de rpertoire exprime en mgaoctets. Le paramtre par dfaut est 50 Mo. Sous Fichiers en quarantaine, activez ou dsactivez l'option Activer la suppression automatique des fichiers mis en quarantaine dont la rparation n'a pu tre effectue. Dans la zone Supprimer aprs, tapez une valeur ou cliquez sur une flche pour slectionner la priode en jours. dossier , puis tapez la taille maximale de rpertoire exprime en mgaoctets. Le paramtre par dfaut est 50 Mo.
5 6 7
10 Cochez Supprimer les fichiers les plus anciens pour limiter la taille du
477
1 2
Dans la page Politique antivirus et antispyware, cliquez sur Transmissions. Sous Elments en quarantaine, slectionnez Permettre aux ordinateurs client de transmettre automatiquement les lments en quarantaine un serveur de quarantaine. Tapez le nom du serveur de quarantaine. Tapez le numro de port utiliser, puis slectionnez le nombre de secondes pour relancer une connexion. Lorsque vous avez termin de configurer les paramtres de la politique, cliquez sur OK.
3 4 5
478
Se reporter "Transmettre des informations sur des analyses Symantec" la page 471. Dans certains cas, Symantec pourrait rejeter un fichier. Par exemple, Symantec pourrait rejeter un fichier parce que le fichier ne semble pas tre infect. Vous pouvez activer la retransmission des fichiers si vous voulez que les utilisateurs puissent retransmettre des fichiers slectionns. Les utilisateurs peuvent retransmettre des fichiers une fois par jour. Pour activer la transmission des lments en quarantaine Symantec
1 2 3
A la page Politique antivirus et antispyware, sous Paramtres Windows, cliquez sur Transmissions. Sous Elments en quarantaine, cochez la case Permettre la transmission manuelle des lments en quarantaine Symantec Security Response. Lorsque vous avez termin la configuration de la politique, cliquez sur OK.
1 2
Dans la page Politique antivirus et antispyware, cliquez sur Quarantaine. Dans l'onglet Gnral, sous A la rception de nouvelles dfinitions de virus, slectionnez l'une des options suivantes :
Automatiquement rparer et restaurer les fichiers mis en quarantaine en mode silencieux Rparer les fichiers mis en quarantaine en mode silencieux sans les restaurer Demander l'utilisateur Ne rien faire
Chapitre
26
Configuration d'Auto-Protect
Ce chapitre traite des sujets suivants :
A propos de la configuration d'Auto-Protect A propos de types d'Auto-Protect Activer Auto-Protect pour le systme de fichiers Configuration d'Auto-Protect pour le systme de fichiers pour des clients Windows Configuration d'Auto-Protect pour le systme de fichiers pour les clients Mac Configurer Auto-Protect pour messagerie Internet Configurer Auto-Protect pour messagerie Microsoft Outlook Configuration d'Auto-Protect pour messagerie Lotus Notes Configurer des options de notification pour Auto-Protect
480
Certaines options d'Auto-Protect sont semblables aux options d'autres analyses antivirus et de protection contre les logiciels espions. Se reporter "Configuration des options qui s'appliquent aux analyses antivirus et antispyware" la page 463.
Auto-Protect pour le systme de fichiers Auto-Protect pour la messagerie Internet Auto-Protect pour Microsoft Outlook Auto-Protect pour Lotus Notes
Par dfaut, tous les types d'Auto-Protect sont activs. Si vos ordinateurs client excutent d'autres produits de protection de messagerie, tels que Symantec Mail Security, il se peut que vous ne deviez pas activer Auto-Protect pour le courrier lectronique. Se reporter "A propos des analyses Auto-Protect" la page 443.
Configuration d'Auto-Protect Configuration d'Auto-Protect pour le systme de fichiers pour des clients Windows
481
Dans la console, cliquez sur Clients, puis, sous Afficher les clients, slectionnez le groupe qui inclut les ordinateurs pour lesquels vous voulez activer Auto-Protect. Dans le volet droit, slectionnez l'onglet Clients. Effectuez l'une des oprations suivantes :
2 3
Dans le volet gauche, sous Afficher les clients, cliquez avec le bouton droit de la souris sur le groupe pour lequel vous voulez activer Auto-Protect. Dans le volet droit, dans l'onglet Clients, slectionnez les ordinateurs et les utilisateurs pour lesquels vous voulez activer Auto-Protect, puis cliquez avec le bouton droit de la souris sur cette slection.
Excuter la commande sur le groupe > Activer Auto-Protect Excuter la commande sur les clients > Activer Auto-Protect
Dans le message qui apparat, cliquez sur OK. Si vous voulez activer ou dsactiver Auto-Protect pour le courrier lectronique, vous devez inclure le paramtre dans la politique antivirus et antispyware.
482
Configuration d'Auto-Protect Configuration d'Auto-Protect pour le systme de fichiers pour des clients Windows
Remarque : Quand vous configurez les options d'Auto-Protect, vous pouvez cliquer sur l'icne de verrou ct des paramtres d'Auto-Protect. Les utilisateurs avec les ordinateurs client qui utilisent cette politique ne peut pas modifier les paramtres verrouills. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilises dans les procdures. Pour configurer Auto-Protect pour le systme de fichiers
1 2 3
Dans la page de la politique antivirus et antispyware, sous Paramtres Windows, cliquez sur Auto-Protect pour le systme de fichiers. Dans l'onglet Dtails de l'analyse, activez ou dsactivez la case Activer Auto-Protect pour le systme de fichiers. Sous Analyse, sous Types de fichier, cliquez sur l'une des options suivantes :
Se reporter "Configurer des analyses des extensions de fichier choisies" la page 464.
Sous Options supplmentaires, activez ou dsactivez la case Rechercher les risques de scurit et Bloquer l'installation du risque de scurit. Se reporter "A propos de l'analyse et et du blocage des risques de scurit Auto-Protect" la page 483.
5 6 7
Sous Paramtres rseau, activez ou dsactivez la case Rseau pour activer ou dsactiver les analyses Auto-Protect des fichiers rseau. Si vous avez activ la case Rseau, cliquez sur Paramtres rseau. Dans la bote de dialogue Paramtres rseau, effectuez l'une des oprations suivantes :
Permettez ou interdisez Auto-Protect de faire confiance aux fichiers des ordinateurs distants qui excutent Auto-Protect. Configurez les options de cache rseau pour les analyses d'Auto-Protect.
8 9
Cliquez sur OK. Sous les Paramtres des disquettes, activez ou dsactivez la case Rechercher les virus de secteur de dmarrage lors de l'accs la disquette.
Configuration d'Auto-Protect Configuration d'Auto-Protect pour le systme de fichiers pour des clients Windows
483
10 Si vous avez coch Vrifier les disquettes pour des virus de secteur de
dmarrage une fois accd, dfinissez l'action que vous voulez entrprendre quand un virus de secteur de dmarrage est trouv. Vous pouvez le nettoyer de la zone de dmarrage ou le consigner et l'ignorer.
15 Configurez le cache du fichier ou les paramtres Risk Tracer, puis cliquez sur
OK.
Il recherche les risques de scurit tels que les logiciels publicitaires et les logiciels espions. Il met en quarantaine les fichiers infects. Il supprime ou rpare les effects secondaires des risques de scurit
Dans le cas o le blocage de l'installation d'un risque de scurit n'affecte pas la stabilit de l'ordinateur, Auto-Protect bloque galement l'installation par dfaut. Si Symantec dtermine que le blocage d'un risque de scurit peut compromettre la stabilit d'un ordinateur, alors Auto-Protect permet l'installation du risque. De plus, Auto-Protect effectue immdiatement l'opration configure pour le risque. De temps autre, il se peut nanmoins que vous deviez dsactiver temporairement l'analyse des risques de scurit dans Auto-Protect pour le systme de fichiers et
484
Configuration d'Auto-Protect Configuration d'Auto-Protect pour le systme de fichiers pour des clients Windows
la ractiver ensuite. Il peut galement tre ncessaire de dsactiver le blocage des risques de scurit pour contrler le moment o Auto-Protect ragit certains risques de scurit. Remarque : La recherche des risques de scurit ne peut pas tre dsactive pour les autres types d'analyse. Vous pouvez toutefois configurer Symantec Endpoint Protection afin d'ignorer le risque de scurit et consigner la dtection. Vous pouvez galement exclure des risques spcifiques globalement de tous les types d'analyses en les ajoutant la liste d'exceptions centralises. Se reporter "A propos des politiques d'exceptions centralises" la page 645.
1 2 3 4
Sur la page Politique antivirus et antispyware, cliquez sur Fichier systme Auto-Protect. Dans l'onglet Dtails de l'analyse, sous Analyse, cliquez sur Analyse et suivi avancs. Sous Analyse des fichiers, spcifiez quelles activits dclenchent des analyses. Sous Paramtres de dtection de Bloodhound (TM), cochez ou supprimez la coche pour Activer la dtection de virus de Bloodhound (TM). Vous pouvez galement modifier le niveau de protection.
5 6
Cliquez sur OK. Si vous avez termin avec la configuration pour cette politique, cliquez sur OK.
Configuration d'Auto-Protect Configuration d'Auto-Protect pour le systme de fichiers pour des clients Windows
485
Chercher et noter le nom NetBIOS de l'ordinateur et son adresse IP. Chercher et noter qui tait connect l'ordinateur lors de l'envoi. Afficher les informations dans la bote de dialogue Proprits d'un risque.
Par dfaut, RtvScan interroge les sessions rseau toutes les secondes, puis met ces informations en mmoire cache sous la forme d'une liste source secondaire d'ordinateurs distants. Ces informations maximisent la frquence avec laquelle Risk Tracer peut avec succs identifier l'ordinateur distant infect. Par exemple, un risque peut fermer le partage rseau avant que RtvScan ne puisse enregistrer la session rseau. Risk Tracer utilise alors la liste source secondaire pour tenter d'identifier l'ordinateur distant. Vous pouvez configurer ces informations dans la bote de dialogue Auto-Protect - Options avances. Les informations de Risk Tracer apparaissent dans la bote de dialogue Proprits d'un risque et sont uniquement disponibles pour les entres de risque provoques par des fichiers infects. Quand Risk Tracer dtermine que l'activit d'hte local a entran une infection, il liste la source comme hte local. Risk Tracer liste une source comme inconnue quand les conditions suivantes sont vraies :
Il ne peut pas identifier l'ordinateur distant. L'utilisateur authentifi pour un partage de fichiers se rfre plusieurs ordinateurs. Cette condition peut se produire si l'ID d'un utilisateur est associ plusieurs sessions rseau. Par exemple, plusieurs ordinateurs peuvent tre connects un serveur de partage de fichiers avec le mme ID de l'utilisateur de serveur.
Vous pouvez enregistrer la liste complte des ordinateurs distants multiples qui infectent actuellement l'ordinateur local. Dfinissez la valeur de chane HKEY_LOCAL_MACHINE\Software\Symantec\Symantec Endpoint Protection\ AV\ProductControl\Debug sur "THREATTRACER X" de l'ordinateur client local. La valeur de THREATTRACER active la sortie de dbogage et le X vrifie que seule la sortie de dbogage pour Risk Tracer apparat. Vous pouvez galement ajouter L pour diriger la consignation vers le fichier journal
486
Configuration d'Auto-Protect Configuration d'Auto-Protect pour le systme de fichiers pour des clients Windows
<Dossier_Programme_SAV>\vpdebug.log. Pour garantir que la fentre de dbogage n'est pas affiche sur l'ordinateur, ajoutez XW. Vous pouvez tester cette fonctionnalit en utilisant le fichier de virus test Eicar.com (inoffensif), disponible l'adresse www.eicar.org Risk Tracer inclut galement une option pour bloquer les adresses IP des ordinateurs source. Pour que cette option entre en vigueur, vous devez dfinir l'option correspondante dans la politique de pare-feu pour activer ce type de blocage automatique. Se reporter "Configuration d'Auto-Protect pour le systme de fichiers pour des clients Windows" la page 481.
L'ordinateur client tlcharge de nouvelles dfinitions. Auto-Protect dtecte que les fichiers pourraient avoir t modifis quand Auto-Protect ne s'excutait pas.
Vous pouvez dsactiver le cache de fichier si vous voulez toujours qu'Auto-Protect analyse tous les fichiers. Si vous dsactivez le cache de fichier, vous pourriez affecter les performances de vos ordinateurs client. Vous pouvez galement dfinir les paramtres suivants :
La taille de cache de fichier La taille du cache par dfaut est de 10 000 fichiers par volume. Vous pouvez modifier la taille d'antmmoire si vous voulez que le systme de fichiers Auto-Protect analyse nouveau plus ou moins de fichiers. Si Auto-Protect analyse ou non nouveau le cache lors du chargement de nouvelles dfinitions Vous pourriez vouloir dsactiver ce paramtre pour amliorer les performances du systme de fichiers Auto-Protect. Se reporter "Configuration d'Auto-Protect pour le systme de fichiers pour des clients Windows" la page 481.
Configuration d'Auto-Protect Configuration d'Auto-Protect pour le systme de fichiers pour les clients Mac
487
Les actions prises par Auto-Protect quand il trouve un risque Les fichiers et les dossiers analyser ou exclure des analyses Analyse des disques ou des priphriques installs
Remarque : Configurez sparment Auto-Protect pour le systme de fichiers pour les clients Windows. Se reporter "Configuration d'Auto-Protect pour le systme de fichiers pour des clients Windows" la page 481. Cliquez sur Aide pour en savoir plus propos des options utilises dans les procdures. Pour configurer Auto-Protect pour le systme de fichiers pour des clients Mac
1 2
Dans la page de la politique antivirus et antispyware, sous Paramtres Mac, cliquez sur Auto-Protect pour le systme de fichiers. En haut de l'onglet de Dtails de l'analyse, cliquez sur l'icne de verrou pour verrouiller ou dverrouiller tous les paramtres d'Auto-Protect de systme de fichiers. Cochez ou dcochez l'une des options suivantes :
Activer Auto-Protect pour le systme de fichiers Rparer automatiquement les fichiers infects Mettre en quarantaine les fichiers ne pouvant pas tre rpars Analyser les fichiers compresss
488
Sous Dtails gnraux de l'analyse, spcifiez les fichiers analyss par Auto-Protect. Remarque : Pour exclure des fichiers de l'analyse, slectionnez Analyser tout sauf les dossiers spcifis, puis ajoutez une politique d'exceptions centralises pour spcifier les fichiers exclure. Se reporter "Configuration d'une exception centralise pour des fichiers ou dossiers sur des clients Mac" la page 654.
5 6
Sous Dtails de l'analyse des disques installs, cochez ou dcochez l'une des options disponibles. Pour plus d'informations, consultez l'aide. Dans l'onglet de Notifications, dfinissez l'une des options de notification, puis cliquez sur OK. Se reporter "Configurer des options de notification pour Auto-Protect" la page 492.
489
virus Bloodhound pour identifier les risques qui peuvent tre contenus dans les messages sortants. Quand le client analyse les messages sortants, l'analyse aide empcher la propagation des risques. Ces risques incluent les vers qui peuvent utiliser des clients de messagerie pour se rpliquer et se distribuer travers un rseau. L'analyse de messagerie ne prend pas en charge les clients de messagerie suivants :
Clients IMAP Clients AOL Messagerie HTTP comme Hotmail et Yahoo! Mail
Pour plus d'informations sur les options utilises dans les procdures, cliquez sur Aide. Pour configurer Auto-Protect pour messagerie Internet
1 2 3
A la page Politique antivirus et antispyware, sous Paramtres Windows, cliquez sur Auto-Protect pour le courrier lectronique Internet. Dans l'onglet Dtails de l'analyse, cochez ou dcochez Activer Auto-Protect pour le courrier lectronique Internet. Sous Analyse, sous Types de fichier, cliquez sur l'une des options suivantes :
Se reporter "Configurer des analyses des extensions de fichier choisies" la page 464.
4 5 6
Cochez ou supprimez la coche Analyser les fichiers dans les fichiers compresss. Cliquez sur OK. Dans l'onglet Actions, dfinissez les options. Se reporter "Configuration des actions pour des dtections connues de virus et de risque de scurit sur les clients Windows" la page 466.
7 8
Cliquez sur OK. Dans l'onglet Notifications, sous Notifications par message lectronique, activez ou dsactivez les options suivantes :
Insrer un avertissement dans le message lectronique Envoyer un message lectronique l'expditeur Envoyer le message lectronique d'autres destinataires
490
10 Dans l'onglet Avanc, sous Connexions chiffres, activez ou dsactivez les 11 Sous Heuristique de ver d'envoi de courrier de masse, cochez ou supprimez
la coche Heuristique de ver sortant.
1 2 3
A la page Politique antivirus et antispyware, sous Paramtres Windows, cliquez sur Auto-Protect pour Microsoft Outlook. Dans l'onglet Dtails de l'analyse, cochez ou supprimez la coche Activer Auto-Protect pour Microsoft Outlook. Sous Analyse, sous Types de fichier, cliquez sur l'une des options suivantes :
Se reporter "Configurer des analyses des extensions de fichier choisies" la page 464.
4 5
Cochez ou supprimez la coche Analyser les fichiers dans les fichiers compresss. Dans l'onglet Actions, dfinissez les options. Se reporter "Configuration des actions pour des dtections connues de virus et de risque de scurit sur les clients Windows" la page 466.
491
1 2 3
A la page Politique antivirus et antispyware, sous Paramtres Windows, cliquez sur Auto-Protect pour Lotus Notes. Dans l'onglet Dtails de l'analyse, cochez ou dcochez pour Activer Auto-Protect pour Lotus Notes. Sous Analyse, sous Types de fichier, cliquez sur l'une des options suivantes :
Se reporter "Configurer des analyses des extensions de fichier choisies" la page 464.
4 5
Cochez ou supprimez la coche pour Analyser les fichiers dans les fichiers compresss. Dans l'onglet Actions, dfinissez les options. Se reporter "Configuration des actions pour des dtections connues de virus et de risque de scurit sur les clients Windows" la page 466.
Insrer un avertissement dans le message lectronique Envoyer un message lectronique l'expditeur Envoyer le message lectronique d'autres destinataires
Si vous avez fini de configurer les paramtres de politique, cliquez sur OK.
492
Insrer un avertissement dans le message lectronique Envoyer un message lectronique l'expditeur Envoyer le message lectronique d'autres destinataires.
Vous pouvez personnaliser les messages que vous envoyez pour informer les utilisateurs. Remarque : Soyez prudent quand vous configurez des options pour informer les expditeurs et les autres utilsiateurs sur les messages infects. L'adresse du message infect pourrait tre usurpe. Si vous envoyez des notifications, vous pourriez gnrer du spam et entraner une augmentation de trafic sur votre rseau. Les champs variables que vous personnalisez pour des messages de notifications et des messages normaux sont lgrement diffrents. Vous pouvez personnaliser les informations dans le corps du message et les informations dans le champ d'infection. Tableau 26-1 dcrit les types d'informations que vous pouvez personnaliser pour le corps du message. Tableau 26-1 Champ
Utilisateur
493
Champ
DateTrouv
Description
Date laquelle le virus ou le risque de scurit a t dtect. Adresse lectronique qui a envoy le courrier lectronique avec la pice jointe infecte. Liste des adresses auxquelles le courrier lectronique avec la pice jointe infecte a t envoy.
ExpditeurEmail
ListeDestinatairesEmail
Tableau 26-2 dcrit les types d'informations que vous pouvez personnaliser pour les champs d'infection. Tableau 26-2 Champ
NomRisqueScurit ActionEffectue
Etat
Nomfichier CheminNomfichier
Nom du fichier infect par le virus ou le risque de scurit. Chemin d'accs complet et nom du fichier infect par le virus ou le risque de scurit. Nom de l'ordinateur sur lequel le virus ou le risque de scurit a t dtect. Nom de l'utilisateur qui tait connect lorsque le virus ou le risque de scurit a t dtect. Date laquelle le virus ou le risque de scurit a t dtect. Nom de la pice jointe contenant le virus ou le risque de scurit. Domaine de l'application affect. Par exemple, le nom de stockage pourrait tre Auto-Protect pour le systme de fichiers ou Auto-Protect pour Lotus Notes.
Ordinateur
Utilisateur
DateTrouv
NomPicejointeOrigine
NomStockage
494
1 2 3
Sur la page Politique antivirus et antispyware, cliquez sur Auto-Protect pour le systme de fichiers. Sur l'onglet Notifications, slectionnez ou dslectionnez l'option Afficher la bote de dialogue des rsultats d'Auto-Protect sur l'ordinateur infect. Si vous avez fini de configurer les paramtres de politique, cliquez sur OK.
Nom de la pice jointe de fichier Nom du risque Mesure prise Etat d'infection du fichier
Vous pouvez personnaliser l'objet et le corps du message. Le message lectronique contient un champ appel ExpditeurEmail. Vous pouvez personnaliser le message par dfaut.
495
Pour plus d'informations sur les options utilises dans les procdures, cliquez sur Aide. Pour ajouter des avertissements dans les messages lectroniques infects.
A la page Politique antivirus et antispyware, sous Paramtres Windows, cliquez sur l'une des options suivantes :
Auto-Protect pour la messagerie Internet. Auto-Protect pour Microsoft Outlook. Auto-Protect pour Lotus Notes.
2 3
Sur l'onglet Notifications, sous Notifications par message lectronique, cochez Insrer un avertissement dans le message lectronique. Cliquez sur Avertissement et effectuez l'une des actions suivantes :
Cliquez sur OK pour accepter le message par dfaut. Personnalisez le message d'avertissement.
Lorsque vous avez termin la configuration de cette politique, cliquez sur OK.
496
Symantec Endpoint Protection a trouv un risque de scurit dans une pice jointe que vous [ExpditeurEmail] avez envoy [ListeDestinatairesEmail]. Pour vous assurer que les destinataires peuvent utiliser les fichiers envoys, excutez une analyse virus sur votre ordinateur, supprimez tous les fichiers infects, puis renvoyez cette pice jointe. Pour chaque fichier infect, les informations suivantes sont galement ajoutes au message lectronique :
Nom de la pice jointe de fichier Nom du risque Mesure prise Etat d'infection du fichier
Vous pouvez galement personnaliser ce message. Pour informer des expditeurs de messages infects
A la page Politique antivirus et antispyware, sous Paramtres Windows, cliquez sur l'une des options suivantes :
Auto-Protect pour la messagerie Internet. Auto-Protect pour Microsoft Outlook. Auto-Protect pour Lotus Notes
2 3 4
Sur l'onglet Notifications, sous Notifications par message lectronique, cochez Envoyer un message lectronique l'expditeur. Cliquez sur Expditeur. De la bote de dialogue Envoyer un message lectronique l'expditeur, sur l'onglet Message, sous Texte du message, effectuez l'une des actions suivantes :
Cliquez sur OK pour accepter le message par dfaut. Tapez un objet, un corps du message et des informations d'infection qui s'afficheront dans chaque message, puis cliquez sur OK. Pour plus d'informations sur les variables que vous pouvez utiliser dans le message, cliquez sur Aide.
Pour Auto-Protect pour le message lectronique uniquement, sur l'onglet Serveur de messagerie, saisissez les informations suivantes :
497
Lorsque vous avez termin la configuration de cette politique, cliquez sur OK.
Nom de la pice jointe de fichier Nom du risque Mesure prise Etat d'infection du fichier
Vous pouvez galement personnaliser ce message. Pour informer d'autres utilisateurs de messages infects
A la page Politique antivirus et antispyware, sous Paramtres Windows, cliquez sur l'une des options suivantes :
498
2 3 4
Sur l'onglet Notifications, sous Notifications par message lectronique, cochez Envoyer un message lectronique d'autres destinataires. Cliquez sur Autres. Dans la bote de dialogue Envoyer le message lectronique d'autres destinataires, dans l'onglet Autres, fournissez une ou plusieurs adresses lectroniques auxquelles des notifications doivent tre envoyes. Cliquez sur l'onglet Message et saisissez l'objet, le corps du message et les informations sur l'infection qui doivent s'afficher dans chaque message. Pour plus d'informations sur les variables que vous pouvez utiliser dans le message, cliquez sur Aide.
Pour Auto-Protect pour le message lectronique uniquement, sur l'onglet Serveur de messagerie, saisissez les informations suivantes :
Nom et port de serveur de messagerie Nom d'utilisateur et mot de passe Chemin d'accs invers pour le courrier lectronique
7 8
Cliquez sur OK. Lorsque vous avez termin la configuration de cette politique, cliquez sur OK.
Configurer des notifications de progression pour des analyses Auto-Protect pour messagerie Internet
Vous pouvez activer ou dsactiver des options d'indicateur de progression pour des analyses Auto-Protect pour messagerie Internet. Vous pouvez configurer les options suivantes :
Affichage d'une fentre de progression sur l'ordinateur client quand un message est envoy. Affichage d'une icne dans la zone de notification pour indiquer l'tat de transmission du message.
499
1 2
A la page Politique antivirus et antispyware, sous Paramtres Windows, cliquez sur Auto-Protect pour le courrier lectronique Internet. Sur l'onglet Notifications, sous Notifications de progression, cochez ou dcochez les options suivantes :
Afficher un indicateur de progression quand le courrier lectronique est envoy. Afficher une icne de zone de notification.
Lorsque vous avez termin la configuration de cette politique, cliquez sur OK.
500
Chapitre
27
A propos de l'utilisation d'analyses dfinies par l'administrateur Configurer une analyse planifie pour des clients Windows Configuration d'une analyse planifie pour les clients Mac Configurer une analyse sur demande pour des clients Windows Configuration d'une analyse sur demande pour les clients Mac Excuter des analyses la demande Configurer des options de progression d'analyse pour des analyses dfinies par l'administrateur Dfinir des options avances pour des analyses dfinies par l'administrateur
502
Utilisation d'analyses dfinies par l'administrateur Configurer une analyse planifie pour des clients Windows
vous lisez et crivez des fichiers. Les analyses planifies et les analyses la demande peuvent analyser les fichiers figurant sur vos ordinateurs client. Elles peuvent galement protger la mmoire, les points de chargement et autres emplacements importants sur vos ordinateurs client. Remarque : Pour les clients grs, Symantec Endpoint Protection fournit une analyse planifie par dfaut qui examine l'ensemble des fichiers, dossiers et emplacements sur les ordinateurs clients. Certaines options des analyses dfinies par l'administrateur sont semblables aux options des analyses Auto-Protect. Ces options incluent les actions de dtection et les notifications que vous spcifiez. Se reporter "Configuration des options qui s'appliquent aux analyses antivirus et antispyware" la page 463.
1 2 3
Dans la page de politique antivirus et antispyware, sous Paramtres Windows, cliquez sur Analyses dfinies par l'administrateur. Dans l'onglet Analyses, sous Analyses planifies, cliquez sur Ajouter. Dans la bote de dialogue Ajouter une analyse planifie, cliquez sur Crer une analyse planifie.
Utilisation d'analyses dfinies par l'administrateur Configurer une analyse planifie pour des clients Windows
503
4 5 6 7 8
Cliquez sur OK. Dans la bote de dialogue Ajouter une analyse planifie, dans l'onglet Dtails de l'analyse, tapez un nom et une description pour cette analyse planifie. Cliquez sur Active Scan, Analyse complte ou Analyse personnalise. Si vous avez slectionn Personnalise, sous Analyse, vous pouvez spcifier les dossiers analyser. Sous Types de fichier, cliquez sur Analyser tous les fichiers ou Analyser les extensions slectionnes uniquement. Se reporter "Configurer des analyses des extensions de fichier choisies" la page 464.
Sous Amliorer l'analyse en vrifiant, cochez ou dsactivez la case Mmoire, Emplacementsd'infectionscourants ou Emplacementsderisquesdescurit et de virus connus.
10 Cliquez sur Options d'analyse avances. 11 Dfinissez les options pour les fichiers compresss, la migration de stockage
ou l'optimisation des performances.
16 Pour enregistrer l'analyse sous la forme d'un modle, cochez Enregistrer une
copie sous la forme d'un modle d'analyse planifie.
504
Utilisation d'analyses dfinies par l'administrateur Configuration d'une analyse planifie pour les clients Mac
1 2 3 4 5 6
Dans la page de politique antivirus et antispyware, sous Paramtres Mac, cliquez sur Analyses dfinies par l'administrateur. Dans l'onglet Analyses, sous Analyses planifies, cliquez sur Ajouter. Dans la bote de dialogue de Ajouter une analyse planifie, cliquez sur Crer une analyse planifie puis cliquez sur OK. Dans la bote de dialogue Ajouter une analyse planifie, dans l'onglet Dtails de l'analyse, saisissez un nom et une description pour cette analyse. Sous Analyser lecteurs et dossiers, spcifiez les lments analyser. Dplacer le curseur pour dfinir la priorit de l'analyse. La priorit d'analyse sur des clients Mac est quivalente au rglage d'accord ou des performances sur des clients Windows. La priorit haute signifie que l'analyse s'excute aussi rapidement que possible, mais les autres applications s'excutent plus lentement pendant l'analyse. La priorit basse signifie que les autres applications s'excutent aussi rapidement que possible, mais que l'analyse s'excute plus lentement. La priorit moyenne quilibre la vitesse d'excution des applications et des analyses.
7 8 9
Dans l'onglet Planification, sous Planification d'analyse, dfinissez la frquence et l'heure auxquelles l'analyse doit tre excute. Pour enregistrer l'analyse sous la forme d'un modle, cochez Enregistrer une copie sous la forme d'un modle d'analyse planifie. Cliquez sur OK.
Utilisation d'analyses dfinies par l'administrateur Configurer une analyse sur demande pour des clients Windows
505
1 2 3
Dans la page de politique antivirus et antispyware, sous Paramtres Windows, cliquez sur Analyses dfinies par l'administrateur. Dans l'onglet Analyses, sous Analyse sur demande de l'administrateur, cliquez sur Edition. Dans la bote de dialogue Modifier l'analyse sur demande de l'administrateur, dans l'onglet Dtails de l'analyse, sous Analyse, cliquez sur Modifier les dossiers. Par dfaut, l'analyse inclut tous les dossiers.
506
Utilisation d'analyses dfinies par l'administrateur Configuration d'une analyse sur demande pour les clients Mac
4 5
Dans la bote de dialogue Modifier les dossiers, slectionnez les dossiers dsirs et cliquez sur OK. Dans la bote de dialogue Modifier l'analyse sur demande de l'administrateur, sous Types de fichier, cliquez sur Analyser tous les fichiers ou Analyser les extensions slectionnes uniquement. Se reporter "A propos de l'analyse des extensions ou des dossiers slectionns" la page 451.
Sous Enhance the scan by checking, cochez ou dsactivez les cases Mmoire, Emplacements d'infections courants ou Emplacements de risques de scurit et de virus connus. Cliquez sur Options d'analyse avances. Dfinissez les options pour les fichiers compresss, la migration de stockage ou l'optimisation des performances. Cliquez sur OK pour enregistrer les options avances de cette analyse.
7 8 9
Utilisation d'analyses dfinies par l'administrateur Configuration d'une analyse sur demande pour les clients Mac
507
Se reporter "Configuration d'une analyse planifie pour les clients Mac" la page 504. Les paramtres d'analyse pour les clients Windows et Mac sont diffrents. Se reporter "Configurer une analyse sur demande pour des clients Windows" la page 505. Vous pouvez cliquer sur Aide pour obtenir plus d'informations sur les options utilises dans cette procdure. Avertissement : Si vous ne choisissez pas Rparer automatiquement les fichiers infects, aucun fichier infect n'est mis en quarantaine, mme si vous choisissez Mettre en quarantaine les fichiers qui ne peuvent pas tre rpars. Le logiciel demande si vous voulez rparer un fichier infect. Si vous ne rparez pas le fichier, il reste dans l'ordinateur. Si vous choisissez Rparer automatiquement les fichiers infects et si vous ne choisissez pas Mettre en quarantaine les fichiers qui ne peuvent pas tre rpars, tous les fichiers infects seront supprims. Pour configurer une analyse sur demande pour des clients Mac
1 2 3
Dans la page de politique antivirus et antispyware, sous Paramtres Mac, cliquez sur Analyses dfinies par l'administrateur. Dans l'onglet Analyses, sous Analyse sur demande de l'administrateur, cliquez sur Edition. Dans l'onglet de Dtails de l'analyse, sous Analyser lecteurs et dossiers, slectionnez les lments que vous voulez inclure dans cette analyse.
