Administration Guide SEP11.0.6

Guide d'administration de Symantec Endpoint Protection et Symantec Network Access Control
Guide d'administration de Symantec Endpoint Protection et Symantec Network Access Control

Le logiciel dcrit dans ce guide est fourni dans le cadre d'un contrat de licence et ne peut tre utilis qu'en conformit avec les termes de ce contrat. Documentation version 11.00.06.00.00
Mentions lgales
Copyright 2010 Symantec Corporation. Tous droits rservs. Symantec, le logo Symantec, Bloodhound, Confidence Online, Digital Immune System, LiveUpdate, Norton, Sygate et TruScan sont des marques commerciales ou des marques dposes de Symantec Corporation ou de ses filiales aux Etats-Unis et dans d'autres pays. Les autres noms sont des marques commerciales de leurs dtenteurs respectifs. Ce produit Symantec peut contenir le logiciel tiers pour lequel Symantec est tenu de fournir une attribution tierce partie ("Programmes tiers"). Certains de ces logiciels sont mis disposition en licence logicielle libre ou avec des licences gratuites. Le Contrat de licence accompagnant le logiciel ne modifie en aucun cas vos droits et vos obligations en vertu de ces licences. Pour plus d'informations sur les logiciels tiers, reportez-vous l'annexe consacre aux mentions lgales sur les logiciel tiers ou au fichier LisezMoi TPIP accompagnant ce produit. Le produit dcrit dans ce document est distribu aux termes d'une licence limitant son utilisation, sa copie, sa distribution et sa dcompilation/ingnierie inverse. Ce document ne peut, en tout ou partie, tre reproduit sous aucune forme et par aucun moyen sans l'autorisation pralable crite de Symantec Corporation et de ses dtenteurs de licence ventuels. LA DOCUMENTATION EST FOURNIE "EN L'ETAT" ET TOUTE GARANTIE OU CONDITION D'AUCUNE SORTE, EXPRESSE OU IMPLICITE, Y COMPRIS, SANS QUE CELA SOIT LIMITATIF, LES GARANTIES OU CONDITIONS IMPLICITES DE QUALITE MARCHANDE, D'ADEQUATION A UN USAGE PARTICULIER OU DE RESPECT DES DROITS DE PROPRIETE INTELLECTUELLE EST REFUTEE, EXCEPTE DANS LA MESURE OU DE TELLES EXCLUSIONS SERAIENT TENUES POUR LEGALEMENT NON VALIDES. SYMANTEC CORPORATION NE PEUT ETRE TENUE POUR RESPONSABLE DES DOMMAGES DIRECTS OU INDIRECTS RELATIFS AU CONTENU OU A L'UTILISATION DE LA PRESENTE DOCUMENTATION. LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION PEUVENT ETRE MODIFIEES SANS PREAVIS. Le Logiciel sous licence est considr comme logiciel informatique commercial conformment aux dfinitions de la section FAR 12.212 et soumis des droits restreints tels que dfinis dans la section FAR 52.227.19 "Commercial Computer Licensed Software - Restricted Rights" et DFARS 227.7202 "Rights in Commercial Computer Licensed Software or Commercial Computer Licensed Software Documentation" tels qu'applicable, et tous rglements qui les remplaceraient. Toute utilisation, modification, reproduction, publication, excution, prsentation ou communication du Logiciel sous licence et de la documentation par le
gouvernement des Etats-Unis ne peut se faire que conformment aux conditions du prsent contrat. Symantec Corporation 350 Ellis Street Mountain View, CA 94043 http://www.symantec.fr
Support technique
Le support technique de Symantec se compose de centres de support rpartis dans le monde entier. Le rle principal du support technique est de ragir des requtes spcifiques sur les caractristiques et la fonctionnalit des produits. Le groupe de support technique contribue galement la cration de contenu pour notre base de donnes en ligne. Il travaille en collaboration avec les autres domaines fonctionnels de Symantec pour rpondre vos questions aussi rapidement que possible, par exemple avec l'ingnierie de produit et Symantec Security Response pour fournir des services d'alerte et des mises jour de dfinitions de virus. Les offres de support de Symantec englobent :
un ventail d'options de support pour un volume flexible de services adapt aux socits de toute taille ; support tlphonique et/ou par le Web pour des rpondes rapides et des informations actuelles ; garantie de mise niveau par des mises niveau logicielles ; prise en charge achete sur une base des heures ouvrables rgionales ou 24 heures sur 24 et 7 jours sur 7 ; offres de la meilleure qualit de service qui incluent des services de gestion des comptes.
Pour plus d'informations sur les programmes de maintenance de Symantec, vous pouvez visiter notre site Web en accdant l'URL suivante : http://www.symantec.com/fr/fr/business/support/
Contacter le support technique

Les clients avec un contrat de support en cours peuvent accder aux informations de support technique sur l'URL suivante : http://www.symantec.com/fr/fr/business/support/ Avant de contacter le support technique, vrifiez que votre systme rpond la configuration requise indique dans la documentation du produit. Veuillez en outre vous tenir proximit de l'ordinateur sur lequel le problme se pose, au cas o il serait ncessaire de rpliquer le problme. Lorsque vous contactez le support technique, veillez avoir sous la main les informations suivantes :

Niveau de version du produit Informations concernant le matriel
Mmoire disponible, espace disque et informations sur la carte rseau Systme d'exploitation Niveau de correctif logiciel et de version Topologie du rseau Routeur, passerelle et informations sur l'adresse IP Description du problme :

Messages d'erreur et fichiers journaux Tentatives de dpannage effectues avant de contacter Symantec Modifications rcentes apportes la configuration logicielle et au rseau
Licence et enregistrement
Si votre produit Symantec requiert un enregistrement ou une cl de licence, accdez notre page Web de support technique l'URL suivante : http://www.symantec.com/fr/fr/business/support/
Service client
Les informations du service client sont disponibles en accdant l'URL suivante : http://www.symantec.com/fr/fr/business/support/ Le service client est fournit son aide pour les questions non techniques, telles que les types suivants de problmes :

questions concernant l'octroi et le numro de licence ; mises jour des donnes fournies l'enregistrement du produit, telles que l'adresse ou le nom ; informations gnrales sur le produit (fonctions, langues disponibles, distributeurs locaux) ; dernires informations sur les mises jour et les mises niveau du produit ; Informations sur l'assurance et les contrats de support de mise niveau informations sur les Programmes d'achats Symantec ; conseil sur les options du support technique Symantec ; questions non techniques pralables la vente ; problmes lis aux CD-ROM ou aux manuels.
Ressources de contrat de support

Si vous voulez entrer en contact avec Symantec concernant un contrat de support existant, veuillez contactez l'quipe administrative de contrat de support pour votre rgion comme suit :
Asie Pacifique et Japon Europe, Moyen-Orient et Afrique Amrique du Nord et Amrique latine customercare_apac@symantec.com semea@symantec.com supportsolutions@symantec.com
Services d'entreprise supplmentaires

Symantec offre une gamme complte de services qui vous permettent d'optimiser l'investissement effectu dans les produits Symantec et de dvelopper vos connaissances, expertise et comprhension globale, pour une gestion proactive des risques commerciaux. Les services aux entreprises disponibles sont les suivants :
Services grs Les services grs suppriment la charge que reprsente la gestion et le contrle des priphriques et des vnements de scurit, assurant l'intervention rapide face aux menaces relles. Les services de conseil Symantec fournissent une expertise technique sur site de Symantec et de ses partenaires approuvs. Ils offrent une srie d'options premballes et personnalisables comportant des fonctions d'valuation, de conception, de mise en uvre, de surveillance et de gestion. Chaque service a pour objectif d'tablir et de maintenir l'intgrit et la disponibilit de vos ressources informatiques. Les services de formation fournissent un ensemble complet de formation technique, d'ducation de scurit, de certification de scurit et de programmes de communication de connaissance.
Services de conseil
Services de formation
Pour accder plus d'informations sur les services destins aux entreprises, visitez s'il vous plat notre site Web sur l'URL suivante : http://www.symantec.com/fr/fr/business/services/ Slectionnez votre pays ou langue dans le sommaire du site.
Table des matires
Support technique .............................................................................................. 4
Section 1
Chapitre 1
Tches administratives de base ......................... 27

Prsentation de Symantec Endpoint Protection .......... 29
A propos de Symantec Endpoint Protection ....................................... A propos de Symantec Network Access Control .................................. Composants de Symantec Endpoint Protection et Symantec Network Access Control ....................................................................... Fonctions principales de Symantec Endpoint Protection et Symantec Network Access Control .......................................................... A propos des types de protection ..................................................... 29 30 30 34 35
Chapitre 2
Dmarrage de la console Symantec Endpoint Protection Manager ...................................................... 39

Connexion la console Symantec Endpoint Protection Manager. .......... 39 Ce que vous pouvez faire partir de la console .................................. 42
Chapitre 3
Gestion de la console Symantec Endpoint Protection Manager avec Symantec Protection Center .............................................................................. 45
A propos de Symantec Protection Center .......................................... Architecture de Symantec Protection Center ..................................... Connexion Symantec Protection Center ......................................... Tableau de bord de Symantec Protection Center ................................ A propos de la gestion des comptes Symantec Protection Center ........... Configuration de Symantec Protection Center pour grer des produits ............................................................................... Rapports Symantec Protection Center .............................................. A propos de documentation de Symantec Protection Center ................. 45 46 48 49 49 51 53 54
Table des matires
Chapitre 4
Gestion des groupes et des clients .................................. 55

Gestion de groupes d'ordinateurs .................................................... Comment structurer des groupes .................................................... Ajout d'un groupe ........................................................................ Importation d'une structure organisationnelle existante ..................... Attribution d'un nouveau nom un groupe ....................................... Dplacement d'un groupe .............................................................. Affichage des proprits d'un groupe ............................................... Activation ou dsactivation de l'hritage d'un groupe ......................... Configuration et gestion de clients au sein de groupes ......................... A propos du mode utilisateur et du mode ordinateur ........................... Affectation prliminaire des ordinateurs ou des utilisateurs des groupes avant d'installer le logiciel client ................................... A propos des groupes spcifis dans le package d'installation client ................................................................................... Basculer un client entre le mode utilisateur et le mode ordinateur ............................................................................ Convertir un client autonome en client gr. ..................................... Bloquer l'ajout de clients des groupes ............................................ Dplacement de clients entre des groupes ......................................... Affichage de l'tat des clients et des ordinateurs client ........................ Filtrage des clients que vous pouvez afficher dans l'onglet Clients ................................................................................. Redmarrage d'ordinateurs client ................................................... Affichage des proprits d'un client ................................................. Recherche d'informations sur les clients .......................................... Configurer un client pour dtecter les priphriques inconnus ............. Excution de commandes sur des clients partir de la console .............. 56 57 59 59 62 62 63 63 64 66 67 68 69 70 72 73 73 75 76 76 77 79 81
Chapitre 5
Gestion des emplacements d'un groupe ........................ 83

Utiliser la dtection de l'emplacement avec des groupes ...................... A propos de la planification des emplacements ........................... Activation de la dtection de l'emplacement pour un client .................. Ajouter un emplacement avec un assistant d'installation ..................... Ajout d'un emplacement sans assistant ............................................ Modification d'un emplacement par dfaut ....................................... Modification du nom et de la description de l'emplacement d'un groupe ................................................................................. Supprimer l'emplacement d'un groupe ............................................. 83 86 87 88 90 91 92 93
Table des matires
Chapitre 6
Utilisation des politiques ................................................... 95

Utilisation de politiques pour grer la scurit du rseau ..................... 96 A propos des politiques partages et non partages ............................ 99 A propos de l'ajout de politiques .................................................... 100 Ajouter une politique partage. ............................................... 101 Ajout d'une nouvelle politique non partage dans la page Clients .......................................................................... 102 Ajout d'une nouvelle politique non partage partir d'une politique existante dans la page Clients .............................. 103 Ajout d'une nouvelle politique non partage partir d'un fichier de politique prcdemment export dans la page Clients .......................................................................... 104 Modifier une politique ................................................................. 104 Affectation d'une politique partage .............................................. 105 Retrait d'une politique ................................................................. 106 Supprimer une politique .............................................................. 107 Exporter une politique ................................................................. 109 Importation d'une politique .......................................................... 110 A propos de la copie des politiques ................................................. 111 Copie d'une politique partage dans la page Politique ........................ 111 Copie d'une politique partage ou non partage dans la page Clients ................................................................................ 111 Coller une politique .................................................................... 112 Copier et coller une politique de groupe .......................................... 113 Remplacement d'une politique ...................................................... 113 Copie d'une politique partage pour la convertir en politique non partage ............................................................................. 115 Conversion d'une copie d'une politique partage en politique non partage ............................................................................. 115 A propos de la mise jour des politiques sur les clients ...................... 116 Configurer le mode de transfert ou le mode de traction pour mettre jour les politiques client et le contenu .................................... 117 Afficher le numro de srie de politique .......................................... 119 Mise jour manuelle de la politique pour vrifier le numro de srie de la politique ...................................................................... 119 Contrle des applications et services excuts sur les ordinateurs client ................................................................................. 120 Configuration du serveur de gestion pour la collecte d'informations sur les applications que les ordinateurs client excutent .............. 122 Recherche d'informations sur les applications que les ordinateurs excutent ............................................................................ 123 Enregistrement des rsultats d'une recherche d'application ......... 125
10
Table des matires
Chapitre 7
Utilisation des packages d'installation client .............. 127

Utilisation de packages d'installation client ..................................... Configuration des options des packages d'installation client ............... Configurer des fonctions de package d'installation client ............. Configuration des paramtres des packages d'installation client ........................................................................... Collecter des donnes utilisateur ............................................. Exportation de packages d'installation client ................................... Dploiement du logiciel client avec Rechercher les ordinateurs non grs .................................................................................. A propos des ajouts de mises jour de packages d'installation client et mise niveau des clients .................................................... Ajouter des mises jour de packages d'installation client ................... Mettre niveau des clients dans un ou plusieurs groupes ................... Supprimer des packages de mise niveau ....................................... 127 129 129 130 131 132 133 135 135 136 137
Chapitre 8
Mise jour des dfinitions et du contenu .................... 139

Gestion du contenu pour les clients ................................................ A propos des types de contenu ...................................................... Dfinition de la manire dont les clients obtiennent le contenu ........... Configuration d'un site pour tlcharger des mises jour .................. A propos des tlchargements de contenu simultans ....................... A propos des politiques LiveUpdate ............................................... A propos de l'utilisation des rvisions de contenu qui ne sont pas la dernire version ................................................................... Configuration d'une politique de paramtres LiveUpdate .................. Configuration d'une politique de contenu LiveUpdate ....................... Affichage et modification rapide de la Politique de contenu LiveUpdate .......................................................................... Distribuer le contenu l'aide des fournisseurs de mise jour groupe .............................................................................. A propos des types de fournisseurs de mise jour groupe ........... A propos de la configuration de rgles pour les fournisseurs de mise jour groupe multiples ........................................... Configurer un Fournisseur de mise jour groupe ...................... Configurer un fournisseur unique de mise jour groupe ............ Configurer des fournisseurs de mise jour groupe multiples ...................................................................... Recherche des clients agissant en tant que fournisseurs de mise jour groupe ................................................................ A propos de l'Intelligent Updater ................................................... 140 141 142 147 149 150 151 151 153 155 156 158 160 162 163 164 165 166
Table des matires
11
Utiliser l'Intelligent Updater pour tlcharger des mises jour du contenu d'antivirus pour la distribution .................................... A propos des fichiers utiliss dans la distribution tiers du contenu LiveUpdate .......................................................................... A propos de l'utilisation d'outils de distribution tiers pour distribuer des mises jour de contenu aux clients grs ............................. Activer la distribution de contenu tiers aux clients grs avec une politique de paramtres LiveUpdate ......................................... Distribution du contenu aux clients grs par des outils de distribution tiers ................................................................................... A propos de l'utilisation d'outils de distribution tiers pour distribuer des mises jour de contenu aux clients autogrs ....................... Excution de LiveUpdate sur un client partir de la console ...............
167 168 169 170 171 173 174
Chapitre 9
Affichage des fonctions dans l'interface utilisateur client ............................................................................... 177

A propos de l'accs l'interface client ............................................ Verrouillage et dverrouillage des paramtres grs ......................... Modification du niveau de contrle de l'utilisateur ............................ A propos du contrle mixte .................................................... Configuration des paramtres d'interface utilisateur ................... Protection du client par mot de passe ............................................. 177 178 179 182 183 185
Chapitre 10
Gestion de la communication entre les serveurs de gestion et les clients ................................................... 187
Gstion de la connexion entre les serveurs de gestion et les clients ................................................................................ A propos des serveurs de gestion ................................................... Ajout d'une liste de serveurs de gestion .......................................... Spcification d'une liste de serveurs de gestion ................................ Modification de l'ordre de connexion des serveurs de gestion ............. Assignation d'une liste de serveurs de gestion un groupe et un emplacement ....................................................................... Affichage des groupes et des empacements auxquels une liste de serveurs de gestion est assigne .............................................. Remplacement d'une liste de serveurs de gestion ............................. Copie et collage d'une liste de serveurs de gestion ............................. Exportation et importation d'une liste de serveurs de gestion ............. Affichage de l'tat de sant du client dans la console de gestion .......... Configurer des paramtres de communication pour un emplacement ....................................................................... 188 190 191 192 193 194 195 195 196 196 197 199
12
Table des matires
Rsolution des problmes de communication entre le serveur de gestion et le client ................................................................ Investigation des problmes de client ....................................... Utiliser la commande ping pour tester la connectivit du serveur de gestion ..................................................................... Utiliser un navigateur pour tester la connectivit au serveur de gestion ......................................................................... Utiliser Telnet pour tester la connectivit au serveur de gestion ......................................................................... Vrification du journal de dbogage sur l'ordinateur client ........... Vrifier les journaux de bote de rception sur le serveur de gestion ......................................................................... Vrifier les journaux IIS sur le serveur de gestion ....................... Rcuprer les paramtres de communication client en utilisant l'outil SylinkDrop ...........................................................
200 202 202 203 203 204 204 205 205
Chapitre 11
Surveillance de la protection de terminal .................... 207

Surveillance de la protection de terminal ........................................ A propos des diffrentes mthodes d'accs aux fonctions de cration de rapports .......................................................................... Ouverture d'une session de rapport depuis un navigateur Web autonome ...................................................................... Modification du port utilis pour accder l'aide contextuelle pour le rapport ............................................................... Association du localhost l'adresse IP quand les adresses en boucle sont dsactives ................................................... A propos de Reporting ................................................................. A propos des vnements consigns issus de votre rseau ............ Comment les rapports exploitent les journaux stocks dans la base de donnes ............................................................. A propos de la page d'accueil de Symantec Endpoint Protection .......... Configuration des Rapports sur les favoris dans la page d'accueil ............................................................................. A propos de l'utilisation des liens Security Response ......................... Utilisation de la page Symantec Network Access Control Accueil ......... Utiliser l'onglet Rsum de la page Contrleurs ................................ Configuration des prfrences de rapport ....................................... A propos des options d'affichage Domicile et Contrles ............... Configuration des seuils d'tat de scurit ................................. Configuration des journaux et des prfrences de rapports .......... Elimination des virus et des risques de scurit ................................ Identification des ordinateurs infects et risque ....................... 207 209 211 211 212 213 214 215 215 222 224 226 227 230 230 231 232 233 234
Table des matires
13
Modification d'une action et ranalyse des ordinateurs identifis ...................................................................... Redmarrage des ordinateurs ncessitant un redmarrage pour terminer la rsolution ..................................................... A propos de l'tude et du nettoyage des risques restants .............. Elimination d'un vnement suspect ........................................ Mise jour des dfinitions et ranalyse .................................... Recherche des clients hors ligne ....................................................
235 236 236 237 237 238
Chapitre 12
Affichage et configuration des rapports ....................... 241

A propos des rapports pouvant tre excuts ................................... A propos des informations dans le rapport et le journal d'audit ................................................................................... A propos des informations des rapports et des journaux Contrle d'application et Contrle de priphrique ............................ A propos des informations dans les rapports et les journaux de conformit ................................................................... A propos des informations dans les rapports et le journal d'tat de l'ordinateur ............................................................... A propos des informations dans les rapports et les journaux de protection contre les menaces rseau ................................. A propos des informations figurant dans les rapports et les journaux d'analyse proactive des menaces TruScan .............. A propos des informations dans les rapports et le journal des risques ......................................................................... A propos des informations dans les rapports et le journal d'analyse ...................................................................... A propos des informations dans les rapports et les journaux systme ........................................................................ A propos de l'affichage des rapports ............................................... A propos de l'affichage des graphiques linaires dans les rapports ....................................................................... A propos de l'affichage des diagrammes barres ........................ A propos de l'affichage des rapports dans des langues asiatiques ..................................................................... Au sujet des rapports rapides ........................................................ Cration de rapports rapides ........................................................ Enregistrement et suppression des filtres de rapports rapides ............ A propos des noms de filtre dupliqus ...................................... A propos des rapports planifis ..................................................... Cration et suppression de rapports planifis .................................. Modification du filtre utilis pour un rapport planifi ....................... 242 245 245 246 248 252 255 256 260 262 266 267 268 268 269 274 276 277 278 279 280
14
Table des matires
A propos de l'utilisation du filtre Dernires 24 heures dans les rapports et les journaux ......................................................... A propos de l'utilisation des filtres qui recherchent des groupes dans les rapports et les journaux .................................................... Impression et enregistrement d'une copie d'un rapport ..................... A propos de l'utilisation de SSL avec les fonctions de notification ......................................................................... Points importants quant l'utilisation des rapports ..........................
281 282 282 283 283
Chapitre 13
Affichage et configuration des journaux et des notifications .................................................................. 287

A propos des journaux ................................................................. A propos des types de journaux ............................................... Affichage des journaux ................................................................ Affichage des dtails des vnements dans les journaux .............. Afficher les journaux d'autres sites .......................................... Enregistrement et suppression des filtres ....................................... A propos des noms de filtre dupliqus ...................................... Paramtres de base du filtre pour les journaux et les rapports ............. Paramtres avancs du filtre pour les journaux et les rapports ............ Excuter des commandes et des actions partir des journaux ............. Exportation des donnes de journal ............................................... Exportation de donnes de journal vers un fichier texte ............... L'exportation de donnes vers un serveur Syslog ........................ Exportation des donnes de journal vers un fichier texte dlimit par des virgules .............................................................. A propos de l'utilisation de notifications ......................................... Affichage et filtrage des informations de notification administrateur ............................................................... Directives de seuil pour les notifications d'administrateur ........... Cration des notifications d'administrateur ............................... A propos de la modification des notifications existantes .............. 287 288 296 298 298 299 301 301 303 304 307 308 310 311 312 313 313 314 319
Chapitre 14
Grer des domaines et des administrateurs ................ 321

Grer des domaines et des comptes administrateur ........................... A propos des domaines ................................................................ Ajout d'un domaine ..................................................................... Spcifier le domaine courant ........................................................ A propos des administrateurs ....................................................... Ajouter un compte d'administrateur .............................................. A propos des droits d'accs ........................................................... Configurer les droits d'accs pour un administrateur limit ................ 322 323 324 325 326 329 330 331
Table des matires
15
Basculer entre un administrateur et un administrateur limit ............. Verrouillage d'un compte d'administrateur aprs de trop nombreuses tentatives de connexion ......................................................... Rinitialisation du mot de passe administrateur admin ................... Installer l'authentification pour les comptes administrateur .............. Renommer un compte administrateur ............................................ Modifier le mot de passe d'un administrateur ..................................
333 333 334 335 336 337
Section 2
Chapitre 15
Tches administratives avances .................... 339

Grer des sites .................................................................... 341
A propos de la gestion de site ........................................................ A propos de la rplication de site sur plusieurs sites de l'entreprise .......................................................................... A propos des sites distants ........................................................... Modification des proprits du site ................................................ Sauvegarde d'un site ................................................................... Suppression de sites distants ........................................................ 341 343 343 343 345 346
Chapitre 16
Gestion des serveurs ......................................................... 347

A propos de la gestion de serveur .................................................. A propos des serveurs et des mots de passe tiers .............................. Dmarrer et arrter le service de serveur de gestion .......................... Octroi ou refus d'accder aux consoles distantes Symantec Endpoint Protection Manager .............................................................. Suppression des serveurs slectionns ........................................... Exportation et importation des paramtres de serveur ...................... 347 348 348 349 350 351
Chapitre 17
Gestion des serveurs de rpertoires .............................. 353

A propos de la gestion des serveurs de rpertoires ............................ Ajout de serveurs de rpertoires .................................................... Synchronisation des comptes utilisateur entre les serveurs de rpertoire et Symantec Endpoint Protection Manager ................. A propos de l'importation des informations d'utilisateur et de compte d'ordinateur partir d'un serveur de rpertoire LDAP ................. Recherche d'utilisateurs sur un serveur de rpertoires LDAP .............. Importation d'utilisateurs partir d'une liste de rsultats de recherche issue d'un serveur de rpertoires LDAP ..................................... A propos des units organisationnelles et du serveur LDAP ................ Importation d'units organisationnelles partir d'un serveur Active Directory ou LDAP ................................................ 353 354 355 356 356 359 360 360
16
Table des matires
A propos de la synchronisation des units organisationnelles .......................................................... 361
Chapitre 18
Gestion des serveurs de messagerie ............................. 363

A propos de la gestion des serveurs de messagerie ............................ 363 Etablissement de la communication entre Symantec Endpoint Protection Manager et les serveurs de messagerie lectronique ........................................................................ 364
Chapitre 19
Gestion des serveurs proxy ............................................. 365

A propos des serveurs proxy ......................................................... 365 Etablissement d'une connexion entre un serveur proxy HTTP et Symantec Endpoint Protection Manager ................................... 365 Configuration d'une connexion entre un serveur proxy FTP et Symantec Endpoint Protection Manager ................................... 366
Chapitre 20
Gestion des serveurs RSA ................................................ 369

A propos des conditions pralables pour l'utilisation de RSA SecurID avec Symantec Endpoint Protection Manager ............................ Configuration de Symantec Endpoint Protection Manager pour utiliser l'authentification RSA SecurID ............................................... Spcification d'une authentification SecurID pour un administrateur Symantec Endpoint Protection Manager ................................... Configuration du serveur de gestion pour prendre en charge la communication HTTPS .......................................................... 369 370 371 372
Chapitre 21
Gestion des certificats de serveur .................................. 373

A propos des types de certificats de serveur ..................................... Mettre jour un certificat de serveur ............................................. Sauvegarde d'un certificat de serveur ............................................. Recherche du mot de passe keystore .............................................. 373 374 376 377
Chapitre 22
Gestion des bases de donnes ........................................ 379

A propos de la gestion des bases de donnes .................................... A propos des conventions de dnomination de base de donnes ........................................................................ A propos de l'Assistant de configuration de serveur de gestion et des outils de base de donnes Symantec .......................... A propos de la sauvegarde de la base de donnes ........................ A propos de la reconfiguration d'une base de donnes ................. 379 380 381 381 382
Table des matires
17
Sauvegarde d'une base de donnes Microsoft SQL ............................. Sauvegarde d'une base de donnes Microsoft SQL ....................... Sauvegarde d'une base de donnes SQL Microsoft avec l'assistant de plan de maintenance de base de donnes ......................... Sauvegarde d'une base de donnes intgre ..................................... Planification des sauvegardes automatiques de la base de donnes .............................................................................. Restauration d'une base de donnes ............................................... Modification du nom et de la description d'une base de donnes .......... Reconfiguration d'une base de donnes Microsoft SQL ...................... Reconfiguration d'une base de donnes intgre .............................. A propos de la gestion des donnes de journal .................................. A propos des donnes de journal et du stockage ......................... Suppression manuelle des donnes de journal de la base de donnes ........................................................................ Donnes consignes des clients hrits ..................................... Configuration des paramtres de journal pour les serveurs d'un site .............................................................................. A propos de la configuration du regroupement des vnements ................................................................... Configuration des paramtres de journal client .......................... A propos de la configuration des options de gestion des journaux pour les politiques antivirus et antispyware ........................ Sauvegarde des journaux pour un site ...................................... A propos du chargement de grandes quantits de donnes de journal client ................................................................. A propos de la gestion des vnements de journal dans la base de donnes .................................................................... Configuration des options de maintenance de la base de donnes pour des journaux ........................................................... A propos de l'utilisation de l'utilitaire interactif SQL avec la base de donnes intgre ........................................................ Modification des paramtres d'expiration ................................. A propos de la restauration des journaux systme client corrompus sur les ordinateurs 64 bits ................................
383 383 384 388 389 390 391 392 394 396 396 397 398 398 399 400 401 401 402 404 404 405 406 406
Chapitre 23
Rplication des donnes .................................................. 409

A propos de la rplication des donnes ........................................... A propos de l'incidence de la rplication ......................................... A propos des paramtres qui sont rpliqus .............................. Mode de fusion des changements pendant la rplication .............. Ajouter et dconnecter un partenaire de rplication .......................... 409 412 412 413 414
18
Table des matires
Dconnexion des partenaires de rplication .............................. Planification de la rplication automatique et la demande ............... Rplication des donnes la demande ...................................... Modification des frquences de rplication ................................ Rplication des packages client et contenu LiveUpdate ...................... Rplication des journaux .............................................................
416 416 416 417 418 419
Chapitre 24
Gestion de la protection contre les interventions ................................................................
421
A propos de la protection contre les interventions ............................ 421 Configuration de la protection contre les interventions ..................... 422
Section 3
Chapitre 25
Configuration de la protection antivirus et antispyware ....................................................... 427

Paramtres de base de la politique antivirus et antispyware ..................................................................
Bases de la protection antivirus et antispyware ................................ A propos de la cration d'un plan pour ragir face aux virus et aux risques de scurit .................................................... A propos de l'affichage de l'tat d'antivirus et de protection antispyware de votre rseau ............................................. A propos de l'excution de commandes pour la protection antivirus et antispyware .................................................. A propos des politiques antivirus et antispyware ........................ A propos des politiques antivirus et antispyware prconfigures ............................................................... A propos du verrouillage de paramtres dans les politiques antivirus et antispyware .................................................. A propos des politiques antivirus et antispyware pour des clients hrits .......................................................................... A propos des paramtres par dfaut de prise en charge des fichiers suspects ............................................................. A propos de l'utilisation de politiques pour grer des lments dans la zone de quarantaine ............................................. A propos de l'utilisation des politiques antivirus et antispyware .......... A propos des virus et des risques de scurit .................................... A propos des analyses ................................................................. A propos des analyses Auto-Protect ......................................... A propos des analyses dfinies par l'administrateur .................... 429 430 430 433 434 434 435 436 437 437 438 438 439 442 443 448
Table des matires
19
A propos des analyses proactives des menaces TruScan ............... A propos de l'analyse aprs la mise jour des fichiers de dfinitions .................................................................... A propos de l'analyse des extensions ou des dossiers slectionns .................................................................. A propos de l'exclusion de fichiers et de dossiers spcifiques .................................................................... A propos des actions pour les virus et les risques de scurit dtects par les analyses sur des clients Windows .................................. A propos des actions pour les virus et les risques de scurit dtects par les analyses sur des clients Mac ......................................... Dfinir des paramtres de gestion des journaux dans une politique antivirus et antispyware ........................................................ A propos de l'interaction client avec des options d'antivirus et de protection antispyware .......................................................... Modifier le mot de passe ncessaire pour analyser des lecteurs rseau mapps ............................................................................... Configuration du Centre de scurit Windows pour qu'il fonctionne avec le client Symantec Endpoint Protection ............................. Afficher un avertissement lorsque les dfinitions sont primes ou manquantes ........................................................................ Spcification d'une URL devant apparatre dans des notifications d'erreur d'antivirus et de protection antispyware ....................... Spcifier une URL pour une page d'accueil de navigateur ................... Configuration des options qui s'appliquent aux analyses antivirus et antispyware ........................................................................ Configurer des analyses des extensions de fichier choisies ........... Configurer les analyses des dossiers slectionns ....................... A propos des exceptions de risques de scurit ........................... Configuration des actions pour des dtections connues de virus et de risque de scurit sur les clients Windows ................... Configuration des actions pour des dtections connues de virus et de risque de scurit sur les clients Mac .......................... A propos des messages de notification sur les ordinateurs infects ........................................................................ Personnaliser et afficher des notifications sur les ordinateurs infects ........................................................................ Transmettre des informations sur des analyses Symantec ............... A propos de la limitation des soumissions ................................. Configurer des options de soumission ...................................... Gestion des fichiers en quarantaine ............................................... A propos des paramtres de quarantaine .................................. Spcifier un rpertoire de quarantaine local ..............................
450 450 451 455 455 457 457 458 459 459 461 462 463 463 464 465 466 466 468 468 469 471 472 473 474 474 474
20
Table des matires
Configurer des options de nettoyage automatique ...................... Transmettre des lments en quarantaine un serveur de quarantaine centralise ................................................... Transmettre des lments en quarantaine Symantec ................ Configurer des actions effectuer la rception de nouvelles dfinitions de virus ........................................................
475 477 477 478
Chapitre 26
Configuration d'Auto-Protect .......................................... 479

A propos de la configuration d'Auto-Protect .................................... A propos de types d'Auto-Protect .................................................. Activer Auto-Protect pour le systme de fichiers .............................. Configuration d'Auto-Protect pour le systme de fichiers pour des clients Windows ................................................................... A propos de l'analyse et et du blocage des risques de scurit Auto-Protect .................................................................. Configurer des options avances d'analyse et de surveillance ................................................................... A propos de Risk Tracer ......................................................... A propos du cache de fichier ................................................... Configuration d'Auto-Protect pour le systme de fichiers pour les clients Mac .......................................................................... Configurer Auto-Protect pour messagerie Internet ........................... Configurer Auto-Protect pour messagerie Microsoft Outlook .............. Configuration d'Auto-Protect pour messagerie Lotus Notes ............... Configurer des options de notification pour Auto-Protect .................. Afficher des rsultats d'Auto-Protect sur les ordinateurs infects ........................................................................ Ajouter des avertissements dans les messages lectroniques infects. ........................................................................ Envoi d'un avertissement aux expditeurs d'un message infect .......................................................................... Notifier d'autres utilisateurs de messages infects ...................... Configurer des notifications de progression pour des analyses Auto-Protect pour messagerie Internet ............................... 479 480 480 481 483 484 485 486 487 488 490 491 492 494 494 495 497 498
Chapitre 27
Utilisation d'analyses dfinies par l'administrateur ........................................................... 501

A propos de l'utilisation d'analyses dfinies par l'administrateur ......... Configurer une analyse planifie pour des clients Windows ................ Configuration d'une analyse planifie pour les clients Mac ................. Configurer une analyse sur demande pour des clients Windows .......... Configuration d'une analyse sur demande pour les clients Mac ........... 501 502 504 505 506
Table des matires
21
Excuter des analyses la demande ............................................... 508 Configurer des options de progression d'analyse pour des analyses dfinies par l'administrateur .................................................. 510 Dfinir des options avances pour des analyses dfinies par l'administrateur ................................................................... 511
Section 4
Chapitre 28
Configuration de la protection contre les menaces rseau .................................................... 513

Paramtres de base de protection contre les menaces rseau ........................................................... 515
A propos de la protection contre les menaces rseau et des attaques ............................................................................. Comment Symantec Endpoint Protection protge les ordinateurs contre des attaques rseau ............................................... A propos du pare-feu ................................................................... A propos de l'utilisation des politiques de pare-feu ........................... A propos des rgles de filtrage ...................................................... A propos des lments d'une rgle de filtrage ............................ A propos de l'ordre de traitement des rgles .............................. A propos de l'inspection Stateful ............................................. Ajouter des rgles vierges ............................................................ Ajouter des rgles avec un assistant ............................................... Ajouter des rgles hrites d'un groupe parent ................................. Importation et exportation de rgles .............................................. Copier et coller des rgles ............................................................ Modification de l'ordre des rgles .................................................. Activer et dsactiver des rgles ..................................................... Activation du filtrage de trafic intelligent ....................................... Activation des paramtres de trafic et des paramtres furtifs ............. Configuration de l'authentification point point .............................. 516 516 517 518 519 520 525 528 530 533 534 535 535 536 536 537 538 539
Chapitre 29
Configuration de la prvention d'intrusion .................. 541

A propos du systme de prvention d'intrusion ................................ A propos des signatures IPS Symantec ..................................... A propos des signatures IPS personnalises ............................... Configuration de la prvention d'intrusion ...................................... A propos de l'utilisation des politiques de prvention d'intrusion .................................................................... Activation des paramtres de prvention d'intrusion .................. Modifier le comportement des signatures IPS Symantec .............. 541 542 543 544 545 545 546
22
Table des matires
Blocage d'un ordinateur attaquant ........................................... Installation d'une liste des ordinateurs exclus ............................ Cration de signatures IPS personnalises ...................................... Attribution de multiples bibliothques IPS personnalises un groupe .......................................................................... Modifier l'ordre des signatures ................................................ Copier et coller des signatures ................................................ Dfinir des variables pour des signatures ..................................
548 549 550 552 553 553 554
Chapitre 30
Personnalisation de la protection contre les menaces rseau ........................................................... 557

Activer et dsactiver la protection contre les menaces rseau ............. Configurer des paramtres de protection contre les menaces rseau pour la commande mlange .................................................. Ajouter des htes et des groupes d'htes ......................................... Modifier et supprimer les groupes d'htes ....................................... Ajout d'htes et de groupes d'htes une rgle ................................ Ajout de services rseau ............................................................... Modifier et supprimer des services rseau personnaliss ................... Ajout des services rseau une rgle .............................................. Activation du partage des fichiers et des imprimantes du rseau ......... Ajouter des adaptateurs rseau ..................................................... Ajout de cartes rseau une rgle .................................................. Modifier et supprimer les adaptateurs rseau personnaliss ............... Ajouter des applications une rgle ............................................... Ajout de planifications une rgle ................................................. Configurer des notifications pour la protection contre les menaces rseau ................................................................................ Configurer les messages lectroniques pour les vnements de trafic ............................................................................ Installation de la surveillance d'application rseau ........................... 558 559 560 561 562 563 564 565 566 568 569 570 570 572 573 574 575
Section 5
Chapitre 31
Configuration de la protection proactive contre les menaces ............................................. 579

Configuration des analyses proactives des menaces de TruScan .................................................................... 581
A propos des analyses proactives des menaces TruScan ..................... 582 A propos de l'utilisation des paramtres par dfaut de Symantec ......... 583
Table des matires
23
A propos des processus dtects par les analyses proactives des menaces TruScan ................................................................. A propos de la gestion des faux positifs dtects par les analyses proactives des menaces TruScan ............................................. A propos de les processus que les analyses proactives des menaces TruScan ignorent ................................................................. Comment les analyses proactives des menaces TruScan fonctionnent avec la quarantaine ............................................................... Comment les analyses proactives des menaces TruScan fonctionnent avec des exceptions centralises .............................................. Comprendre les dtections proactives de menaces TruScan ................ Spcifier les types de processus que les analyses proactives des menaces dtectent .......................................................... Spcification des actions et des niveaux de sensibilit pour dtecter des chevaux de Troie, des vers et des enregistreurs de frappe ...................................................................... Spcifier des actions pour les dtections d'application commerciale .................................................................. Configurer la frquence d'analyse proactive des menaces TruScan .............................................................................. Configuration des notifications pour les analyses proactives des menaces TruScan .................................................................
583 586 588 589 590 591 593
594 595 596 596
Chapitre 32
Configurer l'application et le contrle des priphriques ............................................................... 599

A propos du contrle des applications et des priphriques ................ A propos de la structure d'une politique de contrle des applications et des priphriques .............................................................. A propos du contrle des applications ............................................ A propos du mode test ........................................................... A propos des rgles et des groupes de rgles de contrle des applications .................................................................. A propos du contrle des priphriques .......................................... A propos de l'utilisation du contrle des applications et des priphriques ..................................................................... Crer un ensemble de rgles par dfaut de contrle des applications ........................................................................ Cration d'une politique de contrle des applications et des priphriques ...................................................................... Configuration du contrle des applications pour une politique de contrle des applications et des priphriques ........................... 600 601 602 603 604 608 609 610 611 612
24
Table des matires
Cration d'un groupe de rgles de contrle d'applications et ajout d'une nouvelle rgle au groupe .......................................... Ajout de conditions une rgle ............................................... Configuration des proprits de condition d'une rgle ................. Configurer les actions prendre lorsqu'une condition est remplie ......................................................................... Application d'une rgle des applications spcifiques et exclusion d'une rgle pour certaines applications ............................... Modification de l'ordre dans lequel les ensembles de rgles de contrle des applications sont appliqus. ............................ Dsactivation des ensembles de rgles de contrle des applications et des rgles individuelles dans une politique de contrle des applications et des priphriques ................. Modification du mode d'un ensemble de rgles de contrle des applications .................................................................. Configuration d'un contrle des priphriques pour une politique de contrle des applications et des priphriques ...........................
613 615 616 618 619 621
622 623 623
Chapitre 33
Personnalisation des politiques de contrle des applications et des priphriques ............................ 625
A propos des priphriques matriels ............................................. A propos des identificateurs de classe ...................................... A propos des ID de priphrique .............................................. Obtention d'un ID de classe ou de priphrique ................................ Ajouter un quipement la liste des priphriques matriels .............. Modifier un quipement dans la liste des priphriques matriels ............................................................................ A propos de l'autorisation d'utiliser des applications, des correctifs et des utilitaires ................................................................... Cration et importation d'une liste de signatures de fichiers ............... Cration d'une liste de signatures de fichiers ............................. Modifier une liste de signatures de fichier dans Symantec Endpoint Protection Manager ........................................... Importer une liste des signatures de fichier dans Symantec Endpoint Protection Manager ........................................... Fusionner des listes de signatures de fichier dans Symantec Endpoint Protection Manager .......................................... Suppression d'une liste de signatures de fichier ......................... A propos du verrouillage du systme .............................................. Prrequis au verrouillage du systme ....................................... Configurer le verrouillage du systme ............................................ 625 626 626 627 628 629 629 630 631 632 633 634 635 636 637 638
Table des matires
25
Section 6
Chapitre 34
Configuration des exceptions centralises ............................................................. 643

Configuration des politiques d'exceptions centralises ................................................................... 645
A propos des politiques d'exceptions centralises ............................. A propos de l'utilisation des politiques d'exceptions centralises ................................................................... A propos des exceptions centralises pour les analyses antivirus et antispyware ............................................................... A propos des exceptions centralises pour les analyses proactives des menaces TruScan ...................................................... A propos des exceptions centralises pour la protection contre les interventions ............................................................ A propos des interactions de client avec les exceptions centralises ................................................................... Configuration d'une politique d'exceptions centralises ..................... Configuration d'une exception centralise pour l'analyse antivirus et antispyware sur des clients Windows .............................. Configuration d'une exception centralise pour des fichiers ou dossiers sur des clients Mac .............................................. Configuration d'une exception centralise pour les analyses proactives des menaces TruScan ....................................... Configurer une exception centralise pour la protection contre les interventions ............................................................ Configurer des restrictions client pour des exceptions centralises ......................................................................... Cration d'exceptions centralises partir des vnements de journal ............................................................................... Ajouter une exception centralise pour des vnements de risque ........................................................................... Ajouter une exception centralise pour des vnements d'analyse proactive des menaces TruScan ........................................ Ajout d'une exception centralise pour des vnements de protection contre les interventions .................................... 645 647 647 648 648 649 649 650 654 655 657 658 658 659 660 661
Annexe A
Utilisation de l'interface de ligne de commande

......................................................................................... 663 Commandes Windows pour le service client .................................... 663 Codes d'erreur ..................................................................... 667
26
Table des matires
Saisie d'un paramtre si le client est protg par mot de passe ............................................................................ 668
Annexe B
A propos des paramtres de communication entre le client et le serveur ................................................... 671

A propos des paramtres de communication entre le client et le serveur ............................................................................... 671
Annexe C
Informations de gestion et de protection du client par la plate-forme ........................................................ 673

Fonctions de gestion par plate-forme ............................................. Fonctions de protection client par plate-forme ................................. Paramtres de politique antivirus et antispyware disponibles pour Windows et Mac ................................................................... Paramtres de politique LiveUpdate disponibles pour Windows et Mac ................................................................................... 673 675 676 678
Index ................................................................................................................... 679
Section
Tches administratives de base
Chapitre 1. Prsentation de Symantec Endpoint Protection Chapitre 2. Dmarrage de la console Symantec Endpoint Protection Manager Chapitre 3. Gestion de la console Symantec Endpoint Protection Manager avec Symantec Protection Center Chapitre 4. Gestion des groupes et des clients Chapitre 5. Gestion des emplacements d'un groupe Chapitre 6. Utilisation des politiques Chapitre 7. Utilisation des packages d'installation client Chapitre 8. Mise jour des dfinitions et du contenu Chapitre 9. Affichage des fonctions dans l'interface utilisateur client Chapitre 10. Gestion de la communication entre les serveurs de gestion et les clients Chapitre 11. Surveillance de la protection de terminal Chapitre 12. Affichage et configuration des rapports
28
Chapitre 13. Affichage et configuration des journaux et des notifications Chapitre 14. Grer des domaines et des administrateurs
Chapitre
Prsentation de Symantec Endpoint Protection

Ce chapitre traite des sujets suivants :

A propos de Symantec Endpoint Protection A propos de Symantec Network Access Control Composants de Symantec Endpoint Protection et Symantec Network Access Control Fonctions principales de Symantec Endpoint Protection et Symantec Network Access Control A propos des types de protection
A propos de Symantec Endpoint Protection

Symantec Endpoint Protection combine la protection antivirus la protection contre les menaces avance pour scuriser proactivement vos ordinateurs contre les menaces connues ou inconnues. Se reporter "A propos des types de protection" la page 35. Symantec Endpoint Protection protge contre les logiciels malveillants tels que les virus, les vers, les chevaux de Troie, les spyware et les logiciels publicitaires. Il assure la protection contre mme les attaques les plus sophistiques qui ludent des mesures de scurit traditionnelles telles que des rootkits, des attaques "Zero Day" et les spywares qui mutent. Symantec Endpoint Protection vous permet galement de mettre jour le contrle des applications et des priphriques. Symantec Endpoint Protection fournit vos terminaux des couches multiples de protection.
30
Prsentation de Symantec Endpoint Protection A propos de Symantec Network Access Control
Votre logiciel Symantec peut inclure Symantec Network Access Control. Symantec Network Access Control utilise galement Symantec Endpoint Protection Manager pour installer et grer Symantec Endpoint Protection et Symantec Network Access Control. Symantec Network Access Control garantit que les clients sont conformes avec les politiques de scurit de votre socit avant qu'ils soient autoriss accder votre rseau. Symantec Endpoint Protection et Symantec Network Access Control travaillent ensemble mais sont vendus sparment. Se reporter "A propos de Symantec Network Access Control" la page 30. Se reporter "Composants de Symantec Endpoint Protection et Symantec Network Access Control" la page 30.
A propos de Symantec Network Access Control

Symantec Network Access Control s'assure que les ordinateurs client d'une entreprise sont conformes aux politiques de scurit de l'entreprise avant que les ordinateurs soient autoriss d'accder au rseau. Symantec Network Access Control utilise une politique d'intgrit de l'hte et un Symantec Enforcer facultatif pour dcouvrir et valuer les ordinateurs conformes. Les clients non conformes sont dirigs vers un serveur de correction. Le serveur de correction tlcharge le logiciel ncessaire, les correctifs, les mises jour des dfinitions, etc. pour rendre l'ordinateur client conforme. Symantec Network Access Control contrle galement des terminaux client en continu pour les changements d'tats de conformit. Symantec Network Access Control est un produit compagnon de Symantec Endpoint Protection. Les deux produits incluent Symantec Endpoint Protection Manager, qui fournit l'infrastructure permettant d'installer et de grer les clients Symantec Endpoint Protection et Symantec Network Access Control. Le client Symantec Endpoint Protection protge les terminaux contre deux menaces connues et contre les menaces jamais dcouvertes. Se reporter "A propos de Symantec Endpoint Protection" la page 29. Se reporter "Composants de Symantec Endpoint Protection et Symantec Network Access Control" la page 30. Pour plus d'informations sur le botier Enforcer, consultez le Guide de mise en oeuvre de Symantec Network Access Control Enforcement.
Composants de Symantec Endpoint Protection et Symantec Network Access Control

Tableau 1-1 liste les composants du produit' et dcrit leurs fonctions.
Prsentation de Symantec Endpoint Protection Composants de Symantec Endpoint Protection et Symantec Network Access Control
31
Tableau 1-1 Composant
Composants de produit Description

Symantec Endpoint Protection Manager est un serveur de gestion des ordinateurs client qui se connectent votre rseau d'entreprise. Symantec Endpoint Protection Manager comprend le logiciel suivant : Le logiciel de console coordonne et gre les politiques de scurit et les ordinateurs client. Le logiciel serveur fournit une communication protge et des ordinateurs client et de la console.
Symantec Endpoint Protection Manager
Se reporter "Ce que vous pouvez faire partir de la console" la page 42. Base de donnes La base de donnes qui enregistre des politiques de scurit et des vnements. La base de donnes est installe sur l'ordinateur qui hberge Symantec Endpoint Protection Manager. Se reporter "A propos de la gestion des bases de donnes" la page 379. Client Symantec Endpoint Protection Le client Symantec Endpoint Protection protge les ordinateurs avec des analyses antivirus, un pare-feu, un systme de prvention des intrusions, et d'autres technologies de protection. Il s'excute sur les serveurs, les ordinateurs de bureau et les ordinateurs portables que vous voulez protger. Pour plus d'informations, consultez le Guide client de Symantec Endpoint Protection et Symantec Network Access Control. Client Symantec Network Access Control Le client Symantec Network Access Control Mac applique la conformit des politiques de scurit sur les ordinateurs client en utilisant des vrifications de l'intgrit de l'hte et des fonctions d'auto-application. Le client signale son tat de conformit d'intgrit de l'hte Symantec Enforcer. Pour plus d'informations, consultez le Guide de mise en oeuvre de Symantec Network Access Control Enforcement. Pour plus d'informations, consultez le Guide client de Symantec Endpoint Protection et Symantec Network Access Control.
32
Composant
Description
Symantec Protection Center Symantec Protection Center est install quand vous installez Symantec Endpoint Protection Manager. Protection Center vous permet d'intgrer des consoles de gestion partir de plusieurs produits de scurit Symantec dans un environnement de gestion unique. Se reporter "A propos de Symantec Protection Center" la page 45. Symantec Enforcer (facultatif) Un module d'application Enforcer s'assure que les clients qui essayent de se connecter au rseau soient conformes aux politiques de scurit configures. Vous pouvez restreindre les ordinateurs non conformes des segments de rseau spcifiques en vue de la correction et pouvez interdire compltement l'accs aux ordinateurs non conformes. Symantec Network Access Control fournit les types de modules d'application Enforcer suivants : Le botier Enforcer, qui est un botier matriel sur lequel vous installez une de plusieurs images de botier de Symantec Enforcer. Les modules d'application Integrated Enforcers, qui sont les composants logiciels qui interagissent avec un serveur DHCP et un serveur Windows NPS de Microsoft.
Pour plus d'informations, consultez le Guide de mise en oeuvre de Symantec Network Access Control Enforcement. Clients Symantec Network Access Control la demande pour Windows et Macintosh (facultatifs) Serveur LiveUpdate (facultatif) Les clients la demande sont les clients temporaires que vous fournissez aux utilisateurs lorsqu'ils n'ont pas accs au rseau parce qu'ils ne disposent pas du logiciel qui est conforme votre politique de scurit. Le serveur LiveUpdate tlcharge des dfinitions, des signatures et des mises jour de produit d'un serveur Symantec LiveUpdate et distribue les mises jour aux ordinateurs client. Pour de plus amples informations, consultez le Guide de l'utilisateur de Symantec LiveUpdate Administrator.
33
Composant
Quarantaine centralise (facultative)
Description
La quarantaine centralise reoit les fichiers suspects et les lments infects non rpars des clients de Symantec Endpoint Protection. La quarantaine centralise transfre un chantillon Symantec Security Response, qui analyse l'chantillon. Si une menace est nouvelle, Symantec Security Response produit des mises jour de scurit. Pour plus d'informations, consultez le Guide de mise en oeuvre de Symantec Central Quarantine.
Figure 1-1
Ordinateur excutant le client Symantec Endpoint Protection ou le client Symantec Network Access Control, connects via un tunnel VPN
Les composants de produit dans un rseau
Internet
Pare-feu
Rseau Ethernet local
Symantec Endpoint Protection Manager, avec le client Symantec Endpoint Protection ou le client Symantec Network Access Control install
Ordinateurs excutant le client Symantec Endpoint Protection ou le client Symantec Network Access Control
Se reporter "A propos de Symantec Endpoint Protection" la page 29. Se reporter "A propos de Symantec Network Access Control" la page 30. Se reporter "Fonctions principales de Symantec Endpoint Protection et Symantec Network Access Control" la page 34.
34
Prsentation de Symantec Endpoint Protection Fonctions principales de Symantec Endpoint Protection et Symantec Network Access Control
Fonctions principales de Symantec Endpoint Protection et Symantec Network Access Control

Tableau 1-2 Fonction
Protection au niveau de l'entreprise
Fonctions de cl de produit Description

Le produit fournit les fonctions suivantes :
Analyses d'ordinateur client pour des virus et des menaces de scurit. Dtection et rparation des effets des virus, des vers, des chevaux de Troie, des spyware, des logiciels publicitaires et des rootkits connus. Analyse des processus pour les anomalies de comportement pour dtecter les virus connus et inconnus et les risques de scurit. Prvention de l'accs des utilisateurs non autoriss aux ordinateurs et rseaux qui se connectent Internet. Nettoyage, suppression et mise en quarantaine des fichiers infects. Dtection automatique et blocage des attaques rseau.
Se reporter "A propos des types de protection" la page 35. Gestion Les fonctions suivantes sont incluses :

Configuration d'origine pour entreprises de toutes tailles. La console de Symantec Protection Center vous permet d'intgrer plus d'une console de gestion de produit Symantec dans un environnement unique. Se reporter "A propos de Symantec Protection Center" la page 45. L'unique console Symantec Endpoint Protection Manager fournit une vue du dploiement client entier. Se reporter "Ce que vous pouvez faire partir de la console" la page 42. Symantec Endpoint Protection Manager cordonne la communication entre la console et le client et la consignation d'vnements. Comptes administrateur qui permettent d'accder la console. Se reporter "Grer des domaines et des comptes administrateur" la page 322. Tlchargements de LiveUpdate des dernires dfinitions de virus et mises jour de produit. Se reporter "Gestion du contenu pour les clients" la page 140.
Prsentation de Symantec Endpoint Protection A propos des types de protection
35
Fonction
Migration
Description
Les fonctions suivantes sont incluses : Paramtres de groupe et de politique pour le logiciel Symantec hrit. Mises niveau d'ordinateur client l'aide de l'Assistant d'installation client.
Application client
Les fonctions suivantes sont incluses : S'assure qu'un ordinateur client est correctement protg et conforme avant qu'il soit autoris se connecter au rseau d'entreprise. Rsout les ordinateurs non conformes.
Se reporter "A propos de Symantec Endpoint Protection" la page 29. Se reporter "A propos de Symantec Network Access Control" la page 30.
A propos des types de protection

Symantec Endpoint Protection applique les technologies de protection contre les virus ainsi que d'autres technologies de protection sur les ordinateurs client utilisant plusieurs couches de protection essentielle. Tableau 1-3 couches de protection Symantec Endpoint Protection Description
Type de protection
Protection antivirus et La protection antivirus et antispyware de Symantec Endpoint antispyware Protection assure la protection contre les virus et les risques de scurit et, dans beaucoup de cas, peut rparer leurs effects secondaires. La protection inclut l'analyse en temps rel des fichiers et du courrier lectronique ainsi que des analyses planifies et des analyses la demande. Les analyses antivirus et antispyware dtectent les virus et les risques de scurit, tels que des spywares, des logiciels publicitaires et d'autres fichiers qui peuvent rendre un ordinateur, ainsi qu'un rseau, vulnrable. Se reporter "Bases de la protection antivirus et antispyware" la page 430.
36
Type de protection
Protection contre les menaces rseau
Description
La protection contre les menaces rseau assure une protection par pare-feu et de prvention des intrusions pour empcher les intrusions et le contenu malveillant d'atteindre l'ordinateur qui excute le client Symantec Endpoint Protection. Le pare-feu autorise ou bloque le trafic rseau en fonction des divers critres que l'administrateur ou l'utilisateur final dfinit. Le client analyse galement toutes les informations entrantes et sortantes pour rechercher les configurations de donnes qui sont typiques d'une attaque. Il dtecte et bloque les transmissions malveillantes et les tentatives d'attaque de l'ordinateur client manant d'utilisateurs externes. La prvention d'intrusion surveille galement le trafic entrant et empche la propagation des vers. Se reporter "A propos de la protection contre les menaces rseau et des attaques" la page 516.
Protection proactive contre les menaces
La protection proactive contre les menaces assure la protection contre les vulnrabilits d'attaque "Zero Day" dans votre rseau. Les vulnrabilits d'attaque "Zero Day" sont de nouvelles vulnrabilits qui ne sont pas encore connues publiquement. Les menaces qui exploitent ces vulnrabilits peuvent se soustraire la dtection base sur les signatures (telle que les dfinitions d'antivirus et de protection antispyware). Des attaques "Zero Day" peuvent tre utilises dans des attaques cibles et dans la propagation de code malveillant. La protection proactive contre les menaces inclut ce qui suit :

Analyse proactive des menaces TruScan Politique de contrle des applications et des priphriques
Se reporter "A propos des analyses proactives des menaces TruScan" la page 582. Se reporter "A propos du contrle des applications et des priphriques" la page 600.
37
Type de protection
intgrit de l'hte
Description
L'intgrit de l'hte vous permet de dfinir, d'appliquer et de restaurer la scurit des clients pour scuriser les rseaux et les donnes d'entreprise. Vous dfinissez des politiques d'intgrit de l'hte pour vrifier que les clients tentant d'accder au rseau excutent un logiciel antivirus, des correctifs et des hotfix et d'autres critres d'application. Vous dfinissez des politiques d'intgrit de l'hte pour qu'elles s'excutent sur des ordinateurs client au dmarrage et ensuite priodiquement.
Remarque : Les politiques d'intgrit de l'hte sont disponibles

seulement avec le Symantec Network Access Controlproduit. Symantec Network Access Control peut tre install seul ou peut tre install avec Symantec Endpoint Protection. Toutes les autres catgories de la protection sont fournies avec Symantec Endpoint Protection mais ne le sont pas avec Symantec Network Access Control.
Figure 1-2 affiche les catgories de menaces bloques pour chaque type de protection.
38
Figure 1-2
Une prsentation des couches de protection de Symantec Endpoint Protection
Internet
Rseau d'entreprise
Vulnrabilits des applications Portes drobes Vulnrabilits du systme d'exploitation Chevaux de Troie Vers Modifications de fichier/processus/ registre Menaces internes Enregistreurs de frappe Rtrovirus Logiciel espion Attaques cibles Chevaux de Troie Vers Menaces immdiates Logiciel publicitaire Portes drobes Logiciel espion Chevaux de Troie Vers Virus
Portes drobes Attaques par dni de service Analyses de port Attaques de pile Chevaux de Troie Vers
Protection contre les menaces rsea
Politique de pare-feu
Carte d'interface rseau
Politique de prvention d'intrusion
Protection proactive contre les menaces
Systeme de fichiers Protection antivirus et antispywar
Politique de contrle des applications et des priphriques
Mmoire/priphriques
Politique antivirus et antispyware
Point de terminaison
Chapitre
Dmarrage de la console Symantec Endpoint Protection Manager


Connexion la console Symantec Endpoint Protection Manager. Ce que vous pouvez faire partir de la console
Connexion la console Symantec Endpoint Protection Manager.

Vous pouvez vous connecter la console Symantec Endpoint Protection Manager aprs l'installation de Symantec Endpoint Protection. Vous pouvez vous connecter la console de deux faons :

Localement, partir de l'ordinateur sur lequel le serveur de gestion est install A distance, partir de tout ordinateur qui rpond la configuration systme requise pour une console distante et dispose d'une connectivit rseau au serveur de gestion.
Beaucoup d'administrateurs ouvrent une session distance et ils peuvent effectuer les mmes tches que les administrateurs qui ouvrent une session localement. Pour vous connecter distance, vous devez connatre l'adresse IP ou le nom d'hte de l'ordinateur sur lequel le serveur de gestion est install. Vous devez galement vous assurer que vos options Internet de navigateur Web permettent d'afficher le contenu du serveur auquel vous vous connectez.
40
Dmarrage de la console Symantec Endpoint Protection Manager Connexion la console Symantec Endpoint Protection Manager.
Ce que vous pouvez afficher et faire partir de la console dpend du type d'administrateur que vous tes. Vous pouvez ouvrir une session en tant qu'administrateur systme, administrateur ou administrateur limit. Un administrateur systme possde des droits complets dans tous les domaines. Un administrateur possde des droits limits un domaine spcifique. Un administrateur limit possde un sous-ensemble de droits d'administrateur et est galement limit un domaine spcifique. Si vous avez install le serveur de gestion, vous tes un administrateur systme. Si quelqu'un d'autre a install le serveur de gestion, votre tat peut tre diffrent. Cependant, la plupart des entreprises ne doivent pas forcment se proccuper des domaines ou de l'tat d'administrateur limit. Vous pouvez galement accder aux fonctions de rapports partir d'un navigateur Web autonome connect votre serveur de gestion. Se reporter "Ouverture d'une session de rapport depuis un navigateur Web autonome" la page 211. Dans les plus petites entreprises, la plupart des administrateurs se connectent en tant qu'administrateur systme. Se reporter "A propos des administrateurs" la page 326. Une fois connect, vous pouvez accder Symantec Endpoint Protection Manager. Se reporter "Ce que vous pouvez faire partir de la console" la page 42. Pour vous connecter la console distance
Ouvrez Internet Explorer et saisissez l'adresse suivante dans la zone d'adresse : http://host name:9090 o nom d'hte est le nom d'hte ou l'adresse IP du serveur de gestion. Remarque : Internet Explorer 7 ou une version ultrieure est requis pour utiliser la console de Web Symantec Endpoint Protection Manager
Sur la page d'accs Web de la console Symantec Endpoint Protection Manager, cliquez sur le type de console souhait. Remarque : Si vous slectionnez la console Symantec Endpoint Protection Manager, l'environnement d'excution Java 2 (JRE) doit tre install sur l'ordinateur partir duquel vous vous connectez. Si tel n'est pas le cas, vous tes invit tlcharger et installer JRE. Suivez les invites pour installer le JRE. Active X doit galement tre install et la fonction de script doit tre active.
Dmarrage de la console Symantec Endpoint Protection Manager Connexion la console Symantec Endpoint Protection Manager.
41
Lors de la connexion, il se peut qu'un message vous avertissant que le nom d'hte n'est pas correct ou un avertissement de scurit s'affiche. Si le message relatif au nom d'hte s'affiche, cliquez sur Oui. Ce message signifie que l'URL de la console distante que vous avez spcifi ne correspond pas au nom du certificat de Symantec Endpoint Protection. Ce problme survient si vous vous connectez et spcifiez une adresse IP plutt que le nom d'ordinateur du serveur de gestion. Si l'avertissement de certificat de scurit de page Web apparat, cliquez sur Poursuivre sur ce site Web (non recommand) et ajoutez le certificat auto-sign Internet Explorer. Ce message signifie qu'Internet Explorer n'identifie pas le site comme scuris. Internet Explorer se base sur des certificats de scurit pour dterminer si un site est scuris. Pour obtenir des instructions sur l'ajout d'un certificat de scurit Internet Explorer, consultez l'article de la Base de donnes du support technique de Symantec, How to add the self-signed certificate for Symantec Protection Center or Symantec Endpoint Protection Manager to Internet Explorer.
Suivez les invites pour terminer le processus de connexion. Selon la mthode de connexion, des informations supplmentaires peuvent tre ncessaires. Par exemple, si votre rseau dispose de plusieurs domaines, vous devrez fournir le nom du domaine auquel vous voulez vous connecter. Remarque : S'il s'agit de la premire connexion aprs l'installation, utilisez le nom de compte administrateur
Cliquez sur Connexion. Vous pouvez recevoir un ou plusieurs messages d'avertissement de scurit pendant que la console distante dmarre. Dans ce cas, cliquez sur Oui, Excuter, Dmarrer ou leur quivalent et continuer jusqu' ce que la console s'affiche.
42
Dmarrage de la console Symantec Endpoint Protection Manager Ce que vous pouvez faire partir de la console
Pour vous connecter la console localement
Dans le menu dmarrage de Windows, cliquez sur Programmes > Symantec Endpoint Protection Manager > console Symantec Endpoint Protection Manager. Dans l'invite de connexion de Symantec Endpoint Protection Manager, saisissez le nom d'utilisateur (administrateur par dfaut) et le mot de passe configurs pendant l'installation Si vous tes un administrateur et que vous n'avez pas install le serveur de gestion, utilisez le nom d'utilisateur et le mot de passe que l'administrateur vous a attribus.
Effectuez l'une des tches suivantes :

Si la console possde un seul domaine, passez directement l'tape 4. Si la console comporte plusieurs domaines, cliquez sur Options>> et saisissez le nom de domaine.
Cliquez sur Ouvrir une session.
Ce que vous pouvez faire partir de la console

La console de Symantec Endpoint Protection Manager fournit une interface utilisateur graphique pour des administrateurs. Vous utilisez la console pour grer des politiques et des ordinateurs, pour contrler l'tat de protection du point terminal et pour crer et grer des comptes administrateur. La console divise les fonctions et les tches que vous remplissez par pages.
43
Tableau 2-1 Page

Accueil
Pages de console de Symantec Endpoint Protection Manager Description

Affichage de l'tat de scurit du rseau Vous pouvez effectuer les tches suivantes partir de la page d'accueil :

Obtenir un compte des virus et d'autres risques de scurit dtects. Obtenir un compte des ordinateurs en rseau non protgs.
Obtenir un compte des ordinateurs qui ont reu les dfinitions de virus et d'autres mises jour du contenu. Rgler les prfrences de la console.
Obtenir des informations sur le dernires menaces Internet et de scurit.
Se reporter "A propos de la page d'accueil de Symantec Endpoint Protection" la page 215. Se reporter "Utilisation de la page Symantec Network Access Control Accueil" la page 226. Contrleurs Contrler les journaux des vnements qui concernent Symantec Endpoint Protection Manager et vos ordinateurs grs. Vous pouvez effectuer les tches suivantes partir de la page Contrles :

Afficher les graphiques de la distribution des risques Afficher les journaux d'vnements. Afficher l'tat des commandes rcemment mises. Afficher et crer des notifications.
Se reporter "Surveillance de la protection de terminal" la page 207. Se reporter "Utiliser l'onglet Rsum de la page Contrleurs" la page 227. Rapports Excuter des rapports pour obtenir des informations jour sur l'ordinateur et l'activit rseau. Vous pouvez effectuer les tches suivantes partir de la page Rapports :

Excuter des rapports rapides. Excuter un compte rendu succinct quotidiennement. Excuter un compte rendu succinct de manire hebdomadaire.
Se reporter "Cration de rapports rapides" la page 274. Se reporter "Surveillance de la protection de terminal" la page 207.
44
Page
Politiques
Description
Afficher les politiques de scurit qui dfinissent les paramtres de technologie de protection. Vous pouvez effectuer les tches suivantes partir de la page Politiques :

Afficher et rgler les paramtres de protection. Crer, modifier, copier et supprimer des politiques de scurit. Assigner des politiques de scurit aux groupes d'ordinateurs. Configurer des ordinateurs client pour LiveUpdate.
Se reporter "Gestion du contenu pour les clients" la page 140. Se reporter "Utilisation de politiques pour grer la scurit du rseau" la page 96. Clients Grer des ordinateurs et des groupes. Vous pouvez effectuer les tches suivantes partir de la page Ordinateurs :

Crer et supprimer des groupes. Modifier des proprits de groupe. Afficher les politiques de scurit qui sont attribues aux groupes. Excuter des commandes sur des groupes. Dployer le logiciel client vers les ordinateurs dans votre rseau.
Se reporter "Gestion de groupes d'ordinateurs" la page 56. Admin Gre les paramtres, les licences et les comptes administrateur de Symantec Endpoint Protection Manager Vous pouvez effectuer les tches suivantes partir de la page Admin :

Crer, modifier et supprimer des comptes administrateur.
Afficher et modifie les paramtres de courrier lectronique et de serveur proxy. Rgler la planification de LiveUpdate.

Tlcharger les mises jour du contenu de LiveUpdate. Afficher l'tat de LiveUpdate et des tlchargements rcents.
Se reporter "Grer des domaines et des comptes administrateur" la page 322. Se reporter "Ajouter un compte d'administrateur" la page 329. Se reporter "Gestion du contenu pour les clients" la page 140.
Chapitre
Gestion de la console Symantec Endpoint Protection Manager avec Symantec Protection Center

A propos de Symantec Protection Center Architecture de Symantec Protection Center Connexion Symantec Protection Center Tableau de bord de Symantec Protection Center A propos de la gestion des comptes Symantec Protection Center Configuration de Symantec Protection Center pour grer des produits Rapports Symantec Protection Center A propos de documentation de Symantec Protection Center
A propos de Symantec Protection Center

Symantec Protection Center est une console Web qui vous permet d'intgrer la gestion de vos produits de scurit Symantec dans un environnement unique. Protection Center inclut un tableau de bord centralis qui rend compte de la scurit globale de votre rseau selon les produits intgrs.
46
Gestion de la console Symantec Endpoint Protection Manager avec Symantec Protection Center Architecture de Symantec Protection Center
Se reporter "Tableau de bord de Symantec Protection Center" la page 49. Les produits pris en charge sont intgrs Protection Center au cours d'un processus d'enregistrement. Une fois vos produits enregistrs, connectez-vous au Protection Center pour les grer tous. Les produits doivent tre installs et configurs sparment avant de pouvoir tre enregistrs. Les produits enregistrs, ou intgrs, fonctionnent toujours indpendamment de Protection Center. Vous pouvez grer les produits ensemble, dans Protection Center ou sparment, dans les diffrentes consoles de produits. Les produits intgrs peuvent tre achets sparment ou en tant qu'lments d'une suite. Seul Symantec Endpoint Protection inclut Symantec Protection Center. Les produits suivants peuvent tre intgrs Protection Center :

Symantec Endpoint Protection Symantec Critical System Protection Symantec Web Gateway Symantec Brightmail Gateway Symantec Data Loss Prevention Symantec IT Analytics
Les produits et les versions de produits pris en charge par Symantec Protection Center peuvent voluer au fil du temps. Pour obtenir les dernires informations concernant les produits pris en charge, consultez le site Web de support technique Symantec. Se reporter "Configuration de Symantec Protection Center pour grer des produits" la page 51. Se reporter "Connexion Symantec Protection Center" la page 48. Se reporter "Architecture de Symantec Protection Center" la page 46.
Architecture de Symantec Protection Center

Symantec Protection Center permet un accs intgr diffrentes consoles et rapports de gestion de produits Symantec. Toutefois, les diffrents serveurs et bases de donnes de produit restent indpendants. Protection Center ne permet pas l'intgration des donnes entre les produits. Se reporter "A propos de Symantec Protection Center" la page 45.
Gestion de la console Symantec Endpoint Protection Manager avec Symantec Protection Center Architecture de Symantec Protection Center
47
Protection Center communique avec les produits intgrs selon les paramtres de communication de chaque produit. Vous spcifiez ces paramtres lors de la configuration de Protection Center pour grer vos produits. Se reporter "Configuration de Symantec Protection Center pour grer des produits" la page 51. Figure 3-1 Architecture de Symantec Protection Center
Symantec Protection Center (excut sur le mme ordinateur que Symantec Endpoint Protection Manager) Utilisateur se connectant Protection Center
Produit Symantec pouvant tre gr dans Protection Center
48
Gestion de la console Symantec Endpoint Protection Manager avec Symantec Protection Center Connexion Symantec Protection Center
Connexion Symantec Protection Center

Symantec Protection Center est install avec un compte administrateur par dfaut. Lors de la premire ouverture de Protection Center, vous vous connectez avec un nom d'utilisateur et un mot de passe par dfaut. Vous devez ensuite modifier le mot de passe. Pour se connecter Protection Center
Dans Internet Explorer, accdez https://<hostname>:9090, o <hostname> correspond l'adresse IP ou au nom d'ordinateur du serveur sur lequel Symantec Endpoint Protection Manager est install. Si Symantec Endpoint Protection Manager est install sur cet ordinateur, cliquez sur Dmarrer > Tous les programmes > Symantec Endpoint Protection Manager > Symantec Endpoint Protection Manager Accs Web.
Cliquez sur le lien pour lancer Symantec Protection Center. Si l'avertissement de certificat de scurit de page Web apparat, cliquez sur Poursuivre sur ce site Web (non recommand) et ajoutez le certificat auto-sign Internet Explorer. Ce message signifie qu'Internet Explorer n'identifie pas le site comme scuris. Internet Explorer se base sur des certificats de scurit pour dterminer si un site est scuris. Pour obtenir des instructions sur l'ajout d'un certificat de scurit Internet Explorer, consultez l'article de la Base de donnes du support technique de Symantec, How to add the self-signed certificate for Symantec Protection Center or Symantec Endpoint Protection Manager to Internet Explorer.
Dans le tableau de bord Protection Center, saisissez le nom d'utilisateur et le mot de passe.

Nom d'utilisateur par dfaut : admin Mot de passe par dfaut : admin
Lors de la premire connexion avec le nom d'utilisateur et le mot de passe par dfaut, la page Modifier le mot de passe, saisissez les informations requises. Notez votre nouveau mot de passe et conservez-le dans un endroit sr. Vous pouvez rcuprer le mot de passe uniquement si vous configurez un autre compte administrateur.
Se reporter "A propos de la gestion des comptes Symantec Protection Center" la page 49.
Gestion de la console Symantec Endpoint Protection Manager avec Symantec Protection Center Tableau de bord de Symantec Protection Center
49
Tableau de bord de Symantec Protection Center

La page d'accueil de Symantec Protection Center est appele Tableau de bord. Lorsque vous vous connectez Protection Center pour la premire fois, le tableau de bord fournit seulement des informations gnrales sur les menaces de scurit. Une fois vos produits intgrs Protection Center, le tableau de bord rend compte de l'tat global de votre scurit rseau, selon les produits intgrs. A partir du tableau de bord, vous pouvez accder directement aux pages suivantes :

Consoles de gestion de produits Rapports sur les produits Se reporter "Rapports Symantec Protection Center" la page 53. Gestion des paramtres pour les comptes Symantec Protection Center et les produits intgrs Se reporter "A propos de la gestion des comptes Symantec Protection Center" la page 49. Se reporter "Configuration de Symantec Protection Center pour grer des produits" la page 51.
A propos de la gestion des comptes Symantec Protection Center

Symantec Protection Center est install avec un compte administrateur par dfaut. Aprs la premire connexion, vous pouvez crer des comptes supplmentaires et enregistrer des ensembles de produits sur chaque compte. Vous ne pouvez supprimer le compte administrateur par dfaut qu'aprs avoir cr un autre compte administrateur. Se reporter "Connexion Symantec Protection Center" la page 48. Avec un compte administrateur de Protection Center, vous pouvez crer des comptes Protection Center supplmentaires avec des paramtres limits. Le tableau suivant prsente les types de compte Protection Center :
50
Gestion de la console Symantec Endpoint Protection Manager avec Symantec Protection Center A propos de la gestion des comptes Symantec Protection Center
Compte administrateur
Permet d'accder toutes les fonctionnalits du produit associ aux comptes produit de ce compte Protection Center Permet de crer et supprimer des comptes Protection Center Permet de modifier les paramtres de compte Protection Center pour tous les comptes, y compris les mots de passe Permet d'ajouter les produits intgrs Protection Center pour tous les comptes
Remarque : Afin de limiter le risque de perte de mots de

passe, vous pouvez crer plusieurs comptes administrateur. Un administrateur Protection Center peut modifier le mot de passe d'un autre compte sans connatre le mot de passe initial. Compte standard Permet d'accder toutes les fonctionnalits du produit associ aux comptes produit de ce compte Protection Center Permet de modifier les paramtres de compte Protection Center pour ce compte uniquement Permet d'ajouter les produits intgrs Protection Center pour ce compte uniquement
L'enregistrement de produit est spcifique chaque compte Protection Center utilisateur. Vous devez enregistrer un ensemble de produits pour chaque utilisateur Protection Center. L'accs fourni par un compte Protection Center aux fonctionnalits d'un produit spcifique dpend du compte produit utilis pour enregistrer le produit avec Protection Center. Par exemple, vous pouvez enregistrer Symantec Endpoint Protection Manager avec un compte Protection Center standard l'aide d'un compte d'administrateur systme Symantec Endpoint Protection Manager. L'utilisateur de ce compte peut alors effectuer les tches suivantes :
Modifier ses propres paramtres dans Protection Center Il ne peut pas crer d'autres comptes Protection Center de quelque type que ce soit. Crer et modifier tous les types de compte Symantec Endpoint Protection Manager dans la console Symantec Endpoint Protection Manager laquelle il accde via Protection Center Excuter toutes les tches dans Symantec Endpoint Protection Manager
Gestion de la console Symantec Endpoint Protection Manager avec Symantec Protection Center Configuration de Symantec Protection Center pour grer des produits
51
De mme, vous pouvez enregister Symantec Endpoint Protection Manager avec un compte Protection Center administrateur l'aide d'un compte administrateur Symantec Endpoint Protection Manager limit. L'utilisateur de ce compte peut alors effectuer les tches suivantes :

Crer et modifier tous les comptes dans Protection Center Excuter uniquement des tches limites dans Symantec Endpoint Protection Manager Il ne peut crer ou modifier aucun compte Symantec Endpoint Protection Manager.
Remarque : Si vous enregistrez Symantec Endpoint Protection Manager avec un compte administrateur limit, le compte doit au moins disposer de droits de cration de rapports. Se reporter "Configuration de Symantec Protection Center pour grer des produits" la page 51. Vous pouvez modifier vos paramtres de compte Protection Center tout moment. Aprs avoir enregistr un produit dans Symantec Protection Center, vous pouvez facilement modifier ses paramtres ou le supprimer compltement. Se reporter "A propos de Symantec Protection Center" la page 45.
Configuration de Symantec Protection Center pour grer des produits

Configurez Symantec Protection Center pour grer vos produits intgrs en enregistrant ou en ajoutant chaque produit Protection Center. Vous pouvez effectuer cette tche tout moment une fois les produits installs et configurs. Pendant le processus d'enregistrement, vous devez fournir les informations d'authentification de connexion pour chaque produit. Grce ces informations, Protection Center peut se connecter et communiquer avec vos autres produits Symantec. Une fois vos produits enregistrs ou ajouts Protection Center, vous tes automatiquement connect tous vos produits lorsque vous vous connectez Protection Center. Se reporter "A propos de Symantec Protection Center" la page 45. Si vous avez personnalis des paramtres de communication lors de l'installation de vos produits, vous devez spcifier ces paramtres lors de l'enregistrement. Ces paramtres sont notamment :
52
Gestion de la console Symantec Endpoint Protection Manager avec Symantec Protection Center Configuration de Symantec Protection Center pour grer des produits
Demander ou non une connexion scurise pour obtenir les informations sur le produit Ports personnaliss Les numros de ports par dfaut sont 8014 pour la connexion au produit, le tableau de bord du produit et les rapports et 8443 pour la console produit.
Remarque : Si vous utilisez un compte administrateur limit pour enregistrer Symantec Endpoint Protection Manager dans Protection Center, le compte doit disposer de droits de cration de rapports. Se reporter "A propos des administrateurs" la page 326. Se reporter "Configurer les droits d'accs pour un administrateur limit" la page 331.
Remarque : L'enregistrement de produit est spcifique chaque compte utilisateur Protection Center. Vous devez enregistrer un ensemble de produits pour chaque compte utilisateur Protection Center. Se reporter "A propos de la gestion des comptes Symantec Protection Center" la page 49.
Gestion de la console Symantec Endpoint Protection Manager avec Symantec Protection Center Rapports Symantec Protection Center
53
Pour configurer Protection Center pour grer des produits
1 2
Dans le tableau de bord Symantec Protection Center ou sur la page Paramtres principale, cliquez sur Ajouter un produit grer. Entrez les informations demandes dans les champs appropris. Vous devez fournir les informations suivantes :
Nom d'affichage du nouveau produit Toute chane que vous voulez utiliser pour identifier votre produit dans Protection Center Slectionnez votre produit de la liste droulante. L'adresse IP du serveur o vous avez install la version de votre produit que vous souhaitez enregistrer. Vous pouvez galement saisir un nom d'ordinateur. Le nom d'utilisateur du compte administrateur de votre produit Le mot de passe du compte administrateur de votre produit
Type de produit
Adresse du produit
Nom d'utilisateur du produit
Mot de passe du produit
Si vous avez personnalis des paramtres de communication lors de l'installation du produit, cliquez sur Paramtres de communication de produit et spcifiez les paramtres appropris. Cliquez sur Tester la connexion pour vous assurer que Protection Center peut communiquer avec votre produit. Cliquez sur Ajouter un produit.
4 5
Rapports Symantec Protection Center

La page de rapports de Symantec Protection Center vous permet d'excuter des rapports sur vos produits intgrs directement depuis la console Protection Center. Vous n'avez pas besoin d'accder aux diffrentes consoles de produits pour excuter des rapports. Ces rapports sont les mmes que ceux qui sont disponibles dans vos produits autonomes. Pour plus d'informations, consultez la documentation de chaque produit. Si vous excutez un rapport et qu'aucune donne n'apparat, essayez de ractualiser votre navigateur.
54
Gestion de la console Symantec Endpoint Protection Manager avec Symantec Protection Center A propos de documentation de Symantec Protection Center
Se reporter "A propos de Symantec Protection Center" la page 45.
A propos de documentation de Symantec Protection Center

Symantec Protection Center inclut une aide laquelle vous pouvez accder via le lien Aide dans la fentre Protection Center. La documentation de Protection Center explique uniquement comment utiliser les fonctions de Protection Center. Pour plus d'informations sur les produits qui peuvent tre intgrs Protection Center, consultez la documentation de chaque produit. Lorsque vous accdez aux diffrentes consoles de produits dans Protection Center, l'Aide du produit est galement disponible depuis la console. Par exemple, si vous excutez la console Symantec Endpoint Protection Manager dans Symantec Protection Center, vous avez accs toutes les fonctions de la console de produit, y compris la documentation et l'aide de Symantec Endpoint Protection. Se reporter "A propos de Symantec Protection Center" la page 45.
Chapitre
Gestion des groupes et des clients


Gestion de groupes d'ordinateurs Comment structurer des groupes Ajout d'un groupe Importation d'une structure organisationnelle existante Attribution d'un nouveau nom un groupe Dplacement d'un groupe Affichage des proprits d'un groupe Activation ou dsactivation de l'hritage d'un groupe Configuration et gestion de clients au sein de groupes A propos du mode utilisateur et du mode ordinateur Affectation prliminaire des ordinateurs ou des utilisateurs des groupes avant d'installer le logiciel client A propos des groupes spcifis dans le package d'installation client Basculer un client entre le mode utilisateur et le mode ordinateur Convertir un client autonome en client gr. Bloquer l'ajout de clients des groupes Dplacement de clients entre des groupes
56
Gestion des groupes et des clients Gestion de groupes d'ordinateurs
Affichage de l'tat des clients et des ordinateurs client Filtrage des clients que vous pouvez afficher dans l'onglet Clients Redmarrage d'ordinateurs client Affichage des proprits d'un client Recherche d'informations sur les clients Configurer un client pour dtecter les priphriques inconnus Excution de commandes sur des clients partir de la console
Gestion de groupes d'ordinateurs

Symantec Endpoint Protection Manager vous permet de grer des groupes d'ordinateurs client comme une seule unit. Tableau 4-1 dcrit les actions excuter lors de la gestion de vos groupes d'ordinateurs. Tableau 4-1 Tche
Cration d'un groupe
Actions de gestion de groupes Description

Vous pouvez prendre connaissance des groupes et de leur mode de cration. Les groupes crs sont rpertoris comme groupes enfant sous le groupe parent Ma socit. Se reporter "Comment structurer des groupes" la page 57. Se reporter "Ajout d'un groupe" la page 59.
Importation de groupes existants
Si votre socit possde dj une structure en groupes, vous pouvez importer les groupes en tant qu'units organisationnelles. Se reporter "Importation d'une structure organisationnelle existante" la page 59.
Dsactivation de l'hritage pour les sous-groupes
Par dfaut, les sous-groupes hritent des paramtres de scurit du groupe parent. Vous pouvez dsactiver l'hritage. Vous pouvez dsactiver l'hritage entre un sous-groupe et un groupe parent. Se reporter "Activation ou dsactivation de l'hritage d'un groupe" la page 63.
Gestion des groupes et des clients Comment structurer des groupes
57
Tche
Gestion des politiques de scurit pour les groupes
Description
Vous pouvez crer des politiques de scurit en fonction des besoins de chaque groupe. Vous pouvez alors attribuer diffrentes politiques diffrents groupes. Se reporter "Utilisation de politiques pour grer la scurit du rseau" la page 96.
Cration d'emplacements au Vous pouvez configurer le basculement automatique des sein des groupes clients sur une politique de scurit diffrente si l'emplacement physique du client change. Se reporter "Utiliser la dtection de l'emplacement avec des groupes" la page 83. Quelques paramtres de scurit sont spcifiques au groupe et quelques paramtres sont spcifiques l'emplacement. Vous pouvez personnaliser tout paramtre spcifique l'emplacement. Se reporter "Configurer des paramtres de communication pour un emplacement" la page 199. Affichage des proprits d'un Vous pouvez afficher les groupes pour vrifier que les groupe groupes auxquels les ordinateurs client appartiennent sont corrects. Vous pouvez galement vrifier le numro de la politique attribue au groupe. Se reporter "Affichage des proprits d'un groupe" la page 63. Dplacement d'un groupe Vous pouvez dplacer un sous-groupe vers un autre groupe pour hriter automatiquement les politiques du nouveau groupe. Se reporter "Dplacement d'un groupe" la page 62. Ajout et gestion des ordinateurs client Vous pouvez grer des clients du groupe. Par exemple, vous pouvez ajouter des clients un groupe, excuter et contrler la protection de terminal et afficher des informations sur les clients. Se reporter "Configuration et gestion de clients au sein de groupes" la page 64.
Comment structurer des groupes

Dans Symantec Endpoint Protection Manager, les groupes fonctionnent comme conteneur pour les ordinateurs client. Vous organisez des ordinateurs ayant des
58
Gestion des groupes et des clients Comment structurer des groupes
besoins de scurit semblables en groupes pour faciliter la gestion de la scurit du rseau. Symantec Endpoint Protection Manager contient les groupes par dfaut suivants :
Le groupe Ma socit est le plus lev ou le groupe parent. Il contient une arborescence horizontale de groupes enfant. Le groupe par dfaut est un sous-groupe de Ma socit. Les clients sont d'abord attribus au Groupe par dfaut lorsqu'ils s'enregistrent pour la premire fois Symantec Endpoint Protection Manager, moins d'appartenir un groupe prdfini. Vous ne pouvez pas crer de sous-groupe sous le Groupe par dfaut.
Vous ne pouvez pas renommer ou supprimer des groupes par dfaut. Vous pouvez crer plusieurs sous-groupes pour qu'ils correspondent la structure organisationnelle de votre entreprise. Vous pouvez baser votre structure de groupe sur la fonction, le rle, la gographie ou une combinaison de critres. Tableau 4-2 Critre
Fonction
Critres de cration des groupes Description

Vous pouvez crer des groupes en fonction des types d'ordinateur grer, comme les ordinateurs portables, de bureaux et les serveurs. Alternativement, vous pouvez crer plusieurs groupes selon le type d'utilisation. Par exemple, vous pouvez crer un groupe Mobile pour les ordinateurs dont les utilisateurs voyagent et Local pour les ordinateurs dans le bureau. Vous pouvez crer des groupes pour les rles de service, comme les ventes, l'ingnierie, les finances et le marketing. Vous pouvez crer des groupes selon les bureaux, les villes, les tats, les rgions ou les pays dans lesquels les ordinateurs se trouvent.
Rle
Gographie
Combinaison Vous pouvez crer des groupes selon une combinaison de critres. Par exemple, vous pouvez utiliser la fonction et le rle. Vous pouvez ajouter un groupe parent par rle et ajouter des sous-groupes enfant par fonction, comme dans le scnario suivant : Ventes, avec des sous-groupes d'ordinateurs portables, de bureau et serveurs. Ingnierie, avec des sous-groupes d'ordinateurs portables, de bureau et serveurs.
Imaginons par exemple qu'une entreprise possde des services tlmarketing et comptabilit. Ces services ont du personnel dans les filiales de l'entreprise New York, Londres et Francfort. Les ordinateurs des deux services sont affects au
Gestion des groupes et des clients Ajout d'un groupe
59
mme groupe, de sorte qu'ils reoivent des mises jour de dfinitions de virus et des risques de scurit provenant de la mme source. Cependant, les rapports du service informatique indiquent que le service de tlmarketing est plus vulnrable aux risques que la comptabilit. En consquence, l'administrateur systme cre des groupes diffrents pour le tlmarketing et la comptabilit. Les clients de tlmarketing partagent des paramtres de configuration qui limitent strictement la manire dont les utilisateurs peuvent interagir avec leur protection antivirus et contre les risques de scurit. Se reporter "Gestion de groupes d'ordinateurs" la page 56.
Ajout d'un groupe

Vous pouvez ajouter des groupes aprs avoir dfini la structure de groupe de votre organisation. Les descriptions de groupe peuvent atteindre 1024 caractres. Les noms de groupe peuvent contenir n'importe quel caractre except les caractres suivants : [ / \ * ? < > | :] Les descriptions de groupe ne sont pas restreintes. Remarque : Il est impossible d'ajouter des groupes au groupe par dfaut. Se reporter "Comment structurer des groupes" la page 57. Pour ajouter un groupe
1 2 3 4 5
Dans la Console, cliquez sur Clients. Sous Afficher les clients, slectionnez le groupe auquel vous voulez ajouter un nouveau sous-groupe. Sur l'onglet Clients, sous Tches, cliquez sur Ajouter un groupe. Dans la bote de dialogue Ajouter un groupe pour nom du groupe, entrez le nom du groupe et une description. Cliquez sur OK.
Importation d'une structure organisationnelle existante

Vous pouvez importer et synchroniser des informations sur les comptes utilisateur et les comptes d'ordinateur depuis un serveur Active Directory ou un serveur de rpertoires LDAP. Vous pouvez importer des structures de groupe ou des units organisationnelles (OUs). Symantec Endpoint Protection peut alors
60
Gestion des groupes et des clients Importation d'une structure organisationnelle existante
automatiquement synchroniser les groupes dans l'onglet Clients avec ceux sur le serveur d'annuaire. Vous ne pouvez pas utiliser l'onglet Clients pour grer ces groupes aprs les avoir imports. Vous ne pouvez pas ajouter, supprimer ou dplacer des groupes dans une unit organisationnelle. Vous pouvez attribuer des politiques de scurit l'OU importe. Vous pouvez galement copier des utilisateurs partir d'une unit organisationnelle importe vers d'autres groupes qui sont rpertoris dans le volet Afficher les clients. La politique qui a t attribue un groupe avant son importation a la priorit. Un compte utilisateur peut exister dans l'unit organisationnelle et dans un groupe extrieur. La politique qui a t applique au groupe extrieur a la priorit. Tableau 4-3 Tche
Plan pour importer des units organisationnelles
Tches pour importer des units organisationnelles Description

Vous pouvez prvoir comment vous voulez que Symantec Endpoint Protection Manager synchronise automatiquement des utilisateurs, des ordinateurs et la structure entire de groupe dans une OU partir d'un serveur Active Directory ou LDAP. Se reporter "A propos des units organisationnelles et du serveur LDAP" la page 360.
Ajoutez un serveur d'annuaire
Vous ne pouvez pas filtrer les utilisateurs d'un serveur de rpertoire avant que vous importiez des donnes. Avec les serveurs LDAP, vous pouvez filtrer les utilisateurs avant d'importer des donnes. Par consquent vous pouvez ajouter un serveur Active Directory compatible LDAP en tant que serveur LDAP si vous devez filtrer les donnes. Se reporter "Ajout de serveurs de rpertoires" la page 354.
Gestion des groupes et des clients Importation d'une structure organisationnelle existante
61
Tche
Synchroniser des informations sur des comptes utilisateurs et des comptes d'ordinateur entre les serveurs d'annuaire et Symantec Endpoint Protection Manager
Description
Vous pouvez importer et synchroniser des informations sur des comptes utilisateurs et des comptes d'ordinateur entre les serveurs d'annuaire et le Symantec Endpoint Protection Manager. Se reporter "Synchronisation des comptes utilisateur entre les serveurs de rpertoire et Symantec Endpoint Protection Manager" la page 355.
Rechercher des utilisateurs sur un serveur de rpertoires LDAP
Quand vous importez des informations sur des utilisateurs vers le serveur de gestion, vous devez rechercher des utilisateurs sur un serveur LDAP. Se reporter "Recherche d'utilisateurs sur un serveur de rpertoires LDAP" la page 356.
Importer des utilisateurs partir d'une Vous pouvez importer des utilisateurs partir recherche de serveur d'annuaire de d'une liste de rsultats de recherche issue d'un LDAP liste des rsultats serveur LDAP. Se reporter "Importation d'utilisateurs partir d'une liste de rsultats de recherche issue d'un serveur de rpertoires LDAP" la page 359. Importer des units organisationnelles Vous pouvez importer des OU partir d'un partir d'un serveur de rpertoire ou serveur de rpertoire ou d'un serveur d'annuaire d'un serveur d'annuaire LDAP de LDAP. Se reporter "Importation d'units organisationnelles partir d'un serveur Active Directory ou LDAP" la page 360. Importer des informations de compte Vous pouvez importer les informations de compte utilisateur et d'ordinateur partir d'un utilisateur et de compte d'ordinateur d'un serveur serveur de LDAP LDAP. Se reporter "A propos de l'importation des informations d'utilisateur et de compte d'ordinateur partir d'un serveur de rpertoire LDAP" la page 356. Synchroniser des units organisationnelles Vous pouvez synchroniser des OU. Se reporter "A propos de la synchronisation des units organisationnelles" la page 361.
62
Gestion des groupes et des clients Attribution d'un nouveau nom un groupe
Attribution d'un nouveau nom un groupe

Vous pouvez renommer des groupes et des sous-groupes pour reflter les modifications apportes votre structure d'organisation. Vous pouvez renommer un groupe pour mettre jour automatiquement le nom de ce groupe pour tous les utilisateurs et ordinateurs qui sont dj attribus ce groupe. Les ordinateurs client d'un groupe renomm ne sont pas obligs de changer de groupes ou de tlcharger un nouveau profil de groupe. Se reporter "Gestion de groupes d'ordinateurs" la page 56. Pour renommer un groupe
1 2
Dans la console, cliquez sur Clients. Dans l'onglet Clients, sous Afficher les clients, cliquez avec le bouton droit de la souris sur le groupe que vous souhaitez renommer, puis cliquez sur Renommer. Dans la bote de dialogue Renommer le groupe pour nom du groupe, tapez le nouveau nom du groupe. Cliquez sur OK.
3 4
Dplacement d'un groupe

Chaque groupe incluant ses sous-groupes, ses ordinateurs et ses utilisateurs peut tre dplac d'un nud de l'arborescence du groupe vers un autre. Cependant, ni le groupe Mon entreprise, ni le Groupe par dfaut ne peuvent tre dplacs. En outre, vous ne pouvez pas dplacer de groupes vers le Groupe par dfaut ou dplacer un groupe vers l'un de ses sous-groupes. Si un groupe utilise une politique hrite, la nouvelle politique hrite du groupe de destination lui est attribue. Si une politique spcifique lui est applique, il conserve cette politique aprs le dplacement. Si aucune politique de groupe n'est explicitement applique au groupe que vous dplacez, il utilise la politique de groupe du groupe de destination. Les clients du groupe que vous dplacez utilisent le nouveau profil. Se reporter "Gestion de groupes d'ordinateurs" la page 56. Pour dplacer un groupe
1 2
Dans la console, cliquez sur Clients. Dans l'onglet Clients, sous Afficher les clients, cliquez avec le bouton droit de la souris sur le groupe que vous souhaitez dplacer, puis cliquez sur Dplacer.
Gestion des groupes et des clients Affichage des proprits d'un groupe
63
3 4
Dans la bote de dialogue Dplacer le groupe, slectionnez le groupe de destination vers lequel vous souhaitez dplacer le groupe. Cliquez sur OK.
Affichage des proprits d'un groupe

Chaque groupe possde une page de proprits qui rpertorie quelques informations sur le groupe que vous devrez ventuellement vrifier. Elle contient la date laquelle le groupe a t modifi pour la dernire fois ainsi que le numro de srie de sa politique. Elle rpertorie galement le nombre d'ordinateurs du groupe ainsi que le nombre d'utilisateurs enregistrs. Cette bote de dialogue vous permet de bloquer l'ajout de nouveaux clients au groupe. Se reporter "Gestion de groupes d'ordinateurs" la page 56. Pour afficher les proprits d'un groupe
1 2 3
Dans la console, cliquez sur Clients. Dans le volet Afficher les clients, choisissez le groupe dont vous souhaitez afficher les proprits. Cliquez sur l'onglet Dtails.
Activation ou dsactivation de l'hritage d'un groupe

Dans la structure de groupe, les sous groupes hritent initialement et automatiquement des informations sur les emplacements, les politiques, et les paramtres du groupe parent. Par dfaut, l'hritage est activ pour chaque groupe. Vous pouvez dsactiver l'hritage afin de configurer les paramtres de scurit distincts pour un sous-groupe. Si vous apportez des modifications et activez plus tard la transmission, toutes les modifications apportes dans les paramtres du sous-groupe sont crases. Se reporter "Gestion de groupes d'ordinateurs" la page 56. Pour activer ou dsactiver l'hritage d'un groupe
1 2
Dans la Console, cliquez sur Clients. Sur la page Clients, sous Afficher les clients, slectionnez le groupe dont vous voulez activer ou dsactiver l'hritage. Vous pouvez slectionner tout groupe sauf le groupe de haut niveau, Mon entreprise.
Dans le volet Nom du groupe, sur l'onglet Politiques, excutez l'une des tches suivantes :
64
Gestion des groupes et des clients Configuration et gestion de clients au sein de groupes
Pour dsactiver l'hritage, dslectionnez l'option Hriter les politiques et les paramtres du groupe parent "nom de group name". Pour activer l'hritage, slectionnez l'option Hriter les politiques et les paramtres du groupe parent "nom de groupe", puis cliquez sur Oui lorsqu'un message vous demande de continuer.
Configuration et gestion de clients au sein de groupes

Un client est un priphrique rseau qui se connecte au rseau et excute Symantec Endpoint Protection. Les priphriques rseau peuvent inclure les ordinateurs portables, des ordinateurs de bureau et les serveurs. Un package de logiciel client Symantec Endpoint Protection est dploy vers chaque priphrique du rseau pour le protger. Le logiciel client ralise les tches suivantes sur les clients :
Se connecte au serveur de gestion pour recevoir les dernires politiques et paramtres de configuration. Applique l'ordinateur les paramtres de chaque politique. Se reporter "A propos des types de protection" la page 35. Met jour les derniers contenus et dfinitions de virus et de risques de scurit sur l'ordinateur. Enregistre les informations des clients dans les journaux et charge ces informations sur le serveur de gestion.
Diffrentes mthodes permettent de configurer des clients dans Symantec Endpoint Protection Manager. Tableau 4-4 Tche
Ajouter des clients aux groupes
Tches qu'il peut tre utile de raliser sur les clients Description
Vous pouvez ajouter des clients aux groupes en tant qu'utilisateurs ou en tant qu'ordinateurs. Se reporter "Affectation prliminaire des ordinateurs ou des utilisateurs des groupes avant d'installer le logiciel client" la page 67. Se reporter "A propos du mode utilisateur et du mode ordinateur" la page 66.
Gestion des groupes et des clients Configuration et gestion de clients au sein de groupes
65
Tche
Afficher l'tat des clients
Description
Vous pouvez contrler en temps rel l'tat de fonctionnement des clients du rseau. Se reporter "Affichage de l'tat des clients et des ordinateurs client" la page 73.
Afficher les proprits d'un client
Vous pouvez afficher les proprits matrielles et les proprits rseau de chaque client, notamment le groupe, le domaine, le nom de connexion et la version logicielle. Si vous avez activ la collecte des informations sur les utilisateurs, vous pouvez galement consulter des informations sur l'utilisateur actuellement connect l'ordinateur. Se reporter "Affichage des proprits d'un client" la page 76.
Filtrer les clients figurant dans l'onglet Clients
Vous pouvez utiliser un filtre pour dterminer quels clients doivent figurer dans l'onglet Clients. Cette fonction est particulirement utile si votre rseau comporte de nombreux clients. Se reporter "Filtrage des clients que vous pouvez afficher dans l'onglet Clients" la page 75.
Rechercher les informations Vous pouvez rechercher des informations sur les clients, sur des clients par exemple la version du systme d'exploitation utilis ou la version des dfinitions antivirus en service sur l'ordinateur. Se reporter "Recherche d'informations sur les clients" la page 77. Faire passer des clients du mode Utilisateur au mode Ordinateur Vous pouvez faire passer les clients du mode Utilisateur au mode Ordinateur et vice-versa. Se reporter "Basculer un client entre le mode utilisateur et le mode ordinateur" la page 69.
Convertir un client autogr Si l'utilisateur installe le logiciel client partir d'un CD en client gr d'installation, le client est autonome et ne communique pas avec le serveur de gestion. Vous pouvez convertir des clients autogrs en clients grs. Se reporter "Convertir un client autonome en client gr." la page 70.
66
Gestion des groupes et des clients A propos du mode utilisateur et du mode ordinateur
Tche
Description
Modifier le niveau de Le niveau de contrle utilisateur d'un client dtermine les contrle utilisateur du client paramtres des fonctions de protection contre les menaces rseau et les paramtres d'interface utilisateur client pouvant tre configurs par les utilisateurs. Se reporter "Modification du niveau de contrle de l'utilisateur" la page 179. Excuter des commandes sur Vous pouvez excuter des commandes sur un client ou un des clients partir de la groupe partir de la console. console Se reporter "Excution de commandes sur des clients partir de la console" la page 81. Dplacer des clients d'un groupe un autre Vous pouvez modifier le groupe dans lequel se trouve un client. Se reporter "Dplacement de clients entre des groupes" la page 73. Empcher l'ajout de clients Vous pouvez empcher un client d'tre ajout des groupes automatiquement un groupe. Vous pouvez bloquer des clients si vous ne voulez pas qu'ils soient ajouts automatiquement un groupe spcifique lorsqu'ils se connectent au rseau. Se reporter "Bloquer l'ajout de clients des groupes" la page 72. Configurer des clients de Les clients que vous ajoutez en mode Ordinateur peuvent sorte qu'ils dtectent les tre activs en tant que dtecteurs autonomes et utiliss priphriques non autoriss pour dtecter les priphriques non autoriss. Se reporter "Configurer un client pour dtecter les priphriques inconnus" la page 79.
A propos du mode utilisateur et du mode ordinateur

Vous pouvez configurer les clients en mode utilisateur ou en mode ordinateur, en fonction de la manire dont vous souhaitez appliquer les politiques aux clients dans les groupes. Tout client ajout est paramtr par dfaut sur le mode ordinateur, qui a la priorit sur le mode utilisateur. Si le logiciel client s'excute en mode utilisateur, l'ordinateur client obtient les politiques du groupe dont l'utilisateur est membre. Si le logiciel client s'excute en mode ordinateur, l'ordinateur client obtient les politiques du groupe dont l'ordinateur est membre. De nombreuses entreprises configurent la plupart des
Gestion des groupes et des clients Affectation prliminaire des ordinateurs ou des utilisateurs des groupes avant d'installer le logiciel client
67
clients en mode ordinateur. En fonction de votre environnement rseau, vous pouvez envisager de configurer quelques clients ayant des conditions spciales en mode utilisateur. Vous configurez les clients en tant qu'utilisateurs ou ordinateurs en ajoutant les utilisateurs et les ordinateurs un groupe existant. Aprs l'ajout d'un utilisateur ou d'un ordinateur un groupe, il assume les politiques qui ont t attribues au groupe. Mode
Mode ordinateur
Description
Le client protge l'ordinateur avec les mmes politiques, quel que soit l'utilisateur est connect l'ordinateur. La politique suit le groupe dans lequel est l'ordinateur. Le mode ordinateur est le paramtre par dfaut. Les politiques changent en fonction de l'utilisateur connect au client. La politique suit l'utilisateur.
Mode utilisateur
Se reporter "Affectation prliminaire des ordinateurs ou des utilisateurs des groupes avant d'installer le logiciel client" la page 67. Clients que vous ajoutez en mode ordinateur peuvent tre activs en tant que dtecteurs autonomes et tre utiliss pour dtecter les priphriques non autoriss. Se reporter "Configurer un client pour dtecter les priphriques inconnus" la page 79.
Affectation prliminaire des ordinateurs ou des utilisateurs des groupes avant d'installer le logiciel client
Aprs avoir install le logiciel client sur un ordinateur, le client reoit les politiques du groupe spcifi dans le package d'installation du client. Si vous ne souhaitez pas que le client reoive les politiques du groupe spcifi dans le package, vous pouvez d'abord ajouter un espace rserv pour le client dans un groupe slectionn et installer le logiciel client plus tard. Le client demeure dans le groupe pour lequel vous avez ajout un espace rserv, et non dans le groupe spcifi dans le package d'installation du client. Se reporter "A propos des groupes spcifis dans le package d'installation client" la page 68. Vous ajoutez le client en fonction d'un nom d'utilisateur ou d'un nom d'ordinateur. Vous ne pouvez pas ajouter le client plus d'un groupe. Se reporter "A propos du mode utilisateur et du mode ordinateur" la page 66.
68
Gestion des groupes et des clients A propos des groupes spcifis dans le package d'installation client
Se reporter "Configuration et gestion de clients au sein de groupes" la page 64. Remarque : Assurez-vous que le serveur de gestion ne bloque pas l'ajout de nouveaux clients un groupe. Se reporter "Bloquer l'ajout de clients des groupes" la page 72. Pour plus d'informations sur l'installation du logiciel client, consultez le Guide d'installation pour Symantec Endpoint Protection et Symantec Network Access Control. Se reporter "Dploiement du logiciel client avec Rechercher les ordinateurs non grs" la page 133. Pour affecter titre prliminaire des ordinateurs ou des utilisateurs des groupes avant d'installer le logiciel client
1 2 3
Dans la console, cliquez sur Clients. Dans la page Clients, sous Afficher les clients, localisez le groupe auquel vous souhaitez ajouter un client. Dans l'onglet Clients, sous Tches, effectuez l'une des oprations suivantes :
Pour le mode utilisateur, cliquez sur Ajouter un compte d'utilisateur. Entrez le nom d'utilisateur. Si l'utilisateur fait partie d'un domaine de Windows, saisissez le nom du domaine. Si l'utilisateur fait partie d'un groupe de travail, cliquez sur Connectez-vous l'ordinateur local. Pour le mode ordinateur, cliquez sur Ajouter un compte d'ordinateur. Saisissez le nom de l'ordinateur, puis le nom du domaine de Windows ou Workgroup.
Pour plus d'informations sur ces options, cliquez sur Aide.
Cliquez sur OK.
A propos des groupes spcifis dans le package d'installation client

Quand vous crez un package d'installation client pour le dploiement, vous pouvez spcifier de quel groupe vous voulez que l'ordinateur client soit membre. Aprs l'installation du package d'installation client sur l'ordinateur, l'ordinateur client devient un membre de ce groupe prfr. Cependant, le serveur de gestion peut remplacer le paramtre prfr de groupe. Par exemple, vous pouvez ajouter un client dans le mode ordinateur pour le client la page de clients. Vous pourriez ajouter l'ordinateur sous un groupe diffrent du groupe prfr dans le package
Gestion des groupes et des clients Basculer un client entre le mode utilisateur et le mode ordinateur
69
d'installation client. Aprs que le client se connecte au serveur de gestion, le groupe auquel vous avez ajout le client remplace le groupe prfr. Se reporter "Affectation prliminaire des ordinateurs ou des utilisateurs des groupes avant d'installer le logiciel client" la page 67. Le serveur peut ne pas permettre au client de rejoindre le groupe prfr pour l'une des raisons suivantes :
Le groupe prfr n'existe pas ou a t supprim. Le client est plac dans le Groupe par dfaut. Le client est un nouveau client, mais le serveur empche le client d'tre ajout un groupe. Le client est plac dans le Groupe par dfaut. Se reporter "Bloquer l'ajout de clients des groupes" la page 72. Le client a t prcdemment enregistr un autre groupe et vous essayez de dplacer le client vers un nouveau groupe en utilisant la commande Exporter les paramtres de communication. Le client reste dans le groupe initial. Se reporter "Convertir un client autonome en client gr." la page 70.
Basculer un client entre le mode utilisateur et le mode ordinateur

Vous pouvez configurer des clients pour qu'ils s'excutent en mode utilisateur ou en mode ordinateur. En mode utilisateur, l'ordinateur client auquel un utilisateur se connecte utilise la politique du groupe auquel l'utilisateur appartient. En mode ordinateur, l'ordinateur client utilise la politique du groupe auquel l'ordinateur appartient. En mode ordinateur, la politique applique ne dpend pas de l'utilisateur qui se connecte l'ordinateur. Se reporter "A propos du mode utilisateur et du mode ordinateur" la page 66. Vous ne pouvez pas basculer du mode utilisateur au mode ordinateur si le nom de l'ordinateur se trouve dj dans un groupe. Le passage en mode Ordinateur entrane la suppression du nom d'utilisateur du client du groupe ainsi que l'ajout du nom d'ordinateur du client au groupe. Vous ne pouvez pas basculer du mode ordinateur au mode utilisateur si le nom de connexion de l'utilisateur et le nom de l'ordinateur sont dj contenus dans un groupe. Le passage au mode Utilisateur entrane la suppression du nom d'ordinateur du client du groupe. Le nom d'utilisateur du client est ensuite ajout au groupe.
70
Gestion des groupes et des clients Convertir un client autonome en client gr.
Pour basculer un client entre le mode utilisateur et le mode ordinateur
1 2 3
Dans la console, cliquez sur Clients. Sur la page Clients, sous Afficher les clients, slectionnez le groupe qui contient l'utilisateur ou l'ordinateur. Dans l'onglet Clients, cliquez avec le bouton droit de la souris sur l'ordinateur ou le nom d'utilisateur dans le tableau, puis slectionnez Passer en mode Ordinateur ou Passer en mode Utilisateur. Ces modes sont paramtrs pour basculer, ce qui signifie que l'un des deux modes est toujours affich. Les informations du tableau changent de faon dynamique pour reflter le nouveau paramtre.
Convertir un client autonome en client gr.

Si un utilisateur a install un client depuis le CD d'installation, le client est autonome et ne communique pas avec le serveur de gestion. Vous pouvez convertir le client autonome en client gr par le biais du processus suivant :
Vous exportez un fichier qui inclut tous les paramtres de communication pour le groupe dans lequel vous voulez que le client soit. Le nom de fichier par dfaut est nom du groupe _sylink.xml. Vous dployez le fichier vers l'ordinateur client. Vous pouvez enregistrer le fichier sur un emplacement rseau ou l'envoyer un utilisateur individuel sur l'ordinateur client. Sur l'ordinateur client, l'utilisateur (ou vous-mme) importe le fichier. Vous n'avez pas besoin de redmarrer l'ordinateur client.
Le client se connecte immdiatement au serveur de gestion. Le serveur de gestion place le client dans le groupe qui est spcifi dans le fichier de communication. Le client est mis jour avec les politiques et les paramtres du groupe. Aprs que le client et le serveur de gestion communiquent, l'icne de la zone de notification avec le point vert apparat dans la barre des tches de l'ordinateur client. Les clients autonomes ne sont pas protgs par mot de passe, ainsi l'utilisateur n'a pas besoin d'un mot de passe sur le client. Cependant, si l'utilisateur essaie d'importer un fichier sur un client gr protg par mot de passe, alors l'utilisateur doit entrer un mot de passe. Le mot de passe est le mme que celui utilis pour importer ou exporter une politique. Se reporter "Protection du client par mot de passe" la page 185. Vous pouvez galement devoir rediriger un client gr vers un autre serveur.
Gestion des groupes et des clients Convertir un client autonome en client gr.
71
Se reporter "Rcuprer les paramtres de communication client en utilisant l'outil SylinkDrop" la page 205. Se reporter "Assignation d'une liste de serveurs de gestion un groupe et un emplacement" la page 194. Pour exporter les paramtres de communications du serveur
1 2 3 4 5 6
Dans la console, cliquez sur Clients. Sous Afficher les clients, slectionnez le groupe dans lequel vous voulez que le client apparaisse. Cliquez avec le bouton droit de la souris sur le groupe, puis cliquez sur Exporter les paramtres de communication. Dans Exporter les paramtres de communication pour la bote de dialogue nom du groupe, cliquez sur Parcourir. Dans la bote de dialogue Slectionner le fichier d'exportation, localisez le dossier o vous voulez exporter le fichier.xml, puis cliquez sur OK. Dans la bote de dialogue Exporter les paramtres de communication nom du groupe, slectionnez l'une des options suivantes :
Pour appliquer les politiques du groupe dont l'ordinateur est membre, cliquez sur Mode Ordinateur. Pour appliquer les politiques du groupe dont l'utilisateur est membre, cliquez sur Mode Utilisateur.
Cliquez sur Exporter. Si le nom de fichier existe dj, cliquez sur OK pour l'craser ou Annuler pour enregistrer le fichier avec un nouveau nom de fichier. Pour terminer la conversion, vous ou un utilisateur devez importer le paramtre des communications sur l'ordinateur client.
Pour importer les paramtres de communication serveur dans le client
1 2 3
Ouvrez Symantec Endpoint Protection sur l'ordinateur que vous voulez convertir en client gr. Dans le coin suprieur droit, cliquez sur Aide et support, puis cliquez sur Dpannage. Dans la bote de dialogue Dpannage, sous Paramtres de communication, cliquez sur Importer.
72
Gestion des groupes et des clients Bloquer l'ajout de clients des groupes
4 5
Dans la bote de dialogue Importer les paramtres de communication, localisez le fichier nom du groupe_sylink.xml, puis cliquez sur Ouvrir. Cliquez sur Fermer pour fermer la bote de dialogue Dpannage. Aprs que vous importiez le fichier de liaisons et lorsque le client et le serveur de gestion communiquent, l'icne de zone de notification apparat dans la barre des tches de l'ordinateur. Le point vert indique que le client et le serveur de gestion sont en communication l'un avec l'autre.
Bloquer l'ajout de clients des groupes

Vous pouvez configurer des packages d'installation client dont l'adhsion aux groupes est prdfinie. Si vous dfinissez un groupe dans le package, le client est automatiquement ajout au groupe appropri. Le client est ajout la premire fois qu'il se connecte au serveur de gestion. Se reporter "Utilisation de packages d'installation client" la page 127. Vous pouvez activer le blocage si vous ne voulez pas que des clients soient automatiquement ajouts un groupe spcifique lorsqu'ils se connectent au rseau. Remarque : L'option de blocage empche les utilisateurs d'tre automatiquement ajouts un groupe. Vous pouvez empcher l'ajout d'un nouveau client au groupe auquel il a t attribu dans le package d'installation client. Dans ce cas, le client est ajout au Groupe par dfaut. Vous pouvez dplacer manuellement un utilisateur ou ordinateur vers un groupe bloqu. Pour bloquer l'ajout de clients des groupes
1 2 3 4 5 6
Dans la console, cliquez sur Clients. Sous Afficher les clients, slectionnez le groupe dont vous voulez bloquer les nouveaux clients. Cliquez sur l'onglet Dtails. Dans l'onglet Dtails, sous Tches, cliquez sur Modifier les proprits du groupe. Dans la bote de dialogue Proprits du groupe pour nom du groupe, cliquez sur Bloquer les nouveaux clients. Cliquez sur OK.
Gestion des groupes et des clients Dplacement de clients entre des groupes
73
Dplacement de clients entre des groupes

Vous pouvez dplacer des clients entre des groupes et sous-groupes. Le client passe au nouveau groupe lorsque vous dplacez le client. Vous ne pouvez pas dplacer des clients au sein d'une unit organisationnelle. Vous pouvez copier des clients d'une unit organisationnelle vers des groupes Symantec Endpoint Protection Manager. Se reporter "Gestion de groupes d'ordinateurs" la page 56. Pour dplacer des clients entre des groupes
1 2 3
Dans la console, cliquez sur Clients. Sur la page Clients, sous Afficher les clients, localisez le groupe qui contient les clients que vous souhaitez dplacer. Dans l'onglet Clients, cliquez avec le bouton droit de la souris sur les clients que vous souhaitez dplacer, puis cliquez sur Dplacer. Utilisez la touche MAJ ou Ctrl pour slectionner tous les clients ou des clients spcifiques.
4 5
Dans la bote de dialogue Dplacer le groupe : nom du groupe, slectionnez le groupe vers lequel vous souhaitez dplacer les clients slectionns. Cliquez sur OK.
Affichage de l'tat des clients et des ordinateurs client

Vous pouvez afficher les informations sur l'tat oprationnel en temps rel des clients et des ordinateurs de votre rseau. Par exemple, vous pouvez afficher quels clients ont les dernires politiques et dfinitions. Vous pouvez consulter l'adresse IP d'un ordinateur ou savoir quels ordinateurs excutent un systme d'exploitation particulier.
74
Gestion des groupes et des clients Affichage de l'tat des clients et des ordinateurs client
Tableau 4-5 Affichage

Affichage par dfaut
Affichages de l'tat client et ordinateur Description

Affiche une liste de clients grs, de comptes d'utilisateur et de comptes d'ordinateur qui n'ont pas install le client. Vous pouvez afficher le nom de l'ordinateur, le nom de domaine et le nom de l'utilisateur qui est connect. Dfaut est l'affichage par dfaut. La colonne Nom affiche des icnes ct de chaque client pour indiquer si les clients sont connects au serveur de gestion. Se reporter "Affichage de l'tat de sant du client dans la console de gestion" la page 197.
Etat du client
Affiche les informations sur le client, tel que le numro de srie de politique du groupe et le numro de version du client. Indique si la protection antivirus et antispyware, la protection contre les menaces rseau et Auto-Protect sont activs ou dsactivs. Cette vue affiche galement la date et le numro de rvision des dernires signatures et contenu.
Technologie de protection
Informations Affiche les informations sur les composants du rseau de l'ordinateur relatives au rseau client, tels que l'adresse MAC de la carte rseau utilise par l'ordinateur. Systme client Affiche les informations systme au sujet de l'ordinateur client, tel que la quantit d'espace disque disponible et le numro de version du systme d'exploitation.
Une fois que vous avez connaissance de l'tat d'un client particulier, vous pouvez rsoudre tous les problmes de scurit sur les ordinateurs client. Par exemple, vous pourriez devoir tlcharger les dernires dfinitions antivirus. Ou vous pouvez excuter des commandes distance depuis chaque groupe, comme l'activation d'Auto-Protect. Se reporter "Excution de commandes sur des clients partir de la console" la page 81. Vous pouvez galement excuter les rapports rapides planifis avec les informations d'tat. Se reporter "Cration de rapports rapides" la page 274. Vous pouvez galement afficher la majeure partie de ces informations en cliquant avec le bouton droit de la souris sur chaque client, puis en cliquant sur Proprits. Le seul champ que vous pouvez modifier est le champ Description dans l'onglet Gnral.
Gestion des groupes et des clients Filtrage des clients que vous pouvez afficher dans l'onglet Clients
75
Se reporter "Affichage des proprits d'un client" la page 76. Se reporter "Filtrage des clients que vous pouvez afficher dans l'onglet Clients" la page 75. Pour afficher l'tat des clients et des ordinateurs client
1 2 3
Dans la console, cliquez sur Clients. Sur la page Clients, sous Afficher les clients, localisez le groupe qui contient les clients sur lesquels vous souhaitez avoir des informations. Dans l'onglet Clients, cliquez sur la liste droulante Affichage, puis slectionnez une catgorie. Vous pouvez atteindre directement une page particulire en saisissant son numro dans la zone de texte situe dans l'angle infrieur droit.
Filtrage des clients que vous pouvez afficher dans l'onglet Clients
Vous pouvez afficher quels clients d'un groupe apparaissent dans l'onglet Clients, en fonction du systme d'exploitation ou du type de compte. Vous pouvez afficher ou masquer quels ordinateurs sont connects au serveur de gestion. Vous pouvez galement configurer combien de clients sont affichs sur chaque page pour faciliter la gestion de la liste. Se reporter "Affichage de l'tat des clients et des ordinateurs client" la page 73. Se reporter "Affichage de l'tat de sant du client dans la console de gestion" la page 197. Pour afficher quels utilisateurs et ordinateurs vous pouvez voir dans l'onglet Clients
1 2 3 4
Dans la console, cliquez sur Clients. Dans le volet Afficher les clients, choisissez le groupe dans lequel vous souhaitez effectuer la recherche. Sur l'onglet Clients, sous Tches, cliquez sur Change Clients View (Changer la vue clients). Dans la bote de dialogue Clients Modifier Afficher (Changer la vue clients), sous Type de plate-forme, slectionnez si vous voulez afficher des ordinateurs Windows, des ordinateurs Mac ou les deux Se reporter "A propos du mode utilisateur et du mode ordinateur" la page 66.
Sous Type de compte, slectionnez si vous voulez afficher des clients en mode utilisateur ou en mode ordinateur
76
Gestion des groupes et des clients Redmarrage d'ordinateurs client
Vrifiez les options suivantes, si vous le souhaitez :
Les nouveaux ordinateurs ou utilisateurs qui n'ont pas le logiciel client install Etat en ligne
Pour raccourcir la liste, cliquez sur Rsultats par page et entrez le nombre de rsultats afficher sur chaque page. Les valeurs valides sont comprises entre 1 et 1000.
Cliquez sur OK.
Redmarrage d'ordinateurs client

Vous pouvez redmarrer un ordinateur slectionn. Vous pouvez redmarrer tous les ordinateurs client dans un groupe slectionn. Se reporter "Excution de commandes sur des clients partir de la console" la page 81. Pour redmarrer un ordinateur client slectionn
1 2 3
Dans la Console, cliquez sur Clients A la page Clients, dans l'onglet Clients, slectionnez un groupe. Dans l'onglet Clients, slectionnez un client, cliquez avec le bouton droit de la souris sur Excuter la commande sur le groupe et puis cliquez sur Redmarrer les ordinateurs client.
Pour redmarrer les ordinateurs client dans un groupe slectionn
1 2
Dans la Console, cliquez sur Clients. A la page Clients, dans l'onglet Clients, slectionnez un groupe, cliquez avec le bouton droit de la souris sur Excuter la commande sur le groupe et puis cliquez sur Redmarrer les ordinateurs client.
Affichage des proprits d'un client

Une page de proprits est disponible pour chaque utilisateur et pour chaque ordinateur. Le seul champ que vous pouvez modifier est le champ Description dans l'onglet Gnral. Cette page comprend les onglets suivants :
Gnral
Gestion des groupes et des clients Recherche d'informations sur les clients
77
Affiche les informations sur le groupe, le domaine, le nom de connexion et la configuration matrielle de l'ordinateur.
Rseau Affiche les informations sur le serveur DNS, le serveur DHCP, le serveur WINS et l'adresse IP de l'ordinateur. Clients Affiche les informations qui sont recueillies partir de l'ordinateur client. Ces informations incluent le type de client qui s'excute sur l'ordinateur. Des informations particulires sur le logiciel et la politique sont galement fournies. Ces informations incluent la version du logiciel client, le numro de srie du profil actuel, le numro de srie de la signature actuelle et la date de la dernire mise en ligne. Informations utilisateur Affiche les informations sur la personne qui est actuellement connecte l'ordinateur. Ces informations sont automatiquement renseignes lorsque l'administrateur choisit d'activer la collecte des informations utilisateur.
Se reporter "Collecter des donnes utilisateur" la page 131. Pour afficher les proprits d'un client
1 2 3 4 5 6
Dans la console, cliquez sur Clients. Dans le volet Afficher les clients, choisissez le groupe avec les clients dont vous souhaitez afficher les proprits. Dans l'onglet Clients, slectionnez le client. Sous Tches, cliquez sur Modifier les proprits. Dans la bote de dialogue nom du client , vous pouvez afficher les informations sur le client. Cliquez sur OK.
Recherche d'informations sur les clients

Vous pouvez rechercher des informations sur les clients, les ordinateurs client et les utilisateurs pour prendre des dcisions au sujet de la scurit de votre rseau. Par exemple, vous pouvez savoir quels ordinateurs des Groupes de ventes excutent le dernier systme d'exploitation. Ou, vous pouvez dcouvrir quels ordinateurs client du Groupe conomique ont besoin des dernires dfinitions antivirus installes. Vous pouvez afficher les informations sur chaque client du groupe la page Clients. Vous pouvez affiner la recherche s'il y a trop de clients. Se reporter "Affichage de l'tat des clients et des ordinateurs client" la page 73.
78
Gestion des groupes et des clients Recherche d'informations sur les clients
Vous pouvez exporter les donnes qui sont contenues dans la requte dans un fichier texte. Remarque : Pour rechercher la majeure partie des informations sur les utilisateurs, vous devez collecter des donnes utilisateur pendant l'installation de logiciel client ou aprs. Ces informations d'utilisateur sont galement affiches dans l'onglet Gnral et l'onglet Informations utilisateur dans la bote de dialogue Proprits de modification du client. Se reporter "Collecter des donnes utilisateur" la page 131. Se reporter "Affichage des proprits d'un groupe" la page 63. Pour rechercher des informations sur des utilisateurs, des clients et des ordinateurs
1 2 3 4 5 6 7
Dans la console, cliquez sur Clients. Dans l'onglet Clients, sous Afficher les clients, choisissez le groupe dans lequel vous souhaitez effectuer la recherche. Sous Tches, cliquez sur Effectuer une recherche parmi les clients. Dans la bote de dialogue Recherche de clients, dans la liste droulante Rechercher, cliquez sur Ordinateurs ou Utilisateurs. Cliquez sur Parcourir pour slectionner un groupe autre que le groupe par dfaut. Dans la bote de dialogue Slectionner un groupe, slectionnez le groupe et cliquez sur OK. Sous Critres de recherche, cliquez sur la liste droulante Champ de recherche et slectionnez ensuite les critres de recherche d'aprs lesquels vous souhaitez effectuer la recherche. Cliquez sur la liste droulante d'Oprateur de comparaison et slectionnez un oprateur de comparaison. Vous pouvez utiliser les oprateurs boolens standard dans vos critres de recherche.
Dans la cellule Valeur, saisissez la chane de recherche.
10 Cliquez sur Serveurs.