508
Dans l'onglet Notifications, dfinissez l'une des options, puis cliquez sur OK. Se reporter "A propos des messages de notification sur les ordinateurs infects" la page 468.
Dans l'onglet Clients Des journaux d'tat d'ordinateur que vous gnrez dans l'onglet Ecrans Se reporter "Excuter des commandes et des actions partir des journaux" la page 304.
Pour des ordinateurs client Windows, vous pouvez excuter une analyse sur demande rapide, complte, ou personnalise. Par dfaut, les articles suivants sont inclus dans l'analyse :
Tous les rpertoires Tous les types de fichier Mmoire Emplacements d'infections courants Emplacements de risques de scurit et de virus connus
Pour des ordinateurs client Mac, vous ne pouvez excuter qu'une analyse sur demande personnalise. L'analyse personnalise utilise les paramtres configurs pour des analyses la demande dans la politique antivirus et antispyware.
509
Se reporter "Configurer une analyse sur demande pour des clients Windows" la page 505. Se reporter "Configuration d'une analyse sur demande pour les clients Mac" la page 506. Vous pouvez cliquer sur Aide pour obtenir plus d'informations sur les options utilises dans les procdures. Remarque : Si vous mettez une commande de redmarrage sur un ordinateur client qui excute une analyse la demande, l'analyse s'arrte et l'ordinateur client redmarre. L'analyse ne redmarre pas. Pour excuter une analyse la demande sur un groupe
1 2 3 4 5 6 7
Dans la console, cliquez sur Clients. Sous Afficher les clients, cliquez avec le bouton droit de la souris sur le groupe qui inclut les ordinateurs analyser. Cliquez sur Excuter la commande sur le groupe > Analyser. Dans la bote de dialogue Slection d'un type d'analyse, slectionnez Analyse rapide, Analyse complte, ou Analyse personnalise. Cliquez sur OK. Dans la fentre de message qui s'affiche, cliquez sur Oui. Dans la fentre de confirmation qui s'affiche, cliquez sur Oui.
1 2 3 4 5 6 7
Dans la console, cliquez sur Clients. Dans le panneau droit, sous Clients, slectionnez les ordinateurs et les utilisateurs analyser. Cliquez avec le bouton droit de la souris sur la slection, puis cliquez sur Excuter la commande sur les clients > Analyser. Dans la fentre de message qui s'affiche, cliquez sur Oui. Dans la bote de dialogue Slection d'un type d'analyse, slectionnez Analyse rapide, Analyse complte, ou Analyse personnalise. Cliquez sur OK. Dans la fentre de confirmation qui s'affiche, cliquez sur Oui.
510
Utilisation d'analyses dfinies par l'administrateur Configurer des options de progression d'analyse pour des analyses dfinies par l'administrateur
Configurer des options de progression d'analyse pour des analyses dfinies par l'administrateur
Vous pouvez configurer si la bote de dialogue Rsultats de l'analyse doit apparatre sur des ordinateurs client. Si vous permettez l'affichage de la bote de dialogue sur des ordinateurs client, des utilisateurs peuvent toujours suspendre ou retarder une analyse dfinie par l'administrateur. Vous pouvez permettre des utilisateurs d'arrter une analyse entirement. Des options permettent galement de configurer comment des utilisateurs peuvent suspendre ou retarder des analyses. Vous pouvez permettre l'utilisateur d'excuter les actions d'analyse suivantes :
Pause Quand un utilisateur suspend une analyse, la bote de dialogue Rsultats de l'analyse reste ouverte jusqu' ce que l'analyse soit relance ou abandonne. Si l'ordinateur est mis hors tension, l'analyse suspendue est abandonne. Quand un utilisateur met en sommeil une analyse planifie, il peut choisir la dure de la mise en sommeil, une heure ou trois heures. Le nombre de mises en sommeil est configurable. Quand une analyse est en sommeil, la bote de dialogue Rsultats de l'analyse est ferme. Elle rapparat quand l'analyse reprend. Quand un utilisateur arrte une analyse, l'analyse s'arrte en gnral immdiatement. Si un utilisateur arrte une analyse alors que le logiciel client analyse un fichier compress, l'analyse ne s'arrte pas immdiatement. Dans ce cas, l'analyse s'arrte ds que l'analyse du fichier compress est termine. Une analyse arrte ne redmarre pas.
Mise en sommeil
Stop
Une analyse suspendue redmarre automatiquement au bout d'un dlai spcifi. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilises dans cette procdure. Pour configurer des options de progression d'analyse pour des analyses dfinies par l'administrateur
1 2
Dans la page Politique antivirus et antispyware, cliquez sur Analyses dfinies par l'administrateur. Dans l'onglet Avanc, sous Options de progression d'analyse, cliquez sur Afficher la fentre de progression ou Afficher la progression de l'analyse si un risque est dtect.
Utilisation d'analyses dfinies par l'administrateur Dfinir des options avances pour des analyses dfinies par l'administrateur
511
3 4 5 6
Pour fermer automatiquement l'indicateur de progression d'analyse au terme de l'analyse, cochez la case Fermer la fentre de progression aprs l'analyse. Cochez l'option Autoriser l'utilisateur abandonner l'analyse. Cliquez sur Options de pause. Dans la bote de dialogue Options de pause de l'analyse, effectuez l'une des actions suivantes :
Pour limiter le temps pendant lequel un utilisateur peut suspendre une analyse, cochez la case Limiter la dure de la mise en pause de l'analyse et tapez un nombre de minutes. La valeur doit tre comprise entre 3 et 180. Pour limiter le nombre de fois o un utilisateur peut retarder (ou mettre en sommeil) une analyse, dans la zone Nombre maximal d'opportunits de rptition, tapez un nombre entre 1 et 8. Par dfaut, un utilisateur peut retarder une analyse d'une heure. Pour modifier cette limite trois heures, cochez la case Autoriser les utilisateurs rpter l'analyse pendant 3 heures.
Dfinir des options avances pour des analyses dfinies par l'administrateur
Vous pouvez dfinir des options avances pour des analyses planifies et des analyses la demande. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilises dans la procdure. Pour dfinir des options avances pour des analyses dfinies par l'administrateur
1 2
Dans la page de la politique antivirus et de protection antispyware, cliquez sur Analyses dfinies par l'administrateur. Dans l'onglet Avanc, sous Analyses planifies, activez ou dsactivez les options suivantes :
Diffrer les analyses planifies en cas d'utilisation des batteries Autoriser l'excution des analyses planifies par l'utilisateur s'excuter lorsque l'auteur de l'analyse n'est pas connect Afficher des notifications sur les dtections lorsque l'utilisateur se connecte
512
Utilisation d'analyses dfinies par l'administrateur Dfinir des options avances pour des analyses dfinies par l'administrateur
Excuter des analyses de dmarrage lorsque des utilisateurs se connectent Autoriser les utilisateurs modifier les analyses de dmarrage Excuter une analyse Active Scan la rception de nouvelles dfinitions de virus
Section
Chapitre 28. Paramtres de base de protection contre les menaces rseau Chapitre 29. Configuration de la prvention d'intrusion Chapitre 30. Personnalisation de la protection contre les menaces rseau
514
Chapitre
28
A propos de la protection contre les menaces rseau et des attaques A propos du pare-feu A propos de l'utilisation des politiques de pare-feu A propos des rgles de filtrage Ajouter des rgles vierges Ajouter des rgles avec un assistant Ajouter des rgles hrites d'un groupe parent Importation et exportation de rgles Copier et coller des rgles Modification de l'ordre des rgles Activer et dsactiver des rgles Activation du filtrage de trafic intelligent Activation des paramtres de trafic et des paramtres furtifs Configuration de l'authentification point point
516
Paramtres de base de protection contre les menaces rseau A propos de la protection contre les menaces rseau et des attaques
Comment Symantec Endpoint Protection protge les ordinateurs contre des attaques rseau
Le client Symantec Endpoint Protection inclut les outils suivants qui protgent vos ordinateurs contre les tentatives d'intrusion :
517
Pare-feu
Surveille l'ensemble des connexions Internet et cre un bouclier qui qui bloque ou limite les tentatives de visualisation des informations sur l'ordinateur. Se reporter "A propos du pare-feu" la page 517.
Prvention d'intrusion
Analyse toutes les informations entrantes et sortantes des structures de donnes qui sont typiques d'une attaque. Se reporter "A propos du systme de prvention d'intrusion" la page 541.
A propos du pare-feu
Le pare-feu Symantec Endpoint Protection est un logiciel qui fournit une barrire entre l'ordinateur et Internet. Le pare-feu empche les utilisateurs non autoriss d'accder aux ordinateurs et aux rseaux qui se connectent Internet. Il dtecte les ventuelles attaques de pirates, protge les informations personnelles et limine les sources indsirables de trafic rseau. Figure 28-1 Flux d'informations sur un rseau lorsqu'un ordinateur est quip d'un pare-feu
Ordinateur client
Internet
Toutes les informations qui entrent ou quittent le rseau priv doivent passer par le pare-feu qui examine les paquets d'informations. Le pare-feu bloque les paquets qui ne rpondent pas aux critres de scurit spcifis. La manire dont le pare-feu
518
Paramtres de base de protection contre les menaces rseau A propos de l'utilisation des politiques de pare-feu
examine les paquets d'informations consiste utiliser une politique de pare-feu. Les politiques de pare-feu se composent d'une ou plusieurs rgles qui fonctionnent ensemble pour permettre ou bloquer l'accs des utilisateurs au rseau. Seul le trafic autoris peut passer. La politique de pare-feu dfinit le trafic autoris. Le pare-feu fonctionne l'arrire-plan. Vous dterminez le niveau d'interaction entre les utilisateurs et le client en autorisant ou en bloquant leur possibilit de configurer les rgles du pare-feu et les paramtres du pare-feu. Les utilisateurs peuvent interagir avec le client seulement quand il les informe des nouvelles connexions rseau et des problmes ventues, ou ils peuvent avoir l'accs complet l'interface utilisateur. Se reporter "A propos des rgles de filtrage" la page 519. Se reporter "A propos de l'utilisation des politiques de pare-feu" la page 518.
Paramtres de base de protection contre les menaces rseau A propos des rgles de filtrage
519
Autorise les types de trafic requis sur la plupart des rseaux tels que le trafic DHCP, DNS et WINS. Se reporter "Activation du filtrage de trafic intelligent" la page 537.
Dtecte et bloque le trafic en provenance de certains pilotes, protocoles et d'autres sources. Se reporter "Activation des paramtres de trafic et des paramtres furtifs" la page 538.
Empche un ordinateur distant de se connecter un ordinateur client tant que l'ordinateur client n'a pas authentifi cet ordinateur distant. Se reporter "Configuration de l'authentification point point" la page 539.
Vous pouvez dfinir un emplacement pour le contrle client ou le contrle mixte afin que l'utilisateur puisse personnaliser la politique de pare-feu. Se reporter "Configurer des paramtres de protection contre les menaces rseau pour la commande mlange" la page 559. Vous crez et modifiez des politiques de pare-feu de la mme manire que vous crez et modifiez d'autres types de politiques. Vous pouvez attribuer, retirer, remplacer, copier, exporter, importer ou supprimer une politique de pare-feu. Vous attribuez gnralement une politique plusieurs groupes de votre rseau de scurit. Vous pouvez crer une politique non partage un emplacement spcifique si un emplacement particulier ncessite des conditions spcifiques. Il est conseill de matriser les principes de base de la configuration de politique pour travailler avec les politiques. Se reporter "Utilisation de politiques pour grer la scurit du rseau" la page 96.
520
Paramtres de base de protection contre les menaces rseau A propos des rgles de filtrage
Se reporter "A propos de l'ordre de traitement des rgles" la page 525. Se reporter "A propos de l'inspection Stateful" la page 528.
Une rgle qui combine tous les critres pourrait permettre le trafic de l'adresse IP 192.58.74.0 sur le port distant 80 entre 9 heures et 17 heures chaque jour.
Paramtres de base de protection contre les menaces rseau A propos des rgles de filtrage
521
522
Paramtres de base de protection contre les menaces rseau A propos des rgles de filtrage
Vous pouvez dfinir la relation entre les htes de l'une ou l'autre des manires suivantes :
Source et destination L'hte source et l'hte de destination dpendent de la direction du trafic. Dans un cas, l'ordinateur client local peut tre la source, tandis que dans un autre cas l'ordinateur distant peut tre la source. La relation entre la source et la destination est plus gnralement utilise dans les pare-feu rseau. Local et distant L'hte local est toujours l'ordinateur client local et l'hte distant est toujours un ordinateur distant plac ailleurs sur le rseau. Cette expression du rapport d'hte est indpendante de la direction du trafic. La relation local et distant est plus gnralement utilise dans les pare-feu bass sur l'hte et constitue un moyen plus simple pour observer le trafic.
Figure 28-2 illustre la relation entre la source et la destination par rapport la direction du trafic. Figure 28-2 Le rapport entre les htes source et les htes de destination
Source
` Client SEP HTTP
Destination
Symantec.com
Destination
` Client SEP RDP
Source
` Autre client
Figure 28-3 illustre la relation entre l'hte local et l'hte distant par rapport la direction du trafic.
Paramtres de base de protection contre les menaces rseau A propos des rgles de filtrage
523
Figure 28-3
Local
` Client SEP HTTP
Distant
Symantec.com
Local
` Client SEP RDP
Distant
` Autre client
Vous pouvez dfinir plusieurs htes source et plusieurs htes de destination. Les htes que vous dfinissez de chaque ct de la connexion sont valus en utilisant une instruction OR (OU). La relation entre les htes slectionns est value en utilisant une instruction AND (ET). Par exemple, considrez une rgle qui dfinit un hte local unique et plusieurs htes distants. Lorsque le pare-feu examine les paquets, l'hte local doit correspondre l'adresse IP approprie. Cependant, les cts opposs de l'adresse peuvent tre en correspondance avec n'importe quel hte distant. Par exemple, vous pouvez dfinir une rgle pour autoriser la communication HTTP entre l'hte local et symantec.com, yahoo.com ou google.com. La rgle unique revient trois rgles. Se reporter "Ajout d'htes et de groupes d'htes une rgle" la page 562. Se reporter "A propos des lments d'une rgle de filtrage" la page 520.
524
Paramtres de base de protection contre les menaces rseau A propos des rgles de filtrage
IP
Numro de protocole (type d'IP) Exemples : Type 1 = ICMP, Type 6 = TCP, Type 17 = UDP
Ethernet
Type de structure Ethernet Exemples : Type 0x0800 = IPv4, Type = 0x8BDD = IPv6, Type 0x8137 = IPX
Quand vous dfinissez des dclencheurs de service bass sur TCP ou bass sur UDP, vous identifiez les ports des deux cts de la connexion rseau dcrite. Traditionnellement, les ports sont dsigns comme source ou comme destination d'une connexion rseau. Vous pouvez dfinir la relation du service rseau de l'une ou l'autre des manires suivantes :
Source et destination Le port source et le port de destination dpendent de la direction du trafic. Dans un cas l'ordinateur client local peut dtenir le port source, tandis que dans un autre cas l'ordinateur distant peut dtenir le port source. L'ordinateur d'hte local possde toujours le port local et l'ordinateur distant possde toujours le port distant. Cette expression de la relation de ports est est indpendante de la direction du trafic.
Local et distant
Vous spcifiez la direction du trafic quand vous dfinissez le protocole. Vous pouvez dfinir plusieurs protocoles. Par exemple, une rgle peut inclure les protocoles ICMP, IP et TCP. La rgle dcrit plusieurs types de connexion qui peuvent intervenir entre les ordinateurs client identifis ou utiliss par une application. Se reporter "A propos des lments d'une rgle de filtrage" la page 520.
Paramtres de base de protection contre les menaces rseau A propos des rgles de filtrage
525
Quand vous dfinissez un type particulier de carte, vous devez considrer son utilisation. Par exemple, si une rgle permet le trafic HTTP sortant des cartes Ethernet, HTTP est autoris par toutes les cartes installes du mme type. Il existe une seule exception si vous spcifiez galement des adresses d'hte local. L'ordinateur client peut utiliser des serveurs avec plusieurs cartes d'interface rseau et les stations de travail qui relient deux segments de rseau ou plus. Pour contrler le trafic relativement une carte particulire, le schma d'adressage de chaque segment doit tre utilis plutt que la carte elle-mme. Se reporter "A propos des lments d'une rgle de filtrage" la page 520.
Priorit
Premier Second
La liste Rgles contient une ligne de dmarcation bleue. La ligne de dmarcation dfinit la priorit des rgles dans les situations suivantes :
526
Paramtres de base de protection contre les menaces rseau A propos des rgles de filtrage
Quand le client est dfini sur un contrle mixe. Le pare-feu traite les rgles de serveur et les rgles client. liste Rgles
Figure 28-4
Au-del de la ligne sparatrice bleue, les rgles dont hrite la politique priment sur les rglent que vous crez. Sous la ligne de dmarcation bleue, les rgles que vous crez ont la priorit sur les rgles dont la politique hrite.
Figure 28-5 indique dans quel ordre la liste Rgles organise les rgles lorsqu'un sous-groupe hrite des rgles d'un groupe parent. Dans cet exemple, le groupe de ventes est le groupe parent. Le groupe de ventes de l'Europe hrite du groupe de ventes.
Paramtres de base de protection contre les menaces rseau A propos des rgles de filtrage
527
Figure 28-5
Groupe Vente
Rgle 1
Rgle 3 Rgle 3
Ligne bleue
Ligne bleue
Ligne bleue
Rgle 2
Rgle 4
Rgle 4
Prioritaire
Rgle 2
Se reporter "Ajouter des rgles hrites d'un groupe parent" la page 534.
Contrle mixte
Contrle client
528
Paramtres de base de protection contre les menaces rseau A propos des rgles de filtrage
Se reporter "Configuration des paramtres d'interface utilisateur" la page 183. Pour les clients du contrle mixte, le pare - feu traite les rgles de serveur et les rgles de client dans un ordre prcis. Tableau 28-3 tablit l'ordre de traitement des rgles de serveur, des rgles de client et des paramtres de client par le pare-feu. Tableau 28-3 Priorit
Premier
Priorit de traitement des rgles de serveur et des rgles de client Type ou paramtre de rgle
Rgles de serveur avec niveaux de priorit levs (rgles au-dessus de la ligne bleue de la liste Rgles) Rgles de client Rgles de serveur avec niveaux de priorit infrieurs (rgles en dessous de la ligne bleue de la liste Rgles) Sur le client, les rgles de serveur en dessous de la ligne bleue sont traites aprs les rgles de client.
Second Troisime
Quatrime Cinquime
Sur le client, les utilisateurs peuvent modifier une rgle ou un paramtre de scurit de client, mais les utilisateurs ne peuvent pas modifier une rgle de serveur. Avertissement : Si le client est en contrle mixte, les utilisateurs peuvent crer une rgle de client qui autorise tout le trafic. Cette rgle remplace toutes les rgles de serveur en dessous de la ligne bleue. Se reporter "Modification de l'ordre des rgles" la page 536.
Paramtres de base de protection contre les menaces rseau A propos des rgles de filtrage
529
et autorise le trafic du serveur Web vers le client ayant initi la connexion sans inspecter la base de rgle. Une rgle doit autoriser le trafic sortant initial avant que le pare-feu ne consigne la connexion. L'inspection dynamique des paquets permet de simplifier les bases de rgle dans la mesure o il est inutile de crer des rgles qui autorisent le trafic dans les deux sens, pour le trafic habituellement transmis dans un seul sens. Le trafic client gnralement initi dans une direction inclut Telnet (port 23), HTTP (port 80) et HTTPS (port 443). Les clients initient ce trafic vers la sortie de sorte qu'il vous suffit de crer une rgle autorisant le trafic sortant pour ces protocoles. Le pare-feu autorise le trafic de retour. En ne configurant que des rgles sortantes, vous augmentez la scurit client comme suit :
En rduisant la complexit de la base de rgle. En supprimant la possibilit qu'un ver ou autre programme malveillant puisse tablir des connexions avec un client sur les ports configurs pour le trafic sortant uniquement. Vous pouvez galement ne configurer que des rgles de trafic entrant pour le trafic vers des clients qui n'en sont pas les initiateurs.
L'inspection Stateful prend en charge toutes les rgles qui rgissent le trafic TCP. L'inspection Stateful ne prend pas en charge les rgles qui filtrent le trafic ICMP. Pour le trafic ICMP, vous devez crer les rgles autorisant le trafic dans les deux directions lorsque c'est ncessaire. Par exemple, si vous souhaitez que les clients utilisent la commande ping et reoivent des rponses, vous devez crer une rgle autorisant le trafic ICMP dans les deux directions. Le pare-feu tant tat, il vous suffit de crer des rgles qui tablissent une connexion, et non les caractristiques d'un paquet particulier. Tous les paquets propres une connexion autorise sont implicitement autoriss en tant que constituant intgral de cette mme connexion. Se reporter "A propos des rgles de filtrage" la page 519.
530
Paramtres de base de protection contre les menaces rseau Ajouter des rgles vierges
actuelle de l'application. Pour le trafic UDP sans tat, vous devez crer une rgle de filtrage pour autoriser la rponse de communication UDP entrante. Une session UDP expire au bout de 40 secondes si l'application ferme le port.
Ajoutez une rgle vierge la liste, puis configurez-la manuellement. Excutez l'assistant de cration de rgles de filtrage. Se reporter "Ajouter des rgles avec un assistant" la page 533.
Pour simplifier la gestion de la base de rgle, vous devez spcifier le trafic entrant et sortant dans la rgle autant que possible. Vous n'avez pas besoin de crer des rgles entrantes pour le trafic tel que HTTP. Le client Symantec Endpoint Protection utilise l'inspection "Stateful" pour le trafic TCP et n'a pas besoin d'une rgle pour filtrer le trafic de retour initi par les clients. Se reporter "A propos de l'inspection Stateful" la page 528. Pour ajouter des rgles vierges
Dans la console, ouvrez une politique de pare-feu. Se reporter "Modifier une politique" la page 104.
2 3 4 5
Dans la page Politique de pare-feu, cliquez sur Rgles. Dans l'onglet Rgles, sous la liste Rgles, cliquez sur Ajouter une rgle vierge. Dans la zone de texte Nom, entrez le nom de la rgle. Dans le champ Gravit, cliquez sur la liste droulante et slectionnez une des options suivantes :
Paramtres de base de protection contre les menaces rseau Ajouter des rgles vierges
531
Cliquez avec le bouton droit de la souris sur le champ Application, cliquez sur Edition et dans la bote de dialogue Liste d'applications, dfinissez une application. Se reporter "Ajouter des applications une rgle" la page 570.
7 8
Cliquez sur OK, puis sur OK de nouveau. Cliquez avec le bouton droit de la souris sur le champ Hte, cliquez sur Edition et dans la liste Hte, dfinissez un hte. Se reporter "Ajout d'htes et de groupes d'htes une rgle" la page 562.
Cliquez sur OK, puis sur OK de nouveau. Edition, puis dfinissez une planification. Se reporter "Ajout de planifications une rgle" la page 572.
10 Cliquez avec le bouton droit de la souris sur le champ Heure, cliquez sur
11 Cliquez sur OK, puis sur OK de nouveau. 12 Cliquez avec le bouton droit de la souris sur le champ Service, puis cliquez
sur Modifier pour ajouter ou configurer un service de rseau personnalis. Se reporter "Ajout des services rseau une rgle" la page 565.
13 Cliquez sur OK. 14 Cliquez avec le bouton droit de la souris sur le champ Adaptateur et
slectionnez un ou plusieurs des lments suivants :
Tous les adaptateurs Tout VPN A distance Ethernet Sans fil Plus d'adaptateurs Vous pouvez ajouter des adaptateurs spcifiques au fabricant en les slectionnant dans une liste
532
Paramtres de base de protection contre les menaces rseau Ajouter des rgles vierges
Enregistrer dans le journal de trafic Enregistrer dans le journal des paquets Envoyer une alerte par message lectronique Se reporter "Configurer les messages lectroniques pour les vnements de trafic" la page 574.
Le champ Cr n'est pas modifiable. Si la politique est partage, le champ affiche le terme Partag. Si la politique n'est pas partage, le champ affiche le nom du groupe auquel la politique non-partage est attribue.
20 Quand vous avez termin d'ajouter la rgle, effectuez l'une des oprations
suivantes :
Ajoutez une nouvelle rgle. Ajoutez les paramtres de filtrage de trafic intelligent ou les paramtres de trafic et de discrtion. Se reporter "Activation du filtrage de trafic intelligent" la page 537. Se reporter "Activation des paramtres de trafic et des paramtres furtifs" la page 538. Si vous en avez termin avec la configuration de la politique, cliquez sur OK.
Paramtres de base de protection contre les menaces rseau Ajouter des rgles avec un assistant
533
Rgles de service
Il se peut que vous deviez inclure deux critres ou plus pour dcrire le trafic rseau spcifique, tel qu'un protocole particulier qui provient d'un hte spcifique. Vous devez configurer la rgle aprs l'avoir ajoute, parce que l'assistant de rgle de filtrage ne configure pas de nouvelles rgles avec plusieurs critres. Quand vous vous tes familiaris avec la faon dont des rgles sont dfinies et traites, ll se peut que vous vouliez ajouter des rgles vierges et configurer les divers champs selon les besoins. Une rgle vierge autorise tout le trafic. Se reporter "Ajouter des rgles vierges" la page 530. Pour ajouter des rgles avec un assistant
Dans la console, ouvrez une politique de pare-feu. Se reporter "Modifier une politique" la page 104.
2 3 4 5 6 7 8 9
Sur la page de politique de pare-feu, cliquez sur Rgles. Dans l'onglet Rgles, sous la liste Rgles, cliquez sur Ajouter une rgle. Dans l'assistant de rgle de filtrage, cliquez sur Suivant. Dans le panneau Slectionner un type de rgle, slectionnez un des types de rgles. Cliquez sur Suivant. Entrez les donnes sur chaque panneau pour crer le type de rgle que vous avez slectionn. Pour des applications et des htes, cliquez sur Ajouter d'autres pour ajouter des applications et des services supplmentaires. Lorsque vous avez termin, cliquez sur Terminer. quel champ pour modifier la rgle.
10 Dans la liste Rgles, cliquez avec le bouton droit de la souris sur n'importe 11 Quand vous avez termin la configuration de cette politique, cliquez sur OK.
534
Paramtres de base de protection contre les menaces rseau Ajouter des rgles hrites d'un groupe parent
Dans la console, ouvrez une politique de pare-feu. Se reporter "Modifier une politique" la page 104.
2 3
Sur la page de politique de pare-feu, cliquez sur Rgles. Dans l'onglet Rgles, au-dessus de la liste Rgles, cochez Hriter des rgles de filtrage du groupe parent. Pour supprimer les rgles hrites, supprimez la coche Hriter des rgles de filtrage du groupe parent.
Paramtres de base de protection contre les menaces rseau Importation et exportation de rgles
535
Dans la console, ouvrez une politique de pare-feu. Se reporter "Modifier une politique" la page 104.
2 3 4
Dans la page Firewall Policy, cliquez sur Rgles. Dans la liste Rgles, slectionnez les rgles que vous voulez exporter, cliquez avec le bouton droit de la souris et cliquez sur Exporter. Dans la bote de dialogue Exporter la politique, localisez un rpertoire pour enregistrer le fichier .dat, tapez un nom de fichier et puis cliquez sur Exporter.
Dans la console, ouvrez une politique de pare-feu. Se reporter "Modifier une politique" la page 104.
2 3 4 5 6
Sur la page de politique de pare-feu, cliquez sur Rgles. Cliquez avec le bouton droit de la souris sur la liste Rgles, puis cliquez sur Importer. Dans la bote de dialogue Importer la politique, localisez le fichier .dat qui contient les rgles de filtrage importer et cliquez sur Importer. Dans la bote de dialogue Entre, tapez le nouveau nom de la politique, puis cliquez sur OK. Cliquez sur OK.
536
Paramtres de base de protection contre les menaces rseau Modification de l'ordre des rgles
Dans la console, ouvrez une politique de pare-feu. Se reporter "Modifier une politique" la page 104.
2 3 4 5
Dans la page Politique de pare-feu, cliquez sur Rgles. Dans l'onglet Rgles, cliquez avec le bouton droit de la souris sur la rgle que vous voulez copier, puis cliquez sur Copier la rgle. Cliquez avec le bouton droit de la souris sur la ligne o vous voulez coller la rgle, puis cliquez sur Coller la rgle. Cliquez sur OK.
Dans la console, ouvrez une politique de pare-feu. Se reporter "Modifier une politique" la page 104.
2 3
Dans la page de politique de pare-feu, cliquez sur Rgles, puis slectionnez la rgle que vous voulez dplacer. Effectuez l'une des oprations suivantes :
Pour traiter cette rgle avant la rgle prcdente, cliquez sur Vers le haut. Pour traiter cette rgle aprs la rgle qui se trouve au-dessous de elle, cliquez sur Vers le bas.
Paramtres de base de protection contre les menaces rseau Activation du filtrage de trafic intelligent
537
Dans la console, ouvrez une politique de pare-feu. Se reporter "Modifier une politique" la page 104.
2 3 4
Dans la page Politique de pare-feu, cliquez sur Rgles. Dans l'onglet Rgles, slectionnez la rgle que vous voulez activer ou dsactiver, puis cochez ou dcochez la case dans la colonne Active. Cliquez sur OK.
Si le client envoie une demande au serveur, le client attend cinq secondes pour permettre une rponse entrante. Si le client n'envoie pas de demande au serveur, chaque filtre ne permet pas le paquet.
Les filtres intelligents permettent le paquet si une demande a t faite. Ils ne bloquent pas des paquets. Les rgles de filtrage permettent ou bloquent des paquets. Remarque : Pour configurer ces paramtres dans le contrle mixte, vous devez galement activer ces paramtres dans la bote de dialogue Paramtres de contrle mixtes de l'interface utilisateur du client. Se reporter "A propos du contrle mixte" la page 182. Pour activer le filtrage de trafic intelligent
Dans la console, ouvrez une politique de pare-feu. Se reporter "Modifier une politique" la page 104.
2 3
Dans la page Politique de pare-feu, cliquez sur Filtres de trafic intelligents. Si elles ne sont pas dj coches, cochez les cases suivantes votre gr :
538
Paramtres de base de protection contre les menaces rseau Activation des paramtres de trafic et des paramtres furtifs
4 5
Cliquez sur OK. Le cas chant, attribuez la politique un emplacement. Se reporter "Affectation d'une politique partage" la page 105.
Dans la console, ouvrez une politique de pare-feu. Se reporter "Modifier une politique" la page 104.
2 3
Dans la page Politique de pare-feu, cliquez sur Paramtres de trafic et de furtivit. Si une case cocher n'est pas dj coche, cochez toute cases cocher de la zone de groupe Paramtres du trafic et la zone de groupe Paramtres furtifs. Pour plus d'informations sur ces options, cliquez sur Aide.
Paramtres de base de protection contre les menaces rseau Configuration de l'authentification point point
539
4 5
Cliquez sur OK. Le cas chant, attribuez la politique un emplacement. Se reporter "Affectation d'une politique partage" la page 105.
Symantec Endpoint Protection et Symantec Network Access Control sont installs sur l'ordinateur distant. L'ordinateur distant rpond aux conditions requises par les politiques d'intgrit de l'hte.
Si l'ordinateur distant russit la vrification de l'intgrit de l'hte, l'authentificateur autorise sa connexion. Si l'ordinateur distant choue la vrification de l'intgrit de l'hte, l'authentificateur continue de le bloquer. Vous pouvez galement spcifier le dlai de blocage de l'ordinateur distant avant toute nouvelle tentative de reconnexion l'authentificateur. Il est possible de toujours autoriser la connexion pour certains ordinateurs distants, mme s'ils chouent la vrification de l'intgrit de l'hte. Si vous n'activez pas de politique d'intgrit de l'hte pour l'ordinateur distant, celui-ci russit la vrification. Les informations d'authentification point point sont affiches dans le journal de conformit de client Enforcer et dans le journal de trafic de protection contre les menaces rseau. Remarque : L'authentification point point est possible en mode commande serveur et commande mixte, mais pas en mode contrle client.
Avertissement : N'activez pas l'authentification point point pour les clients installs sur le mme ordinateur que le serveur de gestion. Dans ce cas, le serveur de gestion ne peut pas charger les politiques vers l'ordinateur distant si ce dernier choue la vrification de l'intgrit de l'hte.
540
Paramtres de base de protection contre les menaces rseau Configuration de l'authentification point point
Dans la console, ouvrez une politique de pare-feu. Se reporter "Modifier une politique" la page 104.
2 3 4
Dans la page Politique de pare-feu, cliquez sur Paramtres d'authentification point point. Dans le volet Paramtres d'authentification point point, cochez Activer l'authentification point point. Configurez chacune des valeurs figurant dans la liste de cette page. Pour plus d'informations sur ces options, cliquez sur Aide.
Pour autoriser des ordinateurs distants se connecter l'ordinateur client sans authentification, cochez Exclure les htes de l'authentification, puis cliquez sur Htes exclus. L'ordinateur client autorise le trafic vers les ordinateurs figurant dans la liste des htes.
6 7 8 9
Dans la bote de dialogue Htes exclus, cliquez sur Ajouter pour ajouter les ordinateurs distants dont l'authentification n'est pas ncessaire. Dans la bote de dialogue Hte, dfinissez l'hte l'aide de l'adresse IP, de la plage d'IP, ou du sous-rseau, puis cliquez sur OK. Dans la bote de dialogue Htes exclus, cliquez sur OK. Quand vous avez termin la configuration de cette politique, cliquez sur OK.
Chapitre
29
A propos du systme de prvention d'intrusion Configuration de la prvention d'intrusion Cration de signatures IPS personnalises
542
Le client inclut les types suivants de moteurs IPS pour identifier les signatures d'attaque.
Signatures IPS de Symantec Les signatures IPS de Symantec utilisent un moteur bas sur flux pour analyser des paquets multiples. Les signatures IPS Symantec interceptent les donnes rseau dans la couche de session et capturent les segments de message envoys entre une application et la pile rseau. Se reporter "A propos des signatures IPS Symantec" la page 542. Signatures IPD personnalises Les signatures IPS personnalises utilisent un moteur bas sur paquet qui analyse chaque paquet individuellement. Se reporter "A propos des signatures IPS personnalises" la page 543.
Le systme de prvention d'intrusion consigne les attaques dtectes dans le journal de scurit. Vous pouvez permettre aux signatures IPS personnalises de consigner des attaques dtectes dans le journal des paquets.
543
Nom descriptif Le nom et la description apparaissent dans le journal de scurit et sur option dans le journal des paquets. Description facultative Gravit Fournit un niveau de gravit pour l'vnement dans le journal de scurit si l'vnement dclenche la signature. Direction du trafic Contenu Le contenu est la syntaxe. Utilisez la syntaxe standard suivante :
rgle type_protocole, [options_protocole,] [options_protocole_IP,] message, contenu...
rgle type_protocole, [options_protocole,] [option_protocole_IP,] = description du trafic message = chane de texte qui apparat dans le journal de scurit.
544
contenu = chane compare au composant de charge utile dans le paquet pour une correspondance possible.
Application facultative En option, vous pouvez fournir le nom de l'application qui dclenche la signature. Le moteur IPS peut alors faire correspondre la signature pour seulement les applications spcifies au lieu de toutes les applications. En fournissant le nom de l'application, vous pouvez galement aider rduire les faux positifs que d'autres applications peuvent gnrer. Opration effectuer quand l'vnement dclenche la signature. Quand une signature est dclenche, le trafic est permis ou bloqu et cette action est consigne dans le journal de scurit. Vous devriez bloquer le trafic si la gravit est leve. Permettez le trafic si vous voulez seulement contrler le trafic. Vous pouvez en option enregistrer l'vnement dans le journal des paquets. Le journal des paquets contient un vidage mmoire du paquet de la transaction.
Les signatures peut entraner des faux positifs car ils sont souvent bass sur des expressions rgulires et des correspondances de chanes. Les signatures personnalises utilisent les deux critres pour rechercher des chanes en essayant de correspondre un paquet. Le client n'inclut pas les signatures personnalises par dfaut. Vous crez des signatures IPS personnalises. Se reporter "Cration de signatures IPS personnalises" la page 550.
Activez les paramtres de prvention d'intrusion. Se reporter "Activation des paramtres de prvention d'intrusion" la page 545. Modifiez le comportement des signatures d'attaque spcifiques. Se reporter "Modifier le comportement des signatures IPS Symantec" la page 546. Excluez l'analyse de certains ordinateurs. Se reporter "Installation d'une liste des ordinateurs exclus" la page 549. Bloquez automatiquement un ordinateur attaquant. Se reporter " Blocage d'un ordinateur attaquant" la page 548.
545
Activez les notifications de prvention d'intrusion. Se reporter "Configurer des notifications pour la protection contre les menaces rseau" la page 573. Crez des signatures IPS personnalises. Se reporter "Cration de signatures IPS personnalises" la page 550.
546
Pour plus d'informations sur ces options, cliquez sur Aide. Pour activer des paramtres de prvention d'intrusion
Dans la console, ouvrez une politique de prvention d'intrusion. Se reporter "Modifier une politique" la page 104.
2 3
Sur la page de politique de prvention d'intrusion, cliquez sur Paramtres. Sur la page de Paramtres, slectionnez les cases cocher suivantes qui s'appliquent :
Activer la prvention d'intrusion Activer la dtection de dni de service Activer la dtection d'analyse de port
Quand vous avez termin de configurer cette politique, cliquez sur OK. Se reporter "Installation d'une liste des ordinateurs exclus" la page 549.
Pour rduire la possibilit d'un faux positif. Certaines activits de rseau inoffensives peuvent ressembler des signatures d'attaque. Si vous recevez des avertissements rpts portant sur des attaques potentielles et dclenchs par des comportements inoffensifs, vous pouvez exclure la signature d'attaque correspondante. Pour rduire la consommation des ressources en rduisant le nombre de signatures d'attaque pour lesquelles le client procde une vrification. En revanche, vous devez vous assurer qu'une signature d'attaque ne reprsente aucune menace avant de l'exclure du blocage.
Vous pouvez modifier l'action que le client effectue quand l'IPS identifie une signature d'attaque. Vous pouvez galement dcider si le client consigne ou non l'vnement dans le journal de scurit. Remarque : Pour modifier le comportement d'une signature IPS personnalise que vous crez ou importez, modifiez la signature directement.
547
Dans la console, ouvrez une politique de prvention d'intrusion. Se reporter "Modifier une politique" la page 104.
2 3 4
Dans la page de politique de prvention d'intrusion, cliquez sur Exceptions. Dans la page Exceptions, cliquez sur Ajouter. Dans la bote de dialogue Ajouter des exceptions de prvention d'intrusion, effectuez l'une des actions suivantes pour filtrer les signatures :
Pour afficher les signatures dans une catgorie particulire, slectionnez une option dans la liste droulante Afficher la catgorie. Pour afficher les signatures classes avec une gravit particulire, slectionnez une option dans la liste droulante Afficher la gravit.
Slectionnez une ou plusieurs signatures IPS. Pour rendre le comportement de toutes les signatures identique, cliquez sur Slectionner tout.
6 7 8
Cliquez sur Suivant. Dans la bote de dialogue Opration de la signature, redfinissez l'action de Bloquer Autoriser ou de Autoriser Bloquer. Vous pouvez ventuellement modifier l'opration de consignation de l'une ou l'autre des manires suivantes :
Redfinissez l'option Consigner le trafic sur Ne pas consigner le trafic. Redfinissez l'option Ne pas consigner le trafic sur Consigner le trafic.
Cliquez sur OK. Si vous voulez supprimer l'exception et retourner au comportement d'origine de la signature, slectionnez la signature et cliquez sur Supprimer.
10 Cliquez sur OK. 11 Si vous souhaitez modifier le comportement d'autres signatures, rptez les
tapes 3 10.
12 Une fois que vous avez termin de configurer cette politique, cliquez sur OK.
Pour supprimer l'exception
Dans la console, ouvrez une politique de prvention d'intrusion. Se reporter "Modifier une politique" la page 104.
548
3 4
Dans le volet Exceptions, slectionnez l'exception que vous voulez supprimer et cliquez sur Supprimer. Quand vous tes invit confirmer la suppression, cliquez sur Oui.
Dans la console, ouvrez une politique de prvention d'intrusion. Se reporter "Modifier une politique" la page 104.
2 3 4
Sur la page de politique de prvention d'intrusion, cliquez sur Paramtres. Sur la page de Paramtres, slectionnez Bloquer automatiquement l'adresse IP d'un attaquant. Dans la zone de texte Nombre de secondes du blocage de l'adresse IP ... secondes, spcifiez le nombre de secondes pendant lesquelles les pirates potentiels sont bloqus. Introduisez un nombre compris entre une et 999 999 secondes.
Quand vous avez termin de configurer cette politique, cliquez sur OK.
549
Dans la console, ouvrez une politique de prvention d'intrusion. Se reporter "Modifier une politique" la page 104.
2 3 4 5
Sur la page de politique de prvention d'intrusion, cliquez sur Paramtres. Si ce n'est dj fait, slectionnez Activer les htes exclus et cliquez sur Htes exclus. Dans la bote de dialogue Htes exclus, cliquez sur Ajouter. Dans la bote de dialogue Hte, dans la liste droulante, slectionnez un des types d'hte suivants :
Entrez les informations appropries qui sont associes au type d'hte que vous avez slectionn. Pour plus d'informations sur ces options, cliquez sur Aide.
7 8
Cliquez sur OK. Rptez 4 et 7 pour ajouter des priphriques et des ordinateurs supplmentaires la liste des ordinateurs exclus.
550
Pour modifier ou supprimer des htes exclus, slectionnez une ligne et cliquez sur Edition ou sur Supprimer.
10 Cliquez sur OK. 11 Quand vous avez fini de configurer la politique, cliquez sur OK.
1 2 3
Dans la console, cliquez sur Politiques et cliquez sur Prvention d'intrusion. Sous Tches, cliquez sur Ajouter des signatures de prvention d'intrusion personnalise. Dans la bote de dialogue Signatures personnalises de prvention d'intrusion, tapez un nom et description facultative pour la bibliothque. Le groupe NetBIOS Groupe est un groupe de signatures tmoin avec une signature tmoin. Vous pouvez modifier le groupe existant ou ajouter un nouveau groupe.
Pour ajouter un nouveau groupe, sur l'onglet Signatures, sous la liste Groupes de signatures, cliquez sur Ajouter.
551
Dans la bote de dialogue Groupe de signatures de prvention d'intrusion, tapez un nom de groupe et une description facultative et cliquez sur OK. Le groupe est activ par dfaut. Si le groupe de signatures est activ, toutes les signatures au sein du groupe sont actives automatiquement. Pour conserver le groupe pour rfrence mais le dsactiver, supprimez la coche Activer ce groupe.
1 2 3 4
Crez une bibliothque IPS personnalise. Sur l'onglet Signatures, sous Signatures pour ce groupe, cliquez sur Ajouter. Dans la bote de dialogue Ajouter une signature, tapez un nom et une description facultative pour la signature. Dans la liste droulante Gravit, slectionnez un niveau de gravit. Les vnements qui correspondent aux conditions de signature sont consigns avec cette gravit.
5 6
Dans la liste droulante Sens, spcifiez la direction du trafic que vous voulez que la signature vrifie. Dans le champ Contenu, tapez la syntaxe de la signature. Pour plus d'informations sur la syntaxe, cliquez sur Aide.
7 8
Si vous voulez qu'une application dclenche la signature, cliquez sur Ajouter. Dans la bote de dialogue Ajouter une application, tapez le nom de fichier et une description facultative pour l'application. Par exemple, pour ajouter l'application Internet Explorer, entrez iexplore ou iexplore.exe en tant que nom de fichier. Si vous ne spcifiez pas de nom de fichier, n'importe quelle application peut dclencher la signature.
Cliquez sur OK. L'application ajoute est active par dfaut. Si vous voulez dsactiver l'application plus tard, dcochez la case de la colonne Enabled (Activ).
10 Dans la zone de groupe Action, slectionnez l'action que vous voulez que le
client effectue quand la signature dtecte l'vnement :
Bloquer Identifie et bloque les vnements ou les attaques et les enregistre dans le Journal de Scurit. Identifie et autorise les vnements ou les attaques et les enregistre dans le Journal de Scurit.
Autoriser
552
1 2 3 4
Dans la console, cliquez sur Clients. Sous Afficher les clients, slectionnez le groupe auquel vous souhaitez attribuer les signatures personnalises. Dans l'onglet Politiques, sous Politiques et paramtres indpendants de l'emplacement, cliquez sur Prvention d'intrusion personnalise. Dans la bote de dialogue Prvention d'intrusion personnalise pour nom de groupe, vrifiez la case cocher de la colonne Active de chaque bibliothque IPS attribuer ce groupe. Cliquez sur OK.
553
Bloquer l'ensemble du trafic sur le port 80 Autoriser l'ensemble du trafic sur le port 80
Si la signature Bloquer l'ensemble du trafic est rpertorie en premier, la signature Autoriser l'ensemble du trafic n'est jamais excute. Si la signature Autoriser l'ensemble du trafic est rpertorie en premier, la signature Bloquer l'ensemble du trafic n'est jamais excute et l'ensemble du trafic HTTP est toujours autoris. Pour modifier l'ordre des signatures
1 2
Ouvrez une bibliothque IPS personnalise. Ajoutez ou modifiez une signature. Se reporter "Pour ajouter une signature personnalise" la page 551.
Dans l'onglet Signatures, dans la table Signatures pour ce groupe, slectionnez la signature que vous souhaitez dplacer, puis effectuez l'une des oprations suivantes :
Pour traiter cette signature avant la signature situe au-dessus d'elle, cliquez sur Vers le haut. Pour traiter cette signature aprs la signature situe au-dessous elle, cliquez sur Vers le bas.
Une fois que vous avez termin de configurer cette bibliothque, cliquez sur OK.
554
mauvais groupe de signatures. Ou bien, vous pouvez vouloir avoir deux signatures presque identiques. Pour copier et coller des signatures
1 2
Ouvrez une bibliothque IPS personnalise. Dans l'onglet Signatures de la bote de dialogue Signatures de prvention d'intrusion personnalises, dans les signatures pour ce tableau de groupe, cliquez avec le bouton droit de la souris sur la signature copier, puis cliquez sur Copier. Cliquez avec le bouton droit de la souris sur la liste de signatures, puis cliquez sur Coller. Quand vous avez fini de configurer cette bibliothque, cliquez sur OK.
3 4
1 2 3 4
Crez une bibliothque IPS personnalise. Dans la bote de dialogue Signatures personnalises de prvention d'intrusion, cliquez sur l'onglet Variables. Cliquez sur Ajouter. Dans la bote de dialogue Ajouter une variable, tapez un nom pour la variable, ainsi qu'une description si vous le souhaitez.
555
Ajoutez une chane de contenu pour la valeur de la variable, en entrant au maximum 255 caractres. Quand vous entrez la chane de contenu de la variable, observez les rgles de syntaxe que vous utilisez pour entrer des valeurs dans le contenu de signature.
Cliquez sur OK. Une fois la variable ajoute au tableau, vous pouvez l'utiliser dans n'importe quelle signature dans la bibliothque personnalise.
Dans l'onglet Signatures, ajoutez ou modifiez une signature. Se reporter "Pour ajouter une signature personnalise" la page 551.
Dans la bote de dialogue Ajouter une signature ou Modifier la signature, dans le champ Contenu, tapez le nom de la variable avec un symbole dollar ($) devant. Par exemple, si vous crez une variable nomme HTTP pour spcifier des ports HTTP, tapez ce qui suit : $HTTP
3 4
Cliquez sur OK. Une fois que vous avez termin de configurer cette bibliothque, cliquez sur OK.
556
Chapitre
30
Activer et dsactiver la protection contre les menaces rseau Configurer des paramtres de protection contre les menaces rseau pour la commande mlange Ajouter des htes et des groupes d'htes Modifier et supprimer les groupes d'htes Ajout d'htes et de groupes d'htes une rgle Ajout de services rseau Modifier et supprimer des services rseau personnaliss Ajout des services rseau une rgle Activation du partage des fichiers et des imprimantes du rseau Ajouter des adaptateurs rseau Ajout de cartes rseau une rgle Modifier et supprimer les adaptateurs rseau personnaliss Ajouter des applications une rgle Ajout de planifications une rgle
558
Personnalisation de la protection contre les menaces rseau Activer et dsactiver la protection contre les menaces rseau
Configurer des notifications pour la protection contre les menaces rseau Installation de la surveillance d'application rseau
L'utilisateur arrte et redmarre l'ordinateur client. L'emplacement client passe de contrle de serveur contrle de client. Vous avez configur le client pour activer la protection au bout d'un certain laps de temps. Une nouvelle politique de scurit qui active la protection est tlcharge vers le client.
Vous pouvez galement activer manuellement la protection contre les menaces rseau via les journaux d'tat d'ordinateur. Se reporter "Excuter des commandes et des actions partir des journaux" la page 304. Vous pouvez galement accorder l'utilisateur de l'ordinateur client l'autorisation d'activer ou de dsactiver la protection. Cependant, vous pouvez remplacer le paramtre du client. Ou vous pouvez dsactiver la protection sur le client mme si les utilisateurs l'ont active. Vous pouvez activer la protection mme si les utilisateurs l'ont dsactive. Se reporter "Configuration des paramtres d'interface utilisateur" la page 183. Pour activer et dsactiver la protection contre les menaces rseau pour un groupe
1 2 3
Dans la console, cliquez sur Clients. Sous Afficher les clients, slectionnez un groupe pour lequel vous voulez activer ou dsactiver la protection. Effectuez l'une des oprations suivantes :
Pour tous les ordinateurs et utilisateurs du groupe, cliquez avec le bouton droit de la souris sur le groupe, cliquez sur Excuter la commande sur le
Personnalisation de la protection contre les menaces rseau Configurer des paramtres de protection contre les menaces rseau pour la commande mlange
559
groupe, puis sur Activer la protection contre les menaces rseau ou Dsactiver la protection contre les menaces rseau.
Pour les utilisateurs ou les ordinateurs slectionns dans un groupe, dans l'onglet Clients, slectionnez les utilisateurs ou les ordinateurs. Cliquez ensuite avec le bouton droit de la souris sur la slection, puis cliquez sur Excuter la commande sur les clients > Activer la protection contre les menaces rseau ou Dsactiver la protection contre les menaces rseau.
4 5
Configurer des paramtres de protection contre les menaces rseau pour la commande mlange
Vous pouvez installer le client de sorte que les utilisateurs n'aient aucun contrle, un contrle complet ou un contrle limit sur les paramtres de protection contre les menaces rseau qu'ils peuvent configurer. Quand vous configurez le client, utilisez les directives suivantes :
Si vous dfinissez le client sur la commande de serveur, l'utilisateur ne peut crer aucune rgles de filtrage ni activer des paramtres de pare-feu et de prvention d'intrusion. Si vous dfinissez le client sur la commande client, l'utilisateur peut crer des rgles de filtrage et activer tous les paramtres de pare-feu et de prvention d'intrusion. Si vous dfinissez le client sur la commande mlange, l'utilisateur peut crer des rgles de filtrage et vous dcidez quels paramtres de pare-feu et de prvention d'intrusion l'utilisateur peut activer.
Se reporter "Configuration des paramtres d'interface utilisateur" la page 183. Pour configurer des paramtres de protection contre les menaces rseau pour la commande mlange
1 2 3
Dans la console, cliquez sur Clients. Sous Afficher les clients, slectionnez le groupe dont vous souhaitez modifier le niveau de contrle de l'utilisateur. Dans l'onglet Politiques, sous Politiques et paramtres dpendants de l'emplacement, sous un emplacement, dveloppez Paramtres spcifiques aux emplacements. A la droite de Paramtres de contrle d'interface utilisateur client, cliquez sur Tches > Modifier les paramtres.
560
Personnalisation de la protection contre les menaces rseau Ajouter des htes et des groupes d'htes
5 6
Dans la bote de dialogue Paramtres de mode de contrle, cliquez sur Contrle mixte et cliquez sur Personnaliser. Dans l'onglet Paramtres de contrle client/serveur, sous les catgories Politique de pare-feu et Politique de prvention d'intrusion, faites une des actions suivantes :
Pour rendre un paramtre client configurable par les utilisateurs, cliquez sur Client. Pour configurer un paramtre client, cliquez sur Serveur.
7 8 9
Cliquez sur OK. Cliquez sur OK. Pour chaque paramtre de pare-feu et de prvention d'intrusion que vous dfinissez sur Serveur, activez ou dsactivez le paramtre dans la politique de pare-feu ou la politique de prvention d'intrusion. Se reporter "Activation du filtrage de trafic intelligent" la page 537. Se reporter "Activation des paramtres de trafic et des paramtres furtifs" la page 538. Se reporter "Configuration de la prvention d'intrusion" la page 544.
Personnalisation de la protection contre les menaces rseau Modifier et supprimer les groupes d'htes
561
1 2 3 4 5
Dans la console, cliquez sur Politiques. Dveloppez les Composants de politique, puis cliquez sur Groupes d'htes. Sous Tches, cliquez sur Ajouter un groupe d'htes. Dans la bote de dialogue Groupe d'htes, saisissez un nom puis cliquez sur Ajouter. Dans la bote de dialogue Hte, dans la liste droulante Type, slectionnez l'un des htes suivants :
6 7 8 9
Entrez les informations appropries pour chaque type d'hte. Cliquez sur OK. Ajoutez des htes supplmentaires, au besoin. Cliquez sur OK.
1 2 3
Dans la Console, cliquez sur Politiques > Composants de politique > Groupes d'htes. Dans le volet Groupes d'htes, slectionnez le groupe d'htes modifier. Sous Tches, cliquez sur Modifier le groupe d'htes.
562
Personnalisation de la protection contre les menaces rseau Ajout d'htes et de groupes d'htes une rgle
Dans la bote de dialogue Groupe d'htes, modifiez optionnellement le nom de groupe, slectionnez un hte, puis cliquez sur Modifier. Pour supprimer l'hte du groupe, cliquez sur Supprimer, puis sur Oui.
5 6 7
Dans la bote de dialogue Hte, modifiez le type d'hte ou modifiez les paramtres d'hte. Cliquez sur OK. Cliquez sur OK.
1 2 3 4
Dans la Console, cliquez sur Politiques > Composants de politique > Groupes d'htes. Dans le volet Groupes d'htes, slectionnez le groupe d'htes supprimer. Sous Tches, cliquez sur Supprimer le groupe d'htes. Lorsque vous tes invit confirmer, cliquez sur Supprimer.
Dans la console, ouvrez une politique de pare-feu. Se reporter "Modifier une politique" la page 104.
2 3
Sur la page de politique de pare-feu, cliquez sur Rgles. Dans l'onglet Rgles, dans la liste Rgles, slectionnez la rgle que vous souhaitez modifier, cliquez avec le bouton droit de la souris sur le champ Hte et cliquez sur Edition. Dans la bote de dialogue Liste des htes, effectuez l'une des oprations suivantes :
Dans Source et Destination ou les tableaux locaux et distants, effectuez l'une des oprations suivantes :
Pour activer un groupe d'htes que vous avez ajout par l'intermdiaire de la liste Composants de politique, allez l'tape 10.
563
Pour ajouter un hte pour la rgle slectionne seulement, cliquez sur Ajouter.
Dans la bote de dialogue Hte, slectionnez un type d'hte de la liste droulante Type et entrez les informations appropries pour chaque type d'hte. Pour plus de dtails sur chaque option de cette bote de dialogue, cliquez sur Aide.
7 8 9
Cliquez sur OK. Ajoutez les htes supplmentaires, au besoin. Dans la bote de dialogue Liste des htes, pour chaque hte ou groupe d'htes pour lequel vous voulez dclencher la rgle de filtrage, assurez-vous que la case cocher de la colonne Active est slectionne.
564
Personnalisation de la protection contre les menaces rseau Modifier et supprimer des services rseau personnaliss
Si vous voulez autoriser ou bloquer un service rseau qui n'est pas dans la liste par dfaut, vous pouvez l'ajouter. Vous devez connatre le type de protocole et les ports qu'il utilise. Pour ajouter un service rseau personnalis qui est accessible de n'importe quelle rgle de pare-feu, vous l'ajoutez par l'intermdiaire de la liste Composants de politique. Pour ajouter un service rseau personnalis la liste par dfaut
1 2 3 4 5
Dans la console, cliquez sur Politiques. Dveloppez Composants de politique, puis cliquez sur Services rseau. Sous Tches, cliquez sur Ajouter un service rseau. Dans la bote de dialogue Service rseau, tapez le nom du service et cliquez sur Ajouter. De la liste droulante Protocole, slectionnez l'un des protocoles suivants :
Les options changent selon le protocole que vous slectionnez. Pour plus d'informations, cliquez sur Aide.
6 7 8
Remplissez les champs appropris, puis cliquez sur OK. Ajoutez un ou plusieurs protocoles supplmentaires, le cas chant. Cliquez sur OK. Vous pouvez ajouter le service n'importe quelle rgle de pare-feu.
Personnalisation de la protection contre les menaces rseau Ajout des services rseau une rgle
565
1 2 3 4 5
Dans la console, cliquez sur Politiques > Composants de politique > Services rseau. Dans le volet Services rseau, slectionnez le service modifier. Sous Tches, cliquez sur Modifier le service rseau. Dans la bote de dialogue Service rseau, modifiez le nom du service ou slectionnez le protocole et cliquez sur Modifier. Modifiez les paramtres de protocole. Pour plus d'informations au sujet des options dans cette bote de dialogue, cliquez sur Aide.
6 7
1 2 3 4
Dans la console, cliquez sur Politiques > Composants de politique > Services rseau. Dans le volet Service rseau, slectionnez le service supprimer. Sous Tches, cliquez sur Supprimer le service rseau. Lorsque vous tes invit confirmer, cliquez sur Oui.
Dans la console, ouvrez une politique de pare-feu. Se reporter "Modifier une politique" la page 104.
2 3
Sur la page de politique de pare-feu, cliquez sur Rgles. Dans l'onglet Rgles, dans la liste Rgles, slectionnez la rgle que vous voulez modifier, cliquez avec le bouton droit de la souris sur le champ Service, puis cliquez sur Edition. Dans la bote de dialogue Liste des services, cochez la case Activer pour chaque service devant dclencher la rgle.
566
Personnalisation de la protection contre les menaces rseau Activation du partage des fichiers et des imprimantes du rseau
5 6 7
Pour ajouter un service supplmentaire pour la rgle slectionne seulement, cliquez sur Ajouter. Dans la bote de dialogue Protocole, slectionnez un protocole de la liste droulante Protocole. Compltez les champs appropris. Pour plus d'informations en ces options, cliquez sur Aide.
8 9
Dans la console, ouvrez une politique de pare-feu. Se reporter "Modifier une politique" la page 104.
2 3
Dans la page Politique de pare-feu, cliquez sur Rgles. Ajoutez une rgle vide, puis tapez son nom dans la colonne Nom. Se reporter "Ajouter des rgles vierges" la page 530.
Cliquez avec le bouton droit de la souris sur le champ Service, puis cliquez sur Modifier.
Personnalisation de la protection contre les menaces rseau Activation du partage des fichiers et des imprimantes du rseau
567
5 6 7 8 9
Dans la bote de dialogue Liste des services, cliquez sur Ajouter. Dans la bote de dialogue Protocole, dans la liste droulante Protocole, cliquez sur TCP, puis cliquez sur Local/Distant. Dans la liste droulante Port distant, tapez 88, 135, 139, 445. Cliquez sur OK. Dans la bote de dialogue Liste des services, cliquez sur Ajouter. sur UDP.
10 Dans la bote de dialogue Protocole, dans la liste droulante Protocole, cliquez 11 Dans la liste droulante Port local, tapez 137, 138. 12 Dans la liste droulante Port distant, tapez 88. 13 Cliquez sur OK. 14 Dans la bote de dialogue Liste des services, assurez-vous que les deux services
sont activs et cliquez sur OK.
15 Dans l'onglet Rgles, vrifiez que le champ Action a pour valeur Autoriser. 16 Si vous en avez termin avec la configuration de la politique, cliquez sur OK. 17 Le cas chant, attribuez la politique un emplacement.
Se reporter "Affectation d'une politique partage" la page 105. Pour permettre aux autres ordinateurs d'accder aux fichiers sur le client
Dans la console, ouvrez une politique de pare-feu. Se reporter "Modifier une politique" la page 104.
2 3
Sur la page de politique de pare-feu, cliquez sur Rgles. Ajoutez une rgle vide, puis tapez son nom dans la colonne Nom. Se reporter "Ajouter des rgles vierges" la page 530.
4 5 6 7 8 9
Cliquez avec le bouton droit de la souris sur le champ Service, puis cliquez sur Modifier. Dans la bote de dialogue Liste des services, cliquez sur Ajouter. Dans la liste droulante Protocole de la bote de dialogue Protocole, cliquez sur TCP, puis sur Local/Distant. Dans la liste droulante Port local, tapez 88, 135, 139, 445. Cliquez sur OK. Dans la bote de dialogue Liste des services, cliquez sur Ajouter.
568
Personnalisation de la protection contre les menaces rseau Ajouter des adaptateurs rseau
11 Dans la liste droulante Port local, tapez 88, 137, 138. 12 Cliquez sur OK. 13 Dans la bote de dialogue Liste des services, vrifiez que les deux services
sont activs et cliquez sur OK.
14 Dans l'onglet Rgles, vrifiez que le champ Action a pour valeur Autoriser. 15 Quand vous avez termin de configurer la politique, cliquez sur OK. 16 Le cas chant, attribuez la politique un emplacement.
Se reporter "Affectation d'une politique partage" la page 105.
1 2 3 4
Dans la console, cliquez sur Politiques > Composants de politique > Adaptateurs rseau. Sous Tches, cliquez sur Ajouter un adaptateur rseau. Dans la bote de dialogue Adaptateur rseau, dans la liste droulante Adaptateur, slectionnez un adaptateur. Dans le champ Nom de l'adaptateur, tapez une description optionnelle.
Personnalisation de la protection contre les menaces rseau Ajout de cartes rseau une rgle
569
Dans la zone de texte Identification de l'adaptateur, tapez un nom sensible la casse de marque pour l'adaptateur. Pour trouver la marque de l'adaptateur, ouvrez une ligne de commande sur le client, puis tapez le texte suivant :
ipconfig/all
Cliquez sur OK. Vous pouvez alors ajouter l'adaptateur n'importe quelle rgle de filtrage.