Vous pouvez exporter les rsultats dans un fichier texte.
11 Cliquez sur Fermer.
Gestion des groupes et des clients Configurer un client pour dtecter les priphriques inconnus
79
Configurer un client pour dtecter les priphriques inconnus

Les priphriques non autoriss peuvent se connecter au rseau de plusieurs manires, comme l'accs physique une salle de confrence ou aux points d'accs sans fil suspects. Pour imposer des politiques sur chaque terminal client, vous devez pouvoir dtecter rapidement la prsence de nouveaux priphriques. Les priphriques inconnus sont les priphriques qui sont autonomes et n'excutent pas le logiciel client. Vous devez dterminer si les priphriques sont scuriss. Vous pouvez activer n'importe quel client comme dtecteur autonome pour dtecter les priphriques inconnus. Quand un priphrique dmarre, son systme d'exploitation envoie le trafic ARP au rseau pour signaler la prsence du priphrique aux autres ordinateurs. Un client qui est activ en tant que dtecteur autonome collecte et envoie les informations de paquet ARP au serveur de gestion. Le serveur de gestion recherche le paquet ARP pour les adresses MAC et IP du priphrique. Le serveur compare ces adresses la liste d'adresses MAC et IP existantes dans la base de donnes du serveur. Si le serveur ne peut pas trouver une adresse correspondante, le serveur enregistre le priphrique comme tant nouveau. Vous pouvez alors dcider si le priphrique est scuris. Puisque le client transmet seulement les informations, il n'utilise pas d'autres ressources. Vous pouvez configurer le dtecteur autonome pour ignorer certains priphriques, tels qu'une imprimante. Vous pouvez galement installer des notifications par email pour vous informer quand le dtecteur autonome dtecte un priphrique inconnu. Pour configurer le client comme dtecteur autonome, vous devez effectuer l'une des actions suivantes :
Activer la protection contre les menaces rseau. Se reporter "Activer et dsactiver la protection contre les menaces rseau" la page 558. Basculer le client en mode ordinateur. Se reporter "Basculer un client entre le mode utilisateur et le mode ordinateur" la page 69. Installer le client sur un ordinateur qui fonctionne tout le temps. Activer uniquement les clients Symantec Endpoint Protection en tant que dtecteurs autonomes. Un client Symantec Network Access Control ne peut pas tre un dtecteur autonome.
80
Gestion des groupes et des clients Configurer un client pour dtecter les priphriques inconnus
Pour configurer un client pour dtecter les priphriques non autoriss
1 2 3
Dans la console, cliquez sur Clients. Sous Afficher les clients, slectionnez le groupe qui contient le client que vous voulez activer comme dtecteur autonome. Dans l'onglet Clients, cliquez avec le bouton droit de la souris sur le client activer comme dtecteur autonome, puis cliquez sur Activer en tant que dtecteur autonome. Pour spcifier un ou plusieurs priphriques exclure de la dtection par le dtecteur autonome, cliquez sur Configurer le dtecteur autonome. Dans les Exceptions du dtecteur autonome, pour la bote de dialogue nom du client, cliquez sur Ajouter. Dans la bote de dialogue Ajouter une exception au dtecteur autonome, cliquez sur l'une des options suivantes :
4 5 6
Exclure la dtection d'une plage d'adresses IP, puis saisissez la plage d'adresses IP pour plusieurs priphriques. Exclure la dtection d'adresse MAC, puis saisissez l'adresse MAC du priphrique.
7 8
Cliquez sur OK. Cliquez sur OK.
Pour afficher la liste de priphriques non autoriss que le client dtecte
1 2 3 4
Dans la console, cliquez sur Accueil. Sur la page d'accueil, dans la section Etat de la scurit, cliquez sur Infos supplm.. Dans la bote de dialogue Dtails d'tat de la scurit, faites dfiler jusqu'au tableau des Dfaillances de priphrique inconnu. Fermez la bote de dialogue. Vous pouvez galement afficher une liste de priphriques non autoriss dans l'onglet Ordinateurs inconnus de la bote de dialogue Rechercher les ordinateurs autonomes. Pour plus d'informations, consultez le Guide d'installation de Symantec Endpoint Protection et Symantec Network Access Control.
Gestion des groupes et des clients Excution de commandes sur des clients partir de la console
81
Excution de commandes sur des clients partir de la console

Vous pouvez excuter des commandes distance sur diffrents clients ou sur un groupe entier de la console Symantec Endpoint Protection Manager. Sur des clients grs, les commandes que vous excutez remplacent les commandes que l'utilisateur excute. Vous pouvez excuter les commandes partir de l'onglet Clients ou de l'onglet Ecrans de la console. Se reporter "Excuter des commandes et des actions partir des journaux" la page 304. Vous pouvez configurer un administrateur limit pour avoir des droits sur certaines commandes ou sur aucune d'entre elles. Par dfaut, un administrateur limit a des droits pour toutes les commandes sauf Redmarrer les ordinateurs client. Se reporter "Configurer les droits d'accs pour un administrateur limit" la page 331. Remarque : Toutes les commandes numres sont affiches dans l'interface utilisateur de la console. Certains d'entre elles, cependant, ne sont pas reconnues par les ordinateurs client Mac. Tableau 4-6 Commandes
Analyse
Commandes que vous pouvez excuter sur des clients Description

Excute l'analyse la demande sur les clients. Se reporter "Excuter des analyses la demande" la page 508.
Annuler toutes les analyses Actualiser le contenu
Annule toutes les analyses en cours d'excution sur les clients.
Met jour le contenu sur les clients en lanant une session LiveUpdate sur les clients. Les clients reoivent le contenu le plus rcent de Symantec LiveUpdate. Se reporter "Excution de LiveUpdate sur un client partir de la console" la page 174.
Actualiser le contenu et analyser
Met jour le contenu en lanant une session LiveUpdate et excute une analyse la demande sur les clients. Se reporter "Excution de LiveUpdate sur un client partir de la console" la page 174.
82
Gestion des groupes et des clients Excution de commandes sur des clients partir de la console
Commandes
Redmarrer les ordinateurs client Activer Auto-Protect
Description
Redmarre les clients. Se reporter "Redmarrage d'ordinateurs client" la page 76. Active le systme de fichiers Auto-Protect sur les clients. Se reporter "Activer Auto-Protect pour le systme de fichiers" la page 480.
Activer la protection contre les menaces rseau
Active la protection contre les menaces rseau sur les clients. Se reporter "Activer et dsactiver la protection contre les menaces rseau" la page 558.
Remarque : Cette commande n'est pas reconnue par un ordinateur

client Mac. Dsactiver la protection contre les menaces rseau Dsactive la protection contre les menaces rseau sur les clients. Se reporter "Activer et dsactiver la protection contre les menaces rseau" la page 558.
Remarque : Cette commande n'est pas reconnue par un ordinateur

client Mac.
Chapitre
Gestion des emplacements d'un groupe


Utiliser la dtection de l'emplacement avec des groupes Activation de la dtection de l'emplacement pour un client Ajouter un emplacement avec un assistant d'installation Ajout d'un emplacement sans assistant Modification d'un emplacement par dfaut Modification du nom et de la description de l'emplacement d'un groupe Supprimer l'emplacement d'un groupe
Utiliser la dtection de l'emplacement avec des groupes

Les employs doivent frquemment se connecter au rseau partir de plusieurs emplacements, tels que les domiciles, les salons Internet, les htels et le bureau. Diffrents emplacements peuvent avoir diffrents besoins de scurit. Vous pouvez crer des emplacements et attribuer une politique de scurit distincte diffrents emplacements selon les critres suivants :

Type de connexion rseau, tel que connexion sans fil, Ethernet ou VPN. Emplacement de la connexion.
Vous pouvez souhaiter ajouter plusieurs emplacements qui refltent les types de connexion suivants :
84
Gestion des emplacements d'un groupe Utiliser la dtection de l'emplacement avec des groupes
Connexions sans fil dans le bureau. Connexions cbles dans le bureau. Connexions partir d'emplacements d'entreprise distants de l'extrieur du bureau. Connexions VPN de l'extrieur du bureau.
Vous pouvez ajouter des emplacements aprs avoir install tous les groupes que vous devez grer. Chaque groupe peut avoir diffrents emplacements si votre stratgie de scurit le requiert. Dans la console Symantec Endpoint Protection Manager, vous pouvez installer les conditions qui dclenchent le passage automatique de politique en fonction de l'emplacement. Lorsque vous activez la dtection de l'emplacement, elle applique automatiquement la meilleure politique de scurit un client ou un serveur, en fonction de l'emplacement partir duquel un utilisateur se connecte. Vous pouvez ajouter un ensemble de conditions aux emplacements de chaque groupe qui slectionne automatiquement les politiques de scurit correctes pour un environnement d'utilisateur. Ces conditions sont bases sur des critres tels que les paramtres rseau de l'ordinateur partir duquel la demande d'accs au rseau a t lance. Une adresse IP, une adresse MAC ou l'adresse d'un serveur de rpertoire peuvent galement fonctionner comme condition. Si vous changez une politique de scurit dans la console, le serveur du gestionnaire met jour la politique du client ou le client tlcharge la politique. Si l'emplacement actuel est non valide aprs la mise jour, le client :

Bascule vers un autre emplacement qui est valide. Ou utilise l'emplacement par dfaut.
Vous pouvez personnaliser la politique et les paramtres de chaque emplacement. Par exemple, les politiques pour un emplacement de bureau ne doivent pas forcment tre aussi strictes que les politiques d'un emplacement VPN ou de domicile. La politique associe l'emplacement par dfaut est utilise lorsque l'utilisateur est dj protg par le pare-feu d'une entreprise. Lorsque vous crez un emplacement, il s'applique au groupe pour lequel vous l'avez cr et tous les sous-groupes qui hritent du groupe parent. Vous devez crer les emplacements que vous avez l'intention d'appliquer aux clients au niveau de groupe Mon entreprise. Vous pouvez crer des emplacements spcifiques un groupe particulier. Par exemple, dans la plupart des socits, tous les utilisateurs ncessitent un emplacement par dfaut qui est automatiquement ajout au groupe Mon entreprise. Toutefois, tous les clients ne ncessitent pas une connexion VPN. Vous pouvez installer un groupe distinct appel Travailleurs mobiles pour les clients qui ncessitent une connexion VPN. Vous devez ajouter l'emplacement VPN au groupe Travailleurs mobiles ainsi qu' l'emplacement du bureau hrit.
85
Les clients de ce groupe peuvent utiliser les politiques associes au bureau ou l'emplacement VPN. Tableau 5-1 Tches
Planifier des emplacements
Tches de dtection de l'emplacement que vous pouvez effectuer Description

Vous devez envisager les diffrents types de politiques de scurit dont vous avez besoin dans votre environnement pour dterminer les emplacements utiliser. Vous pouvez ensuite dterminer les critres permettant de dfinir chaque emplacement. Se reporter "A propos de la planification des emplacements " la page 86.
Activer la dtection de l'emplacement
Pour contrler les politiques attribues aux clients en fonction de l'emplacement partir duquel les clients se connectent, vous pouvez activer la dtection de l'emplacement. Se reporter "Activation de la dtection de l'emplacement pour un client" la page 87.
Ajouter des emplacements
Vous pouvez ajouter des emplacements aux groupes. Se reporter "Ajouter un emplacement avec un assistant d'installation" la page 88. Se reporter "Ajout d'un emplacement sans assistant" la page 90.
Attribuer des Tous les groupes doivent disposer d'un emplacement par dfaut. emplacements par dfaut Lorsque vous installez la console, un seul emplacement est disponible, appel Par dfaut. Lorsque vous crez un nouveau groupe, son emplacement par dfaut est toujours Par dfaut. Vous pourrez ultrieurement changer l'emplacement par dfaut aprs avoir ajout d'autres emplacements. L'emplacement par dfaut est utilis dans l'un des cas suivants : L'un des emplacements multiples rpond des critres d'emplacement et si le dernier emplacement ne rpond pas aux critres d'emplacement. Vous utilisez des informations sur l'emplacement et aucun emplacement ne rpond au critre. L'emplacement est renomm ou modifi dans la politique. Le client rcupre l'emplacement par dfaut quand il reoit la nouvelle politique.
Se reporter "Modification d'un emplacement par dfaut" la page 91.
86
Tches
Description
Configurer des Vous pouvez galement configurer les paramtres de paramtres de communication entre un serveur de gestion et le client sur une communication pour les base d'emplacement. emplacements Se reporter "Configurer des paramtres de communication pour un emplacement" la page 199. Modifier les proprits d'emplacement Vous pouvez modifier certaines proprits d'emplacement. Se reporter "Modification du nom et de la description de l'emplacement d'un groupe" la page 92. Vous pouvez supprimer tout emplacement obsolte ou inutilis dans votre rseau. Se reporter "Supprimer l'emplacement d'un groupe" la page 93.
Supprimer des emplacements
A propos de la planification des emplacements

Avant d'ajouter des emplacements un groupe, vous devez prendre en compte les types de politiques de scurit dont votre environnement besoin. Vous devez galement dterminer le critre qui dfinit chaque emplacement. Se reporter "Utiliser la dtection de l'emplacement avec des groupes" la page 83. Se reporter "Comment structurer des groupes" la page 57. Vous devriez considrer les questions suivantes :
A partir de quels emplacements les utilisateurs se connectent-ils ? Demandez-vous quels emplacements doivent tre crs et comment tiqueter chacun d'eux. Par exemple, les utilisateurs peuvent se connecter au bureau, de la maison, d'un site client ou d'un autre site distant tel qu'un htel lors d'un voyage. D'autres emplacements qualifis peuvent tre ncessaires pour un grand site. Les informations de l'emplacement doivent-elles tre configures pour chaque emplacement ? Comment voulez-vous identifier l'emplacement si vous utiliser les informations des emplacements ? Vous pouvez identifier l'emplacement bas sur les adresses IP, WINS, DHCP, ou les adresses du serveur DNS, les connexion au rseau, et d'autres critres. Si vous identifiez l'emplacement par connexion rseau, de quel type de connexion s'agit-il ?
Gestion des emplacements d'un groupe Activation de la dtection de l'emplacement pour un client
87
Par exemple, la connexion rseau peut tre une connexion Symantec Endpoint Protection Manager, la connexion rseau distance ou une marque particulire de serveur VPN.
Voulez-vous que les clients se connectant dans cet emplacement utilisent un type spcifique de commande, telle que la commande de serveur, la commande mlange ou la commande client ? Voulez-vous faire des vrifications de l'Intgrit de l'Hte de chaque emplacement ? Ou voulez-vous l'ignorer tout moment comme lorsque vous n'tes pas connects Symantec Endpoint Protection Manager ? Quelles applications et services doivent tre autoriss chaque emplacement ? Dsirez-vous que l'emplacement utilise les mmes paramtres de communication que les autres emplacements du groupe ou qu'il en utilise d'autres ? Vous pouvez dfinir des paramtres de communication uniques pour un emplacement.
Activation de la dtection de l'emplacement pour un client

Pour dfinir les politiques attribues aux clients en fonction de l'emplacement de la connexion du client, vous pouvez activer la dtection de l'emplacement de ce client. Se reporter "Utiliser la dtection de l'emplacement avec des groupes" la page 83. Si vous cochez Mmoriser le dernier emplacement, ds qu'un client se connecte au rseau, la politique lui est attribue partir du dernier emplacement utilis. Si les informations de l'emplacement sont actives, alors le client passe automatiquement la politique approprie aprs quelques secondes. La politique associe un emplacement spficique dtermine la connexion du rseau d'un client. Si les informations de l'emplacement sont dsactives, le client peut basculer manuellement entre tous les emplacements mme sous le contrle du serveur. Si un emplacement de quarantaine est activ, le client peut commuter vers la politique de quarantaine aprs quelques secondes. Si vous dslectionnez Mmoriser le dernier emplacement, ds qu'un client se connecte au rseau, la politique lui est attribue partir de l'emplacement par dfaut. Le client ne peut pas se connecter au dernier emplacement utilis. Si les informations de l'emplacement sont actives, alors le client passe automatiquement la politique approprie aprs quelques secondes. La politique associe un emplacement spficique dtermine la connexion du rseau d'un client. Si les informations sur l'emplacement sont dsactives, l'utilisateur peut basculer manuellement entre tous les emplacements mme lorsque le client se trouve sous
88
Gestion des emplacements d'un groupe Ajouter un emplacement avec un assistant d'installation
le contrle du serveur. Si un emplacement de quarantaine est activ, le client pourra passer la Politique de Quarantaine aprs quelques secondes. Pour activer la dtection de l'emplacement pour un client
1 2 3
Dans la console, cliquez sur Clients. Sur la page Clients, sous Afficher les clients, slectionnez le groupe pour lequel vous souhaitez implmenter le passage automatique des emplacements. Sur l'onglet Politiques, dslectionnez Hriter les politiques et les paramtres du groupe parent "nom de groupe". Vous ne pouvez modifier que les paramtres n'appartenant pas l'emplacement pour ces groupes qui n'ont pas ces politiques et paramtres d'un groupe parent.
4 5
Sur l'onglet Politiques et Paramtres n'appartenant pas l'emplacement, cliquez sur Paramtres gnraux. Dans la bote de dialogue Paramtres Gnraux, sur l'onglet Paramtres Gnraux, sous Paramtresdel'Emplacement, cochez Sesouvenirdudernier emplacement. Par dfaut, cette option est active. Le client est initialement attribu la politique associe l'emplacement partir duquel le dernier client s'est connect au rseau.
Cochez Activez les Informations de l'emplacement. Par dfaut, les informations de l'emplacement sont actives. Le client est automatiquement assign la politique associe l'emplacement partir duquel l'utilisateur tente de se connecter au rseau.
Cliquez sur OK.
Ajouter un emplacement avec un assistant d'installation

Vous pouvez ajouter un emplacement un groupe en utilisant un assistant. Chaque emplacement peut avoir son propre ensemble de politiques et de paramtres. Vous dfinissez des critres (conditions) pour dclencher le basculement des clients vers un nouvel emplacement avec des paramtres de scurit diffrents toutes les fois que les conditions sont remplies. Les meilleures politiques de scurit appliquer dpendent en gnral d'o le client se trouve quand il se connecte au rseau. Quand vous faites activer la dtection de l'emplacement, elle garantit que la politique de scurit la plus stricte est attribue un client quand elle est ncessaire.
Gestion des emplacements d'un groupe Ajouter un emplacement avec un assistant d'installation
89
Se reporter "Utiliser la dtection de l'emplacement avec des groupes" la page 83. Ajouter un emplacement avec un assistant d'installation
1 2 3
Dans la console, cliquez sur Clients. Sur la page Clients, sous Afficher les clients, slectionnez le groupe auquel vous souhaitez ajouter un ou plusieurs emplacements. Sur l'onglet Politiques, dslectionnez Hriter les politiques et les paramtres du groupe parent "nom de groupe". Vous pouvez ajouter des emplacements seulement des groupes qui n'hritent pas des politiques d'un groupe parent.
4 5 6 7
Sous Tches, cliquez sur Ajouter un emplacement. Dans le volet Bienvenue dans l'assistant Ajout d'emplacement, cliquez sur Suivant. Dans le volet Prciser un nom d'emplacement, entrez le nom et la description du nouvel emplacement et cliquez sur Suivant. Dans le volet Spcifier une condition, slectionnez l'une des conditions suivantes, sous laquelle un client passe d'un emplacement un autre :
Pas de condition spcifique Slectionnez cette option afin que le client puisse choisir cet emplacement si de multiples emplacements sont disponibles. Slectionnez cette option afin que le client puisse choisir cet emplacement si son adresse IP est incluse dans la plage spcifie. Vous devez spcifier l'adresse IP de dbut et l'adresse IP de fin. Slectionnez cette option de sorte que le client puisse choisir cet emplacement si son masque de sous-rseau et son adresse de sous-rseau sont spcifis. Slectionnez cette option de sorte que le client puisse choisir cet emplacement s'il se connecte au serveur DNS spcifi. Slectionnez cette option de sorte que le client puisse choisir cet emplacement s'il se connecte au nom de domaine spcifi et l'adresse de rsolution DNS. Slectionnez cette option pour que le client puisse choisir cet emplacement s'il se connecte au serveur de gestion spcifi.
Plage d'adresses IP
Adresse et masque de sous-rseau
Serveur DNS
Le client peut rsoudre le nom d'hte
Le client peut se connecter au serveur de gestion
90
Gestion des emplacements d'un groupe Ajout d'un emplacement sans assistant
Type de connexion rseau
Slectionnez cette option de sorte que le client puisse choisir cet emplacement s'il se connecte au type spcifi de connexion rseau. Le client accde cet emplacement en utilisant l'une des connexions suivantes :

Connexion rseau quelconque Connexion rseau distance Ethernet Wireless Check Point VPN-1 VPN Cisco VPN Microsoft PPTP VPN Juniper NetScreen VPN Nortel Contivity VPN SafeNet SoftRemote VPN Aventail SSL VPN Juniper SSL
8 9
Cliquez sur Suivant. Dans le volet Assistant d'ajout d'emplacement termin, cliquez sur Terminer.
Ajout d'un emplacement sans assistant

Vous pouvez ajouter un emplacement et ses politiques et paramtres associs un groupe sans utiliser d'assistant. Se reporter "Utiliser la dtection de l'emplacement avec des groupes" la page 83. Se reporter "Ajouter un emplacement avec un assistant d'installation" la page 88. Procdure d'ajout d'un emplacement sans assistant
1 2 3
Dans la console, cliquez sur Clients. Dans la page Clients, sous Afficher les clients, slectionnez le groupe pour lequel vous souhaitez ajouter un ou plusieurs emplacements. Dans l'onglet Politiques, dslectionnez Hriter les politiques et les paramtres du groupe parent "nom de groupe". Vous pouvez seulement ajouter des emplacements aux groupes qui n'hritent pas des politiques d'un groupe suprieur.
Dans la page Clients, sous Tches, cliquez sur Grer les emplacements.
Gestion des emplacements d'un groupe Modification d'un emplacement par dfaut
91
5 6 7 8
Dans la bote de dialogue Grer les emplacements, sous Emplacements, cliquez sur Ajouter. Dans la bote de dialogue Ajouter un emplacement, saisissez le nom et la description du nouvel emplacement, puis cliquez sur OK. Dans la bote de dialogue Grer les emplacements, prs de Basculer vers cet emplacement lorsque, cliquez sur Ajouter. Dans la bote de dialogue Indiquez les critres d'emplacement, slectionnez et dfinissez une condition dans la liste Type. Un ordinateur client bascule vers l'emplacement si l'ordinateur remplit la condition indique.
Cliquez sur OK. emplacement si, cliquez sur Ajouter, puis slectionnez Critres avec relation ET ou Critres avec relation OU.
10 Pour ajouter d'autres conditions, en regard de l'option Basculer vers cet
11 Rptez les tapes 8 9. 12 Cliquez sur OK.
Modification d'un emplacement par dfaut

Lors de l'installation initiale de Symantec Endpoint Protection Manager, un seul emplacement appel Default existe. A ce moment, chaque emplacement de groupe par dfaut est Dfaut. Chaque groupe doit avoir un emplacement par dfaut. Lorsque vous crez un nouveau groupe, la console de Symantec Endpoint Protection Manager choisit automatiquement Default comme emplacement par dfaut. Se reporter "Utiliser la dtection de l'emplacement avec des groupes" la page 83. Une fois que vous avez ajout d'autres emplacements, vous pouvez choisir un autre emplacement comme emplacement par dfaut d'un groupe. Il peut tre judicieux d'indiquer un emplacement comme Domicile ou Route comme emplacement par dfaut. L'emplacement par dfaut d'un groupe est utilis dans les cas suivants :
L'un des emplacements multiples rpond des critres d'emplacement et si le dernier emplacement ne rpond pas aux critres d'emplacement. Vous utilisez des informations sur l'emplacement et aucun emplacement ne rpond au critre. L'emplacement est renomm ou modifi dans la politique. Le client rcupre l'emplacement par dfaut quand il reoit la nouvelle politique.
92
Gestion des emplacements d'un groupe Modification du nom et de la description de l'emplacement d'un groupe
Pour modifier un emplacement par dfaut
1 2 3 4 5
Dans la console, cliquez sur Clients. Dans la page Clients, sous Afficher les clients, slectionnez le groupe auquel vous souhaitez affecter un autre emplacement par dfaut. Dans l'onglet Politiques, dslectionnez Hriter les politiques et les paramtres du groupe parent "nom de groupe". Sous Tches, cliquez sur Grer les emplacements. Dans la bote de dialogue Grer les emplacements, sous Emplacements, slectionnez l'emplacement que vous souhaitez dfinir comme emplacement par dfaut. Sous Description, cochez Dfinir cet emplacement comme emplacement par dfaut en cas de conflit. Il s'agit toujours de celui par dfaut tant que vous n'en attribuez pas un autre au groupe.
Cliquez sur OK.
Modification du nom et de la description de l'emplacement d'un groupe

Vous pouvez modifier le nom et la description d'un emplacement au niveau du groupe. Se reporter "Utiliser la dtection de l'emplacement avec des groupes" la page 83. Pour modifier le nom et la description de l'emplacement d'un groupe
1 2 3 4 5 6
Dans la console, cliquez sur Clients. Dans le volet Clients, sous Afficher les clients, cliquez sur le groupe dont vous souhaitez modifier le nom et la description. Sur l'onglet Politiques, dans le volet Tches, cliquez sur Grer les emplacements. Dans la zone de texte Nom de l'emplacement, modifiez le nom de l'emplacement. Dans la zone de texte Description, modifiez la description de l'emplacement. Cliquez sur OK.
Gestion des emplacements d'un groupe Supprimer l'emplacement d'un groupe
93
Supprimer l'emplacement d'un groupe

Vous pouvez devoir supprimer un emplacement de groupe parce qu'il ne s'applique plus. Se reporter "Utiliser la dtection de l'emplacement avec des groupes" la page 83. Pour supprimer un emplacement
1 2 3
Dans la Console, cliquez sur Clients. Dans la page Clients, sous Afficher les clients, slectionnez le groupe qui contient l'emplacement supprimer. Dans l'onglet Politiques, dslectionnez Hriter les politiques et les paramtres du groupe parent "nom de groupe". Vous ne pouvez supprimer les emplacements que des groupes qui n'hritent pas des politiques de leurs groupes parent.
4 5
Dans la page Clients, sous Tches, cliquez sur Grer les emplacements. Dans la bote de dialogue Grer les emplacements, sous Emplacements, slectionnez l'emplacement supprimer puis cliquez sur Supprimer. Vous ne pouvez pas supprimer l'emplacement par dfaut.
Dans la bote de dialogue Supprimer la condition, cliquez sur Oui.
94
Gestion des emplacements d'un groupe Supprimer l'emplacement d'un groupe
Chapitre
Utilisation des politiques


Utilisation de politiques pour grer la scurit du rseau A propos des politiques partages et non partages A propos de l'ajout de politiques Modifier une politique Affectation d'une politique partage Retrait d'une politique Supprimer une politique Exporter une politique Importation d'une politique A propos de la copie des politiques Copie d'une politique partage dans la page Politique Copie d'une politique partage ou non partage dans la page Clients Coller une politique Copier et coller une politique de groupe Remplacement d'une politique Copie d'une politique partage pour la convertir en politique non partage Conversion d'une copie d'une politique partage en politique non partage A propos de la mise jour des politiques sur les clients
96
Utilisation des politiques Utilisation de politiques pour grer la scurit du rseau
Configurer le mode de transfert ou le mode de traction pour mettre jour les politiques client et le contenu Afficher le numro de srie de politique Mise jour manuelle de la politique pour vrifier le numro de srie de la politique Contrle des applications et services excuts sur les ordinateurs client Configuration du serveur de gestion pour la collecte d'informations sur les applications que les ordinateurs client excutent Recherche d'informations sur les applications que les ordinateurs excutent
Utilisation de politiques pour grer la scurit du rseau

Vous pouvez utiliser diffrents types de politiques de scurit pour grer votre scurit rseau. Plusieurs politiques sont automatiquement cres pendant l'installation. Vous pouvez utiliser des politiques par dfaut ou les personnaliser pour les adapter votre environnement spcifique. Remarque : Une politique par dfaut est cre pendant l'installation initiale pour tous les types de politiques sauf des exceptions centralises. Tableau 6-1 dcrit les diffrents types de politiques. Tableau 6-1 Politiques Symantec Endpoint Protection Manager Description
Dfinit les paramtres d'analyse antivirus et antispyware ainsi que le mode de traitement des processus dtects. Dfinit les rgles de pare-feu qui autorisent et bloquent les transmissions et indique les paramtres pour le filtrage intelligent du trafic, le trafic et l'authentification point point. Dfinit les exceptions aux signatures de prvention d'intrusion et spcifie les paramtres de prvention d'intrusion, comme Active Response (intervention active).
Nom de la politique
Antivirus et antispyware
Pare-feu
Prvention d'intrusion
97
Nom de la politique
Intgrit de l'hte
Description
Permet de dfinir, de restaurer et d'appliquer les mesures de scurit des clients afin de protger les rseaux et les donnes de l'entreprise.
Contrle des applications et Protge les ressources systme des applications et gre les des priphriques priphriques pouvant tre connects aux ordinateurs. LiveUpdate Spcifie les ordinateurs que les clients doivent contacter pour rechercher des mises jour Spcifie galement la planification qui dfinit la frquence laquelle les clients recherchent des mises jour. Spcifie les exceptions aux fonctions particulires de politique que vous souhaitez appliquer. Il n'existe pas de politique par dfaut.
Exceptions centralises
Vous pouvez effectuer un certain nombre de tches individuelles et communes tous les types de politiques. Tableau 6-2 Tche
Ajouter une politique
Tches communes toutes les politiques Description

Pour ne pas utiliser l'une des politiques par dfaut, vous pouvez ajouter une nouvelle politique. Vous pouvez ajouter des politiques partages ou des politiques non partages.
Remarque : Si vous ajoutez ou modifiez des politiques

partages dans la page Politiques, vous devez galement attribuer les politiques un groupe ou emplacement. Autrement ces politiques ne prennent pas effet. Se reporter "Ajouter une politique partage." la page 101. Se reporter "Ajout d'une nouvelle politique non partage dans la page Clients" la page 102. Se reporter "Ajout d'une nouvelle politique non partage partir d'une politique existante dans la page Clients" la page 103. Se reporter "Ajout d'une nouvelle politique non partage partir d'un fichier de politique prcdemment export dans la page Clients" la page 104. Modifier une politique Pour ne pas changer les paramtres d'une politique, vous pouvez la modifier. Se reporter "Modifier une politique" la page 104.
98
Tche
Attribuer une politique
Description
Pour utiliser une politique, vous devez l'attribuer un ou plusieurs groupes ou emplacements. Se reporter "Affectation d'une politique partage" la page 105.
Mettre jour les politiques sur des clients.
Selon la bande passante disponible, vous pouvez configurer un client pour qu'il utilise le mode 'push' ou le mode 'pull' comme mthode de mise jour. Se reporter "A propos de la mise jour des politiques sur les clients" la page 116. Se reporter "Configurer le mode de transfert ou le mode de traction pour mettre jour les politiques client et le contenu" la page 117.
Remplacer une politique
Vous pouvez remplacer une politique partage par une autre politique partage. Vous pouvez remplacer la politique partage dans tous les emplacements ou pour un seul emplacement. Se reporter "Remplacement d'une politique" la page 113.
Copier et coller une politique. Au lieu d'ajouter une nouvelle politique, vous pouvez copier une politique existante pour l'utiliser comme base de la nouvelle politique. Se reporter "A propos de la copie des politiques" la page 111. Se reporter "Copier et coller une politique de groupe" la page 113. Se reporter "Coller une politique" la page 112. Se reporter "Copie d'une politique partage ou non partage dans la page Clients" la page 111. Se reporter "Copie d'une politique partage dans la page Politique" la page 111. Importer une politique Vous pouvez importer une politique partage ou non partag et l'appliquer un groupe ou un emplacement spcifique. Se reporter "Importation d'une politique" la page 110. Exporter une politique Vous pouvez exporter une politique existante si vous voulez l'utiliser sur un autre site. Se reporter "Exporter une politique" la page 109.
Utilisation des politiques A propos des politiques partages et non partages
99
Tche
Description
Pour convertir une politique Vous pouvez copier le contenu d'une politique partage et partage en politique non crer une politique non partage partir de ce contenu. Une partage copie permet de modifier le contenu d'une politique partage dans un seul emplacement et non dans tous les emplacements. La copie remplace la politique non partage existante. Se reporter "Conversion d'une copie d'une politique partage en politique non partage" la page 115. Vous pouvez convertir une politique partage en politique non partag si la politique ne s'applique plus tous les groupes ou tous les emplacements. Une fois la conversion termine, la politique convertie et son nouveau nom s'affichent sous Politiques et paramtres spcifiques l'emplacement. Se reporter "Copie d'une politique partage pour la convertir en politique non partage" la page 115. Retirer une politique Si vous ne voulez pas supprimer une politique bien que vous n'ayez cess de l'utiliser, vous pouvez la retirer. Vous pouvez retirer toute politique sauf la Politique antivirus et antispyware et une Politique de paramtres LiveUpdate. Se reporter "Retrait d'une politique" la page 106. Supprimer une politique Si vous n'utilisez plus une politique, vous pouvez la supprimer. Se reporter "Supprimer une politique" la page 107.
A propos des politiques partages et non partages

Les politiques peuvent tre partages ou non. Une politique partage s'applique n'importe quel groupe et emplacement. Si vous crez des politiques partages, vous pouvez aisment modifier et remplacer une politique dans tous les groupes et emplacements qui l'utilisent. Vous pouvez avoir des politiques partages multiples. Vous pouvez appliquer des politiques partages au niveau du groupe de Mon entreprise ou un niveau infrieur et les sous-groupes de groupe peuvent hriter des politiques.
100
Utilisation des politiques A propos de l'ajout de politiques
Une politique non partage s'applique un emplacement spcifique d'un groupe. Vous ne pouvez avoir qu'une politique par emplacement. Vous pouvez avoir besoin d'une politique spcialise pour un emplacement particulier qui existe dj. Dans ce cas, vous pouvez crer une politique spcifique un emplacement. Vous pouvez appliquer une politique un groupe ou emplacement ou vous pouvez appliquer des politiques de scurit distinctes pour chaque emplacement d'un groupe. Par exemple, des emplacements multiples ont t attribus un groupe. Les utilisateurs peut devoir se connecter un rseau d'entreprise en utilisant diffrents emplacements au bureau ou domicile. Vous pouvez devoir appliquer une politique diffrente avec son propre jeu de rgles et de paramtres chaque emplacement. Vous appliquez une politique spare chaque groupe d'utilisateurs ou d'ordinateurs. Les utilisateurs distants utilisent normalement l'ADSL et le RNIS pour lesquels vous pouvez avoir besoin d'une connexion VPN. D'autres utilisateurs distants peuvent vouloir appeler pour se connecter au rseau d'entreprise par tlphone. Les employs qui travaillent au bureau utilisent typiquement une connexion Ethernet. Cependant, les groupes commerciaux et marketing peuvent galement utiliser des connexions sans fil. Chacun de ces groupes ncessite sa propre politique de pare-feu pour les emplacements partir desquels il se connecte au rseau de l'entreprise. Vous pouvez vouloir mettre en application une politique restrictive en ce qui concerne l'installation d'applications non certifies sur la plupart des postes de travail des employs pour protger le rseau d'entreprise contre les attaques. Votre groupe Informatique peut ncessiter d'accder des applications supplmentaires. Par consquent, le groupe informatique peut avoir besoin d'une politique de scurit moins restrictive que les employs typiques. Dans ce cas, vous pouvez crer une politique de pare-feu diffrente pour le groupe informatique. Quand vous crez une nouvelle politique, vous dmarrez des rgles et des paramtres de scurit par dfaut. Modifiez la politique pour les personnaliser. Se reporter "Utilisation de politiques pour grer la scurit du rseau" la page 96.
A propos de l'ajout de politiques

Vous pouvez ajouter une politique comme politique partage ou non partage. En gnral, vous ajoutez n'importe quelle politique partage par les groupes les emplacements dans la page Politiques de l'onglet Politiques. Toutefois, ajoutez toute politique non partage entre les groupes, s'appliquant uniquement un emplacement spcifique, dans la page Clients.
101
Si vous dcidez d'ajouter une politique dans la page Clients, vous le faire l'aide de l'une des mthodes suivantes :

Basez une nouvelle politique sur une politique existante. Crez une politique. Importez une politique partir d'une politique prcdemment exporte.
Se reporter "Ajouter une politique partage." la page 101. Se reporter "Utilisation de politiques pour grer la scurit du rseau" la page 96.
Ajouter une politique partage.

Vous ajoutez typiquement une politique partage dans la page Politiques au lieu de la page Clients. Les emplacements, comme les groupes, peuvent partager la mme politique. Vous devez affecter la politique partage aprs l'avoir ajoute. Vous pouvez ajouter une politique non partage depuis la page Clients. Se reporter "Utilisation de politiques pour grer la scurit du rseau" la page 96. Pour ajouter une politique partage dans la page Politiques
1 2 3 4 5 6
Dans la console, cliquez sur Politiques. Sous Afficher les politiques, slectionnez l'un des types de politique. Sous Tches, cliquez sur Ajouter untype de politique Politique. Dans la page type de politique Politique, dans le volet Prsentation, tapez le nom et la description de la politique. Sinon l'option n'est pas dj coche, cochez Activer cette politique. Dans le volet gauche, slectionnez l'une des vues suivantes :
Affichage sous forme d'arborescence Affichage sous forme de liste Toutes les politiques qui ont t attribues des groupes et des emplacements sont reprsentes comme des icones.
Toutes les politiques qui ont t attribues des groupes et des emplacements sont reprsentes dans une liste.
7 8
Pour configurer la politique, sous Afficher les politiques, cliquez sur un type de politique, tel que Protection antivirus et antispyware. Quand vous avez termin de configurer la politique, cliquez sur OK.
102
Dans la bote de dialogue Assigner la politique, effectuez l'une des oprations suivantes :
Pour affecter la politique un groupe ou un emplacement maintenant, cliquez sur Oui, puis passez l'tape 10. Pour affecter la politique un groupe ou un emplacement plus tard, cliquez sur Non. Se reporter "Affectation d'une politique partage" la page 105.
Vous devez attribuer la politique un groupe ou un emplacement, sinon les ordinateurs client ne reoivent pas la politique.
10 Dans la bote de dialogue Assigner la politique type de politique, cochez les

groupes et les emplacements auxquels doit s'appliquer la politique.
11 Cliquez sur Assigner. 12 Pour confirmer, cliquez sur Oui.
Ajout d'une nouvelle politique non partage dans la page Clients

Si vous crez une politique non partage dans la page Clients, la politique s'applique uniquement un emplacement spcifique. Pour ajouter une nouvelle politique non partage dans la page Clients :
1 2
Dans l'assistant Ajouter une politique pour nom d'emplacement, slectionnez le type de politique ajouter et cliquez sur Suivant. Cliquez sur Crer une nouvelle politique et cliquez sur Suivant.
103
3 4
Dans le volet Prsentation de politique type de politique, tapez le nom et la description de la politique. Pour configurer la politique, sous Afficher les politiques, cliquez sur l'un des types de politique suivants :
Antivirus et antispyware Se reporter "A propos de l'utilisation des politiques antivirus et antispyware" la page 438. Se reporter "A propos de l'utilisation des politiques de pare-feu" la page 518. Se reporter "A propos de l'utilisation des politiques de prvention d'intrusion" la page 545. Se reporter "A propos de l'utilisation du contrle des applications et des priphriques " la page 609.
Pare-feu
Contrle d'application et de priphrique Intgrit de l'hte LiveUpdate
Se reporter "A propos des politiques LiveUpdate" la page 150. Se reporter "A propos de l'utilisation des politiques d'exceptions centralises" la page 647.
Exceptions centralises
Ajout d'une nouvelle politique non partage partir d'une politique existante dans la page Clients
Vous pouvez ajouter une nouvelle politique non partage partir d'une politique existante dans la page Clients. Se reporter "Utilisation de politiques pour grer la scurit du rseau" la page 96. Pour ajouter une nouvelle politique non partage partir d'une politique existante dans la page Clients :
1 2 3 4
Dans l'assistant Ajouter une politique pour nom d'emplacement, slectionnez le type de politique ajouter et cliquez sur Suivant. Cliquez sur Utiliser une politique partage existante et cliquez sur Suivant. Dans la bote de dialogue Ajouter une politique, slectionnez une politique existante dans la liste droulante. Cliquez sur OK.
104
Utilisation des politiques Modifier une politique
Ajout d'une nouvelle politique non partage partir d'un fichier de politique prcdemment export dans la page Clients
Vous pouvez ajouter une nouvelle politique non partage partir d'un fichier de politique prcdemment export dans la page Clients. Se reporter "Utilisation de politiques pour grer la scurit du rseau" la page 96. Pour ajouter une nouvelle politique non partage partir d'un fichier de politique prcdemment export dans la page Clients
1 2 3 4
Dans l'assistant Ajouter une politique pour nom d'emplacement, slectionnez le type de politique ajouter et cliquez sur Suivant. Cliquez sur Importer une politique partir d'un fichier de politique et cliquez sur Suivant. Dans la bote de dialogue Importer la politique, localisez le fichier .dat qui a t prcdemment export. Cliquez sur Importer.
Modifier une politique

Vous pouvez modifier les politiques partages dans l'onglet Politiques de la page Politiques et dans la page Client. Cependant, vous ne pouvez modifier que des politiques non partages dans la page Clients. Se reporter "Utilisation de politiques pour grer la scurit du rseau" la page 96. Les emplacements et les groupes peuvent partager la mme politique. Vous devez attribuer une politique partage aprs l'avoir modifi. Vous pouvez modifier les politiques non partages et partages dans la page Clients. Pour modifier une politique partage dans la page Politiques :
1 2 3 4
Dans la console, cliquez sur Politiques. Dans la page Politiques, sous Afficher les politiques, cliquez sur le type de politique. Dans le volet Politiques type de politique, cliquez sur la politique modifier. Sous Tches, cliquez sur Modifier la politique.
Utilisation des politiques Affectation d'une politique partage
105
5 6
Dans le volet Prsentation de politique type de politique, moditifiez le nom et la description de la politique, si ncessaire. Pour modifier la politique, cliquez sur l'un des types de politiques dans les pages Politique.
Pour modifier une politique partage ou non partage dans la page Clients :
1 2
Dans la console, cliquez sur Clients. Dans la page Clients, sous Afficher les clients, slectionnez le groupe pour lequel vous souhaitez modifier une politique. Dans l'onglet Politiques, dslectionnez Hriter les politiques et les paramtres du groupe parent "nom de groupe". Vous devez dsactiver l'hritage pour ce groupe. Si vous ne dslectionnez pas l'hritage, vous ne pouvez pas modifier la politique.
Sous Politiques et paramtres dpendants de l'emplacement, faites dfiler le menu pour trouver le nom de l'emplacement dont vous souhaitez modifier la politique. Recherchez la politique spcifique pour l'emplacement que vous voulez modifier. A droite de la politique slectionne, cliquez sur Tches puis sur Modifier une politique. Effectuez l'une des tches suivantes :

5 6 7
Pour modifier une politique non partage, passez l'tape 8. Pour modifier une politique partage, cliquez sur Modifier une politique partage dans la bote de dialogue Modifier une politique pour modifier la politique dans tous les emplacements.
Vous pouvez cliquer sur un lien pour le type de politique modifier.
Affectation d'une politique partage

Aprs avoir cr une politique partage dans la page Politiques, vous devez l'affecter un ou plusieurs groupes et emplacements. Les politiques non affectes ne peuvent pas tre tlcharges vers les ordinateurs client du groupes et des emplacements. Si vous n'affectez pas la politique lorsque vous l'ajoutez, vous pouvez l'affecter des groupes et des emplacements plus tard. Vous pouvez galement affecter une politique un groupe ou un emplacement diffrent. Se reporter "Utilisation de politiques pour grer la scurit du rseau" la page 96.
106
Utilisation des politiques Retrait d'une politique
Pour affecter une politique partage
Crer une politique partage Se reporter "Ajouter une politique partage." la page 101.
2 3 4 5 6 7
Dans la page Politiques, sous Afficher les politiques, cliquez sur le type de politique affecter. Dans le volet Politique type de politique, slectionnez la politique affecter. Dans la page Politiques, sous Tches, cliquez sur Assigner la politique. Dans la bote de dialogue Assigner type de politiquela politique, cochez les groupes et les emplacements auxquels doit s'appliquer la politique. Cliquez sur Assigner. Cliquez sur Oui pour confirmer que vous voulez affecter la politique.
Retrait d'une politique

Il se peut que vous souhaitiez retirer une politique d'un groupe ou d'un emplacement dans certaines situations, notamment lorsqu'un groupe particulier a rencontr des problmes suite l'introduction d'une nouvelle politique. Si vous retirez une politique, celle-ci est automatiquement retire des groupes et des emplacements auquels vous l'avez attribue. La politique demeure toutefois dans la base de donnes. Se reporter "Utilisation de politiques pour grer la scurit du rseau" la page 96. Vous pouvez retirer toutes les politiques de la page Politiques, l'exception des politiques suivantes :

Antivirus et Antispyware LiveUpdate
Remarque : Vous devez retirer une politique de tous les groupes et emplacements avant de la supprimer. Vous ne pouvez pas retirer une politique d'antivirus, de protection antispyware ou une politique LiveUpdate d'un emplacement ou groupe. Vous pouvez les remplacer seulement par une autre politique d'antivirus, de protection antispyware ou par une autre politique LiveUpdate.
Utilisation des politiques Supprimer une politique
107
Pour retirer une politique partage de la page Politiques
1 2 3 4 5 6 7
Dans la console, cliquez sur Politiques. Dans la page Politiques, sous Afficher les politiques, cliquez sur le type de politique que vous souhaitez retirer. Dans le volet Politiques type de politique, cliquez sur la politique que vous souhaitez retirer. Dans la page Politiques, sous Tches, cliquez sur Retirer la politique. Dans la bote de dialogue Retirer la politique, cochez les groupes et les emplacements dont vous souhaitez retirer la politique. Cliquez sur Retirer. Lorsque vous tes invit confirmer le retrait de la politique des groupes et emplacements, cliquez sur Oui.
Pour retirer une politique partage ou non-partage de la page Clients
1 2 3
Dans la console, cliquez sur Clients. Dans la page Clients, sous Afficher les clients, slectionnez le groupe pour lequel vous souhaitez retirer une politique. Dans l'onglet Politiques, dsactivez l'option Hriter les politiques et les paramtres du groupe parent "nom de groupe". Vous devez dsactiver l'hritage pour ce groupe. Si vous ne dslectionnez pas l'option d'hritage, vous ne pourrez pas retirer la politique.
Sous Politiques et paramtres spcifiques l'emplacement, faites dfiler le menu pour trouver le nom de l'emplacement dont vous souhaitez retirer la politique. Recherchez la politique retirer de l'emplacement slectionn. Cliquez sur Tches puis sur Retirer la politique. Dans la bote de dialogue Retirer la politique, cliquez sur Oui.
5 6 7
Supprimer une politique

Vous pouvez devoir supprimer une politique qui s'applique des groupes et des emplacements. Par exemple, des directives d'entreprise peuvent changer et ncessiter la mise en place de diffrentes politiques. Quand de nouveaux groupes de socits sont ajouts, vous pouvez devoir supprimer d'anciens groupes et les politiques associes.
108
Utilisation des politiques Supprimer une politique
Se reporter "Utilisation de politiques pour grer la scurit du rseau" la page 96. Vous pouvez supprimer une politique partage ou non partage. A mesure que vous ajoutez des groupes et des emplacements, vous pouvez tre amen supprimer d'anciennes politiques. Pour supprimer une politique non partage, retirez-la et supprimez-la en utilisant la mme commande. Remarque : Vous devez pralablement retirer une politique affecte un groupe ou un emplacement pour pouvoir supprimer la politique. Vous ne pouvez pas supprimer une politique antivirus et de protection antispyware, ni une politique LiveUpdate. Vous devez la remplacer par une autre politique de protection antispyware ou LiveUpdate, puis vous pouvez supprimer la politique d'origine de protection antispyware ou une politique LiveUpdate. Vous devez disposer d'au moins une politique de protection antispyware et une politique LiveUpdate pour chaque groupe et chaque emplacement. Pour supprimer une politique partage dans la page Politique
1 2
Dans la console, cliquez sur Politiques. Dans la page Politiques, sous Afficher les politiques, slectionnez le type de politique supprimer. La politique peut avoir t affecte ou non un ou plusieurs groupes et emplacements.
3 4 5
Dans le volet type de politique Politiques, cliquez sur la politique supprimer. Dans la page Politiques, sous Tches, cliquez sur Supprimer la politique. Lorsqu'un message vous demande de confirmer la suppression de la politique que vous avez slectionne, cliquez sur Oui.
Pour supprimer une politique non partage dans la page Clients
1 2 3
Dans la Console, cliquez sur Clients. Dans la page Clients, sous Afficher les clients, slectionnez le groupe pour lequel vous voulez supprimer une politique. Dans l'onglet Politiques, dslectionnez Hriter les politiques et les paramtres du groupe parent "nom de groupe". Vous devez dsactiver l'hritage pour ce groupe. Si vous ne dslectionnez pas l'option d'hritage, vous ne pouvez pas supprimer la politique.
Utilisation des politiques Exporter une politique
109
Sous Politiques et paramtres dpendants de l'emplacement, faites dfiler le menu jusqu' ce que vous trouviez le nom de l'emplacement dont vous voulez supprimer la politique. Recherchez la politique supprimer associe l'emplacement. A droite de la politique slectionne, cliquez sur Tches, puis sur Retirer la politique. Lorsque vous retirez la politique, vous la supprimez. Vous ne pouvez pas supprimer une politique antivirus et de protection antispyware, ni une politique LiveUpdate d'un emplacement. Vous ne pouvez la remplacer que par une autre politique.
5 6
Cliquez sur Oui.
Exporter une politique

Vous pouvez exporter des politiques existantes vers un fichier .dat. Par exemple, vous pouvez exporter une politique pour l'utiliser sur un site diffrent. Sur l'autre site, vous devez importer la politique en utilisant le fichier .dat du site d'origine. Tous les paramtres associs la politique sont exports automatiquement. Se reporter "Utilisation de politiques pour grer la scurit du rseau" la page 96. Vous pouvez exporter une politique partage ou non partage. Pour exporter une politique partage dans la page Politiques
1 2 3 4 5
Dans la console, cliquez sur Politiques. Dans la page Politiques, sous Afficher les politiques, cliquez sur le type de politique exporter. Dans le volet type de politique Politiques, cliquez sur la politique exporter. Dans la page Politiques, sous Tches, cliquez sur Exporter la politique. Dans la bote de dialogue Exporter la politique, recherchez le dossier vers lequel vous voulez exporter le fichier de politiques, puis cliquez sur Exporter.
Pour exporter une politique partage ou non partage dans la page Clients
1 2
Dans la Console, cliquez sur Clients. Dans la page Clients, sous Afficher les clients, slectionnez le groupe pour lequel vous voulez exporter une politique.
110
Utilisation des politiques Importation d'une politique
Dans l'onglet Politiques, dslectionnez Hriter les politiques et les paramtres du groupe parent "nom de groupe". Vous devez dsactiver l'hritage pour ce groupe. Si vous ne dslectionnez pas l'option d'hritage, vous ne pourrez pas exporter la politique.
Sous Politiques et paramtres dpendants de l'emplacement, faites dfiler le menu jusqu' ce que vous trouviez le nom de l'emplacement dont vous voulez exporter la politique. Recherchez la politique exporter associe l'emplacement. A droite de la politique, cliquez sur Tches, puis sur Exporter la politique. Dans la bote de dialogue Exporter la politique, recherchez le dossier vers lequel vous voulez exporter la politique. Dans la bote de dialogue Exporter la politique, cliquez sur Exporter.
5 6 7 8
Importation d'une politique

Vous pouvez importer un fichier de politique et l'appliquer un groupe ou un emplacement uniquement. Le fichier d'importation porte l'extension .dat. Vous pouvez importer une politique partage ou non partage pour un emplacement particulier dans la page Clients. Se reporter "Ajout d'une nouvelle politique non partage partir d'un fichier de politique prcdemment export dans la page Clients" la page 104. Se reporter "Utilisation de politiques pour grer la scurit du rseau" la page 96. Pour importer une politique
1 2 3 4 5
Dans la console, cliquez sur Politiques. Dans la page Politiques, sous Afficher les politiques, cliquez sur le type de politique importer. Dans le volet Politiques de type de politique, cliquez sur la politique importer. Dans la page Politiques, sous Tches, cliquez sur Importer un type de politique Politique. Dans la bote de dialogue Importer la politique, recherchez le fichier de politique importer, puis cliquez sur Importer.
Utilisation des politiques A propos de la copie des politiques
111
A propos de la copie des politiques

Vous pouvez copier les politiques avant de les personnaliser. Aprs avoir copi une politique, vous devez la coller. Se reporter "Coller une politique" la page 112.
Copie d'une politique partage dans la page Politique

Vous pouvez copier une politique partage dans la page Politique. Vous pouvez galement copier une politique partage sur la page Clients. Se reporter "Copie d'une politique partage ou non partage dans la page Clients" la page 111. Pour copier une politique partage dans la page Politique
1 2 3 4 5
Dans la console, cliquez sur Politiques. Sur la page Politiques, sous Afficher les politiques, cliquez sur le type de politique que vous voulez copier. Dans le volet Politiques type de police, cliquez sur la politique que vous souhaitez copier. Sur la page Politiques, sous Tches, cliquez sur Copier la politique. Dans la bote de dialogue Copier la politique, cliquez sur Ne plus afficher ce message. Vous ne devez cocher cette option que si vous ne souhaitez plus tre inform de ce processus. Le message indique que la politique a t copie vers le presse-papiers et est prte tre colle.
Cliquez sur OK.
Copie d'une politique partage ou non partage dans la page Clients

Vous pouvez copier une politique partage ou non partage dans la page Clients. Vous devez toutefois la coller ultrieurement dans la page Clients. Vous pouvez galement copier des politiques partages dans la page Politique. Se reporter "Copie d'une politique partage dans la page Politique" la page 111.
112
Utilisation des politiques Coller une politique
Pour copier une politique partage ou non partage dans la page Clients
1 2 3
Dans la console, cliquez sur Clients. Dans la page Clients, sous Afficher les clients, slectionnez le groupe pour lequel vous souhaitez copier une politique. Dans l'onglet Politiques, sous Politiques et paramtres dpendants de l'emplacement, recherchez l'emplacement partir duquel vous souhaitez effectuer une copie. Recherchez la politique qui correspond cet emplacement. A droite de la politique, cliquez sur Tches, puis cliquez sur Copier. Cliquez sur OK.
4 5 6
Coller une politique

Vous devez avoir copi une politique afin de pouvoir la coller. Concernant les politiques partages, lorsque vous en collez une, elle apparat dans le volet droit. Les mots "Copie de" sont ajouts au dbut du nom de la politique pour la distinguer comme tant une copie. Vous pouvez ensuite modifier le nom de la politique copie. Se reporter "A propos de la copie des politiques" la page 111. Pour coller une politique partage dans la page Politique
1 2 3 4
Dans la console, cliquez sur Politiques. Dans la page Politiques, sous Afficher les politiques, cliquez sur le type de politique coller. Dans le volet Politiques type de politique, cliquez sur la politique coller. Dans la page Politiques, sous Tches, cliquez sur Coller une politique.
Pour coller une politique partage ou non partage dans la page Clients
1 2 3
Dans la console, cliquez sur Clients. Dans la page Clients, sous Afficher les clients, slectionnez le groupe pour lequel vous souhaitez coller une politique. Dans l'onglet Politiques, dsactivez l'option Hriter les politiques et les paramtres du groupe parent "nom de groupe". Vous devez dsactiver l'hritage pour ce groupe. Si vous ne dslectionnez pas l'option d'hritage, vous ne pourrez pas coller la politique.
Utilisation des politiques Copier et coller une politique de groupe
113
Sous Politiques et paramtres dpendants de l'emplacement, faites dfiler le menu pour trouver le nom de l'emplacement dont vous souhaitez coller la politique. Recherchez la politique pour l'emplacement coller. droite de la politique, cliquez sur Tches puis sur Coller. Lorsque vous tes invit remplacer la politique existante, cliquez sur Oui.
5 6 7
Copier et coller une politique de groupe

Vous pouvez copier les paramtres, les emplacements et les politiques de groupe qui sont attribues un groupe et les coller sur un autre groupe. Les paramtres, les emplacements et les politiques nouvellement copis remplacent les paramtres de politiques existantes du groupe qui reoit le collage. Se reporter "Utilisation de politiques pour grer la scurit du rseau" la page 96. Pour copier et coller une politique de groupe
1 2 3 4 5 6
Dans la console, cliquez sur Clients, puis cliquez sur l'onglet Politiques. Cliquez sur le groupe dont vous voulez copier les politiques. Sous Tches, cliquez sur Copier la politique de groupe. Cliquez sur le groupe sur lequel vous voulez copier les politiques. Sous Tches, cliquez sur Copier la politique de groupe. Dans la bote de dialogue de confirmation, cliquez sur Oui.
Remplacement d'une politique

Il se peut que vous souhaitiez remplacer une politique partage par une autre. Vous pouvez remplacer la politique partage dans tous les emplacements ou pour un seul emplacement. Quand vous remplacez une politique pour tous les emplacements, le serveur de gestion ne remplace la politique que pour les emplacements auxquels cette politique a t attribue. Par exemple, supposez que le groupe Ventes utilise la politique Ventes pour trois de ses quatre emplacements. Si vous remplacez la politique Ventes par la politique Marketing, ce changement ne concernera que ces trois emplacements. Vous pouvez dfinir que les clients d'un groupe utilisent les mmes paramtres indpendamment de leur emplacement. Dans ce cas, vous pouvez remplacer une
114
Utilisation des politiques Remplacement d'une politique
politique non partage par une politique partage. La politique non partage doit tre remplace par une politique partage pour chaque emplacement individuellement. Se reporter "Utilisation de politiques pour grer la scurit du rseau" la page 96. Pour remplacer une politique partage pour tous les emplacements
1 2 3 4 5
Dans la console, cliquez sur Politiques. Sur la page Politiques, sous Afficher les politiques, cliquez sur le type de politique que vous voulez remplacer. Dans le volet Politiques de type de politique, cliquez sur la politique. Dans la page Politiques, sous Tches, cliquez sur Remplacer la politique. Dans la bote de dialogue Remplacer la politique type de politique, dans la liste droulante Nouvelle politique type de politique, slectionnez la politique partage qui remplace l'ancienne. Slectionnez les groupes et les emplacements dont vous voulez remplacer la politique. Cliquez sur Remplacer. Quand vous tes invit confirmer le remplacement de la politique pour les groupes et les emplacements, cliquez sur Oui.
6 7 8
Pour remplacer une politique partage ou une politique non partage pour un emplacement
1 2 3
Dans la console, cliquez sur Clients. Dans la page Clients, sous Afficher les clients, slectionnez le groupe dont vous souhaitez remplacer la politique. Dans l'onglet Politiques, dsactivez l'option Hriter les politiques et les paramtres du groupe parent "nom de groupe". Vous devez dsactiver l'hritage pour ce groupe. Si vous ne dslectionnez pas l'option d'hritage, vous ne pourrez pas remplacer la politique.
4 5 6 7
Sous Politiques et paramtres dpendants de l'emplacement, recherchez l'emplacement qui contient la politique. A ct de la politique que vous voulez remplacer, cliquez sur Tches, puis sur Remplacer la politique. Dans la bote de dialogue Remplacer la politique, dans la liste droulante Nouvelle politique, slectionnez la politique de remplacement. Cliquez sur OK.
Utilisation des politiques Copie d'une politique partage pour la convertir en politique non partage
115
Copie d'une politique partage pour la convertir en politique non partage

Pour convertir une politique partage existante en une politique non partage parce qu'elle ne s'applique plus tous les groupes ou emplacements partageant cette politique. Une fois la conversion termine, la politique convertie et son nouveau nom s'affichent sous Politiques et paramtres dpendants de l'emplacement. Pour convertir une politique partage en politique non partage
1 2 3 4
Dans la console, cliquez sur Clients. Dans la page Clients, sous Afficher les clients, slectionnez le groupe pour lequel vous souhaitez convertir une politique. Dans le volet qui est associ au groupe que vous avez slectionn lors de l'tape prcdente, cliquez sur Politiques. Dans l'onglet Politiques, dsactivez l'option Hriter les politiques et les paramtres du groupe parent "nom de groupe". Si vous ne dslectionnez pas l'option d'hritage, vous ne pourrez exporter aucune politique.
Sous Politiques et paramtres dpendants de l'emplacement, faites dfiler pour trouver le nom de l'emplacement et de la politique dpendant de l'emplacement convertir. A ct de la politique spcifique, cliquez sur Tches, puis cliquez sur Convertir en politique non partage. Dans la bote de dialogue Prsentation, modifiez le nom et la description de la politique. Cliquez sur OK.
6 7 8
Conversion d'une copie d'une politique partage en politique non partage

Vous pouvez copier le contenu d'une politique partage et crer une politique non partage partir de ce contenu. Une copie permet de modifier le contenu d'une politique partage dans un seul emplacement et non dans tous les emplacements. La copie remplace la politique non partage existante.
116
Utilisation des politiques A propos de la mise jour des politiques sur les clients
Pour convertir une copie d'une politique partage en politique non partage
1 2 3
Dans la console, cliquez sur Clients. Dans la page Clients, sous Afficher les clients, slectionnez le groupe dont vous souhaitez remplacer la politique. Dans l'onglet Politiques, dsactivez l'option Hriter les politiques et les paramtres du groupe parent "nom de groupe". Vous devez dsactiver l'hritage pour ce groupe. Si vous ne dsactivez pas l'hritage, vous ne pourrez pas remplacer la politique.
4 5 6 7
Sous Politiques et paramtres dpendants de l'emplacement, recherchez l'emplacement qui contient la politique. Cliquez sur Tches, puis sur Modifier la politique, ct de la politique remplacer. Dans la bote de dialogue Modifier la politique, cliquez sur Crer une politique non partage partir d'une copie. Modifiez la politique. Se reporter "Modifier une politique" la page 104.
Quand vous avez termin de configurer la politique, cliquez sur OK.
A propos de la mise jour des politiques sur les clients

Lorsque vous configurez des politiques sur le serveur de gestion, vous devez obtenir des mises jour de politiques tlcharges sur les clients. Dans la console, vous pouvez configurer les clients pour qu'ils utilisent l'une des deux mthodes de mise jour suivantes :
mode 'pull' (extraction) Le client se connecte Symantec Endpoint Protection Manager priodiquement, selon la frquence du paramtre de battement. Le client vrifie l'tat du serveur de gestion lorsqu'il se connecte. Le client tablit une connexion HTTP permanente au serveur de gestion. Ds que l'tat du serveur de gestion change, le client en est immdiatement inform.
mode 'push'
Dans l'un de ces modes, le client effectue l'opration suivante en fonction du changement d'tat du serveur de gestion. Puisqu'elle requiert une connexion permanente, le mode 'push' ncessite une large bande passante rseau. Le plus souvent, vous pouvez configurer les clients en mode d'extraction.
Utilisation des politiques Configurer le mode de transfert ou le mode de traction pour mettre jour les politiques client et le contenu
117
Se reporter "Configurer le mode de transfert ou le mode de traction pour mettre jour les politiques client et le contenu" la page 117. Un battement est la frquence laquelle les ordinateurs client chargent les donnes telles que les entres de journal et les politiques de tlchargement. Un battement est un protocole que chaque client utilise pour communiquer avec Symantec Endpoint Protection Manager. Le premier battement se produit juste aprs le dmarrage du client. Le battement suivant se produit la frquence de battement que vous avez dfinie. La frquence de battement est un facteur cl dans le nombre de clients que chaque Symantec Endpoint Protection Manager peut prendre en charge. Si vous dfinissez une frquence de battement sur au moins 30 minutes, elle limite le nombre total de clients que Symantec Endpoint Protection Manager peut prendre en charge. Pour les dploiements d'un minimum de 1 000 clients, vous devez dfinir la frquence de battement la dure maximale qui correspond aux exigences de scurit d'une entreprise. Par exemple, pour mettre jour des politiques de scurit et collecter des journaux quotidiennement, dfinissez alors la frquence de battement sur 24 heures. Consultez les services professionnels et le support d'entreprise de Symantec pour valuer la configuration approprie, le matriel et l'architecture rseau appropris pour votre environnement rseau.
Configurer le mode de transfert ou le mode de traction pour mettre jour les politiques client et le contenu
Vous pouvez indiquer si le serveur de gestion transfre la politique aux clients ou si les clients extraient la politique du serveur de gestion. Le paramtre par dfaut est mode de transfert. Si vous slectionnez le mode extraction, les clients se connectent alors par dfaut au serveur de gestion toutes les 5 minutes, mais vous pouvez modifier cet intervalle de battements par dfaut. Se reporter "A propos de la mise jour des politiques sur les clients" la page 116. Vous pouvez dfinir le mode pour un groupe ou pour un emplacement. Pour configurer le mode de transfert ou le mode extraction pour un groupe
1 2 3
Dans la console, cliquez sur Clients. Dans la page Clients, sous Afficher les clients, slectionnez le groupe pour lequel vous souhaitez indiquer s'il faut transfrer ou extraire les politiques. Dans la page Clients, cliquez sur l'onglet Politiques.
118
Utilisation des politiques Configurer le mode de transfert ou le mode de traction pour mettre jour les politiques client et le contenu
4 5 6
Dans l'onglet Politiques, dslectionnez Hriter les politiques et les paramtres du groupe parent "nom de groupe". Dans le volet Politiques et paramtres indpendants de l'emplacement, sous Paramtres, cliquez sur Paramtres de communication. Dans la bote de dialogue Paramtres de communication du nom du groupe, sous Tlchargement, vrifiez que l'option Tlcharger les politiques et contenus depuis le serveur de gestion est coche. Effectuez l'une des oprations suivantes :

Cliquez sur Mode "Push". Cliquez sur Mode d'extraction, puis sous Intervalle de battement, dfinissez le nombre de minutes ou d'heures de l'intervalle.
Cliquez sur OK.
Procdure de dfinition du mode "Push" ou d'extraction pour un emplacement
1 2 3 1 2
Dans la console, cliquez sur Clients. Dans la page Clients, sous Afficher les clients, slectionnez le groupe pour lequel vous souhaitez indiquer s'il faut transfrer ou extraire les politiques. Dans la page Clients, cliquez sur l'onglet Politiques. Dans l'onglet Politiques, dslectionnez Hriter les politiques et les paramtres du groupe parent "nom de groupe". Sous Politiques et paramtres dpendants de l'emplacement, sous Politiques spcifiques aux emplacements pour l'emplacement que vous souhaitez modifier, dveloppez Paramtres spcifiques aux emplacements. Sous Paramtres spcifiques aux emplacements, la droite de Paramtres de communication, cliquez sur Tches et dslectionnez Utiliser les paramtres de communication du groupe. A droite de Paramtres de communication, cliquez sur Local - Transfert ou (Local - Extraction). Effectuez l'une des oprations suivantes :

4 5
Cliquez sur Mode "Push". Cliquez sur Mode d'extraction, puis sous Intervalle de battement, dfinissez le nombre de minutes ou d'heures de l'intervalle.
Cliquez sur OK.
Utilisation des politiques Afficher le numro de srie de politique
119
Afficher le numro de srie de politique

Vous devriez vrifier le numro de srie de politique sur le client pour vrifier qu'il correspond au numro de srie qui apparat dans la console de gestion. Si le client communique avec le serveur de gestion et reoit les mises jour rgulires de la politique, les numros de srie devraient correspondre. Si les numros de srie de politique ne correspondent pas, vous pouvez essayer de mettre jour manuellement les politiques sur l'ordinateur client et de vrifier les journaux de dpannage. Se reporter "Mise jour manuelle de la politique pour vrifier le numro de srie de la politique" la page 119. Pour afficher le numro de srie de politique dans la console de gestion
1 2
Dans le serveur de gestion, dans la console, cliquez sur Clients. Sous Afficher les clients, slectionnez le groupe de votre choix, puis cliquez sur Dtails. Le numro de srie de politique et la date de politique apparaissent au bas de la liste de dtails.
Pour afficher le numro de srie de politique sur le client
1 2
Sur l'ordinateur client, dans le client, dans le menu Aide et support, slectionnez Dpannage. Dans l'onglet Gestion, regardez le numro de srie de politique. Le numro de srie devrait correspondre au numro de srie de la politique que le serveur de gestion transfre au client.
Mise jour manuelle de la politique pour vrifier le numro de srie de la politique

Vous pouvez effectuer une mise jour manuelle de la politique pour vrifier si le client reoit ou non la dernire mise jour de la politique. Si le client ne reoit pas la mise jour, il pourrait y avoir un problme avec la communication entre le client et le serveur. Vous pouvez essayer une mise jour manuelle de la politique en faisant l'une des actions suivantes :
Dans le client, dans le menu Aide et support, dans la bote de dialogue Dpannage, sous Profil de la politique, vous pouvez cliquer sur Mettre jour. Vous pouvez utiliser cette mthode si vous voulez effectuer une mise jour manuelle sur un client particulier.
120
Utilisation des politiques Contrle des applications et services excuts sur les ordinateurs client
Pour les clients qui sont configurs pour le mode d'extraction, le serveur de gestion tlcharge des politiques sur le client intervalles rguliers (battement). Vous pouvez modifier l'intervalle de battements de sorte que des politiques soient tlcharges sur le groupe de clients plus rapidement. Aprs l'intervalle de battements, vous pouvez vrifier si les numros de srie de politique correspondent. Pour les clients qui sont configurs pour le mode "Push", les clients reoivent toutes les mises jour de la politique immdiatement.
Aprs avoir excut une mise jour manuelle de la politique, assurez-vous que le numro de srie de politique qui apparat dans le client correspond au numro de srie qui apparat dans la console de gestion. Se reporter "Afficher le numro de srie de politique" la page 119. Pour effectuer une mise jour manuelle de la politique
1 2 3
Sur le client, cliquez sur Aide > Dpannage. Dans la bote de dialogue Dpannage, dans la colonne de gauche, slectionnez Gestion. Dans le volet Gestion, sous Profil de la politique, cliquez sur Mise jour.
Contrle des applications et services excuts sur les ordinateurs client

Le client surveille et collecte des informations sur les applications et les services excuts sur chaque ordinateur. Vous pouvez configurer le client pour qu'il collecte les informations d'une liste et envoie la liste au serveur de gestion. La liste des applications et de leurs caractristiques porte le nom d'applications apprises. Vous pouvez utiliser ces informations pour savoir quelles applications vos utilisateurs excutent. Vous pouvez les utiliser pour obtenir des informations sur les applications des domaines suivants :

Politiques de pare-feu Politiques de contrle des applications et des priphriques Analyse proactive des menaces TruScan Politiques d'intgrit de l'hte Contrle des applications rseau Listes de signatures de fichier
Vous pouvez raliser diffrentes tches pour configurer et utiliser des applications assimiles.
Utilisation des politiques Contrle des applications et services excuts sur les ordinateurs client
121
Tableau 6-3 Etapes
Procdure de contrle des applications Description

Configurez le serveur de gestion de sorte qu'il collecte des informations sur les applications excutes sur les ordinateurs client. Se reporter "Configuration du serveur de gestion pour la collecte d'informations sur les applications que les ordinateurs client excutent" la page 122.
Activation des applications assimiles
Recherche d'applications Vous pouvez utiliser un outil de requte pour rechercher la liste d'applications excutes par les ordinateurs client. Vous pouvez effectuer des recherches sur des critres bass sur l'application ou sur l'ordinateur. Par exemple, vous pouvez rechercher la version d'Internet Explorer que chaque ordinateur client utilise. Se reporter "Recherche d'informations sur les applications que les ordinateurs excutent" la page 123. Vous pouvez enregistrer les rsultats d'une recherche d'applications en vue de l'analyser ultrieurement. Se reporter "Enregistrement des rsultats d'une recherche d'application" la page 125.
Remarque : Dans certains pays, la rglementation locale peut interdire l'utilisation des applications apprises sous certaines conditions, par exemple pour obtenir des informations partir d'un ordinateur portable lorsqu'un employ se connecte, depuis son domicile, au rseau de votre entreprise l'aide d'un ordinateur portable que vous lui avez fourni. Avant d'utiliser cet outil, vrifiez que son utilisation est autorise dans le cadre de la lgislation en vigueur. Si elle n'est pas autorise, suivez les instructions pour dsactiver cet outil.
Remarque : Le client n'enregistre pas les informations concernant les applications que les clients de Symantec Network Access Control excutent. Les applications apprises ne sont pas disponibles sur la console si vous avez uniquement install Symantec Network Access Control. Si vous intgrez Symantec Network Access Control Symantec Endpoint Protection, vous pouvez utiliser l'outil des applications apprises avec les politiques d'intgrit de l'hte. Vous devez installer le module de protection contre les menaces rseau et le module de contrle des applications et des priphriques sur le client pour activer cette fonctionnalit.
122
Utilisation des politiques Configuration du serveur de gestion pour la collecte d'informations sur les applications que les ordinateurs client excutent
Configuration du serveur de gestion pour la collecte d'informations sur les applications que les ordinateurs client excutent
Vous pouvez activer des applications apprises pour des sites entiers, les groupes d'un site ou les emplacements d'un groupe. La fonction des applications apprises est active par dfaut pour le site, le groupe et l'emplacement. Vous devez d'abord activer les applications apprises pour chaque site, puis vous pouvez ventuellement activer les applications apprises pour les emplacements et les groupes spcifiques. Pour activer des applications apprises, vous devez effectuer les tches suivantes :
Activez les applications apprises pour le site. Vous devez activer l'outil d'applications apprises pour un site afin d'utiliser l'outil pour un emplacement ou un groupe spcifique. Autorisez les clients envoyer les applications apprises au serveur de gestion par groupe ou par emplacement.
Vous pouvez configurer une notification envoyer votre adresse de courrier lectronique lorsque chaque client d'un groupe ou emplacement excute une application. Se reporter "Cration des notifications d'administrateur" la page 314. Vous pouvez configurer les applications apprises pour les serveurs de gestion d'un site local ou distant. Pour activer les applications apprises d'un site
1 2
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, effectuez l'une des oprations suivantes :