Dans la console, ouvrez une politique de pare-feu. Se reporter "Modifier une politique" la page 104.
2 3
Sur la page de politique de pare-feu, cliquez sur Rgles. Dans l'onglet Rgles, dans la liste Rgles, slectionnez la rgle que vous souhaitez modifier, cliquez avec le bouton droit de la souris sur le champ Adaptateur, puis cliquez sur Adaptateurs supplmentaires. Dans la bote de dialogue Adaptateur rseau, effectuez l'une des oprations suivantes :
Pour dclencher la rgle pour n'importe quel adaptateur, mme s'il n'est pas repertori, cliquez sur Appliquer cette rgle tous les adaptateurs, puis passez l'tape 8. Pour dclencher la rgle pour les adaptateurs slectionns, cliquez sur Appliquer cette rgle aux adaptateurs suivants, puis cochez la case de la colonne Active pour chacun des adaptateurs devant dclencher la rgle.
5 6
Pour ajouter un adaptateur personnalis pour la rgle slectionne seulement, cliquez sur Ajouter. Dans la bote de dialogue Adaptateur rseau, slectionnez le type d'adaptateur et tapez la marque de l'adaptateur dans la zone de texte Identification de l'adaptateur. Cliquez sur OK.
570
Personnalisation de la protection contre les menaces rseau Modifier et supprimer les adaptateurs rseau personnaliss
8 9
1 2 3 4 5 6
Dans la console, cliquez sur Politiques. Sous Composants de politique, cliquez sur Adaptateurs rseau. Dans le volet Adaptateurs rseau, slectionnez l'adaptateur personnalis modifier. Sous Tches, cliquez sur Modifier l'adaptateur rseau. Dans la bote de dialogue Adaptateur rseau, modifiez le type d'adaptateur, le nom ou le texte d'identification d'adaptateur. Cliquez sur OK.
1 2 3 4 5
Dans la console, cliquez sur Politiques. Sous Composants de politique, cliquez sur Adaptateurs rseau. Dans le volet Adaptateurs rseau, slectionnez l'adaptateur personnalis supprimer. Sous Tches, cliquez sur Supprimer l'adaptateur rseau. Lorsque vous tes invit confirmer, cliquez sur Oui.
Personnalisation de la protection contre les menaces rseau Ajouter des applications une rgle
571
Vous pouvez dfinir les caractristiques d'une application en entrant manuellement les informations. Si vous n'avez pas assez d'informations, vous pouvez vouloir rechercher la liste d'applications assimiles. Vous pouvez dfinir les caractristiques d'une application en recherchant la liste d'applications assimiles. Les applications de la liste d'applications assimiles sont les applications excutes par des ordinateurs client de votre rseau.
Dans la console, ouvrez une politique de pare-feu. Se reporter "Modifier une politique" la page 104.
2 3 4 5
Sur la page Politique de pare-feu, cliquez sur Rgles. Dans l'onglet Rgles, dans la liste Rgles, cliquez avec le bouton droit de la souris sur le champ Application , puis cliquez sur Modifier. Dans la bote de dialogue Liste d'applications, cliquez sur Ajouter. Dans la bote de dialogue Ajouter une application, entrez l'un ou plusieurs des champs suivants :
Chemin d'accs et nom de fichier Description Taille, en octets Date de dernire modification de l'application Signature du fichier
6 7
1 2 3 4
Sur la page Politique de pare-feu, cliquez sur Rgles. Dans l'onglet Rgles, slectionnez une rgle, cliquez avec le bouton droit de la souris sur le champ Application puis cliquez sur Modifier. Dans la bote de dialogue Liste des applications, cliquez sur Ajouter partir de. Dans la bote de dialogue Rechercher des applications, recherchez une application. Se reporter "Recherche d'informations sur les applications que les ordinateurs excutent" la page 123.
572
Personnalisation de la protection contre les menaces rseau Ajout de planifications une rgle
5 6 7
Sous la table Rsultats de la requte, pour ajouter l'application la liste des applications, slectionnez l'application, cliquez sur Ajouter, puis sur OK. Cliquez sur Fermer. Cliquez sur OK.
Dans la console, ouvrez une politique de pare-feu. Se reporter "Modifier une politique" la page 104.
2 3 4 5
Sur la page de politique de pare-feu, cliquez sur Rgles. Dans l'onglet Rgles, slectionnez la rgle que vous souhaitez modifier, cliquez avec le bouton droit de la souris sur le champ Heure, puis cliquez sur Edition. Dans la bote de dialogue Liste de planifications, cliquez sur Ajouter. Dans la bote de dialogue Ajouter une planification, configurez l'heure de dbut et l'heure de fin dfinissant la priode d'activit ou de non activit de la rgle. Dans la liste droulante Mois, slectionnez Tous ou un mois spcifique. Slectionnez l'une des cases cocher suivantes :
6 7
Tous les jour Week-end Jours de la semaine Spcifier les jours Si vous slectionnez Spcifier les jours, slectionnez un ou plusieurs jours de la liste.
8 9
Cliquez sur OK. Dans la liste Planification, effectuez l'une des oprations suivantes :
Pour maintenir la rgle active pendant ce temps, dsactivez la case cocher Toute heure l'exception de. Pour rendre la rgle inactive pendant ce temps, activez la case cocher Toute heure l'exception de.
Personnalisation de la protection contre les menaces rseau Configurer des notifications pour la protection contre les menaces rseau
573
Type de notification
Afficher une notification lorsque le client bloque une application Texte supplmentaire afficher si l'action d'une rgle de filtrage est 'Demander' Afficher les notifications de prvention d'intrusion
Description
Une rgle de pare-feu sur le client bloque une application. Vous pouvez activer ou dsactiver cette notification et lui ajouter du texte Les applications sur le client essayent d'accder au rseau. Cette notification est toujours active et ne peut pas tre dsactive.
Pare-feu
Prvention d'intrusion
Le client dtecte une attaque de prvention d'intrusion. Vous pouvez activer ou dsactiver cette notification via le contrle de serveur ou le contrle mixte.
Dans la console, ouvrez une politique de pare-feu. Se reporter "Modifier une politique" la page 104.
2 3 4
Dans la page Politique de pare-feu, cliquez sur Rgles. Dans l'onglet Notifications, cochez Afficher une notification lorsque le client bloque une application. Pour ajouter du texte personnalis au message standard qui s'affiche quand l'action d'une rgle est dfinie sur Demander, cochez Texte supplmentaire afficher si l'action d'une rgle de filtrage est "Demander". Pour l'une ou l'autre des notifications, cliquez sur Dfinir le texte supplmentaire.
574
Personnalisation de la protection contre les menaces rseau Configurer des notifications pour la protection contre les menaces rseau
6 7
Dans la bote de dialogue Saisissez du texte supplmentaire, saisissez le texte supplmentaire afficher dans la notification, puis cliquez sur OK. Quand vous avez termin de configurer cette politique, cliquez sur OK.
1 2
Dans la console, cliquez sur Clients et slectionnez un groupe sous Afficher les clients. Dans l'onglet Politiques, sous Politiques et paramtres dpendants de l'emplacement, sous un emplacement, dveloppez Paramtres spcifiques aux emplacements. A droite de Paramtres de contrle de l'interface utilisateur du client, cliquez sur Tches, puis sur Modifier les paramtres. Dans la bote de dialogue Paramtres de contrle de l'interface utilisateur du client pour nom du groupe, cliquez sur Contrle des serveurs ou Contrle mixte. Prs de Contrle mixte ou de Contrle des serveurs, cliquez sur Personnaliser. Si vous cliquez sur Contrle mixte, dans l'onglet Paramtres de contrle du client/serveur, prs de Afficher/Masquer les notifications de prvention d'intrusion, cliquez sur Serveur. Cliquez ensuite sur l'onglet Paramtres de l'interface utilisateur du client.
3 4
6 7 8 9
Dans la bote de dialogue ou l'onglet Paramtres de l'interface utilisateur du client, cliquez sur Afficher les notifications de prvention d'intrusion. Pour activer un bip quand la notification apparat, cliquez sur Utiliser des effets sonores pour la notification des utilisateurs. Dans le champ Dure (en secondes) daffichage des notifications, indiquez le nombre de secondes pendant lesquelles la notification doit s'afficher. Pour ajouter du texte la notification standard qui apparat, cliquez sur Texte supplmentaire. supplmentaire afficher dans la notification, puis cliquez sur OK.
10 Dans la bote de dialogue Texte supplmentaire, saisissez le texte 11 Cliquez sur OK. 12 Cliquez sur OK.
Personnalisation de la protection contre les menaces rseau Installation de la surveillance d'application rseau
575
de rgle, une attaque ou un vnement. Par exemple, vous pouvez souhaiter savoir quel moment un client bloque le trafic venant d'une adresse IP particulire. Pour configurer les messages lectroniques pour les vnements de trafic
Dans la console, ouvrez une politique de pare-feu. Se reporter "Modifier une politique" la page 104.
2 3
Sur la page Politique de pare-feu, cliquez sur Rgles. Dans l'onglet Rgles, slectionnez une rgle, cliquez avec le bouton droit de la souris sur le champ Consignation et effectuez les actions suivantes :
Pour envoyer un message de courrier lectronique lors du dclenchement de la rgle de filtrage, cochez Envoyer une alerte par message lectronique. Pour gnrer un vnement de journal lors du dclenchement d'une rgle de filtrage, cochez les cases Ecrire dans le journal de trafic et Ecrire dans le journal de paquet.
4 5
Quand vous avez termin de configurer cette politique, cliquez sur OK. Configurer une alerte de scurit. Se reporter "Cration des notifications d'administrateur" la page 314.
Configurer un serveur de messagerie. Se reporter "Etablissement de la communication entre Symantec Endpoint Protection Manager et les serveurs de messagerie lectronique" la page 364.
Un cheval de Troie a attaqu l'application. L'application a t mise jour avec une nouvelle version ou une mise jour.
Si vous suspectez qu'un cheval de Troie ait attaqu une application, vous pouvez utiliser la surveillance d'application de rseau pour configurer le client afin qu'il bloque l'application. Vous pouvez galement configurer le client pour demander aux utilisateurs d'autoriser ou de bloquer l'application.
576
Personnalisation de la protection contre les menaces rseau Installation de la surveillance d'application rseau
La surveillance d'application Rseau suit le comportement d'une application dans le journal de scurit. Si le contenu d'une application est modifi trop frquemment, il est probable qu'un cheval de Troie ait attaqu l'application et que la scurit de l'ordinateur client n'est pas assure. Si le contenu d'une application est modifi peu frquemment, il est probable qu'un correctif ait t install et que la scurit de l'ordinateur client n'est pas en cause. Vous pouvez utiliser ces informations pour crer une rgle de pare-feu qui autorise ou bloque une application. Vous pouvez ajouter des applications une liste de sorte que le client ne les surveille pas. Vous pouvez vouloir exclure les applications que vous pensez tes l'abri d'une attaque de cheval de Troie, mais qui ont des mises jour frquentes et automatiques de correctif. Vous pouvez vouloir dsactiver la surveillance d'application de rseau si vous tes confiant que les ordinateurs client reoivent la protection adquate de l'antivirus et de la protection antispyware. Vous pouvez galement vouloir rduire le nombre de notifications qui demandent aux utilisateurs d'autoriser ou de bloquer une application rseau. Pour installer la surveillance d'application rseau
1 2 3 4 5
Dans la Console, cliquez sur Clients. Sous Afficher les clients, slectionnez un groupe et puis cliquez sur Politiques. Dans l'onglet Politiques, sous Politiques et paramtres indpendants de l'emplacement, cliquez sur le Contrle des applications rseau. Dans la bote de dialogue Contrle des applications rseau pour nom de groupe, cliquez sur Activer le contrle des applications rseau. Dans la liste droulante Lorsqu'une modification est dtecte pour une application, slectionnez la mesure que le pare-feu prend sur l'application qui s'excute sur le client :
Demander Demande l'utilisateur d'autoriser ou de bloquer l'application. Bloquer le trafic Empche l'application de s'excuter. Autoriser et consigner Permet l'application de s'excuter et enregistre les informations dans le journal de scurit. Le pare-feu prend cette mesure sur les applications qui ont t modifies seulement.
Personnalisation de la protection contre les menaces rseau Installation de la surveillance d'application rseau
577
7 8
Dans la bote de dialogue Texte supplmentaire, tapez le texte que vous voulez voir apparatre sous le message standard, puis cliquez sur OK. Pour exclure une application de la surveillance, sous Liste des applications non contrles, effectuez l'une des oprations suivantes :
Pour dfinir une application manuellement, cliquez sur Ajouter, compltez un ou plusieurs champs et cliquez sur OK. Pour dfinir une application partir d'une liste des applications apprises, cliquez sur Ajouter partir de. Se reporter "Recherche d'informations sur les applications que les ordinateurs excutent" la page 123. La fonction des applications apprises doit tre active. Se reporter "Configuration du serveur de gestion pour la collecte d'informations sur les applications que les ordinateurs client excutent" la page 122.
La liste des applications apprises surveille les applications en rseau et hors rseau. Vous devez slectionner des applications en rseau seulement de la liste des applications apprises. Aprs avoir ajout des applications la liste Applications non contrle, vous pouvez les activer, les dsactiver, les modifier ou les supprimer.
Pour activer ou dsactiver une application, slectionnez la case cocher dans la colonne Active.
578
Personnalisation de la protection contre les menaces rseau Installation de la surveillance d'application rseau
Section
Chapitre 31. Configuration des analyses proactives des menaces de TruScan Chapitre 32. Configurer l'application et le contrle des priphriques Chapitre 33. Personnalisation des politiques de contrle des applications et des priphriques
580
Chapitre
31
A propos des analyses proactives des menaces TruScan A propos de l'utilisation des paramtres par dfaut de Symantec A propos des processus dtects par les analyses proactives des menaces TruScan A propos de la gestion des faux positifs dtects par les analyses proactives des menaces TruScan A propos de les processus que les analyses proactives des menaces TruScan ignorent Comment les analyses proactives des menaces TruScan fonctionnent avec la quarantaine Comment les analyses proactives des menaces TruScan fonctionnent avec des exceptions centralises Comprendre les dtections proactives de menaces TruScan Configurer la frquence d'analyse proactive des menaces TruScan Configuration des notifications pour les analyses proactives des menaces TruScan
582
Configuration des analyses proactives des menaces de TruScan A propos des analyses proactives des menaces TruScan
Quels types de menaces analyser Combien de fois excuter des analyses proactives des menaces Si les notifications doivent apparatre sur l'ordinateur client quand une dtection proactive de menaces se produit
Les analyses proactives des menaces TruScan sont actives quand les paramtres Rechercher les chevaux de Troie et les vers ou Rechercher les enregistreurs de frappe sont activs. Si l'un de ces deux paramtres est dsactiv, la page Etat du client Symantec Endpoint Protection affiche la protection proactive contre les menaces comme tant dsactive. L'analyse proactive des menaces est active par dfaut.
Configuration des analyses proactives des menaces de TruScan A propos de l'utilisation des paramtres par dfaut de Symantec
583
Remarque : Puisque les analyses proactives des menaces analysent les anomalies de comportement des applications et des processus, elles peuvent affecter les performances de votre ordinateur.
A propos des processus dtects par les analyses proactives des menaces TruScan
Les analyses proactives des menaces dtectent les processus qui se comportent comme les chevaux de Troie, les vers ou les enregistreurs de frappe. Les processus affichent gnralement un type de comportement qu'une menace peut exploiter (par exemple, ouvrir un port sur l'ordinateur d'un utilisateur). Vous pouvez configurer des paramtres pour certains types de dtections proactives de menaces. Vous pouvez activer ou dsactiver la dtection des processus qui se comportent comme des chevaux de Troie, des vers ou des
584
Configuration des analyses proactives des menaces de TruScan A propos des processus dtects par les analyses proactives des menaces TruScan
enregistreurs de frappe. Par exemple, vous pouvez dtecter les processus qui se comportent comme des chevaux de Troie et des vers, mais pas les processus qui se comportent comme des applications d'enregistreur de frappe. Symantec maintient jour une liste des applications commerciales qui pourraient tre utilises des fins malveillantes. Cette liste inclut les applications commerciales qui enregistrent les frappes de clavier de l'utilisateur. Elle inclut galement les applications qui contrlent un ordinateur client distance. Vous souhaiterez peut-tre savoir si ces types d'applications sont installs sur des ordinateurs client. Par dfaut, les analyses proactives des menaces dtectent ces applications et consignent l'vnement. Vous pouvez spcifier diffrentes actions de remdiation. Vous pouvez configurer le type d'action de remdiation que le client effectue quand il dtecte les types particuliers d'applications commerciales. La dtection inclut les applications commerciales qui contrlent ou enregistrent les frappes de clavier d'un utilisateur ou contrlent l'ordinateur d'un utilisateur distance. Si une analyse dtecte un enregistreur de frappe commercial ou un programme commercial de tlintervention, le client utilise l'action qui est dfinie dans la politique. Vous pouvez galement permettre l'utilisateur de contrler les actions. Les analyses proactives des menaces dtectent galement les processus qui se comportent comme des logiciels publicitaires et des spywares. Vous ne pouvez pas configurer la manire dont les analyses proactives des menaces traitent ces types de dtection. Si les analyses proactives des menaces dtectent des logiciels publicitaires ou des spywares que vous voulez autoriser sur vos ordinateurs client, crez une exception centralise. Se reporter "Configuration d'une politique d'exceptions centralises" la page 649. Tableau 31-1 dcrit les processus dtects par les analyses proactives des menaces. Tableau 31-1 Processus dtects par les analyses proactives des menaces TruScan Description
Type de processus
Chevaux de Troie et vers Processus qui affichent les caractristiques des chevaux de Troie ou des vers. Les analyses proactives des menaces utilisent des technologies heuristiques pour rechercher les processus qui se comportent comme des chevaux de Troie ou des vers. Ces processus peuvent tre ou ne pas tre des menaces. Se reporter "Spcification des actions et des niveaux de sensibilit pour dtecter des chevaux de Troie, des vers et des enregistreurs de frappe" la page 594.
Configuration des analyses proactives des menaces de TruScan A propos des processus dtects par les analyses proactives des menaces TruScan
585
Type de processus
Enregistreurs de frappe
Description
Processus qui montrent les caractristiques des enregistreurs de frappe. Les analyses proactives des menaces dtectent les enregistreurs de frappe commerciaux, mais elles dtectent galement les processus inconnus qui montrent un comportement d'enregistreur de frappe. Les enregistreurs de frappes sont des applications d'enregistrement de frappes qui capturent les frappes de l'utilisateur. Ces applications peuvent tre utilises pour recueillir des informations sur les mots de passe et autres informations essentielles. Elles peuvent tre ou ne pas tre des menaces. Se reporter "Spcification des actions et des niveaux de sensibilit pour dtecter des chevaux de Troie, des vers et des enregistreurs de frappe" la page 594.
Applications commerciales
Applications commerciales connues qui pourraient tre utilises des fins malveillantes. Les analyses proactives des menaces dtectent plusieurs types diffrents d'applications commerciales. Vous pouvez configurer des actions pour deux types : enregistreurs de frappe et programmes de contrle distance. Se reporter "Spcifier des actions pour les dtections d'application commerciale" la page 595.
Logiciels publicitaires et Processus qui montrent les caractristiques des logiciels spywares publicitaires et des spywares Les analyses proactives des menaces utilisent des technologies heuristiques pour dtecter les processus inconnus qui se comportent comme des logiciels publicitaires et des spywares. Ces processus peuvent tre ou ne pas tre des risques.
Se reporter "Spcifier les types de processus que les analyses proactives des menaces dtectent" la page 593. Vous pouvez configurer le logiciel client pour qu'il envoie ou non Symantec des informations sur les dtections proactives de menaces. Incluez ce paramtre en tant qu'lment d'une politique antivirus et antispyware. Se reporter "Transmettre des informations sur des analyses Symantec" la page 471.
586
Configuration des analyses proactives des menaces de TruScan A propos de la gestion des faux positifs dtects par les analyses proactives des menaces TruScan
A propos de la gestion des faux positifs dtects par les analyses proactives des menaces TruScan
Les analyses proactives des menaces TruScan renvoient parfois des faux positifs. Ces analyses recherchent les applications et les processus prsentant un comportement suspect plutt que les virus ou les risques de scurit connus. De par leur nature, ces analyses signalent gnralement les lments que vous ne penseriez pas dtecter. Pour la dtection des chevaux de Troie, des vers ou des enregistreurs de frappe, vous pouvez choisir d'utiliser l'action et les niveaux de sensibilit par dfaut que Symantec spcifie. Ou vous pouvez choisir de grer les actions de dtection et les niveaux de sensibilit vous-mme. Si vous grez les paramtres vous-mme, vous risquez de dtecter de nombreux faux positifs. Si vous voulez grer les actions et les niveaux de sensibilit, soyez conscient de l'impact rsultant sur votre rseau de scurit. Remarque : Si vous changez le niveau de sensibilit, vous pouvez changer le nombre total de dtections. Si vous modifiez le niveau de sensibilit, il se peut que vous rduisiez le nombre de faux positifs que les analyses proactives des menaces produisent. Si vous modifiez les niveaux de sensibilit, Symantec vous recommande de le faire graduellement et de vrifier les rsultats. Si une analyse proactive des menaces dtecte un processus que vous dterminez comme ne constituant pas un problme, vous pouvez crer une exception. Grce une exception, les analyses futures ne signalent pas le processus. Les utilisateurs sur les ordinateurs client peut galement crer des exceptions. En cas de conflit entre une exception dfinie par l'utilisateur et une exception dfinie par l'administrateur, l'exception dfinie par l'administrateur l'emporte. Se reporter "Configuration d'une politique d'exceptions centralises" la page 649. Tableau 31-2 prsente les tches de cration d'un plan de gestion des faux positifs.
Configuration des analyses proactives des menaces de TruScan A propos de la gestion des faux positifs dtects par les analyses proactives des menaces TruScan
587
Assurez-vous que Symantec gre les chevaux de Troie, les vers et les dtections d'enregistreur de frappe.
588
Configuration des analyses proactives des menaces de TruScan A propos de les processus que les analyses proactives des menaces TruScan ignorent
Tche
Assurez-vous que les soumissions sont actives.
Description
Les paramtres de soumission sont inclus en tant qu'lment de la politique antivirus et antispyware. Assurez-vous que les ordinateurs client sont configurs pour envoyer automatiquement Symantec Security Response des informations sur les processus dtects par les analyses proactives des menaces. Ce paramtre est activ par dfaut. Se reporter "Transmettre des informations sur des analyses Symantec" la page 471.
Crez des exceptions pour les faux positifs que vous dcouvrez.
Vous pouvez crer une politique qui inclut des exceptions pour les faux positifs que vous dcouvrez. Par exemple, vous pouvez excuter un processus ou une application spcifique sur votre rseau de scurit. Vous savez que le processus peut s'excuter en toute scurit dans votre environnement. Si les analyses proactives des menaces TruScan dtectent le processus, vous pouvez crer une exception de sorte que les analyses futures ne le dtectent pas. Se reporter "Configuration d'une politique d'exceptions centralises" la page 649.
A propos de les processus que les analyses proactives des menaces TruScan ignorent
Les analyses proactives des menaces TruScan autorisent certains processus et dispensent ces processus des analyses. Symantec gre cette liste de processus. Symantec remplit gnralement cette liste avec les applications qui sont des faux positifs connus. Les ordinateurs client de votre rseau de scurit reoivent priodiquement des mises jour de cette liste quand ils tlchargent un nouveau contenu. Les ordinateurs client peuvent tlcharger le contenu de diffrentes manires. Le serveur de gestion peut envoyer le contenu mis jour. Vous ou vos utilisateurs peut galement excuter LiveUpdate sur les ordinateurs client. Les analyses proactives des menaces TruScan ignorent certains processus. Ces processus peuvent inclure les applications pour lesquelles Symantec n'a pas assez d'informations ou les applications qui chargent d'autres modules. Vous pouvez galement spcifier que les analyses de menaces proactives TruScan ignorent certains processus. Vous spcifiez que les analyses proactives des menaces ignorent certains processus en crant une exception centralise. Les utilisateurs des ordinateurs client peuvent galement crer des exceptions pour des analyses proactives des menaces. Si une exception dfinie par
Configuration des analyses proactives des menaces de TruScan Comment les analyses proactives des menaces TruScan fonctionnent avec la quarantaine
589
l'administrateur est en conflit une exception dfinie par l'utilisateur, les analyses proactives des menaces appliquent seulement l'exception dfinie par l'administrateur. L'analyse ignore l'exception de l'utilisateur. Se reporter "Comment les analyses proactives des menaces TruScan fonctionnent avec des exceptions centralises" la page 590.
Comment les analyses proactives des menaces TruScan fonctionnent avec la quarantaine
Vous pouvez configurer des analyses proactives des menaces pour mettre en quarantaine des dtections. Les utilisateurs des ordinateurs client peut restaurer des lments mis en quarantaine. Le client Symantec Endpoint Protection peut galement restaurer automatiquement des lments mis en quarantaine. Quand un client reoit de nouvelles dfinitions, il ranalyse les lments mis en quarantaine. Si les lments mis en quarantaine sont considrs comme malveillants, le client consigne l'vnement. Les ordinateurs client reoivent rgulirement des mises jour de listes de processus et applications corrects dfinis par Symantec. Quand de nouvelles listes sont disponibles sur des ordinateurs client, les lments mis en quarantaine sont vrifis par rapport ces listes. Si ces listes jour autorisent des lments mis en quarantaine, le client les restaure automatiquement. En outre, les administrateurs ou les utilisateurs peuvent crer des exceptions pour des dtections des menaces proactives. Quand les dernires exceptions autorisent les lments mis en quarantaine, le client les restaure. Les utilisateurs peut afficher les lments mis en quarantaine sur la page d'Afficher la quarantaine dans le client. Le client ne soumet pas les lments que les analyses proactives des menaces mettent en quarantaine un serveur de quarantaine centralise. Les utilisateurs peuvent soumettre automatiquement ou manuellement des lments de la quarantaine locale Symantec Security Response. Se reporter "Transmettre des lments en quarantaine Symantec" la page 477.
590
Configuration des analyses proactives des menaces de TruScan Comment les analyses proactives des menaces TruScan fonctionnent avec des exceptions centralises
Comment les analyses proactives des menaces TruScan fonctionnent avec des exceptions centralises
Vous pouvez crer vos propres listes d'exception pour que le client de Symantec Endpoint Protection vrifie quand il excute des analyses proactives des menaces. Vous crez ces listes en crant des exceptions. Les exceptions spcifient le processus et la mesure prendre quand une analyse proactive des menaces dtecte un processus spcifi. Vous pouvez crer des exceptions seulement pour les processus qui ne sont pas inclus dans la liste dfinie par Symantec des processus et des applications connus. Par exemple, vous pourriez vouloir crer une exception pour effectuer l'une des oprations suivantes :
Ignorer un certain enregistreur de frappe commercial Mettre en quarantaine une application particulire qui ne doit pas s'excuter sur des ordinateurs client Permettre une application spcifique de tlintervention de s'excuter
Pour viter les conflits entre les exceptions, les analyses de menaces proactives utilisent l'ordre de priorit suivant :
Exceptions dfinies par Symantec Exceptions dfinies par l'administrateur Exceptions dfinies par l'utilisateur
La liste dfinie par Symantec a toujours la priorit sur les exceptions dfinies par l'administrateur. Les exceptions dfinies par l'administrateur ont toujours la priorit sur les exceptions dfinies par l'utilisateur. Vous pouvez utiliser une politique d'exceptions centralises pour spcifier que des processus dtects connu sont autoriss en dfinissant l'action de dtection ignorer. Vous pouvez galement crer une exception centralise pour spcifier qu'on ne permet pas certains processus en dfinissant l'action Mettre en quarantaine ou Terminer. Les administrateurs peuvent obliger une dtection des menaces proactive en crant une exception centralise qui spcifie un nom de fichier pour des analyses proactives des menaces dtecter. Quand l'analyse proactive des menaces dtecte le fichier, le client consigne l'instance. Puisque les noms de fichier ne sont pas uniques, des processus multiples peuvent utiliser le mme nom de fichier. Vous pouvez utiliser des dtections obligatoires pour vous aider crer des exceptions pour ignorer, mettre en quarantaine ou terminer un processus particulier.
Configuration des analyses proactives des menaces de TruScan Comprendre les dtections proactives de menaces TruScan
591
Quand une analyse proactive des menaces sur l'ordinateur client consigne la dtection, celle-ci fait partie d'une liste des processus connus. Vous pouvez slectionner dans la liste quand vous crez une exception des analyses proactives des menaces. Vous pouvez dfinir une action particulire pour la dtection. Vous pouvez galement utiliser le journal proactif de dtection sous l'onglet Contrles dans la console pour crer l'exception. Se reporter "Configuration d'une politique d'exceptions centralises" la page 649. Se reporter "Affichage des journaux" la page 296. Les utilisateurs peuvent crer des exceptions sur l'ordinateur client par une des mthodes suivantes :
La liste Afficher la quarantaine La bote de dialogue des rsultats de l'analyse Exceptions centralises
Un administrateur peut verrouiller une liste d'exceptions de sorte qu'un utilisateur ne puisse crer aucune exception. Si un utilisateur a cr des exceptions avant que l'administrateur n'ait verrouill la liste, les exceptions cres par l'utilisateur sont dsactives.
592
Configuration des analyses proactives des menaces de TruScan Comprendre les dtections proactives de menaces TruScan
Remarque : Les paramtres d'analyse proactive des menaces n'ont aucun effet sur les analyses antivirus et antispyware, qui utilisent des signatures pour dtecter les risques connus. Le client dtecte d'abord les risques connus. Se reporter "Spcifier les types de processus que les analyses proactives des menaces dtectent" la page 593. Le client utilise les paramtres par dfaut de Symantec pour dterminer quelle mesure prendre au niveau des lments dtects. Si le moteur d'analyse dtermine que l'lment n'a besoin d'aucune correction, le client consigne la dtection. Si le moteur d'analyse dtermine que l'lment doit tre corrig, le client met en quarantaine l'lment. Remarque : Les options Rechercher les chevaux de Troie et les vers et Rechercher les enregistreurs de frappe ne sont actuellement pas prises en charge sur les systmes d'exploitation Windows Server et Windows XP Professionnel 64 bits. L'option Rechercher les enregistreurs de frappe n'est pas non plus prise en charge par Windows 7. Vous pouvez modifier les options dans la politique antivirus et antispyware des clients qui s'excutent sur des systmes d'exploitation de serveur, mais les analyses ne s'excutent pas. Dans l'interface utilisateur client des systmes d'exploitation de serveur, les options d'analyse ne sont pas disponibles. Si vous activez les options d'analyse dans la politique, elles sont slectionnes et non disponibles. Les paramtres par dfaut de Symantec sont galement utiliss pour dterminer la sensibilit de l'analyse proactive des menaces. Quand le niveau de sensibilit est plus lev, plus de processus sont signals. Quand le niveau de sensibilit est plus bas, moins de processus sont signals. Le niveau de sensibilit n'indique pas le niveau de certitude relatif la dtection. De mme, il n'affecte pas le taux de dtections de faux positifs. Plus le niveau de sensibilit est lev, plus l'analyse dtecte des faux positifs et des vrais positifs. Utilisez les paramtres par dfaut de Symantec pour mieux rduire le nombre de faux positifs que vous dtectez. Vous pouvez dsactiver les paramtres par dfaut de Symantec. Quand vous dsactivez les paramtres par dfaut de Symantec, vous pouvez configurer les actions et le niveau de sensibilit pour la dtection des chevaux de Troie, des vers ou des enregistreurs de frappe. Dans l'interface utilisateur client, les paramtres par dfaut qui apparaissent ne refltent pas les paramtres par dfaut de Symantec. Ils refltent les paramtres par dfaut utiliss quand vous grez manuellement les dtections.
Configuration des analyses proactives des menaces de TruScan Comprendre les dtections proactives de menaces TruScan
593
Pour les applications commerciales, vous pouvez spcifier la mesure que le client prend quand une analyse proactive des menaces fait une dtection. Vous pouvez spcifier des actions distinctes pour la dtection d'un enregistreur de frappe commercial et la dtection d'une application commerciale de tlintervention. Se reporter "Spcification des actions et des niveaux de sensibilit pour dtecter des chevaux de Troie, des vers et des enregistreurs de frappe" la page 594. Se reporter "Spcifier des actions pour les dtections d'application commerciale" la page 595. Remarque : Les utilisateurs sur des ordinateurs client peuvent modifier les paramtres d'analyse proactive des menaces si les paramtres sont dverrouills dans la politique antivirus et antispyware. Sur l'ordinateur client, les paramtres d'analyse proactive des menaces TruScan apparaissent sous Protection proactive contre les menaces.
Spcifier les types de processus que les analyses proactives des menaces dtectent
Par dfaut, les analyses proactives des menaces TruScan dtectent les chevaux de Troie, les vers et les enregistreurs de frappe. Vous pouvez dsactiver la dtection des chevaux de Troie et des vers ou des enregistreurs de frappe. Se reporter "Comprendre les dtections proactives de menaces TruScan" la page 591. Vous pouvez cliquer sur Aide pour plus d'informations sur les options de type de processus de l'analyse. Pour spcifier les types de processus que les analyses proactives des menaces TruScan dtectent
1 2
Dans la page Politique antivirus et antispyware, cliquez sur Analyses proactives des menaces TruScan. Dans l'onglet Dtails de l'analyse, sous Analyse, cochez ou dslectionnez Rechercher les chevaux de Troie et les vers et Rechercher les enregistreurs de frappe. Cliquez sur OK.
594
Configuration des analyses proactives des menaces de TruScan Comprendre les dtections proactives de menaces TruScan
Spcification des actions et des niveaux de sensibilit pour dtecter des chevaux de Troie, des vers et des enregistreurs de frappe
Les analyses proactives des menaces TruScan diffrent des analyses antivirus et antispyware. Les analyses d'antivirus et antispyware recherchent des risques connus. Les analyses proactives des menaces recherchent des risques inconnus bass sur le comportement de certains types de processus ou d'applications. Les analyses dtectent n'importe quel comportement semblable au comportement des chevaux de Troie, des vers ou des enregistreurs de frappe. Se reporter "Comprendre les dtections proactives de menaces TruScan" la page 591. Quand vous permettez Symantec de grer les dtections, l'action de dtection est Mettre en quarantaine pour les vrais positifs et Consigner suelement pour les faux positifs. Quand vous grez les dtections vous-mme, vous pouvez configurer l'action de dtection. Cette action est toujours utilise quand les analyses proactives des menaces effectuent une dtection. Par exemple, vous pourriez spcifier que le client de Symantec Endpoint Protection consigne la dtection des processus qui se comportent comme des chevaux de Troie et des vers. Quand le client effectue une dtection, il ne met pas le processus en quarantaine, il consigne seulement l'vnement. Vous pouvez configurer le niveau de sensibilit. Les analyses proactives des menaces effectuent plus de dtections (vrais positifs et faux positifs) quand vous dfinissez le niveau de sensibilit plus haut. Remarque : Si vous activez ces paramtres, vous risquez de dtecter beaucoup de faux positifs. Vous devez connatre les types de processus que vous excutez dans votre rseau de scurit. Vous pouvez cliquer sur Aide pour plus d'informations sur les options de l'analyse et sa sensibilit. Pour spcifier l'action et la sensibilit des chevaux de Troie, des vers ou des enregistreurs de frappe
1 2
Dans la page Politique antivirus et antispyware, cliquez sur Analyses proactives des menaces TruScan. Dans l'onglet Dtails de l'analyse, sous Analyse, assurez-vous que vous slectionnez Rechercher les chevaux de Troie et les vers et Rechercher les enregistreurs de frappe.
Configuration des analyses proactives des menaces de TruScan Comprendre les dtections proactives de menaces TruScan
595
3 4
Pour l'un ou l'autre type de risque, dsactivez la case Utiliser les paramtres par dfaut dfinis par Symantec. Pour l'un ou l'autre type de risque, dfinissez l'action sur Journal, Supprimer ou Mise en quarantaine. Des notifications sont envoyes si une action est dfinie sur Mettre en quarantaine ou sur Terminer, et si vous avez activ les notifications. (Les notifications sont actives par dfaut.) Utilisez l'action Terminer avec prudence. Dans certains cas, vous pouvez entraner la perte de fonctionnalit d'une application.
Dplacez la case de dfilement vers la gauche ou la droite ou augmenter, respectivement la sensibilit. Cliquez sur Basse ou Eleve.
1 2
Dans la page Politique antivirus et antispyware, cliquez sur Analyses proactives des menaces TruScan. Dans l'onglet Dtails de l'analyse, sous Application commerciale dtecte, dfinissez l'opration effectuer : Ignorer, Consigner, Arrter ou Mettre en quarantaine. Cliquez sur OK.
596
Configuration des analyses proactives des menaces de TruScan Configurer la frquence d'analyse proactive des menaces TruScan
1 2
Dans la page Politique antivirus et antispyware, cliquez sur Analyses proactives des menaces TruScan. Dans l'onglet Frquence d'analyse, sous Frquence d'analyse, dfinissez une des options suivantes :
A la frquence d'analyse par dfaut Le logiciel de moteur d'analyse dtermine la frquence d'analyse. Il s'agit du paramtre par dfaut. A une frquence d'analyse personnalise Si vous activez cette option, vous pouvez indiquer que le client analyse les nouveaux processus ds qu'il les dtecte. Vous pouvez galement configurer le temps de frquence d'analyse.
Configuration des notifications pour les analyses proactives des menaces TruScan
Par dfaut, des notifications sont envoyes aux ordinateurs client toutes les fois qu'il y a une dtection de l'analyse proactive des menaces TruScan. Vous pouvez dsactiver les notifications si vous ne voulez pas que l'utilisateur soit notifi. Se reporter "A propos des analyses proactives des menaces TruScan" la page 582. Les notifications avertissent l'utilisateur qu'une analyse proactive des menaces a dtect une menace que l'utilisateur doit rsoudre. L'utilisateur peut utiliser la
Configuration des analyses proactives des menaces de TruScan Configuration des notifications pour les analyses proactives des menaces TruScan
597
bote de dialogue Notifications pour corriger le problme. Certaines dtections d'analyse proactive des menaces ne ncessitent aucune intervention. Pour ces dtections, le client Symantec Endpoint Protection consigne la dtection, mais n'envoie pas de notification. Remarque : Si vous dfinissez l'utilisation par les dtections des paramtres par dfaut de Symantec, des notifications ne sont envoyes que si le client recommande une rsolution pour le processus. Les utilisateurs peuvent galement rsoudre des dtections en affichant le journal des menaces et en slectionnant une action. Vous pouvez crer une exception centralise pour exclure un processus de la dtection ; les utilisateurs des ordinateurs client peuvent galement crer des exceptions. Se reporter "A propos des politiques d'exceptions centralises" la page 645. Vous pouvez cliquer sur Aide pour obtenir des informations supplmentaires sur les options de notification de l'analyse. Pour configurer des notifications pour les analyses proactives des menaces TruScan
1 2
Dans la page Politique antivirus et antispyware, cliquez sur Analyses proactives des menaces TruScan. Dans l'onglet Notifications, cochez ou dcochez les options suivantes :
Afficher un message en cas de dtection Afficher un avertissement avant la fin d'un processus Afficher un avertissement avant l'arrt d'un service
598
Configuration des analyses proactives des menaces de TruScan Configuration des notifications pour les analyses proactives des menaces TruScan
Chapitre
32
A propos du contrle des applications et des priphriques A propos de la structure d'une politique de contrle des applications et des priphriques A propos du contrle des applications A propos du contrle des priphriques A propos de l'utilisation du contrle des applications et des priphriques Crer un ensemble de rgles par dfaut de contrle des applications Cration d'une politique de contrle des applications et des priphriques Configuration du contrle des applications pour une politique de contrle des applications et des priphriques Configuration d'un contrle des priphriques pour une politique de contrle des applications et des priphriques
600
Configurer l'application et le contrle des priphriques A propos du contrle des applications et des priphriques
Pour empcher un programme malveillant de pirater des applications sur les ordinateurs client. Pour viter une suppression involontaire de donnes des ordinateurs client. Pour limiter les applications pouvant tre excutes sur un ordinateur client. Pour rduire la possibilit d'infection d'un ordinateur par des menaces de scurit partir d'un priphrique.
Le contrle des applications et des priphriques est mis en oeuvre sur les ordinateurs clients l'aide d'une politique de contrle des applications et des priphriques. Une politique de contrle des applications et des priphriques offre les types de protection suivants aux ordinateurs client :
Le contrle des applications permet la surveillance des appels API Windows effectus sur les ordinateurs clients et le contrle de l'accs aux fichiers, dossiers, cls de registre de Windows et processus des clients. Il protge les ressources du systme des applications. Se reporter "A propos du contrle des applications" la page 602. Contrle des priphriques pour grer les dispositifs priphriques qui peuvent s'attacher aux ordinateurs. Se reporter "A propos du contrle des priphriques" la page 608.
Lorsque vous crez une nouvelle politique de contrle des applications et des priphriques, vous pouvez dfinir chacun des deux types de protection. Vous avez galement l'option d'ajouter d'abord, soit le contrle d' application, soit le contrle de priphrique, puis l'autre type de protection ultrieurement. Se reporter "A propos de la structure d'une politique de contrle des applications et des priphriques" la page 601. Vous pouvez appliquer uniquement une politique de contrle des applications et des priphriques chaque emplacement au sein d'un groupe. Si vous voulez mettre en oeuvre les deux types de protection, vous devez dfinir le contrle des applications et celui des priphriques dans la mme politique. Se reporter "A propos de l'utilisation du contrle des applications et des priphriques " la page 609.
Configurer l'application et le contrle des priphriques A propos de la structure d'une politique de contrle des applications et des priphriques
601
Remarque : L'information dans ce chapitre s'applique uniquement aux ordinateurs client 32 bits. Les Politiques de contrle des applications et des priphriques ne fonctionnent pas sur les ordinateurs client 64 bits.
602
Figure 32-1
603
pouvez galement configurer les ensembles de rgles actifs un moment donn en utilisant l'option Activ pour chaque ensemble de rgles. Vous pouvez utiliser le contrle des applications pour protger les ordinateurs client de la manire suivante :
Protger des cls de registre de Windows et des valeurs spcifiques. Rpertoires de sauvegarde, comme le rpertoire \WINDOWS\system. Empcher les utilisateurs de modifier des fichiers de configuration. Protge les fichiers de programmes importants comme le rpertoire priv de Symantec sur lequel l'ordinateur client est install. Protge des processus spcifiques ou exclut des processus de la protection. Contrle l'accs aux DLL.
Se reporter "Cration d'une politique de contrle des applications et des priphriques" la page 611. Se reporter "A propos du mode test" la page 603. Se reporter "A propos des rgles et des groupes de rgles de contrle des applications" la page 604.
604
605
Se reporter "Cration d'un groupe de rgles de contrle d'applications et ajout d'une nouvelle rgle au groupe" la page 613. Se reporter "A propos des proprits de rgle de contrle des applications" la page 605. Se reporter "A propos des conditions de rgle de contrle des applications" la page 605. Se reporter "A propos des proprits de condition de rgle de contrle des applications" la page 606. Se reporter "A propos des actions de condition de rgle de contrle des applications" la page 607.
Un nom Une description (facultative) Si la rgle est active ou dsactive Une liste des applications sur lesquelles la rgle doit tre applique Une liste des applications sur lesquelles la rgle ne doit pas tre applique (facultative)
Se reporter "A propos de la structure d'une politique de contrle des applications et des priphriques" la page 601.
Tentatives d'accs au registre Autoriser ou bloquer l'accs aux paramtres de registre de Windows d'un ordinateur client. Vous pouvez autoriser ou bloquer l'accs aux cls, valeurs et donnes spcifiques de registre de Windows.
606
Condition
Description
Tentatives d'accs au fichier Autoriser ou bloquer l'accs aux fichiers ou dossiers spcifis et au dossier sur un ordinateur client. Vous pouvez limiter la seuveillance des fichiers et dossiers des types spcifiques de disque. Tentatives de lancement de processus Tentatives d'arrt du processus Autoriser ou bloquer la possibilit de lancement d'un processus sur un ordinateur client. Autoriser ou bloquer la possibilit de terminer un processus sur un ordinateur client Vous pouvez par exemple vouloir bloquer l'arrt d'une application particulire. Cette condition recherche les applications essayant d'arrter une applicaton spcifie.
Se reporter "A propos de la structure d'une politique de contrle des applications et des priphriques" la page 601. Se reporter "Ajout de conditions une rgle" la page 615. Se reporter "Configuration des proprits de condition d'une rgle" la page 616. Se reporter "Configurer les actions prendre lorsqu'une condition est remplie" la page 618.
Un nom
607
Une description (facultative) Si la condition de rgle est active ou dsactive Une liste des entits informatiques qui devront tre contrles pour la condition Une liste des entits informatiques qui devront tre exclues du contrle pour la condition (facultative)
Se reporter "A propos de la structure d'une politique de contrle des applications et des priphriques" la page 601.
Continuer le traitement d'autres rgles. Autoriser l'application pour accder l'entit. Bloquer l'accs l'entit pour l'application. Arrter le processus d'application.
Par exemple, vous pouvez configurer un ensemble d'actions excuter lorsqu'un processus tente de lire une entit contrle. Vous pouvez configurer un ensemble diffrent d'actions devant se produire lorsque le mme processus tente de crer, supprimer ou crire sur une entit contrle. Vous pouvez configurer une action dans chaque cas pour autant de processus que vous le souhaitez. Vous pouvez galement configurer un contrle des applications pour consigner les tentatives et afficher un message personnalis l'utilisateur lorsqu'une tentative s'est produite. Avertissement : Utiliser prudemment l'action de processus Terminer car elle peut ne pas avoir l'effet escompt lorsque vous l'utilisez dans une rgle. Elle arrte le processus qui effectue l'action configure, pas le processus que l'utilisateur lance actuellement. Par exemple, supposez que vous dsirez arrter Winword.exe chaque fois qu'un processus lance Winword.exe. Vous dcidez de crer une rgle, et vous la configurez avec la condition Lancer les tentatives de processus et Arrter l'action du processus. Vous appliquez la condition Winword.exe et vous appliquez la rgle tous les processus. On peut s'attendre ce que cette rgle arrte Winword.exe, mais ce
608
n'est pas ce que fait une rgle avec cette configuration. Si vous essayez de lancer Winword.exe depuis Windows Explorer, une rgle avec cette configuration arrte Explorer.exe, pas Winword.exe. Se reporter "A propos de la structure d'une politique de contrle des applications et des priphriques" la page 601.
Vous pouvez dcider, par exemple, de bloquer tous les ports, mais d'exclure une souris USB afin qu'elle puisse tre connecte un ordinateur client. Dans ce scnario, la souris USB travaille sur l'ordinateur client, bien que ce port soit bloqu. Se reporter "A propos du contrle des applications et des priphriques" la page 600. Se reporter "Configuration d'un contrle des priphriques pour une politique de contrle des applications et des priphriques" la page 623.
Configurer l'application et le contrle des priphriques A propos de l'utilisation du contrle des applications et des priphriques
609
Se reporter "Configuration du contrle des applications pour une politique de contrle des applications et des priphriques" la page 612. Si vous retirez ou dsactivez la Politique de contrle d'applications et de priphriques, le pilote est dsactiv et le client n'est pas protg. Pour activer la protection de nouveau, l'utilisateur doit redmarrer l'ordinateur client de nouveau. Avertissement : Une politique de contrle d'applications et de priphriques est un outil puissant qui permet de crer des politiques d'application personnalises pour votre environnement. Toutefois, les erreurs de configuration peuvent dsactiver un ordinateur ou un serveur. L'ordinateur client peut tomber en panne ou sa communication avec Symantec Endpoint Protection Manager peut tre bloque lors de la mise en oeuvre d'une politique de contrle d'applications et de priphriques. Si ce type de panne se produit, vous risquez de ne pas pouvoir configurer l'ordinateur client distance. La seule solution serait peut tre d'effectuer une restauration locale de l'ordinateur. Symantec recommande d'utiliser d'abord une politique en mode essai avant de la dployer. Vous pouvez alors examiner les erreurs dans le journal de contrle. Les vnements de contrle d'applications et de priphriques sont enregistrs dans le journal de contrle du client. Vous pouvez les afficher sur la console dans le journal de contrle des applications et le journal de contrle des priphriques.
610
Configurer l'application et le contrle des priphriques Crer un ensemble de rgles par dfaut de contrle des applications
1 2 3
Dans la console, cliquez sur Politiques. Sous Afficher les politiques, cliquez sur Contrle des applications et des priphriques. Dans la page Politiques de contrle des applications et des priphriques, cliquez sur la politique laquelle vous voulez ajouter un ensemble de rgles par dfaut de contrle des applications. Sous Tches, cliquez sur Modifier la politique. Dans le volet Politique de contrle des applications et des priphriques, cliquez sur Contrle des applications. Pour revoir la configuration dans un ensemble de rgles par dfaut de contrle des applications, cliquez sur le nom sous Ensemble de rgles, puis sur Modifier. Prenez soin de n'effectuer aucune modification.
4 5 6
7 8 9
Lorsque vous avez termin la rvision de la configuration des rgles et des conditions, cliquez sur Annuler. Cochez la case en regard de chaque ensemble de rgles activer. Cliquez sur OK.
Configurer l'application et le contrle des priphriques Cration d'une politique de contrle des applications et des priphriques
611
1 2 3 4
Dans la console Symantec Endpoint Protection Manager, cliquez sur Politiques. Sous Afficher les politiques, cliquez sur Contrle des applications et des priphriques. Sous Tches, cliquez sur Ajouter une politique de contrle des applications et des priphriques. Dans le volet Prsentation, dans le champ Policy name (nom de politique), tapez le nom de la nouvelle politique de contrle des applications et des priphriques. Le nom par dfaut pour une nouvelle politique est Nouvelle politique de contrle des applications et des priphriques.
Dans le champ Description, tapez une description de la nouvelle politique. Ces informations sont facultatives; elles ne sont utilises qu' titre de rfrence.
612
Configurer l'application et le contrle des priphriques Configuration du contrle des applications pour une politique de contrle des applications et des priphriques
Si vous ne souhaitez pas immdiatement mettre en oeuvre la politique, dslectionnez Enable this policy (Activer cette politique). Les nouvelles politiques sont actives par dfaut.
Cliquez sur OK. Se reporter "Configuration du contrle des applications pour une politique de contrle des applications et des priphriques" la page 612. Se reporter "Configuration d'un contrle des priphriques pour une politique de contrle des applications et des priphriques" la page 623.
Configuration du contrle des applications pour une politique de contrle des applications et des priphriques
Pour configurer un contrle des applications, vous devez effectuer les tches suivantes :
Crer un nouvel ensemble de rgles de contrle des applications. Se reporter "Cration d'un groupe de rgles de contrle d'applications et ajout d'une nouvelle rgle au groupe" la page 613. Ajouter une ou plusieurs rgles l'ensemble de rgles. Se reporter "Cration d'un groupe de rgles de contrle d'applications et ajout d'une nouvelle rgle au groupe" la page 613. Ajouter une ou plusieurs conditions aux rgles. Se reporter "Ajout de conditions une rgle" la page 615. Se reporter "Configuration des proprits de condition d'une rgle" la page 616. Configurer les mesures prendre lorsque les conditions sont runies. Se reporter "Configurer les actions prendre lorsqu'une condition est remplie" la page 618. Appliquer les conditions aux entits. Se reporter "Application d'une rgle des applications spcifiques et exclusion d'une rgle pour certaines applications" la page 619. Eventuellement, exclure l'application des conditions des entits. Se reporter "Application d'une rgle des applications spcifiques et exclusion d'une rgle pour certaines applications" la page 619. Appliquer les rgles des processus.
Configurer l'application et le contrle des priphriques Configuration du contrle des applications pour une politique de contrle des applications et des priphriques
613
Se reporter "Application d'une rgle des applications spcifiques et exclusion d'une rgle pour certaines applications" la page 619.
Eventuellement, exclure l'application des rgles des processus. Se reporter "Application d'une rgle des applications spcifiques et exclusion d'une rgle pour certaines applications" la page 619. Activer les rgles. Se reporter "Cration d'un groupe de rgles de contrle d'applications et ajout d'une nouvelle rgle au groupe" la page 613. Activer l'ensemble des rgles. Se reporter "Crer un ensemble de rgles par dfaut de contrle des applications" la page 610. Se reporter "Dsactivation des ensembles de rgles de contrle des applications et des rgles individuelles dans une politique de contrle des applications et des priphriques" la page 622.
Cration d'un groupe de rgles de contrle d'applications et ajout d'une nouvelle rgle au groupe
Un nouveau groupe de rgles d'applications contient une ou plusieurs rgles dfinies par l'administrateur. Chaque groupe de rgles et chaque rgle comportent des proprits. Chaque rgle peut galement comporter une ou plusieurs conditions permettant de surveiller les applications et leur accs des fichiers, dossiers, cls de registre Windows et processus donns. Vous pouvez crer plusieurs rgles et les ajouter un seul groupe de rgles de contrle d'applications. Crez le nombre de rgles et de groupes de rgles dont vous avez besoin pour mettre en oeuvre la protection que vous souhaitez. Vous pouvez supprimer des rgles de la liste des rgles et modifier leur position dans la hirarchie des groupes de rgles comme vous le souhaitez. Vous pouvez galement activer et dsactiver des groupes de rgles ou des rgles individuelles au sein d'un groupe. L'ordre dans lequel les rgles sont rpertories est important pour le fonctionnement du contrle d'applications. Les rgles de contrle d'applications fonctionnent comme la plupart des rgles de filtrage rseau, dans le sens o elles font toutes les deux appel la fonction de premire correspondance de rgle. S'il existe plusieurs rgles pour lesquelles les conditions sont vraies, seule la rgle suprieure est applique, sauf si l'action configure pour la rgle est de Continuer traiter d'autres rgles. Vous devez prendre en compte l'ordre des rgles et leurs conditions lorsque vous les configurez afin d'viter toute consquence inattendue. Envisagez le scnario suivant : Supposez qu'un administrateur souhaite empcher tous les utilisateurs
614
Configurer l'application et le contrle des priphriques Configuration du contrle des applications pour une politique de contrle des applications et des priphriques
de dplacer, copier et crer des fichiers sur des lecteurs USB. L'administrateur dispose d'une rgle existante avec une condition qui autorise l'accs en criture au fichier Test.doc. L'administrateur ajoute une seconde condition ce groupe de rgles existant pour bloquer tous les lecteurs USB. Dans ce scnario, les utilisateurs sont toujours en mesure de crer et de modifier un fichier Test.doc sur les lecteurs USB. Puisque la condition Autoriser l'accs en criture Test.doc vient avant Bloquer l'accs en criture aux lecteurs USB dans la rgle, la condition Bloquer l'accs en criture aux lecteurs USB n'est pas traite lorsque la condition qui la prcde dans la liste est vraie. Vous pouvez vrifier la structure des groupes de rgles par dfaut pour voir la faon dont ils sont conus. Avertissement : Seuls les administrateurs avancs peuvent crer des groupes de rgles de contrle d'applications. Les erreurs de configuration dans les groupes de rgles utiliss dans une politique de contrle et d'application peuvent dsactiver un ordinateur ou un serveur. L'ordinateur client peut tomber en panne ou sa communication avec Symantec Endpoint Protection Manager peut tre bloque. Pour crer un groupe de rgles et lui ajouter des rgles
Crez une nouvelle politique de contrle d'applications et de priphriques. Se reporter "Ajouter une politique partage." la page 101.
2 3
Dans le volet Contrle d'applications, cliquez sur Ajouter. Dans la bote de dialogue Ajouter un groupe de rgles de contrle d'applications, dslectionnez Activer la consignation pour ne pas consigner des vnements concernant ces rgles. La consignation est active par dfaut.
4 5 6 7
Dans la zone de texte Nom du groupe de rgles, modifiez le nom par dfaut du groupe de rgles. Dans le champ Description, tapez une description. Modifiez le nom par dfaut de la rgle dans la zone de texte Nom de rgle, puis tapez une description de la rgle. Si vous ne souhaitez pas activer immdiatement cette nouvelle rgle, dslectionnez Activer cette rgle.
Configurer l'application et le contrle des priphriques Configuration du contrle des applications pour une politique de contrle des applications et des priphriques
615
8 9
Pour ajouter une deuxime rgle, cliquez sur Ajouter, puis sur Ajouter une rgle. Cliquez sur OK. Une fois le groupe de rgles et la rgle crs, vous devez dfinir les applications auxquelles la rgle doit s'appliquer. Le cas chant, vous pouvez galement dfinir les applications auxquelles la rgle ne doit pas s'appliquer. Vous pouvez ensuite ajouter des conditions la rgle et configurer les actions prendre lorsque les conditions sont remplies. Se reporter "Application d'une rgle des applications spcifiques et exclusion d'une rgle pour certaines applications" la page 619.
1 2
Dans le volet de contrle de l'application, cliquez sur l'ensemble de rgle que vous avez cr, puis cliquez sur Edition. Dans la bote de dialogue Edit Application Control Rule Set (Modifier l'ensemble des rgles de contrle des applications), cliquez sur la rgle laquelle vous souhaitez ajouter une condition. Dans la liste Rgles, cliquez sur Ajouter, puis cliquez sur Add Condition (Ajout de condition). Slectionner l'une des conditions suivantes :
3 4
Registry Access Attempts (Tentatives d'accs au registre) File and Folder Access Attempts (Tentatives d'accs au fichier et dossier) Launch Process Attempts (Lancer les tentatives de processus) Terminate Process Attempts (Arrter les tentatives de processus) Load DLL Attempts (Charger les tentatives de DLL)
Vous pouvez ajouter, configurer et supprimer des conditions depuis une rgle lorsque cela est ncessaire.
616
Configurer l'application et le contrle des priphriques Configuration du contrle des applications pour une politique de contrle des applications et des priphriques
1 2 3 4
Dans la bote de dialogue Modifier un groupe de rgles de contrle des applications, cliquez sur la condition que vous voulez appliquer. Si vous le souhaitez, changez le nom par dfaut indiqu dans la zone de texte Nom, puis, le cas chant, ajoutez une description. Pour activer immdiatement cette condition, cochez la case Activer cette condition. A droite de Appliquer l'entit suivante (entit reprsentant les processus, les cls de registre Windows, les fichiers et les dossiers ou les DLL), cliquez sur Ajouter. Dans la bote de dialogue Ajouter une dfinition d'entit, configurez l'un des groupes d'options suivants :
Pour Tentatives d'accs au registre, tapez le nom de la cl de registre Windows, ainsi que sa valeur et ses donnes. Cliquez sur Utiliser la correspondance de caractres gnriques (* et ? pris en charge) ou Utiliser la correspondance d'expressions standard. Pour Tentatives d'accs aux fichiers et dossiers, tapez le nom du fichier ou du dossier. Cliquez sur Utiliser la correspondance de caractres gnriques (* et ? pris en charge) ou Utiliser la correspondance d'expressions standard. Si vous le souhaitez, cochez des types de lecteurs spcifiques sur lesquels apparier les fichiers et dossiers. Si vous le souhaitez, cochez Apparier uniquement les fichiers s'excutant sur le type d'ID de priphrique suivant, puis tapez un type d'ID de
Configurer l'application et le contrle des priphriques Configuration du contrle des applications pour une politique de contrle des applications et des priphriques
617
priphrique dans le champ de texte ou cliquez sur Slectionner afin de slectionner un type d'ID de priphrique dans la liste de la bote de dialogue Slection de priphrique pour n'apparier que les processus qui s'excutent sur les priphrique prsentant ce type d'ID.
Pour Tentatives de lancement de processus, tapez le nom du processus. Cliquez sur Utiliser la correspondance de caractres gnriques (* et ? pris en charge) ou Utiliser la correspondance d'expressions standard. Si vous le souhaitez, cochez des types de lecteurs spcifiques sur lesquels apparier le processus. Si vous le souhaitez, cochez Apparier uniquement les processus s'excutant sur le type d'ID de priphrique suivant, puis tapez un type d'ID de priphrique dans le champ de texte ou cliquez sur Slectionner afin de slectionner un type d'ID de priphrique dans la liste de la bote de dialogue Slection de priphrique pour n'apparier que les processus qui s'excutent sur les priphrique prsentant ce type d'ID. Si vous le souhaitez, cliquez sur Options pour apparier les processus en fonction de la signature de fichier et pour n'apparier que les processus comportant un argument dsign. Vous pouvez choisir d'apparier les arguments exactement ou en appariant les expressions standard. Pour Tentatives d'arrt de processus ou Tentatives de chargement de DLL, tapez le nom du processus. Cliquez sur Utiliser la correspondance de caractres gnriques (* et ? pris en charge) ou Utiliser la correspondance d'expressions standard. Si vous le souhaitez, cochez des types de lecteurs spcifiques sur lesquels apparier le processus. Si vous le souhaitez, cochez Apparier uniquement les processus s'excutant sur le type d'ID de priphrique suivant, puis tapez un type d'ID de priphrique dans le champ de texte ou cliquez sur Slectionner afin de slectionner un type d'ID de priphrique dans la liste de la bote de dialogue Slection de priphrique pour n'apparier que les processus qui s'excutent sur les priphrique prsentant ce type d'ID. Si vous le souhaitez, cliquez sur Options pour apparier les processus en fonction de la signature de fichier.
6 7
Cliquez sur OK. A droite du volet Ne pas appliquer cette rgle aux processus suivants, cliquez sur Ajouter, puis rptez le processus de configuration selon les besoins. Les options s'appliquant aux exclusions sont les mmes que celles s'appliquant aux inclusions.
618
Configurer l'application et le contrle des priphriques Configuration du contrle des applications pour une politique de contrle des applications et des priphriques
8 9
Cliquez sur les commandes appropries pour effectuer vos slections et tapez les informations requises dans les zones de texte. Cliquez sur OK. Aprs avoir dfini les proprits de la condition, vous devez configurer les actions s'effectuant lorsque la condition est remplie. Se reporter "Configurer les actions prendre lorsqu'une condition est remplie" la page 618.
Remarque : Une pratique d'excellence consiste utiliser l'action Bloquer l'accs pour empcher une condition plutt que d'utiliser l'action Arrter le processus. L'action Arrter le processus doit tre utilise uniquement dans des configurations avances. Se reporter "Configuration du contrle des applications pour une politique de contrle des applications et des priphriques" la page 612. Pour configurer les actions prendre lorsqu'une condition est remplie
Dans la bote de dialogue Edit Application Control Rule Set (Modifier l'ensemble des rgles de contrle des applications), cliquez sur la condition pour laquelle vous souhaitez configurer des actions. Dans l'onglet Actions, effectuez l'une des oprations suivantes :
Pour la condition Lancer les tentatives de processus et la condition Arrter les tentatives de processus, cliquez sur une des options suivantes : Continue processing other rules (Poursuivre le traitement d'autres
Configurer l'application et le contrle des priphriques Configuration du contrle des applications pour une politique de contrle des applications et des priphriques
619
rgles), Allow access (Permettre l'accs), Block access (Bloquer l'accs) ou Terminate process (Arrter le processus).