Cliquez sur Site local (Site nom_site). Dveloppez Sites distants, puis cliquez sur (Site nom_site).
3 4 5
Sous Tches, cliquez sur Modifier les proprits de site. Dans la bote de dialogue Proprits de site de nom_site, dans l'onglet Gnral, cochez Suivre chaque application que les clients excutent. Cliquez sur OK.
Aprs avoir activ un site pour collecter les listes des applications apprises des clients, activez les clients pour envoyer les listes au serveur par groupe ou par emplacement.
Utilisation des politiques Recherche d'informations sur les applications que les ordinateurs excutent
123
Remarque : Vous ne pouvez modifier ce paramtre que pour les sous-groupes qui n'hritent pas des politiques et paramtres d'un groupe parent. Pour envoyer la liste des applications apprises au serveur de gestion
1 2 3 4
Dans la Console, cliquez sur Clients. Sous Afficher les clients, slectionnez un groupe. Dans l'onglet Politiques, cliquez sur Paramtres de communication. Dans la bote de dialogue Paramtres de communication de nom_groupe, assurez-vous que la case Apprendre les applications excutes sur les ordinateurs client est coche. Cliquez sur OK.
Pour envoyer les applications apprises au serveur de gestion pour un emplacement
1 2 3 4
Dans la Console, cliquez sur Clients. Sous Afficher les clients, slectionnez un groupe. Sous Politiques et paramtres dpendants de l'emplacement, slectionnez l'emplacement, puis dveloppez Paramtres dpendants de l'emplacement. A droite de Paramtres de communications, cliquez sur Tches, puis dcochez Utiliser paramtres de communication du groupe. L'activation de ce paramtre permet de crer un paramtre d'emplacement plutt qu'un paramtre de groupe.
5 6
Cliquez sur Tches, puis sur Modifier les paramtres. Dans la bote de dialogue Paramtres de communication de nom_emplacement, cochez la case cocher Apprendre les applications excutes sur les ordinateurs client. Cliquez sur OK.
Recherche d'informations sur les applications que les ordinateurs excutent

Une fois que le serveur de gestion a reu la liste des applications de la part des clients, vous pouvez rechercher des informations sur les applications. Par exemple, vous pouvez rechercher tous les ordinateurs client qui utilisent une application non autorise. Vous pouvez ainsi crer une rgle de filtrage afin de bloquer l'application sur l'ordinateur client. Vous pouvez galement mettre niveau tous
124
les ordinateurs client de faon ce qu'ils utilisent la dernire version de Microsoft Word. Vous pouvez rechercher une application de diffrentes manires :
Par application. Vous pouvez limiter la recherche des applications ou des dtails d'application particuliers, tels que le nom, la signature de fichier, le chemin d'accs, la taille ou la version de l'application ou encore l'heure de sa dernire modification. Par client ou ordinateur client. Vous pouvez rechercher les applications qu'un utilisateur ou un ordinateur particulier excute. Par exemple, vous pouvez rechercher l'adresse IP de l'ordinateur.
Vous pouvez galement rechercher les noms d'applications ajouter une rgle de filtrage, directement dans la politique de pare-feu. Se reporter "Ajouter des applications une rgle" la page 570. Remarque : Les informations de la zone de texte Recherche ne sont pas collectes jusqu' ce que vous activez la fonction qui supervise toutes les applications que les clients excutent. Pour activer cette fonction, accdez la page Admin, dans la bote de dialogue Proprits de site de nom du site de l'onglet Gnral. Pour rechercher des informations sur les applications que les ordinateurs excutent
1 2 3 4
Dans la console, cliquez sur Politiques. Dans la page Politiques, sous Tches, cliquez sur Rechercher des applications. Dans la bote de dialogue Rechercher des applications, cliquez sur Parcourir la droite du champ Rechercher les applications dans. Dans la bote de dialogue Slectionner un groupe ou un emplacement, slectionnez un groupe de clients pour lequel vous souhaitez afficher les applications, puis cliquez sur OK. Vous pouvez spcifier un seul groupe en mme temps.
5 6
Assurez-vous que la case cocher Rechercher les sous-groupes est coche. Effectuez l'une des oprations suivantes :
Pour effectuer une recherche base sur des informations d'utilisateur ou d'ordinateur, cliquez sur D'aprs les informations du client/de l'ordinateur.
125
Pour effectuer une recherche par application, cliquez sur D'aprs les applications.
Cliquez sur la cellule vide sous Champ de recherche, puis slectionnez les critres de recherche dans la liste. La cellule Champ de recherche affiche les critres pour l'option que vous avez slectionne. Pour des dtails sur ces critres, cliquez sur Aide.
8 9
Cliquez sur la cellule vide sous Oprateur de comparaison, puis slectionnez un des oprateurs. Cliquez sur la cellule vide sous Valeur, puis slectionnez ou entrez une valeur. La cellule Valeur peut fournir un format ou une valeur dans la liste droulante, selon les critres que vous avez slectionns dans la cellule Champ de recherche.
10 Pour ajouter un autre critre de recherche, cliquez sur la deuxime ligne, puis
entrez les informations dans les cellules Champ de recherche, Oprateur de comparaison et Valeur. Si vous entrez plusieurs lignes de critres de recherche, la requte essaie de correspondre toutes les conditions.
11 Cliquez sur Rechercher. 12 Dans la table Rsultats de requte, effectuez l'une des tches suivantes :
Cliquez sur les flches de dfilement pour afficher des lignes et des colonnes supplmentaires. Cliquez sur Prcdent et Suivant pour consulter des crans d'information supplmentaires. Slectionnez une ligne, puis cliquez sur Afficher les dtails pour consulter d'autres informations concernant l'application.
Les rsultats ne sont pas enregistrs moins que vous ne les exportiez vers un fichier.
13 Pour supprimer les rsultats de la requte, cliquez sur Effacer tout. 14 Cliquez sur Fermer.
Enregistrement des rsultats d'une recherche d'application

Aprs avoir excut une requte, vous pouvez enregistrer les rsultats dans un fichier texte ou spar par des virgules. L'outil de requte exporte tous les rsultats de la requte plutt qu'une ligne slectionne.
126
Pour enregistrer les rsultats d'une recherche d'application
Recherchez des informations sur une application ou un ordinateur client. Se reporter "Recherche d'informations sur les applications que les ordinateurs excutent" la page 123.
2 3 4 5 6
Dans la bote de dialogue Rechercher des applications, sous Rsultats de requte, cliquez sur Exporter. Dans la bote de dialogue Exporter les rsultats, tapez le numro de la page contenant les dtails concernant l'applications et l'ordinateur client exporter. Slectionnez ou tapez le nom de chemin d'accs et le nom du fichier dans lequel vous souhaitez exporter le fichier, puis cliquez sur Exporter. Pour confirmer, cliquez sur Oui. Si vous avez fini de rechercher des applications, cliquez sur Fermer.
Chapitre
Utilisation des packages d'installation client


Utilisation de packages d'installation client Configuration des options des packages d'installation client Exportation de packages d'installation client Dploiement du logiciel client avec Rechercher les ordinateurs non grs A propos des ajouts de mises jour de packages d'installation client et mise niveau des clients Ajouter des mises jour de packages d'installation client Mettre niveau des clients dans un ou plusieurs groupes Supprimer des packages de mise niveau
Utilisation de packages d'installation client

Pour grer les ordinateurs avec Symantec Endpoint Protection Manager, vous devez exporter au moins un package d'installation client vers un serveur de gestion du site. Une fois le package d'installation client install, installez les fichiers du package sur les ordinateurs client. Vous pouvez exporter des packages pour des clients grs par Symantec, des clients grs par des tiers et des clients autonomes. Vous pouvez utiliser la console pour exporter ces packages comme unique fichier excutable ou comme srie de fichiers dans un rpertoire. La mthode que vous choisissez dpend de votre mthode de dploiement et si vous voulez mettre niveau le logiciel client dans les groupes partir de la console. L'excutable unique
128
Utilisation des packages d'installation client Utilisation de packages d'installation client
est disponible pour les outils d'installation tiers et pour l'conomie potentielle de bande passante. Gnralement, si vous utilisez l'objet Politique de groupe Active Directory, vous ne choisirez pas l'exportation vers un seul fichier excutable. Lors du processus d'exportation, slectionnez les packages d'installation 32 bits ou 64 bits fournis par dfaut. Ainsi, vous slectionnez ventuellement les technologies de protection client spcifiques installer si vous ne voulez pas installer tous les composants. Vous pouvez galement spcifier comment l'installation interagit avec les utilisateurs finaux. Enfin, vous pouvez installer les fichiers exports (un package) vers les ordinateurs un par un ou dployer les fichiers exports vers plusieurs ordinateurs simultanment. Pour les options de dploiement d'installation du client, reportez-vous au Guide d'installation de Symantec Endpoint Protection et de Symantec Network Access Control sur le disque de produit. Symantec fournit de temps en temps des packages de fichiers d'installation mis jour. Lorsque le logiciel client est install sur des ordinateurs client, vous pouvez automatiquement mettre jour le logiciel client sur tous les clients d'un groupe avec la fonction de mise niveau automatique. Vous n'avez pas besoin de redployer le logiciel l'aide des outils de dploiement d'installation. Tableau 7-1 Tche
Configurer les packages d'installation client
Tches de packages d'installation client Description

Vous pouvez slectionner des technologies de protection client spcifiques installer, et vous pouvez spcifier comment l'installation interagit avec des utilisateurs finaux. Se reporter "Configuration des options des packages d'installation client" la page 129.
Exporter des packages d'installation client
Vous pouvez exporter des packages pour des clients grs par Symantec, des clients grs par des tiers et des clients autonomes. Se reporter "Exportation de packages d'installation client" la page 132.
Dployer les packages Vous pouvez dployer des packages d'installation client vers d'installation client l'aide les ordinateurs qui n'excutent pas le logiciel client l'aide de la fonction Rechercher les de la fonction Rechercher les ordinateurs autonomes. ordinateurs autonomes Se reporter "Dploiement du logiciel client avec Rechercher les ordinateurs non grs" la page 133.
Utilisation des packages d'installation client Configuration des options des packages d'installation client
129
Tche
Description
Ajouter des mises jour de Lorsque vous recevez des mises jour de package packages d'installation client d'installation client de Symantec, vous les ajoutez la base de donnes de site. Vous les ajoutez la base de donnes de site pour les rendre disponibles pour la distribution partir de Symantec Endpoint Protection Manager. Vous pouvez ventuellement exporter les packages pendant cette procdure pour rendre le package disponible au dploiement vers les ordinateurs qui n'excutent pas le logiciel client. Se reporter "Ajouter des mises jour de packages d'installation client" la page 135. Mettre niveau des clients Vous pouvez installer les packages exports sur les dans un ou plusieurs groupes ordinateurs un par un ou dployez les fichiers exports vers plusieurs ordinateurs simultanment. Se reporter "A propos des ajouts de mises jour de packages d'installation client et mise niveau des clients" la page 135. Se reporter "Mettre niveau des clients dans un ou plusieurs groupes" la page 136. Supprimer des oackages d'installation client Vous pouvez supprimer des packages d'installation client plus anciens pour conomiser l'espace disque. Se reporter "Supprimer des packages de mise niveau" la page 137.
Configuration des options des packages d'installation client

Lorsque vous exportez des packages d'installation client, vous pouvez slectionner les composants installer ainsi que la mthode d'installation. Vous pouvez ventuellement inviter des utilisateurs envoyer des informations les concernant, qui apparaissent ensuite comme des proprits pour les ordinateurs de la console. Se reporter "Utilisation de packages d'installation client" la page 127.
Configurer des fonctions de package d'installation client

Les fonctions d'installation reprsentent les composants client disponibles pour l'installation. Par exemple, si vous crez des packages Symantec Endpoint Protection, vous pouvez choisir d'installer les fonctions d'antivirus et les dispositifs de pare-feu. Ou vous pouvez choisir d'installer uniquement la fonction d'antivirus.
130
Vous devez nommer chaque ensemble de slections. Vous slectionnez ensuite un ensemble nomm de fonctions quand vous exportez les packages 32 bits de logiciel client et les packages 64 bits de logiciel client. Se reporter "Utilisation de packages d'installation client" la page 127. Pour configurer les fonctions des packages d'installation client
1 2 3 4 5 6 7
Dans la console, cliquez sur Admin, puis cliquez sur Packages d'installation. Sous Afficher les packages d'installation, cliquez sur Ensembles de fonctions d'installation client. Sous Tches, cliquez sur Ajouter un ensemble de fonctionnalits d'installation client. Dans la bote de dialogue Ajouter un ensemble de fonctionnalits d'installation client, dans la zone Nom, tapez un nom. Dans la zone Description, entrez une description de l'ensemble de fonctionnalits d'installation client. Pour obtenir des dtails concernant la dfinition d'autres options dans cette bote de dialogue, cliquez sur Aide. Cliquez sur OK.
Configuration des paramtres des packages d'installation client

Les paramtres d'installation affectent la faon dont le logiciel client est install sur les ordinateurs client. Vous devez nommer chaque ensemble de slections. Vous slectionnez ensuite un ensemble nomm de paramtres de package quand vous exportez les packages 32 bits de logiciel client et les packages 64 bits de logiciel client. Se reporter "Utilisation de packages d'installation client" la page 127. Pour configurer les paramtres des packages d'installation client
1 2 3 4
Dans l'onglet Admin, dans le volet infrieur gauche, cliquez sur Packages d'installation. Sous Afficher les packages d'installation, cliquez sur Paramtres d'installation client. Sous Tches, cliquez sur Ajouter des paramtres d'installation client. Dans la bote de dialogue Paramtres d'installation client, dans la zone Nom, tapez un nom.
131
5 6
Pour obtenir des dtails concernant la dfinition d'autres options dans cette bote de dialogue, cliquez sur Aide. Cliquez sur OK.
Collecter des donnes utilisateur

Vous pouvez demander aux utilisateurs de taper sur les ordinateurs client des informations sur eux-mmes au cours de l'installation du logiciel client ou des mises jour de la politique. Vous pouvez collecter des informations, telles que le numro de tlphone portable, la fonction et l'adresse lectronique de l'employ. Aprs avoir collect ces informations, vous devez les tenir jour et les actualiser manuellement. Remarque : Aprs avoir activ le message pour qu'il apparaisse sur l'ordinateur client pour la premire et que l'utilisateur rpond avec les informations demandes, le message ne rapparat plus. Mme si vous modifiez les champs ou dsactivez ou ractivez le message, le client n'affiche pas un nouveau message. Toutefois, l'utilisateur peut modifier les informations tout moment et le serveur de gestion extrait les informations. Se reporter "Utilisation de packages d'installation client" la page 127. Pour collecter des donnes utilisateur
1 2 3 4 5 6 7
Dans la console, cliquez sur Admin, puis cliquez sur Packages d'installation. Sous Afficher les packages d'installation, cliquez sur Packages d'installation client. Dans le volet Packages d'installation client, cliquez sur le package pour lequel vous voulez collecter des informations d'utilisateur. Sous Tches, cliquez sur Dfinir la collecte des informations utilisateur. Dans la bote de dialogue Dfinir la collecte des informations utilisateur, cliquez sur Collecter les informations utilisateur. Dans la zone de texte Message contextuel, tapez le message que doivent lire les utilisateurs lorsque des informations leur sont demandes. Si vous voulez permettre l'utilisateur de diffrer la collecte des informations utilisateur, cochez Me rappeler plus tard, puis dfinissez un dlai en minutes.
132
Utilisation des packages d'installation client Exportation de packages d'installation client
Sous Slectionnez les champs qui seront affichs en vue de la saisie des informations de l'utilisateur, slectionnez le type d'informations collecter, puis cliquez sur Ajouter. Vous pouvez slectionner un champ ou plusieurs champs simultanment en appuyant sur la touche Maj ou la touche Contrle.
Dans la colonne Facultatif, cochez la case des champs que l'utilisateur peut remplir facultativement.
10 Cliquez sur OK.
Exportation de packages d'installation client

Lorsque vous exportez des packages de logiciel client, vous crez des fichiers d'installation client dployer. Quand vous exportez des packagess, vous devez rechercher un rpertoire devant contenir les packages exports. Si vous spcifiez un rpertoire qui n'existe pas, vous le crez automatiquement. Le processus d'exportation cre d'une manire descriptive les sous-rpertoires nomms dans ce rpertoire et place les fichiers d'installation dans ces sous-rpertoires. Par exemple, si vous crez un package d'installation pour un groupe nomm Mon groupe sous Ma socit, un rpertoire nomm Ma socit_Mon groupe est cr. Ce rpertoire contient le package d'installation export. Remarque : Cette convention de dnomination ne distingue pas les packages d'installation client destins Symantec Endpoint Protection ou Symantec Network Access Control. Le nom du package export pour un fichier excutable unique est Setup.exe la fois pour Symantec Endpoint Protection et pour Symantec Network Access Control. Par consquent, veillez crer une structure de rpertoires qui vous permette de distinguer les fichiers d'installation de Symantec Endpoint Protection et de Symantec Network Access Control. Vous avez une dcision importante prendre quand vous exportez des packages. Vous devez dcider si vous souhaitez crer un package d'installation pour les clients grs ou autonomes. Si vous crez un package pour les clients grs, vous pouvez les grer l'aide de la console de Symantec Endpoint Protection Manager. Si vous crez un package pour des clients non grs, vous ne pouvez pas les grer partir de la console.
Utilisation des packages d'installation client Dploiement du logiciel client avec Rechercher les ordinateurs non grs
133
Remarque : Si vous exportez des packages d'installation client partir d'une console distante, les packages sont crs sur l'ordinateur partir duquel vous excutez la console distante. De plus, si vous utilisez plusieurs domaines, vous devez exporter les packages pour chaque domaine ; sinon, ils apparaissent comme disponibles pour les groupes de domaines. Aprs avoir export un ou plusieurs packages de fichiers d'installation, dployez les fichiers d'installation sur les ordinateurs client. Se reporter "Utilisation de packages d'installation client" la page 127. Pour plus d'informations sur l'installation du logiciel client, consultez le Guide d'installation de Symantec Endpoint Protection et de Symantec Network Access Control, disponible sur le disque du produit. Pour exporter des packages d'installation client
1 2 3
Dans la console, cliquez sur Admin, puis cliquez sur Packages d'installation. Sous Afficher les packages d'installation, cliquez sur Packages d'installation client. Dans le volet Packages d'installation client, sous Nom du package, cliquez avec le bouton droit de la souris sur le package exporter, puis cliquez sur Exporter. Dans la bote de dialogue Exporter le package, ct de la zone de texte Dossier d'exportation, slectionnez le rpertoire dans lequel vous souhaitez enregistrer le package export, puis cliquez sur OK. Les rpertoires contenant des caractres cods sur deux octets ou High-ASCII ne sont pas pris en charge et sont bloqus.
5 6 7
Dans la bote de dialogue Exporter le package, dfinissez les autres options selon vos objectifs d'installation. Pour obtenir des dtails concernant la dfinition d'autres options dans cette bote de dialogue, cliquez sur Aide. Cliquez sur OK.
Dploiement du logiciel client avec Rechercher les ordinateurs non grs

Vous pouvez dployer le logiciel client en utilisant Rechercher les ordinateurs non grs dans la console de Symantec Endpoint Protection Manager. L'utilitaire vous permet de dcouvrir les ordinateurs client qui n'excutent pas le logiciel client et d'installer le logiciel client sur ces ordinateurs.
134
Utilisation des packages d'installation client Dploiement du logiciel client avec Rechercher les ordinateurs non grs
Remarque : Vous pouvez uniquement utiliser cet utilitaire pour dtecter des ordinateurs clients Windows. Les ordinateurs clients Mac sont rpertoris dans l'utilitaire comme Inconnu et les packages d'installation client Mac doivent tre dploys sparment.
Avertissement : Cet utilitaire dtecte et affiche une srie de priphriques de gestion de rseau dans l'onglet ordinateurs inconnus. Par exemple, cet utilitaire dtecte des interfaces de routeur et les place dans l'onglet ordinateurs inconnus. Soyez prudent lorsque vous dployez le logiciel client vers des priphriques qui apparaissent dans l'onglet ordinateurs non grs. Vrifiez que ces priphriques sont des cibles valides pour le dploiement du logiciel client. Vous pouvez galement dployer le logiciel client en utilisant l'Assistant de dploiement. Pour dployer le logiciel client en utilisant Rechercher les ordinateurs non grs
1 2 3
Dans la Console Symantec Endpoint Protection Manager, cliquez sur Clients. Dans le volet Tches, cliquez sur Rechercher les ordinateurs non grs. Dans la fentre Rechercher les ordinateurs non grs, sous Rechercher par, cochez Plage d'adresses IP et entrez les adresses IP de l'intervalle parcourir. L'analyse d'une plage de 100 adresses IP qui n'existent pas dure approximativement 5,5 minutes. Eventuellement, spcifiez un nom d'ordinateur.
Sous Informations d'ouverture de session, remplissez les zones de texte Nom d'utilisateur, Mot de passe et Domaine-Groupe de travail avec les informations d'authentification de connexion qui autorisent l'administration et l'installation. Cliquez sur Rechercher maintenant. Sur les onglets Ordinateurs inconnus ou Ordinateurs non grs, effectuez l'une des oprations suivantes :

5 6
Cochez chaque ordinateur sur lequel vous voulez installer le logiciel client. Cliquez sur Slectionner tout.
Sous Installation, slectionnez le package d'installation, l'option d'installation et les fonctions que vous voulez installer.
Utilisation des packages d'installation client A propos des ajouts de mises jour de packages d'installation client et mise niveau des clients
135
8 9
Pour effectuer l'installation sur un groupe autre que le groupe par dfaut, cliquez sur Modifier, slectionnez un groupe diffrent, puis cliquez sur OK. Quand vous tes prt installer le logiciel client, cliquez sur Dmarrer l'installation.
A propos des ajouts de mises jour de packages d'installation client et mise niveau des clients
Lorsque Symantec fournit des mises jour de packages d'installation client, vous devez tout d'abord les ajouter Symantec Endpoint Protection Manager et faire en sorte qu'ils puissent tre exports. Cependant, vous n'avez pas besoin de les rinstaller l'aide des outils de dploiement des clients. La meilleure mthode pour mettre jour les clients dans des groupes l'aide du logiciel le plus rcent consiste utiliser la console pour mettre jour le groupe contenant les clients. Vous devez d'abord mettre jour un groupe avec un nombre restreint d'ordinateurs de test. Vous pouvez galement mettre jour les clients l'aide de LiveUpdate si vous autorisez les clients excuter LiveUpdate et si la politique des paramtres LiveUpdate permet les mises jour. Se reporter "Gestion du contenu pour les clients" la page 140.
Ajouter des mises jour de packages d'installation client

Vous recevez des mises jour de packages d'installation client de Symantec, puis vous les ajoutez la base de donnes du site afin qu'ils puissent tre distribus par Symantec Endpoint Protection Manager. Vous pouvez ventuellement exporter les packages pendant cette procdure pour rendre le package disponible pour dploiement vers les ordinateurs qui ne contiennent pas le logiciel client. Se reporter "A propos des ajouts de mises jour de packages d'installation client et mise niveau des clients" la page 135. Remarque : Un package d'installation import se compose de deux fichiers. L'un de ces fichiers est nomm nom_produit.dat et l'autre nom_produit.info. Pour ajouter une mise jour de package d'installation client
1 2
Copiez le package sur un rpertoire de l'ordinateur qui excute Symantec Endpoint Protection Manager. Dans la console, cliquez sur Admin, puis cliquez sur Packages d'installation.
136
Utilisation des packages d'installation client Mettre niveau des clients dans un ou plusieurs groupes
3 4 5 6 7
Sous Tches, cliquez sur Ajouter un package d'installation client. Dans la bote de dialogue Ajouter un package d'installation client, saisissez le nom et la description du package. Cliquez sur Parcourir. Dans la bote de dialogue Slectionner le dossier, recherchez et slectionnez le fichier nom_produit.info du nouveau package, puis cliquez sur Slectionner. Dans l'invite de confirmation de russite qui s'affiche, effectuez l'une des oprations suivantes :
Si vous ne souhaitez pas exporter les fichiers d'installation et les rendre disponibles pour dploiement, cliquez sur Fermer. Vous avez termin cette procdure. Si vous ne souhaitez pas exporter les fichiers d'installation et les rendre disponibles pour dploiement, cliquez sur Exporter ce package et terminez la procdure.
8 9
Dans la bote de dialogue Exporter le package, cliquez sur Parcourir. Dans la bote de dialogue Slection d'un dossier d'exportation, cherchez et slectionnez le rpertoire qui contiendra le package export, puis cliquez sur OK. dfinissez les autres options selon vos objectifs d'installation.
10 Dans la bote de dialogue Exporter le package, slectionnez un groupe, puis 11 Pour obtenir des dtails relatifs la dfinition des autres options de cette
bote de dialogue, cliquez sur Aide.
12 Cliquez sur OK.
Mettre niveau des clients dans un ou plusieurs groupes

Vous pouvez mettre jour des clients un ou plusieurs groupes du volet Admin et du volet Client. Se reporter "A propos des ajouts de mises jour de packages d'installation client et mise niveau des clients" la page 135. Remarque : Vous avez un contrle trs suprieur sur la manire dont le package est distribu si vous mettez jour les clients partir du volet Clients.
Utilisation des packages d'installation client Supprimer des packages de mise niveau
137
Pour mettre jour des clients dans un ou plusieurs groupes de la page Admin
1 2 3 4
Dans la console, cliquez sur Admin, puis cliquez sur Packages d'installation. Sous Tches, cliquez sur le Mise niveau des groupes l'aide d'un package. Dans le panneau Assistant de mise niveau des groupes, cliquez sur Suivant. Dans le volet Slectionner un package d'installation client, sous Slectionner le nouveau package d'installation client, slectionnez le paquet ajout, puis cliquez sur Suivant. Dans le panneau Spcifiez des groupes, cochez les groupes que vous voulez mettre niveau puis cliquez sur Suivant. Dans le panneau Paramtres de mise niveau du package, cochez Tlcharger partir du serveur de gestion et cliquez sur Suivant. Dans le panneau Assistant de mise niveau des groupes termin, cliquez sur Terminer.
5 6 7
Pour mettre jour des clients dans un ou plusieurs groupes de la page Clients
1 2 3 4
Dans la console, cliquez sur Clients. Dans le volet Afficher les clients, slectionnez un groupe auquel vous avez attribu le package. Sous Tches, dans l'onglet Paquets d'installation, cliquez sur Ajouter un package d'installation client. Dans les onglets Gnral et Notification, dfinissez les paramtres relatifs la distribution de la mise jour. Pour des dtails sur la dfinition d'autres options, cliquez sur Aide.
Quand vous avez fini de configurer les options de distribution de mise jour, cliquez sur OK.
Supprimer des packages de mise niveau

Les packages de mise niveau sont enregistrs dans la base de donnes. Chacun de ces packages ncessite jusqu' 180 Mo d'espace dans la base de donnes ; il est donc conseill de supprimer les anciens packages de mise niveau des logiciels que vous n'utilisez plus. Vous ne supprimez pas les packages du systme de fichiers ; ils sont simplement supprims de la base de donnes. Le cas chant, il est donc possible de les rajouter ultrieurement. Se reporter "A propos des ajouts de mises jour de packages d'installation client et mise niveau des clients" la page 135.
138
Utilisation des packages d'installation client Supprimer des packages de mise niveau
Pour supprimer des packages de mise niveau
1 2 3 4 5
Dans la console, cliquez sur Admin. Sous Tches, cliquez sur Packages d'installation. Dans le volet Packages d'installation client, slectionnez le package supprimer. Sous Tches, cliquez sur Supprimer un package d'installation client. Dans la bote de dialogue Supprimer un package d'installation client, cliquez sur Oui.
Chapitre
Mise jour des dfinitions et du contenu


Gestion du contenu pour les clients A propos des types de contenu Dfinition de la manire dont les clients obtiennent le contenu Configuration d'un site pour tlcharger des mises jour A propos des tlchargements de contenu simultans A propos des politiques LiveUpdate A propos de l'utilisation des rvisions de contenu qui ne sont pas la dernire version Configuration d'une politique de paramtres LiveUpdate Configuration d'une politique de contenu LiveUpdate Affichage et modification rapide de la Politique de contenu LiveUpdate Distribuer le contenu l'aide des fournisseurs de mise jour groupe A propos de l'Intelligent Updater Utiliser l'Intelligent Updater pour tlcharger des mises jour du contenu d'antivirus pour la distribution A propos des fichiers utiliss dans la distribution tiers du contenu LiveUpdate A propos de l'utilisation d'outils de distribution tiers pour distribuer des mises jour de contenu aux clients grs
140
Mise jour des dfinitions et du contenu Gestion du contenu pour les clients
Activer la distribution de contenu tiers aux clients grs avec une politique de paramtres LiveUpdate Distribution du contenu aux clients grs par des outils de distribution tiers A propos de l'utilisation d'outils de distribution tiers pour distribuer des mises jour de contenu aux clients autogrs Excution de LiveUpdate sur un client partir de la console
Gestion du contenu pour les clients

Les clients reoivent priodiquement des mises jour des dfinitions de virus et de spyware, signatures IPS et logiciel du produit. LiveUpdate est le nom de la technologie qui distribue ces mises jour de contenu aux clients ou aux serveurs qui distribuent le contenu aux clients. Tableau 8-1 Tche
Dcider d'une mthode de distribution
Gestion de la mise jour du contenu
Description
Par dfaut, les clients obtiennent des mises jour du serveur de gestion par dfaut (Symantec Endpoint Protection Manager).
Remarque : Les clients Mac obtiennent des mises jour seulement partir d'un serveur
LiveUpdate interne ou externe. Typiquement, votre architecture rseau dtermine quelle mthode de distribution vous devriez utiliser. Utilisez une politique de paramtres LiveUpdate pour configurer la mthode de distribution. Vous pouvez galement configurer la planification pour que les clients reoivent le contenu directement de Symantec LiveUpdate. Se reporter "Dfinition de la manire dont les clients obtiennent le contenu" la page 142. Se reporter "Configuration d'une politique de paramtres LiveUpdate " la page 151.
Dcider ce que les Par dfaut, les ordinateurs client reoivent des mises jour pour tous les types de contenu. clients doivent Vous pouvez configurer une politique de contenu LiveUpdate pour contrler les types de mises tlcharger jour de contenu de vos clients. Ce type de politique n'est pas pris en charge pour les clients Symantec Network Access Control.
Remarque : Si vous utilisez le serveur de gestion par dfaut pour distribuer des mises jour
de contenu aux clients, le serveur de gestion doit galement tre configur pour tlcharger les mmes mises jour. Autrement, ces mises jour ne sont pas disponibles pour la distribution de groupe. Se reporter "A propos des types de contenu" la page 141.
Mise jour des dfinitions et du contenu A propos des types de contenu
141
Tche
Description
Configurer un site Le site qui inclut le serveur de gestion par dfaut doit enregistrer les mises jour du contenu pour tlcharger que vous voulez distribuer aux clients. des mises jour de Vous pouvez galement configurer la frquence laquelle le site reoit du contenu LiveUpdate. contenu Se reporter "Configuration d'un site pour tlcharger des mises jour" la page 147.
Remarque : Si la rplication est utilise, un seul site doit tre configur pour tlcharger des
fichiers de mise jour. La rplication met automatiquement jour l'autre base de donnes. Il est toutefois dconseill de rpliquer des mises jour de produit entre des sites. Ces mises jour peuvent tre assez grandes et il en existe une pour chaque langue que vous slectionnez. Si vous dcidez de tlcharger des mises jour de produit avec LiveUpdate vers Symantec Endpoint Protection Manager, les mises jour s'affichent automatiquement dans le volet de Packages d'installation. Vous pouvez alors mettre jour des clients avec une mise niveau automatique. Si vous utilisez cette approche pour le contrle de version, il est dconseill de slectionner des mises niveau automatiques de produits dans la politique de paramtres LiveUpdate. Si vous ne voulez pas utiliser LiveUpdate, vous pouvez utiliser Intelligent Updater pour tlcharger le contenu manuellement vers le serveur de gestion par dfaut. Vous pouvez ensuite distribuer le contenu avec des outils de gestion tiers. Se reporter "Utiliser l'Intelligent Updater pour tlcharger des mises jour du contenu d'antivirus pour la distribution" la page 167. Se reporter "Distribution du contenu aux clients grs par des outils de distribution tiers" la page 171.
A propos des types de contenu

Le contenu inclut des dfinitions de virus et de spyware, des signatures IPS et le logiciel produit. Utilisez les paramtres de proprits pour que le site contrle les tlchargements de contenu vers le serveur de gestion par dfaut. Utilisez une politique de contenu LiveUpdate pour contrler le type de contenu tlcharger vers les clients. Se reporter "Gestion du contenu pour les clients" la page 140. Remarque : Le contenu de LiveUpdate inclut les dfinitions et le contenu. Il n'inclut pas de mise jour de politique. Symantec Endpoint Protection Manager met jour les politiques des clients lorsque vous attribuez une nouvelle politique un groupe ou que vous modifiez une politique existante. Tableau 8-2 rpertorie les types de contenu.
142
Mise jour des dfinitions et du contenu Dfinition de la manire dont les clients obtiennent le contenu
Tableau 8-2 Type de contenu
Types de contenu Description

Inclut les mises jour de produit au logiciel client. Contient deux types de mises jour, une mise jour de version complte et une mise jour delta directe. Le type de mise jour est inclus dans le package de mise jour. Des packages spars de dfinition de virus sont disponibles pour les plates-formes x86 et x64. Prennent en charge le moteur de protection antivirus et antispyware et sont utilises pour dcomposer et lire les donnes enregistres dans divers formats. Protge contre des menaces d'attaque "Zero Day".
Mises jour du client Dfinitions de virus et de spyware
Signatures Dcomposer
Signatures heuristiques d'analyse proactive des menaces TruScan Liste d'application commerciale d'analyse proactive des menaces TruScan Signatures de Prvention d'intrusion Signatures de contrle des transmissions
Inclut les applications commerciales lgitimes ayant gnr des faux positifs dans le pass.
Protgent contre les menaces rseau et prend en charge les moteurs de prvention et de dtection d'intrusion. Contrle le flux de transmissions vers Symantec Security Response.
Modles d'intgrit de l'hte Incluent les conditions pr-dfinies qui imposent les correctifs mis jour et les mesures de scurit sur l'ordinateur client. Uniquement disponible dans la bote de dialogue Proprits de site lorsque vous installez Symantec Network Access Control.
Dfinition de la manire dont les clients obtiennent le contenu

Plusieurs mthodes de la distribution de contenu sont disponibles pour mettre jour des clients. Les mthodes de distribution de contenu utilise dpendent des facteurs suivants :

Installation du rseau Combien de clients grez-vous ?
143
Si vous grez des clients Windows et des clients Mac
Avertissement : Les clients Mac obtiennent des mises jour seulement partir d'un serveur LiveUpdate interne ou externe. Seuls les clients Windows obtiennent des mises jour partir du serveur de gestion par dfaut ou d'un fournisseur de mises jour groupes. Tableau 8-3 Mthode Description Mthodes de distribution de contenu et quand les utiliser Quand l'utiliser
Cette mthode est configure par dfaut aprs l'installation du serveur de gestion. Vous pouvez galement combiner cette mthode avec un fournisseur de mise jour groupe. Se reporter "Configuration d'une politique de paramtres LiveUpdate " la page 151. Utilisez cette mthode pour des groupes coexistant des emplacements distants avec un minimum de bande passante. En outre, cette mthode rduit la charge sur les serveurs de gestion. Notez qu'un Fournisseur de mise jour groupe distribue tous les types de contenu de LiveUpdate except les mises jour de logiciel client. Se reporter "Distribuer le contenu l'aide des fournisseurs de mise jour groupe" la page 156.
Symantec Endpoint Le serveur de gestion par dfaut peut mettre Protection Manager aux jour les clients qu'il gre. Votre rseau clients Symantec Endpoint Protection Manager peut comporter plusieurs serveurs de (par dfaut) gestion. Le site qui inclut les serveurs de gestion reoit le contenu de LiveUpdate.
Du fournisseur de mise Un fournisseur de mise jour groupe est jour groupe aux clients un client qui agit en tant que proxy entre Symantec Endpoint Protection Manager et les clients du groupe. Le fournisseur de mise jour groupe reoit des mises jour partir d'un serveur de gestion, puis fait suivre les mises jour aux autres clients du groupe. Un fournisseur de mise jour groupe peut mettre jour plusieurs groupes.
144
Mthode
Serveur LiveUpdate interne aux clients
Description
Les clients peuvent tlcharger des mises jour directement partir d'un serveur LiveUpdate interne qui reoit des mises jour de Symantec LiveUpdate. Vous pouvez installer un serveur LiveUpdate interne sur un ordinateur, que le logiciel Symantec Endpoint Protection Manager soit install ou pas. Dans les deux cas, vous devez utiliser l'utilitaire de l'administrateur de LiveUpdate pour mettre jour le serveur LiveUpdate. L'utilitaire de l'administrateur rcupre les mises jour des dfinitions depuis un serveur LiveUpdate de Symantec. Ensuite, l'utilitaire place les packages sur un serveur Web, un site FTP ou un emplacement dfini par un chemin d'accs UNC. Vous devez alors configurer vos serveurs de gestion de manire ce qu'ils rcuprent les mises jour des dfinitions partir de cet emplacement.
Quand l'utiliser
Utilisez un serveur LiveUpdate interne dans de grands rseaux pour rduire la charge sur le serveur Symantec Endpoint Protection Manager. Vous utilisez normalement un serveur LiveUpdate interne dans de grands rseaux de plus de 10 000 clients. Dans cette architecture, le serveur de gestion allge la fonctionnalit de mise jour du contenu LiveUpdate, mais traite toujours les mises jour des journaux et de la politique. Le serveur LiveUpdate interne est galement utile pour les rseaux excutant plusieurs produits Symantec qui excutent aussi LiveUpdate pour mettre jour des clients. Pour plus d'informations propos de l'installation d'un serveur LiveUpdate interne, consultez le Guide des utilisateurs administrateurs de LiveUpdate. Le guide est disponible sur le CD d'installation et sur le site du support de Symantec. Se reporter "Configuration d'une politique de paramtres LiveUpdate " la page 151.
Symantec LiveUpdate aux clients
Les clients peuvent recevoir des mises jour Utilisez un serveur Symantec LiveUpdate directement de Symantec LiveUpdate. externe pour les ordinateurs client autogrs qui ne sont pas toujours connects au rseau d'entreprise.
Remarque : Ne configurez pas un grand

nombre de clients grs et en rseau pour rcuprer des mises jour partir d'un serveur Symantec LiveUpdate externe. Cette configuration consomme des quantits inutiles de bande passante Internet. Se reporter "Configuration d'une politique de paramtres LiveUpdate " la page 151.
145
Mthode
Description
Quand l'utiliser
Distribution d'outil tiers Les outils tiers comme Microsoft SMS vous Utilisez cette mthode quand vous voulez permettent de distribuer des fichiers tester des fichiers de mise jour avant de (Non illustr) spcifiques de mise jour aux clients. les distribuer. En outre, utilisez cette mthode si vous avez une infrastructure de distribution d'outil tiers et si vous voulez bnficier de cette infrastructure. Se reporter "Distribution du contenu aux clients grs par des outils de distribution tiers" la page 171. Intelligent Updater Intelligent Updater tlcharge du contenu manuellement. Vous pouvez rcuprer des fichiers auto-extractibles Intelligent Updater partir du site Web de Symantec qui contiennent des fichiers de dfinitions de virus et de risque de scurit avec des extensions jdb et vdb. Les extensions ldb ne sont plus prises en charge. Pour recevoir d'autres fichiers de mise jour, vous devez installer et configurer un serveur de gestion pour tlcharger et planifier les fichiers de mise jour. Vous pouvez utiliser Intelligent Updater si vous ne voulez pas utiliser Symantec LiveUpdate ou si LiveUpdate n'est pas disponible. Se reporter "Utiliser l'Intelligent Updater pour tlcharger des mises jour du contenu d'antivirus pour la distribution" la page 167.
Figure 8-1 affiche un exemple d'architecture de distribution pour de plus petits rseaux.
146
Figure 8-1
Exemple d'architecture de distribution pour de plus petits rseaux
Symantec LiveUpdate
Serveur de gestion Groupe de clients
Serveur de gestion
Groupes de clients
Fournisseur de mise jour groupe (client)
Clients Groupe de clients
Figure 8-2 affiche un exemple d'architecture de distribution pour de plus grands rseaux.
Mise jour des dfinitions et du contenu Configuration d'un site pour tlcharger des mises jour
147
Figure 8-2
Exemple d'architecture de distribution pour de plus grands rseaux
Symantec LiveUpdate
Serveur interne LiveUpdate
Serveur interne LiveUpdate
Serveur de gestion
Groupes de clients
Groupes de clients
Configuration d'un site pour tlcharger des mises jour

Lorsque vous configurez un site pour tlcharger du contenu LiveUpdate, prenez les dcisions suivantes :
La frquence laquelle le site recherche les mises jour de contenu LiveUpdate. La planification par dfaut pour que Symantec Endpoint Protection Manager excute LiveUpdate toutes les 4 heures est la meilleure pratique. Remarque : Les sites tlchargent des fichiers MSP pour des mises jour de produits et crent ensuite de nouveaux fichier MSI. Les sites rpliquent des fichiers MSI si vous choisissez de rpliquer des mises jour de produits. Les fichiers MSP sont une fraction de la taille des fichiers MSI.
148
Mise jour des dfinitions et du contenu Configuration d'un site pour tlcharger des mises jour
Le type de contenu tlcharger vers le site. Assurez-vous que le site tlcharge toutes les mises jour de contenu spcifies dans les Politiques de contenu LiveUpdate client. La langue des types de mise jour tlcharger. Le serveur LiveUpdate qui sert le contenu au site. Vous pouvez spcifier un serveur Symantec LiveUpdate externe (recommand) ou bien un serveur LiveUpdate interne pralablement install et configur. Nombre de versions de contenu conserver et conservation ou non des packages client sous forme non compresse. Vous enregistrez des rvisions de contenu parce que vous pourriez vouloir tester le dernier contenu avant de le dployer pour tous vos clients. Vous pouvez souhaiter conserver des versions prcdentes du contenu de manire pouvoir revenir en arrire le cas chant. Remarque : Lorsque vous conservez un grand nombre de rvisions, plus d'espace disque est requis sur Symantec Endpoint Protection Manager.
Se reporter "Gestion du contenu pour les clients" la page 140. La configuration d'un site pour tlcharger des mises jour
1 2 3 4
Dans la console, cliquez sur Admin. Sous Tches, cliquez sur Serveurs. Dans le volet Affichage, cliquez avec le bouton droit de la souris sur Site local, puis cliquez sur Modifier. Dans la bote de dialogue Proprits de site, sur l'onglet LiveUpdate, sous Planification du tlchargement, dfinissez les options de planification dterminant la frquence laquelle le serveur doit rechercher des mises jour. Sous Type de contenu tlcharger, examinez la liste des types de mises jour tlchargs. Pour ajouter ou supprimer un type de mise jour, cliquez sur Modifier la slection, modifiez la liste, puis cliquez sur OK. La liste doit correspondre la liste des types de contenu que vous incluez dans la politique de contenu LiveUpdate pour vos ordinateurs client.
5 6
Sous Langues tlcharger, examinez la liste des langues des types de mises jour tlcharges.
Mise jour des dfinitions et du contenu A propos des tlchargements de contenu simultans
149
8 9
Pour ajouter ou supprimer une langue, cliquez sur Modifier la slection, modifiez la liste, puis cliquez sur OK. Sous Serveurs source LiveUpdate, examinez le serveur LiveUpdate actuel utilis pour mettre jour le serveur de gestion. Ce serveur est par dfaut le serveur Symantec LiveUpdate. Effectuez ensuite les oprations suivantes :

Pour utiliser le serveur source LiveUpdate existant, cliquez sur OK. Pour utiliser un serveur LiveUpdate interne, cliquez sur Modifier les serveurs source.
10 Si vous avez slectionn Modifier les serveurs source, dans la bote de

dialogue Serveurs LiveUpdate, cochez Utiliser un serveur LiveUpdate interne spcifique, puis cliquez sur Ajouter.
11 Dans la bote de dialogue Ajouter un serveur LiveUpdate, remplissez les

zones de texte avec les informations identifiant le serveur LiveUpdate, puis cliquez sur OK. Pour la prise en charge du basculement, vous pouvez installer, configurer et slectionner plus d'un serveur LiveUpdate. Si un serveur disparat hors ligne, l'autre serveur fournit la prise en charge.
12 Dans la bote de dialogue Serveurs LiveUpdate, cliquez sur OK. 13 Sous Gestion de l'espace disque pour les tlchargements, modifiez le nombre
de rvisions de contenu LiveUpdate conserver. Davantage d'espace disque est requis pour le stockage d'un grand nombre de rvisions de contenu. Les packages client qui sont conservs sous forme dveloppe requirent galement plus d'espace disque.
14 Vrifiez ou dslectionnez Stocker les packages client dcompresss pour

fournir une meilleure performance du rseau pour les mises niveau.
15 Cliquez sur OK.
A propos des tlchargements de contenu simultans

Symantec Endpoint Protection Manager prend en charge la slection alatoire des tlchargements de contenu simultans vers vos clients du serveur de gestion par dfaut ou d'un fournisseur de mise jour groupe. Il prend en charge galement la slection alatoire des tlchargements de contenu d'un serveur LiveUpdate vos clients. La slection alatoire rduit le trafic rseau maximal et est active par dfaut. Vous pouvez activer ou dsactiver la fonction de slection alatoire. Le paramtre par dfaut est activ. Vous pouvez galement configurer une fentre de slection
150
Mise jour des dfinitions et du contenu A propos des politiques LiveUpdate
alatoire. Le serveur de gestion utilise la fentre de slection alatoire pour dcaler la synchronisation des tlchargements de contenu. Typiquement, vous ne devriez pas devoir modifier les paramtres par dfaut de slection alatoire. Dans certains cas, cependant, vous pourriez vouloir augmenter la valeur de la fentre de slection alatoire. Par exemple, vous pourriez excuter le client Symantec Endpoint Protection sur plusieurs ordinateurs virtuels sur le mme ordinateur physique que celui qui excute le serveur de gestion. La valeur de slection alatoire la plus leve amliore les performances du serveur mais retarde les mises jour du contenu sur les ordinateurs virtuels. Vous pourriez galement vouloir augmenter la fentre de slection alatoire quand vous avez beaucoup d'ordinateurs client physiques qui se connectent un serveur unique qui excute le serveur de gestion. Gnralement plus le ratio client/serveur est lev, plus vous pourriez vouloir dfinir la fentre de slection alatoire. La valeur de slection alatoire la plus leve diminue la charge maximale sur le serveur mais retarde les mises jour du contenu sur les ordinateurs client. Dans un scnario o vous avez trs peu de clients et voulez la livraison du contenu rapidement, vous pouvez dfinir la fentre de slection alatoire une valeur moindre. La valeur de slection alatoire plus basse augmente la charge maximale sur le serveur mais fournit une livraison de contenu plus rapide aux clients. Pour des tlchargements depuis le serveur de gestion par dfaut ou un Fournisseur de mise jour groupe, vous configurez les paramtres de slection alatoire dans la bote de dialogue Paramtres de communication pour le groupe slectionn. Les paramtres ne font pas partie de la Politique de paramtres LiveUpdate. Pour des tlchargements d'un serveur LiveUpdate vos clients, vous configurez le paramtre de slection alatoire en tant qu'lment de Politique de paramtres LiveUpdate. Se reporter "Configuration d'une politique de paramtres LiveUpdate " la page 151.
A propos des politiques LiveUpdate

Il existe deux types de politiques LiveUpdate. L'un est appel Politique des paramtres de LiveUpdate et s'applique aux clients Symantec Endpoint Protection et Symantec Network Access Control. L'autre est appel Politique de contenu LiveUpdate et ne s'applique qu'aux clients Symantec Endpoint Protection. La politique des paramtres de LiveUpdate spcifie les ordinateurs avec lesquels les clients communiquent pour rechercher les mises jour et contrle la frquence de recherche des mises jour. S'il y a lieu, vous pouvez appliquer cette politique des emplacements spcifiques d'un groupe.
Mise jour des dfinitions et du contenu A propos de l'utilisation des rvisions de contenu qui ne sont pas la dernire version
151
Se reporter "Configuration d'une politique de paramtres LiveUpdate " la page 151. La politique de contenu LiveUpdate spcifie les types de mises jour que les clients sont autoriss rechercher et installer. Pour chaque type, vous pouvez spcifier que les clients recherchent et installent la dernire mise jour. Vous pouvez galement spcifier une version d'une mise jour que les clients installent s'ils n'excutent pas cette version. Vous ne pouvez pas appliquer cette politique des emplacements spcifiques d'un groupe. Vous pouvez seulement appliquer cette politique au niveau du groupe. Se reporter "Configuration d'une politique de contenu LiveUpdate" la page 153.
A propos de l'utilisation des rvisions de contenu qui ne sont pas la dernire version
Si vous stockez les versions multiples de mmoire du contenu dans Symantec Endpoint Protection Manager, vous pourriez vouloir spcifier une rvision particulire dans votre politique de contenu LiveUpdate. Par exemple, vous pouvez tester la dernire rvision avant de la dployer pour les clients. Vous pouvez spcifier une rvision antrieure dans la politique. Dans certains cas, la rvision qui est spcifie dans la politique ne correspond pas aux rvisions qui sont enregistres sur Symantec Endpoint Protection Manager. Par exemple, vous pourriez importer une politique qui met en rfrence une rvision qui n'existe pas sur le serveur. Ou, vous pourriez rpliquer les politiques mais pas le contenu LiveUpdate d'un autre site. Dans les deux cas, la politique indique que la rvision n'est pas disponible. Mme si la rvision n'est pas disponible sur le serveur, les clients qui utilisent la politique sont encore protgs. Les clients utilisent la dernire rvision du contenu. Se reporter "Configuration d'une politique de contenu LiveUpdate" la page 153.
Configuration d'une politique de paramtres LiveUpdate

Quand vous ajoutez et appliquez une politique de paramtres LiveUpdate, vous devez envisager la frquence laquelle vous voulez que les ordinateurs client recherchent des mises jour. La configuration par dfaut est toutes les 4 heures. Vous devez galement savoir partir d'o vous voulez que vos ordinateurs client recherchent et rcuprent des mises jour. Vous souhaitez gnralement que les ordinateurs client recherchent et obtiennent les mises jour partir de Symantec
152
Mise jour des dfinitions et du contenu Configuration d'une politique de paramtres LiveUpdate
Endpoint Protection Manager. Aprs avoir cr votre politique, vous pouvez l'attribuer un ou plusieurs groupes et emplacements. Remarque : Les clients Mac obtiennent les mises jour de LiveUpdate ou manuellement. Se reporter "Utiliser l'Intelligent Updater pour tlcharger des mises jour du contenu d'antivirus pour la distribution" la page 167.
Remarque : Il existe un paramtre avanc permettant aux utilisateurs de dmarrer manuellement LiveUpdate partir de leurs ordinateurs client. Ce paramtre est dsactiv par dfaut. Si vous activez ce paramtre, les utilisateurs peuvent dmarrer LiveUpdate et tlcharger les dernires dfinitions de virus, mises jour de composants et mises jour des produits. Selon la taille de votre population d'utilisateurs, il se peut que vous ne vouliez pas permettre aux utilisateurs de tlcharger tout le contenu sans test pralable. En outre, des conflits peuvent se produire si deux sessions de LiveUpdate s'excutent simultanment sur des ordinateurs client. Par dfaut, les utilisateurs ne sont pas autoriss tlcharger des mises jour de produit provenant d'un serveur LiveUpdate. Vous pouvez modifier ce paramtre dans le panneau Paramtres avancs de la politique LiveUpdate.
Remarque : Les utilisateurs peuvent toujours excuter LiveUpdate sur des clients Mac. Vous pouvez empcher seulement des clients Windows d'excuter LiveUpdate. Les mises jour de produit partir d'un serveur LiveUpdate, cependant, peuvent tre restreintes sur des clients Mac et Windows. Si vous restreignez des mises jour de produit de LiveUpdate sur un client Mac, vous devez les fournir manuellement. Les clients Mac ne peuvent pas obtenir des mises jour du serveur de gestion. Pour configurer une politique de paramtres LiveUpdate
1 2 3 4 5
Dans la console, cliquez sur Politiques. Sous Afficher les politiques, cliquez sur LiveUpdate. Sur l'onglet Paramtres LiveUpdate, sous Tches, cliquez sur Ajouter une politique de paramtre LiveUpdate. Dans le volet Prsentation, dans la zone Nom de la politique, tapez le nom de la politique. Sous Politique LiveUpdate, cliquez sur Paramtres du serveur.
Mise jour des dfinitions et du contenu Configuration d'une politique de contenu LiveUpdate
153
Dans le volet Paramtres du serveur, sous Serveur LiveUpdate interne ou externe, slectionnez au moins une mthode de distribution de contenu. La plupart des organisations doivent utiliser le serveur de gestion par dfaut. Si vous slectionnez le serveur de gestion par dfaut dans un environnement qui contient des ordinateurs Mac et Windows, les clients Mac obtiennent leurs mises jour du serveur LiveUpdate par dfaut. Se reporter "Dfinition de la manire dont les clients obtiennent le contenu" la page 142.
7 8 9
Si vous avez slectionn Utiliser un serveur LiveUpdate, sous Politique LiveUpdate, cliquez sur Planifier. Dans le volet Planification, validez ou modifiez les options de planification. Si vous avez coch Utiliser un serveur LiveUpdate, sous Politique LiveUpdate, cliquez sur Paramtres avancs.
10 Dcidez si vous voulez garder ou modifier les paramtres par dfaut.

Gnralement, il n'est pas souhaitable que les utilisateurs modifient les paramtres de mise jour. Cependant, vous pouvez souhaiter leur permettre de lancer manuellement une session LiveUpdate si vous ne prenez pas en charge des centaines ou des milliers de clients.
11 Quand vous avez configur votre politique, cliquez sur OK. 12 Dans la bote de dialogue Attribuer la politique, effectuez l'une des oprations
suivantes :
Cliquez sur Oui pour enregistrer et attribuer la politique un groupe ou l'emplacement d'un groupe. Cliquez sur Non pour enregistrer la politique seulement.
13 Si vous avez cliqu sur Oui, dans la bote de dialogue Attribuer la politique
LiveUpdate, vrifiez les groupes et les emplacements auxquels la politique doit tre attribue, puis cliquez sur Attribuer. Si vous ne pouvez pas slectionner un groupe imbriqu, ce groupe hrite des politiques partir d'un groupe parent, comme dfini dans l'onglet Politiques de la page Clients.
Configuration d'une politique de contenu LiveUpdate

Par dfaut, tous les clients Symantec Endpoint Protection d'un groupe reoivent les dernires versions de tout le contenu et de toutes les mises jour du produit. Si un groupe de clients obtient des mises jour via un serveur de gestion, les clients ne reoivent que les mises jour que le serveur est configur pour
154
Mise jour des dfinitions et du contenu Configuration d'une politique de contenu LiveUpdate
tlcharger. Par exemple, vous pourriez configurer la politique de contenu LiveUpdate pour permettre toutes les mises jour. Si le serveur de gestion n'est pas configur pour tlcharger toutes les mises jour, les clients reoivent uniquement ce que le serveur tlcharge. Se reporter "Configuration d'un site pour tlcharger des mises jour" la page 147. Si un groupe est configur pour obtenir des mises jour d'un serveur LiveUpdate, les clients de ce groupe reoivent toutes les mises jour autorises dans la politique de contenu LiveUpdate. Si la Politique de contenu LiveUpdate spcifie une rvision prcise du contenu, les clients ne reoivent pas le contenu le plus rcent disponible. Vous pouvez spcifier que vos clients reoivent une rvision spcifique. Avec cette configuration, vous pouvez d'abord essayer la dernire version avant de la distribuer aux clients. Pendant cet essai, vos clients utilisent la rvision spcifie. Aprs l'essai, vous pouvez modifier la Politique de contenu LiveUpdate pour spcifier que les clients reoivent la dernire version du contenu. Remarque : L'utilisation des rvisions spcifiques fournit la fonctionnalit de restauration. Pour configurer une politique de contenu LiveUpdate
1 2 3 4 5 6 7
Dans la console, cliquez sur Politiques. Sous Afficher les politiques, cliquez sur LiveUpdate. Cliquez dans l'onglet Contenu LiveUpdate. Sous Tches, cliquez sur Ajouter une politique de contenu LiveUpdate. Dans le volet Prsentation, dans la zone Nom de la politique, tapez le nom de la politique. Dans le volet Contenu LiveUpdate, cliquez sur Dfinitions de scurit. Dans le volet Dfinitions de scurit, slectionnez les mises jour tlcharger et installer, et dslectionnez les mises jour dsactiver. Remarque : Les clients Mac peuvent installer seulement des mises jour aux dfinitions d'antivirus et d'antispyware.
Pour chaque mise jour, faites une des oprations suivantes :

Cochez Utiliser le dernier disponible Cochez Slectionner une rvision
Mise jour des dfinitions et du contenu Affichage et modification rapide de la Politique de contenu LiveUpdate
155
Pour continuer, effectuez l'une des oprations suivantes :
Si vous n'avez pas coch Slectionner une rvision pour un type de mise jour, cliquez sur OK, puis passez l'tape 12. Si vous avez coch Slectionner une rvision pour un type de mise jour, cliquez sur Modifier, puis passez l'tape suivante.
10 Dans la bote de dialogue Slectionner une rvision, dans la colonne Rvision,

slectionnez la rvision utiliser, puis cliquez sur OK.
11 Dans la fentre Contenu LiveUpdate, cliquez sur OK. 12 Dans la bote de dialogue Attribuer la politique, cliquez sur Oui.
Vous pouvez aussi annuler cette procdure et attribuer la politique ultrieurement.
13 Dans la bote de dialogue Attribuer la politique de contenu LiveUpdate,

slectionnez un ou plusieurs groupes auxquels cette politique doit tre attribue, puis cliquez sur Attribuer.
Affichage et modification rapide de la Politique de contenu LiveUpdate

Les Politiques de contenu LiveUpdate sont appliques aux groupes et tous les emplacements disponibles dans des groupes. A la diffrence de plusieurs autres types de politique, une Politique de contenu LiveUpdate n'est pas spcifique un emplacement. Se reporter "Configuration d'une politique de contenu LiveUpdate" la page 153. Vous pouvez consulter et modifier rapidement la Politique LiveUpdate dans la console partir de l'onglet Clients. Pour afficher et modifier la politique de contenu LiveUpdate applique un groupe
1 2 3 4
Dans la console, cliquez sur Politiques et crez au moins deux politiques de contenu LiveUpdate. Appliquez l'une des politiques un groupe. Cliquez sur Clients. Sur l'onglet Politiques, dans le volet droit, sous Paramtres, cliquez sur Paramtres de la politique de contenu LiveUpdate.
156
Mise jour des dfinitions et du contenu Distribuer le contenu l'aide des fournisseurs de mise jour groupe
Dans la bote de dialogue Politique de contenu LiveUpdate, notez le nom de la politique en cours d'utilisation sous Spcifier la Politique de contenu LiveUpdate utiliser pour ce groupe. Pour modifier la politique applique ce groupe, slectionnez la politique utiliser, puis cliquez sur OK.
Distribuer le contenu l'aide des fournisseurs de mise jour groupe

Un fournisseur de mise jour groupe est un ordinateur client que vous dsignez pour distribuer localement des mises jour du contenu aux clients. Un fournisseur de mise jour groupe tlcharge des mises jour de contenu du serveur de gestion et distribue les mises jour aux clients. Un fournisseur de mise jour groupe vous aide conomiser la bande passante en dbarquant la puissance traitante du serveur au fournisseur de mise jour groupe. Un fournisseur de mise jour groupe est idal pour fournir des mises jour de contenu aux clients qui ont un accs rseau limit au serveur. Vous pouvez utiliser un fournisseur de mise jour groupe pour conomiser la bande passante aux clients sur un site distant l'aide d'un lien lent. Tableau 8-4 Etape
Etape 1
Gestion de fournisseurs de mise jour groupe Description

Avant que vous configuriez des fournisseurs de mise jour groupe, vrifiez que les clients peuvent recevoir des mises jour du contenu du serveur. Rsolvez les problmes de communication client serveur. Vous pouvez afficher l'activit de serveur client dans les journaux systme. Se reporter "Affichage des journaux" la page 296.
Opration
Vrification de la communication des clients
157
Etape
Etape 2
Opration
Configuration des fournisseurs de mise jour groupe
Description
Vous configurez des fournisseurs de mise jour groupe en spcifiant des paramtres dans la politique de paramtres LiveUpdate. Vous pouvez configurer un unique fournisseur de mise jour groupe ou des fournisseurs de mise jour groupe multiples. Se reporter "Configurer un Fournisseur de mise jour groupe" la page 162.
Etape 3
Attribution de la politique de Vous attribuez la politique de paramtres paramtres LiveUpdate aux LiveUpdate aux groupes qui utilisent les groupes fournisseurs de mise jour groupe. Vous attribuez galement la politique au groupe dans lequel le fournisseur de mise jour groupe rside. Pour un unique fournisseur de mise jour groupe, vous attribuez une politique de paramtres LiveUpdate par groupe par site. Pour les fournisseurs de mise jour groupe multiples, vous attribuez une politique de paramtres LiveUpdate aux groupes multiples travers des sous-rseaux. Se reporter "Affectation d'une politique partage" la page 105. Se reporter "A propos des types de fournisseurs de mise jour groupe" la page 158.
Etape 4
Vrification que les clients sont indiqus comme fournisseurs de mise jour groupe
Vous pouvez afficher les ordinateurs client qui sont indiqus comme fournisseurs de mise jour groupe. Vous pouvez rechercher des ordinateurs client pour afficher une liste de fournisseurs de mise jour groupe. Les proprits d'un ordinateur client s'affichent galement si c'est un fournisseur de mise jour groupe. Se reporter "Recherche des clients agissant en tant que fournisseurs de mise jour groupe" la page 165. Se reporter "Affichage des proprits d'un client" la page 76.
158
A propos des types de fournisseurs de mise jour groupe

Vous pouvez configurer deux types de fournisseurs de mise jour groupe : un fournisseur unique de mise jour groupe ou des fournisseurs multiples de mise jour groupe :
Fournisseur unique de mise jour groupe Un fournisseur unique de mise jour groupe est un ordinateur client ddi qui fournit le contenu pour un ou plusieurs groupes de clients. Il peut s'agir d'un ordinateur client de n'importe quel groupe. Pour configurer un fournisseur unique de mise jour groupe, spcifiez l'adresse IP ou le nom d'hte de l'ordinateur client que vous voulez dsigner comme fournisseur de mise jour groupe. Fournisseur de mise jour groupe multiple Les fournisseurs de mises jour groupes multiples utilisent un jeu de rgles, ou des critres, afin de se dsigner pour servir des groupes de clients travers des sous-rseaux. Pour configurer des fournisseurs de mise jour groupe multiples, spcifiez les critres auxquels les ordinateurs client doivent rpondre pour pouvoir tre dfinis en tant que fournisseur de mise jour groupe. Si un ordinateur client rpond aux critres, Symantec Endpoint Protection Manager ajoute le client sa liste de fournisseurs de mise jour groupe. Symantec Endpoint Protection Manager rend alors la liste disponible tous les clients dans votre rseau. Les clients vrifient la liste et choisissent le fournisseur de mise jour groupe qui se trouve dans leur sous-rseau. Vous pouvez galement configurer un fournisseur de mise jour groupe unique et ddi pour distribuer le contenu aux clients quand le fournisseur de mise jour groupe local n'est pas disponible.
Utilisez une politique de paramtres LiveUpdate pour configurer le type de fournisseur de mise jour groupe. Le type que vous configurez dpend de la faon dont votre rseau est paramtr et si votre rseau inclut des clients hrits.
159
Tableau 8-5
Quand utiliser un type particulier de fournisseur de mise jour groupe Quand l'utiliser
Type de fournisseur de mise jour groupe

Unique
Utilisez un fournisseur unique de mise jour groupe quand votre rseau comporte l'un des scnarios suivants : Votre rseau inclut des clients hrits Les clients hrits peuvent obtenir du contenu d'un fournisseur unique de mise jour groupe ; ils peuvent galement tre dsigns comme fournisseurs de mise jour groupe. Les clients hrits ne prennent pas en charge les fournisseurs de mise jour groupe multiples. Vous voulez utiliser le mme fournisseur de mise jour groupe pour tous vos ordinateurs client Vous pouvez utiliser une politique unique de paramtres de contenu LiveUpdate pour spcifier une adresse IP statique ou un nom d'hte pour un fournisseur unique de mise jour groupe. Toutefois, si l'emplacement des clients change, vous devez modifier l'adresse IP dans la politique. Si vous voulez utiliser diffrents fournisseurs de mise jour groupe dans diffrents groupes, vous devez crer une politique de paramtres LiveUpdate distincte pour chaque groupe.
Se reporter "Configurer un fournisseur unique de mise jour groupe" la page 163.
160
Type de fournisseur de mise jour groupe

Multiple
Quand l'utiliser
Utilisez les fournisseurs de mise jour groupe multiples quand votre rseau comporte l'un des scnarios suivants : Vous excutez le dernier logiciel client sur les ordinateurs de votre rseau. Les fournisseurs de mises jour groupes multiples sont pris en charge sur les ordinateurs qui excutent le dernier logiciel client. Les fournisseurs de mises jour groupes multiples ne sont pas pris en charge par les clients hrits. Les clients hrits ne peuvent pas obtenir de contenu des fournisseurs de mise jour groupe multiples. Ils ne peuvent pas tre dfinis comme fournisseurs de mise jour groupe mme s'ils rpondent aux critres pour les fournisseurs de mise jour groupe multiples. Vous pouvez crer une politique de paramtres LiveUpdate distincte et configurer un fournisseur unique et statique de mise jour groupe pour un groupe de clients hrits Vous disposez de groupes multiples et voulez utiliser diffrents fournisseurs de mise jour groupe pour chaque groupe Vous pouvez utiliser une politique spcifiant des rgles pour la dfinition de fournisseurs de mise jour groupe multiples. Si l'emplacement des clients change, vous ne devez pas mettre jour la politique de paramtres LiveUpdate. Symantec Endpoint Protection Manager combine les fournisseurs de mise jour groupe multiples travers les sites et les domaines. Elle rend la liste disponible tous les clients de tous les groupes de votre rseau. Les fournisseurs de mises jour groupes multiples peuvent fonctionner comme mcanisme de basculement. Ils augmentent la probabilit qu'au moins un fournisseur de mise jour groupe soit disponible dans chaque sous-rseau.
Se reporter "Configurer des fournisseurs de mise jour groupe multiples" la page 164.
A propos de la configuration de rgles pour les fournisseurs de mise jour groupe multiples
Les fournisseurs de mises jour groupes multiples utilisent des rgles pour dterminer les ordinateurs client qui agissent en tant que fournisseurs de mise jour groupe. Les rgles sont structures comme suit :
161
Jeux de rgles Un jeu de rgles inclut les rgles auxquelles un client doit correspondre pour agir en tant que fournisseur de mise jour groupe. Rgles Les rgles peuvent spcifier des adresses IP, des noms d'hte, des cls de registre Windows client ou des systmes d'exploitation client. Vous pouvez inclure chaque type de rgle dans un jeu de rgles. Conditions des rgles Une rgle spcifie une condition laquelle un client doit rpondre pour agir en tant que fournisseur de mise jour groupe. Si une rgle spcifie une condition avec des valeurs multiples, le client doit rpondre l'une des valeurs. Types de rgles Description
Cette rgle spcifie les adresses IP client ou les noms d'hte.
Tableau 8-6 Type de rgle

Adresse IP ou nom d'hte Cls de registre
Cette rgle spcifie les cls de registre client Windows.
Systme d'exploitation Cette rgle spcifie les systmes d'exploitation client.
La correspondance des rgles est tablie sur la base des oprateurs logiques OR et AND comme suit :
La correspondance aux jeux de rgles multiples est tablie sur la base de l'oprateur OR. Un client doit correspondre un jeu de rgles. La correspondance aux rgles multiples est tablie sur la base de l'oprateur AND. Un client doit correspondre toutes les rgles spcifies dans un jeu de rgles. La correspondance aux valeurs multiples pour une condition de rgle est tablie sur la base de oprateur OR. Un client doit correspondre une valeur.
Par exemple, vous pouvez crer un Jeu de rgles 1 qui inclut une rgle d'adresse IP avec plusieurs adresses IP. Vous pouvez ensuite crer un Jeu de rgles 2 qui inclut une rgle de nom d'hte et une rgle de systme d'exploitation contenant chacune des valeurs multiples. Un ordinateur client doit correspondre soit au Jeu de rgles 1, soit au Jeu de rgles 2. Un client rpond au Jeu de rgles 1 s'il correspond l'une des adresses IP. Un client rpond au Jeu de rgles 2 s'il correspond l'un des noms d'hte ou l'un des systmes d'exploitation. Se reporter "Configurer des fournisseurs de mise jour groupe multiples" la page 164.
162
Configurer un Fournisseur de mise jour groupe

Configurez un Fournisseur de mise jour groupe en spcifiant les paramtres dans la politique Paramtres LiveUpdate. Vous pouvez configurer la politique Paramtres LiveUpdate afin que les clients n'obtiennent des mises jour que du Fournisseur de mise jour groupe, jamais du serveur. Vous pouvez spcifier le moment auquel les clients doivent contourner le Fournisseur de mise jour groupe. Vous pouvez configurer les paramtres de tlchargement et de stockage des mises jour de contenu sur l'ordinateur du Fournisseur de mise jour groupe. Vous pouvez galement configurer le type de Fournisseur de mise jour groupe. Remarque : Si le Fournisseur de mise jour groupe excute un pare-feu non compatible Symantec, vous pouvez devoir modifier le pare-feu pour permettre au port TCP de recevoir des communications du serveur. Par dfaut, la politique de pare-feu Symantec est correctement configure. Pour configurer un Fournisseur de mise jour groupe
1 2 3 4 5 6
Dans la console, cliquez sur Politiques. Sous Afficher les politiques, cliquez sur LiveUpdate. Dans le volet Politiques LiveUpdate, dans l'onglet Paramtres LiveUpdate, slectionnez la politique modifier. Dans le volet Tches, cliquez sur Modifier la politique. Dans la fentre Politique LiveUpdate, cliquez sur Paramtres du serveur. Sur la page Paramtres du serveur, sous Serveur LiveUpdate interne ou externe, cochez l'option Utiliser le serveur de gestion par dfaut (ordinateurs Windows seulement). Ne cochez pas l'option Utiliser un serveur LiveUpdate. Le Fournisseur de mise jour groupe que vous configurez agit en tant que serveur LiveUpdate par dfaut.
7 8
Sous Fournisseur de mise jour groupe, cochez l'option Utiliser un fournisseur de mises jour groupes. Cliquez sur Fournisseur de mise jour groupe.
163
Dans la bote de dialogue Fournisseur de mise jour groupe, configurez le type de Fournisseur de mise jour groupe. Remarque : Les clients hrits peuvent ne peuvent utiliser qu'un seul Fournisseur de mise jour groupe. Les clients hrits ne prennent pas en charge plusieurs Fournisseurs de mise jour groupe. Se reporter "Configurer un fournisseur unique de mise jour groupe" la page 163. Se reporter "Configurer des fournisseurs de mise jour groupe multiples" la page 164.
10 Dans la bote de dialogue Fournisseur de mise jour groupe, configurez les

options permettant de contrler le mode de tlchargement et de stockage de contenu dans l'ordinateur du Fournisseur de mise jour groupe. Pour plus d'informations sur le tlchargement de contenu, cliquez sur Aide.
11 Cliquez sur OK.