Pour la condition Tentatives d'accs au DLL, cliquez sur une des options suivantes : Continue processing other rules (Poursuivre le traitement d'autres rgles), Allow access (Permettre l'accs), Block access (Bloquer l'accs) ou Terminate process (Arrter le processus). Pour la condition Tentatives d'accs au registre et la condition Tentatives d'accs au fichier et au dossier, vous pouvez configurer deux ensembles d'actions. Un ensemble s'applique lorsqu'il y a une tentative de lecture; l'autre ensemble s'applique lorsqu'il y a une tentation de cration, suppression ou d'criture. Sous Tentative de lecture, cliquez sur une des options suivantes : Continue processing other rules (Poursuivre le traitement d'autres rgles), Allow access (Permettre l'accs), Block access (Bloquer l'accs) ou Terminate process (Arrter le processus).
Si vous le souhaitez, slectionnez Enable logging (Activer la consignation), puis slectionnez un niveau de gravit attribuer aux entres qui sont consignes. Si vous le souhaitez, slectionnez Notify user (Informer les utilisateurs), puis, tapez le texte que vous souhaitez faire apparatre l'utilisateur. Rptez les tapes 2 4 pour configurer les mmes options pour les tentatives de cration, de suppression et d'criture. Cliquez sur OK.
4 5 6
Application d'une rgle des applications spcifiques et exclusion d'une rgle pour certaines applications
Vous pouvez appliquer une rgle des applications et exclure certaines applications des actions de la rgle. Vous spcifiez une liste contenant les applications auxquelles la rgle s'applique (les inclusions). Vous spcifiez une autre liste contenant les applications auxquelles la rgle ne s'applique pas (les exclusions). Pour lier une rgle une application donne, dfinissez cette application dans la zone de texte Appliquer cette rgle aux processus suivants. Si vous souhaitez lier la rgle toutes les applications sauf un groupe d'applications donn, utilisez les paramtres suivants :
Dans la zone de texte Appliquer cette rgle aux processus suivants, dfinissez un caractre gnrique pour tous les processus (*). Dans la zone de texte Ne pas appliquer cette rgle aux processus suivants, rpertoriez les applications ncessitant une exception.
620
Configurer l'application et le contrle des priphriques Configuration du contrle des applications pour une politique de contrle des applications et des priphriques
Vous pouvez dfinir autant d'applications que vous le souhaitez pour chaque liste. Remarque : Chaque rgle doit comporter au moins une application dans la zone de texte Appliquer cette rgle aux processus suivants. Lorsque vous ajoutez des applications une rgle, vous pouvez utiliser les mthodes suivantes pour spcifier l'application :
Le nom du processus Les caractres gnriques Les expressions standard Les signatures de fichiers Les types de lecteurs partir desquels l'application a t lance L'identifiant du priphrique
Se reporter "Configuration du contrle des applications pour une politique de contrle des applications et des priphriques" la page 612. Pour appliquer une rgle des applications spcifiques
1 2
Dans la bote de dialogue Modifier le groupe de rgle de contrle d'applications, cliquez sur la rgle que vous souhaitez appliquer. Si vous souhaitez configurer une application laquelle appliquer la rgle, droite de l'option Appliquer cette rgle aux processus suivants, cliquez sur Ajouter. Dans la bote de dialogue Ajouter une dfinition de processus, configurez les lments suivants :
Tapez le nom de l'application que vous voulez rechercher dans cette rgle. Cliquez sur Rechercher avec les caractres gnriques (* et ? pris en charge) ou Rechercher avec les expressions standard pour rechercher le nom. Le cas chant, vrifiez les types de lecteurs spcifiques sur lesquels rechercher le processus. Le cas chant, slectionnez Rechercher uniquement les processus s'excutant sur le type d'identifiant de priphrique suivant, puis tapez un type d'identifiant de priphrique dans la zone de texte ou cliquez sur Slectionner pour en slectionner un dans la liste de la bote de dialogue Slection des priphriques pour rechercher uniquement les processus qui s'excutent sur les priphriques de ce type d'identifiant.
Configurer l'application et le contrle des priphriques Configuration du contrle des applications pour une politique de contrle des applications et des priphriques
621
Le cas chant, cliquez sur Options pour rechercher les processus en fonction de la signature du fichier et pour rechercher uniquement les processus disposant d'un argument dsign. Vous pouvez choisir de rechercher les arguments de faon exacte ou l'aide des expressions standard.
Cliquez sur OK. Vous pouvez rpter les tapes 2 4 pour ajouter autant d'applications que vous le souhaitez.
Si vous souhaitez configurer une ou plusieurs applications exclure de la rgle, droite de l'option Ne pas appliquer cette rgle aux processus suivants, cliquez sur Ajouter. Rptez la configuration des applications exclure, comme vous le souhaitez. Vous disposez des mmes options lorsque vous dfinissez une application exclure que lorsque vous appliquez la rgle une application.
Modification de l'ordre dans lequel les ensembles de rgles de contrle des applications sont appliqus.
Vous pouvez contrler l'ordre dans lequel les ensembles de rgles de contrle des applications sont appliqus. Vous pouvez galement contrler l'ordre dans lequel des rgles individuelles dans un ensemble de rgle sont appliques. Se reporter "Configuration du contrle des applications pour une politique de contrle des applications et des priphriques" la page 612. Pour modifier l'ordre dans lequel les ensembles de rgles de contrle des applications sont appliqus.
1 2 3 4 5 6 7
Dans la console, cliquez sur Politiques. Dans le volet Afficher les politiques, cliquez sur Contrle des applications et des priphriques. Cliquez sur la politique que vous souhaitez modifier. Sous Tches, cliquez sur Edit the Policy (Modifier la politique). Cliquez sur Contrle des applications. Cliquez sur l'ensemble de rgles de contrle des applications que vous souhaitez dplacer. Cliquez sur Move Up (Vers le haut) ou Move Down (Vers le bas) pour changer sa priorit dans la liste.
622
Configurer l'application et le contrle des priphriques Configuration du contrle des applications pour une politique de contrle des applications et des priphriques
8 9
Rptez les deux tapes prcdentes pour chaque ensemble de rgle que vous souhaitez remettre en priorit. Cliquez sur OK.
Dsactivation des ensembles de rgles de contrle des applications et des rgles individuelles dans une politique de contrle des applications et des priphriques
Vous devez dsactiver un ensemble spcifique de rgles de contrle des applications dans une politique de contrle des applications et des priphriques sans retirer ou supprimer toute la politique. Se reporter "Configuration du contrle des applications pour une politique de contrle des applications et des priphriques" la page 612. Pour dsactiver un ensemble de rgles de contrle des applications dans une politique de contrle des applications et des priphriques :
1 2 3 4 5 6 7
Dans la console, cliquez sur Politiques. Sous Afficher les politiques, cliquez sur Contrle des applications et des priphriques. Cliquez sur la politique contenant l'ensemble de rgles dsactiver. Sous Tches, cliquez sur Modifier la politique. Cliquez sur Contrle des applications. Dcochez la case en regard de l'ensemble de rgles dsactiver. Cliquez sur OK. Vous avez dsactiv un seul ensemble de rgles sans dsactiver toute la politique.
Pour dsactiver une seule rgle dans une politique de contrle des applications et des priphriques :
1 2 3 4 5 6
Dans la console, cliquez sur Politiques. Sous Afficher les politiques, cliquez sur Contrle des applications et des priphriques. Cliquez sur la politique contenant la rgle dsactiver. Sous Tches, cliquez sur Modifier la politique. Cliquez sur Contrle des applications. Cliquez sur l'ensemble de rgles contenant la rgle dsactiver et cliquez ensuite sur Modifier.
Configurer l'application et le contrle des priphriques Configuration d'un contrle des priphriques pour une politique de contrle des applications et des priphriques
623
7 8 9
Sous Rgles, cliquez sur la rgle dsactiver dans la liste des rgles. Sur l'onglet Proprits, dcochez Activer cette rgle. Dans la bote de dialogue Modifier l'ensemble de rgles de contrle des applications, cliquez sur OK.
1 2 3 4 5 6 7 8 9
Dans la console, cliquez sur Politiques. Sous Afficher les politiques, cliquez sur Contrle des applications et des priphriques. Cliquez sur la politique qui contient l'ensemble de rgles de contrle des applications que vous souhaitez modifier. Cliquez sur Modifier la politique. Cliquez sur Contrle des applications. Cliquez sur l'ensemble de rgles que vous souhaitez modifier. Sous Test/Production, cliquez sur la flche de liste droulante correspondante pour afficher la liste des modes. Cliquez sur le nouveau mode. Cliquez sur OK.
Configuration d'un contrle des priphriques pour une politique de contrle des applications et des priphriques
Utilisez un contrle des priphriques pour grer les priphriques matriels. Vous pouvez modifier cette liste tout moment.
624
Configurer l'application et le contrle des priphriques Configuration d'un contrle des priphriques pour une politique de contrle des applications et des priphriques
Se reporter "A propos du contrle des priphriques" la page 608. Se reporter "A propos des priphriques matriels" la page 625. Pour ajouter le contrle des priphriques
1 2 3 4 5 6 7
Dans le volet Politique de contrle des applications et des priphriques, cliquez sur Contrle des priphriques. Sous Priphriques bloqus, cliquez sur Ajouter. Examinez la liste des priphriques et cliquez sur un ou plusieurs priphriques que vous voulez empcher d'accder l'ordinateur client. Cliquez sur OK. Sous Priphriques ne devant pas tre bloqus, cliquez sur Ajouter. Examinez la liste des priphriques et cliquez sur les priphriques que vous ne voulez pas bloquer quand ils accdent l'ordinateur client. Si vous ne souhaitez pas consigner les informations de contrle des priphriques, dslectionnez Consigner les priphriques bloqus. Les informations sont consignes par dfaut.
Si vous souhaitez que les utilisateurs soient avertis, slectionnez Avertir les utilisateurs lorsque les priphriques sont bloqus. Si vous avez activ la notification, cliquez sur Dfinir le texte du message, puis tapez le texte que les utilisateurs doivent voir.
Chapitre
33
A propos des priphriques matriels Obtention d'un ID de classe ou de priphrique Ajouter un quipement la liste des priphriques matriels Modifier un quipement dans la liste des priphriques matriels A propos de l'autorisation d'utiliser des applications, des correctifs et des utilitaires Cration et importation d'une liste de signatures de fichiers A propos du verrouillage du systme Configurer le verrouillage du systme
626
Personnalisation des politiques de contrle des applications et des priphriques A propos des priphriques matriels
Deux valeurs numriques identifient les priphriques : les ID de priphrique et de classe. Vous pouvez utiliser l'une ou l'autre de ces valeurs pour identifier les priphriques de la liste Priphriques matriels. Se reporter "A propos des ID de priphrique" la page 626. Se reporter "A propos des identificateurs de classe" la page 626. La console Symantec Endpoint Protection Manager inclut les listes des priphriques qui peuvent tre bloqus et de ceux qui peuvent tre exclus du blocage, selon le cas. Un administrateur peut ajouter, supprimer ou modifier les priphriques des listes en question. Remarque : Vous ne pouvez modifier ni supprimer les priphriques par dfaut.
Personnalisation des politiques de contrle des applications et des priphriques Obtention d'un ID de classe ou de priphrique
627
USBSTOR\DISK&VEN_SANDISK* L'lment suivant est un ID de priphrique avec un caractre gnrique qui indique tout priphrique d'unit USB : USBSTOR\DISK* L'lment suivant est un ID de priphrique avec un caractre gnrique qui indique tout priphrique de stockage USB : USBSTOR* Se reporter "Obtention d'un ID de classe ou de priphrique" la page 627. Se reporter "A propos des priphriques matriels" la page 625.
Sur le disque du produit, localisez le dossier \TOOLS\NOSUPPORT\DEVVIEWER, puis tlchargez l'outil DevViewer.exe sur l'ordinateur client. Sur l'ordinateur client, excutez DevViewer.exe. Dveloppez l'arborescence Priphrique et localisez le priphrique pour lequel vous souhaitez obtenir l'ID de priphrique ou le GUID. Dans le volet droit, cliquez avec le bouton droit de la souris sur l'ID de priphrique (il commence par [id de priphrique]) puis cliquez sur Copier ID de priphrique. Cliquez sur Quitter. Sur le serveur de gestion, collez l'ID de priphrique dans la liste de matriels.
2 3 4
5 6
1 2 3
Dans la barre des tches Windows, cliquez sur Dmarrer > Paramtres > Panneau de configuration > Systme . Sur l'onglet Matriel, cliquez sur Gestionnaire de priphriques. Dans la liste Gestionnaire de priphriques, cliquez deux fois sur le priphrique concern.
628
Personnalisation des politiques de contrle des applications et des priphriques Ajouter un quipement la liste des priphriques matriels
Sur l'onglet Dtails de la bote de dialogue Proprits du priphrique, slectionnez l'ID de priphrique. Par dfaut, l'ID de priphrique est la premire valeur affiche.
5 6
Appuyez sur la combinaison de touches Ctrl+C pour copier la chane de l'ID. Cliquez sur OK ou sur Annuler. Se reporter "Ajouter un quipement la liste des priphriques matriels" la page 628.
1 2 3 4
Dans la console, cliquez sur Politiques. Sous Composants de politique, cliquez sur Priphriques matriels. Sous Tches, cliquez sur Ajouter un priphrique matriel. Entrez le nom du priphrique que vous voulez ajouter. Les ID de classe et de priphrique sont, par convention, placs entre des accolades.
5 6
Slectionnez ID de classe ou ID de priphrique et collez l'ID que vous avez copi dans le Gestionnaire de priphriques Windows ou l'outil DevViewer. Vous pouvez utiliser des caractres gnriques pour dfinir un ensemble d'ID de priphriques. Par exemple, vous pouvez utiliser la syntaxe suivante : *IDE\CDROM*. Se reporter "Obtention d'un ID de classe ou de priphrique" la page 627.
Personnalisation des politiques de contrle des applications et des priphriques Modifier un quipement dans la liste des priphriques matriels
629
1 2 3 4 5 6
Dans la console, cliquez sur Politiques. Sous Composants de politique, cliquez sur Priphriques matriels. Dans la liste Priphriques matriels, cliquez sur le priphrique que vous souhaitez modifier. Cliquez sur Modifier le priphrique matriel. Modifiez le nom, l'ID de classe ou l'ID de priphrique du priphrique. Cliquez sur OK. Les informations mises jour sur le priphrique sont affiches dans la liste Identification.
630
Personnalisation des politiques de contrle des applications et des priphriques Cration et importation d'une liste de signatures de fichiers
signatures de fichier stocke dans Symantec Endpoint Protection Manager. Pour terminer, vous configurez l'action entreprendre sur le client lorsqu'une application non autorise essaye d'accder cet ordinateur. Par exemple, crez une liste de signatures de fichiers pour chaque type de client dans votre environnement. Supposez que votre environnement contient des clients Windows Vista 32 bits, Windows Vista 64 bits et Windows XP Service Pack 2. Excutez le fichier Checksum.exe sur une image de chacun des trois types de clients existant dans votre environnement. Checksum.exe gnre des signatures de fichier pour toutes les applications de chaque type de client et les place dans une liste de signatures de fichier. Dans cet exemple, vous vous retrouvez avec trois listes de signatures de fichiers : une pour chaque image. Ensuite, utilisez Symantec Endpoint Protection pour crer une liste de signatures de fichiers laquelle vous ajoutez chacune des trois listes que vous avez gnres : une liste de signatures de fichiers pour chaque type de client. Puis dfinissez la mesure Symantec Endpoint Protection prendre lorsqu'une application non approuve essaye d'accder un ordinateur client. Vous pouvez dsactiver le verrouillage du systme et permettre l'accs l'application. Vous pouvez choisir de consigner seulement les applications non autorises. Pour la plupart des protections, vous pouvez activer le verrouillage du systme sur l'ordinateur client auquel l'application non autorise essaye d'accder. Se reporter "Cration et importation d'une liste de signatures de fichiers" la page 630.
Personnalisation des politiques de contrle des applications et des priphriques Cration et importation d'une liste de signatures de fichiers
631
Vous pouvez excuter cet outil partir de l'invite de commandes. Checksum.exe cre un fichier texte qui contient une liste de tous les excutables figurant sur cet ordinateur et leurs sommes de contrle correspondantes. Se reporter "Cration d'une liste de signatures de fichiers" la page 631. Vous pouvez utiliser Symantec Endpoint Protection Manager pour importer des listes des signatures de fichier pour chaque type d'ordinateur client dans une liste des signatures de fichier matre. Vous pouvez galement ajouter des signatures de fichier pour des fichiers individuels que vous voulez approuver. Par exemple, crez une liste de signatures de fichiers pour chaque type de client dans votre environnement. Supposez que votre environnement contient des clients Windows Vista 32 bits, Windows Vista 64 bits et Windows XP Service Pack 2. Excutez l'utilitaire des sommes de contrle sur une image de chacun des trois types de clients existant dans votre environnement. Vous pouvez alors importer les trois listes des signatures de fichier dans Symantec Endpoint Protection Manager. Se reporter "Importer une liste des signatures de fichier dans Symantec Endpoint Protection Manager" la page 633. Vous pouvez galement fusionner des listes de signatures de fichiers multiples qui existent dans une politique partage. Se reporter "Fusionner des listes de signatures de fichier dans Symantec Endpoint Protection Manager " la page 634. Vous pouvez galement supprimer des signatures de fichier si vous ne les utilisez plus dans votre configuration. Se reporter "Suppression d'une liste de signatures de fichier" la page 635.
0bb018fad1b244b6020a40d7c4eb58b7 c:\dell\openmanage\remind.exe
632
Personnalisation des politiques de contrle des applications et des priphriques Cration et importation d'une liste de signatures de fichiers
35162d98c2b445199fef95e838feae4b 77e4ff0b73bc0aeaaf39bf0c8104231f f59ed5a43b988a18ef582bb07b2327a7 60e1604729a15ef4a3b05f298427b3b1 4f3ef8d2183f927300ac864d63dd1532 dcd15d648779f59808b50f1a9cc3698d eeaea6514ba7c9d273b5e87c4e1aab30 0a7782b5f8bf65d12e50f506cad6d840 9a6d7bb226861f6e9b151d22b977750d d97e4c330e3c940ee42f6a95aec41147
c:\dell\pnp\m\co\HSFCI008.dll c:\dell\pnp\m\co\HSFHWBS2.sys c:\dell\pnp\m\co\HSF_CNXT.sys c:\dell\pnp\m\co\HSF_DP.sys c:\dell\pnp\m\co\HXFSetup.exe c:\dell\pnp\m\co\MdmXSdk.dll c:\dell\pnp\m\co\MDMXSDK.sys c:\dell\pnp\mgmt\drac2wdm.sys c:\dell\pnp\mgmt\racser.sys c:\dell\pnp\n\bc\b57xp32.sys
Accdez l'ordinateur qui contient l'image pour laquelle vous voulez crer une liste de signatures de fichiers. Le logiciel client Symantec Endpoint Protection doit tre install sur cet ordinateur. Ouvrez une fentre d'invite de commande. Accdez au rpertoire contenant le fichier Checksum.exe. Par dfaut, il se trouve dans l'emplacement suivant : C:\Program Files\Symantec\Symantec Endpoint Protection
2 3
fichier_de_sortie tant le nom du fichier texte qui contient les sommes de contrle de tous les excutables figurant sur le lecteur spcifi. Le fichier de sortie est un fichier texte (fichier_de_sortie.txt). Voici un exemple de la syntaxe que vous utilisez :
checksum.exe cdrive.txt c:\
Cette commande cre un fichier nomm cdrive.txt. Elle contient les sommes de contrle et les chemins d'accs de tous les excutables et fichiers DLL situs sur le lecteur C de l'ordinateur client sur lequel elle a t excute.
Modifier une liste de signatures de fichier dans Symantec Endpoint Protection Manager
Vous ne pouvez pas directement modifier une liste de signatures de fichier existante. Au lieu de cela, vous pouvez ajouter une liste de signatures existante avec une liste cre partir de l'utilitaire Checksum.exe. Sinon, vous pouvez fusionner une liste de signatures existante avec une autre liste de signatures importe.
Personnalisation des politiques de contrle des applications et des priphriques Cration et importation d'une liste de signatures de fichiers
633
Se reporter "Cration et importation d'une liste de signatures de fichiers" la page 630. Pour fusionner des listes de signatures dans une nouvelle liste avec un nom diffrent, utilisez l'Assistant d'ajout de signatures de fichier. Se reporter "Fusionner des listes de signatures de fichier dans Symantec Endpoint Protection Manager " la page 634. Pour modifier une liste de signatures de fichier
1 2 3 4 5 6
Dans la console, cliquez sur Politiques. Sous Afficher les politiques, largissez Composants de politique, puis cliquez sur Liste de signatures de fichier. Dans le panneau Listes des signatures de fichier, slectionnez la liste des signatures modifier. Cliquez sur Modifier. Dans Assistant de modification des signatures de fichier, cliquez sur Suivant. Effectuez l'une des oprations suivantes :
Cliquez sur Annexer un fichier de signatures cette signature de fichier pour ajouter un nouveau fichier au fichier existant et cliquez sur Suivant. Cliquez sur Ajouter une autre signature de fichier cette signature de fichier pour fusionner les listes des signatures de fichier dj importes.
Dans le panneau Importer la signature de fichier, cliquez sur Naviguer pour localiser le fichier ou saisir le chemin d'accs de la liste des signatures de fichier dans la zone de texte. Dans le panneau Fusionner plusieurs signatures de fichier, slectionnez les signatures de fichier fusionner.
8 9
Importer une liste des signatures de fichier dans Symantec Endpoint Protection Manager
Vous pouvez ajouter une liste des signatures de fichier une politique partage en important un fichier. Vous devez avoir dj cr la liste.
634
Personnalisation des politiques de contrle des applications et des priphriques Cration et importation d'une liste de signatures de fichiers
Se reporter "Cration et importation d'une liste de signatures de fichiers" la page 630. Se reporter "Cration d'une liste de signatures de fichiers" la page 631. Pour importer une liste de signatures de fichiers vers une politique partage
1 2 3 4 5 6 7 8 9
Dans la console, cliquez sur Politiques. Sous Afficher les politiques, largissez Composants de politique, puis cliquez sur Liste des signatures de fichier. Sous Tches, cliquez sur Ajouter une liste de signatures de fichier. Dans Bienvenue dans l'assistant d'ajout de signatures de fichier, cliquez sur Suivant. Dans le panneau Informations sur la nouvelle signature de fichier, saisissez un nom et une description pour la nouvelle liste fusionne. Cliquez sur Suivant. Dans le panneau Crer une signature de fichier, cliquez sur Crer la signature de fichier en important un fichier de signatures de fichiers. Cliquez sur Suivant. Cliquez sur Parcourir pour rechercher le fichier ou tapez entirement le chemin d'accs de la liste de signatures de fichier dans la zone de texte.
Fusionner des listes de signatures de fichier dans Symantec Endpoint Protection Manager
Vous pouvez fusionner des listes de signatures de fichiers multiples qui existent dans une politique partage. Vous devez avoir dj ajout les listes que vous voulez fusionner avant de commencer cette tche. Se reporter "Cration et importation d'une liste de signatures de fichiers" la page 630. Se reporter "Importer une liste des signatures de fichier dans Symantec Endpoint Protection Manager" la page 633.
Personnalisation des politiques de contrle des applications et des priphriques Cration et importation d'une liste de signatures de fichiers
635
1 2 3 4 5 6 7
Dans la console, cliquez sur Politiques. Sous Afficher les politiques, largissez Composants de politique et cliquez sur Liste de signatures de fichier. Sous Tches, cliquez sur Ajouter une liste de signatures de fichier. Dans Bienvenue dans l'assistant d'ajout de signatures de fichier, cliquez sur Suivant. Dans le panneau Informations sur la nouvelle signature de fichier, saisissez un nom et une description pour la nouvelle liste fusionne. Cliquez sur Suivant. Dans le panneau Crer une signature de fichier, cliquez sur Crer la signature de fichier en combinant plusieurs signatures de fichier existantes. Cette option est disponible seulement si vous avez des listes de signatures dj importes.
8 9
1 2 3
Dans la console, cliquez sur Politiques. Sous Afficher les politiques, dveloppez Composants de politique, puis cliquez sur Liste de signatures de fichier. Dans le volet Liste de signatures de fichier, cliquez sur la liste supprimer.
636
Personnalisation des politiques de contrle des applications et des priphriques A propos du verrouillage du systme
4 5
Sous Tches, cliquez sur Supprimer la liste. Cliquez sur Oui pour confirmer. La liste de signatures de fichier est supprime de Symantec Endpoint Protection Manager, mais elle reste sur l'ordinateur l'emplacement d'o vous l'avez importe.
Symantec recommande de mettre en application le verrouillage du systme via les tapes suivantes :
Obtenez une image de logiciel approuve : Crez une image logicielle qui inclut toutes les applications que vous voulez que les utilisateurs puissent utiliser sur leurs ordinateurs. Utilisez cette image pour crer une liste de signatures de fichiers.
Personnalisation des politiques de contrle des applications et des priphriques A propos du verrouillage du systme
637
Activez le verrouillage du systme en consignant les applications qui ne sont pas incluses dans la liste des signatures de fichier. Vous pouvez alors ajuster votre signature de fichier pour inclure les applications requises par des utilisateurs. Vous pouvez leur donner un avertissement appropri avant de bloquer les applications dsapprouves. ajoutez les excutables que vous voulez autoriser mme s'ils ne figurent pas dans la signature de fichier. Imposez le verrouillage du systme et bloquez les applications dsapprouves.
Vous avez la possibilit de dfinir l'affichage d'un message personnalis adress aux utilisateurs dont les applications sont bloques. Se reporter "Prrequis au verrouillage du systme" la page 637. Se reporter "Configurer le verrouillage du systme" la page 638. Se reporter "A propos de l'autorisation d'utiliser des applications, des correctifs et des utilitaires" la page 629.
Fusionnez les listes de signatures de Vous pouvez fusionner des listes de signatures de fichiers fichiers multiples. Par exemple, vous pouvez utiliser diffrentes images pour diffrents groupes dans votre entreprise.
638
Personnalisation des politiques de contrle des applications et des priphriques Configurer le verrouillage du systme
Avant de bloquer les excutables dsapprouvs, vous pouvez ajouter une ou plusieurs listes de signatures de fichiers. Ajoutez les applications devant toujours tre autorises et consignez les rsultats dans le journal de contrle.
Vrifiez la liste des applications non Au bout de quelques jours de tests du verrouillage, autorises vous pouvez afficher la liste des applications non autorises. Cette liste affiche les applications dsapprouves que les utilisateurs dans le groupe excutent. Vous pouvez dcider d'ajouter ou non plus d'applications la liste de signatures de fichiers ou la liste des applications autorises. Activez le verrouillage du systme. Vous pouvez ensuite activer le verrouillage du systme bloquant les applications qui ne sont pas incluses dans les listes de signatures de fichiers.
A l'tape 1, vous contrlez les applications qui s'excutent sur les ordinateurs client. Vous pouvez galement suivre ces applications dans la liste des applications dsapprouves. La liste des applications dsapprouves inclut les applications que les clients excutent mais qui ne sont pas rpertories dans la liste des signatures de fichiers des applications approuves. Le client ne bloque pas les applications dsapprouves. Avant de bloquer ces applications, vous pouvez suivre les applications que les clients utilisent des fins informationnelles. Vous pouvez galement vrifier si des applications apparaissent dans la liste des applications dsapprouves. Si un test est en cours, l'tat indique depuis combien de temps il s'excute et si des exceptions se sont produites. Excutez le verrouillage du systme en mode de test suffisamment longtemps pour dtecter les applications dsapprouves qui s'excutent sur les ordinateurs client. Activez alors le verrouillage du systme. Se reporter "A propos du verrouillage du systme" la page 636. Se reporter "Prrequis au verrouillage du systme" la page 637. A l'tape 2, vous activez le verrouillage du systme. Aprs avoir lanc le verrouillage du systme en mode de test suffisamment longtemps pour dtecter les applications non autorises qui s'excutent, dfinissez les paramtres suivants :
Personnalisation des politiques de contrle des applications et des priphriques Configurer le verrouillage du systme
639
Ajoutez les applications la liste des applications approuves ou ajoutez les applications l'image o vous avez cr la signature de fichier. Vous pouvez informer un utilisateur qu'il ne peut plus accder un ordinateur. Vous pouvez galement lui signifier que les applications spcifies peuvent tre utilises une date ultrieure spcifique que vous indiquez. Vous faites alors le ncessaire pour verrouiller le systme cette date. Aucune autre mesure n'est ncessaire.
Remarque : Vous pouvez galement crer des rgles de filtrage afin d'autoriser les applications approuves sur le client. Pour configurer le verrouillage du systme
1 2 3 4
Dans la console, cliquez sur Clients. Sous Afficher les clients, trouvez le groupe pour lequel vous voulez configurer le verrouillage du systme. Dans l'onglet Politiques, cliquez sur Verrouillage du systme. Dans la bote de dialogue Verrouillage du systme pour nom du groupe, cliquez sur Etape 1 : Consigner les applications non autorises uniquement pour activer cette protection en mode test. Cette option consigne les applications rseau dsapprouves en cours d'excution sur les ordinateurs client.
Cliquez sur Etape 2 : Activer le verrouillage du systme pour activer cette protection. Cette tape bloque les applications dsapprouves que les clients essayent d'excuter. Sous Applications approuves, ajoutez ou supprimez des listes de signatures de fichier ou des fichiers. Se reporter "Modifier une liste de signatures de fichier dans Symantec Endpoint Protection Manager" la page 632.
640
Personnalisation des politiques de contrle des applications et des priphriques Configurer le verrouillage du systme
Cochez Tester avant suppression pour les listes des signatures de fichier ou les applications tester avant de les supprimer dfinitivement. Quand vous cochez cette option, les applications associes sont consignes dans le journal de contrle en tant qu'applications non approuves. Cependant, les applications ne sont pas bloques sur vos ordinateurs client. Vous pouvez supprimer dfinitivement la liste des signatures de fichier ou les applications ultrieurement.
Pour afficher la liste des applications dsapprouves, cliquez sur Afficher les applications dsapprouves. Dans la bote de dialogue Applications dsapprouves, passez en revue les applications. Cette liste indique le moment de l'excution de l'application, le nom d'hte de l'ordinateur, le nom d'utilisateur client et le nom du fichier excutable.
Dterminez la manire de traiter les applications dsapprouves. Vous pouvez ajouter les noms des applications que vous voulez autoriser dans la liste des applications approuves. Vous pouvez ajouter l'excutable l'image d'ordinateur la prochaine fois que vous crez une signature de fichier.
10 Cliquez sur Fermer. 11 Pour spcifier les excutables qui sont toujours autoriss mme s'ils ne sont
pas inclus dans la liste des signatures de fichiers, dans la liste Nom du fichier, cliquez sur Ajouter.
Personnalisation des politiques de contrle des applications et des priphriques Configurer le verrouillage du systme
641
15 Pour slectionner les fichiers par type d'ID de priphrique, cochez l'option
Slectionner seulement les fichiers sur les types d'ID de priphrique suivants, puis cliquez sur Slectionner.
16 Cliquez sur un priphrique de la liste, puis sur OK. 17 Cliquez sur OK. 18 Pour afficher un message sur l'ordinateur client quand le client bloque une
application, slectionnez l'option Informer l'utilisateur si une application est bloque.