Se reporter "Distribuer le contenu l'aide des fournisseurs de mise jour groupe" la page 156.
Configurer un fournisseur unique de mise jour groupe

Vous ne pouvez configurer qu'un seul fournisseur unique de mise jour groupe par politique de paramtres LiveUpdate et par groupe. Pour crer un fournisseur unique de mise jour groupe pour des sites multiples, vous devez crer un groupe et une politique de paramtres LiveUpdate par site.
164
Pour configurer un fournisseur unique de mise jour groupe
Suivez les tapes pour configurer un fournisseur de mise jour groupe. Se reporter "Configurer un Fournisseur de mise jour groupe" la page 162.
Dans la bote de dialogue Fournisseur de mise jour groupe, cochez Adresse IP ou nom d'hte du fournisseur de mises jour groupes unique sous Slection de fournisseur de mises jour groupes pour le client. Dans la zone de texte Adresse IP ou nom d'hte du fournisseur de mises jour groupes unique, saisissez l'adresse IP ou le nom d'hte de l'ordinateur client qui agit en tant que fournisseur unique de mise jour groupe. Cliquez sur Aide pour plus d'informations au sujet de l'adresse IP ou du nom d'hte. Se reporter "A propos des types de fournisseurs de mise jour groupe" la page 158. Se reporter "Configurer des fournisseurs de mise jour groupe multiples" la page 164. Se reporter "Distribuer le contenu l'aide des fournisseurs de mise jour groupe" la page 156.
Configurer des fournisseurs de mise jour groupe multiples

Vous pouvez configurer des fournisseurs de mise jour groupe multiples en spcifiant des critres dans la politique de paramtres LiveUpdate. Les clients utilisent les critres pour dterminer s'ils peuvent agir en tant que fournisseur de mise jour groupe. Pour configurer les fournisseurs de mise jour groupe multiples
Suivez les tapes pour configurer un fournisseur de mise jour groupe. Se reporter "Configurer un Fournisseur de mise jour groupe" la page 162.
Dans la bote de dialogue Fournisseur de mise jour groupe, cochez Fournisseurs de mises jour groupes multiples sous Slection de fournisseur de mises jour groupes pour le client. Cliquez sur Configurer la liste des fournisseurs de mises jour groupes. Dans la bote de dialogue Liste Fournisseur de mise jour groupe, slectionnez le nud d'arborescence Fournisseur de mise jour groupe. Cliquez sur Ajouter pour ajouter un jeu de rgles.
3 4 5
165
Dans la liste droulante Cocher de la bote de dialogue Spcifiez les critres de rgles des fournisseurs de mises jour groupes, slectionnez l'une de options suivantes :

Adresse IP ou nom d'hte de l'ordinateur Cls de registre Systme d'exploitation
7 8
Si vous avez slectionn Adresse IP/nom d'hte de l'ordinateur ou Cls de registre, cliquez sur Ajouter. Saisissez ou slectionnez l'adresse IP, le nom d'hte, la cl de registre Windows ou les donnes du systme d'exploitation. Cliquez sur Aide pour plus d'informations sur la configuration des rgles. Se reporter "A propos de la configuration de rgles pour les fournisseurs de mise jour groupe multiples" la page 160.
Cliquez sur OK jusqu' revenir la bote de dialogue Fournisseur de mise jour groupe. si ncessaire d'autres jeux de rgles.
10 Dans la bote de dialogue Liste Fournisseur de mise jour groupe, ajoutez 11 Saisissez une adresse IP ou un nom d'hte de fournisseur de mise jour
groupe dans la zone de texte Spcifiez le nom d'hte ou l'adresse IP d'un fournisseur de mises jour groupes sur un autre sous-rseau utiliser si les fournisseurs de mises jour groupes sur le sous-rseau local ne sont pas disponibles.
12 Cliquez sur OK.

Se reporter "Distribuer le contenu l'aide des fournisseurs de mise jour groupe" la page 156.
Recherche des clients agissant en tant que fournisseurs de mise jour groupe
Vous pouvez vrifier que les clients sont disponibles comme fournisseurs de mise jour groupe. Vous pouvez afficher une liste des fournisseurs de mise jour groupe en les recherchant dans l'onglet Clients. Remarque : Vous pouvez galement vrifier les proprits d'un client. Les proprits incluent un champ qui indique si le client est un fournisseur de mise jour groupe.
166
Mise jour des dfinitions et du contenu A propos de l'Intelligent Updater
Pour rechercher les clients agissant en tant que fournisseurs de mise jour groupe
1 2 3 4 5 6 7 8
Dans la console, cliquez sur Clients. Dans la zone de texte Afficher de l'onglet Clients de la page Clients, slectionnez Etat du client. Dans le volet Tches, cliquez sur Recherche de clients. Dans la zone de texte Dcouverte, slectionnez Ordinateurs. Dans la zone de texte Dans le groupe, spcifiez le nom du groupe. Dans la colonne Champ de recherche sous Critres de recherche, slectionnez Fournisseur de mise jour groupe. Dans la colonne Oprateur de comparaison sous Critres de recherche, slectionnez =. Dans la colonne Valeur sous Critres de recherche, slectionnez Vrai. Cliquez sur Aide pour plus d'informations sur les critres de recherche.
Cliquez sur Rechercher. Se reporter "Distribuer le contenu l'aide des fournisseurs de mise jour groupe" la page 156.
A propos de l'Intelligent Updater

Vous pouvez utiliser l'Intelligent Updater pour tlcharger des mises jour du contenu de virus et de risque de scurit sur votre serveur de gestion. Symantec recommande que vous utilisiez LiveUpdate pour mettre jour le contenu. Cependant, dans les situations o vous ne voulez pas utiliser LiveUpdate ou si LiveUpdate n'est pas disponible, vous pouvez utiliser l'Intelligent Updater. Aprs le tlchargement des fichiers, vous pouvez utiliser votre mthode de distribution prfre pour mettre jour vos clients. Remarque : L'Intelligent Updater fournit seulement des mises jour du contenu de virus et de risque de scurit. Il ne fournit des mises jour pour aucun autre type de contenu. Intelligent Updater est disponible sous la forme d'un seul fichier ou d'un package segment, distribu sur plusieurs fichiers plus petits. Le fichier unique est destin aux ordinateurs dots de connexions rseau. Le package segment est destin aux ordinateurs qui n'ont pas de connexions rseau, d'accs Internet ou de lecteur de CD-ROM. Copiez le package segment sur le support amovible pour la distribution.
Mise jour des dfinitions et du contenu Utiliser l'Intelligent Updater pour tlcharger des mises jour du contenu d'antivirus pour la distribution
167
Se reporter "Utiliser l'Intelligent Updater pour tlcharger des mises jour du contenu d'antivirus pour la distribution" la page 167. Remarque : Des dfinitions antivirus et antispyware sont contenues dans les fichiers vdb et jdb que vous pouvez distribuer. Les fichiers vdb prennent en charge les clients 32 bits seulement. Les fichiers jdb prennent en charge les clients 32 bits et les clients 64 bits. Ce sont les fichiers que vous placez dans les botes de rception de l'ordinateur client. Vous pouvez tlcharger des mises jour partir du site suivant : ftp://ftp.symantec.com/AVDEFS/symantec_antivirus_corp/
Utiliser l'Intelligent Updater pour tlcharger des mises jour du contenu d'antivirus pour la distribution
Pour distribuer seulement les mises jour de virus et de risque de scurit, tlchargez le nouvel Intelligent Updater. Puis, utilisez votre mthode de distribution prfre pour fournir les mises jour vos clients. Remarque : Actuellement, Intelligent Updater met seulement jour les virus et les mises jour de risque de scurit. Veillez utiliser les fichiers Intelligent Updater pour la version entreprise plutt que ceux destins la version grand public du produit. Se reporter "A propos de l'Intelligent Updater" la page 166. Pour tlcharger Intelligent Updater
Dans votre navigateur Web, accdez l'URL suivant : http://www.symantec.com/business/security_response/definitions/download/ detail.jsp?gid=savce
2 3
Cliquez sur le fichier de produit avec l'extension .exe appropri. Quand un message vous demande de choisir un emplacement o enregistrer les fichiers, slectionnez un dossier sur votre disque dur.
Pour installer les fichiers de dfinitions de virus et de risques de scurit
1 2
Localisez le fichier Intelligent Updater que vous avez tlcharg depuis Symantec. Double-cliquez sur le fichier et suivez les instructions affiches l'cran.
168
Mise jour des dfinitions et du contenu A propos des fichiers utiliss dans la distribution tiers du contenu LiveUpdate
A propos des fichiers utiliss dans la distribution tiers du contenu LiveUpdate

La procdure Symantec Endpoint Protection relative aux outils tiers de distribution utilise un fichier nomm index2.dax. Le contenu LiveUpdate du fichier index2.dax comporte un ensemble de noms de contenu ainsi que leurs numros de squence associs. Chaque nom de contenu correspond un type de contenu particulier. Chaque numro de squence du fichier index2.dax correspond une rvision d'un type de contenu particulier. Vous pouvez voir l'association entre le nom et son type de contenu en ouvrant le fichier ContentInfo.txt. Le fichier se trouve gnralement dans \Program Files\Symantec\Symantec Endpoint Protection Manager\Inetpub\content folder. Vous pouvez par exemple obtenir l'entre suivante :
{C60DC234-65F9-4674-94AE-62158EFCA433}: SESC Virus Definitions Win32 v11 - MicroDefsB.CurDefs - SymAllLanguages
Chaque groupe de clients possde un fichier index2.dax. Ce fichier est situ dans le dossier correspondant au numro de srie de la politique du groupe. Le numro de srie est rpertori dans la bote de dialogue Proprits du groupe. Les quatre premires valeurs hexadcimales du numro de srie doivent concorder avec celles de l'un des noms de dossier. Le fichier index2.dax est chiffr. Pour consulter le contenu du fichier, ouvrez le fichier index2.xml, lequel est disponible dans le mme dossier. Vous pouvez afficher une liste des monikers de contenu avec leur numro de squence (rvision). Vous pouvez par exemple obtenir l'entre suivante :
<File Checksum="191DEE487AA01C3EDA491418B53C0ECC" DeltaFlag="1" FullSize="30266080" LastModifiedTime="1186471722609" Moniker= "{C60DC234-65F9- 4674-94AE-62158EFCA433}" Seq="80806003"/>
La politique de contenu LiveUpdate sur les clients auxquels vous distribuez du contenu prsente une rvision de contenu particulire ou le contenu le plus rcent. Le numro de squence situ dans le fichier index2.dat que vous utilisez pour la distribution doit concorder avec le numro de squence correspondant au contenu indiqu dans la politique de contenu LiveUpdate du groupe. Par exemple, si la politique de contenu LiveUpdate est dfinie sur "Utiliser le dernier disponible" pour tous les types de contenu, le numro de squence de chaque type de contenu est dfini sur le dernier contenu disponible sur Symantec Endpoint Protection Manager. Dans cet exemple, la distribution ne fonctionne que si le fichier index2.dat que vous utilisez pour la distribution fait appel aux numros de
Mise jour des dfinitions et du contenu A propos de l'utilisation d'outils de distribution tiers pour distribuer des mises jour de contenu aux clients grs
169
squence (rvisions) correspondant la dernire rvision de contenu. La distribution choue si les numros de squence correspondent d'autres rvisions. Se reporter "Distribution du contenu aux clients grs par des outils de distribution tiers" la page 171.
A propos de l'utilisation d'outils de distribution tiers pour distribuer des mises jour de contenu aux clients grs
Les grands rseaux peuvent dpendre d'outils de distribution tiers comme IBM Tivoli, Microsoft SMS, etc., pour distribuer des mises jour aux ordinateurs client. Le logiciel client Symantec prend en charge la distribution de mise jour avec ces outils. Pour utiliser les outils de distribution tiers, vous devez obtenir les fichiers de mise jour et les distribuer avec un outil de distribution. Pour les clients grs, vous pouvez obtenir les fichiers de mise jour aprs avoir install et configur un serveur Symantec Endpoint Protection Management en tant que seul serveur d'un site. Vous planifiez et slectionnez alors les mises jour du contenu de LiveUpdate tlcharger sur le site. Se reporter "Configuration d'un site pour tlcharger des mises jour" la page 147. Les fichiers de mise jour sont tlchargs dans des sous-rpertoires du rpertoire (par dfaut) suivant : \Program Files\Symantec Endpoint Protection Manager\data\outbox\ Vous distribuez ensuite les fichiers au dossier de bote de rception des ordinateurs client. Par dfaut, ce dossier n'existe pas et le logiciel client ne vrifie pas et ne traite pas le contenu de ce dossier. Pour les clients grs, vous devez configurer une politique de paramtres LiveUpdate pour le groupe, activer la distribution tiers aux clients du groupe et appliquer la politique. Le dossier de bote de rception s'affiche alors sur les ordinateurs client du groupe. Pour les clients non grs, vous devez activer manuellement une cl de registre de Windows sur les ordinateurs client. Le dossier de bote de rception s'affiche dans l'emplacement suivant sur les ordinateurs client qui n'excutent pas Windows Vista : \\Documents and Settings\All Users\Application Data\Symantec\ Symantec Endpoint Protection\inbox\
170
Mise jour des dfinitions et du contenu Activer la distribution de contenu tiers aux clients grs avec une politique de paramtres LiveUpdate
Le dossier de bote de rception s'affiche dans l'emplacement suivant sur les ordinateurs client qui excutent Windows Vista : \\Program Data\Symantec\Symantec Endpoint Protection\inbox\ Se reporter "Distribution du contenu aux clients grs par des outils de distribution tiers" la page 171.
Activer la distribution de contenu tiers aux clients grs avec une politique de paramtres LiveUpdate
Quand vous crez une politique LiveUpdate qui prend en charge la distribution de contenu tiers aux clients grs, vous avez deux ou trois buts supplmentaires. L'un est de rduire la frquence avec laquelle les clients recherchent des mises jour. L'autre est typiquement de dsactiver la capacit des utilisateurs client d'effectuer LiveUpdate manuellement. Les clients grs sont grs l'aide des politiques Symantec Endpoint Protection Manager. Lorsque vous avez termin cette procdure, le rpertoire suivant s'affiche sur les ordinateurs client du groupe qui n'excute pas Windows Vista : \\Documents and Settings\All Users\Application Data\Symantec\ Symantec Endpoint Protection\inbox\ Le rpertoire suivant s'affiche sur les ordinateurs client du groupe qui excute Windows Vista : \\Program Data\Symantec\Symantec Endpoint Protection\inbox\ Pour activer la distribution de contenu tiers aux clients grs avec une politique LiveUpdate
1 2 3
Dans la console, cliquez sur Politiques. Sous Afficher les politiques, cliquez sur LiveUpdate. Dans le volet Politiques LiveUpdates, dans l'onglet de Paramtres LiveUpdate, sous Tches, cliquez sur Ajouter une politique de paramtres LiveUpdate. Dans la fentre Politique LiveUpdate, dans les zones de texte Nom de la politique et Description, saisissez un nom et la description. Cliquez sur Paramtres du serveur. Sous Gestion tierce, cochez l'option Activer la gestion du contenu tiers. Dcochez toutes les autres options de la source LiveUpdate. Cliquez sur OK.
4 5 6 7 8
Mise jour des dfinitions et du contenu Distribution du contenu aux clients grs par des outils de distribution tiers
171
Dans la bote de dialogue Assigner la politique, cliquez sur Oui. Vous pouvez aussi annuler cette procdure et attribuer la politique ultrieurement.
10 Dans la bote de dialogue Assigner la politique LiveUpdate, slectionnez un

ou plusieurs groupes auxquels cette politique doit tre attribue, puis cliquez sur Assigner.
Distribution du contenu aux clients grs par des outils de distribution tiers
Aprs avoir activ la gestion du contenu tiers dans la politique LiveUpdate, localisez Symantec Endpoint Protection Manager et copiez-y le contenu. Une fois que vous avez localis et copi le contenu, vous pouvez le distribuer aux clients. Vous pouvez galement choisir le type de contenu que vous souhaitez copier et distribuer. Se reporter "A propos de l'utilisation d'outils de distribution tiers pour distribuer des mises jour de contenu aux clients grs" la page 169. Se reporter "A propos de l'utilisation d'outils de distribution tiers pour distribuer des mises jour de contenu aux clients autogrs" la page 173. Remarque : Si vous enregistrez les fichiers de mise jour sur des ordinateurs client avant de les placer dans le rpertoire /inbox, vous devez alors copier les fichiers. Les fichiers ne peuvent pas tre dplacs. Vous pouvez galement copier les fichiers .vdb et .jdb vers la bote de rception en vue de leur traitement. Pour distribuer du contenu aux clients grs par des outils de distribution tiers
1 2 3 4
Sur l'ordinateur qui excute Symantec Endpoint Protection Manager, crez un rpertoire de rfrence tel que \Work_Dir. Dans la console, sous l'onglet Clients, cliquez avec le bouton droit de la souris sur le groupe pour le mettre jour, puis cliquez sur Proprits. Documentez les quatre premires valeurs hexadcimales de Numro de srie de la politique, tel que 7B86. Naviguez vers le rpertoire suivant : \\Program Files\Symantec\Symantec Endpoint Protection Manager\data\outbox\agent
172
Mise jour des dfinitions et du contenu Distribution du contenu aux clients grs par des outils de distribution tiers
Recherchez le rpertoire qui contient les quatre premires valeurs hexadcimales correspondant au numro de srie de la politique de votre groupe de clients. Ouvrez ce rpertoire puis copiez index2.dax sur votre rpertoire de rfrence, tel que \Work_Dir.dax. Naviguez vers le rpertoire suivant : \\Program Files\Symantec\Symantec Endpoint Protection Manager\Inetpub\content
6 7
Ouvrez et lisez le fichier ContentInfo.txt pour dcouvrir les donnes que chaque rpertoire <<moniker cible>> contient. Le contenu de chaque rpertoire est <<moniker cible>>\<num squence>\full.zip|full.
Copiez le contenu de chaque rpertoire \<<moniker cible>> vers votre rpertoire de rfrence tel que \Work_Dir. cible>> de sorte que seuls la structure de rpertoires et le fichier suivants demeurent dans votre rpertoire de rfrence : \\Work_Dir\<<target moniker>>\<dernier numro de squence>\full.zip Votre rpertoire de travail contient maintenant la structure de rpertoires et les fichiers distribuer aux clients.
10 Supprimez tous les fichiers et rpertoires de chaque rpertoire \<<moniker
11 Utilisez vos outils de distribution tiers pour distribuer le contenu de \Work_Dir

vers le rpertoire \\Symantec Endpoint Protection\inbox\ des clients de votre groupe. Le rsultat final doit s'apparenter aux chanes suivantes : \\Symantec Endpoint Protection\inbox\index2.dax \\Symantec Endpoint Protection\inbox\<<moniker cible>>\<dernier numro de squence>\full.zip Si les fichiers disparaissent laissant la boite de rception vide. Si le rpertoire \inbox\invalid\ apparat, cela signifie que vous devez ressayer.
Mise jour des dfinitions et du contenu A propos de l'utilisation d'outils de distribution tiers pour distribuer des mises jour de contenu aux clients autogrs
173
A propos de l'utilisation d'outils de distribution tiers pour distribuer des mises jour de contenu aux clients autogrs
Pour des raisons de scurit, si vous avez install des clients autogrs partir du CD-ROM d'installation, les clients ne font pas confiance et ne traitent pas le contenu ou les mises jour de la politique de LiveUpdate. Pour permettre ces clients de traiter les mises jour, vous devez crer la cl de registre Windows suivante : HKLM\Software\Symantec\Symantec Endpoint Protection\SMC\TPMState Dfinissez une valeur hexadcimale 80 de sorte que la cl ressemble 0x00000080 (128) Une fois la cl dfinie, vous devez redmarrer l'ordinateur ou excuter les commandes suivantes depuis le rpertoire Symantec\Symantec Endpoint Protection\ :
smc.exe -stop smc.exe -start
Le dossier de bote de rception apparat dans l'emplacement suivant sur les ordinateurs client qui n'excutent pas Windows Vista : \\Documents and Settings\All Users\Application Data\Symantec\ Symantec Endpoint Protection\inbox\ Le dossier de bote de rception apparat dans l'emplacement suivant sur les ordinateurs client qui excutent Windows Vista : \\Program Data\Symantec\Symantec Endpoint Protection\inbox\ Vous pouvez maintenant utiliser les outils de distribution tiers pour copier le contenu ou les mises jour de la politique sur ce rpertoire. Le logiciel client Symantec fait confiance la source et traite le contenu. La distribution du contenu partir du module Symantec Endpoint Protection Manager s'effectue presque de la mme manire que pour les clients grs. Cependant, copiee index2.xml de Mon entreprise, au lieu de copier index2.dax partir de votre rpertoire de groupe de client gr. Copiez le fichier full.dax comme dcrit pour le client gr. Vous pouvez alors distribuer ces fichiers. Vous pouvez galement dposer des fichiers .vdb et de .jdb dans la bote de rception client pour le traitement.
174
Mise jour des dfinitions et du contenu Excution de LiveUpdate sur un client partir de la console
Remarque : Si vous placez les fichiers de mise jour sur les ordinateurs, vous devez les copier dans la bote de rception. Les fichiers de mise jour ne sont pas traits si vous les dplacez vers la bote de rception.
Remarque : Aprs une installation de client rseau, la cl de registre Windows de TPMState existe avec une valeur de 0, que vous pouvez modifier. (Cette cl n'existe pas aprs une installation de client autogr.) En outre, pour une installation de client rseau, il n'est pas ncessaire de redmarrer l'ordinateur ou d'excuter la commande smc.exe. Le rpertoire apparat ds que la cl de registre Windows est modifie. Se reporter "Distribution du contenu aux clients grs par des outils de distribution tiers" la page 171. Se reporter "A propos de l'utilisation d'outils de distribution tiers pour distribuer des mises jour de contenu aux clients grs" la page 169.
Excution de LiveUpdate sur un client partir de la console

Vous pouvez mettre jour le contenu des clients en lanant LiveUpdate partir de la console. Vous pouvez excuter une commande sur un seul client ou sur un groupe de clients. Les clients reoivent le dernier contenu de Symantec LiveUpdate. Une autre possibilit consiste lancer une session LiveUpdate et excuter une analyse sur demande. Se reporter "Excution de commandes sur des clients partir de la console" la page 81. Pour excuter LiveUpdate sur un client partir de la console
1 2
Dans la console, cliquez sur Clients et slectionnez un groupe sous Afficher les clients. Dans l'onglet Clients, effectuez l'une des oprations suivantes :
Pour tous les ordinateurs et utilisateurs d'un mme groupe, cliquez avec le bouton droit de la souris sur le groupe, puis slectionnez Excuter la commande sur le groupe. Pour les ordinateurs ou utilisateurs slectionns au sein d'un groupe, slectionnez le groupe, cliquez avec le bouton droit de la souris sur les ordinateurs ou les utilisateurs, puis slectionnez Excuter la commande sur les clients.
175
Effectuez l'une des oprations suivantes :

Slectionnez Actualiser le contenu. Slectionnez Actualiser le contenu et analyser.

Si vous avez slectionn Mettre jour le contenu, cliquez sur Oui. Si vous avez slectionn Actualiser le contenu et analyser, slectionnez le type d'analyse, cliquez sur OK, puis cliquez sur Oui.
176
Chapitre
Affichage des fonctions dans l'interface utilisateur client


A propos de l'accs l'interface client Verrouillage et dverrouillage des paramtres grs Modification du niveau de contrle de l'utilisateur Protection du client par mot de passe
A propos de l'accs l'interface client

Vous pouvez dterminer le niveau d'interaction que vous voulez que les utilisateurs aient sur le client Symantec Endpoint Protection. Choisissez les fonctions que les utilisateurs peuvent configurer. Par exemple, vous pouvez contrler le nombre de notifications qui s'affichent et limiter la capacit des utilisateurs crer des rgles de filtrage et des analyses d'antivirus. Vous pouvez galement donner aux utilisateurs l'accs complet l'interface utilisateur. Les fonctions que les utilisateurs peuvent personnaliser pour l'interface utilisateur sont appeles paramtres grs. L'utilisateur n'a pas accs toutes les fonctions client comme la protection par mot de passe. Pour dterminer le niveau de l'interaction utilisateur, vous pouvez personnaliser l'interface utilisateur des faons suivantes :
Pour les paramtres antivirus et antispyware, vous pouvez verrouiller ou dverrouiller les paramtres.
178
Affichage des fonctions dans l'interface utilisateur client Verrouillage et dverrouillage des paramtres grs
Pour les paramtres de pare-feu, des paramtres de prvention d'intrusion et pour quelques paramtres client d'interface utilisateur, vous pouvez dfinir le niveau de contrle de l'utilisateur et configurer les paramtres associs. Vous pouvez protger le client par mot de passe. Se reporter "Protection du client par mot de passe" la page 185.
Verrouillage et dverrouillage des paramtres grs

Pour dterminer les paramtres de protection antivirus et antispyware et de protection contre les interventions que les utilisateurs peuvent configurer sur le client, vous pouvez verrouiller ou dverrouiller celles-ci. Les utilisateurs peuvent configurer les paramtres dverrouills, mais pas les paramtres verrouills. Seuls les administrateurs de Symantec Endpoint Protection Manager peuvent configurer les paramtres verrouills. Tableau 9-1 Icne Icnes de cadenas verrouill et dverrouill Signification de l'icne
Le paramtre est dverrouill et les utilisateurs peuvent le modifier dans l'interface utilisateur client. Sur le client, l'icne de cadenas n'apparat pas et l'option est disponible. Le paramtre est verrouill et les utilisateurs ne peuvent pas le modifier dans l'interface utilisateur client. Sur le client, le cadenas verrouill s'affiche et l'option est grise.
Vous verrouillez et dverrouillez les paramtres sur les pages ou les botes de dialogue sur lesquelles ils apparaissent. Pour verrouiller et dverrouiller les paramtres grs
Ouvrez une politique antivirus et antispyware. Se reporter "Modifier une politique" la page 104.
Sur la page antivirus et antispyware, cliquez sur l'une des pages suivantes :

Auto-Protect pour le systme de fichiers Auto-Protect pour le courrier lectronique Internet Auto-Protect pour Microsoft Outlook Auto-Protect pour Lotus Notes Analyses proactives des menaces TruScan
Affichage des fonctions dans l'interface utilisateur client Modification du niveau de contrle de l'utilisateur
179
Transmissions Divers
3 4
Cliquez sur l'icne de cadenas pour verrouiller ou dverrouiller le paramtre. Si vous avez termin de configurer cette politique, cliquez sur OK. Vous pouvez aussi verrouiller et dverrouiller les paramtres de protection contre les interventions. Se reporter "Configuration de la protection contre les interventions" la page 422.
Modification du niveau de contrle de l'utilisateur

Vous pouvez dterminer quels fonctions de protection contre les menaces rseau et paramtres client d'interface utilisateur sont disponibles pour que les utilisateurs configurent sur Symantec Endpoint Protection le client. Pour dterminer quels paramtres sont disponibles, vous spcifiez le niveau de contrle de l'utilisateur. Le niveau de commande d'utilisateur dtermine si le client peut tre compltement invisible, afficher un ensemble de fonctions partiel ou afficher une pleine interface utilisateur. Remarque : Le client Symantec Network Access Control s'excute uniquement en contrle de serveur. Les utilisateurs ne peuvent configurer aucun paramtre d'interface utilisateur.
180
Tableau 9-2
niveaux de contrle de l'utilisateur
Niveau de contrle de Description l'utilisateur

Contrle du serveur Donne aux utilisateurs le niveau de contrle minimum sur le client. Le contrle de serveur verrouille les paramtres grs de sorte que les utilisateurs ne puissent pas les configurer. Le contrle de serveur a les caractristiques suivantes : Les utilisateurs ne peuvent pas configurer ou activer les rgles de filtrage, les paramtres spcifiques des applications, les configurations de pare-feu, les paramtres de prvention d'intrusion ou les journaux de protection contre les menaces rseau et de gestion des clients. Tous les paramtres des rgles de filtrage et de scurit du client se configurent dans Symantec Endpoint Protection Manager. Les utilisateurs peuvent afficher des journaux, l'historique du trafic du client et la liste des applications que le client excute. Vous pouvez configurer certains paramtres d'interface utilisateur et notifications de pare-feu pour qu'ils s'affichent ou non sur le client. Par exemple, vous pouvez masquer l'interface utilisateur client.
Les paramtres que vous dfinissez sur le contrle de serveur s'affichent obscurcis ou ne sont pas visibles dans l'interface utilisateur client. Lorsque vous crez un nouvel emplacement, l'emplacement est automatiquement dfini sur contrle de serveur. Contrle client Donne aux utilisateurs la plupart de contrle du client. La commande client dverrouille les paramtres grs de sorte que les utilisateurs puissent les configurer. La commande client a les caractristiques suivantes : Les utilisateurs peuvent configurer ou activer des rgles de filtrage, des paramtres spcifiques des applications, des paramtres du pare-feu, des paramtres de prvention d'intrusion et des paramtres d'interface utilisateur client. Le client ignore les rgles de filtrage que vous configurez pour le client.
Vous pouvez donner le contrle client aux ordinateurs client que les employs utilisent sur un site distant ou domicile.
181
Niveau de contrle de Description l'utilisateur

Contrle mixte Donne l'utilisateur un contrle mixte sur le client. Le contrle mixte a les caractristiques suivantes : Les utilisateurs peuvent configurer les rgles de filtrage et les paramtres spcifiques des applications. Vous pouvez configurer les rgles de filtrage, qui peuvent remplacer ou non les rgles que les utilisateurs configurent. La position des rgles de serveur dans la liste Rgles de la politique de pare-feu dtermine si les rgles de serveur remplacent des rgles client. Vous pouvez spcifier certains paramtres pour qu'ils soient disponibles ou non sur le client pour que les utilisateurs les activent et les configurent. Ces paramtres incluent les journaux de protection contre les menaces rseau, les journaux de gestion des clients, les configurations de pare-feu, les paramtres de prvention d'intrusion et des paramtres d'interface utilisateur. Vous pouvez configurer des paramtres d'antivirus et de protection antispyware pour remplacer le paramtre sur le client, mme si le paramtre est dverrouill. Par exemple, si vous dverrouillez la fonction Auto-Protect et l'utilisateur la dsactive, vous pouvez activer Auto-Protect.
Les paramtres que vous dfinissez sur le contrle client sont la disposition de l'utilisateur. Les paramtres que vous dfinissez sur le contrle de serveur s'affichent obscurcis ou ne sont pas visibles dans l'interface utilisateur client. Se reporter "A propos du contrle mixte" la page 182.
Certains paramtres grs ont des dpendances. Par exemple, les utilisateurs peuvent avoir la permission de configurer des rgles de filtrage, mais ne peuvent pas accder l'interface utilisateur client. Puisque les utilisateurs n'ont pas accs dans la bote de dialogue Configurer les rgles de filtrage, ils ne peuvent pas crer des rgles. Vous pouvez dfinir un niveau diffrent de contrle d'utilisateur pour chaque emplacement. Remarque : Les clients qui s'excutent sous contrle client ou mixte passent sous contrle serveur quand le serveur applique une politique de quarantaine.
182
Pour modifier le niveau de contrle de l'utilisateur :
1 2 3 4
Dans la console, cliquez sur Clients. Sous Afficher les clients, slectionnez le groupe dont vous voulez modifier l'emplacement. Cliquez sur l'onglet Politiques. Sous Politiques et paramtres dpendants de l'emplacement, sous l'emplacement que vous voulez modifier, dveloppez Paramtres spcifiques aux emplacements. A droite de Paramtres de contrle d'interface utilisateur du client, cliquez sur Tches > Modifier les paramtres. Dans la bote de dialogue Paramtres de contrle de l'interface utilisateur du client, choisissez une des options suivantes :
5 6
Cliquez sur Contrle du serveur et puis cliquez sur Personnaliser. Configurez l'un des paramtres et cliquez sur OK. Cliquez sur Contrle client. Cliquez sur Contrle mixte et puis cliquez sur Personnaliser. Configurez l'un des paramtres et cliquez sur OK. Se reporter "A propos du contrle mixte" la page 182. Pour le client Symantec Network Access Control, vous pouvez cliquer sur Afficher le client et Afficher l'icne de la zone de notification.
Cliquez sur OK.
A propos du contrle mixte

Pour les clients en contrle mixte, vous pouvez dterminer les options que vous voulez que les utilisateurs configurent ou pas. Les options gres incluent des paramtres dans une politique de pare-feu, une politique de prvention d'intrusion et les paramtres d'interface utilisateur client. Vous pouvez attribuer chaque option au contrle serveur ou au contrle client. En contrle client, seul l'utilisateur peut activer ou dsactiver le paramtre. En contrle serveur, vous seul pouvez activer ou dsactiver le paramtre. Contrle client est le niveau de contrle d'utilisateur par dfaut. Si vous attribuez une option au contrle de serveurs, vous devez ensuite configurer le paramtre dans la page ou la bote de dialogue correspondante de la console de Symantec Endpoint Protection Manager. Par exemple, vous pouvez activer les paramtres du pare-feu dans la politique de pare-feu. Vous pouvez configurer les journaux dans la bote de dialogue Paramtres de journalisation client dans l'onglet Politiques de la page Clients.
183
Vous pouvez configurer les types de paramtres suivants :
paramtres de l'interface utilisateur ; Se reporter "Configuration des paramtres d'interface utilisateur" la page 183. paramtres de protection contre les menaces rseau gnrales ; Se reporter "Configurer des paramtres de protection contre les menaces rseau pour la commande mlange" la page 559. paramtres de politique de pare-feu ; Se reporter "A propos de l'utilisation des politiques de pare-feu" la page 518. paramtres de politique de prvention d'intrusion. Se reporter "Configuration de la prvention d'intrusion" la page 544.
Configuration des paramtres d'interface utilisateur

Vous pouvez configurer les paramtres d'interface utilisateur sur le client en effectuant l'une ou l'autre des tches suivantes :
Dfinissez le niveau de contrle de l'utilisateur du client la commande de serveur. Dfinissez le niveau de contrle de l'utilisateur du client sur le contrle mixte et dfinissez la fonction parente dans l'onglet Paramtres de contrle du client/serveur sur Serveur. Par exemple, vous pouvez dfinir l'option Afficher/Masquer l'icne de la zone de notification sur Client. L'icne de zone de notification s'affiche sur le client et l'utilisateur peut choisir d'afficher ou masquer l'icne. Si vous dfinissez l'option Afficher/Masquer l'icne de la zone de notification sur Serveur, vous pouvez choisir d'afficher l'icne de zone de notification sur le client.
Pour configurer des paramtres d'interface utilisateur dans le contrle mixte :
Modifiez le niveau de commande d'utilisateur contrle mixte. Se reporter "Modification du niveau de contrle de l'utilisateur" la page 179.
Dans la bote de dialogue Paramtres de contrle de l'interface utilisateur du client pour nom d'emplacement, prs de Commande mixte, cliquez sur Personnaliser. Dans la bote de dialogue Paramtres de contrle mixtes de l'interface utilisateur du client, dans l'onglet Paramtres de contrle du client/serveur, faites l'une des actions suivantes :
Verrouillez une option de sorte que vous puissiez la configurer seulement du serveur. Pour l'option que vous voulez verrouiller, cliquez sur Serveur.
184
Tous les paramtres de protections antivirus et antispyware configurs sur le serveur remplacent les paramtres du client.
Dverrouillez une option de sorte que l'utilisateur puisse la configurer sur le client. Pour l'option que vous voulez, cliquez sur Client. Le client est slectionn par dfaut pour tous les paramtres, l'exception des paramtres antivisus et antispyware.
Pour les options suivantes configures sur le serveur, cliquez sur l'onglet Paramtres client d'interface utilisateur pour les configurer :
Afficher/Masquer l'icne de zone de notification Afficher l'icne de zone de notification
Activer/Dsactiver la protection contre Permettre aux utilisateurs d'activer et de les menaces rseau dsactiver la protection contre les menaces rseau Commande de menu Tester la scurit Permettre aux utilisateurs de raliser un rseau essai de scurit Configurer les paramtres de trafic IP non apparis Autorise le trafic d'IP ou seulement le trafic d'application, et invite l'utilisateur avant de permettre le trafic d'application Afficher les notifications de prvention d'intrusion
Afficher/Masquer les notifications de prvention d'intrusion
Pour plus d'informations sur l'emplacement de la console o configurer les options restantes dfinies sur Serveur, cliquez sur Aide. Pour activer les paramtres du pare-feu et de prvention d'intrusion, configurez-les dans la politique de pare-feu et la politique de prvention d'intrusion. Se reporter "Activation du filtrage de trafic intelligent" la page 537. Se reporter "Activation des paramtres de trafic et des paramtres furtifs" la page 538. Se reporter "Configuration de la prvention d'intrusion" la page 544.
5 6 7
Dans l'onglet Paramtres de l'interface utilisateur du client, slectionnez la case cocher de l'option de sorte que l'option soit disponible sur le client. Cliquez sur OK. Cliquez sur OK.
Affichage des fonctions dans l'interface utilisateur client Protection du client par mot de passe
185
Pour configurer des paramtres d'interface utilisateur dans le contrle du serveur :
Modifiez le niveau de commande d'utilisateur contrle mixte. Se reporter "Modification du niveau de contrle de l'utilisateur" la page 179.
Dans la bote de dialogue Paramtres de contrle de l'interface utilisateur du client pour nom d'emplacement, prs de Commande de serveur, cliquez sur Personnaliser. Dans la bote de dialogue Paramtres de l'interface utilisateur du client, slectionnez la case cocher d'une option de sorte que l'option s'affiche sur le client pour tre utilise. Cliquez sur OK. Cliquez sur OK.
4 5
Protection du client par mot de passe

Vous pouvez augmenter la scurit de l'entreprise en requrant la protection par mot de passe sur l'ordinateur client toutes les fois que les utilisateurs effectuent certaines tches. Vous pouvez exiger des utilisateurs qu'ils saisissent un mot de passe lorsqu'ils essayent de faire une des actions suivantes :

Ouvrir l'interface utilisateur du client. arrter le client ; importer et exporter la politique de scurit ; dsinstaller le client.
Vous pouvez modifier des paramtres de protection par mot de passe seulement pour les sous-groupes qui n'hritent pas d'un groupe parent. Se reporter "A propos de l'accs l'interface client" la page 177. Pour protger le client par mot de passe :
1 2 3 4
Dans la console, cliquez sur Clients. Sous Afficher les clients, slectionnez le groupe pour lequel vous voulez installer la protection par mot de passe. Dans l'onglet Politiques, sous Politiques et paramtres indpendants de l'emplacement, cliquez sur Paramtres gnraux. Cliquez sur Paramtres de scurit.
186
Affichage des fonctions dans l'interface utilisateur client Protection du client par mot de passe
Dans l'onglet Paramtres de scurit, choisissez l'une des cases cocher suivantes :

Exiger un mot de passe pour l'ouverture de l'interface utilisateur du client Exiger un mot de passe pour l'arrt du service client Exiger un mot de passe pour l'importation et l'exportation des politiques Exiger un mot de passe pour la dsinstallation du client
Dans la zone de texte Mot de passe, saisissez le mot de passe. Le mot de passe est limit 15 caractres ou moins.
7 8
Dans la zone de texte Confirmer le mot de passe, saisissez le mot de passe de nouveau. Cliquez sur OK.
Chapitre
10
Gestion de la communication entre les serveurs de gestion et les clients


Gstion de la connexion entre les serveurs de gestion et les clients A propos des serveurs de gestion Ajout d'une liste de serveurs de gestion Spcification d'une liste de serveurs de gestion Modification de l'ordre de connexion des serveurs de gestion Assignation d'une liste de serveurs de gestion un groupe et un emplacement Affichage des groupes et des empacements auxquels une liste de serveurs de gestion est assigne Remplacement d'une liste de serveurs de gestion Copie et collage d'une liste de serveurs de gestion Exportation et importation d'une liste de serveurs de gestion Affichage de l'tat de sant du client dans la console de gestion Configurer des paramtres de communication pour un emplacement
188
Gestion de la communication entre les serveurs de gestion et les clients Gstion de la connexion entre les serveurs de gestion et les clients
Rsolution des problmes de communication entre le serveur de gestion et le client
Gstion de la connexion entre les serveurs de gestion et les clients

Une fois le client install, le serveur de gestion se connecte automatiquement l'ordinateur client. Les tches suivantes vous permettent de configurer la manire dont le serveur de gestion se connecte aux clients. Si Symantec Network Access Control est install, vous pouvez galement configurer la connexion entre le serveur de gestion et les modules d'application Enforcer. Tableau 10-1 Tches pour la gestion des connexions entre les serveurs de gestion et les clients Description
Tche
Prendre connaissance des Vous pouvez prendre connaissance de la manire dont informations disponibles sur les les serveurs de gestion se connectent aux clients. serveurs de gestion et les listes Se reporter "A propos des serveurs de gestion" de serveurs de gestion la page 190. Opter ou non pour une utilisation Vous pouvez ajouter une liste de serveurs de gestion de la liste par dfaut des serveurs autre que la liste de serveurs de gestion par dfaut, puis de gestion la choisir. La liste de serveurs de gestion rpertorie les serveurs de gestion multiples auxquels les clients peuvent se connecter. Se reporter "Ajout d'une liste de serveurs de gestion" la page 191. Se reporter "Spcification d'une liste de serveurs de gestion" la page 192. Se reporter "Modification de l'ordre de connexion des serveurs de gestion" la page 193.
Gestion de la communication entre les serveurs de gestion et les clients Gstion de la connexion entre les serveurs de gestion et les clients
189
Tche
Description
Choisir comment tlcharger les Vous pouvez configurer le serveur de gestion de manire politiques et le contenu vers les telle ce qu'il tlcharge les politiques vers les clients clients ou de manire telle ce que les clients tlchargent les politiques partir du serveur de gestion. Se reporter "A propos de la mise jour des politiques sur les clients" la page 116. Se reporter "Configurer le mode de transfert ou le mode de traction pour mettre jour les politiques client et le contenu" la page 117. Vrifier le numro de srie de la Ces deux numros doivent correspondre si le client peut politique dans le client et dans la communiquer avec le serveur et reoit des mises jour console de gestion. rgulires de la politique. Vous pouvez effectuer une mise jour manuelle de la politique, puis vrifier les numros de srie de la politique en les comparant les uns aux autres. Se reporter "Mise jour manuelle de la politique pour vrifier le numro de srie de la politique" la page 119. Configurer les paramtres de communication d'un emplacement Vous pouvez configurer des paramtres de communication distincts pour un emplacement et un groupe. Se reporter "Configurer des paramtres de communication pour un emplacement" la page 199. Vrifiez que le client est connect Vous pouvez vrifier l'icne d'tat dans le client et dans au serveur de gestion la console de gestion. L'icne d'tat indique si le client et le serveur communiquent. Se reporter "Affichage de l'tat de sant du client dans la console de gestion" la page 197. Un ordinateur peut tre quip du logiciel client, mais non du fichier de communication correct. Se reporter "Convertir un client autonome en client gr." la page 70. Se reporter "Dploiement du logiciel client avec Rechercher les ordinateurs non grs" la page 133.
190
Gestion de la communication entre les serveurs de gestion et les clients A propos des serveurs de gestion
Tche
Rsoudre les problmes de connectivit avec le serveur de gestion
Description
Vous pouvez rsoudre les problmes de connexion entre le serveur de gestion et le client. Se reporter "Rsolution des problmes de communication entre le serveur de gestion et le client" la page 200.
A propos des serveurs de gestion

Les clients doivent pouvoir se connecter aux serveurs de gestion pour tlcharger les politiques et paramtres de scurit. Symantec Endpoint Protection Manager inclut un fichier facilitant la gestion du trafic entre les clients et les serveurs de gestion. Le fichier spcifie quel serveur de gestion un client se connecte. Il peut galement spcifier quel serveur de gestion un client se connecte en cas d'chec d'un serveur de gestion. Ce fichier est dsign comme tant une liste de serveurs de gestion. Une liste de serveurs de gestion inclut les adresses IP ou les noms d'hte du serveur de gestion auxquels les clients peuvent se connecter aprs l'installation initiale. Vous pouvez personnaliser la liste de serveurs de gestion avant de dployer tous les clients. Lorsque Symantec Endpoint Protection Manager est install, une liste de serveurs de gestion par dfaut est cre pour permettre la communication HTTP entre les clients et les serveurs de gestion. La liste de serveurs de gestion par dfaut comprend les adresses IP de toutes les cartes d'interface de rseau connectes (NIC) pour tous les serveurs de gestion du site. Il se peut que vous souhaitiez n'inclure que les cartes d'interface rseau dans la liste. Bien que vous ne puissiez pas modifier la liste de serveurs de gestion par dfaut, vous pouvez crer une liste de serveurs de gestion personnalise. Chaque liste de serveurs de gestion personnalise indique les serveurs de gestion exacts et les cartes d'interface rseau appropries auxquels les clients devront se connecter. Les listes personnalises vous permettent galement d'utiliser le protocole HTTPS, de vrifier le certificat du serveur et de personnaliser les numros de port HTTP ou HTTPS. Vous pouvez, accessoirement, galement utiliser la liste de serveurs de gestion pour spcifier quel serveur un module d'application Enforcer facultatif se connecte. Se reporter "Configurer des paramtres de communication pour un emplacement" la page 199.
Gestion de la communication entre les serveurs de gestion et les clients Ajout d'une liste de serveurs de gestion
191
Ajout d'une liste de serveurs de gestion

Si votre entreprise dispose de plusieurs serveurs de gestion, vous pouvez crer une liste de serveurs de gestion personnalise. La liste de serveurs de gestion spcifie l'ordre dans lequel les clients d'un groupe particulier se connectent. Les clients essaient d'abord de se connecter aux serveurs de gestion ayant t ajouts avec la priorit la plus leve. Si les serveurs de gestion avec la priorit la plus leve ne sont pas disponibles, alors les clients essaient de se connecter aux serveurs de gestion avec la priorit la plus leve suivante. Une liste de serveurs de gestion par dfaut est automatiquement cre pour chaque site. Tous les serveurs de gestion disponibles sur ce site sont ajouts la liste de serveur de gestion par dfaut avec la mme priorit. Si vous ajoutez plusieurs serveurs de gestion avec la mme priorit, alors les clients peuvent se connecter aux serveurs de gestion. Les clients quilibrent automatiquement la charge entre les serveurs de gestion disponibles ayant cette priorit. Vous pouvez utiliser le protocole HTTPS plutt que le paramtre HTTP par dfaut pour la communication. Si vous voulez scuriser davantage les communications, vous pouvez personnaliser les numros de port HTTP et HTTPS en crant une liste de serveurs de gestion personnalise. Cependant, vous devez personnaliser les ports avant que des clients soient installs ou bien la communication entre le client et le serveur de gestion sera perdue. Si vous mettez jour la version du serveur de gestion, n'oubliez pas de personnaliser nouveau les ports de sorte que les clients puissent reprendre la communication. Aprs avoir ajout une nouvelle liste de serveurs de gestion, vous devez l'attribuer un groupe ou un emplacement spcifiques ou aux deux. Se reporter "Assignation d'une liste de serveurs de gestion un groupe et un emplacement" la page 194. Pour ajouter une liste de serveurs de gestion :
1 2 3 4 5
Dans la console, cliquez sur Politiques. Dans la page Politiques, sous Afficher les politiques, cliquez sur Composants de politique > Listes de serveurs de gestion. Sous Tches, cliquez sur Ajouter une liste de serveurs de gestion. Dans la bote de dialogue Listes de serveurs de gestion, tapez un nom pour la liste de serveurs de gestion et une description facultative. Pour spcifier le protocole de communication utiliser entre les serveurs de gestion et les clients, slectionnez l'une des options suivantes :
192
Gestion de la communication entre les serveurs de gestion et les clients Spcification d'une liste de serveurs de gestion
Utiliser le protocole HTTP Utiliser le protocole HTTPS Utilisez cette option si vous voulez que les serveurs de gestion communiquent l'aide d'HTTPS et si le serveur excute Secure Sockets Layer (SSL).
Si vous exigez la vrification d'un certificat par une autorit de certificat tierce approuve, cochez Vrifier le certificat lors de l'utilisation du protocole HTTPS. Pour ajouter un serveur, cliquez sur Ajouter > Nouveau serveur. Dans la bote de dialogue Ajouter un serveur de gestion, saisissez l'adresse IP ou le nom d'hte du serveur de gestion dans la zone Adresse du serveur. Si vous voulez changer le numro du port du protocole HTTP ou HTTPS de ce serveur, procdez de l'une des manires suivantes :
7 8 9
Cochez Personnaliser numro de port HTTP et entrez un nouveau numro de port. Le numro de port par dfaut pour le protocole HTTP est 8014. Cochez Personnaliser numro de port HTTPS et entrez un nouveau numro de port. Par dfaut, le numro de port utilis pour le protocole HTTPS est 443. Si vous personnalisez les numros de port HTTP ou HTTPS aprs le dploiement des clients, les communications entre les clients et le serveur de gestion sont interrompues.
10 Cliquez sur OK. 11 Si vous voulez ajouter un serveur de gestion ayant une priorit diffrente de
celle du serveur de gestion que vous venez d'ajouter, cliquez sur Ajouter > Nouvelle priorit.
12 Rptez les tapes 7 10 pour ajouter des serveurs de gestion supplmentaires. 13 Dans la bote de dialogue Listes de serveurs de gestion, cliquez sur OK.
Spcification d'une liste de serveurs de gestion

Vous pouvez spcifier la liste des serveurs de gestion connecter un groupe de clients et aux modules d'application Enforcer facultatifs tout moment. Il est toutefois recommand d'effectuer cette tche aprs qu'une liste de serveurs de gestion personnalise a t cre et avant que l'ensemble des packages client n'aient t dploys. Se reporter "Ajout d'une liste de serveurs de gestion" la page 191.
Gestion de la communication entre les serveurs de gestion et les clients Modification de l'ordre de connexion des serveurs de gestion
193
Pour spcifier une liste de serveurs de gestion
1 2 3
Dans la console, cliquez sur Clients. Dans la page Clients, sous Afficher les clients, slectionnez le groupe pour lequel vous souhaitez spcifier une liste de serveurs de gestion. Dans l'onglet Politiques, dsactivez l'option Hriter les politiques et les paramtres du groupe parent. Vous ne pouvez dfinir les paramtres de communication d'un groupe que si celui-ci n'hrite plus d'aucune politique ou paramtre d'un groupe parent.
4 5
Sous Politiques et paramtres indpendants de l'emplacement dans la zone Paramtres, cliquez sur Paramtres de communication. Dans les paramtres de communication du nom du groupe, sous Liste de serveurs de gestion, slectionnez la liste de serveurs de gestion de votre choix. Le groupe que vous slectionnez utilise ensuite cette liste de serveurs de gestion pour communiquer avec un serveur de gestion.
Cliquez sur OK.
Modification de l'ordre de connexion des serveurs de gestion

Si l'tat de votre rseau change, il est possible que vous deviez redfinir les adresses IP, les noms d'hte ou les niveaux de priorit d'une liste de serveurs de gestion. Par exemple, l'un des serveurs sur lesquels vous avez install Symantec Endpoint Protection Manager a eu une dfaillance de disque. Ce serveur de gestion tait utilis comme serveur de rpartition de charge et s'tait vu attribu le niveau de priorit 1. Vous disposez en outre d'un autre serveur de gestion associ au niveau de priorit 2. Pour rsoudre ce problme, vous pouvez redfinir le niveau de priorit du second serveur de gestion. Vous pouvez attribuer le niveau de priorit 1 au serveur de gestion qui tait associ au niveau de priorit 2 afin de remplacer le serveur de gestion dfectueux. Se reporter "Ajout d'une liste de serveurs de gestion" la page 191. Pour modifier l'ordre de connexion des serveurs de gestion
1 2 3
Dans la console, cliquez sur Politiques. Dans la page Politiques, sous Afficher les politiques, cliquez sur Composants de politique> Listes de serveurs de gestion. Dans le volet Listes de serveurs de gestion, slectionnez la liste pour laquelle vous souhaitez modifier l'ordre des serveurs.
194
Gestion de la communication entre les serveurs de gestion et les clients Assignation d'une liste de serveurs de gestion un groupe et un emplacement
4 5
Sous Tches, cliquez sur Modifier la liste. Dans la bote de dialogue Listes de serveurs de gestion, sous Serveurs de gestion, slectionnez l'adresse IP, le nom d'hte ou le niveau de priorit du serveur de gestion. Vous pouvez redfinir le niveau de priorit d'une adresse IP ou d'un nom d'hte. Si vous dcidez de modifier un niveau de priorit, toutes les adresses IP et tous les noms d'hte associs ce niveau de priorit sont automatiquement modifis.
6 7
Cliquez sur Vers le haut ou Vers le bas. Dans la bote de dialogue Listes de serveur de gestion, cliquez sur OK.
Assignation d'une liste de serveurs de gestion un groupe et un emplacement

Lorsque vous ajoutez une politique, vous devez ensuite l'attribuer un groupe ou un emplacement (ou les deux), faute de quoi la liste de serveurs de gestion ne prend pas effet. Vous pouvez galement utiliser la liste de serveurs de gestion pour dplacer un groupe de clients d'un serveur de gestion un autre. Vous devez avoir termin d'ajouter ou de modifier la liste de serveurs de gestion avant de pouvoir l'attribuer. Se reporter "Ajout d'une liste de serveurs de gestion" la page 191. Pour assigner une liste de serveurs de gestion un groupe et un emplacement
1 2 3 4 5
Dans la console, cliquez sur Politiques. Dans la page Politiques, sous Afficher les politiques, cliquez sur Composants de politique> Listes de serveurs de gestion. Dans le volet Listes de serveurs de gestion, slectionnez la liste de serveurs de gestion que vous souhaitez assigner. Sous Tches, cliquez sur Assigner la liste. Dans la bote de dialogue Appliquer la liste de serveurs de gestion, cochez les groupes et les emplacements auxquels vous souhaitez appliquer la liste de serveurs de gestion. Cliquez sur Assigner. Cliquez sur Oui dans l'invite qui s'affiche.
6 7
Gestion de la communication entre les serveurs de gestion et les clients Affichage des groupes et des empacements auxquels une liste de serveurs de gestion est assigne
195
Affichage des groupes et des empacements auxquels une liste de serveurs de gestion est assigne
Il est possible que vous souhaitiez afficher les groupes et les emplacements auxquels une liste de serveurs de gestion a t attribue. Se reporter "Assignation d'une liste de serveurs de gestion un groupe et un emplacement" la page 194. Pour afficher des groupes et des empacements auxquels une liste de serveurs de gestion est assigne
1 2 3 4
Dans la console, cliquez sur Politiques. Sur la page Politiques, sous Afficher les politiques, cliquez sur Composants de politique > Listes de serveurs de gestion. Dans le volet Listes de serveurs de gestion, slectionnez la liste de serveurs de gestion dont vous souhaitez afficher les groupes et les emplacements. Sous Tches, cliquez sur Afficher les groupes ou emplacements assigns. Les groupes ou emplacements qui sont assigns la liste de serveurs de gestion slectionne sont signals par un petit cercle vert contenant une coche blanche.
Dans la bote de dialogue nom de la liste de serveurs de gestion: Groupes et emplacements assigns, cliquez sur OK.
Remplacement d'une liste de serveurs de gestion

Il se peut que vous souhaitiez remplacer une liste de serveurs de gestion applique un groupe ou un emplacement particulier. Se reporter "Ajout d'une liste de serveurs de gestion" la page 191. Pour remplacer une liste de serveurs de gestion
1 2 3 4
Dans la console, cliquez sur Politiques. Sur la page Politiques, sous Afficher les politiques, cliquez sur Composants de politique > Listes de serveurs de gestion. Dans le volet Listes de serveurs de gestion, slectionnez la liste de serveurs de gestion que vous souhaitez remplacer. Sous Tches, cliquez sur Remplacer la liste.
196
Gestion de la communication entre les serveurs de gestion et les clients Copie et collage d'une liste de serveurs de gestion
Dans la bote de dialogue Remplacer la liste de serveurs de gestion, slectionnez la nouvelle liste de serveurs de gestion depuis la Nouvelle liste droulante de serveurs de gestion. Cochez les groupes ou les emplacements auxquels vous souhaitez appliquer la nouvelle liste de serveurs de gestion. Cliquez sur Remplacer. Cliquez sur Oui dans l'invite qui s'affiche.
6 7 8
Copie et collage d'une liste de serveurs de gestion

Il est possible d'utiliser plusieurs listes de gestion presque identiques, quelques diffrences prs. Vous pouvez crer une copie d'une liste de serveurs de gestion. Lorsque vous copiez et collez une liste de serveurs de gestion, la copie apparat dans le volet Listes de serveurs de gestion. Se reporter "Ajout d'une liste de serveurs de gestion" la page 191. Pour copier et coller une liste de serveurs de gestion
1 2 3 4 5
Dans la console, cliquez sur Politiques. Dans la page Politiques, sous Afficher les politiques, cliquez sur Composants de politique> Listes de serveurs de gestion. Dans le volet Listes de serveurs de gestion, slectionnez la liste copier. Sous Tches, cliquez sur Copier la liste. Sous Tches, cliquez sur Coller la liste.
Exportation et importation d'une liste de serveurs de gestion

Il est possible que vous souhaitiez exporter ou importer une liste de serveurs de gestion existante. Les listes de serveurs sont souvent utilises en installant la rplication entre les serveurs. Les listes de serveurs de gestion portent l'extension : .dat. Se reporter "Ajout d'une liste de serveurs de gestion" la page 191. Pour exporter une liste de serveurs de gestion
1 2
Dans la console, cliquez sur Politiques. Dans la page Politiques, sous Afficher les politiques, cliquez sur Composants de politique> Listes de serveurs de gestion.
Gestion de la communication entre les serveurs de gestion et les clients Affichage de l'tat de sant du client dans la console de gestion
197
3 4 5 6 7
Dans le volet Listes de serveurs de gestion, slectionnez la liste exporter. Dans la page Politiques, sous Tches, cliquez sur Exporter la liste. Dans la bote de dialogue Exporter la politique, recherchez le dossier dans lequel vous souhaitez exporter le fichier de liste de serveurs de gestion. Cliquez sur Exporter. Si vous tes invit modifier le nom de fichier dans la bote de dialogue Exporter la politique, modifiez le nom du fichier, puis cliquez sur OK.
Pour importer une liste de serveurs de gestion
1 2 3 4 5
Dans la console, cliquez sur Politiques. Dans la page Politiques, sous Afficher les politiques, cliquez sur Composants de politique> Listes de serveurs de gestion. Sous Tches, cliquez sur Importer une liste de serveurs de gestion. Dans la bote de dialogue Importer la politique, recherchez le fichier de liste de serveurs de gestion importer, puis cliquez sur Importer. Si vous tes invit modifier le nom de fichier dans la bote de dialogue de saisie, modifiez le nom du fichier, puis cliquez sur OK.
Affichage de l'tat de sant du client dans la console de gestion

Vous pouvez vrifier l'icne d'tat client dans la console de gestion ainsi que sur le client directement pour dterminer l'tat client. Tableau 10-2 Icne Icnes d'tat client dans la console de gestion Description
Cette icne indique l'tat suivant : Le client peut communiquer avec Symantec Endpoint Protection Manager. Le client se trouve en mode Ordinateur.
Cette icne indique l'tat suivant : Le client ne peut pas communiquer avec Symantec Endpoint Protection Manager. Le client se trouve en mode Ordinateur.

Le client est susceptible d'avoir t ajout partir de la console et de ne disposer d'aucun logiciel client Symantec.
198
Gestion de la communication entre les serveurs de gestion et les clients Affichage de l'tat de sant du client dans la console de gestion
Icne
Description
Cette icne indique l'tat suivant : Le client peut communiquer avec Symantec Endpoint Protection Manager. Le client se trouve en mode Ordinateur.

Le client est un dtecteur de priphriques non grs.
Cette icne indique l'tat suivant : Le client ne peut pas communiquer avec Symantec Endpoint Protection Manager. Le client se trouve en mode Ordinateur.