642
Personnalisation des politiques de contrle des applications et des priphriques Configurer le verrouillage du systme
Section
644
Chapitre
34
A propos des politiques d'exceptions centralises Configuration d'une politique d'exceptions centralises Configurer des restrictions client pour des exceptions centralises Cration d'exceptions centralises partir des vnements de journal
Analyses antivirus et antispyware Se reporter "Configuration d'une exception centralise pour l'analyse antivirus et antispyware sur des clients Windows" la page 650. Se reporter "Configuration d'une exception centralise pour des fichiers ou dossiers sur des clients Mac" la page 654. Analyse proactive des menaces TruScan Se reporter "Configuration d'une exception centralise pour les analyses proactives des menaces TruScan" la page 655. Analyses des protections contre les interventions Se reporter "Configurer une exception centralise pour la protection contre les interventions" la page 657.
646
Configuration des politiques d'exceptions centralises A propos des politiques d'exceptions centralises
Remarque : Les analyses antivirus et antispyware incluent toutes les analyses d'Auto-Protect, les analyses planifies, les analyses la demande ou les analyses dfinies par l'utilisateur. Gnralement, les exceptions sont des risques ou des processus que vous voulez que le logiciel client exclue des analyses. Si vous utilisez des exceptions sur des ordinateurs client, vous pouvez rduire le temps d'analyse. Si vous rduisez le temps d'analyse, vous augmentez la performance du systme sur les ordinateurs client. Pour les analyses proactives des menaces TruScan, vous pouvez souhaiter que le logiciel client dtecte un processus spcifique non dtect par dfaut. Vous pouvez crer une exception pour forcer la dtection. Lorsque la dtection s'affiche dans la liste des processus dtects, vous pouvez crer une autre exception pour spcifier une action pour la dtection. Se reporter "Configurer une exception pour obliger les analyses proactives des menaces TruScan dtecter un processus" la page 656. Remarque : Pour les analyses antivirus et antispyware ou de protection contre les interventions, utilisez des exceptions centralises pour spcifier les lments particuliers exclure des analyses. Toutefois, pour les analyses proactives des menaces, utilisez des exceptions centralises pour spcifier des actions pour les processus dtects ou pour forcer une dtection. Lorsque vous crez une politique d'exceptions centralises, ces exceptions s'appliquent toutes les analyses de ce type sur l'ordinateur client qui utilise la politique. Vous pouvez inclure toutes les exceptions dans la mme politique. A la diffrence d'autres politiques, la console Symantec Endpoint Protection Manager n'inclut pas une politique d'exceptions centralises par dfaut. Vous devez crer une nouvelle politique. Vous pouvez crer des politiques d'exceptions centralises dans la page Politiques, ou vous pouvez crer des politiques d'exceptions centralises dans la page Clients de la console de gestion. Vous pouvez ajouter des exceptions une politique d'exceptions centralises en utilisant les journaux de la console de gestion. Vous devez crer une politique d'exceptions centralises avant de pouvoir utiliser cette mthode pour crer des exceptions. Se reporter "Cration d'exceptions centralises partir des vnements de journal" la page 658.
Configuration des politiques d'exceptions centralises A propos des politiques d'exceptions centralises
647
648
Configuration des politiques d'exceptions centralises A propos des politiques d'exceptions centralises
A propos des exceptions centralises pour les analyses proactives des menaces TruScan
Vous pouvez vouloir exclure certains processus des analyses proactives des menaces. Vous devez dterminer qu'il est sr d'excuter les processus que vous souhaitez exclure sur les ordinateurs client de votre rseau de scurit. Pour exclure un processus dtect, vous dfinissez l'action de dtection sur ignorer. Vous pouvez galement crer une exception centralise pour spcifier que certains processus ne sont pas autoriss. Pour spcifier que des processus ne sont pas autoriss, vous dfinissez l'action de dtection sur la mise en quarantaine ou l'arrt. Se reporter "Ajouter une exception centralise pour des vnements d'analyse proactive des menaces TruScan" la page 660. Vous pouvez imposer une dtection proactive de menaces en crant une exception centralise qui spcifie un nom de fichier. Lorsque l'analyse proactive des menaces dtecte le fichier, le client consigne l'instance. Puisque les noms de fichier ne sont pas unique, plusieurs processus peuvent utiliser le mme nom de fichier. Vous pouvez utiliser une dtection obligatoire pour vous aider crer une exception afin de mettre en quarantaine ou terminer un processus associ au fichier. Se reporter "Comment les analyses proactives des menaces TruScan fonctionnent avec des exceptions centralises" la page 590.
Configuration des politiques d'exceptions centralises Configuration d'une politique d'exceptions centralises
649
Les utilisateurs ne peuvent pas crer d'exceptions pour imposer des dtections pour des analyses proactives des menaces. Les utilisateurs ne peuvent pas slectionner dans une liste de processus dtects pour crer une exception pour des analyses proactives des menaces. Cependant, les utilisateurs peuvent slectionner un fichier sur l'ordinateur client pour crer une exception d'analyse proactive des menaces. Les utilisateurs ne peuvent crer aucune exception pour la protection contre les interventions.
Vous pouvez restreindre des utilisateurs sur des ordinateurs client de sorte qu'ils ne puissent pas crer d'exceptions pour des analyses antivirus et antispyware ou pour des analyses proactives des menaces. Se reporter "Configurer des restrictions client pour des exceptions centralises" la page 658.
1 2
Dans la page de politique d'exceptions centralises, cliquez sur Exceptions centralises. Sous Exceptions centralises, cliquez sur Ajouter, puis effectuez l'une des actions suivantes :
Cliquez sur Exceptions Windows > Exceptions de risques de scurit, ou Exceptions Mac > Exception de risques de scurit pour un fichier ou
650
Configuration des politiques d'exceptions centralises Configuration d'une politique d'exceptions centralises
un dossier. Puis, ajoutez les exceptions de risque de scurit inclure dans la politique. Se reporter "Configuration d'une exception centralise pour l'analyse antivirus et antispyware sur des clients Windows" la page 650. Se reporter "Configuration d'une exception centralise pour des fichiers ou dossiers sur des clients Mac" la page 654.
Cliquez sur Exceptions Windows > Exceptions d'analyse proactive des menaces TruScan, puis ajoutez une exception d'analyse proactive des menaces inclure dans la politique. Se reporter "Configuration d'une exception centralise pour les analyses proactives des menaces TruScan" la page 655. Cliquez sur Windows Exceptions > Exception de protection contre les interventations, puis ajoutez une exception d'analyse proactive des menaces inclure dans la politique. Se reporter "Configurer une exception centralise pour la protection contre les interventions" la page 657.
3 4
Rptez l'tape 2 pour ajouter d'autres d'exceptions. Si vous avez termin de configurer cette politique, cliquez sur OK.
Configuration d'une exception centralise pour l'analyse antivirus et antispyware sur des clients Windows
Vous pouvez crer des exceptions pour des risques de scurit connus, des fichiers, des dossiers ou des extensions de fichier. Les exceptions s'appliquent toutes les analyses antivirus et antispyware qui s'excutent sur les ordinateurs client qui utilisent la politique. Remarque : Vous pouvez crer une exception seulement pour des fichiers ou des dossiers de clients Mac. Se reporter "Configuration d'une exception centralise pour des fichiers ou dossiers sur des clients Mac" la page 654. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilises dans la procdure.
Configuration des politiques d'exceptions centralises Configuration d'une politique d'exceptions centralises
651
Pour configurer une exception centralise pour l'analyse antivirus et antispyware sur des clients Windows
1 2
Sur la page Politique d'exceptions centralises, cliquez sur Exceptions centralises. Sous Exceptions centralises, cliquez sur Ajouter > Exceptions Windows > Exceptions de risques de scurit, puis effectuez l'une des oprations :
Cliquez sur Risques connus, puis configurez l'exception. Se reporter "Configurer des exceptions centralises pour des risques de scurit connus" la page 651. Cliquez sur Fichier, puis configurez l'exception. Se reporter "Configuration d'une exception centralise pour un fichier pour des clients Windows" la page 652. Cliquez sur Dossier, puis configurez l'exception. Se reporter "Configuration d'une exception centralise pour un dossier pour des clients Windows" la page 653. Cliquez sur Extensions, puis configurez l'exception. Se reporter "Configurer une exception centralise pour une extension de fichier" la page 653.
3 4
Cliquez sur OK. Si vous avez termin de configurer cette politique, cliquez sur OK.
1 2
Sur la page Politique d'exceptions centralises, cliquez sur Exceptions centralises. Sous Exceptions centralises, cliquez sur Ajouter > Exceptions Windows > Exceptions de risques de scurit > Risques connus.
652
Configuration des politiques d'exceptions centralises Configuration d'une politique d'exceptions centralises
Dans la bote de dialogue Exceptions de risques de scurit connus, slectionnez un ou plusieurs risques de scurit que vous voulez exclure des analyses antivirus et antispyware. Cochez Consigner lorsque le risque de scurit est dtect si vous voulez consigner la dtection. Si vous ne cochez pas cette option, le client ignore le risque quand il dtecte les risques slectionns. Le client ne consigne donc pas la dtection.
5 6
Cliquez sur OK. Si vous avez termin de configurer cette politique, cliquez sur OK.
Configuration d'une exception centralise pour un fichier pour des clients Windows
Vous ajoutez des exceptions pour des fichiers individuellement. Si vous voulez crer des exceptions pour plus d'un fichier, rptez la procdure. Se reporter "Configuration d'une exception centralise pour l'analyse antivirus et antispyware sur des clients Windows" la page 650. Pour configurer une exception centralise pour un fichier pour des clients Windows
1 2 3
Sur la page Politique d'exceptions centralises, cliquez sur Exceptions centralises. Sous Exceptions centralises, cliquez sur Ajouter > Exceptions Windows > Exceptions de risques de scurit > Fichier. Sous Exception de fichier risques de scurit, dans la liste droulante Variable de prfixe, slectionnez un dossier commun. Lorsque vous slectionnez un prfixe, l'exception peut tre utilise sur diffrents systmes d'exploitation Windows. Slectionnez [AUCUN] si vous souhaitez saisir le chemin absolu et le nom de fichier. Remarque : Les chemins d'accs de dossier pour des clients Windows doivent tre dnots l'aide d'une barre oblique arrire.
Dans la zone de texte Fichier, saisissez le nom du fichier. Si vous avez slectionn une variable de prfixe, le chemin d'accs doit tre relatif au prfixe. Si vous avez slectionn [AUCUN], saisissez le nom de chemin d'accs complet du fichier.
Configuration des politiques d'exceptions centralises Configuration d'une politique d'exceptions centralises
653
5 6
Cliquez sur OK. Si vous avez termin de configurer cette politique, cliquez sur OK.
Configuration d'une exception centralise pour un dossier pour des clients Windows
Vous ajoutez des exceptions pour des dossiers individuellement. Si vous voulez crer des exceptions pour plus d'un dossier, rptez la procdure. Se reporter "Configuration d'une exception centralise pour l'analyse antivirus et antispyware sur des clients Windows" la page 650. Pour configurer une exception centralise pour un dossier pour des clients Windows
1 2 3
Sur la page Politique d'exceptions centralises, cliquez sur Exceptions centralises. Sous Exceptions centralises, cliquez sur Ajouter > Exceptions Windows > Exceptions de risques de scurit > Dossier. Sous Exception de dossiers risques, dans la liste droulante Variable de prfixe, slectionnez un dossier commun. Lorsque vous slectionnez un prfixe, l'exception peut tre utilise sur diffrents systmes d'exploitation Windows. Slectionnez [AUCUN] si vous souhaitez saisir le chemin absolu et le nom de fichier. Remarque : Les chemins d'accs de dossier pour des clients Windows doivent tre dnots l'aide d'une barre oblique arrire.
Dans la zone de texte Dossier, saisissez le nom du dossier. Si vous avez slectionn une variable de prfixe, le chemin d'accs doit tre relatif au prfixe. Si vous avez slectionn [AUCUN], saisissez le nom de chemin d'accs complet.
5 6
Cliquez sur OK. Si vous avez termin de configurer cette politique, cliquez sur OK.
654
Configuration des politiques d'exceptions centralises Configuration d'une politique d'exceptions centralises
Se reporter "Configuration d'une exception centralise pour l'analyse antivirus et antispyware sur des clients Windows" la page 650. Remarque : Vous ne pouvez ajouter qu'une seule extension la fois. Si vous entrez des noms d'extension multiples dans la zone de texte Ajouter, la politique traite l'entre comme un seul nom d'extension. Pour configurer une exception centralise pour une extension de fichier
1 2 3 4 5 6
Sur la page Politique d'exceptions centralises, cliquez sur Exceptions centralises. Sous Exceptions centralises, cliquez sur Ajouter > Exceptions Windows > Exceptions de risques de scurit > Extension. Dans la zone de texte, tapez l'extension que vous voulez exclure, puis cliquez sur Ajouter. Rptez l'tape 3 pour ajouter d'autres extensions l'exception. Cliquez sur OK. Si vous avez termin de configurer cette politique, cliquez sur OK.
Configuration d'une exception centralise pour des fichiers ou dossiers sur des clients Mac
Si vous configurez une exception centralise pour des fichiers ou dossiers sur des clients Mac, vous devez slectionner l'option approprie dans la politique antivirus et antispyware pour les analyses Auto-Protect. Se reporter "Configuration d'Auto-Protect pour le systme de fichiers pour les clients Mac" la page 487. Se reporter "Configuration d'une politique d'exceptions centralises" la page 649. Pour configurer une exception centralise pour des fichiers ou dossiers sur des clients Mac
1 2
Sur la page Politique d'exceptions centralises, cliquez sur Exceptions centralises. Sous Exceptions centralises, cliquez sur Ajouter > Exceptions Mac > Exceptions de risques de scurit pour le fichier ou le dossier.
Configuration des politiques d'exceptions centralises Configuration d'une politique d'exceptions centralises
655
Sous Exception de fichier ou dossier risques de scurit, dans la liste droulante Variable de prfixe, slectionnez un dossier commun. Slectionnez [AUCUN] pour saisir le chemin absolu et le nom de fichier. Remarque : Les chemins d'accs de dossier pour les clients Mac doivent tre dnots l'aide d'une barre oblique arrire.
Dans la zone de texte Dossier, saisissez le nom du dossier. Si vous slectionnez une variable de prfixe, le chemin d'accs doit tre relatif au prfixe. Si vous slectionnez [AUCUN], saisissez le nom de chemin d'accs complet.
5 6
Cliquez sur OK. Une fois la dfinition de la politique termine, cliquez sur OK.
Configuration d'une exception centralise pour les analyses proactives des menaces TruScan
Vous pouvez configurer des exceptions pour exclure des processus dtects des futures analyses proactives des menaces. Vous pouvez galement obliger une analyse proactive des menaces dtecter un processus particulier. Pour configurer une exception centralise pour les analyses proactives des menaces TruScan
1 2
Sur la page Politique d'exceptions centralises, cliquez sur Exceptions centralises. Cliquez sur Ajouter > Exceptions Windows > Exceptions d'analyse proactive des menaces TruScan, puis effectuez l'une des oprations suivantes :
Cliquez sur Processus dtects. Se reporter "Configurer une exception centralise pour un processus dtect" la page 656. Cliquez sur Traiter. Se reporter "Configurer une exception pour obliger les analyses proactives des menaces TruScan dtecter un processus" la page 656.
3 4
Cliquez sur OK. Si vous avez termin de configurer cette politique, cliquez sur OK.
656
Configuration des politiques d'exceptions centralises Configuration d'une politique d'exceptions centralises
1 2 3 4 5 6
Sur la page Politique d'exceptions centralises, cliquez sur Exceptions centralises. Cliquez sur Ajouter > Exceptions Windows > Exceptions d'analyse proactive des menaces TruScan > Processus dtects. Slectionnez les processus pour lesquels vous voulez crer une exception. Dans la zone droulante Action, slectionnez Ignorer, Terminer, Mettre en quarantaine ou Consigner seulement. Cliquez sur OK. Si vous avez termin de configurer cette politique, cliquez sur OK.
Configurer une exception pour obliger les analyses proactives des menaces TruScan dtecter un processus
Vous pouvez configurer une exception pour obliger les analyses proactives des menaces dtecter un processus. Vous pourriez configurer ce type d'exception quand les analyses proactives des menaces ne dtectent pas actuellement un processus particulier. Quand de futures analyses auront dtect le processus spcifi, vous pourrez crer une autre exception pour traiter le processus. Se reporter "Configurer une exception centralise pour un processus dtect" la page 656.
Configuration des politiques d'exceptions centralises Configuration d'une politique d'exceptions centralises
657
Pour configurer une exception pour obliger les analyses proactives des menaces TruScan dtecter un processus
1 2 3
Sur la page Politique d'exceptions centralises, cliquez sur Exceptions centralises. Cliquez sur Ajouter > Exceptions Windows > Exceptions d'analyse proactive des menaces TruScan > Processus. Dans la bote de dialogue, tapez le nom du processus. Par exemple, vous pouvez taper le nom d'un fichier excutable comme suit : foo.exe
4 5
Cliquez sur OK. Si vous avez termin de configurer cette politique, cliquez sur OK.
1 2 3
Sur la page Politique d'exceptions centralises, cliquez sur Exceptions centralises. Cliquez sur Ajouter > Exceptions Windows > Exception de protection contre les interventions. Dans la bote de dialogue Ajouter une exception la protection contre les interventions, dans la liste droulante Variable de prfixe, slectionnez un dossier commun. Lorsque vous slectionnez un prfixe, l'exception peut tre utilise sur diffrents systmes d'exploitation Windows. Slectionnez [AUCUN] si vous souhaitez saisir le chemin absolu et le nom de fichier.
658
Configuration des politiques d'exceptions centralises Configurer des restrictions client pour des exceptions centralises
Dans la zone de texte Fichier, saisissez le nom du fichier. Si vous avez slectionn un prfixe, le chemin d'accs doit tre relatif au prfixe. Si vous avez slectionn [AUCUN] comme prfixe, saisissez le nom de chemin d'accs complet.
5 6
Cliquez sur OK. Si vous avez termin de configurer cette politique, cliquez sur OK.
1 2 3
Sur la page Politique d'exceptions centralises, cliquez sur Restrictions de client. Sous Restrictions de client, cochez ou dcochez Exceptions de risque de scurit et Exceptions d'analyse proactive des menaces TruScan. Si vous avez termin de configurer cette politique, cliquez sur OK.
Configuration des politiques d'exceptions centralises Cration d'exceptions centralises partir des vnements de journal
659
Quand vous crez des exceptions partir des vnements de journal, vous ajoutez un risque, un fichier, un dossier, une extension ou un processus la politique d'exceptions centralises. Vous spcifiez la politique d'exceptions centralises quand vous crez l'exception. Se reporter "A propos des journaux" la page 287. Pour crer des exceptions centralises partir des vnements de journal
1 2
Dans l'onglet Contrles, cliquez sur l'onglet de Journaux. Dans la liste droulante Type de journal, slectionnez l'une des options suivantes :
Risque Analyse proactive des menaces TruScan Contrle des applications et des priphriques
3 4 5
Si vous avez slectionn Contrle des applications et des priphriques, slectionnez Contrle des applications dans la liste de contenu du journal. Cliquez sur Afficher le journal. Suivez les instructions pour ajouter des exceptions centralises pour le type de journal que vous avez slectionn. Se reporter "Ajouter une exception centralise pour des vnements de risque" la page 659. Se reporter "Ajouter une exception centralise pour des vnements d'analyse proactive des menaces TruScan" la page 660. Se reporter "Ajout d'une exception centralise pour des vnements de protection contre les interventions" la page 661.
1 2
Sur la page Journaux de risque, slectionnez un ou plusieurs vnements pour lesquels vous voulez ajouter une exception centralise. En regard de Action, slectionnez l'une des options suivantes :
Ajouter le risque la politique d'exception centralise Ajouter le fichier la politique d'exception centralise
660
Configuration des politiques d'exceptions centralises Cration d'exceptions centralises partir des vnements de journal
Ajouter le dossier la politique d'exception centralise Ajouter l'extension la politique d'exception centralise
3 4
Cliquez sur Dmarrer. Dans la bote de dialogue, vous pouvez supprimer l'un des risques, fichiers, dossiers ou extensions associs l'vnement. Si vous supprimez des lments, vous ne les incluez pas dans l'exception. Si aucun lment n'apparat dans les listes de risques, fichiers, dossiers ou extensions, vous ne pouvez pas crer d'exception.
5 6 7
Pour les risques de scurit, cochez sur Consigner lorsque le risque de scurit est dtect si vous voulez que le logiciel client consigne la dtection. Slectionnez toutes les politiques d'exceptions centralises qui doivent utiliser cette exception. Cliquez sur OK.
Ajouter une exception centralise pour des vnements d'analyse proactive des menaces TruScan
Vous pouvez ajouter une exception centralise pour des vnements d'analyse proactive des menaces. Se reporter "Cration d'exceptions centralises partir des vnements de journal" la page 658. Pour ajouter une exception centralise pour des vnements d'analyse proactive des menaces TruScan
Sur la page Journaux d'analyse proactive contre les menaces TruScan, slectionnez un ou plusieurs vnements pour lesquels vous voulez ajouter une exception centralise. En regard de Action, slectionnez Ajouter le processus la politique d'exception centralise. Cliquez sur Dmarrer. Dans la bote de dialogue, dans la liste droulante Rponse, slectionnez l'action de dtection pour le processus. En option, vous pouvez supprimer tous les processus que vous ne voulez pas inclure dans l'exception.
2 3 4
5 6
Slectionnez les politiques d'exceptions centralises qui doivent inclure cette exception. Cliquez sur OK.
Configuration des politiques d'exceptions centralises Cration d'exceptions centralises partir des vnements de journal
661
Ajout d'une exception centralise pour des vnements de protection contre les interventions
Vous pouvez ajouter une exception centralise pour des vnements de protection contre les interventions. La fonction Protection contre les interventions doit dj avoir bloqu l'application que vous voulez autoriser. Une fois que la protection contre les interventions a bloqu l'application, l'ordinateur client consigne l'vnement et l'envoie au serveur de gestion. Vous pouvez utiliser l'vnement de journal pour crer l'exception. Se reporter "Cration d'exceptions centralises partir des vnements de journal" la page 658. Pour ajouter une exception centralise pour des vnements de Protection contre les interventions
Dans la page Journaux du contrle des application et des priphriques, slectionnez un ou plusieurs vnements pour lesquels vous voulez ajouter une exception centralise. Par exemple, vous pourriez slectionner un ou plusieurs vnements qui s'appliquent aux applications de technologie d'aide que vous voulez excuter.
2 3 4
En regard d'Action, slectionnez Ajouter le fichier la politique d'exception centralise. Cliquez sur Dmarrer. Pour supprimer un fichier que vous ne voulez pas inclure dans l'exception, slectionnez le fichier et cliquez sur Supprimer. Rptez cette tape pour supprimer d'autres fichiers.
5 6
Slectionnez les politiques d'exceptions centralises qui doivent inclure cette exception. Cliquez sur OK.
662
Configuration des politiques d'exceptions centralises Cration d'exceptions centralises partir des vnements de journal
Annexe
smc -checkrunning
664
Paramtre
smc -dismissgui
Description
Ferme l'interface utilisateur client de Symantec Endpoint Protection ou Symantec Network Access Control, y compris l'icone de zone de notification. Le client s'excute toujours et protge l'ordinateur client. Retourne 0
smc -exportlog
Exporte le contenu entier d'un journal vers un fichier .txt. Pour exporter un journal, utilisez la syntaxe suivante : smc -exportlog type_journal 0 -1 fichier_sortie o : log_type est :
0 = journal systme 1 = journal de scurit 2 = journal du trafic 3 = journal des paquets 4 = journal de contrle Par exemple, vous pourriez saisir la syntaxe suivante : smc -exportlog 2 0 -1 c:\temp\TrafficLog O : 0 reprsente le dbut du fichier -1 reprsente la fin du fichier Vous pouvez seulement exporter le journal de contrle, le journal des paquets, le journal de scurit, le journal systme et le journal du trafic.
output_file est le nom du chemin d'accs et le nom de fichier que vous attribuez au fichier export. Retourne 0, -2, -5 smc -runhi Si Symantec Network Access Control est install, excute une vrification d'intgrit de l'hte. Retourne 0 smc -showgui Affiche l'interface utilisateur client de Symantec Endpoint Protection ou Symantec Network Access Control. Retourne 0
665
Paramtre
smc -updateconfig
Description
Vrifie si le fichier de configuration sur le serveur de gestion est plus rcent que le fichier de configuration sur le client. Le fichier de configuration inclut tous les paramtres sur le serveur de gestion, tel que les politiques, groupes, paramtres de journal, paramtres de scurit et paramtres d'interface utilisateur. Si le fichier de configuration client est prim, updateconfig tlcharge le fichier de configuration le plus rcent et remplace le fichier de configuration existant, serdef.dat. Retourne 0
Vous pouvez excuter les paramtres dans Tableau A-2 seulement si les conditions suivantes sont remplies :
Le client excute Windows 2003/XP/Vista ou Windows Server 2008 et les utilisateurs sont membres du groupe d'administrateurs Windows. Le client excute Windows 2003/XP et les utilisateurs sont membres du groupe de super-utilisateurs.
Si le client excute Windows Vista et que le contrle de compte d'utilisateur est activ, l'utilisateur devient automatiquement membre la fois des groupes d'administrateurs et d'utilisateurs. Pour utiliser les paramtres suivants, l'utilisateurs doit uniquement tre membre du groupe d'administrateurs. Tableau A-2 Paramtres que les membres du groupe d'administrateurs peuvent utiliser Description
Exporte le fichier de configuration du client vers un fichier.xml. Le fichier de configuration inclut tous les paramtres sur le serveur de gestion, tel que les politiques, groupes, paramtres de journal, paramtres de scurit et paramtres d'interface utilisateur. Vous devez spcifier le nom du chemin d'accs et le nom de fichier. Par exemple, vous pouvez taper la commande suivante : smc -exportconfig C:\My Documents\MyCompanyprofile.xml Retourne 0, -1, -5, -6
Paramtre
smc -exportconfig
666
Paramtre
smc -importconfig
Description
Remplace le contenu du fichier de la configuration actuelle du client par un fichier de configuration import. Le client doit s'excuter pour importer le contenu du fichier de configuration. Vous devez spcifier le nom du chemin d'accs et le nom de fichier. Par exemple, vous pouvez taper la commande suivante : smc -importconfig C:\My Documents\MyCompanyprofile.xml. Retourne 0, -1, -5, -6
smc -exportadvrule
Exporte les rgles de pare-feu du client vers un fichier .sar. Les rgles exportes peuvent seulement tre importes dans un client autonome ou un client gr en mode de commande client ou mixte. Le client gr ignore ces rgles dans le mode de commande de serveur. Vous devez spcifier le nom du chemin d'accs et le nom de fichier. Par exemple, vous pouvez taper la commande suivante : smc -exportadvrule C:\myrules.sar Retourne 0, -1, -5, -6
smc -importadvrule
Ajoute les rgles de pare-feu importes par la liste existante des rgles de pare-feu du client. Ces rgles ne remplacent pas les rgles existantes. Le client liste la fois les rgles existantes et les rgles importes, mme si chaque rgle a les mmes nom et paramtres. Vous ne pouvez importer les rgles de filtrage que dans un client autonome ou un client gr en mode de commande client ou mixte. Le client gr ignore ces rgles dans le mode de commande de serveur. Pour importer des rgles de pare-feu, importez un fichier .sar. Par exemple, vous pouvez taper la commande suivante : smc -importadvrule C:\myrules.sar Une entre est ajoute au journal systme aprs avoir import les rgles. Retourne 0, -1, -5, -6
smc -start
Dmarre le service client Symantec Endpoint Protection ou Symantec Network Access Control. Retourne 0, -1
667
Paramtre
smc -stop
Description
Arrte le service client Symantec Endpoint Protection ou Symantec Network Access Control et le dcharge de la mmoire. Retourne 0, -1
Quand vous importez des fichiers de configuration et des rgles de filtrage, notez que les rgles suivantes s'appliquent :
Vous ne pouvez pas importer de fichiers de configuration ou de rgles de filtrage directement depuis un lecteur rseau mapp. Le client ne prend pas en charge les chemins d'accs UNC (convention de nommage universelle).
Codes d'erreur
Tableau A-3 affiche les codes d'erreur que la commande smc renvoie quand les paramtres requis sont errons ou sont manquants. Tableau A-3 Code d'erreur
0 -1
-2
-3 -4 -5
Le service client smc n'est pas install. Le service client smc ne s'excute pas. Fichier d'entre incorrect. Par exemple, les paramtres importconfig, exportconfig, updateconfig, importadv, exportadvrule et exportlog requirent le nom de chemin et le nom de fichier exact.
668
Code d'erreur
-6
Description
Le fichier d'entre n'existe pas. Par exemple, les paramtres importconfig, updateconfig et importadvrule ncessitent le chemin d'accs, le nom de fichier de configuration (.xml) ou le nom de fichier de rgles de pare-feu exacts (.sar).
-importconfig
-exportconfig
Se reporter "Protection du client par mot de passe" la page 185. Remarque : Le mot de passe est limit 15 caractres ou moins. Pour taper un paramtre si le client est protg par mot de passe
1 2
Sur l'ordinateur client, dans la barre des tches, cliquez sur Dmarrer > Excuter. Dans la bote de dialogue Excuter, tapez cmd
669
O : le paramtre est -stop, -importconfig ou -exportconfig. mot de passe est le mot de passe que vous avez spcifi dans la console. Par exemple, vous pouvez saisir l'une ou l'autre des syntaxes suivantes :
smc -exportconfig c:\profile.xml -p mot de passe, soit smc -p mot de passe -exportconfig c:\profile.xml
670
Annexe
sylink.xml
672
A propos des paramtres de communication entre le client et le serveur A propos des paramtres de communication entre le client et le serveur
Nom de fichier
SerState.dat
Description
Un fichier chiffr qui stocke des informations sur l'interface utilisateur, tel que la taille de l'cran du client, si la console du client pour la protection contre les menaces rseau apparat et si les services Windows apparaissent. Lorsque le client dmarre, il lit ce fichier et reprend depuis l'tat d'interface graphique dans lequel il tait avant d'tre arrt.
Annexe
Fonctions de gestion par plate-forme Fonctions de protection client par plate-forme Paramtres de politique antivirus et antispyware disponibles pour Windows et Mac Paramtres de politique LiveUpdate disponibles pour Windows et Mac
Fonctionnalit
Dploiement du client distance Oui depuis Symantec Endpoint Protection Manager Gestion de client partir de Symantec Endpoint Protection Manager Oui
Oui
674
Informations de gestion et de protection du client par la plate-forme Fonctions de gestion par plate-forme
Fonctionnalit
Mise jour des dfinitions de virus et de produit partir du serveur de gestion Excution des commandes partir du serveur de gestion
Windows
Oui
Mac
Non
Analyse Mise jour de contenu et analyse Redmarrage des ordinateurs client Activation d'Auto-Protect Redmarrage des ordinateurs client Activation d'Auto-Protect Activation de la protection contre les menaces rseau Dsactivation de la protection contre les menaces rseau
Analyse Mise jour de contenu et analyse Redmarrage des ordinateurs client Activation d'Auto-Protect Redmarrage des ordinateurs client Activation d'Auto-Protect
Installation des mises jour en utilisant des fournisseurs de mises jour groupes
Oui
Non
Excution de Intelligent Updater Oui Mises jour de package pour des Oui outils tiers dans le serveur de gestion Dfinition des analyses alatoires Oui Dfinition des mises jour alatoires Oui
Oui Non*
Non Oui
*Cependant, vous pouvez excuter Intelligent Updater pour obtenir des mises jour de contenu Mac. Vous pouvez alors pousser les mises jour aux clients Mac l'aide d'un outil tiers tel que Apple Remote Desktop. Se reporter "Utiliser l'Intelligent Updater pour tlcharger des mises jour du contenu d'antivirus pour la distribution" la page 167.