Cette icne indique l'tat suivant : Le client peut communiquer avec Symantec Endpoint Protection Manager. Le client se trouve en mode Utilisateur.
Cette icne indique l'tat suivant : Le client ne peut pas communiquer avec Symantec Endpoint Protection Manager. Le client se trouve en mode Utilisateur.

Le client est susceptible d'avoir t ajout partir de la console et de ne disposer d'aucun logiciel client Symantec.
Cette icne indique l'tat suivant : Le client peut communiquer avec Symantec Endpoint Protection Manager sur un autre site. Le client se trouve en mode Ordinateur.
Cette icne indique l'tat suivant : Le client peut communiquer avec Symantec Endpoint Protection Manager sur un autre site. Le client se trouve en mode Ordinateur.

Cette icne indique l'tat suivant : Le client peut communiquer avec Symantec Endpoint Protection Manager sur un autre site. Le client se trouve en mode Utilisateur.
Se reporter "Ce que vous pouvez faire partir de la console" la page 42.
Gestion de la communication entre les serveurs de gestion et les clients Configurer des paramtres de communication pour un emplacement
199
Pour afficher l'tat de sant du client dans la console de gestion
1 2
Dans la console de gestion, la page Clients, sous Afficher les clients, slectionnez le groupe auquel le client appartient. Consultez l'onglet Clients. Le nom du client devrait apparatre dans la liste ct d'une icne qui affiche l'tat du client.
Configurer des paramtres de communication pour un emplacement

Par dfaut, vous configurez les mmes paramtres de communication entre le serveur de gestion et le client pour tous les emplacements au sein d'un groupe. Cependant, vous pouvez galement configurer ces paramtres pour chaque emplacement sparment. Par exemple, vous pouvez utiliser un serveur de gestion spar pour un emplacement dans lequel les ordinateurs client se connectent par le VPN. Ou, pour rduire le nombre de clients qui se connectent au serveur de gestion en mme temps, vous pouvez spcifier un battement diffrent pour chaque emplacement. Se reporter "Configurer le mode de transfert ou le mode de traction pour mettre jour les politiques client et le contenu" la page 117. Vous pouvez configurer les paramtres de communication suivants pour les emplacements : Les paramtres suivants sont spcifiques aux emplacements :

Le mode de commande dans lequel les clients sont excuts. La liste de serveurs de gestion que les clients utilisent. Le mode de tlchargement dans lequel les clients sont excuts. Si vous voulez qu'une liste de toutes les applications excutes sur des clients soit constitue et envoye au serveur de gestion. L'intervalle de battements que les clients utilisent pour des tlchargements. Si le serveur de gestion slectionne de faon alatoire ou non les tlchargements de contenu du serveur de gestion par dfaut ou de Fournisseur de mise jour groupe.
Pour configurer les paramtres de communication pour un emplacement
1 2
Dans la console, cliquez sur Clients. A la page Clients, slectionnez un groupe.
200
Gestion de la communication entre les serveurs de gestion et les clients Rsolution des problmes de communication entre le serveur de gestion et le client
Dans l'onglet Politiques, sous Politiques et paramtres dpendants de l'emplacement, sous un emplacement, dveloppez Paramtres spcifiques aux emplacements. A droite de Paramtresdecommunications, cliquez sur Tches, puis dcochez Utiliser paramtres de communication du groupe. Cliquez sur Tches, puis sur Modifier les paramtres. Dans Paramtres de communication pour la bote de dialogue nom de l'emplacement, modifiez les paramtres pour cet emplacement seulement. Cliquez sur OK.
4 5 6 7
Rsolution des problmes de communication entre le serveur de gestion et le client

Si vous avez des problmes avec la communication entre le client et le serveur, vous devez d'abord vrifier qu'il n'y a aucun problme rseau. Vous devez galement vrifier la connectivit rseau avant d'appeler le support technique de Symantec. Vous pouvez tester la communication entre le client et le serveur de gestion de plusieurs manires. Tableau 10-3 Vrification de la connexion entre le serveur de gestion et le client Description
Ce qu'il faut vrifier
Afficher les paramtres de Vous pouvez tlcharger et afficher le fichier de dpannage communication sur le client sur le client pour vrifier les paramtres de communication. Se reporter "Investigation des problmes de client" la page 202.
201

Tester la connectivit entre le client et le serveur de gestion
Description
Vous pouvez mettre plusieurs commandes sur le client afin de tester la connectivit au serveur de gestion. Vous pouvez effectuer les tests suivants : Excutez une commande ping sur le serveur de gestion partir de l'ordinateur client. Se reporter "Utiliser la commande ping pour tester la connectivit du serveur de gestion" la page 202. Excutez une commande Telnet sur le serveur de gestion partir de l'ordinateur client. Se reporter "Utiliser Telnet pour tester la connectivit au serveur de gestion" la page 203. Utilisez un navigateur Web sur l'ordinateur client pour vous connecter au serveur de gestion. Se reporter "Utiliser un navigateur pour tester la connectivit au serveur de gestion" la page 203.
Rechercher les problmes rseau
Vous devez vrifier qu'il n'y a aucun problme rseau en vrifiant les lments suivants : testez d'abord la connectivit entre le client et le serveur de gestion. Si l'ordinateur client ne peut pas excuter la commande ping ou telnet vers le serveur de gestion, vrifiez le service DNS pour le client. Vrifiez le chemin d'accs de routage du client.
Vrifiez que le serveur de gestion n'a pas de problme rseau. Vrifiez que le pare-feu Symantec Endpoint Protection (ou tout pare-feu tiers) ne pose aucun problme rseau.
Vrifier les journaux IIS sur Vous pouvez vrifier les journaux IIS sur le serveur de le serveur de gestion gestion. Les journaux peuvent vous aider dterminer si le client peut communiquer avec le serveur IIS sur l'ordinateur du serveur de gestion. Se reporter "Vrifier les journaux IIS sur le serveur de gestion" la page 205. Vrifier les journaux de dbogage sur le client Vous pouvez utiliser le journal de dbogage sur le client pour dterminer si le client a des problmes de communication. Se reporter "Vrification du journal de dbogage sur l'ordinateur client" la page 204.
202
Description
Rcuprer la communication Si les clients ont perdu la communication avec un serveur client perdue de gestion, vous pouvez utiliser un outil pour rcuprer le fichier de communication. Se reporter "Rcuprer les paramtres de communication client en utilisant l'outil SylinkDrop" la page 205.
Investigation des problmes de client

Pour tudier des problmes de client, vous pouvez examiner le fichier Troubleshooting.txt. Le fichier Troubleshooting.txt contient des informations sur les politiques, les dfinitions de virus et d'autres donnes client connexes. Se reporter "Rsolution des problmes de communication entre le serveur de gestion et le client" la page 200. Pour tudier des problmes client
1 2 3 4
Sur l'ordinateur client, ouvrez le client. Dans le client, cliquez sur Aide, puis cliquez sur Dpannage. Dans le client, sous Donnes de dpannage, cliquez sur Exporter. Dans la bote de dialogue Enregistrer sous, acceptez le nom de fichier de dpannage par dfaut ou saisissez un nouveau nom de fichier et puis cliquez sur Enregistrer. Vous pouvez enregistrer le fichier sur le bureau ou dans un dossier de votre choix.
En utilisant un diteur de texte, ouvrez Troubleshooting.txt pour examiner le contenu. Contactez avec le support technique de Symantec pour l'aide. Le support technique de Symantec pourrait vous demander d'envoyer par courrier lectronique le fichier de Troubleshooting.txt.
Utiliser la commande ping pour tester la connectivit du serveur de gestion

Vous pouvez essayer d'excuter une commande ping vers le serveur de gestion partir de l'ordinateur client pour tester la connectivit. Se reporter "Rsolution des problmes de communication entre le serveur de gestion et le client" la page 200.
203
Pour utiliser la commande ping pour tester la connectivit du serveur de gestion
1 2
Sur le client, ouvrez une invite de commandes. Tapez la commande ping. Par exemple : ping nom o nom est le nom d'ordinateur du serveur de gestion. Vous pouvez utiliser l'adresse IP du serveur au lieu du nom de l'ordinateur. Dans l'un ou l'autre cas, la commande devrait renvoyer l'adresse IP correcte du serveur. Si la commande ping ne retourne pas l'adresse exacte, vrifiez le service DNS pour le client et vrifiez son chemin d'accs de routage.
Utiliser un navigateur pour tester la connectivit au serveur de gestion

Vous pouvez utiliser un navigateur Web pour tester la connectivit au serveur de gestion. Se reporter "Rsolution des problmes de communication entre le serveur de gestion et le client" la page 200. Pour utiliser un navigateur pour tester la connectivit au serveur de gestion
1 2
Sur l'ordinateur client, ouvrez un navigateur Web, tel qu'Internet Explorer. Dans la ligne de commande de navigateur, entrez une commande semblable l'une ou l'autre des commandes suivantes : http://adresse IP du serveur de gestion:8014/reporting/index.php Si la page Web de rapport de connexion s'affiche, le client peut communiquer avec le serveur de gestion. http://nom du serveur de gestion:8014/secars/secars.dll?secars,hello Si la page Symantec Endpoint Protection Manager s'affiche, le client peut communiquer avec le serveur de gestion.
Si aucune page Web ne s'affiche, recherchez les problmes rseau. Vrifiez le service DNS pour le client et son chemin d'accs de routage.
Utiliser Telnet pour tester la connectivit au serveur de gestion

Vous pouvez utiliser Telnet pour tester la connectivit au serveur IIS sur le serveur de gestion. Si le client peut mettre une commande Telnet au port HTTP ou HTTPS du serveur de gestion, le client et le serveur peuvent communiquer. Le port HTTP par dfaut est 80 ; le port HTTPS par dfaut est 443.
204
Remarque : Vous pourriez devoir rgler vos rgles de filtrage de sorte que l'ordinateur client puisse mettre une commande telnet dans le serveur de gestion. Se reporter "Rsolution des problmes de communication entre le serveur de gestion et le client" la page 200. Pour utiliser Telnet pour tester la connectivit au serveur de gestion
1 2
Sur l'ordinateur client, assurez-vous que le service Telnet est activ et dmarr. Ouvrez une invite de commande et entrez la commande Telnet. Par exemple : telnet adresse IP:80 o l'adresse IP est celle du serveur de gestion. Si la connexion Telnet choue, vrifiez le service DNS du client et vrifiez son chemin d'accs de routage.
Vrification du journal de dbogage sur l'ordinateur client

Vous pouvez vrifier le journal de dbogage sur le client. Si le client a des problmes de connexion avec le serveur de gestion, ses messages d'tat au sujet du problme de connexion apparaissent dans le journal. Se reporter "Rsolution des problmes de communication entre le serveur de gestion et le client" la page 200. Vous pouvez vrifier le journal de dbogage en utilisant les mthodes suivantes :
Dans le client, dans le menu Aide et support, dans la bote de dialogue Dpannage, vous pouvez cliquer sur Modifier les paramtres de journal de dbogage et taper un nom pour le journal. Vous pouvez alors cliquer sur Afficher le journal. Vous pouvez utiliser le registre Windows pour activer le dbogage dans le client. Vous pouvez trouver la cl de registre Windows dans l'emplacement suivant : HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC\smc_debuglog_on
Vrifier les journaux de bote de rception sur le serveur de gestion

Vous pouvez utiliser une cl de registre Windows pour gnrer des journaux au sujet de l'activit dans la bote de rception du serveur de gestion. Quand vous modifiez la cl de registre Windows, le serveur de gestion gnre les journaux (ersecreg.log et exsecars.log). Vous pouvez afficher ces journaux pour
205
dpanner la communication entre client et serveur. Vous pouvez trouver les journaux dans le rpertoire de journal de la bote de rception sur le serveur de gestion. Se reporter "Rsolution des problmes de communication entre le serveur de gestion et le client" la page 200. Pour vrifier les journaux de bote de rception sur le serveur de gestion
Sur le serveur de gestion, sous HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SEPM, dfinissez la valeur de DebugLevel sur 3. Typiquement, la bote de rception apparat dans l'emplacement suivant sur l'ordinateur de serveur de gestion :
\Program Files\Symantec\Symantec Endpoint Protection Manager\data\ inbox\log
Vous pouvez ouvrir les journaux avec une application de texte telle que Bloc-notes.
Vrifier les journaux IIS sur le serveur de gestion

Vous pouvez vrifier les journaux IIS sur le serveur de gestion. Les journaux affichent les commandes GET et POST lorsque le client et le serveur communiquent. Se reporter "Rsolution des problmes de communication entre le serveur de gestion et le client" la page 200. Pour vrifier les journaux IIS sur le serveur de gestion
Sur le serveur de gestion, allez au rpertoire de fichiers journaux IIS. Un chemin d'accs typique au rpertoire est : \WINDOWS\system32\LogFiles\W3SVC1
2 3
Ouvrez le fichier journal le plus rcent avec une application de texte telle que Bloc-notes. Par exemple, le nom de fichier de journal peut tre ex070924.log. Examinez les messages de journal. Le fichier doit inclure les messages GET et POST.
Rcuprer les paramtres de communication client en utilisant l'outil SylinkDrop

Les paramtres de communication incluent le fichier Sylink.xml entre le client et un serveur Symantec Endpoint Protection Manager. Si les clients ont perdu la
206
communication avec un serveur de gestion, vous devez remplacer le vieux fichier Sylink.xml par un nouveau fichier. L'outil SylinkDrop remplace automatiquement le fichier Sylink.xml sur l'ordinateur client par un nouveau fichier Sylink.xml. Lorsque vous excutez l'outil SylinkDrop, il peut galement effectuer les tches suivantes :

Migrer ou dplacer les clients vers un nouveau domaine ou le serveur de gestion. Restaurer les ruptures de communication sur le client ne pouvant pas tre corriges sur le serveur de gestion. Dplacer un client d'un serveur un autre serveur n'tant pas un partenaire de rplication. Dplacer un client d'un domaine un autre. Convertir un client autonome en client gr. Convertir un client gr en client autonome.
Vous pouvez utiliser Enregistrer un script avec l'outil pour modifier des paramtres de communication pour de grands nombres de clients. Se reporter "Rsolution des problmes de communication entre le serveur de gestion et le client" la page 200. Pour rcuprer les paramtres de communication client en utilisant l'outil SylinkDrop
Dans la console, exportez le fichier de liaison du groupe qui se connecte au serveur de gestion auquel vous voulez que l'ordinateur client se connecte. Se reporter "Convertir un client autonome en client gr." la page 70.
2 3
Dployez le fichier de liaison vers l'ordinateur client. Sur le disque 3 du CD d'installation, localisez le dossier \Tools\NoSupport\SylinkDrop et ouvrez SylinkDrop.exe. Vous pouvez excuter l'outil distance ou l'enregistrer et puis l'excuter sur l'ordinateur client. Si vous utilisez l'outil sur la ligne de commande, lisez le fichier SylinkDrop.txt pour une liste des paramtres de commande des outils.
4 5 6 7
Dans la bote de dialogue Sylink Drop, cliquez sur Parcourir et localisez le fichier .xml dploy l'tape 2 vers l'ordinateur client. Cliquez sur Mettre jour Sylink. Si une bote de dialogue de confirmation s'affiche, cliquez sur OK. Dans la bote de dialogue de Sylink Drop, cliquez sur Quitter.
Chapitre
11
Surveillance de la protection de terminal


Surveillance de la protection de terminal A propos des diffrentes mthodes d'accs aux fonctions de cration de rapports A propos de Reporting A propos de la page d'accueil de Symantec Endpoint Protection Configuration des Rapports sur les favoris dans la page d'accueil A propos de l'utilisation des liens Security Response Utilisation de la page Symantec Network Access Control Accueil Utiliser l'onglet Rsum de la page Contrleurs Configuration des prfrences de rapport Elimination des virus et des risques de scurit Recherche des clients hors ligne
Surveillance de la protection de terminal

Symantec Endpoint Protection et Symantec Network Access Control rassemblent des informations sur les vnements affectant la scurit de votre rseau. Vous pouvez utiliser des journaux et des rapports pour afficher ces vnements ainsi que des notifications pour tre inform des vnements au fur et mesure de leur apparition.
208
Surveillance de la protection de terminal Surveillance de la protection de terminal
Symantec Endpoint Protection Manager vous permet d'effectuer les tches suivantes pour protger les ordinateurs de votre rseau. Tableau 11-1 Tche Tches de surveillance de la protection de terminal Description
Surveillance de l'tat de Vous pouvez afficher des informations sur la distribution des scurit du rseau dfinitions de virus, des liens vers Symantec Security Response et des liens vers vos rapports prfrs. Vous pouvez effectuer les tches suivantes pour obtenir l'tat de scurit des ordinateurs client :
Affichez le nombre de virus et d'autres risques pour la scurit dtects et consultez-en les informations dtailles. Se reporter "A propos de la page d'accueil de Symantec Endpoint Protection" la page 215. Affichez un graphique des risques, des attaques ou des infections par heure. Affichez le nombre d'ordinateurs non protgs du rseau et consultez-en les informations dtailles. Affichez les distributions de dfinitions de virus et de prvention d'intrusion pour les 12 dernires heures. Affichez galement les dates de la dernire version des dfinitions partir de Symantec et sur Symantec Endpoint Protection Manager. Affichez un rcapitulatif du nombre d'ordinateurs client protgs Se reporter "Utiliser l'onglet Rsum de la page Contrleurs" la page 227.
Vrification des ordinateurs client ncessitant une protection
Procdez comme suit pour dterminer quels ordinateurs requirent une protection supplmentaire : Affichez les journaux d'vnements. Se reporter "A propos des journaux" la page 287. Se reporter "Affichage des journaux" la page 296. Excutez des rapports prdfinis et personnalisables avec les donnes obtenues des clients par le serveur de gestion. Se reporter "A propos de Reporting" la page 213. Se reporter "Cration de rapports rapides" la page 274. Planifiez l'envoi rgulier par courrier lectronique aux autres administrateurs des rapports sur l'tat de la scurit. Se reporter "Cration et suppression de rapports planifis" la page 279.
Surveillance de la protection de terminal A propos des diffrentes mthodes d'accs aux fonctions de cration de rapports
209
Tche
Protection des ordinateurs client
Description
Vous pouvez envoyer des commandes partir de la console pour protger les ordinateurs client. Supprimez les risques affectant la scurit des ordinateurs client. Se reporter "Elimination des virus et des risques de scurit" la page 233. Affichez les clients hors ligne. Se reporter "Recherche des clients hors ligne" la page 238. Excutez des commandes sur le client partir de la console. Se reporter "Excuter des commandes et des actions partir des journaux" la page 304.
Configuration de notifications vous avertissant d'vnements pouvant porter atteinte la scurit
Vous pouvez crer et configurer des notifications qui seront dclenches lorsque certains vnements affectant la scurit se produisent. Vous pouvez par exemple dfinir l'envoi d'une notification toute tentative d'intrusion sur un ordinateur client. Se reporter "A propos de l'utilisation de notifications" la page 312. Se reporter "Affichage et filtrage des informations de notification administrateur" la page 313. Se reporter "Cration des notifications d'administrateur" la page 314.
A propos des diffrentes mthodes d'accs aux fonctions de cration de rapports

La fonction de cration de rapports fonctionne comme une application Web dans la console de Symantec Endpoint Protection Manager. L'application utilise un serveur Web pour fournir ces informations. Vous pouvez accder aux fonctions de rapport situes sur la page d'accueil, la page Contrleurs et la page Rapports partir de la console. Vous pouvez galement accder aux fonctions de la page d'accueil, de la page Contrleurs et de la page Rapports l'aide d'un navigateur Web autonome connect votre serveur de gestion. Vous pouvez effectuer toutes les fonctions de rapport depuis la console ou un navigateur Web autonome. Cependant, les autres fonctions de la console ne sont pas disponibles partir d'un navigateur autonome.
210
Remarque : Les informations du prsent document supposent que vous utilisez la console pour accder aux fonctions de rapport plutt qu'un navigateur Web. Les procdures d'utilisation des fonctions de cration de rapports sont similaires, quelle que soit la manire dont vous y accdez. Cependant, certaines procdures expliquant plus spcifiquement comment utiliser les fonctions de cration de rapports dans un navigateur autonome ne sont pas documentes : seule la mthode de connexion l'aide d'un navigateur Web autonome est explique. Se reporter "Ouverture d'une session de rapport depuis un navigateur Web autonome" la page 211. Se reporter "Connexion la console Symantec Endpoint Protection Manager." la page 39. Pour accder aux fonctions de rapport par l'une ou l'autre mthode, vous devez avoir Internet Explorer 6.0 ou suprieur. Les autres navigateurs Web ne sont pas pris en charge. Vous pouvez galement utiliser la console ou un navigateur Web pour afficher des rapports en cas de connexion par l'intermdiaire d'une session de terminal distance. Les pages de rapport et de journal s'affichent toujours dans la langue avec laquelle le serveur de gestion a t install. Pour afficher ces pages quand vous utilisez une console distante ou un navigateur, vous devez disposer de la police approprie sur l'ordinateur que vous utilisez. Pour accder aux rapports depuis un navigateur Web, vous devez avoir les informations suivantes :

Adresse IP ou nom d'hte du serveur de gestion. Nom et mot de passe de compte pour le gestionnaire.
Quand vous utilisez un navigateur Web pour accder des fonctions de rapport, aucune page ni icne de page n'est dans l'affichage. Tous les onglets prsents sur la page d'accueil et les pages Contrleurs et Rapports se trouvent en haut de la fentre du navigateur. Vous pouvez accder l'aide contextuelle en cliquant sur le lien En savoir plus, qui se trouve dans les pages de la console contenant des fonctions de cration de rapports. Se reporter "Modification du port utilis pour accder l'aide contextuelle pour le rapport" la page 211.
211
Ouverture d'une session de rapport depuis un navigateur Web autonome

Vous pouvez accder aux fonctions de la page d'accueil, de la page Contrleurs et de la page Rapports l'aide d'un navigateur Web autonome connect votre serveur de gestion. Vous pouvez excuter toutes les fonctions d'tablissement de rapports partir d'un navigateur Web autonome. Cependant, toutes les autres fonctions de la console ne sont pas disponibles depuis un navigateur autonome. Remarque : Vous devez installer Internet Explorer 6.0 ou une version ultrieure. Les autres navigateurs Web ne sont pas pris en charge. Se reporter "A propos des diffrentes mthodes d'accs aux fonctions de cration de rapports" la page 209. Pour ouvrir une session de rapport depuis un navigateur Web autonome
1 2
Ouvrez un navigateur Web. Tapez URL de rapport dans la zone de texte d'adresse en respectant le format suivant : http://nom serveur:port /reporting/index.php?
Lorsque la bote de dialogue de connexion s'affiche, tapez votre nom d'utilisateur et votre mot de passe, puis cliquez sur Ouvrir une session. Si vous disposez de plusieurs domaines, saisissez le nom du domaine dans la zone de texte Domain.
Modification du port utilis pour accder l'aide contextuelle pour le rapport

Si vous n'utilisez pas le port par dfaut lorsque vous installez les pages d'aide pour les rapports, vous ne pouvez pas accder l'aide contextuelle en ligne. Pour accder l'aide contextuelle quand vous utilisez un port autre que le port par dfaut, vous devez ajouter une variable au fichier Reporter.php. Se reporter "A propos des diffrentes mthodes d'accs aux fonctions de cration de rapports" la page 209. Pour modifier le port utilis pour accder l'aide contextuelle pour le rapport
1 2
Modifiez le rpertoire du lecteur:\Program Files\Symantec\Symantec Endpoint Protection Manager\Inetpub\Reporting\Resources. Ouvrez le fichier de configuration Reporter.php avec un diteur.
212
Ajoutez la ligne suivante au fichier et remplacez numro de port par le numro de port que vous avez utilis quand vous avez install l'aide de rapport. $scm_http_port=numro de port
Enregistrez et fermez le fichier.
Association du localhost l'adresse IP quand les adresses en boucle sont dsactives

Si vous avez dsactiv des adresses de bouclage sur l'ordinateur, les pages des rapports ne s'affichent pas. Si vous essayez de vous connecter la console Symantec Endpoint Protection Manager ou d'accder aux fonctions de reporting, vous obtenez le message d'erreur suivant : Impossible de communiquer avec un composant Reporting Les pages Accueil, Contrles et Rapports sont vides ; les pages Politiques, Clients et Admin ont un aspect et un fonctionnement normaux. Pour parvenir afficher les composants de rapports lorsque vous avez dsactiv des adresses de bouclage, vous devez associer le mot localhost l'adresse IP de votre ordinateur. Vous pouvez modifier le fichier des htes Windows pour associer localhost une adresse IP. Se reporter "A propos des diffrentes mthodes d'accs aux fonctions de cration de rapports" la page 209. Pour associer localhost l'adresse IP sur des ordinateurs excutant Windows
Placer le rpertoire l'emplacement de votre fichier d'htes. Par dfaut, le fichier d'htes se trouve dans %SystemRoot%\system32\drivers\etc
2 3
Ouvrir le fichier d'htes avec un diteur. Ajouter la ligne suivante au fichier d'htes : xxx.xxx.xxx.xxx localhost #pour vous connecter aux fonctions de notification o vous remplacez xxx.xxx.xxx.xxx par l'adresse IP de votre ordinateur. Vous pouvez ajouter un commentaire aprs le symbole de la livre (#). Par exemple, vous pouvez taper la ligne suivante : 192.168.1.100 localhost # cette entre est pour mon ordinateur de console
Enregistrer et fermer le fichier.
Surveillance de la protection de terminal A propos de Reporting
213
A propos de Reporting
Les fonctions de Reporting fournissent toutes les informations dont vous avez besoin pour contrler et grer la scurit de votre rseau. La page Accueil de la console Symantec Endpoint Protection Manager affiche des graphiques automatiquement cres contenant des informations sur les vnements importants rcemment survenus dans votre rseau. Vous pouvez utiliser les filtres de la page Rapports pour crer des rapports prdfinis ou personnaliss. La page Rapports vous permet galement d'afficher des reprsentations graphiques et des statistiques des vnements survenant au sein de votre rseau. Les filtres de la page Contrles vous permettent d'afficher des informations (issues des fichiers journaux) plus dtailles et en temps rel sur le rseau. Tableau 11-2 Tche
Surveiller l'tat de scurit en utilisant la page d'accueil (Symantec Endpoint Protection et Symantec Network Access Control)
Tches de reporting Description

Si vous avez install Symantec Endpoint Protection, la page Accueil affiche l'tat de scurit, des informations sur la distribution des dfinitions de virus, des liens Symantec Security Response et des liens vos rapports prfrs. Se reporter "A propos de la page d'accueil de Symantec Endpoint Protection" la page 215. Si vous avez install Symantec Network Access Control, le reporting comporte une page d'accueil contenant un vue rcapitulative globale de l'tat de conformit. Se reporter "Utilisation de la page Symantec Network Access Control Accueil" la page 226.
Gnrer des rapports rapides rapports rapides prdfinis et rapports graphiques (Symantec Endpoint personnalisables avec plusieurs options de filtrage Protection et Symantec configurables ; Network Access Control) Se reporter "Au sujet des rapports rapides" la page 269. Gnrer des rapports possibilit de planifier les rapports envoyer par courrier planifis (Symantec Endpoint lectronique aux destinataires intervalles rguliers Protection et Symantec Se reporter "A propos des rapports planifis" la page 278. Network Access Control)
214
Surveillance de la protection de terminal A propos de Reporting
Tche
Afficher les rapports rcapitulatifs (Symantec Endpoint Protection seulement)
Description
Vues rcapitulatives des rapports affichant l'tat de l'antivirus et de l'analyse proactive des menaces TruScan, de la protection contre les menaces rseau, de la conformit et de l'tat de site. Se reporter "Utiliser l'onglet Rsum de la page Contrleurs" la page 227.
Signaler les excutions comme des applications Web sur la console. L'application utilise un serveur Web pour fournir ces informations. Vous pouvez galement accder aux fonctions de Reporting partir de tout navigateur Web autonome tant connect votre serveur de gestion. Se reporter "A propos des diffrentes mthodes d'accs aux fonctions de cration de rapports" la page 209. Se reporter "A propos des rapports pouvant tre excuts" la page 242.
A propos des vnements consigns issus de votre rseau

Symantec Endpoint Protection tire les vnements qui s'affichent dans les rapports partir des journaux d'vnement sur les serveurs de gestion. Les journaux des vnements contiennent des horodatages dans les fuseaux horaires des clients. Lorsque le serveur de gestion reoit les vnements, il convertit leurs horodatages de manire ce qu'ils soient exprims dans l'heure GMT en vue de leur insertion dans la base de donnes. Lorsque vous crez des rapports, le logiciel de gnration de rapports affiche les informations sur les vnements l'heure locale de l'ordinateur sur lequel vous affichez les rapports. Certains types d'vnements tels que des propagations de virus peuvent gnrer un grand nombre d'vnements de scurit. Ces types d'vnements sont regroups avant d'tre transfrs au serveur de gestion. Vous pouvez rduire le nombre d'vnements envoys aux journaux antivirus et antispyware en configurant les paramtres de traitement des journaux. Ces options sont configures pour chaque politique antivirus et antispyware. Se reporter "Dfinir des paramtres de gestion des journaux dans une politique antivirus et antispyware" la page 457. Pour plus d'informations sur les vnements s'affichant sur la page d'accueil, consultez la page des signatures d'attaque du site Web Symantec Security Response. Aprs vous tre connect Internet, accdez la page : http://securityresponse.symantec.com/business/security_response/attacksignatures/ index.jsp
Surveillance de la protection de terminal A propos de la page d'accueil de Symantec Endpoint Protection
215
Comment les rapports exploitent les journaux stocks dans la base de donnes
Symantec Endpoint Protection collecte et lit les vnements qui se produisent sur votre rseau partir des journaux des serveurs de gestion stocks dans la base de donnes. Il peut s'agir d'une base de donnes Microsoft SQL existante de votre rseau ou de la base de donnes intgre avec le logiciel de rapports. La base de donnes doit tre entretenue en fonction des rapports. Se reporter "A propos de la gestion des vnements de journal dans la base de donnes" la page 404. Vous pouvez obtenir le schma de base de donnes que Symantec Endpoint Protection utilise pour crer vos propres rapports l'aide de logiciels tiers. Pour plus d'informations sur le schma de base de donnes, tlchargez la Rfrence du schma de base de donnes la plus rcente partir du site de documentation de Symantec Endpoint Protection.
A propos de la page d'accueil de Symantec Endpoint Protection

Si Symantec Endpoint Protection est install sur votre systme et si les droits associs votre compte administrateur vous autorisent afficher les rapports, votre page d'accueil affiche alors les rapports gnrs de faon automatique. Ces rapports contiennent des informations importantes quant la scurit de votre rseau. Si vous n'tes pas autoris afficher les rapports, les rapports gnrs de faon automatique n'apparaissent pas sur votre page d'accueil. La page d'accueil contient les rapports gnrs de faon automatique ainsi que plusieurs lments relatifs l'tat. Certains des rapports de la page d'accueil contiennent des liens hypertexte vers des rapports plus dtaills. Vous pouvez cliquer sur les nombres et certains diagrammes dans les rapports de la page d'accueil pour consulter des dtails. Remarque : Les rapports sont automatiquement filtrs en fonction des autorisations de l'utilisateur connect. Si vous tes un administrateur systme, vous pouvez consulter des informations sur tous les domaines. Si vous tes un administrateur limit dont les droits d'accs se limitent un seul domaine, vous pouvez consulter uniquement des informations sur ce domaine. Tableau 11-3 dcrit en dtail chaque lment de la page d'accueil de Symantec Endpoint Protection.
216
Tableau 11-3
Elments et rapports de la page d'accueil
Informations sur les rapports ou Description l'tat

Etat de la scurit L'tat de la scurit peut tre Bon ou Attention requise. Les seuils que vous paramtrez dans l'onglet Etat de la scurit dfinissent les tats Bon et Attention requise. Pour accder l'onglet Etat de la scurit, cliquez sur le lien Prfrences de la page d'accueil. Se reporter "Configuration des seuils d'tat de scurit" la page 231. Pour plus de dtails, cliquez sur l'icne correspondant l'tat de la scurit sur la page d'accueil.
217

Rsum des actions par nombre de dtections | Rsum des actions par nombre d'ordinateurs Par dfaut, la page d'accueil affiche un rsum des actions des dernires 24 heures. Ce rsum indique galement le nombre d'infections associes aux virus et aux risques de scurit. Vous pouvez cliquer sur le lien Prfrences pour modifier l'intervalle de temps utilis et le dfinir sur La dernire semaine plutt que sur Les dernires 24 heures. Ce lien vous permet galement de remplacer l'affichage "par nombre de dtections" par l'affichage "par nombre d'ordinateurs". Se reporter "A propos des options d'affichage Domicile et Contrles" la page 230. Le rsum des actions par nombre de dtections contient les informations suivantes :

nombre d'actions entreprises sur des virus et des risques de scurit ; incidence de nouvelles dtections de virus et de risques de scurit ; nombre d'ordinateurs toujours infects par des virus et des risques de scurit.
Le rsum des actions par nombre d'ordinateurs contient les informations suivantes : nombre d'ordinateurs distincts sur lesquels les diverses actions ont t excutes sur des virus et des risques de scurit ; nombre total de nouvelles dtections de virus et de risques de scurit ;

nombre total d'ordinateurs restant infects par des virus et des risques de scurit.
Par exemple, supposez que vous avez cinq actions de nettoyage dans la vue du nombre de dtections. Si toutes les dtections se sont produites sur le mme ordinateur, la vue du nombre d'ordinateurs indique alors la valeur 1 plutt que 5. Pour obtenir un rapport dtaill pour l'une des actions, cliquez sur le nombre de virus ou de risques de scurit. Tout risque de scurit indique qu'une analyse proactive des menaces TruScan a dtect un lment suspect requrant votre attention. Cet lment peut tre inoffensif ou non. Si vous constatez que ce risque est inoffensif, vous pouvez utiliser la politique d'exceptions centralises pour l'exclure des dtections l'avenir. Si vous avez configur les analyses proactives des menaces TruScan pour consigner et que vous dterminez que ce risque est nocif, vous pouvez utiliser la politique d'exceptions centralises pour le terminer ou le mettre en quarantaine. Si vous avez utilis les paramtres d'analyse proactive de menace TruScan par dfaut, alors Symantec Endpoint Protection ne peut pas rsoudre le risque. Si vous constatez que ce risque est nocif, vous devez le supprimer manuellement.
218

Rsum des actions par nombre de dtections | Rsum des actions par nombre d'ordinateurs (Suite) Le compteur Nouvellement infect contient le nombre de risques ayant infect des ordinateurs pendant l'intervalle spcifi. Le compteur Nouvellement infect est un sous-ensemble de Toujours infects. Le compteur Encore infect affiche le nombre de risques total qu'une analyse continue de considrer comme infects (toujours dans l'intervalle de temps spcifi). Par exemple, un ordinateur peut encore tre infect parce que Symantec Endpoint Protection peut seulement supprimer le risque partiellement. Aprs avoir tudi le risque, vous pouvez effacer le compteur Encore infect du journal d'tat de l'ordinateur. Les compteurs Nouvellement infect et Encore infect identifient les risques qui exigent votre intervention pour tre nettoys. Dans la plupart des cas, vous pouvez prendre cette mesure depuis la console et n'tes pas oblig d'utiliser l'ordinateur.
Remarque : Un ordinateur est compt en tant qu'lment nouvellement

infect si l'vnement de dtection s'est produit pendant l'intervalle de temps de la page d'accueil. Par exemple, si un risque non rsolu a affect un ordinateur dans les dernires 24 heures, le compteur Nouvellement infect augmente sur la page d'accueil. Le risque peut tre non rsolu en raison d'une rsolution partielle ou parce que la politique de scurit pour ce risque est dfinie sur Consigner seulement. Vous pouvez configurer un balayage de base de donnes pour supprimer ou conserver les vnements de dtection qui ont abouti des risques non rsolus. Si le balayage est configur pour supprimer les vnements de risque non rsolus, le compteur de la page d'accueil Encore infect ne contient plus ces vnements. Ces vnements vieillissent et sont vacus de la base de donnes. Cette disparition ne signifie pas que les risques ont t rsolus. Aucune limite temporelle ne s'applique aux entres du compteur Encore infect. Une fois les risques nettoys, vous pouvez modifier l'tat infect pour l'ordinateur. Vous pouvez modifier cet tat dans le journal Etat de l'ordinateur en cliquant sur l'icne associe l'ordinateur dans la colonne Infects.
Remarque : Le compteur Nouvellement infects ne diminue pas lorsque

l'tat de l'infection de l'ordinateur est effac dans le journal d'tat de l'ordinateur ; c'est le compteur Toujours infects qui diminue. Vous pouvez dterminer le nombre total d'vnements qui se sont produits dans la dernire priode configure pour l'afficher sur la page d'accueil. Pour dterminer le nombre total, additionnez les compteurs de toutes les lignes du rsum des actions mis part la ligne Encore infect. Se reporter "Affichage des journaux" la page 296.
219

Attaques | Risques | Infections Par heure : Dernires 12 heures | Par heure : Dernires 24 heures Ce rapport se compose d'un graphique linaire. Le graphique linaire montre l'incidence des attaques, dtections ou infections dans votre rseau de scurit sur les dernires 12 ou 24 heures. Vous pouvez choisir de slectionner l'un des lments suivants : Les attaques reprsentent les incidents que la protection contre les menaces rseau a contrecarrs. Les risques reprsentent toutes les dtections de l'analyse de virus et de spywares ainsi que de l'analyse proactive des menaces TruScan qui ont t effectues. Les infections reprsentent les virus et les risques de scurit qui ont t dtects mais qui ne peuvent pas tre entirement rsolues.
Vous pouvez modifier l'affichage en cliquant sur une nouvelle vue dans la zone de liste.
Remarque : Vous pouvez cliquer sur le lien Prfrences pour modifier

l'intervalle de temps par dfaut qui est utilis. Se reporter "A propos des options d'affichage Domicile et Contrles" la page 230. Rsum de l'tat des notifications Le rsum de l'tat des notifications prsente un rsum en ligne de l'tat des notifications que vous avez configures. Par exemple, 100 notifications sans accus de rception pendant les 24 dernires heures. Se reporter "Cration des notifications d'administrateur" la page 314.
220

Rsum de ltat Le Rsum de l'tat dcrit l'tat oprationnel des ordinateurs sur votre rseau. Il indique le nombre d'ordinateurs qui prsentent les problmes suivants sur le rseau :

Le moteur antivirus est dsactiv. Auto-Protect est dsactiv. La protection contre les interventions est dsactive.
Les ordinateurs ncessitent un redmarrage pour finir de rsoudre un risque ou d'installer un logiciel LiveUpdate tlcharg. Les ordinateurs ont chou une vrification de l'intgrit d'hte. Ce nombre est toujours gal zro si Symantec Network Access Control n'est pas install. Les ordinateurs qui ne se sont pas authentifis auprs du serveur de gestion. Vous pouvez cliquer sur chaque nombre sous Ordinateurs pour afficher les dtails. En outre, le nombre de notifications sans accus de rception survenues au cours des dernires 24 heures apparat comme lien au-dessous du Rsum de l'tat. Cliquez sur le lien pour ouvrir la fentre Notifications. Se reporter "Affichage et filtrage des informations de notification administrateur" la page 313. Distribution des dfinitions de virus | La section Distribution des dfinitions de virus et Distrib.signature de Signatures de prvention d'intrusion prvention d'intrusion de la page d'accueil affiche comment les dfinitions de virus et les signatures IPS actuelles sont distribues. Vous pouvez passer d'une section l'autre en cliquant sur une nouvelle vue dans la zone de liste.
221

Security Response La section Security Response affiche les menaces principales et les dernires menaces telles qu'elle sont dtectes par Symantec Security Response. Elle affiche galement le nombre d'ordinateurs qui ne sont pas protgs contre ces menaces sur le rseau. Le compteur ThreatCon indique le niveau actuel de gravit de la menace pour les ordinateurs d'un rseau. Les niveaux de gravit sont bass sur les valuations des menaces que Symantec Security Response tablit. Le niveau de gravit ThreatCon fournit une reprsentation globale de la scurit sur Internet. Vous pouvez cliquer sur les liens pour obtenir des informations supplmentaires. Se reporter "A propos de l'utilisation des liens Security Response" la page 224.
Remarque : Symantec ne prend pas en charge l'installation de Symantec

Client Firewall sur le mme ordinateur que Symantec Endpoint Protection Manager. Si vous les installez tous deux sur le mme ordinateur, cette situation peut entraner des erreurs de CGI lorsque vous cliquez sur les liens Security Response de la page d'accueil. Rsum des applications surveilles Le Rsum des applications surveilles indique les occurrences sur votre rseau des applications qui figurent sur les listes suivantes :

La liste Dtection d'application commerciale La liste des dtections proactives forces de menaces TruScan (c'est--dire votre liste personnalise d'applications surveilles).
Vous pouvez cliquer sur un nombre pour afficher un rapport plus dtaill. Rapports sur les favoris La section Rapports sur les favoris contient trois rapports par dfaut. Vous pouvez personnaliser cette section en remplaant un ou plusieurs de ces rapports par n'importe quel autre rapport par dfaut ou personnalis de votre choix. Les rapports sur les favoris s'excutent chaque fois que vous les affichez de sorte que leurs donnes soient toujours pertinentes. Ils s'affichent dans une nouvelle fentre. Pour slectionner les rapports auxquels vous souhaitez accder depuis la page d'accueil, vous pouvez cliquer sur l'icne Plus (+) en regard de Rapports sur les favoris. Se reporter "Configuration des Rapports sur les favoris dans la page d'accueil" la page 222.
Vous pouvez cliquer sur Prfrences sous Etat de la scurit pour modifier la priode des rapports et des rsums qui s'affichent sur ces pages. Le paramtre par dfaut est Dernires 12 heures. Vous pouvez galement choisir l'option
222
Surveillance de la protection de terminal Configuration des Rapports sur les favoris dans la page d'accueil
Dernires 24 heures. Vous pouvez modifier les rapports par dfaut qui sont affichs dans la section Rapports sur les favoris de la page d'accueil.
Configuration des Rapports sur les favoris dans la page d'accueil

Vous pouvez configurer la section Rapports sur les favoris de la page d'accueil pour crer des liens vers trois rapports maximum et faciliter ainsi leur consultation. Vous pouvez utiliser cette fonction pour afficher les rapports que vous consultez frquemment, chaque fois que vous vous connectez la console Symantec Endpoint Protection Manager. Les rapports sur les favoris s'excutent chaque fois que vous les affichez et les informations qu'ils contiennent sont donc toujours jour. Les rapports suivants apparaissent dans la section Rapports sur les favoris par dfaut :

Principales sources d'attaque Corrlation des principales dtections de risque Distribution des menaces - Protection proactive TruScan
Remarque : Lorsque vous personnalisez l'affichage, c'est uniquement l'affichage du compte utilisateur actuellement connect qui est personnalis. Les paramtres que vous configurez sur cette page sont conservs d'une session l'autre. A votre prochaine connexion la console avec les mmes coordonnes utilisateurs, ces paramtres seront utiliss dans la page d'accueil. Tableau 11-4 dcrit les options d'affichage de la page d'accueil.
Surveillance de la protection de terminal Configuration des Rapports sur les favoris dans la page d'accueil
223
Tableau 11-4
Les rapports sur les favoris de la page d'accueil offrent diverses options Dfinition
Indique les types de rapport disponibles. Symantec Endpoint Protection fournit les types de rapports suivants :

Option
Type de rapport
Contrle des applications et des priphriques Audit Conformit Etat d'ordinateur Protection contre les menaces rseau Risque Analyse Systme
Nom du rapport
Rpertorie les noms des rapports disponibles pour le type de rapport que vous avez slectionn. Si vous avez sauvegard des filtres pour le rapport que vous avez slectionn, ils apparaissent dans cette zone de liste. Le filtre par dfaut est toujours rpertori.
Filtre
Se reporter "A propos de la page d'accueil de Symantec Endpoint Protection" la page 215. Pour configurer les rapports sur les favoris de la page d'accueil
1 2 3 4 5
Cliquez sur Domicile. Cliquez sur l'icone en forme de signe plus en regard de Rapports sur les favoris. Dans la zone de liste du rapport que vous souhaitez modifier, cliquez sur un type de rapport. Par exemple, cliquez sur Risque. Dans la zone de liste suivante, cliquez sur le nom du rapport appropri. Par exemple, cliquez sur Distribution des risques dans le temps. Si vous avez sauvegard des filtres pour le rapport que vous avez slectionn, slectionnez celui que vous souhaitez utiliser ou slectionnez le filtre par dfaut.
224
Surveillance de la protection de terminal A propos de l'utilisation des liens Security Response
6 7
Rptez ces oprations pour les deuximes et troisime liens de rapport, si vous le souhaitez. Cliquez sur OK. Les liens de rapport que vous avez slectionns apparaissent sur votre page d'accueil.
A propos de l'utilisation des liens Security Response

La page d'accueil contient un rcapitulatif des informations provenant du site Web de Symantec Security Response. Ces informations sont composes d'un graphique indiquant le niveau de gravit ThreatCon, ainsi que de liens vers le site Web de Symantec Security Response et d'autres sites Web de scurit. Le niveau ThreatCon affiche la condition d'Internet durant les dernires 24 heures. Le niveau est rvalu toutes les 24 heures moins que l'activit Internet ne ncessite une rvaluation plus rapide. Les niveaux ThreatCon sont les suivants :
1 - Normal Aucune activit d'incident de rseau ni aucune activit de code malveillant avec un indique de risque lev ou modr. Sous des conditions normales, seul un fonctionnement de scurit de routine conu pour protger des menaces de rseau normales est ncessaire. Vous pouvez utiliser les systmes automatiss et les mcanismes de notification. 2 - Elev Des activits d'attaque sont prvues ou ont t constates, sans qu'aucun vnement particulier ne se soit produit. Cette valuation est utilise lorsqu'un code malveillant atteint un indice de risque modr. Si le niveau de risque est moyen, un examen soigneux des systmes vulnrables et exposs se montre alors plus appropri. Les applications de scurit doivent tre mises jour avec de nouvelles signatures et rgles ds que ces dernires sont disponibles. Un contrle mticuleux des journaux est recommand, mais aucune modification de l'infrastructure de scurit en cours n'est requise. 3 Elev Ce niveau indique qu'une menace isole affectant l'infrastructure informatique est prsente ou qu'un code malveillant a atteint un indice de risque svre. Si le niveau de risque est lev, une surveillance accrue est ncessaire. Les applications de scurit doivent tre mises jour avec de nouvelles signatures et rgles ds que ces dernires sont disponibles. Le redploiement et la reconfiguration des systmes de scurit est recommand. 4 - Extrme
Surveillance de la protection de terminal A propos de l'utilisation des liens Security Response
225
Ce niveau indique qu'une activit d'incident rseau globale extrme a t dtecte. La mise en uvre de mesures contre ce niveau de menace pendant une priode prolonge risque d'entraner des problmes et d'affecter le fonctionnement de l'infrastructure rseau. Pour plus d'informations sur les niveaux de menace, cliquez sur le lien Symantec pour afficher le site Web de Symantec. Remarque : Chaque risque de scurit peut tre compris entre 1 et 5. Chaque lien affiche une page dans une nouvelle fentre. Tableau 11-5 dcrit les liens Security Response. Tableau 11-5 Lien
Alertes de scurit
Liens Security Response sur la page d'accueil de Reporting Informations affiches

Affiche un rcapitulatif des menaces potentielles pour votre rseau scuris d'aprs les informations du site Web de Symantec Security Response. Ce rcapitulatif inclut les dernires menaces, les principales menaces ainsi que des liens permettant d'accder aux outils de suppression de ces menaces. Vous pouvez galement effectuer des recherches dans la base de donnes des menaces de Symantec Security Response.
Symantec
Affiche le site Web de Symantec. Vous pouvez obtenir des informations concernant les risques et les risques de scurit, le tlchargement des dfinitions de virus et des informations rcentes concernant les produits de scurit Symantec. Affiche la page de tlchargement des dfinitions de virus du site Web de Symantec. Affiche le site Web de Symantec Security Response, qui fournit les informations les plus rcentes sur les dernires menaces, ainsi que des conseils de scurit. Affiche le site Web de Security Focus, qui fournit des informations sur les derniers virus.
Dfinitions
Dernires menaces
Security Focus
Se reporter "A propos de la page d'accueil de Symantec Endpoint Protection" la page 215.
226
Surveillance de la protection de terminal Utilisation de la page Symantec Network Access Control Accueil
Utilisation de la page Symantec Network Access Control Accueil

Si Symantec Network Access Control est install et que vous disposez des droits suffisants pour afficher des rapports, votre page Accueil affiche des rsums gnrs automatiquement. Ces rapports contiennent des informations importantes sur l'tat de conformit du rseau. Certains des rsums comportent des hyperliens vers des rapports plus dtaills. Vous pouvez cliquer sur le diagramme et les numros des rcapitulatifs pour consulter des dtails. Remarque : Les rapports sont filtrs automatiquement selon les permissions de l'utilisateur connect. Si vous tes administrateur systme, vous voyez des informations travers les domaines. Si vous tes administrateur limit avec des droits d'accs un seul domaine, vous voyez seulement des informations issues de ce domaine. Tableau 11-6 dcrit les rapports de la page Accueil pour Symantec Network Access Control. Tableau 11-6 Rsum Symantec Network Access Control Rsums de la page Accueil Description
Echec d'tat de conformit du rseau La section Echec d'tat de conformit du rseau fournit un clich de la conformit globale de votre rseau pour la priode configure. Elle affiche les clients qui ont tent de se connecter au rseau mais n'ont pas pu parce qu'ils sont non conformes. Distribution d'tat de conformit Affiche les clients qui ont chou la vrification d'intgrit de l'hte qui s'excute sur leur ordinateur. Ce rsum affiche le taux d'chec de la spcification de conformit globale. Elle contient un diagramme barres reprsentant le nombre de stations de travail uniques, par type d'vnement d'chec de contrle. Des exemples des types d'vnement d'chec de contrle sont un problme d'antivirus, de pare-feu ou de VPN.
Rsum des clients par chec de conformit
Surveillance de la protection de terminal Utiliser l'onglet Rsum de la page Contrleurs
227
Rsum
Dtails d'chec de conformit
Description
Fournit un histogramme plus dtaill que le rsum Clients par chec de conformit. Par exemple, supposons que le rsum Clients par chec de conformit montre dix clients avec un chec de conformit d'antivirus. Par opposition, ce rapport affiche les dtails suivants : Quatre clients ne contiennent aucun logiciel antivirus actuellement en fonctionnement. Deux clients n'ont aucun logiciel antivirus install. Quatre clients ont des fichiers de dfinitions de virus prims.
Si seul Symantec Network Access Control est install, les rapports de la page Accueil ne sont pas personnalisables, l'exception d'un paramtre : la priode couverte par les rapports et les rsums. Vous pouvez modifier la priode en utilisant le lien Prfrences. Les options sont la semaine passe et les dernires 24 heures. Remarque : Si vous tes administrateur systme, vous voyez des informations travers les domaines. Si vous tes administrateur limit avec des droits d'accs un seul domaine, vous ne voyez que des informations issues de ce domaine.
Utiliser l'onglet Rsum de la page Contrleurs

L'onglet Rsum de la page Contrleurs affiche des rsums concis et volus des donnes de journal importantes pour donner une vision immdiate de l'tat de scurit. Vous pouvez afficher les rsums suivants sur l'onglet Rsum :

Antivirus et menace proactive TruScan Protection contre les menaces rseau Conformit Etat du site
Tableau 11-7 rpertorie le contenu des vues rcapitulatives.
228
Tableau 11-7 Vue rsume
Vues rsumes et contenu Contenu

La vue Antivirus et menace proactive TruScan contient les informations suivantes :

Antivirus et menace proactive TruScan
Analyses proactives des menaces TruScan Distribution des risques Nouveaux risques Distribution des risques par source Distribution des risques par attaquant Distribution des risques par groupe
Remarque : Les nouveaux risques sont valus partir du

dernier balayage de la base de donnes et pour la priode configure sur l'onglet Page d'Accueil et Contrleurs des Prfrences. Se reporter "A propos des options d'affichage Domicile et Contrles" la page 230. Par exemple, supposez que votre plage horaire de Prfrences est dfinie sur les dernires 24 heures. Et supposons que votre base de donnes soit dfinie pour un balayage chaque dimanche soir avec suppression des risques gs de plus de trois jours. Si un virus particulier infecte un ordinateur de votre rseau le lundi, cela est signal comme nouveau risque. Si un autre ordinateur est infect par le mme virus le mercredi, cela n'est pas reflt dans ce compteur. Si ce mme virus infecte un ordinateur de votre rseau le lundi suivant, il est signal ici comme nouvellement infect. Il est signal en tant que nouveau parce qu'il s'est produit pendant les dernires 24 heures, alors que la base de donnes a t nettoye le dimanche des entres remontant plus de trois jours. Les dtections prcdentes de risques se sont produites il y a plus de trois jours et ont donc t supprimes de la base de donnes. Protection contre les menaces rseau La vue Protection contre les menaces rseau contient les informations suivantes :

Principales cibles attaques par groupe Types d'vnements d'attaque Principales sources dattaque Evnements de scurit par gravit
229
Vue rsume
Conformit
Contenu
La vue Conformit contient les informations suivantes :

Echec d'tat de conformit du rseau Rpartition de l'tat de conformit Rsum des clients par dfaut de conformit Dtails du dfaut de conformit
Remarque : Si Symantec Network Access Control n'est pas

install sur votre ordinateur, la vue Conformit ne contient pas de donnes. Etat du site La vue Etat du site contient les informations suivantes :

Etat du site Principaux gnrateurs d'erreurs par serveur Principaux gnrateurs d'erreurs par client Echecs de rplication dans le temps Principaux gnrateurs d'erreurs par Enforcer
Remarque : Si Symantec Network Access Control n'est pas

install sur votre ordinateur, les Principaux gnrateurs d'erreurs par le module Enforcer ne contiennent pas de donnes.
Si Symantec Network Access Control est le seul install sur votre ordinateur, vous devez tenir compte des informations suivantes :
La vue Conformit dcrite dans la section Tableau 11-7 comprend votre page d'Accueil. La vue Etat de site est la seule vue disponible sur l'onglet Rsum.
Vous pouvez cliquer sur les diagrammes circulaires de l'onglet Rsum pour afficher plus de dtails. Pour le rsum Principales cibles attaques par sous Protection contre les menaces rseau, utilisez la zone de liste pour afficher le rcapitulatif par groupes, sous-rseaux, clients ou ports. Remarque : Si votre ordinateur comporte uniquement Symantec Endpoint Protection, les diagrammes de la vue rcapitulative Conformit sont vides. Si votre ordinateur comporte uniquement Symantec Network Access Control, l'onglet Rsum contient uniquement la vue Etat de site. Vous pouvez afficher les informations rcapitulatives de Conformit sur la page d'Accueil.
230
Surveillance de la protection de terminal Configuration des prfrences de rapport
Pour modifier le type de sommaire
1 2
Dans la fentre principale, cliquez sur Contrleurs. Dans la partie suprieure de l'onglet Rsum, dans la zone de liste Type de rsum, slectionnez le type de vue afficher.
Configuration des prfrences de rapport

Vous pouvez configurer les prfrences suivantes des rapports :

Les pages Accueil et Contrles affichent des options Les seuils de l'tat de la scurit Les options d'affichage qui sont utilises pour les journaux et les rapports, ainsi que le chargement du fichier journal hrit
Pour plus d'informations concernant les options de prfrence configurables, vous pouvez cliquer sur Aide dans chaque onglet de la bote de dialogue Prfrences. Pour configurer des prfrences de rapport
1 2
Depuis la console, dans la page d'accueil, cliquez sur Prfrences. Cliquez sur l'un des onglets suivants, selon le type de prfrences que vous voulez dfinir :
Domicile et Contrles Se reporter "A propos des options d'affichage Domicile et Contrles" la page 230. Etat de la scurit Se reporter "Configuration des seuils d'tat de scurit" la page 231. Journaux et rapports Se reporter "Configuration des journaux et des prfrences de rapports" la page 232.
3 4
Dfinissez les valeurs des options que vous voulez modifier. Cliquez sur OK.
A propos des options d'affichage Domicile et Contrles

Vous pouvez dfinir les prfrences suivantes pour la page d'accueil et l'onglet de Vue rsume de la page Contrles :
L'unit de temps qui est utilise pour les rapports dans la page d'accueil et dans l'onglet Vue rsume de la page Contrles
231
La frquence d'actualisation automatique de la page d'accueil et de l'onglet Vue rsume de la page Contrles L'ampleur des notifications qui sont incluses au nombre de notifications sans accus de rception dans la page d'accueil Le contenu du rsum des actions dans la page d'accueil
Par dfaut, vous consultez les informations des dernires 24 heures, mais vous pouvez consulter celles de la semaine coule si vous le souhaitez. Vous pouvez galement configurer la frquence d'actualisation automatique de la page d'accueil et de l'onglet Vue rsume de la page Contrles. Les valeurs valides vont de jamais toutes les 5 minutes. Remarque : Pour configurer la frquence d'actualisation des diffrents journaux, vous pouvez afficher le journal que vous voulez consulter. Ensuite, vous pouvez slectionner la frquence que vous voulez dans la zone de liste d'actualisation automatique de la vue de ce journal. Si vous tes un administrateur systme, vous pouvez configurer le nombre de la page d'accueil pour n'inclure que les notifications que vous avez cres mais qui n'ont pas d'accus de rception. Par dfaut, les administrateurs systme voient le nombre total de notifications sans accus de rception, quel que soit le crateur des notifications. Si vous tes un administrateur limit, le nombre des notifications sans accus de rception ne compte que celles que vous avez cres vous-mme sans accus de rception. Vous pouvez configurer le Rsum des actions dans la page d'accueil pour afficher selon le nombre de dtections sur les ordinateurs ou selon le nombre d'ordinateurs. Se reporter "A propos de la page d'accueil de Symantec Endpoint Protection" la page 215. Pour obtenir la description de ces options d'affichage, consultez l'aide contextuelle de l'onglet Domicile et Contrles. Vous pouvez accder l'aide contextuelle partir du lien Prfrences de la page d'accueil. Se reporter "Configuration des prfrences de rapport" la page 230.
Configuration des seuils d'tat de scurit

Les seuils d'tat de la scurit dfinis dterminent quel moment le message d'tat de la scurit sur la page d'accueil de la console Symantec Endpoint Protection Manager est considr comme tant mdiocre. Les seuils sont exprims en pourcentage et refltent quand votre rseau est considr non conforme par rapport vos politiques de scurit. Par exemple, vous pouvez dfinir le
232
pourcentage des ordinateurs avec des dfinitions de virus primes qui dclenche un tat de scurit mdiocre. Vous pouvez galement dfinir l'ge (en jours) que doivent avoir les dfinitions pour tre considres comme tant primes. Symantec Endpoint Protection dtermine ce qui est jour quand il calcule, comme suit, si les signatures ou les dfinitions sont primes. Sa norme est base sur les dfinitions de virus les plus jour et sur les dates de signature d'IPS disponibles sur le serveur de gestion sur lequel la console s'excute. Remarque : Si vous avez install uniquement Symantec Network Access Control, vous ne disposerez pas de l'onglet Etat de la scurit permettant la configuration des seuils de scurit. Pour obtenir la description de ces options d'affichage, consultez l'aide contextuelle de l'onglet Etat de la scurit. Vous pouvez accder l'aide contextuelle partir du lien Prfrences de la page d'accueil. Se reporter "Configuration des prfrences de rapport" la page 230. Pour configurer des seuils d'tat de scurit
1 2
Depuis la console, dans la page d'accueil, cliquez sur Prfrences. Dans l'onglet Etat de la scurit, slectionnez les lments que vous voulez inclure dans les critres qui dterminent l'tat global de scurit de la page d'accueil. Pour chaque lment, tapez le numro vous voulez pour dclencher un tat Attention requise.. Cliquez sur OK.
3 4
Configuration des journaux et des prfrences de rapports

Vous pouvez dfinir des prfrences dans les zones suivantes pour les journaux et les rapports :
Le format de date et le sparateur de date qui sont utiliss pour l'affichage de la date Le nombre de lignes, le fuseau horaire et le format de l'adresse IP qui sont utiliss pour l'affichage du tableau L'affichage du filtre dans les rapports et les notifications La disponibilit des donnes du journal des ordinateurs du rseau qui excutent le logiciel Symantec Antivirus 10.x
Surveillance de la protection de terminal Elimination des virus et des risques de scurit
233
Pour obtenir la description de ces options d'affichage, consultez l'aide contextuelle de l'onglet Journaux et Rapports. Vous pouvez accder l'aide contextuelle partir du lien Prfrences de la page d'accueil. Remarque : Le format d'affichage de la date que vous dfinissez ici ne s'applique pas aux dfinitions de virus les dates et aux versions qui s'affichent dans des colonnes du tableau. Ces lments utilisent toujours le format A-M-J. Se reporter "Configuration des prfrences de rapport" la page 230.
Elimination des virus et des risques de scurit

L'limination des infections par virus et des risques de scurit est une tche que vous pouvez effectuer tous les jours ou en fonctions de vos besoins, selon l'tat de scurit de votre rseau. Vous devez d'abord identifier et localiser les risques, puis choisir la mthode de traitement utiliser. Une fois les problmes rsolus, vous pouvez mettre jour le journal relatif l'tat de l'ordinateur pour indiquer que vous avez rpondu aux risques. Pour plus d'informations sur le dpannage anti-virus, consultez le document suivant de la base de donnes Symantec : Les 5 tapes du dpannage anti-virus (ID document 2007011014341948). Tableau 11-8 Etape Etapes pour liminer les virus et les risques de scurit Description
Identifiez tous les ordinateurs client infects Se reporter "Identification des ordinateurs ou les ordinateurs en danger. infects et risque" la page 234. Dterminez pourquoi les ordinateurs sont infects ou en danger Vous pouvez vrifier pour vous assurer que les ordinateurs ont Symantec Endpoint Protection install et configur correctement. Vous pouvez excuter des mises jour et des analyses pour vrifier que vous consultez la liste d'infections et de risques la plus rcente. Se reporter "Mise jour des dfinitions et ranalyse" la page 237.
234
Etape
Rsolvez l'infection ou le risque
Description
La remdiation dpend du type d'infection ou du risque. La correction peut se faire de l'une des manires suivantes : Passer en revue les actions associes aux analyses et refaire une analyse des ordinateurs infects ou en danger. Se reporter "Modification d'une action et ranalyse des ordinateurs identifis" la page 235. Se reporter "Redmarrage des ordinateurs ncessitant un redmarrage pour terminer la rsolution" la page 236. Examiner et nettoyer les risques restants. Se reporter "A propos de l'tude et du nettoyage des risques restants" la page 236. Eliminez tous les vnements suspects (clients Windows seulement). Se reporter "Elimination d'un vnement suspect" la page 237.
Identification des ordinateurs infects et risque

La premire tche est d'identifier les ordinateurs qui sont infects et risque. Se reporter "Elimination des virus et des risques de scurit" la page 233. Pour identifier les ordinateurs infects
Dans la console, cliquez sur Accueil et consultez le rsum des actions. Si vous tes un administrateur systme, les compteurs du nombre d'ordinateurs nouvellement infects et du nombre d'ordinateurs encore infects de votre site sont affichs. Si vous tes un administrateur de domaine, les compteurs du nombre d'ordinateurs nouvellement infects et du nombre d'ordinateurs encore infects de votre domaine sont affichs. Le compteur Encore infect est un sous-ensemble du compteur Nouvellement infect. Le compteur Encore infect diminue mesure que vous liminez les risques de votre rseau. Les ordinateurs sont encore infects si une analyse ultrieure les signale comme infects. Par exemple, si Symantec Endpoint Protection n'a nettoy un risque que partiellement sur un ordinateur, Auto-Protect dtecte toujours le risque.
Dans la console, cliquez sur Rapports.
235
3 4 5
Dans la zone de liste Type de rapport, cliquez sur Risque. Dans la zone de liste Slectionner un rapport, cliquez sur Ordinateurs infects et risque. Cliquez sur Crer un rapport et notez les listes des ordinateurs infects et risque qui apparaissent.
Modification d'une action et ranalyse des ordinateurs identifis

L'tape suivante dans la rsolution des risques de votre rseau est d'identifier pourquoi les ordinateurs sont encore infects ou risque. Consultez l'action qui a t effectue pour chaque risque sur les ordinateurs infects et risque. Il se peut que l'action qui a t configure et effectue soit Laiss tel quel. Si l'action qui a t effectue est Laiss tel quel, vous devez nettoyer le risque de l'ordinateur, supprimer l'ordinateur du rseau ou accepter le risque. Si vous le souhaitez, vous pouvez modifier la politique antivirus et antispyware applique au groupe auquel appartient cet ordinateur. Vous pouvez galement configurer une action diffrente pour cette catgorie de risques ou pour ce risque spcifique. Pour identifier les actions qui doivent tre modifies et ranalyser les ordinateurs identifis
1 2
Dans la console, cliquez sur Contrles. Dans l'onglet Journaux, slectionnez le journal des risques, puis cliquez sur Afficher le journal. La colonne des vnements du journal des risques affiche ce qui s'est produit et l'action qui a t effectue. La colonne Nom du risque affiche les noms des risques qui sont toujours actifs. La colonne Utilisateur du groupe de domaine affiche le groupe auquel appartient l'ordinateur. Si un client est risque parce qu'une analyse a effectu l'action Laiss tel quel, vous devrez peut-tre modifier la politique antivirus et antispyware pour le groupe. La colonne Ordinateur affiche les noms des ordinateurs qui contiennent encore des risques actifs. Se reporter "Configuration des actions pour des dtections connues de virus et de risque de scurit sur les clients Windows" la page 466. Si votre politique est configure pour utiliser le mode de transfert, elle est transfre aux clients du groupe au prochain battement. Se reporter "Configurer le mode de transfert ou le mode de traction pour mettre jour les politiques client et le contenu" la page 117.
Cliquez sur Prcdent.
236
4 5
Dans l'onglet Journaux, slectionnez le journal d'tat de l'ordinateur, puis cliquez sur Afficher le journal. Si vous avez modifi une action et transfr une nouvelle politique, slectionnez les ordinateurs qui doivent tre ranalyss avec les nouveaux paramtres. De la zone de liste Commande, slectionnez Analyse, puis cliquez sur Dmarrer pour ranalyser les ordinateurs. Vous pouvez contrler l'tat de la commande Analyse partir de l'onglet Etat de la commande.
Redmarrage des ordinateurs ncessitant un redmarrage pour terminer la rsolution

Les ordinateurs peuvent encore tre risque ou infects parce qu'ils doivent tre redmarrs pour terminer la rsolution d'un virus ou d'un risque de scurit. Se reporter "Elimination des virus et des risques de scurit" la page 233. Pour redmarrer les ordinateurs afin de terminer la rsolution
Dans le journal des risques, consultez la colonne Redmarrage requis. Il se peut qu'un risque ait t partiellement nettoy de certains ordinateurs, mais les ordinateurs ncessitent toujours un redmarrage pour terminer la rsolution.
2 3
Slectionnez dans la liste les ordinateurs qui ncessitent un redmarrage. Dans la zone de liste Commande, slectionnez Redmarrer les ordinateurs, puis cliquez sur Dmarrer. Vous pouvez contrler l'tat de la commande Redmarrer les ordinateurs partir de l'onglet Etat de la commande.
A propos de l'tude et du nettoyage des risques restants

Si des risques demeurent, vous devrez peut-tre les tudier de manire plus approfondie. Dans la bote de dialogue des rsultats de l'analyse, vous pouvez cliquer sur le lien vers Symantec Security Response pour le risque dtect. Les rsultats de l'analyse vous indiquent galement les processus, les fichiers ou les cls de registre qui sont impliqus dans la dtection de risque. Vous pourrez peut-tre crer une politique de contrle des applications personnalise pour bloquer une application offensive
237
Se reporter "Cration d'une politique de contrle des applications et des priphriques" la page 611. ou vous devrez dconnecter l'ordinateur du rseau, supprimer des fichiers et des cls de registre Windows et arrter les processus manuellement.
Elimination d'un vnement suspect

Tout risque de scurit indique qu'une analyse proactive des menaces TruScan a dtect un lment suspect requrant votre attention. Cet lment peut tre inoffensif ou non. Si vous constatez que ce risque est inoffensif, vous pouvez utiliser la politique d'exceptions centralises pour l'exclure des dtections l'avenir. Si les analyses proactives des menaces ne peuvent pas corriger un risque ou si vous les avez configures pour ignorer un risque, il peut tre ncessaire d'liminer ces risques. Si vous avez configur la consignation des analyses proactives des menaces TruScan et que vous dterminez que ce risque est nocif, vous pouvez y remdier avec la politique d'exceptions centralises. Configurez la politique d'exceptions centralises pour arrter ou mettre en quarantaine le risque au lieu de le consigner. Se reporter "Configuration d'une exception centralise pour les analyses proactives des menaces TruScan" la page 655. Si Symantec Endpoint Protection a dtect ce risque l'aide des paramtres par dfaut de l'analyse proactive des menaces TruScan, Symantec Endpoint Protection ne peut pas corriger ce risque. Si vous constatez que ce risque est nocif, vous devez le supprimer manuellement. Aprs avoir supprim le risque, vous pouvez supprimer cette entre du journal des risques.
Mise jour des dfinitions et ranalyse

Certains ordinateurs peuvent encore tre risque car leurs dfinitions sont primes. Se reporter "Gestion du contenu pour les clients" la page 140.
238
Surveillance de la protection de terminal Recherche des clients hors ligne
Pour mettre jour des dfinitions et ranalyser
Pour les ordinateurs restants affichs, consultez la colonne Date des dfinitions. Si certains ordinateurs ont des dfinitions de virus primes, slectionnez ces ordinateurs. Dans la zone de liste Commande, slectionnez Mettre jour le contenu et analyser, puis cliquez sur Dmarrer. Vous pouvez contrler l'tat de la commande Mettre jour le contenu et analyser partir de l'onglet Etat de la commande.
Cliquez sur Accueil et consultez les nombres dans les lignes Encore infect et Nouvellement infect du rsum des actions. Si les compteurs sont zro, vous avez limin les risques. Si les compteurs ne sont pas zro, vous devez tudier les risques restants.
Recherche des clients hors ligne

Vous pouvez effectuer une vrification pour savoir quels ordinateurs sont hors ligne sur votre rseau de plusieurs manires. Par exemple, vous pouvez effectuer les contrles suivants :
Excutez le rapport rapide d'tat des ordinateurs Ordinateurs non contrls dans le serveur pour consulter l'tat en ligne. Configurez et excutez une version personnalise de ce rapport pour consulter les ordinateurs d'un groupe ou d'un site particulier. Affichez le Journal d'tat des ordinateurs, qui contient l'adresse IP de l'ordinateur et l'heure de la dernire authentification.
Se reporter "A propos des rapports pouvant tre excuts" la page 242. Un client peut tre hors ligne pour un certain nombre de raisons. Vous pouvez identifier les ordinateurs qui sont hors ligne et rsoudre ces problmes d'un certain nombre de manires. Si le module Symantec Network Access Control est install, vous pouvez utiliser les options de filtre de conformit pour personnaliser le rapport rapide Ordinateurs non contrls dans le serveur. Vous pouvez alors utiliser ce rapport pour connatre les raisons spcifiques pour lesquelles les ordinateurs ne sont pas sur le rseau. Vous pouvez alors rsoudre les problmes existants. Vous pouvez filtrer selon les problmes de conformit suivants :

La version de l'antivirus de l'ordinateur est prime. Le logiciel antivirus de l'ordinateur n'est pas en cours d'excution.
239
Un script a chou. L'emplacement de l'ordinateur a t modifi.
Procdure de recherche de clients hors ligne
1 2 3 4 5
Dans la console, cliquez sur Clients. Dans l'onglet Journaux, partir de la liste Type de journal, cliquez sur Etat de l'ordinateur. Cliquez sur Paramtres avancs. Dans la liste Etat connect, cliquez sur Hors ligne. Cliquez sur Afficher le journal. Par dfaut, une liste des ordinateurs qui sont hors ligne pour les dernires 24 heures apparat. La liste inclut le nom de chaque ordinateur, l'adresse IP et la dernire authentification auprs de son serveur. Vous pouvez rgler l'intervalle de temps pour afficher les ordinateurs hors ligne pour l'intervalle que vous voulez consulter.
240
Chapitre
12
Affichage et configuration des rapports


A propos des rapports pouvant tre excuts A propos de l'affichage des rapports Au sujet des rapports rapides Cration de rapports rapides Enregistrement et suppression des filtres de rapports rapides A propos des rapports planifis Cration et suppression de rapports planifis Modification du filtre utilis pour un rapport planifi A propos de l'utilisation du filtre Dernires 24 heures dans les rapports et les journaux A propos de l'utilisation des filtres qui recherchent des groupes dans les rapports et les journaux Impression et enregistrement d'une copie d'un rapport A propos de l'utilisation de SSL avec les fonctions de notification Points importants quant l'utilisation des rapports
242
Affichage et configuration des rapports A propos des rapports pouvant tre excuts
A propos des rapports pouvant tre excuts

Vous pouvez afficher des rapports rapides prdfinis et gnrer des rapports personnaliss bass sur des paramtres de filtre que vous devez slectionner. Vous pouvez galement enregistrer des configurations de filtre pour gnrer les mmes rapports personnaliss l'avenir et les supprimer lorsqu'ils ne sont plus ncessaires. En outre, vous pouvez planifier des rapports pour s'excuter intervalles rguliers. Les rapports sont envoys par courrier lectronique aux destinataires spcifis. Tableau 12-1 dcrit les types de rapport disponibles. Tableau 12-1 Type de rapport
Audit
Types de rapport Description

Affiche des informations sur les politiques que les clients et les emplacements utilisent actuellement. Il contient des informations sur les activits de modification de politique, telles que le moment et le type des vnements, les modifications de politique, les domaines, les sites, les administrateurs et les descriptions. Se reporter "A propos des informations dans le rapport et le journal d'audit " la page 245.
Contrle des applications et Affiche des informations sur les vnements o un certain des priphriques type de comportement a t bloqu. Ces rapports incluent des informations sur les alertes de scurit des applications, les cibles bloques et les priphriques bloqus. Les cibles bloques peuvent tre des cls de registre de Windows, des dll, des fichiers et des processus. Se reporter "A propos des informations des rapports et des journaux Contrle d'application et Contrle de priphrique" la page 245. Conformit Affiche des informations sur l'tat de conformit de votre rseau. Ces rapports incluent des informations sur les serveurs Enforcer, les clients Enforcer, le trafic d'Enforcer et la conformit de l'hte. Se reporter " A propos des informations dans les rapports et les journaux de conformit " la page 246.
243
Type de rapport
Etat de l'ordinateur
Description
Affiche des informations sur l'tat oprationnel des ordinateurs prsents sur votre rseau, telles que les ordinateurs dont les fonctions de scurit sont dsactives. Ces rapports incluent des informations sur les versions, les clients qui ne se sont pas authentifis auprs du serveur, l'inventaire client et l'tat connect. Se reporter "A propos des informations dans les rapports et le journal d'tat de l'ordinateur" la page 248.
Affiche des informations sur la prvention d'intrusion, les attaques enregistres sur le pare-feu ainsi que le trafic et les paquets de pare-feu. Les rapports de protection contre les menaces rseau vous permettent de suivre l'activit d'un ordinateur ainsi que son interaction avec d'autres ordinateurs et rseaux. Ils enregistrent des informations sur le trafic qui tente d'entrer ou de sortir sur les ordinateurs par leurs connexions rseau. Se reporter "A propos des informations dans les rapports et les journaux de protection contre les menaces rseau" la page 252.
Risque
Affiche des informations sur les vnements de risque enregistrs sur vos serveurs de gestion et leurs clients. Il inclut des informations sur les analyses proactives des menaces TruScan. Se reporter "A propos des informations dans les rapports et le journal des risques" la page 256. Se reporter "A propos des informations figurant dans les rapports et les journaux d'analyse proactive des menaces TruScan" la page 255.
Analyse
Affiche des informations sur l'activit d'analyse antivirus et antispyware. Se reporter "A propos des informations dans les rapports et le journal d'analyse" la page 260.
Systme
Affiche des informations sur l'heure des vnements, les types d'vnement, les sites, les domaines, les serveurs et les niveaux de gravit. Se reporter "A propos des informations dans les rapports et les journaux systme" la page 262.
244
Vous pouvez configurer les paramtres de base et les paramtres avancs pour tous les rapports afin de mieux cibler les donnes afficher. Vous pouvez modifier les rapports prdfinis et enregistrer votre configuration. Vous pouvez galement enregistrer votre filtre personnalis en lui attribuant un nom diffrent de manire ce que le mme rapport personnalis puisse s'excuter ultrieurement. Vous pouvez galement supprimer vos configurations personnalises si vous n'avez plus besoin d'elles. Les paramtres de filtre actifs sont indiqus dans le rapport si vous avez configur le journal et les prfrences du rapport de manire ce que les filtres soient inclus dans le rapport. Si votre rseau comprend plusieurs domaines, de nombreux rapports vous permettent d'afficher des donnes sur tous les domaines, sur un site ou sur plusieurs sites. Par dfaut, les rapports rapides affichent tous les domaines, groupes, serveurs, etc., selon le rapport que vous souhaitez crer. Se reporter "Au sujet des rapports rapides" la page 269. Se reporter "Cration de rapports rapides" la page 274. Remarque : Certains rapports prdfinis contiennent des informations qui sont obtenues de Symantec Network Access Control. Si vous n'avez pas achet ce produit, mais que vous excutez l'un des rapports de ce produit, le rapport est vide.
Remarque : Si vous avez uniquement install Symantec Network Access Control, un nombre important de rapports sont vides. Les rapports Contrle des applications et des priphriques, Protection contre les menaces rseau, Risque et Analyse ne contiennent pas de donnes. Les rapports Conformit et Audit contiennent des donnes, de mme que certains des rapports Etat de l'ordinateur et Systme. Se reporter "Configuration des journaux et des prfrences de rapports" la page 232. Lorsque vous crez un rapport, celui-ci apparat dans une nouvelle fentre. Vous pouvez enregistrer une copie du rapport au format d'archivage Web ou en imprimer une copie. Le fichier enregistr ou le rapport imprim fournit un clich des donnes actuelles de votre base de donnes Rapport et vous permet ainsi de conserver un enregistrement historique. Vous pouvez galement crer des rapports planifis, lesquels sont automatiquement gnrs en fonction de la planification que vous avez configure. Vous devez dfinir les filtres qui devront tre appliqus au rapport ainsi que
245
l'heure laquelle le rapport devra s'excuter. Une fois le rapport termin, il est envoy par courrier lectronique un ou plusieurs destinataires. Les rapports planifis s'excutent toujours par dfaut. Vous pouvez modifier les paramtres des rapport planifis tant que ceux-ci n'ont pas encore t excuts. Vous pouvez galement supprimer un rapport planifi ou l'ensemble de ces rapports. Se reporter "A propos des rapports planifis" la page 278. Se reporter "Cration et suppression de rapports planifis" la page 279.
A propos des informations dans le rapport et le journal d'audit

Le rapport d'audit contient des informations sur les activits de modification de politique, telles que le moment et le type des vnements, les modifications de politique, les domaines, les sites, les administrateurs et les descriptions. Le rapport rapide d'audit par dfaut est appel Politiques utilises. Affichez le rapport Politiques utilises pour contrler les politiques en service dans votre rseau, par groupe. Vous pouvez regarder le journal d'audit quand vous voulez savoir quel administrateur a modifi une politique particulire et quand. Se reporter "A propos des rapports pouvant tre excuts" la page 242.
A propos des informations des rapports et des journaux Contrle d'application et Contrle de priphrique
Les journaux et les rapports Contrle d'applications et contrle de priphriques incluent des informations sur les politiques de contrle d'applications et contrle de priphriques et la protection contre les interventions. Les journaux contiennent des informations sur les types d'vnements suivants :

L'accs une entit d'ordinateur a t bloqu Un priphrique a t tenu l'cart du rseau
Les fichiers, les cls de registre Windows et les processus sont des exemples d'entits d'ordinateur. Tableau 12-2 dcrit les cas d'utilisation les plus courants pour le type d'informations que vous pouvez obtenir avec les rapports et les journaux de contrle des applications et des priphriques.
246
Tableau 12-2
Rsum des rapports et des journaux Contrle d'application et Contrle de priphrique
Rapport ou journal
Utilisations standard
rapport Principauxgroupesavec Utilisez ce rapport pour vrifier quels groupes sont les plus vulnrables dans le plus grand nombre d'alertes votre rseau. du contrle d'application Rapport de Principales cibles bloques Rapport des principaux priphriques bloqus Journal de Contrle d'applications Ce rapport permet de vrifier les fichiers, les processus et autres entits utiliss le plus souvent dans des attaques contre votre rseau. Ce rapport prsente un graphique sectoriel et une barre relative indiquant les priphriques les plus souvent bloqus lors de leur accs au rseau. Utilisez ce journal pour consulter des informations sur les entits suivantes :

Actions effectues en rponse aux vnements Processus impliqus dans les vnements Noms des rgles appliques par la politique lorsque l'accs d'une application est bloqu Vous pouvez dcider d'ajouter un fichier la politique d'Exceptions centralises en raison d'un vnement dans le journal Contrle de l'application. Se reporter "Cration d'exceptions centralises partir des vnements de journal" la page 658.
Journal de contrle de priphrique
Utilisez ce journal lorsque vous devez consulter des dtails de contrle de priphrique, tels que le moment exact o le contrle de priphrique a activ ou dsactiv des priphriques. Ce journal affiche galement des informations comme le nom de l'ordinateur, son emplacement, l'utilisateur qui tait connect et le systme d'exploitation impliqu.
Se reporter "A propos des rapports pouvant tre excuts" la page 242.
A propos des informations dans les rapports et les journaux de conformit

Les journaux et les journaux de conformit contiennent des informations sur le serveur Enforcer, les clients, le trafic et sur la conformit d'hte. Les informations disponibles incluent des lments tels que le moment et le type d'vnement, le nom de l'Enforcer impliqu, le site et le serveur. Remarque : Si vous Symantec Network Access Control n'est pas install sur votre ordinateur, les journaux et les rapports de Conformit ne contiennent pas de donnes.
247
Tableau 12-3 dcrit les cas d'utilisation les plus courants pour le type d'informations que vous pouvez obtenir avec les rapports et les journaux de conformit. Tableau 12-3 Rapport ou journal
Rapport de l'Etat de conformit du rseau
Rsum des rapports et des journaux de conformit
Ce rapport permet d'examiner la conformit globale, de voir si des clients n'ont pas russi aux vrifications d'intgrit de l'hte ou l'authentification ou s'ils ont t dconnects. Utilisez ce rapport pour voir le nombre total de clients qui ont russi ou chou une vrification d'intgrit de l'hte dans votre rseau. Utilisez ce rapport pour voir les raisons gnrales des vnements d'chec de contrle, tels que les antivirus, le pare-feu ou VPN.
Rapport de l'Etat de conformit
Rapport de Clients par rsum d'chec de conformit
Rapport des Dtails de l'chec de Utilisez ce rapport pour obtenir un niveau de dtail suprieur sur les checs de conformit conformit. Il affiche les critres et la rgle impliqus dans chaque chec. Il comprend le pourcentage de clients qui ont t dploys et le pourcentage des clients qui ont chou. Par exemple, le rsum d'chec de conformit peut afficher dix checs de client dus au logiciel antivirus. En revanche, les dtails d'chec de conformit affichent les informations suivantes : Quatre clients ne contiennent pas de logiciel antivirus actuellement en fonctionnement. Deux clients ne comportent pas de logiciel antivirus.

Quatre clients ont des fichiers de dfinitions de virus prims.
Rapport Clients non conformes par emplacement
Ce rapport contient un tableau indiquant les vnements d'chec de conformit. Ces vnements s'affichent sous forme de groupes en fonction de leur emplacement. Ce rapport indique les ordinateurs individuels qui ont rat le contrle de conformit, le pourcentage d'chec total et les checs par emplacement. Utilisez ce journal pour obtenir des informations sur des vnements de conformit d'Enforcer, le nom d'Enforcer impliqu, son site et son serveur. Ce journal contient notamment les informations suivantes :

Journal Enforcer Server
Quels modules d'application Enforcer n'ont pas pu s'inscrire sur leur serveur
Quels modules d'application Enforcer ont reu avec succs des tlchargements de politiques et du fichier de communication sylink.xml Indique si le serveur des Enforcers a reu les journaux des Enforcers.
248
Rapport ou journal
Journal Enforcer Client
Utilisez ce journal pour voir quels clients ont russi ou rat les vrifications d'intgrit de l'hte, ont t authentifis ou rejets, ou ont t dconnects du rseau. Utilisez ce journal pour obtenir des informations sur le trafic traversant Enforcer. Les informations disponibles incluent :

Journal du trafic Enforcer
La direction du trafic Le moment o le trafic a commenc et le moment o il s'est termin Le protocole utilis Les adresses IP source et cible utilises Le port utilis La longueur de paquet (en octets) Les tentatives de connexions autorises ou bloques.
Ce journal s'applique uniquement aux modules d'application Gateway Enforcer. Journal de conformit d'hte Utilisez ce journal pour examiner des informations spcifiques sur des vnements de conformit particuliers. De tels vnements incluent la raison, l'utilisateur impliqu et le nom du systme d'exploitation impliqu.
A propos des informations dans les rapports et le journal d'tat de l'ordinateur

Les rapports Etat de l'ordinateur contiennent des informations sur l'tat de fonctionnement en temps rel des ordinateurs sur le rseau. Les informations disponibles incluent le nom de l'ordinateur et son adresse IP, l'heure de dernire connexion, les dates de dfinitions, l'tat d'infection, l'tat d'Auto-Protect, le serveur, le groupe, le domaine et le nom de l'utilisateur. Les filtres des rapports d'tat de l'ordinateur ont des options de configuration standard et des options spcifiques la conformit. Tableau 12-4 dcrit les cas d'utilisation les plus courants pour le type d'informations que vous pouvez obtenir avec les rapports et les journaux d'tat des ordinateurs.
249
Tableau 12-4 Rapport ou journal

Rapport de Distribution des dfinitions de virus
Rsum des rapports et des journaux d'Etat de l'ordinateur
Utilisez ce rapport pour vous assurer que tous les groupes, domaines ou serveurs de votre rseau utilisent des versions jour de fichiers de dfinitions de virus. Ce rapport affiche les versions de fichier de dfinitions de virus utilises sur l'ensemble du rseau ainsi que le nombre et le pourcentage d'ordinateurs utilisant chaque version. Il contient un graphique sectoriel, un tableau et des barres relatives.
Rapport d'Ordinateurs non vrifis dans le serveur
Utilisez ce rapport pour trouver les ordinateurs qui ne se sont pas connects un serveur et pourraient donc tre perdus ou manquants. Il affiche galement l'adresse IP de l'ordinateur, l'heure de sa dernire authentification et l'utilisateur qui tait connect ce moment-l. Utilisez ce rapport pour vrifier les versions du logiciel Symantec Endpoint Protection, des dfinitions de virus, des signatures d'IPS et du contenu de la protection proactive en service dans votre rseau. Il comprend galement le domaine et le serveur de chacun de ces produits, ainsi que le nombre et le pourcentage d'ordinateurs associs chacun. Il contient un graphique sectoriel et des barres relatives. Avec ces informations vous pouvez identifier exactement les ordinateurs ncessitant une mise jour.
Rapport de Symantec Endpoint Protection versions du produit
Rapport de Distrib. des signatures de prvention d'intrusion
Utilisez ce rapport pour vous assurer que tous les groupes du rseau utilisent des signatures jour pour la prvention d'intrusion. Vous pouvez galement identifier les domaines ou les serveurs prims. Il contient un graphique sectoriel et des barres relatives. Utilisez ce rapport pour vrifier le nombre et le pourcentage d'ordinateurs dans certaines catgories de matriel et de logiciel. Ce rapport comprend les graphiques suivants, sachant que les barres relatives prsentent le nombre total d'ordinateurs et le pourcentage de chacun :

Rapport d' Inventaire client
Systme d'exploitation Mmoire totale Mmoire libre Espace disque total Espace disque libre Type de processeur
Par exemple, dans le rapport d'inventaire client, vous pouvez constater que 22 % d'ordinateurs ont moins de 1 Go d'espace disque disponible.
250
Rapport ou journal
Rapport de distribution de l'tat Utilisez ce rapport, compos d'un graphique sectoriel et de barres relatives pour de conformit afficher les russites et les checs de conformit par groupe ou par sous-rseau. Il affiche le nombre d'ordinateurs et le pourcentage d'ordinateurs conformes. Vous pouvez vouloir tudier si certains groupes semblent rencontrer plus de problmes de conformit que d'autres. Rapport de l'Etat de connexion du Utilisez ce rapport pour savoir quels groupes ou sous-rseaux ont le plus grand client pourcentage de clients en ligne. Ce rapport contient des graphiques sectoriels et des barres relatives pour chaque groupe et sous-rseau. L'expression "En ligne" dsigne les cas de figure suivants : Pour les clients en mode 'push', "en ligne" signifie que les clients sont actuellement connects au serveur. Pour les clients en mode 'pull', "en ligne" signifie que les clients ont contact le serveur au cours des deux derniers battements du client. Pour les clients des sites distants, "en ligne" signifie que les clients taient en ligne au moment de la dernire rplication.
Vous pouvez devoir tudier pourquoi certains groupes ou sous-rseaux rencontrent actuellement plus de problmes que d'autres. Rapport rapide des Clients avec la politique la plus rcente Utilisez ce rapport pour voir le nombre d'ordinateurs et le pourcentage d'ordinateurs sur lesquels la dernire politique est applique.
Rapport planifi de la distribution Ce rapport contient des graphiques sectoriels et des barres relatives pour chaque des clients par politique groupe et sous-rseau. Rapport du nombre de clients par Utilisez ce rapport pour connatre le nombre total de clients et d'utilisateurs groupe par groupe. Si vous utilisez plusieurs domaines, ces informations sont indiques en fonction de chaque domaine. Rapport du Rsum de l'tat de la Utilisez ce rapport pour connatre rapidement le nombre total d'ordinateurs qui scurit ont les problmes suivants :

Auto-Protect est dsactiv Le moteur antivirus est dsactiv La protection contre les interventions est dsactive L'ordinateur doit redmarrer L'ordinateur a rat une vrification d'intgrit de l'hte La protection contre les menaces rseau est dsactive
Ces ordinateurs peuvent demeurer vulnrables moins que vous interveniez.
251
Rapport ou journal
Rapport des versions du contenu Utilisez ce rapport pour vrifier les versions du contenu de Protection proactive de protection utilises travers le rseau dans un seul rapport. Un graphique sectoriel est affich pour chaque type de protection. Les types de contenu suivants sont disponibles :

Versions de Decomposer Versions du moteur Eraser Versions du Contenu de l'analyse proactive des menaces TruScan Versions du Moteur d'analyse proactive des menaces TruScan Version de la liste d'applications commerciales Versions du moteur du gestionnaire de contenu proactif Versions de la liste des applications autorises Les nouveaux types de contenu que Symantec Security Response a ajouts
Rapport de migration du client
Utilisez ce rapport pour consulter l'tat de migration des clients par domaine, groupe et serveur. Vous pouvez identifier rapidement les clients pour lesquels la migration a russi, chou ou n'a pas encore dmarr.
Rapport Dploiement logiciel du Utilisez ce rapport pour suivre la progression des dploiements de packages client (clichs) rapport client. Ces informations de clichs permettent de connatre la vitesse de progression des dploiements et d'identifier les clients partiellement dploys. Ce rapport n'est disponible qu'en tant que rapport planifi. Rapport Clients en ligne/hors ligne dans le temps Rapport (de clichs) Ce rapport n'est disponible qu'en tant que rapport planifi. Rapport Clients ayant la dernire Utilisez ce rapport pour dterminer les clients qui ne rcuprent pas les mises politique dans le temps (clichs) jour de politique assez frquemment. Ce rapport n'est disponible qu'en tant que rapport planifi. Rapport Clients non conformes dans le temps (clichs) Ce rapport n'est disponible qu'en tant que rapport planifi. Rapport de dploiement des dfinitions de virus (clichs) Ce rapport n'est disponible qu'en tant que rapport planifi. Utilisez ce rapport pour consulter la liste des versions de packages de dfinition de virus dployes vers les clients. Utilisez ce rapport pour dterminer les clients qui ratent frquemment les vrifications d'intgrit de l'hte. Utilisez ce rapport pour dterminer les clients qui ne se connectent pas au rseau assez frquemment.
252
Rapport ou journal
Journal d'tat de l'ordinateur
Vrifiez le journal d'Etat de l'ordinateur pour plus de dtails sur les domaines couverts par les rapports.
A propos des informations dans les rapports et les journaux de protection contre les menaces rseau
Les rapports et les journaux de protection contre les menaces rseau permettent de surveiller l'activit d'un ordinateur et son interaction avec d'autres ordinateurs et rseaux. Ils enregistrent des informations sur le trafic qui tente d'entrer ou de sortir des ordinateurs par leurs connexions rseau. Les journaux de protection contre les menaces rseau contiennent des dtails sur les attaques contre le pare-feu, tels que les informations suivantes :

Attaques par dni de service Analyses de port Modifications des fichiers excutables
Les journaux deprotection contre les menaces rseau collectent des informations sur la prvention d'intrusion. Ils contiennent galement des informations sur les connexions tablies travers le pare-feu (trafic), les cls de registre Windows, les fichiers et les DLL utiliss. Ils contiennent des informations sur les paquets de donnes qui traversent les ordinateurs. Les modifications oprationnelles apportes aux ordinateurs sont galement consignes dans ces journaux. Ces informations peuvent inclure le moment de dmarrage ou d'arrt des services ou le moment auquel quelqu'un configure le logiciel. Parmi les autres types d'informations pouvant tre disponibles figurent des lments tels que le moment et le type d'vnement et la mesure prise. Elles peuvent galement inclure la direction, le nom d'hte, l'adresse IP et le protocole utilis pour le trafic impliqu. Si elles s'appliquent l'vnement, les informations peuvent galement inclure le niveau de gravit. Tableau 12-5 dcrit les cas d'utilisation les plus courants pour le type d'informations que vous pouvez obtenir avec les rapports et les journaux de protection contre les menaces rseau.
253
Tableau 12-5
Rsum des rapports rapides et des journaux de protection contre les menaces rseau
Rapport ou journal
Rapport des principales cibles attaques
Utilisez ce rapport pour identifier les groupes, sous-rseaux, ordinateurs ou ports frquemment attaqus. Ce rapport comprend des informations telles que le nombre et le pourcentage d'attaques, le type et la gravit des attaques et la distribution des attaques. Vous pouvez vouloir prendre des mesures bases sur ce rapport. Par exemple, vous pouvez constater que les clients connects par l'intermdiaire d'un VPN sont attaqus beaucoup plus frquemment. Vous pouvez vouloir regrouper ces ordinateurs de manire pouvoir leur appliquer une politique de scurit plus rigoureuse.
Rapport des principales sources d'attaques
Utilisez ce rapport pour identifier quels htes attaquent le rseau le plus souvent. Ce rapport contient un graphique sectoriel et des barres relatives indiquant les principaux htes qui se trouvent l'origine d'une attaque contre le rseau. Ce rapport comprend des informations telles que le nombre et le pourcentage d'attaques, le type et la gravit des attaques et la distribution des attaques. Utilisez ce rapport pour identifier les types d'attaque dirigs sur votre rseau le plus souvent. Les types d'attaque possibles que vous pouvez contrler incluent les analyses de port, les attaques par dni de service et les usurpations MAC. Ce rapport prsente un graphique sectoriel et des barres relatives. Il comprend des informations telles que le nombre et le pourcentage d'vnements. Il comprend galement le groupe et la gravit, ainsi que le type et le nombre d'vnements par groupe.
Rapport des principaux types d'attaques
Rapport des principales applications bloques Rapport des applications bloques dans le temps
Utilisez ces rapports ensemble pour identifier les applications utilises le plus souvent pour attaquer le rseau. Vous pouvez galement vrifier si les applications utilises pour les attaques ont chang dans le temps. Le rapport Principales applications bloques se compose d'un graphique sectoriel et de barres obliques qui affichent les applications qui n'ont pas pu accder au rseau. Ce rapport comprend des informations telles que le nombre et le pourcentage d'attaques, le groupe et la gravit des attaques et la distribution des attaques par groupe. Le rapport des applications bloques dans le temps se compose d'un graphique sectoriel et d'un tableau. Il indique le nombre total d'applications qui n'ont pas pu accder au rseau pendant une priode que vous devez spcifier. Il comprend l'heure des vnements ainsi que le nombre et le pourcentage d'attaques. Vous pouvez afficher les informations pour tous les ordinateurs ou par groupe, par adresse IP, par systme d'exploitation ou par utilisateur.
254
Rapport ou journal
Rapport des attaques dans le temps
Utilisez ce rapport pour identifier les groupes, les adresses IP, les systmes d'exploitation et les utilisateurs qui sont attaqus le plus souvent dans votre rseau. Utilisez-le pour identifier galement le type d'attaque le plus frquent sur le rseau. Ce rapport contient un ou plusieurs graphiques linaires indiquant les attaques au cours de la priode slectionne. Par exemple, si l'intervalle spcifi correspond au mois prcdent, le rapport affiche le nombre total d'attaques par jour pour le mois pass. Il comprend le nombre et le pourcentage d'attaques. Vous pouvez afficher les attaques pour tous les ordinateurs ou par systme d'exploitation, par utilisateur, par adresse IP, par groupe ou par type d'attaque.
Rapport des vnement de scurit par gravit
Utilisez ce rapport pour obtenir un rsum de la gravit des vnements de scurit dans votre rseau. Ce rapport se compose d'un graphique sectoriel indiquant le nombre total et le pourcentage d'vnements de scurit sur votre rseau, classs par ordre de gravit.
Rapport des principales notifications de trafic Rapport des notifications de trafic dans le temps
Ces rapports affichent le nombre d'attaques qui ont viol les rgles de filtrage configures pour vous informer des violations. Utilisez-les pour savoir quels groupes sont les plus exposs aux attaque par le pare-feu. Ce rapport contient un graphique sectoriel et des barres relatives indiquant le groupe ou le sous-rseau ainsi que le nombre et le pourcentage de notifications. Il indique le nombre de notifications relatives des violations de rgle de filtrage que vous avez configures comme devant tre notifie. Les rgles prises en compte sont celles o l'option Envoyer une alerte par message lectronique a t coche dans la colonne Consignation de la liste des rgles de politique de pare-feu. Vous pouvez afficher toutes les informations, les informations du journal Trafic ou du journal Journal de Paquets, regroups par sous-rseaux ou groupes principaux. Le rapport des notifications de trafic dans le temps se compose d'un graphique linaire. Il indique le nombre de notifications relatives des violations de rgle de filtrage. Les rgles prises en compte sont celles o l'option Envoyer une alerte par message lectronique a t coche dans la colonne Consignation de la liste des rgles de politique de pare-feu. Vous pouvez afficher les informations pour tous les ordinateurs ou par groupe, par adresse IP, par systme d'exploitation ou par utilisateur.
255
Rapport ou journal
Rapport du rapport complet
Utilisez ce rapport pour consulter au mme endroit les informations qui apparaissent dans tous les rapports rapides de la protection contre les menaces rseau. Ce rapport fournit les informations de protection contre les menaces rseau suivantes :

Principaux types dattaques Cibles principales attaques par groupe Cibles principales attaques par sous-rseau Cibles principales attaques par client Principales sources dattaques Principales notifications de trafic par groupe (trafic) Principales notifications de trafic par groupe (paquets) Principales notifications de trafic par sous-rseau (trafic) Principales notifications de trafic par sous-rseau (paquets)
Journal des attaques
Utilisez ce journal si vous avez besoin d'informations plus dtailles sur une attaque spcifique qui s'est produite. Utilisez ce journal si vous avez besoin de plus d'informations sur un vnement de trafic ou un type de trafic spcifique qui traverse votre pare-feu. Utilisez ce journal si vous avez besoin de plus d'informations sur un paquet spcifique. Vous pouvez vouloir examiner des paquets pour tudier en dtail un vnement de scurit rpertori dans un rapport.
Journal de trafic
Journal de paquets
A propos des informations figurant dans les rapports et les journaux d'analyse proactive des menaces TruScan
Tableau 12-6 dcrit les cas d'utilisation les plus courants pour le type d'informations que vous pouvez obtenir avec les rapports et les journaux d'analyse proactive contre les menaces TruScan.
256
Tableau 12-6
Rsum des rapports et des journaux d'analyse proactive contre les menaces TruScan
Rapport ou journal
Rapport Rsultats de la dtection Utilisez le rapport Rsultats de dtection de l'analyse proactive contre les proactive de menaces TruScan menaces TruScan pour consulter les informations suivantes : (sous Rapports de risques) Une liste des applications tiquetes comme tant risque que vous avez Rapport Dtection proactive de ajoutes vos exceptions comme acceptables sur le rseau. menaces TruScan dans le temps Une liste des applications dtectes comme prsentant un risque confirm. (situe sous Rapports de risques) Une liste des applications dtectes mais dont l'tat de risque n'est pas encore confirm. Utilisez la fonction Dtection proactive de menaces TruScan dans le temps pour savoir si les menaces dtectes par les analyses proactives de menaces TruScan ont t modifies dans le temps. Rapport de distribution proactive Utilisez ce rapport pour les raisons suivantes : des menaces TruScan (situ sous Pour savoir quelles applications issues de la liste des applications Rapports des risques) commerciales et de la liste des dtections forces sont le plus souvent dtectes. Pour savoir quelle action a t entreprise en rponse la dtection. Pour dterminer si des ordinateurs spcifiques de votre rseau sont attaqus plus frquemment par ce vecteur. Pour obtenir des dtails sur l'application ayant provoqu l'attaque.
Journal d'Analyse proactive des menaces TruScan
Utilisez ce journal pour obtenir des informations plus dtailles sur des vnements spcifiques de dtection proactive de menaces. Il peut s'agir par exemple du nom de l'utilisateur qui tait connect quand la dtection s'est produite. Vous pouvez galement utiliser des commandes de ce journal afin d'ajouter des entits lgitimes telles que des fichiers, des dossiers, des extensions et des processus la politique d'exceptions centralises. Une fois ajoutes la liste, si une activit lgitime est dtecte comme risque, aucune action n'est entreprise sur l'entit.
A propos des informations dans les rapports et le journal des risques

Le journal et les rapports de Risques incluent des informations sur les vnements de risque sur vos serveurs de gestion et leurs clients. En outre, l'activit d'Analyse proactive des menaces TruScan est signale dans les rapports de Risque. Se reporter "A propos des informations figurant dans les rapports et les journaux d'analyse proactive des menaces TruScan" la page 255.
257
Tableau 12-7 dcrit les cas d'utilisation les plus courants pour le type d'informations que vous pouvez obtenir avec les rapports et le journal des risques. Tableau 12-7 Rsum des rapports et du journal des risques
Types de journal et de rapport Utilisations standard

Rapport des Ordinateurs infects Utilisez ce rapport pour identifier rapidement les ordinateurs ncessitant une et risque attention cause d'une infection de virus ou de risque de scurit. Ce rapport comprend deux tableaux. L'un prsente les ordinateurs avec une infection par virus alors que l'autre rpertorie les ordinateurs qui prsentent un risque de scurit non rsolu. Rapport du Rsum des actions de dtection Utilisez ce rapport pour identifier les actions prises lorsque des risques ont t dtects. Ces informations s'affichent galement sur la page d'accueil de Symantec Endpoint Protection. Ce rapport se compose d'un tableau indiquant le nombre d'actions entreprises lorsque des risques ont t dtects. Les actions possibles sont Nettoy(s), Suspect, Bloqu, Mis en quarantaine, Supprim, Nouvellement infect et Encore infect. Ces informations s'affichent galement sur la page d'accueil du module Symantec Endpoint Protection. Rapport du Nombre de dtections Utilisez ce rapport pour identifier les domaines, les groupes ou les ordinateurs de risques particuliers avec le grand nombre de dtections de risque. Vous pouvez alors ensuite examiner pourquoi certaines entits semblent plus exposes que d'autres dans votre rseau. Ce rapport se compose d'un graphique sectoriel, d'un tableau de risque et d'une barre relative associe. Il indique le nombre total de dtections de risque par domaine, par serveur ou par ordinateur. Si vous utilisez des clients Symantec AntiVirus hrits, le rapport utilise le groupe de serveurs plutt que le domaine.
258

Rapport Nouveaux risques dtects dans le rseau Utilisez ce rapport pour identifier et suivre l'incidence des nouveaux risques sur votre rseau. Ce rapport contient un tableau et un graphique sectoriel de distribution. Ce tableau fournit les informations suivantes pour chaque nouveau risque :

Nom du risque Catgorie ou type de risque Date de dtection Premire occurrence dans l'entreprise Type d'analyse ayant dtect le risque pour la premire fois
Domaine sur lequel le risque a t dcouvert (groupe de serveurs sur les ordinateurs hrits) Serveur sur lequel le risque a t dcouvert (serveur parent sur les ordinateurs hrits) Groupe sur lequel le risque a t dcouvert (serveur parent sur les ordinateurs hrits) L'ordinateur sur lequel le risque a t dcouvert et le nom de l'utilisateur connect ce moment l Le graphique sectoriel indique la nouvelle distribution des risques par type de cible de slection : domaine (groupe de serveurs sur les ordinateurs hrits), groupe, serveur (serveur parent sur les ordinateurs hrits), ordinateur ou nom d'utilisateur. Rapport Corrlation de dtection Utilisez ce rapport pour rechercher des corrlations entre les risques et les des principaux risques ordinateurs, les utilisateurs, les domaines et les serveurs. Ce rapport se compose d'un diagramme barres tridimensionnel conu pour tablir une corrlation entre les virus et les dtections de risque de scurit partir de deux variables. Vous pouvez slectionner l'ordinateur, le nom d'utilisateur, le domaine, le groupe, le serveur ou le nom de risque comme variables x et y (abscisse et ordonne). Ce rapport indique les cinq instances principales associes chaque variable d'axe. Si vous slectionnez l'ordinateur en tant que variable alors que moins de cinq ordinateurs sont infects, il est possible que des ordinateurs non infects s'affichent sur le graphique.
Remarque : Pour les ordinateurs qui excutent des versions hrites de

Symantec AntiVirus, le groupe de serveurs et le serveur parent sont utiliss la place du domaine et du serveur.
259

Rapport Rsum de la distribution des risques Rapport de Distribution des risques dans le temps Utilisez ces rapports pour suivre la distribution des risques. Vous pouvez galement les utiliser pour identifier exactement les risques, les domaines, les groupes, les serveurs, les ordinateurs et les utilisateurs particuliers qui semblent avoir plus de problmes que d'autres. Vous pouvez utiliser le rapport Distribution des risques dans le temps pour voir l'volution de ces risques dans le temps. Le rapport Distribution des risques dans le temps contient un graphique sectoriel et un diagramme barres indiquant un pourcentage relatif pour chaque lment du type de cible slectionn. Si vous utilisez le nom du risque comme cible par exemple, le graphique sectoriel affiche une part pour chaque risque individuel. Une barre est affiche pour chaque nom de risque et les informations fournies incluent le nombre de dtections et son pourcentage par rapport l'ensemble des dtections. Les cibles disponibles sont les suivantes : nom du risque, domaine, groupe, serveur, ordinateur, nom utilisateur, source, type de risque ou gravit de risque. Pour les ordinateurs qui excutent des versions hrites de Symantec AntiVirus, le groupe de serveurs et le serveur parent sont utiliss la place du domaine et du serveur. Le rapport Distribution des risques dans le temps se compose d'un tableau qui affiche le nombre de virus et de dtections de risque de scurit par unit de temps et une barre relative. Rapport Rsum d'actions des principaux risques Utilisez ce rapport pour examiner les actions prises sur les risques que le module Symantec Endpoint Protection a dtects dans votre rseau. Ce rapport rpertorie les principaux risques dtects sur votre rseau. Pour chacun d'entre eux, il affiche des barres de rsum d'action affichant le pourcentage de chaque action prise la dtection d'un risque. Les actions comprennent la quarantaine, le nettoyage, la suppression, etc. Ce rapport affiche galement le pourcentage des fois auquel chaque action en particulier a t la premire action configure, la deuxime action configure, ou si la valeur est diffrente ou inconnue.
260

Rapport du nombre de notifications Rapport du Nombre de notifications dans le temps Utilisez ces rapports pour dfinir prcisment comment vous crez et configurez des notifications dans le rseau. Le rapport Nombre de notifications se compose d'un graphique sectoriel et d'une barre relative associe. Ce graphique indique le nombre de notifications dclenches par des violations de rgle de filtrage configures comme devant tre notifies. Il inclut le type de notifications ainsi que le nombre de chaque notification. Se reporter "Configurer les messages lectroniques pour les vnements de trafic" la page 574. Le rapport Nombre de notifications dans le temps se compose d'un graphique linaire qui affiche le nombre de notifications dans le rseau pour la priode slectionne. Il contient galement un tableau qui prsente le nombre et le pourcentage de notifications dans le temps. Vous pouvez filtrer les donnes afficher par type de notification, par tat d'accus de rception, par crateur et par nom de notification. Rapport des Propagations hebdomadaires Utilisez ce rapport pour suivre les manifestations de risque de semaine en semaine. Ce rapport affiche le nombre de virus et de dtections de risque de scurit ainsi qu'une barre relative par semaine pour l'intervalle de temps spcifi. Si vous avez spcifi un intervalle d'un jour, c'est toute la semaine coule qui est affiche. Rapport du Rapport dtaill des risques Utilisez ce rapport pour consulter toutes les informations des rapports de distribution et des rapports de risques en mme temps. Par dfaut, ce rapport inclut tous les rapports de distribution ainsi que le nouveau rapport de risque. Vous pouvez toutefois le configurer de faon ce qu'il n'inclue qu'un certain nombre de rapports. Ce rapport inclut des informations sur tous les domaines. Journal de risque Utilisez ce journal pour des informations plus spcifiques sur une section du rapport des risques. Par exemple, vous pouvez utiliser le journal des risques pour consulter des dtails sur les risques dtects sur les ordinateurs o des risques sont souvent dtects. Vous pouvez galement utiliser le journal de risques pour consulter des dtails sur les risques de scurit d'une gravit particulire qui ont affect le rseau.
A propos des informations dans les rapports et le journal d'analyse

Les journaux et les rapports d'analyse fournissent des informations sur les activits d'analyse antivirus et antispyware.
261
Tableau 12-8 dcrit les cas d'utilisation les plus courants pour le type d'informations que vous pouvez obtenir avec les rapports et les journaux rapides sur les analyses. Tableau 12-8 Rapport ou journal
Rapport Histogramme des statistiques d'analyse
Rsum des rapports et des journaux d'analyse
Regroupez les donnes par chance d'analyse lorsque vous utilisez ce rapport pour consulter un histogramme de la dure d'excution des analyses planifies sur les clients. Vous pouvez vouloir modifier l'chance de planification de l'analyse en fonction de ces informations. Vous pouvez filtrer ce rapport en fonction du nombre de fichiers analyss. Ces rsultats aident consulter si des utilisateurs restreignent les analyses certains fichiers de leurs ordinateurs. Vous pouvez slectionner le mode de distribution des informations qui figurent dans le rapport d'analyse. Vous pouvez choisir l'une des mthodes suivantes :

dure de l'analyse (en secondes) ; nombre de risques dtects ; nombre de fichiers avec dtections ; nombre de fichiers analyss ; nombre de fichiers omis lors des analyses.
Vous pouvez galement configurer la largeur d'emplacement et le nombre d'emplacements utiliss dans l'histogramme. La largeur d'emplacement reprsente l'intervalle de donnes utilis pour le groupe par slection. Le nombre d'emplacements spcifie le nombre de rptitions de l'intervalle de donnes dans l'histogramme. Les informations fournies incluent le nombre d'entres, les valeurs minimales et maximales, ainsi que les carts type moyen et standard. Vous pouvez modifier les valeurs de rapport pour maximiser le nombre d'informations gnres dans l'histogramme du rapport. Par exemple, vous pouvez examiner la taille de votre rseau et la quantit d'informations affiches. Rapport Ordinateurs par heure de dernire analyse rapport Utilisez ce rapport pour identifier les ordinateurs qui n'ont pas excut d'analyse rcemment. Vous pouvez le configurer sur le dernier jour ou la dernire semaine ou sur une priode personnalise que vous voulez vrifier. Utilisez ce rapport pour obtenir la liste des ordinateurs qui n'ont pas t analyss pendant une priode spcifique. Ce rapport indique galement les adresses IP des ordinateurs par domaine ou par groupe spcifique. Ces ordinateurs peuvent tre vulnrables. Vous pouvez trier ce journal par la dure d'analyse pour identifier les ordinateurs qui prennent plus de temps analyser dans votre rseau. Suivant ces informations, vous pouvez personnaliser des analyses planifies pour ces ordinateurs si ncessaire.
Rapport Ordinateurs non analyss
Journal d'analyse
262
A propos des informations dans les rapports et les journaux systme

Les journaux et rapports systme contiennent les informations utiles pour la rparation des problmes de client. Tableau 12-9 dcrit les cas d'utilisation les plus courants pour le type d'informations que vous pouvez obtenir avec les rapports et les journaux rapides sur les systmes. Tableau 12-9 Rapport ou journal
Rapport Principaux clients qui gnrent des erreurs
Rsum des rapports et des journaux de systme
Utilisez ce rapport pour voir quels clients gnrent le plus grand nombre d'erreurs et d'avertissements. Vous pouvez regarder l'emplacement et le type d'utilisateurs de ces clients pour voir pourquoi ils rencontrent plus de problmes que d'autres. Vous pouvez ainsi consulter le journal systme pour des dtails.
Rapport Principaux serveurs qui Utilisez ce rapport pour voir quels serveurs gnrent le plus grand nombre gnrent des erreurs d'erreurs et d'avertissements. Vous pouvez regarder ces serveurs pour voir pourquoi ils rencontrent plus de problmes que la normale sur votre rseau. Rapport Principaux Enforcer qui Utilisez ce rapport pour voir quels Enforcers gnrent le plus grand nombre gnrent des erreurs d'erreurs et d'avertissements. Vous pouvez regarder ces Enforcers pour voir pourquoi ils rencontrent plus de problmes que la normale sur votre rseau. Rapport Echec de rplication de base de donnes dans le temps Utilisez ce rapport pour voir quels serveurs ou quels sites rencontrent le plus de problmes avec la rplication de base de donnes. Il indique galement pourquoi les rplications chouent de sorte que vous puissiez rsoudre les problmes.
263
Rapport ou journal
Rapport sur l'tat du site
264
Rapport ou journal
Utilisez ce rapport pour voir comment votre serveur traite la charge client. Suivant les informations disponibles dans ce rapport, vous pouvez rgler la charge. Ce rapport affiche l'tat actuel et le dbit de tous les serveurs sur le site local. Il contient galement des informations sur l'installation client, l'tat des clients connects et le volume du journal client du site local. Les donnes l'origine de ce rapport sont mises jour toutes les dix secondes, mais vous devez toutefois rexcuter le rapport pour consulter des donnes mises jour.
Remarque : Si vous disposez de plusieurs sites, ce rapport indique l'ensemble

des clients installs et en ligne pour votre site local plutt que pour tous vos sites. Si des restrictions de site ou de domaine vous sont imposes en tant qu'administrateur, seules les informations que vous tes autoris consulter s'affichent. Un serveur peut prsenter les conditions suivantes :

Bon : le serveur fonctionne normalement.
Faible : le serveur dispose de peu de mmoire ou d'espace disque ou prsente un grand nombre d'checs de demande de client. Critique : Le serveur est en panne Pour chaque serveur, ce rapport indique l'tat, la condition, la raison, l'utilisation de l'UC et de la mmoire ainsi que l'espace disque disponible. Il contient galement des informations sur le dbit du serveur, telles que les politiques tlcharges et le dbit de site chantillonn lors du dernier battement. Il inclut les informations de dbit suivantes pour le site :

Total des clients en ligne et total des clients installs Politiques tlcharges par seconde Signatures de prvention dintrusion tlcharges par seconde Applications apprises par seconde
Journaux systme, journaux de trafic et journaux de paquets par seconde d'Enforcer Mises jour dinformations du client par seconde Journaux de scurit, journaux systme, journaux de trafic et journaux de paquets reus par seconde des clients Journaux de contrle dapplication et de priphrique reus par seconde
L'expression "en ligne" dsigne les cas de figure suivants dans ce rapport : Pour les clients en mode 'push', "en ligne" signifie que les clients sont actuellement connects au serveur. Pour les clients en mode 'pull', "en ligne" signifie que les clients ont contact le serveur au cours des deux derniers battements du client.
265
Rapport ou journal
Pour les clients des sites distants, "en ligne" signifie que les clients taient en ligne au moment de la dernire rplication.
Journal d'administration
Utilisez ce journal pour consulter les activits d'administration comme :

les connexions et les fermetures de session ; les modifications de politique ; les modifications de mot de passe ; la mise en correspondance de certificats ; Evnements de rplication les vnements de journal.
Ce journal peut tre utile pour la rparation des problmes client lis par exemple l'absence de certificats, de politiques ou d'importations. Vous pouvez consulter sparment des vnements associs aux domaines, aux groupes, aux utilisateurs, aux ordinateurs, aux importations, aux packages, aux rplications et d'autres vnements. Journal d'activit client/serveur Utilisez ce journal pour consulter toutes les activits client qui ont lieu pour un serveur spcifique. Par exemple, vous pouvez utiliser ce journal pour consulter les lments suivants :

tlchargements de politique russis et non russis ; connexions client au serveur ; enregistrements de serveur ;
Journal d'activit client/serveur Entre autres, utilisez ce journal pour les raisons suivantes :

pour localiser et dpanner des problmes de rplication ; pour localiser et dpanner des problmes de sauvegarde ; pour localiser et dpanner des problmes de serveur Radius ; pour consulter tous les vnements de serveur d'un niveau de gravit particulier.
266
Affichage et configuration des rapports A propos de l'affichage des rapports
Rapport ou journal
Journal d'activit du client
Entre autres, vous pouvez utiliser ce journal pour contrler les activits client suivantes :

clients dont l'accs au rseau a t bloqu ; clients devant tre redmarrs ; installations russies ou non russies sur les clients ; problmes de dclenchement et d'arrt de service sur les clients ; problmes d'importation de rgles sur les clients ; problmes de tlchargement de politiques sur les clients ; connexions dfectueuses au serveur. Etat du client comme fournisseur de mise jour groupe (GUP)
Journal d'activit Enforcer
Utilisez ce journal pour surveiller les problmes avec les modules d'application Enforcer. Dans ce journal, vous pouvez afficher des vnements de gestion, des vnements d'Enforcer, des vnements d'activation et des vnements de politique. Vous pouvez les filtrer par niveau de gravit. Par exemple, vous pouvez utiliser ce journal pour dpanner les types de problmes suivants :

connectivit d'Enforcer ; importation et application des politiques et configurations ; dmarrage, arrts et interruptions d'Enforcer.
Remarque : Si Symantec Network Access Control n'est pas install sur votre ordinateur, le journal Activit Enforcer et les entres d'autres journaux applicables aux modules d'application Enforcer sont vides. Se reporter "A propos des rapports pouvant tre excuts" la page 242.
A propos de l'affichage des rapports

Utilisez la page de rapports pour excuter, afficher et imprimer des rapports et pour planifier des rapports pour s'excuter de faon rgulire. La rsolution d'cran optimale pour les fonctions de rapport est 1024 x 768 ou plus haute. Cependant, vous pouvez afficher les fonctions de rapport avec une rsolution d'cran aussi faible que 800 x 600 en utilisant les barres de dfilement. Figure 12-1 affiche l'un des rapports de risques que vous pouvez excuter.
267
Figure 12-1
Exemple d'un rapport de risque
A propos de l'affichage des graphiques linaires dans les rapports

Les graphiques linaires affichent la progression dans le temps. Les units qui sont affiches sur l'axe des abscisses dpendent de la plage horaire que vous slectionnez. Le Tableau 12-10 affiche l'unit de l'axe des abscisses qui est utilise pour chaque plage horaire que vous pouvez slectionner pour des graphiques linaires. Tableau 12-10 Units de l'axe des abscisses pour la plage horaire correspondante slectionne Unit de l'axe des abscisses
heure
Plage horaire
Dernires 24 heures
268
Plage horaire
La semaine dernire Le mois dernier Le mois en cours Les 3 derniers mois L'anne dernire Plage horaire
Unit de l'axe des abscisses

jour
mois un jour (24 heures quelconques) : par heure suprieure 1 jour mais infrieure ou gale 7 jours : par heure suprieure 7 jours mais infrieure ou gale 31 jours : par jour suprieure 31 jours mais infrieure ou gale 2 ans : par mois suprieure 2 ans : par an
A propos de l'affichage des diagrammes barres

Dans les rapports qui contiennent des histogrammes ou des diagrammes barres qui impliquent des menaces, faites glisser la souris sur les barres du graphique pour consulter les noms des menaces.
A propos de l'affichage des rapports dans des langues asiatiques

Les histogrammes et les histogrammes 3D sont crs sur le serveur en tant qu'images avant que les diagrammes soient envoys au navigateur. Par dfaut, le serveur que vous utilisez pour crer ces diagrammes recherche la police MS Arial Unicode. MS Arial Unicode est disponible en tant qu'lment de Microsoft Office et affiche toutes les langues prises en charge correctement. Si la police MS Arial Unicode n'est pas trouve, le serveur utilise Lucida Sans Unicode. Sur les serveurs qui affichent dans une langue asiatique, certains rapports n'affichent pas correctement le texte des diagrammes si MS Arial Unicode n'est pas installe sur le serveur. Ce problme se pose si votre rapport inclut un histogramme ou un histogramme 3D. Si la police MS Arial Unicode n'est pas installe sur le serveur, vous pouvez configurer votre serveur pour rsoudre ce problme. Vous pouvez configurer Symantec Endpoint Protection pour utiliser n'importe quelle police Unicode prenant en charge les langues dans votre environnement.
Affichage et configuration des rapports Au sujet des rapports rapides
269
Pour modifier la police utilise pour afficher des rapports
1 2 3
Modifiez le rpertoire du lecteur:\Program Files\ Symantec\Symantec Endpoint Protection Manager\Inetpub\Reporting\Common. Ouvrez le fichier de configuration I18nCommon.bundle avec un diteur. Tapez le nom du fichier de police que vous voulez utiliser aprs le signe gal (=) suivant la variable SPECIAL_FONT. Par exemple, si vous voulez utiliser Arial, vous taperez ce qui suit : SPECIAL_FONT=arial.ttf
4 5
Enregistrez le fichier dans le format UTF-8 et fermez-le. Assurez-vous que le fichier de police se trouve dans le rpertoire %WINDIR%\fonts.
Au sujet des rapports rapides

Les rapports rapides sont des rapports pr-dfinis et personnalisables. Ces rapports incluent des donnes d'vnements collectes de vos serveurs de gestion aussi bien que les clients qui communiquent avec ces serveurs. Les rapports rapides fournissent des informations sur des vnements spcifiques aux paramtres que vous configurez pour le rapport. Vous pouvez enregistrer les paramtres d'un rapport afin de pouvoir excuter le mme rapport ultrieurement et vous pouvez imprimer et enregistrer des rapports. Se reporter "Impression et enregistrement d'une copie d'un rapport" la page 282. Les rapports rapides sont statiques ; ils fournissent des informations particulires au calendrier que vous spcifiez pour le rapport. Alternativement, vous pouvez contrler des vnements en temps rel l'aide des journaux. Se reporter "A propos des journaux" la page 287. Tableau 12-11 dcrit les types de rapport pour les rapports rapides Tableau 12-11 Type de Rapport
Audit
Types de rapport rapide
Description
Le rapport d'audit contient des informations sur les activits de modification des politiques, telles que les heures et les types des vnements, les modifications de politique, les domaines, les sites, les administrateurs et les descriptions. Se reporter "A propos des informations dans le rapport et le journal d'audit " la page 245.
270
Type de Rapport
Description
Contrle des applications et Les rapports de contrle des applications et des priphriques contiennent des des priphriques informations sur des vnements o l'accs un ordinateur a t bloqu ou un priphrique a t retenu hors du rseau. Se reporter "A propos des informations des rapports et des journaux Contrle d'application et Contrle de priphrique" la page 245. Conformit Les rapports de conformit contiennent des informations sur le serveur Enforcer, les clients Enforcer, le trafic Enforcer et la conformit de l'hte. Se reporter " A propos des informations dans les rapports et les journaux de conformit " la page 246. Etat d'ordinateur Les rapports Etat de l'ordinateur contiennent des informations sur l'tat oprationnel en temps rel des ordinateurs sur le rseau. Se reporter "A propos des informations dans les rapports et le journal d'tat de l'ordinateur" la page 248. Protection contre les menaces rseau Les rapports de protection contre les menaces rseau vous permettent de suivre l'activit d'un ordinateur ainsi que son interaction avec d'autres ordinateurs et rseaux. Ils enregistrent des informations sur le trafic qui tente d'entrer ou de sortir sur les ordinateurs par leurs connexions rseau. Se reporter "A propos des informations dans les rapports et les journaux de protection contre les menaces rseau" la page 252. Risque Les rapports de risque comprennent des informations sur les vnements de risque prsents sur vos serveurs de gestion et leurs clients. Se reporter "A propos des informations dans les rapports et le journal des risques" la page 256. Egalement incluses dans les rapports de risque sont les rapports d'analyse proactive des menaces TruScan. Se reporter "A propos des informations figurant dans les rapports et les journaux d'analyse proactive des menaces TruScan" la page 255. Analyse Les rapports d'analyse fournissent des informations sur l'activit d'analyse antivirus et antispyware. Se reporter "A propos des informations dans les rapports et le journal d'analyse" la page 260. Systme Les rapports systme contiennent les informations utiles pour le dpannage des problmes des clients. Se reporter "A propos des informations dans les rapports et les journaux systme" la page 262.
271
Vous pouvez configurer les paramtres de base et les paramtres avancs pour tous les rapports afin de mieux cibler les donnes afficher. Vous pouvez galement enregistrer votre filtre personnalis en lui attribuant un nom diffrent de manire ce que le mme rapport personnalis puisse s'excuter ultrieurement. Tableau 12-12 dcrit tous les paramtres de base disponibles pour tous les types de rapports rapides. Tableau 12-12 Paramtre
Plage horaire
Paramtres de filtre de base pour les rapports rapides
Description
Spcifie l'intervalle de temps des vnements que vous voulez afficher dans le rapport. Slectionnez une des priodes suivantes :

Dernires 24 heures La semaine dernire Le mois dernier Le mois en cours Les trois derniers mois L'anne dernire Dfinir des dates spcifiques
Si vous slectionnez Dfinir des dates spcifiques, certains rapports requirent la dfinition d'une date de dbut et de fin. D'autres rapports requirent que vous dfinissiez la date du dernier enregistrement, qui correspond la dernire fois o l'ordinateur s'est authentifi auprs de son serveur. Le paramtre par dfaut est Les dernires 24 heures. Date de dbut Dfinit la date de dbut pour la plage de dates. Cette option est disponible uniquement lorsque vous slectionnez l'option Dfinir des dates spcifiques pour la plage horaire. Date de fin Dfinit la date de fin pour la plage de dates. Cette option est disponible uniquement lorsque vous slectionnez l'option Dfinir des dates spcifiques pour la plage horaire.
Remarque : Vous ne pouvez pas dfinir une date de fin qui soit la mme que la date de
dbut ou antrieure la date de dbut. Dernire Spcifie que vous voulez consulter toutes les entres qui impliquent un ordinateur qui ne authentificationaprs s'est pas authentifi auprs de son serveur depuis cette poque. Seulement disponible pour les rapports d'tat de l'ordinateur quand vous slectionnez Dfinir des dates spcifiques pour l'intervalle de temps.
272
Paramtre
Etat
Description
Disponible pour le rapport de conformit d'tat de conformit du rseau. Slectionnez parmi les options suivantes :

Authenticated (Authentifi) Disconnected (Dconnect) Failed (Echec) Passed (Autoris) Rejected (Rejet)
Disponible pour le rapport de conformit d'tat de conformit. Slectionnez parmi les actions suivantes :

Passed (Autoris) Failed (Echec)
Regrouper par
De nombreux rapports peuvent tre regroups de faon approprie. Par exemple, le choix le plus commun est d'afficher des informations pour seulement un groupe ou sous-rseau, mais certains rapports fournissent d'autres choix appropris.
273
Paramtre
Cible
Description
Disponible pour le rapport sur les principales cibles attaques de la protection contre les menaces rseau. Slectionnez parmi les options suivantes :

Groupe Sous-rseau Client Port
Disponible pour le rapport sur les Attaques dans le temps de la protection contre les menaces rseau. Slectionnez parmi les options suivantes :

Toutes Groupe Adresse IP Systme d'exploitation Nom d'utilisateur Type d'attaque
Disponible pour les rapports Applications bloques dans le temps et Notifications de trafic dans le temps de la protection contre les menaces rseau. Slectionnez parmi les options suivantes :

Toutes Groupe Adresse IP Systme d'exploitation Nom d'utilisateur
Disponible pour le rapport sur les Principales notifications de trafic de la protection contre les menaces rseau. Slectionnez parmi les options suivantes :

Toutes Trafic Paquet
Axe X Axe Y
Disponible pour le rapport de corrlation des principales dtections de risque. Slectionnez parmi les options suivantes :

Ordinateur Nom d'utilisateur Domaine Groupe Server (Serveur) Nom du risque
Largeur d'emplacement
Spcifie la largeur d'un emplacement pour former un histogramme. Disponible pour le rapport d'analyse d'histogramme d'analyses statistiques.
274
Affichage et configuration des rapports Cration de rapports rapides
Paramtre
Nombre d'emplacements
Description
Spcifie le nombre d'emplacements que vous voulez utiliser pour former les barres d'un histogramme. Disponible pour le rapport d'analyse d'histogramme d'analyses statistiques.
Les paramtres avancs permettent un contrle supplmentaire des donnes que vous voulez afficher. Ils sont spcifiques au type et au contenu de rapport. Pour une description de chaque paramtre que vous pouvez configurer, vous pouvez cliquer sur Plus d'infos pour afficher l'aide contextuelle pour ce type de rapport. Si votre rseau comprend plusieurs domaines, de nombreux rapports vous permettent d'afficher des donnes sur tous les domaines, sur un site ou sur plusieurs sites. Par dfaut, les rapports rapides affichent tous les domaines, groupes, serveurs, etc., selon le rapport que vous souhaitez crer. Remarque : Si vous avez uniquement install Symantec Network Access Control, un nombre important de rapports sont vides. Les rapports Contrle des applications et des priphriques, Protection contre les menaces rseau, Risque et Analyse ne contiennent pas de donnes. Les rapports Conformit et Audit contiennent des donnes, de mme que certains des rapports Etat de l'ordinateur et Systme. Se reporter "Cration de rapports rapides" la page 274. Se reporter "A propos de l'utilisation des filtres qui recherchent des groupes dans les rapports et les journaux" la page 282.
Cration de rapports rapides

Gnrez un rapport rapide en slectionnant des options de paramtres de filtre de base qui s'affichent sous Quels paramtres de filtrage voulez-vous utiliser ?. Pour configurer d'autres options afin de gnrer un rapport, cliquez sur Paramtres avancs. Les paramtres de base et les paramtres avancs varient d'un rapport l'autre. Pour consulter une description de chaque paramtre avanc, cliquez sur le lien En savoir plus correspondant au type de rapport dans la console Symantec Endpoint Protection Manager. Le lien En savoir plus affiche l'aide contextuelle relative ce type de rapport. Vous pouvez enregistrer les paramtres d'un rapport afin de pouvoir excuter le mme rapport ultrieurement et vous pouvez imprimer et enregistrer des rapports.
Affichage et configuration des rapports Cration de rapports rapides
275
Remarque : Les champs d'option de filtre qui acceptent des caractres gnriques et recherchent des correspondances ne distinguent pas les majuscules et les minuscules. L'astrisque ASCII est le seul astrisque qui puisse tre utilis comme caractre gnrique. Se reporter "Enregistrement et suppression des filtres de rapports rapides" la page 276. Se reporter "Impression et enregistrement d'une copie d'un rapport" la page 282. Se reporter "Cration et suppression de rapports planifis" la page 279. Pour crer un rapport rapide
1 2 3
Dans la console, cliquez sur Reports. Dans l'onglet Rapports rapides, dans la liste Type de rapport, slectionnez le type de rapport crer. Dans la zone de liste Slectionner un rapport, slectionnez le nom du rapport afficher. Pour le rapport Etat de conformit du rseau et le rapport Etat de conformit, dans la zone de liste Etat, slectionnez une configuration de filtre enregistre que vous souhaitez utiliser ou maintenez le filtre par dfaut. Pour le rapport Corrlation de dtection des principaux risques, vous pouvez slectionner des valeurs pour que les zones de liste Axe x et Axe y spcifient le mode d'affichage du rapport. Pour le rapport Analyse d'histogramme de statistiques d'analyse, vous pouvez slectionner des valeurs pour Largeur d'emplacement et Nombre demplacements. Pour certains rapports, vous pouvez spcifier comment grouper les rsultats du rapport dans la zone de liste Groupe. Pour d'autres rapports, vous pouvez slectionner une cible dans le champ Cible sur lequel filtrer les rsultats du rapport.
Dans la liste Utiliser un filtre enregistr, slectionnez une configuration de filtrage enregistre que vous souhaitez utiliser, ou conservez le filtre par dfaut. Sous Quels paramtres de filtrage voulez-vous utiliser ?, dans la zone de liste Plage horaire, slectionnez la plage horaire du rapport.
276
Affichage et configuration des rapports Enregistrement et suppression des filtres de rapports rapides
Si vous slectionnez Dfinir des dates spcifiques, utilisez les zones de liste Date de dbut et Date de fin. Ces options dfinissent l'intervalle de temps pour lequel vous voulez afficher des informations. Lorsque vous gnrez un rapport Etat de l'ordinateur et slectionnez Dfinir des dates spcifiques, vous spcifiez que vous voulez consulter toutes les entres qui impliquent un ordinateur qui ne s'est pas authentifi avec son serveur depuis la priode que vous avez spcifiez dans le champ Dernier contrle aprs.
Pour configurer des paramtres supplmentaires pour le rapport, cliquez sur Paramtres avancs et dfinissez les options souhaites. Vous pouvez cliquer sur En savoir plus pour consulter des descriptions des options de filtre dans l'aide contextuelle. Vous pouvez enregistrer les paramtres de configuration du rapport si vous pensez vouloir excuter nouveau ce rapport l'avenir.
Cliquez sur Crer un rapport.
Enregistrement et suppression des filtres de rapports rapides

Vous pouvez enregistrer les paramtres de rapport personnaliss afin de pouvoir restaurer un rapport ultrieurement. Lorsque vous enregistrez vos paramtres, ceux-ci sont enregistrs dans la base de donnes. Le nom que vous attribuez au filtre s'affiche dans la zone de liste Utilisez un filtre sauvegard pour le type de journal et de rapport appropri. Remarque : Les paramtres de configuration de filtre que vous enregistrez sont uniquement disponibles pour votre compte de connexion utilisateur. Les autres utilisateurs disposant de droits de notification n'ont pas accs aux paramtres enregistrs. Vous pouvez galement supprimer les configurations de rapport que vous avez cres. Lorsque vous supprimez une configuration, le rapport n'est plus disponible. Le nom de configuration du rapport par dfaut s'affiche dans la zone de liste Utilisez un rapport sauvegard et l'cran est rempli des paramtres de configuration par dfaut. Se reporter "A propos des noms de filtre dupliqus" la page 277. Se reporter "A propos de l'utilisation du filtre Dernires 24 heures dans les rapports et les journaux" la page 281.
Affichage et configuration des rapports Enregistrement et suppression des filtres de rapports rapides
277
Se reporter "A propos de l'utilisation des filtres qui recherchent des groupes dans les rapports et les journaux" la page 282. Pour enregistrer un filtre
1 2 3 4 5
Dans la console, cliquez sur Reports. Dans l'onglet Rapports rapides, slectionnez un type de rapport de la zone de liste. Modifiez les paramtres de base ou les paramtres avancs du rapport. Cliquez sur Enregistrer le filtre. Dans la zone de texte Nom du filtre, saisissez un nom descriptif pour le filtre de rapport. Seuls les 32 premiers caractres du nom s'affichent lorsque le filtre sauvegard est ajout la liste Utiliser un filtre sauvegard. Cliquez sur OK. Lorsque la bote de dialogue de validation s'affiche, cliquez sur OK. Une fois enregistr, le filtre s'affiche dans la zone de liste Utilisez un filtre sauvegard pour les rapports et les journaux associs.
6 7
Pour supprimer un filtre sauvegard
1 2 3 4 5
Dans la console, cliquez sur Reports. Dans l'onglet Rapports rapides, slectionnez un type de rapport. Dans la zone de liste Utilisez un filtre sauvegard, slectionnez le nom du filtre supprimer. Cliquez sur l'icne Supprimer qui se trouve ct de la zone de liste Utiliser un filtre sauvegard. Lorsque la bote de dialogue de validation s'affiche, cliquez sur Oui.
A propos des noms de filtre dupliqus

Le stockage de filtre est bas en partie sur le crateur, ainsi aucun problme ne se pose quand deux utilisateurs diffrents crent un filtre avec le mme nom. Cependant, un utilisateur ou deux utilisateurs qui se connectent au compte "admin" par dfaut ne doivent pas crer des filtres avec le mme nom. Si les utilisateurs crent des filtres avec le mme nom, un conflit peut se produire dans deux conditions :
Deux utilisateurs sont connects au compte "admin" par dfaut sur diffrents sites et chacun d'eux cre un filtre avec le mme nom. Un utilisateur cre un filtre, se connecte un site diffrent et cre immdiatement un filtre avec le mme nom.
278
Affichage et configuration des rapports A propos des rapports planifis
Si l'une ou l'autre condition se produit avant que la rplication de site ait lieu, deux filtres avec le mme nom s'affichent alors dans la liste des filtres. Seul l'un des filtres est utilisable. Si ce problme se pose, la meilleure action consiste supprimer le filtre utilisable et le recrer avec un nom diffrent. Si vous supprimez le filtre utilisable, vous supprimez galement le filtre inutilisable. Se reporter "Enregistrement et suppression des filtres de rapports rapides" la page 276.
A propos des rapports planifis

Les rapports planifis sont des rapports qui s'excutent automatiquement en fonction d'une planification que vous devez configurer. Les rapports planifis sont envoys aux destinataires par courrier lectronique, ce qui signifie que vous devez inclure l'adresse lectronique d'au moins un destinataire. Une fois le rapport excut, il est envoy sous forme de pice jointe (fichier .mht) aux destinataires que vous avez configurs. Les rapports planifis sont envoys leurs destinataires l'heure qui a t dfinie par l'administrateur l'aide de l'option Excuter tous les. Les donnes qui apparaissent dans les rapports clich sont mises jour chaque heure dans la base de donnes. Lorsque Symantec Endpoint Protection envoie un rapport clich par courrier lectronique, les donnes contenues dans le rapport sont actuelles une heure prs. Les autres rapports qui contiennent des donnes pour une priode particulire sont mis jour dans la base de donnes en fonction de l'intervalle de tlchargement que vous avez configur pour les journaux client. Se reporter "Configuration des paramtres de journal client" la page 400. Remarque : Si plusieurs des serveurs installs partagent la mme base de donnes sur un site, seul le premier serveur install excute les rapports planifis pour le site. Ce paramtre par dfaut permet de garantir que tous les serveurs du site n'excutent pas les mmes analyses planifies simultanment. Si vous souhaitez spcifier un serveur diffrent pour l'excution des rapports planifis, vous pouvez configurer cette option dans les proprits du site local. Se reporter "Modification des proprits du site" la page 343. Les rapports suivants sont disponibles seulement en tant que rapports planifis :

Dploiement de logiciel client (clichs) Clients en ligne/hors ligne dans le temps (clichs) Clients avec la dernire politique dans le temps (clichs)
Affichage et configuration des rapports Cration et suppression de rapports planifis
279
Clients non compatibles 100% au cours du temps (clichs) Dploiement de dfinition de virus (clichs)
Vous pouvez imprimer et enregistrer des rapports planifis de la mme manire que des rapports rapides. Remarque : Lorsque vous crez un rapport planifi pour la premire fois, vous devez utiliser le filtre par dfaut ou un filtre dj sauvegard. Une fois que vous avez planifi le rapport, vous pouvez y revenir tout moment pour modifier le filtre. Se reporter "Modification du filtre utilis pour un rapport planifi" la page 280. Pour plus d'informations sur les options que vous pouvez dfinir au cours de ces procdures, cliquez sur En savoir plus dans l'onglet Rapports planifis. Se reporter "Cration et suppression de rapports planifis" la page 279. Se reporter "A propos de l'utilisation des filtres qui recherchent des groupes dans les rapports et les journaux" la page 282.
Cration et suppression de rapports planifis

Vous pouvez ajouter ou modifier des rapports planifis, et vous pouvez supprimer des rapports planifis. S'il existe un rapport planifi que vous ne voulez pas excuter, vous pouvez dslectionner l'option Activer ce rapport planifi plutt que de supprimer le rapport. Se reporter "Modification du filtre utilis pour un rapport planifi" la page 280. Pour crer un rapport planifi
1 2 3
Dans la console, cliquez sur Reports. Dans l'onglet Rapports planifis, cliquez sur Ajouter. Dans la zone de texte Nom du rapport, saisissez un nom descriptif et entrez une description plus dtaille (facultatif). Bien que vous puissiez coller plus de 255 caractres dans la zone de texte de la description, seuls 255 caractres sont enregistrs dans la description.
4 5 6
Pour empcher l'excution de ce rapport, dslectionnez l'option Activer ce rapport planifi. Slectionnez le type de rapport que vous souhaitez planifier dans la liste. Slectionnez le nom du rapport que vous souhaitez planifier dans la liste.
280
Affichage et configuration des rapports Modification du filtre utilis pour un rapport planifi
7 8
Slectionnez le nom du filtre sauvegard que vous souhaitez utiliser dans la liste. Dans la zone de texte Excuter toutes les :, slectionnez la frquence (heures, jours, semaines, mois) laquelle vous souhaitez que le rapport soit envoy par courrier lectronique aux destinataires. Saisissez ensuite la valeur que vous souhaitez attribuer l'intervalle que vous avez slectionn. Par exemple, si vous souhaitez que le rapport vous soit envoy un jour sur deux, slectionnez Jours et saisissez 2. Dans la zone de texte Dmarrer aprs, saisissez la date laquelle le rapport doit dmarrer ou cliquez sur l'icne du calendrier et slectionnez une date. Slectionnez ensuite l'heure et la minute partir des zones de liste. lectroniques en les sparant par des virgules. Vous devez avoir dj install des proprits de serveur de messagerie pour que les notifications par message lectronique fonctionnent.
10 Sous Destinataires du rapport, saisissez une ou plusieurs adresses
11 Cliquez sur OK pour enregistrer la configuration du rapport planifi.