Informations de gestion et de protection du client par la plate-forme Fonctions de protection client par plate-forme
675
Se reporter "Utiliser l'Intelligent Updater pour tlcharger des mises jour du contenu d'antivirus pour la distribution" la page 167. Se reporter "Paramtres de politique antivirus et antispyware disponibles pour Windows et Mac" la page 676. Se reporter "Paramtres de politique LiveUpdate disponibles pour Windows et Mac" la page 678. Se reporter "Fonctions de protection client par plate-forme" la page 675.
Windows 2000 Professional Edition, Windows XP, Windows Vista, Windows 7, 32 bits
Oui Oui
Auto-Protect pour le systme Oui de fichiers Auto-Protect pour messagerie Internet Oui
Non
Non
Non
Non
Non
Auto-Protect pour Microsoft Oui Outlook Auto-Protect pour Lotus Notes Analyses proactives des menaces TruScan Pare-feu Oui
Non
Oui
Non
Non
Non
Non
Oui
Non
Non
Non
Oui
Oui
Oui
Oui
Non
Non
Oui
Oui
Oui
Oui
Non
Non
676
Informations de gestion et de protection du client par la plate-forme Paramtres de politique antivirus et antispyware disponibles pour Windows et Mac
Fonction client
Windows 2000 Professional Edition, Windows XP, Windows Vista, Windows 7, 32 bits
Oui Oui
Linux
Prvention des intrusions Contrle d'application et contrle de priphrique Intgrit de l'hte Protection contre les interventions
Oui Non
Oui Oui
Oui Non
Non Non
Non Non
Oui Oui
Oui Non
Oui Oui
Oui Non
Non Non
Non Non
Se reporter "Fonctions de gestion par plate-forme" la page 673. Se reporter "Paramtres de politique antivirus et antispyware disponibles pour Windows et Mac" la page 676. Se reporter "Paramtres de politique LiveUpdate disponibles pour Windows et Mac" la page 678.
Informations de gestion et de protection du client par la plate-forme Paramtres de politique antivirus et antispyware disponibles pour Windows et Mac
677
Tableau C-3
Paramtre de politique
Dfinition des actions pour des analyses
Windows
Vous pouvez spcifier les premires et Vous pouvez spcifier l'une ou l'autre des deuximes actions quand diffrents types actions suivantes : de virus ou de risque sont trouvs. Vous Rparer automatiquement les fichiers pouvez dfinir les lments suivants : infects Nettoyer Mettre en quarantaine les fichiers ne pouvant pas tre rpars Mettre en quarantaine
Spcifier la rsolution si un Vous pouvez dfinir les actions de virus ou un risque est trouv rsolution suivantes : Sauvegarder des fichiers avant la rparation Terminer les processus
Dfinir le type d'analyse Ressayer les analyses planifies Dfinir les analyses pour vrifier des emplacements supplmentaires (amlioration d'analyse) Configurer des analyses de migration de stockage Configurer des exceptions d'analyse
Oui
Non
Oui
Non
Spcifiez le paramtre dans la politique antivirus et antispyware et configurez la politique d'exceptions centralises
Se reporter "Fonctions de gestion par plate-forme" la page 673. Se reporter "Paramtres de politique LiveUpdate disponibles pour Windows et Mac" la page 678. Se reporter "Fonctions de protection client par plate-forme" la page 675.
678
Informations de gestion et de protection du client par la plate-forme Paramtres de politique LiveUpdate disponibles pour Windows et Mac
Paramtre de politique
Utiliser le serveur de gestion par dfaut Oui Utiliser un serveur LiveUpdate (interne Oui ou externe) Utiliser un fournisseur de mises jour Oui groupes Activer la gestion de contenu tiers Planification de LiveUpdate Paramtres utilisateur Paramtres de mise jour du produit Oui Oui Oui Oui
Non
*Cependant, vous pouvez excuter Intelligent Updater pour obtenir des mises jour de contenu Mac. Vous pouvez alors pousser les mises jour aux clients Mac l'aide d'un outil tiers tel que Apple Remote Desktop. Se reporter "Utiliser l'Intelligent Updater pour tlcharger des mises jour du contenu d'antivirus pour la distribution" la page 167. Se reporter "Fonctions de gestion par plate-forme" la page 673. Se reporter "Paramtres de politique antivirus et antispyware disponibles pour Windows et Mac" la page 676. Se reporter "Fonctions de protection client par plate-forme" la page 675.
Index
A
Accueil, page Symantec Endpoint Protection liens Security Response 224 personnalisation 222 Active Directory, contrleur de domaine exclusions automatiques 447 Active Directory, serveur filtre 354 importation de donnes utilisateur 60 adaptateurs. Se reporter adaptateurs rseau administrateur propos de 327 ajouter 329 authentification 335 basculer le type de 333 droits d'accs 330 modifier le mot de passe 337 renommer 336 types 326 verrouiller le compte aprs un chec de connexion 333 administrateur de domaine 327 administrateur limit propos de 328 configurer les droits d'accs 332 administrateur systme propos de 327 administrer domaines 325 ajout administrateur 329 d'un groupe 59 ajout de produits Protection Center 51 Analyse journal 295 journaux 261 rapports 261 Analyse proactive contre les menaces TruScan journal 255
Analyse proactive des menaces TruScan exceptions centralises 648 journal 294 analyse proactive des menaces TruScan niveau de sensibilit 594 paramtres par dfaut 583 analyses 448 Voir aussi analyses planifies propos 442 affectation d'actions 456 afficher un message d'avertissement sur le client 469 antivirus et protection antispyware 463 exceptions centralises 647 arrtes 510 Auto-Protect 443 en sommeil 510 exclusion de fichiers de l'analyse 455 excution la demande 508 extensions de fichier recommandes 452 options avances pour des analyses dfinies par l'administrateur 511 options de progression d'analyse 510 slection des fichiers et des dossiers analyser 451 suspendues 510 analyses la demande excution 508 analyses dfinies par l'administrateur 501 Voir aussi analyses la demande Voir aussi analyses planifies analyses manuelles. Se reporter analyses sur demande analyses planifies 448 Voir aussi analyses propos 448 ajouter une politique 502, 504 enregistrer comme modle 502, 504 options avances 511 options de progression d'analyse 510 Analyses proactive de menaces TruScan dtection obligatoire 591
680
Index
analyses proactives des menaces. Se reporter Analyses proactives des menaces TruScan Analyses proactives des menaces TruScan actions 594 dtection des processus 583 exceptions centralises 590 faux positifs 586 frquence 596 ignorer des processus 588 Mise en quarantaine 589 notifications 596 analyses proactives des menaces TruScan applications commerciales 595 exceptions centralises 655 gestion des dtections 591 imposer une dtection 656 Paramtres par dfaut de Symantec 583 processus 593 analyses sur demande configuration sous Mac 506 configurer 505 options avances 511 options de progression d'analyse 510 antivirus et antispyware, politiques politique par dfaut 435 application ajout une rgle 570 dfinition 571 recherche de 571 application apprise enregistrement des rsultats de la recherche 125 applications 571 Voir aussi applications assimiles autorisation 636 recherche de 124 surveillance des applications en rseau 575 applications apprises activation 122 recherche de 124 applications assimiles 571 Voir aussi applications propos 120 liste 571 architecture Symantec Protection Center 46 assistant de configuration du serveur de gestion 381 assistant de rgle de filtrage 533 attaques blocage 516, 548
signatures 541 attaques "zero day" 582 audit journal 289 authentification certificat 373 point point 539 pour les administrateurs 335 Auto-Protect afficher des rsultats sur les ordinateurs infects 494 analyse et blocage de risque de scurit 483 analyses 443 cache de fichier 486 configuration 479 configurer des notifications de progression 498 configurer des options de notification 492 Lotus Notes 491 Microsoft Outlook 490 options avances d'analyse et de surveillance 484 pour le systme de fichiers activation 480 configuration 481 pour le systme de fichiers sur des clients Mac configurer 487 pour messagerie Internet 488 types de 480 Auto-Protect pour le systme de fichiers. Se reporter Auto-Protect Auto-Protect pour messagerie Internet 488 Autre catgorie de risque 441
B
base de donnes Assistant de configuration du serveur de gestion 381 erreur 406 erreur de CGI 406 erreur de processus arrt 406 gestion 379 intgre convention de dnomination 380 maintenance 404 Microsoft SQL conventions de dnomination 380 fichier bcp.exe 394 modification des paramtres d'expiration 406
Index
681
modifier description 391 nom 391 planification de sauvegarde automatique 389 reconfiguration 382 intgre 394 Microsoft SQL 392 restauration procdure 390 sauvegarde 381 automatique 389 taille 381 utilitaire Symantec Database Backup and Restore 381 bibliothques. Se reporter signatures IPS blagues 441 blocage clients de groupes 72 ordinateurs attaquant 548 brouillage de signature du systme d'exploitation 538
C
cache de fichier pour le systme de fichiers Auto-Protect 486 cartes rseau ajout la liste par dfaut 568 ajout une rgle 569 dclencheurs 524 modification et suppression 570 Centre de scurit Windows 459 certificat certificat et fichier de cl prive (formats DER et PEM) 374 Fichier keystore JKS 373 Fichier keystore PKCS12 374 mise jour 374 numrique 373 serveur 373 chevaux de Troie 440, 575 chiffrement 373 ClassGuid 626 client 418 Voir aussi rplication commandes 663 dfinition 64 hors ligne 238 interface utilisateur accs 177 configuration 178179, 183
Journal de contrle 609 mises jour Intelligent Updater 167 outils de distribution tiers 169 protection par mot de passe 185 rgles 527 rplication de package 418 supprimer des packages de mise niveau 137 client gr verrouillage et dverrouillage 178 client Mac Auto-Protect pour le systme de fichiers 487 exceptions centralises 487, 654 clients autogrs distribution des mises jour avec des outils tiers 173 clients hrits 158 politiques antivirus et antispyware pour 437 clients hors ligne 238 clients, types 64 commande mlange configurer des paramtres de protection contre les menaces rseau 559 commande smc 663 commandes client 663 excuter depuis les journaux 304 excution sur des clients partir de la console 81 communication problmes entre le client et le serveur 200 composants produit 30 compte administrateur propos de 322 compte administrateur limit dans Protection Center 51 comptes Protection Center 49 conformit journal 291 journaux 246 rapports 246 connectivit communication entre le client et le serveur 200 mise jour manuelle de la politique 119 utilisation d'un navigateur pour tester 203 utilisation du ping pour tester 202 utiliser Telnet pour tester 203
682
Index
connexion Symantec Protection Center 48 connexion client icne d'tat 197 considrations modes de commutation 69 console propos de 42 augmentation de la priode de dpassement de dlai 343 contenu propos de l'enregistrement des rvisions 148 mthodes de distribution 142 mise jour sur des clients et des serveurs de gestion 140 rvisions qui ne sont pas la dernire version 151 slectionner de faon alatoire 149 contrle client 180 Contrle d'applications configuration 613 contrle d'applications et de priphriques journaux 245, 609 rapports 245 rgles 605 contrle de niveau application 602 contrle de niveau priphrique contrle d'applications et de priphriques 608 contrle des applications et des priphriques journal 290 contrle des applications rseau 575 contrle des applications, ensemble de rgles modes 603, 623 rglage des priorits 621 contrle du serveur 180 contrle mixte 181 propos 182
dpannage avec Rechercher les ordinateurs non grs 133 problmes client 202 redmarrage d'ordinateurs client 76 dplacer groupe 62 dploiement avec Rechercher les ordinateurs non grs 133 distantes, consoles octroi de l'accs 349 distribution de contenu tiers propos 169 activer avec une politique LiveUpdate 170 aux clients grs 170 condition de cl de registre Windows pour les clients autogrs 173 utilisation avec des clients autogrs 173 documentation Symantec Protection Center 54 domaine courant 325 domaines ajout 324 courant 325 donnes client rechercher 77 dossiers analyse slectionne 465 droits d'accs 330
E
enregistrement de produits dans Protection Center 51 envoyer des informations de menace Symantec 471 erreur de CGI base de donnes 406 erreur de processus arrt base de donnes 406 tat clients et ordinateurs 73 tat client afficher 73 tat d'ordinateur journaux 248 rapports 248 tat de l'ordinateur afficher 73 journal 293
D
dbogage, journal. Se reporter journal dclencheurs application 521 carte rseau 524 hte 521 rgles de pare-feu 520 service rseau 523 dclencheurs d'application rgles du pare-feu 521 dclencheurs d'hte rgles du pare-feu 521
Index
683
vnement maintenance de la base de donnes option 404 vnements propos 214 regroupement 399400 exceptions 646 Voir aussi exceptions centralises Signatures IPS 546 exceptions centralises 646 Voir aussi Politiques d'exceptions centralises applications de technologie d'aide 657, 661 client Mac 487, 654 dossiers 653 Evnements d'analyse proactive des menaces TruScan 660 Evnements de protection contre les interventions 661 vnements de risque 659 extensions 653 files 652 imposer une dtection TruScan 656 pour des analyses proactives des menaces 590 pour des analyses proactives des menaces TruScan 648, 655 pour des processus dtects 656 pour les analyses antivirus et antispyware 647 Protection contre les interventions 648 protection contre les interventions 657 risques de scurit connus 651 exceptions IPS 546 exclusions. Se reporter exceptions centralises cres automatiquement 445 exclusions automatiques propos 445 Microsoft Exchange Server 446 pour des produits Symantec 447 pour le contrleur de domaine Active Directory 447 exportation Installation client, packages 132 liste de serveurs de gestion 196 politique 109 rgles du pare-feu 535 extensions analyse slectionne 464
F
faux positifs 544, 586 rduire 550 Fichier keystore JKS 373 Fichier keystore PKCS12 374 fichiers exclusion de l'analyse 455 partage 566 fichiers de dfinitions analyse aprs mise jour 450 configurer des actions pour de nouvelles dfinitions 478 indiquant prim ou manquant 461 fichiers MSI 147 fichiers MSP 147 fichiers suspects 437 filtrage de trafic intelligent 537 filtre groupes 282 filtres enregistrer dans les journaux 299 utilisateurs et ordinateurs 75 format DER 374 PEM 374 Format DER 374 Format PEM 374 Fournisseur de mise jour groupe clients hrits 158 contrle des tlchargements de contenu 162 gestion 156 multiple 158, 164 multiples 162 recherche 165 type 158 unique 158, 162163 Fournisseurs de mise jour groupe multiple 160
G
groupe ajouter 59 blocage 72 dplacer 62 renommer 62 Groupe Ma socit 58 Groupe par dfaut 58 groupe parent. Se reporter hritage
684
Index
groupe, proprits afficher 63 groupes assignation d'une liste de serveurs de gestion 194 dans des packages d'installation client 69 dfinition 58 hritage 63 paramtre par dfaut 58 rechercher 77 spcification d'une liste de serveurs de gestion 192 groupes d'htes ajout une rgle 562 cration 560 modification 561 suppression 561 GUID en tant que contrle des priphriques 608 GUID Windows ID de classe 626
H
hritage activation 63 rgles de filtrage 526 rgles de pare-feu 534 hrite, politique dplacement d'un groupe avec 62 htes ajout une rgle 562 exclusion de la prvention d'intrusion 549 local et distant 522 source et destination 522 htes exclus 549 HTTP, protocole 191 HTTPS, protocole 191
I
icne d'tat. Se reporter connexion client icnes cadenas 178 icnes de cadenas 178 ID de classe propos de 625 ID de priphrique propos de 625626 en tant que contrle des priphriques 608
obtention 627 importation donnes utilisateur depuis une recherche sur un serveur de rpertoires LDAP 359 fichiers de politique limitations 667 informations sur les utilisateurs partir d'un serveur LDAP 356 politique 110 rgles du pare-feu limitations 667 units organisationnelles 360 importing (importation) rgles du pare-feu 535 imprimantes, partage 566 informations utilisateur, collecter 131 inspection. Se reporter inspection Stateful inspection Stateful propos de 528 cration de rgles de trafic 528 Installation client, packages ajout 135 ajouter des mises jour 135 collecter des donnes utilisateur 131 configuration 129130 exportation 132 installation client, packages configuration 129 intgrit de l'hte propos de 37 Intelligent Updater 166167 interface utilisateur propos 177 configuration 183 configurer 178179 intervention active configuration 548 IPv4 563 IPv6 563
J
journal 287 actualisation 297 affichage 296 Analyse 295 Analyse proactive des menaces TruScan 294 audit 289 conformit 291
Index
685
contrle des applications et des priphriques 290 dtail des vnements 298 enregistrement des configurations de filtre 299 erreur de base de donnes 297 tat de l'ordinateur 293 filtrage 299 filtre Dernires 24 heures 300 gestion 404 IIS 205 journal de dbogage, vrification sur le client 204 maintenance de la base de donnes option 404 Protection contre les menaces rseau 294 Risque 295 suppression de paramtres de configuration 301 Systme 296 types 288 vrification des journaux de bote de rception 204 journal des vnements 296 filtre Dernires 24 heures 281, 300 journalisation externe 308 journaux 245 accs distance 298 afficher distance 298 Analyse 261 Analyse proactive contre les menaces TruScan 255 client configuration de la taille 400 conformit 246 contrle d'applications et de priphriques 245 effacement de la base de donnes 397 tat d'ordinateur 248 excuter des commandes 304 exportation de donnes 307 Journal de contrle client 609 Protection contre les menaces rseau 252 rplication 298 Risque 257 suppression de fichiers de la quarantaine 305 serveur configuration de la taille 398 stockage 396 Systme 262
L
lecteur d'cran application bloque par la protection contre les interventions 648 liste de serveurs de gestion propos 190 affichage des groupes et des emplacements assigns 195 ajout 191 assignation un groupe et un emplacement 194 collage 196 copie 196 exportation et importation 196 liste par dfaut 190 priorit des serveurs 193 remplacement 195 spcifier pour un groupe 192 liste des signatures de fichier fusionner 634 modification 632 LiveUpdate Administrateur de LiveUpdate 144 au sujet de la mise jour du contenu 140 configuration d'un site pour tlcharger des mises jour 147 configurer une politique de contenu 153 configurer une politique de paramtres 151 fichiers MSI et MSP 147 Fournisseur de mise jour groupe 156, 162 Intelligent Updater 166 mise jour des dfinitions et du contenu 141 modification des politiques de contenu appliques aux groupes 155 options tiers de distribution 142 politiques propos 150 configuration 151, 153 rvisions de contenu 148 signatures et dfinitions 141 types de mises jour 141 utiliser avec la rplication 147 utiliser les outils de distribution tiers 169 logiciel publicitaire 440
686
Index
M
menaces 255, 516 Voir aussi protection contre les menaces rseau Voir aussi Protection proactive contre les menaces combines 439 menaces combines 440 message d'avertissement afficher sur l'ordinateur infect 469 ajout un message lectronique infect 495 exemple 469 messages 488, 497 Voir aussi Auto-Protect pour messagerie Internet Voir aussi messages infects messages de notification pour les analyses antivirus et antispyware 469 messages lectroniques pour les rgles de filtrage 575 messages infects ajout d'un avertissement 494 notifier d'autres utilisateurs 497 notifier des expditeurs 495 Microsoft Exchange Server exclusions automatiques 446 Microsoft SQL gestion de la base de donnes 379 mise niveau des clients 135 un ou plusieurs groupes 136 mise en quarantaine envoyer des lments Symantec 477 options de nettoyage 475 rpertoire local 474 transfrer des lments un serveur de quarantaine centralise 477 mode de production 603 mode Ordinateur 64 mode ordinateur 66 mode test 603 mode Utilisateur 64 mode utilisateur 66 modles pour des analyses planifies 502, 504 modes 623 ordinateur client 64, 66 mot de passe tiers 348 mot de passe tiers 348 mot de passe, modifier administrateur 337
Moteurs IPS bas sur paquet 543 moteurs IPS 542 bass sur le flux 542
N
niveaux de contrle 179 niveaux de contrle de l'utilisateur 179 notifications Analyse proactive des menaces TruScan 596 options d'Auto-Protect 492 Protection contre les menaces rseau 573 numro de srie. Se reporter numro de srie de politique numro de srie de politique affichage sur le client 119 numroteurs 440
O
options d'architecture rseau pour la gestion tiers des mises jour 142 ordinateur client dpannage 202 excution de commandes 76 modes 64, 66 redmarrage 76 ordinateur virtuel slectionner de faon alatoire des tlchargements de contenu simultans 150 ordinateurs rechercher 77 ordinateurs infects affichage des rsultats d'Auto-Protect 494 Outil de dploiement de client Rechercher les ordinateurs non grs 133 outils de piratage 441 outils de suivi 442
P
packages d'installation client propos de 127 Page d'accueil Symantec Endpoint Protection propos 215 utilisation 215 Symantec Network Access Control propos 226 utilisation 226
Index
687
paramtres pare-feu 518, 538 protection contre les menaces rseau 559 paramtres d'expiration base de donnes 406 Paramtres de gestion d'lments 438 quarantaine 474 paramtres de communication client et serveur 671 paramtres de serveur XML 351 paramtres furtifs 538 brouillage de signature du systme d'exploitation 538 remise en squence TCP 538 paramtres grs configuration sur le client 177 paramtres verrouills et dverrouills client 178 pare-feu propos 516517 notifications 573 paramtres de trafic 538 partage des fichiers et des imprimantes 566 PC-cillin 521 plan pour faire face aux pidmies de virus 431 planification sauvegarde la demande de la base de donnes Microsoft SQL avec l'assistant de maintenance de base de donnes 384 sauvegarde automatique de base de donnes 389 sauvegarde de la base de donnes intgre la demande 388 planifications ajout une rgle 572 planifier sauvegarde la demande de la base de donnes Microsoft SQL 383 point point, authentification 539 politique propos 97 ajout d'un politique partage partir d'une politique partage existante 103 ajout d'une politique non partage partir d'une exportation 104 page Clients 102 ajouter page Politique 101
attribuer 105 exporter partage page Politiques 109 hritage 63 importation 110 importation des fichiers de politique 667 LiveUpdate 150 modification 104 modification d'une politique partage page Politiques 104 non partage 100 paramtre par dfaut 96 partage 100 retirer 106 supprimer non partage 108 supprimer partage 107 Politique de contrle d'application et de priphrique rgles dsactivation 622 Politique de contrle des applications et des priphriques 36 politique par dfaut 96 politique partage. Se reporter politique Politiques antivirus et antispyware analyses planifies pour les clients Mac 504 utilisation 438 politiques antivirus et antispyware propos 435 analyses planifies 502 clients hrits 437 configurer la gestion des journaux 457 dfinir les options du Centre de scurit Windows 459 grer l'interaction client 458 options de transmission 471 Politique de haute performance 436 Politique de haute scurit 436 verrouiller des paramtres 436 Politiques d'exceptions centralises 646 Voir aussi exceptions centralises configuration 649 utilisation 647 politiques d'exceptions centralises cration d'exceptions partir des vnements de journal 659 exceptions pour des analyses proactives des menaces TruScan 655 exceptions pour les analyses antivirus et antispyware 650
688
Index
interaction client 649 restrictions client 658 Politiques de contrle d'application et de priphrique rgles priorits 621 Politiques de contrle des applications et des priphriques cration 611 structure 601 types de contrles 600 utilisation 609 Politiques de pare-feu propos 518 ports personnaliss Protection Center 51 prfrences rapports 230 prvention d'intrusion propos 516 propos de 541 activation 545 blocage des ordinateurs attaquants 548 configuration 544 dsactivation sur les ordinateurs spcifis 549 notifications 574 priorits de rgle Politiques de contrle des applications et des priphriques 621 production, mode 623 produit propos de 29 composants 30 fonctions principales 34 produits Symantec exclusions automatiques 447 programmes d'accs distant 441 proprits groupe 63 proprits d'utilisateur et d'ordinateur, affichage 76 Protection antivirus et antispyware bases 430 protection antivirus et antispyware verrouillage et dverrouillage, fonctions 178 Protection contre les interventions exceptions centralises 648 gestion 421 protection contre les interventions exceptions centralises 657
fonctions de verrouillage et de dverrouillage 178 message 423 Protection contre les menaces proactives propos de 36 Protection contre les menaces rseau activation 558 journal 294 journaux 252 rapports 252 protection contre les menaces rseau configurer pour la commande mlange 559 cration de notifications 573 dsactivation 558 prsentation 516 protection par mot de passe analyse de lecteurs mapps 459 client 185 modifier un mot de passe 459 paramtres 668 Protection proactive contre les menaces 582 rapports 255 protocole LDAP 356 protocoles ajout 563 ajout une rgle 565 HTTP 191 HTTPS 191, 373 LDAP 356 modification et suppression 564
Q
Quarantaine propos de 438 suppression de fichiers 305
R
rapport configuration des filtres 244 enregistrement 282 filtre Dernires 24 heures 281 impression 282 prsentation 242 Protection Center 53 type 242 rapports 278 Voir aussi rapports planifis affichage 266
Index
689
afficher la rsolution 266 Analyse 261 audit 245 conformit 246 contrle d'applications et de priphriques 245 enregistrement des paramtres de configuration 276 tat d'ordinateur 248 fuseaux horaires 283 horodatages 283 langue 283 priodes d'analyse du client 283 points importants 283 Protection contre les menaces rseau 252 Protection proactive contre les menaces 255 Risque 257 SSL 283 suppression de paramtres de configuration 276 Symantec AntiVirus hrit 283 Symantec Network Access Control Page d'accueil 226 Systme 262 rapports planifis 278 Voir aussi rapports propos de 278 cration 279 modification 279 suppression 280 rapports rapides cration 275 paramtres de filtre de base 271 rapports sur les favoris Symantec Endpoint Protection personnalisation 222 rechercher groupes, utilisateurs et ordinateurs 77 reconfiguration base de donnes intgre 394 Base de donnes Microsoft SQL 392 de base de donnes 382 redmarrage 76. Se reporter redmarrage commande 81 rgles. Se reporter rgles de filtrage rgles de filtrage propos de 519, 527 activation 536 adaptateurs rseau ajout 568 modification et suppression 570
applications ajout 570 copier 535 groupes d'htes cration 560 modification et suppression 561 hritage 526 messages lectroniques 575 ordre de traitement 525 services rseau ajout 563 modification et suppression 564 rgles de pare-feu actions 520 ajout utilisation d'une rgle vierge 530 applications 521 cartes rseau ajout 569 conditions 520 dclencheurs 520 dclencheurs de carte rseau 524 lments de 520 hritage 534 modification de l'ordre 536 services rseau ajout 565 rgles du pare-feu ajout utilisation de l'assistant 533 client 527 coller 535 dclencheurs de service rseau 523 dsactivation 536 exportation 535 groupes d'htes ajout 562 htes 521 importation 535 limitations 667 liste 525 ordre de traitement changement 536 planifications ajout 572 serveurs 527 rgles vierges 530 regroupement 399 remise en squence TCP 538
690
Index
renommer administrateur 336 groupe 62 rplication ajout de partenaire de rplication 414 dconnexion d'un partenaire de rplication 416 dfinition initiale 409 post installation 409 exemple 412 exemple illustr 411 frquence 417 fusion des donnes 413 journaux 419 LiveUpdate et 147 package client 418 paramtres de communication 412 planification la demande 416 prsentation 409 reporting base 213 journal 287 Prfrences de la page d'accueil 230 Symantec Endpoint Protection Accueil, page 215 retrait d'une politique 106 Risk Tracer 485 blocage d'adresses IP 486 risque limination 233 journal 295 journaux 257 suppression de fichiers de la quarantaine 305 rapports 257 risque de scurit propos des actions des clients Mac 457 risques 439 Voir aussi risques de scurit dtection 439 risques de scurit 439 Voir aussi risques propos des actions des clients Windows 456 actions 437 configuration d'actions 467 ignorer pendant l'analyse 466 le processus continue se tlcharger 445 robots Web 440 rootkits 439
RSA, serveur configurer l'authentification SecurID 370 utiliser avec Symantec Endpoint Protection Manager 369
S
sauvegarde base de donnes 381 base de donnes intgre de la console 388 Base de donnes Microsoft SQL avec l'assistant Microsoft SQL 384 sauvegarder Base de donnes de Microsoft SQL depuis la console 383 SecurID RSA conditions d'authentification 335 SecurID, authentification configurer sur le serveur de gestion 370 spcification pour un administrateur 371 Security Response, site Web Symantec Endpoint Protection accs depuis la page d'accueil 224 serveur ajout d'un serveur de rpertoires 354 journaux 398 proxy FTP 365 proxy HTTP 365 rgles 527 rpertoire 353 serveur de rpertoires propos de 353 serveur de rpertoires LDAP importation informations sur l'utilisateur de 359 units organisationnelles 360 recherche d'utilisateurs 356 serveur proxy serveur proxy FTP 365 serveur proxy HTTP 365 serveur, paramtres exportation et importation 351 serveurs gestion 347 serveurs de rpertoire LDAP filtre 354 importation informations sur l'utilisateur de 356 serveurs de rpertoires ajout 354
Index
691
synchronisation 355 services ajout une rgle 565 ajouter 563 modification et suppression 564 services rseau ajout la liste par dfaut 563 ajout une rgle 565 dclencheurs 523 modification 564 suppression 564 signatures. Se reporter signatures IPS signatures de fichier 630 Signatures IPS personnalis propos 543 bibliothques 552 Symantec exceptions 546 signatures IPS personnalis attribution de bibliothques un groupe 552 bibliothques 550 construction d'une bibliothque 550 copier et coller 554 cration 550 personnalises modification de l'ordre 553 variables 554 Symantec propos de 542 modifier le comportement 546 soumissions 472 configuration d'options pour 473 Spyware 441 structure de groupe propos de 58 Symantec Endpoint Protection Manager dmarrage automatique du service 348 suppression de plusieurs installations 350 Symantec Protection Center. Se reporter Protection Center ajout de produits 49 architecture 46 comptes 49 connexion 48 connexion par dfaut 48 documentation 54
enregistrement/ajout de produits 51 rapport 53 tableau de bord 49 Symantec Security Response 433 soumissions 472 synchronisation serveurs de rpertoires 355 unit organisationnelle 361 Systme journal 296 journaux 262 rapports 262
T
tableau de bord Symantec Protection Center 49 taux de dtection envoi d'informations Symantec 472 technologie d'aide cration d'exceptions centralises 648, 657, 661 test, mode 623 trafic activer le trafic intelligent 537 paramtres 538 trafic DHCP 537 trafic DNS 537 trafic ICMP 529 trafic TCP 529 trafic UDP 529 trafic WINS 537 transmission envoi d'informations Symantec 471 envoyer un serveur de quarantaine centralise 477 envoyer des lments Symantec 477 Trend Micro PC-cillin 521 TruScan envoi d'informations Symantec 471
U
unit organisationnelle importation 60, 360 synchronisation 361 URL apparition dans des notifications d'erreur 462 spcifier la page d'accueil de navigateur 463 utilisateur et ordinateur, proprits affichage 76
692
Index
utilisateur, informations collecter 131 utilisateurs rechercher 77 utilisateurs et ordinateurs filtrage 75 utilisateurs et ordinateurs, dplacer propos 73 utilitaire Symantec Database Backup and Restore 381
V
variables dans les signatures 554 verrouillage du systme activer 638 verrous dans les politiques antivirus et antispyware 436 icnes de cadenas 178 vers 440 virus 439 propos des actions des clients Mac 457 propos des actions des clients Windows 456 actions 437 configuration d'actions 467