Pour supprimer un rapport planifi
1 2 3 4
Dans la console, cliquez sur Reports. Dans la liste des rapports de l'onglet Rapports planifis, cliquez sur le nom du rapport supprimer. Cliquez sur Supprimer. Lorsque la bote de dialogue de validation s'affiche, cliquez sur Oui.
Modification du filtre utilis pour un rapport planifi

Vous pouvez modifier les paramtres de n'importe quel rapport dj planifi. La prochaine fois que le rapport s'excute, il utilise les nouvelles configurations de filtre. Vous pouvez galement crer des rapports planifis supplmentaires, que vous pouvez associer un filtre de rapport prcdemment sauvegard. Remarque : Quand vous associez un filtre enregistr un rapport planifi, assurez-vous que le filtre ne contient pas de dates personnalises. Si le filtre est associ une date personnalise, vous obtiendrez le mme rapport chaque excution du rapport. Se reporter "A propos des noms de filtre dupliqus" la page 277.
Affichage et configuration des rapports A propos de l'utilisation du filtre Dernires 24 heures dans les rapports et les journaux
281
Se reporter "A propos de l'utilisation du filtre Dernires 24 heures dans les rapports et les journaux" la page 281. Se reporter "A propos de l'utilisation des filtres qui recherchent des groupes dans les rapports et les journaux" la page 282. Pour modifier le filtre utilis par un rapport planifi
1 2 3 4 5 6
Dans la console, cliquez sur Rapports. Cliquez sur Rapports planifis. Dans la liste des rapports, cliquez sur le rapport planifi que vous souhaitez modifier. Cliquez sur Modifier le filtre. Apportez vos modifications au filtre. Cliquez sur Enregistrer le filtre. Si vous souhaitez conserver le filtre d'origine, vous devez lui attribuer une nouveau nom.
7 8
Cliquez sur OK. Cliquez sur OK dans la bote de dialogue qui s'affiche.
A propos de l'utilisation du filtre Dernires 24 heures dans les rapports et les journaux
Si vous slectionnez l'option Dernires 24 heures comme plage horaire pour une vue de rapport ou de journal, la plage horaire dbute lorsque vous slectionnez le filtre. Si vous actualisez la page, le point de dpart de l'intervalle de 24 heures n'est pas rinitialis. Si vous slectionnez le filtre et dcidez d'afficher un journal, la plage horaire dbute lorsque vous slectionnez le filtre. Cette condition s'applique galement lorsque vous affichez un journal des vnements ou d'alertes. La plage horaire ne dbute pas lorsque vous crez le rapport ou affichez le journal. Si vous souhaitez que la plage horaire Dernires 24 heures dbute immdiatement, slectionnez une autre plage horaire, puis reslectionnez le filtre Dernires 24 heures. Remarque : La plage horaire du filtre Dernires 24 heures de la page d'accueil est dtermin au moment o vous accdez la page d'accueil. Se reporter "Enregistrement et suppression des filtres de rapports rapides" la page 276.
282
Affichage et configuration des rapports A propos de l'utilisation des filtres qui recherchent des groupes dans les rapports et les journaux
A propos de l'utilisation des filtres qui recherchent des groupes dans les rapports et les journaux
Puisque tous les groupes sont des sous-groupes du groupe parent Mon entreprise, quand un filtre recherche des groupes, il recherche hirarchiquement en commenant par la chane Mon entreprise. Si le nom du groupe ne commence pas par la lettre m, mettez un astrisque devant la chane que vous recherchez. Ou, vous pouvez commencer la chane par m* quand vous utilisez des caractres gnriques. Par exemple, si vous avez un groupe nomm Services et que vous saisissez s* dans cette zone de texte, aucun groupe ne sera trouv et utilis dans la vue. Pour trouver un groupe nomm Services, vous devez utiliser la chane *s* la place. Si plusieurs groupes contiennent la lettre s, vous pouvez utiliser une chane comme*ser*. Se reporter "Enregistrement et suppression des filtres de rapports rapides" la page 276.
Impression et enregistrement d'une copie d'un rapport

Lorsque vous gnrez un rapport, celui-ci apparat dans une nouvelle fentre. Vous pouvez imprimer le rapport ou enregistrer une copie du rapport. Remarque : Par dfaut, Internet Explorer n'imprime pas les couleurs et les images d'arrire-plan. Si cette option d'impression est dsactive le rapport imprim peut tre diffrent du rapport que vous avez cr. Vous pouvez modifier les paramtres de votre navigateur pour qu'il imprime les couleurs et les images d'arrire-plan. Se reporter "A propos des rapports pouvant tre excuts" la page 242. Pour imprimer une copie d'un rapport
1 2
Dans la fentre du rapport, cliquez sur Imprimer. Dans la bote de dialogue Imprimer, slectionnez l'imprimante que vous souhaitez utiliser puis cliquez sur Imprimer.
Lorsque vous enregistrez un rapport, vous enregistrez un "clich" de votre environnement de scurit bas sur les donnes qui se trouvent actuellement dans votre base de donnes Reporting. Si vous excutez le mme rapport ultrieurement, avec la mme configuration de filtrage, le nouveau rapport affiche des donnes diffrentes.
Affichage et configuration des rapports A propos de l'utilisation de SSL avec les fonctions de notification
283
Pour enregistrer une copie d'un rapport
1 2 3 4 5
Dans la fentre du rapport, cliquez sur Enregistrer. Dans la bote de dialogue de tlchargement de fichier, cliquez sur Enregistrer. Dans la bote de dialogue Enregistrer sous, dans la zone Enregistrer dans, localisez l'emplacement o vous souhaitez enregistrer le fichier. Dans la zone de liste Nom du fichier, vous pouvez modifier le nom de fichier par dfaut si vous le souhaitez. Cliquez sur Enregistrer. Le rapport est enregistr sous forme de fichier unique (*.mht) au format d'archivage Web de Microsoft dans l'emplacement que vous avez slectionn.
Dans la bote de dialogue Tlchargement termin, cliquez sur Fermer.
A propos de l'utilisation de SSL avec les fonctions de notification

Vous pouvez utiliser SSL avec les fonctions de notification pour une scurit accrue. SSL permet la confidentialit, l'intgrit de vos donnes et l'authentification entre le client et le serveur. Pour plus d'informations sur l'utilisation de SSL avec les fonctions de rapport, consultez le document suivant dans base de connaissances de Symantec : Configuration de la couche des sockets scuriss (Protocole SSL) pour fonctionner avec Symantec Endpoint Protection signalant des fonctions sur Windows 2000 Configuration de la couche des sockets scuriss (Protocole SSL) pour fonctionner avec Symantec Endpoint Protection signalant des fonctions sur Windows Server 2003 Se reporter "A propos des rapports pouvant tre excuts" la page 242.
Points importants quant l'utilisation des rapports

Veillez tenir compte des informations suivantes lorsque vous utilisez des rapports :
Les horodatages, y compris les priodes d'analyse du client, des rapports et des journaux sont donns en heure locale de l'utilisateur. Les vnements de la base de donnes de gnration de rapports sont bass sur l'heure GMT (Greenwich Mean Time). Lorsque vous crez un rapport, les valeurs GMT sont converties en heure locale de l'ordinateur sur lequel vous affichez les rapports.
284
Affichage et configuration des rapports Points importants quant l'utilisation des rapports
Si les clients grs sont dans un fuseau horaire diffrent de celui du serveur de gestion et que vous utilisez l'option de filtre Dfinir des dates spcifiques, des rsultats inattendus peuvent s'afficher. L'exactitude des donnes et l'heure sur le client et le serveur de gestion peuvent tre affects. Si vous modifiez le fuseau horaire sur le serveur, fermez la session de la console et rouvrez-la pour voir les heures prcises dans les journaux et les rapports. Dans certains cas, les donnes de rapport ne peuvent tre mises en correspondance avec les donnes affiches par vos produits de scurit. Ce manque de correspondance rsulte de la collecte des vnements de scurit par le logiciel de notification. Vous pouvez utiliser SSL avec les fonctions de notification pour une scurit accrue. SSL permet la confidentialit, l'intgrit des donnes et l'authentification entre le client et le serveur. Se reporter "A propos de l'utilisation de SSL avec les fonctions de notification" la page 283. Les informations relatives aux catgories de risque des rapports sont obtenues auprs du site Web de Symantec Security Response. Jusqu' ce que la console Symantec Endpoint Protection Manager puisse rcuprer ces informations, tous les rapports que vous gnrez affichent Inconnu dans les champs de catgorie de risque. Les rapports que vous gnrez offrent un aperu dtaill des ordinateurs compromis sur le rseau. Les rapports reposent sur les donnes du journal et non pas sur les donnes de registre Windows. Les pages de rapport et de journal s'affichent toujours dans la langue avec laquelle le serveur de gestion a t install. Pour afficher ces pages lorsque vous utilisez une console distante ou un navigateur, vous devez disposer de la police approprie sur l'ordinateur que vous utilisez. Si des erreurs de base de donnes surviennent lorsque vous gnrez des rapports contenant un volume important de donnes, cela peut signifier que vous devez modifier les paramtres d'expiration de la base de donnes concerne. Se reporter "Modification des paramtres d'expiration" la page 406. Si des erreurs CGI ou d'arrts de processus surviennent, vous pouvez modifier d'autres paramtres d'expiration. Pour plus d'informations, consultez le document suivant dans la base de connaissances de Symantec : Le SAV Reporting Server ou le SEPM Reporting ne ragit pas ou n'affiche pas de message d'erreur de dlai d'attente lors d'une requte un grand nombre de donnes
285
Veillez tenir compte des informations suivantes si certains des ordinateurs prsents sur votre rseau excutent des versions hrites de Symantec AntiVirus :
Lorsque vous utilisez des filtres de rapport et de journal, les groupes de serveurs sont classs par domaine. Les groupes clients sont classs par groupe et les serveurs parents sont classs par serveur. Si vous gnrez un rapport comprenant des ordinateurs hrits, les champs d'adresse IP et d'adresse MAC affichent Aucun(e).
286
Chapitre
13
Affichage et configuration des journaux et des notifications


A propos des journaux Affichage des journaux Enregistrement et suppression des filtres Paramtres de base du filtre pour les journaux et les rapports Paramtres avancs du filtre pour les journaux et les rapports Excuter des commandes et des actions partir des journaux Exportation des donnes de journal A propos de l'utilisation de notifications
A propos des journaux

L'utilisation de journaux vous permet d'afficher les vnements dtaills qui ont t dtects par vos produits de scurit. Les journaux contiennent des donnes d'vnement issues de vos serveurs de gestion ainsi que de tous les clients qui communiquent avec ces serveurs. Etant donn que les rapports sont statiques et n'incluent pas autant de dtails que les journaux, certains administrateurs prfrent contrler leur rseau en utilisant des journaux.
288
Affichage et configuration des journaux et des notifications A propos des journaux
Vous pouvez utiliser le filtre par dfaut pour afficher les journaux ou vous pouvez configurer les options de filtre pour limiter les donnes affiches. Vous pouvez enregistrer un filtre que vous avez personnalis de sorte que vous puissiez l'utiliser l'avenir. Vosu pouvez galement consulter les journaux pour rsoudre les problmes de scurit et de connectivit dans le rseau. Ces informations peuvent galement tre utiles pour rechercher d'ventuelles menaces ou vrifier l'historique des vnements. Remarque : Les pages des rapports et des journaux s'affichent toujours dans la langue du serveur de gestion. Pour afficher ces pages lorsque vous utilisez une console Symantec Endpoint Protection Manager ou un navigateur distant, la police approprie doit tre installe sur l'ordinateur que vous utilisez. Vous pouvez exporter certaines donnes d'vnements de journal vers un fichier dlimit par des virgules, puis l'importer dans une application de tableur. Vous pouvez galement exporter d'autres donnes du journal vers un fichier de vidage mmoire ou un serveur Syslog. Se reporter "Exportation des donnes de journal" la page 307. Se reporter "A propos des vnements consigns issus de votre rseau" la page 214.
A propos des types de journaux

Vous pouvez afficher les types de journaux suivants partir de la page Contrles :

Audit Contrle des applications et des priphriques Conformit Etat de l'ordinateur Protection contre les menaces rseau Analyse proactive des menaces TruScan Risque Analyse Systme
289
Remarque : Tous ces journaux sont accessibles partir de la page de Contrles de l'onglet Journaux. Certains types de journaux sont encore diviss en diffrents types de contenu pour faciliter l'affichage. Par exemple, les journaux Contrle des applications et Contrle des priphriques incluent le journal Contrle des applications et le journal Contrle des priphriques. Vous pouvez galement excuter des commandes partir de certains journaux. Remarque : Si seul Symantec Network Access Control est install, seulement certains des journaux contiennent des donnes ; d'autres journaux sont vides. Le journal d'audit, le journal de conformit, le journal d'tat des ordinateurs et le journal systme contiennent des donnes. Si seul Symantec Endpoint Protection est install, les journaux Conformit et Enforcer sont vides, mais tous les autres journaux contiennent des donnes. Vous pouvez afficher des informations sur les notifications cres dans l'onglet Notifications et des informations sur l'tat des commandes dans l'onglet Etat de la commande. Se reporter "Affichage et filtrage des informations de notification administrateur" la page 313. Se reporter "Excuter des commandes et des actions partir des journaux" la page 304. Tableau 13-1 dcrit les diffrents types de contenu que vous pouvez afficher et les actions que vous pouvez entreprendre partir de chaque journal. Tableau 13-1 Type de journal
Audit
Types de journaux
Contenus et actions
Le rapport d'audit contient des informations sur l'activit de modification de la politique. Les informations disponibles incluent l'heure et le type d'vnement, la politique modifie, le domaine, le site et l'administrateur concerns, ainsi qu'une description. Aucune action n'est associe ce journal.
290
Type de journal
Contenus et actions
Contrle des applications et Le journal Contrle des applications et le journal Contrle des priphriques des priphriques contiennent des informations sur les vnements dans lesquels certains types de comportement taient bloqus. Les journaux de contrle des applications et des priphriques suivants sont disponibles : Contrle des applications, qui inclut des informations sur la protection contre les interventions Contrle des priphriques
Les informations disponibles incluent l'heure de l'vnement, l'action entreprise, le domaine, l'ordinateur et l'utilisateur concerns, la gravit, la rgle concerne, le processus de l'appelant et la cible. Vous pouvez ajouter un fichier la politique d'exceptions centralises partir du journal Contrle des applications. Les informations disponibles incluent l'heure de l'vnement, le type d'vnement, le domaine, le groupe, l'ordinateur et l'utilisateur concerns, le nom du systme d'exploitation, une description, l'emplacement et le nom de l'application concerne.
291
Type de journal
Conformit
Contenus et actions
Les journaux de conformit contiennent des informations au sujet du trafic du serveur Enforcer, des clients Enforcer et d'Enforcer et sur la conformit des htes. Les journaux de conformit suivants sont disponibles si vous avez install Symantec Network Access Control : Serveur Enforcer Ce journal suit la communication entre les modules d'application Enforcer et leur serveur de gestion. Les informations consignes incluent le nom d'Enforcer, l'heure de connexion au serveur de gestion, le type d'vnement, le site et le nom du serveur. Client Enforcer Fournit les informations sur toutes les connexions client Enforcer, y compris les informations d'authentification point point Les informations disponibles incluent l'heure, le nom, le type, le site, l'hte distant et l'adresse MAC distante de chaque Enforcer, et indiquent si le client a t accept, rejet ou authentifi. Trafic Enforcer (Gateway Enforcer uniquement) Fournit quelques informations au sujet du trafic qui passe par un botier Enforcer. Les informations disponibles incluent l'heure, le nom de l'Enforcer, le type d'Enforcer et le site. Les informations incluent galement le port local utilis, la direction, l'action et le nombre d'occurrences. Vous pouvez filtrer les tentatives de connexion qui ont t permises ou bloques. Conformit d'hte Ce journal ralise un suivi des dtails des vrifications de l'intgrit d'hte des clients. Les informations disponibles incluent l'heure, le type d'vnement, le domaine/groupe, l'ordinateur, l'utilisateur, le systme d'exploitation, la description et l'emplacement.
Aucune action n'est associe ces journaux.
292
Type de journal
Etat de l'ordinateur
Contenus et actions
293
Type de journal
Contenus et actions
Le journal d'tat de l'ordinateur contient des informations sur l'tat de fonctionnement des ordinateurs clients dans le rseau en temps rel. Les informations disponibles incluent le nom de l'ordinateur, l'adresse IP, l'tat d'infection; les technologies de protection, l'tat d'Auto-Protect, les versions, la date des dfinitions, l'utilisateur, l'heure du dernier contrle, la politique, le groupe, le domaine et l'tat de redmarrage requis. Vous pouvez excuter les actions suivantes partir du journal d'tat de l'ordinateur :
Analyse Cette commande lance une analyse active, complte ou personnalise. Les options d'analyse personnalise sont celles que vous avez dfinies pour des analyses de commande sur la page Analyse dfinie par l'administrateur. La commande utilise les paramtres de la politique antivirus et antispyware qui s'applique aux clients que vous avez slectionns pour analyse. Mise jour de contenu Cette commande dclenche une mise jour des politiques, des dfinitions et du logiciel de la console Symantec Endpoint Protection Manager vers les clients du groupe slectionn. Mise jour de contenu et analyse Cette commande dclenche une mise jour des politiques, des dfinitions et du logiciel sur les clients du groupe slectionn. Cette commande lance ensuite une analyse active, complte ou personnalise. Les options d'analyse personnalise sont celles que vous avez dfinies pour des analyses de commande sur la page Analyse dfinie par l'administrateur. La commande utilise les paramtres de la politique antivirus et antispyware qui s'applique aux clients que vous avez slectionns pour analyse. Annuler toutes les analyses Cette commande annule toutes les analyses en cours et toutes les analyses en attente sur les destinataires slectionns. Redmarrer les ordinateurs client Cette commande redmarre les ordinateurs que vous avez slectionns. Si des utilisateurs sont connects, ils sont avertis du redmarrage bas sur les options de redmarrage que l'administrateur a configures pour cet ordinateur. Vous pouvez configurer les options de redmarrage des clients dans l'onglet Paramtres gnraux de la bote de dialogue Paramtres gnraux, dans l'onglet Politiques de la page Clients. Activation d'Auto-Protect Cette commande active Auto-Protect pour tous les ordinateurs clients que vous avez slectionns. Activation de la protection contre les menaces rseau Cette commande active la protection contre les menaces rseau pour tous les ordinateurs clients que vous avez slectionns. Dsactivation de la protection contre les menaces rseau
294
Type de journal
Contenus et actions
Cette commande dsactive la protection contre les menaces rseau pour tous les ordinateurs clients que vous avez slectionns. Vous pouvez galement effacer l'tat d'infection des ordinateurs partir de ce journal.
Les journaux de protection contre les menaces rseau contiennent des informations propos des attaques sur le pare-feu et sur la prvention d'intrusion. Des informations sont disponibles au sujet des attaques de refus de service, des analyses de port et des modifications qui ont t apportes aux fichiers excutables. Ils contiennent galement des informations sur les connexions qui sont faites par le pare-feu (trafic) et sur les paquets de donnes qui le traversent. Ces journaux contiennent galement certaines des modifications oprationnelles apportes aux ordinateurs, telles que la dtection des applications rseau et la configuration des logiciels. Les journaux suivants de protection contre les menaces rseau sont disponibles : Attaques Les informations disponibles incluent l'heure, le type d'attaque, le domaine/groupe, l'ordinateur et le nom d'utilisateur du client. D'autres informations sont disponibles, notamment la gravit, la direction/le protocole, l'IP de l'hte local/distant, l'emplacement et le nombre. Trafic Les informations disponibles incluent l'heure, le type d'vnement, l'action, la gravit, la direction, l'ordinateur, l'IP de l'hte local/distant, le protocole, le nom d'utilisateur du client et le nombre d'occurrences. Paquet Les informations disponibles incluent l'heure, le type d'vnement, l'action, le domaine, la direction, l'ordinateur, l'IP de l'hte local, le port local et l'IP de l'hte distant.
Aucune action n'est associe ces journaux. Analyse proactive des menaces TruScan Le journal de protection proactive contre les menaces TruScan contient des informations sur les menaces qui ont t dtectes lors d'une analyse proactive. Les analyses proactives des menaces TruScan utilisent des technologies heuristiques pour analyser tout comportement similaire celui des virus ou prsentant un risque pour la scurit. Cette mthode peut dtecter des virus inconnus et les risques de scurit. Les informations disponibles incluent des lments tels que l'heure de l'vnement, l'action relle de l'vnement, le nom d'utilisateur, l'ordinateur, le domaine, l'application, le type d'application, le nombre d'occurrences, le fichier et le chemin d'accs. Vous pouvez ajouter un processus dtect une politique d'exceptions centralises prexistente partir de ce journal.
295
Type de journal
Risque
Contenus et actions
Le journal de Risque contient des informations sur des vnements risque. Les informations disponibles incluent l'heure de l'vnement, l'action relle de l'vnement, le nom d'utilisateur, l'ordinateur/le domaine, le nom et la source du risque, le nombre d'occurrences, le fichier et le chemin d'accs. Vous pouvez prendre les mesures suivantes partir de ce journal :

Ajouter le risque la politique d'exception centralise Ajouter un fichier la politique d'exceptions centralises Ajouter un dossier la politique d'exceptions centralises Ajouter une extension la politique d'exceptions centralises Suppression de la quarantaine
Analyse
Le journal d'Analyse contient des informations sur l'activit d'analyse antivirus et antispyware. Les informations disponibles incluent des lments concernant l'analyse, tels que l'heure, l'ordinateur, l'adresse IP, l'tat, la dure, les dtections, le nombre d'lments analyss, le nombre d'lments omis et le domaine. Aucune action n'est associe ces journaux.
296
Affichage et configuration des journaux et des notifications Affichage des journaux
Type de journal
Systme
Contenus et actions
Les journaux systme contiennent des informations sur des vnements tels que le dmarrage et l'arrt des services. Les journaux systme suivants sont disponibles :
Administratif Les informations disponibles incluent des lments tels que l'heure et le type d'vnement, le domaine, le site et le serveur concerns, la gravit, l'administrateur et la description. Activit client-serveur Les informations disponibles incluent des lments tels que l'heure et le type d'vnement, le domaine, le site et le serveur concerns, le client et le nom d'utilisateur. Activit serveur Les informations disponibles incluent des lments tels que l'heure et le type d'vnement, le site et le serveur concerns, la gravit, la description et le message. Activit client Les informations disponibles incluent des lments tels que l'heure de l'vnement, le type d'vnement, la source de l'vnement, le domaine, la description, le site, l'ordinateur et la gravit. Activit Enforcer Les informations disponibles incluent des lments tels que l'heure de l'vnement, le type d'vnement, le nom de l'Enforcer, le type d'Enforcer, le site, la gravit et la description.
Aucune action n'est associe ces journaux.
Affichage des journaux

Vous pouvez gnrer une liste des vnements afficher partir des journaux bass sur des paramtres de filtrage particuliers. Chaque type de journal et de contenu est associ une configuration de filtre par dfaut que vous pouvez utiliser tel quel ou sous une forme modifie. Vous pouvez galement crer et enregistrer de nouvelles configurations de filtre. Ces nouveaux filtres peuvent tre bass sur le filtre par dfaut ou sur un filtre que vous avez cr prcdemment. Si vous enregistrez une configuration de filtre, vous pouvez la restaurer ultrieurement dans la mme vue de journal. Cela vous vite de devoir reconfigurer les paramtres chaque fois. Vous pouvez supprimer vos configurations de filtre personnalises si elles ne vous sont plus utiles. Se reporter "Enregistrement et suppression des filtres" la page 299.
297
Remarque : Si des erreurs de base de donnes se produisent lorsque vous affichez des journaux comprenant de nombreuses donnes, vous pouvez modifier les paramtres d'expiration de la base de donnes. Se reporter "Modification des paramtres d'expiration" la page 406. Si des erreurs de CGI ou de processus arrts surviennent, vous pouvez modifier d'autres paramtres d'expiration. Vous pouvez obtenir de plus amples informations sur les paramtres d'expiration supplmentaires. Reportez-vous l'article de la base de connaissances Symantec suivant : "Reporting server does not report or shows a timeout error message when querying large amounts of data (Le serveur Reporting ne gnre pas de rapport ou affiche un message d'erreur signalant un dpassement de dlai)". Etant donn que certaines des informations contenues dans les journaux sont collectes intervalles rguliers, vous pouvez actualiser vos vues de journal. Pour configurer la frquence d'actualisation d'un journal, affichez le journal de votre choix et slectionnez une option dans la zone de liste Actualisation automatique qui se trouve dans la partie suprieure droite de la vue du journal. Remarque : Si vous affichez des donnes de journal pour des dates spcifiques, les donnes ne changent pas aprs avoir cliqu sur Actualisation automatique. Pour une description de chaque option configurable, vous pouvez cliquer sur En savoir plus en regard du type de rapport sur la console Symantec Endpoint Protection Manager. Cliquez sur En savoir plus pour afficher l'aide contextuelle. Remarque : Les champs d'option de filtre qui acceptent des caractres gnriques et recherchent des correspondances ne fait aucune distinction entre majuscules et minuscules. Le caractre astrisque ASCII est le seul astrisque qui puisse tre utilis comme caractre gnrique. Pour afficher un journal
1 2 3 4
Dans la fentre principale, cliquez sur Contrles. Dans la zone de liste Type de journal de l'onglet Journaux, slectionnez le type de journal que vous souhaitez afficher. Pour certains types de journaux, la zone de liste Contenu du journal s'affiche. Si elle apparat, slectionnez le contenu que vous voulez afficher. Dans la zone de liste Utiliser un filtre sauvegard, slectionnez un filtre sauvegard ou conservez la valeur par dfaut.
298
Slectionnez une heure dans la liste Plage horaire ou conservez la valeur par dfaut. Si vous slectionnez Dfinir des dates spcifiques, vous devez dfinir la ou les dates et heures dont vous souhaitez afficher les entres. Cliquez sur Paramtres avancs pour limiter le nombre d'entres afficher. Vous pouvez galement dfinir les autres Paramtres avancs disponibles pour le type de journal que vous avez slectionn. Se reporter "Paramtres avancs du filtre pour les journaux et les rapports" la page 303.
Une fois que vous avez obtenu la configuration de vue souhaite, cliquez sur Afficher le journal. La vue de journal apparat dans la mme fentre.
Affichage des dtails des vnements dans les journaux

Vous pouvez afficher les dtails des vnements stocks dans les journaux. Se reporter "Affichage des journaux" la page 296. Pour afficher les dtails d'un vnement
1 2 3 4 5
Dans la fentre principale, cliquez sur Contrles. Dans la zone de liste Type de journal de l'onglet Journaux, slectionnez le type de journal que vous souhaitez afficher. Pour certains types de journaux, la zone de liste Contenu du journal s'affiche. Si elle apparat, slectionnez le contenu que vous voulez afficher. Cliquez sur Afficher le journal. Cliquez sur l'vnement dont vous souhaitez afficher les dtails, puis cliquez sur Dtails.
Afficher les journaux d'autres sites

Pour consulter les journaux partir d'un autre site, vous devez vous connecter un serveur de site distant sur la console Symantec Endpoint Protection Manager. Si vous avez un compte sur un serveur du site distant, vous pouvez vous connecter distance et afficher les journaux du site. Si vous avez configur des Partenaires de rplication, vous pouvez choisir que tous les journaux des partenaires de rplication soient copis sur le partenaire local et vice versa. Se reporter "Rplication des journaux" la page 419.
Affichage et configuration des journaux et des notifications Enregistrement et suppression des filtres
299
Si vous choisissez de rpliquer des journaux, vous consultez par dfaut la fois les informations de votre site et celles des sites rpliqus lorsque vous affichez tout journal. Pour consulter un seul site, vous devez filtrer les donnes pour les limiter l'emplacement afficher. Remarque : Si vous choisissez de rpliquer des journaux, assurez-vous de disposer de suffisamment d'espace disque pour les journaux supplmentaires de tous les partenaires de rplication. Pour afficher les journaux d'un autre site
1 2
Ouvrez un navigateur Web. Tapez le nom ou l'adresse IP du serveur et le numro de port, 9090, dans la zone d'adresse de la manire suivante : http://192.168.1.100:9090 La console effectue alors le tlchargement. L'environnement d'excution Java 2 (JRE) doit tre install sur l'ordinateur partir duquel vous vous connectez. Si tel n'est pas le cas, vous tes invit tlcharger et installer JRE. Suivez les invites pour installer JRE. Se reporter "Connexion la console Symantec Endpoint Protection Manager." la page 39.
3 4
Dans la bote de dialogue de connexion de la console, tapez votre nom d'utilisateur et votre mot de passe. Dans la zone de texte Serveur, si elle ne se remplit pas automatiquement, saisissez le nom ou l'adresse IP du serveur et le numro de port 8443 de la manire suivante : http://192.168.1.100:8443
Cliquez sur Connexion.
Enregistrement et suppression des filtres

Vous pouvez construire des filtres personnaliss l'aide des Paramtres de base et des Paramtres avancs, lesquels vous permettent de modifier les informations que vous souhaitez consulter. Vous pouvez enregistrer vos paramtres de filtre sur la base de donnes afin de pouvoir restaurer cette mme vue l'avenir. Lorsque vous enregistrez vos paramtres, ceux-ci sont enregistrs dans la base de donnes. Le nom que vous attribuez au filtre apparat dans la zone de liste Utilisez un filtre sauvegard pour le type de journal et de rapport appropris.
300
Affichage et configuration des journaux et des notifications Enregistrement et suppression des filtres
Remarque : Si vous avez slectionn Dernires 24 heures comme plage horaire pour un filtre de journal, la plage horaire de 24 heures dbute lorsque vous slectionnez le filtre pour la premire fois. Si vous actualisez la page, le point de dpart de l'intervalle de 24 heures n'est pas rinitialis. Si vous slectionnez le filtre et dcidez d'afficher un journal, la plage horaire dbute lorsque vous slectionnez le filtre et non pas lorsque vous affichez le journal. Si vous souhaitez que la plage horaire Dernires 24 heures dbute immdiatement, slectionnez une autre plage horaire, puis reslectionnez le filtre Dernires 24 heures. Pour enregistrer un filtre
1 2 3
Dans la fentre principale, cliquez sur Contrles. Dans l'onglet Journaux, slectionnez le type d'affichage de journal pour lequel vous souhaitez configurer un filtre dans la zone de liste Type de journal. Pour certains types de journaux, la zone de liste Contenu du journal s'affiche. Si elle apparat, slectionnez le contenu pour lequel vous souhaitez configurer un filtre. Dans la zone de liste Utilisez un filtre sauvegard, slectionnez le filtre partir duquel vous souhaitez dmarrer. Vous pouvez slectionner le filtre par dfaut, par exemple. Sous Quels paramtres de filtrage voulez-vous utiliser ?, cliquez sur Paramtres avancs. Modifiez les paramtres selon vos besoins. Cliquez sur Enregistrer le filtre. Dans la zone Nom de filtre de la bote de dialogue qui s'affiche, tapez le nom utiliser pour cette configuration de filtre de journal. Seuls les 32 premiers caractres du nom s'affichent lorsque le filtre sauvegard est ajout la liste des filtres. Cliquez sur OK. Votre nouveau nom de filtre est ajout la zone de liste Utilisez un filtre sauvegard.
5 6 7 8
10 Lorsque la bote de dialogue de confirmation s'affiche, cliquez sur OK.
Affichage et configuration des journaux et des notifications Paramtres de base du filtre pour les journaux et les rapports
301
Pour supprimer un filtre sauvegard
1 2 3
Dans la zone de liste Utilisez un filtre sauvegard, slectionnez le nom du filtre de journal supprimer. En regard de la zone de liste Utilisez un filtre sauvegard, cliquez sur l'icne Supprimer. Vous tes alors invit confirmer la suppression du filtre. Cliquez sur Oui.
A propos des noms de filtre dupliqus

Le stockage de filtre est bas en partie sur le crateur, ainsi aucun problme ne se pose quand deux utilisateurs diffrents crent un filtre avec le mme nom. Cependant, un utilisateur ou deux utilisateurs qui se connectent au compte "admin" par dfaut ne doivent pas crer des filtres avec le mme nom. Si les utilisateurs crent des filtres avec le mme nom, un conflit peut se produire dans deux conditions :
Deux utilisateurs sont connects au compte "admin" par dfaut sur diffrents sites et chacun d'eux cre un filtre avec le mme nom. Un utilisateur cre un filtre, se connecte un site diffrent et cre immdiatement un filtre avec le mme nom.
Si l'une ou l'autre condition se produit avant que la rplication de site ait lieu, deux filtres avec le mme nom s'affichent alors dans la liste des filtres. Seul l'un des filtres est utilisable. Si ce problme se pose, la meilleure action consiste supprimer le filtre utilisable et le recrer avec un nom diffrent. Si vous supprimez le filtre utilisable, vous supprimez galement le filtre inutilisable. Se reporter "Enregistrement et suppression des filtres" la page 299.
Paramtres de base du filtre pour les journaux et les rapports

La plupart des journaux disposent des mmes paramtres de base. Tableau 13-2 dcrit les paramtres de base communs la plupart des journaux et des rapports.
302
Affichage et configuration des journaux et des notifications Paramtres de base du filtre pour les journaux et les rapports
Tableau 13-2 Paramtre
Paramtres de base des journaux Description

Spcifie le type de journal ou rapport afficher. Slectionnez parmi les types suivants :

Type de journal/Type de rapport
Audit Contrle des applications et des priphriques Conformit Etat de l'ordinateur Protection contre les menaces rseau Analyse proactive des menaces TruScan Risque Analyse Systme
Contenudujournal/Contenu S'il existe plusieurs journaux ou rapport de ce type, vous du rapport pouvez slectionner le type de contenu afficher. Utiliser un filtre enregistr Spcifie le filtre utiliser pour crer la vue. Vous pouvez utiliser le filtre par dfaut ou un filtre personnalis que vous avez nomm et enregistr pour afficher des informations du journal ou du rapport. Plage horaire Spcifie l'intervalle de temps des vnements afficher dans le journal ou le rapport. Slectionnez une des priodes suivantes :

Dernires 24 heures La semaine dernire Le mois dernier Le mois en cours Les trois derniers mois L'anne dernire Dfinir des dates spcifiques
Dernire authentification aprs
Disponible uniquement pour le journal Etat de l'ordinateur lorsque vous slectionnez Dfinir des dates spcifiques pour l'intervalle de temps. Spcifie que vous voulez consulter toutes les entres qui impliquent un ordinateur qui ne s'est pas authentifi son serveur depuis cette poque.
Affichage et configuration des journaux et des notifications Paramtres avancs du filtre pour les journaux et les rapports
303
Paramtre
Paramtres avancs
Description
Chaque journal ou rapport dispose de paramtres avancs qui lui sont spcifiques. Cliquez sur Paramtres avancs et Paramtres de base pour alterner entre les deux.
Les paramtres avancs permettent un contrle supplmentaire des donnes afficher. Ils sont spcifiques au type et au contenu de rapport. Pour une description de chaque paramtre avanc que vous pouvez configurer, vous pouvez cliquer sur Plus d'infos pour afficher l'aide contextuelle pour ce type de rapport. Se reporter "Enregistrement et suppression des filtres" la page 299.
Paramtres avancs du filtre pour les journaux et les rapports

Les paramtres avancs apportent un contrle supplmentaire sur les donnes que vous voulez afficher. Ils sont spcifiques au type et au contenu du journal ou du rapport. Si vous avez des ordinateurs dans votre rseau qui excutent des versions hrites de Symantec AntiVirus, lorsque vous utilisez des filtres de journal ou de rapport, la terminologie suivante s'applique :

Les groupes de serveurs hrits sont classs comme des domaines Les groupes de clients hrits sont classs comme des groupes Les serveurs parents hrits sont classs comme des serveurs
Remarque : Vous ne pouvez pas filtrer sur les donnes hrites de Symantec Client Firewall pour les signatures de prvention d'intrusion. Pour consulter les versions de signature qui s'excutent sur un ordinateur, vous pouvez accder au journal ou au rapport Etat de l'ordinateur. Slectionnez un ordinateur sur lequel Symantec Client Firewall est install, puis cliquez sur Dtails. Le champ Version IDS contient ces informations. Pour une description de chaque option configurable, vous pouvez cliquer sur Plus d'infos pour ce type de journal ou de rapport sur la console Symantec Endpoint Protection Manager. Cliquez sur Plus d'infos pour afficher l'aide contextuelle. Se reporter "Enregistrement et suppression des filtres" la page 299.
304
Affichage et configuration des journaux et des notifications Excuter des commandes et des actions partir des journaux
Excuter des commandes et des actions partir des journaux

Dans le journal Etat de l'ordinateur, vous pouvez excuter plusieurs commandes sur les clients. Remarque : Les clients Mac traitent seulement certaines de ces commandes. Se reporter "Excution de commandes sur des clients partir de la console" la page 81. D'autre part, vous pouvez cliquer avec le bouton droit de la souris sur un groupe de la page Clients de la console Symantec Endpoint Protection Manager pour excuter des commandes. L'ordre dans lequel les commandes et les actions sont traites sur le client diffre selon la commande. Indpendamment d'o la commande est lance, les commandes et les actions sont traites de la mme manire. Pour plus d'informations sur les options que vous pouvez dfinir lorsque vous excutez des commandes, sur l'onglet Journaux de la console, vous pouvez cliquer sur Plus d'infos. Le fait de cliquer sur Plus d'infos affiche l'aide contextuelle. Sur l'onglet Etat de la commande, vous pouvez afficher l'tat des commandes excutes partir de la console et leurs dtails. Vous pouvez galement annuler une analyse spcifique depuis cet onglet si l'analyse est en cours. Vous pouvez annuler toutes les analyses en cours et en attente pour les clients slectionns dans le journal Etat de l'ordinateur. Si vous confirmez la commande, le tableau est actualis et vous voyez la commande d'annulation ajoute au tableau d'tat de commande. Remarque : Si vous excutez la commande d'analyse et slectionnez une analyse personnalise, l'analyse utilise les paramtres d'analyse de commande que vous avez configurs sur la page Analyse dfinie par l'administrateur. La commande utilise les paramtres de la politique antivirus et antispyware applique aux clients slectionns. Si vous excutez une commande Redmarrer l'ordinateur partir d'un journal, la commande est envoye immdiatement. Si des utilisateurs sont connects au client, ils sont avertis du redmarrage selon les options que l'administrateur a configures pour ce client. Vous pouvez configurer les options de redmarrage du client sur l'onglet Paramtres Gnraux de la bote de dialogue Paramtres Gnraux, et sur l'onglet Politiques de la page Clients.
305
Les journaux suivants permettent d'ajouter des exceptions une politique Exceptions centralises :

Journal de Contrle d'applications Journal d'Analyse proactive des menaces TruScan Journal de Risques
Se reporter "Cration d'exceptions centralises partir des vnements de journal" la page 658. Pour ajouter un type quelconque d'exception partir d'un journal, vous devez avoir dj cr une politique Exceptions centralises. Se reporter "Configuration d'une politique d'exceptions centralises" la page 649. Dans le journal Risques, vous pouvez galement supprimer des fichiers de Quarantaine. Si Symantec Endpoint Protection dtecte des risques dans un fichier compress, le fichier compress est mis en quarantaine dans son ensemble. Toutefois, le journal Risques contient une entre spare pour chaque fichier du fichier compress. Il est impossible d'utiliser la commande Supprimer de la quarantaine du journal Risques pour supprimer uniquement les fichiers infects de la Quarantaine. Pour supprimer le(s) risque(s) avec succs, vous devez slectionner tous les fichiers du fichier compress avant d'utiliser la commande Supprimer de la quarantaine. Remarque : Pour slectionner les fichiers dans le fichier compress, vous devez les afficher tous dans la vue de journal. Vous pouvez utiliser l'option Limiter dans le filtre du journal Risques, la zone Paramtres avancs, pour augmenter le nombre d'entres de la vue. Pour supprimer des fichiers de la quarantaine partir du journal Risques
1 2 3 4 5 6 7
Cliquez sur Contrleurs. Sur l'onglet Journaux de la zone de liste Type de journal, slectionnez le journal Risques, puis cliquez sur Afficher le journal. Slectionnez dans le journal une entre qui a un fichier en quarantaine. Dans la liste Action, slectionnez Supprimer de la quarantaine. Cliquez sur Dmarrer. Dans la bote de dialogue qui s'affiche, cliquez sur Supprimer. Dans la bote de dialogue de confirmation, cliquez sur OK.
306
Pour supprimer un fichier compress de la quarantaine partir du journal Risques
1 2 3
Cliquez sur Contrleurs. Sur l'onglet Journaux de la zone de liste Type de journal, slectionnez le journal Risques, puis cliquez sur Afficher le journal. Slectionnez toutes les entres de fichier dans le fichier compress. Vous devez voir toutes les entres du fichier compress dans la vue de journal. Vous pouvez utiliser l'option Limiter sous Paramtres avancs pour augmenter le nombre d'entres dans la vue.
4 5 6 7
Dans la liste Action, slectionnez Supprimer de la quarantaine. Cliquez sur Dmarrer. Dans la bote de dialogue qui s'affiche, cliquez sur Supprimer. Dans la bote de dialogue de confirmation, cliquez sur OK.
Pour excuter une commande depuis le journal d'tat de l'ordinateur
1 2 3 4 5
Cliquez sur Contrleurs. Sur l'onglet Journaux, dans la zone de liste Type de journal, slectionnez Etat de l'ordinateur. Cliquez sur Afficher le journal. Slectionnez une commande dans la zone de liste Action. Cliquez sur Dmarrer. S'il y a des choix de paramtres pour la commande que vous avez slectionne, une nouvelle page parat pour configurer les paramtres appropris.
6 7 8
Une fois la configuration termine, cliquez sur Oui ou sur OK. Dans la bote de message de confirmation de commande qui s'affiche, cliquez sur Oui. Dans la bote de dialogue Message, cliquez sur OK. Si la commande n'est pas mise en attente avec succs, vous devrez peut-tre rpter cette procdure. Vous pouvez vrifier si le serveur est en panne. Si la console a perdu la connectivit avec le serveur, vous pouvez fermer la session de console puis rouvrir une session pour essayer de rsoudre le problme.
Pour afficher les dtails d'tat de commande
1 2
Cliquez sur Contrleurs. Sur l'onglet Etat de la commande, slectionnez une commande dans la liste puis cliquez sur Dtails.
Affichage et configuration des journaux et des notifications Exportation des donnes de journal
307
Pour annuler une analyse spcifique en cours
1 2 3
Cliquez sur Contrleurs. Sur l'onglet Etat de la commande, cliquez sur l'icone Annuler l'analyse dans la colonne Commande de la commande d'analyse annuler. Lorsqu'un message s'affiche pour confirmer que la commande a t mise en file d'attente, cliquez sur OK.
Pour annuler toutes les analyses en cours et en attente
1 2 3 4 5 6
Cliquez sur Contrleurs. Sur l'onglet Journaux, dans la zone de liste Type de journal, slectionnez Etat de l'ordinateur. Cliquez sur Afficher le journal. Slectionnez les ordinateurs dans la liste, puis Tout annuler dans la liste des commandes. Cliquez sur Dmarrer. Lorsque la bote de dialogue de confirmation s'affiche, cliquez sur Oui pour annuler toutes les analyses en cours et en attente pour les ordinateurs slectionns. Lorsqu'un message s'affiche pour confirmer que la commande a t mise en file d'attente, cliquez sur OK.
Exportation des donnes de journal

Vous avez plusieurs choix pour exporter les donnes de vos journaux. Vous pouvez exporter les donnes de certains journaux vers un fichier texte dlimit par des virgules. Vous pouvez exporter les donnes d'autres journaux vers un fichier texte dlimit par des tabulations qui est appel fichier de vidage mmoire ou vers un serveur Syslog. L'exportation des donnes du journal est utile si vous voulez regrouper tous les journaux de votre rseau entier dans un emplacement centralis. L'exportation des donnes du journal est galement utile si vous voulez utiliser un programme tiers tel qu'un tableur pour organiser ou manipuler les donnes. Vous pouvez galement exporter les donnes de vos journaux avant d'en supprimer les enregistrements. Quand vous exportez les donnes du journal vers un serveur Syslog, vous devez configurer le serveur Syslog pour recevoir ces journaux. Pour transfrer des journaux vers un programme tiers, ce dernier doit tre install et sur le rseau. Par exemple, vous pouvez utiliser Microsoft Excel pour ouvrir les fichiers journaux
308
exports. Chaque champ apparat dans une colonne spare, un enregistrement spar du journal sur chaque ligne. Remarque : Vous ne pouvez pas restaurer la base de donnes en utilisant les donnes exportes du journal. Se reporter "Exportation des donnes de journal vers un fichier texte dlimit par des virgules" la page 311. Se reporter "L'exportation de donnes vers un serveur Syslog" la page 310. Se reporter "Exportation de donnes de journal vers un fichier texte" la page 308.
Exportation de donnes de journal vers un fichier texte

Lorsque vous exportez des donnes des journaux dans un fichier texte, les fichiers sont par dfaut placs dans un dossier. Le chemin d'accs au dossier est lecteur:\ Program Files\Symantec\Symantec Endpoint Protection Manager\data\dump. Des entres sont places dans un fichier .tmp jusqu' ce que les enregistrements soient transfrs vers le fichier texte. Si Symantec Network Access Control n'est pas install sur votre ordinateur, certains journaux n'existent pas. Tableau 13-3 affiche la correspondance des types de donnes de journal avec les noms des fichiers de donnes de journal exports. Tableau 13-3 Noms de fichiers texte de journal pour Symantec Endpoint Protection Nom de fichier texte
scm_admin.log agt_behavior.log scm_agent_act.log scm_policy.log scm_system.log agt_packet.log agt_proactive.log agt_risk.log agt_scan.log
Donnes de journal
Administration de serveur Contrle des applications du serveur Client serveur Politique serveur Systme serveur Paquet client Menace proactive client Risque client Analyse client
309
Donnes de journal
Scurit client Systme client Trafic client
Nom de fichier texte

agt_security.log agt_system.log agt_traffic.log
Remarque : Les noms de journal dans Tableau 13-3 ne correspondent pas linairement aux noms de journal utiliss sur l'onglet Journaux de la page Ecrans. Tableau 13-4 affiche la correspondance des types de donnes de journal avec les noms des fichiers de donnes de journal exports pour les journaux d'Enforcer. Tableau 13-4 Noms de fichiers texte supplmentaires pour Symantec Network Access Control Nom de fichier texte
scm_enforcer_act.log enf_client_act.log enf_system.log enf_traffic.log
Donnes de journal
Activit du serveur Enforcer Activit de client Enforcer Systme Enforcer Trafic Enforcer
Remarque : Lorsque vous exportez des donnes de journal vers un fichier texte, le nombre d'enregistrements exports peut diffrer du nombre dfini dans la bote de dialogue Journalisation externe. Cette situation apparat lorsque vous redmarrez le serveur de gestion. Aprs que vous ayez redmarr le serveur de gestion, le compte d'entre de journal se rinitialise zro, mais il peut dj y avoir des entres dans les fichiers journaux temporaires. Dans cette situation, le premier fichier *.log de chaque type qui est gnr aprs le redmarrage contient plus d'entres que la valeur spcifie. Tous les fichiers journaux qui sont ultrieurement exports contiennent le nombre correct d'entres. Pour plus d'informations sur les options dfinir dans cette procdure, cliquez sur Aide sur l'onglet Gnral, dans la bote de dialogue Journalisation externe du site. Se reporter "Exportation des donnes de journal" la page 307.
310
Pour l'exportation des donnes de journal vers un fichier de vidage
1 2 3 4 5 6
Dans la console, cliquez sur Admin. Cliquez sur Serveurs. Cliquez sur le site local ou le site distance dont vous voulez configurer la journalisation externe. Cliquez sur Configurer la journalisation externe. Sur l'onglet Gnral, slectionnez la frquence laquelle vous voulez que les donnes de journal soient envoyes au fichier. Dans la zone de liste Serveur principal de journalisation, slectionnez le serveur vers lequel vous voulez envoyer des journaux. Si vous utilisez Microsoft SQL avec plus d'un serveur de gestion se connectant la base de donnes, un seul serveur doit tre le serveur principal de journalisation.
7 8 9
Cochez Exporter les journaux vers un fichier de vidage. Au besoin, cochez l'option Limiter les enregistrements du fichier de vidage et tapez le nombre d'entres envoyer la fois au fichier texte. Sur l'onglet Filtre de journal, slectionnez tous les journaux envoyer aux fichiers texte. Si un type de journal que vous slectionnez vous permet de slectionner le niveau de gravit, vous devez cocher les niveaux de gravit que vous voulez enregistrer. Tous les niveaux que vous slectionnez sont enregistrs.
10 Cliquez sur OK.
L'exportation de donnes vers un serveur Syslog

Vous pouvez configurer SSymantec Endpoint Protection pour envoyer les donnes de journal partir de certains journaux un serveur Syslog. Remarque : N'oubliez pas de configurer votre serveur Syslog pour recevoir les donnes de journal. Pour plus d'informations sur les options que vous pouvez dfinir dans cette procdure, vous pouvez cliquer sur Aide dans l'onglet de Gnral de la bote de dialogue de Journalisation externe de Site. Se reporter "Exportation des donnes de journal" la page 307.
311
Pour exporter des donnes de journal vers un serveur Syslog
1 2 3 4 5 6
Dans la console, cliquez sur Administration. Cliquez sur Serveurs. Cliquez sur le site local ou le site distance partir duquel vous souhaitez exporter des donnes de journal. Cliquez sur Configurer la consignation externe. Sur l'onglet Gnral, slectionnez la frquence laquelle vous voulez que les donnes de journal soient envoyes au fichier. Dans la zone de liste de Serveur de journalisation principal, slectionnez le serveur que vous voulez envoyer des journaux . Si vous utilisez Microsoft SQL et si vous avez plusieurs serveurs de gestion connects la base de donnes, vous n'avez besoin que d'un seul serveur qui soit serveur principal de consignation.
7 8
Cochez Activer la transmission des journaux un Serveur Syslog. Configurez selon vos prfrences les champs suivants :
Serveur Syslog : Entrez l'adresse IP ou le nom de domaine du serveur Syslog qui doit recevoir les donnes de journal. Port de destination UDP : Entrez le port de destination utilis par le serveur Syslog pour couter les messages Syslog ou utilisez le paramtre par dfaut. Service de journal : Entrez le numro du service de journal qui sera utilis dans le fichier de configuration Syslog ou utilisez le paramtre par dfaut. Les valeurs valides sont comprises entre 0 et 23.
Dans l'onglet Filtre de journal, slectionnez tous les journaux que vous dsirez envoyer aux fichiers texte. Si un type de journal que vous slectionnez vous permet de choisir le niveau de gravit, cochez les niveaux de gravit que vous voulez enregistrer.
10 Cliquez sur OK.
Exportation des donnes de journal vers un fichier texte dlimit par des virgules
Vous pouvez exporter les donnes des journaux vers un fichier texte dlimit par des virgules.
312
Affichage et configuration des journaux et des notifications A propos de l'utilisation de notifications
Se reporter "Exportation des donnes de journal" la page 307. Pour exporter des journaux vers un fichier texte dlimit par des virgules
1 2 3 4 5 6 7 8
Dans la console, cliquez sur Contrles. Dans l'onglet Journaux, slectionnez le journal exporter. Modifiez les Paramtres de base ou les Paramtres avancs. Cliquez sur Afficher le journal. Cliquez sur Exporter. Dans la nouvelle fentre qui s'affiche, cliquez sur le menu Fichier, puis sur Enregistrer sous. Si vous tes invit continuer, cliquez sur Oui. Dans la fentre Enregistrer la page Web qui s'affiche, utilisez la zone de liste Enregistrer dans pour rechercher le rpertoire dans lequel vous souhaitez enregistrer le fichier. Dans la zone de texte Nom du fichier, tapez le nom de fichier utiliser. dans la zone de liste Enregistrer sous.
10 Pour enregistrer les donnes brutes, slectionnez le type Fichier texte (*.txt) 11 Cliquez sur Enregistrer pour exporter les donnes vers le fichier.
A propos de l'utilisation de notifications

Les notifications sont des messages au sujet des vnements de scurit qui ont eu lieu dans votre rseau. Vous pouvez configurer une multiplicit de types de notifications. Certaines notifications sont adresses aux utilisateurs et certaines notifications sont adresses aux administrateurs. Vous pouvez configurer les actions de notification suivantes pour alerter les administrateurs ou autres utilisateurs spcifiques lorsque certaines conditions en relation avec la scurit sont remplies :

Envoyer un courrier lectronique. Excuter un fichier batch ou un autre fichier excutable. Consigner une entre dans le journal des notifications de la base de donnes.
Se reporter "Cration des notifications d'administrateur" la page 314. Se reporter "Affichage et filtrage des informations de notification administrateur" la page 313.
313
Affichage et filtrage des informations de notification administrateur

Vous pouvez afficher les informations du journal Notifications de la mme faon que les informations qui sont contenues dans d'autres journaux. Vous pouvez filtrer le journal Notifications pour afficher des informations sur un seul type d'vnement de notification la fois. Vous pouvez filtrer l'affichage des notifications et enregistrer les filtres pour future rfrence. Vous pouvez filtrer le journal des notifications en fonction des critres suivants :

Plage horaire Etat accus de rception Type de notification Cr par Nom de notification.
Pour afficher toutes les notifications :
1 2
Dans la console, cliquez sur Clients. Dans l'onglet Notifications, cliquez sur Afficher les notifications. La liste de tous les types de notifications apparat.
Pour filtrer l'affichage des notifications :
1 2 3
Dans la console, cliquez sur Indicateurs. Dans l'onglet Notifications, sous Quels paramtres de filtrage voulez-vous utiliser ?, cliquez sur Paramtres avancs. Dfinissez l'option de filtrage souhaite. Vous pouvez raliser un filtrage sur n'importe quelle combinaison : intervalle de temps, tat d'accus de rception, type de notification, crateur ou nom spcifique de notification.
Cliquez sur Afficher les notifications. Une liste du type de notifications que vous avez slectionnes apparat.
Directives de seuil pour les notifications d'administrateur

Certains types de notification contiennent des valeurs par dfaut quand vous les configurez. Ces directives fournissent des points de dpart raisonnables selon la taille de votre environnement, mais qui peuvent devoir tre ajusts. Des essais et erreurs peuvent tre requis pour trouver le bon quilibre entre un trop grand nombre de notifications et trop peu pour votre environnement. Dfinissez le seuil une premire limite, puis attendez quelques jours. Voyez si vous recevez des
314
notifications trop rarement ou si les notifications vous inondent, vous ou votre rseau. Pour la dtection des virus, des risques de scurit et des vnement de pare-feu, supposons que vous ayez moins de 100 ordinateurs dans un rseau. Un point de dpart raisonnable pour ce rseau serait de configurer une notification quand deux vnements de risque sont dtects dans un dlai d'une minute. Si vous avez 100 1000 ordinateurs, la dtection de cinq vnements de risque dans un dlai d'une minute peut constituer un point de dpart plus utile. Vous pouvez galement vouloir tre alert quand les clients ont des dfinitions primes. Vous pouvez vouloir tre avis de chaque client dont le fichier de dfinitions est prim de plus de deux jours. Se reporter "Cration des notifications d'administrateur" la page 314.
Cration des notifications d'administrateur

Vous pouvez crer et configurer des notifications dclencher quand certains vnements en relation avec la scurit se produisent. Vous pouvez configurer le logiciel pour prendre les mesures de notification suivantes :

Consigner la notification dans la base de donnes. Envoyer un courrier lectronique aux individus. Remarque : Pour envoyer des notifications par message lectronique, vous devez galement configurer un serveur de messagerie. Pour configurer un serveur de messagerie, cliquez sur la page Admin > Serveurs, slectionnez un serveur, cliquez sur Modifier les proprits du serveur, puis cliquez sur l'onglet Serveur de messagerie :. Excuter un fichier batch ou tout autre genre de fichier excutable.
La priode d'attnuation par dfaut des notifications est Auto (automatique). Si une notification est dclenche et que l'tat de dclenchement continue exister, l'action de notification que vous avez configure n'est pas excute de nouveau pendant 60 minutes. Par exemple, supposons que vous dfinissiez une notification de sorte que vous tre avis par courrier lectronique quand un virus infecte cinq ordinateurs dans un dlai d'une heure. Si un virus continue infecter vos ordinateurs ce taux ou un taux suprieur, Symantec Endpoint Protection vous en informe par courrier lectronique toute les heures. Les messages lectroniques continuent jusqu' ce que la cadence ralentisse moins de cinq ordinateurs par heure.
315
Vous pouvez configurer le logiciel pour vous informer quand un certain nombre de diffrents types d'vnements se produisent. Se reporter "Directives de seuil pour les notifications d'administrateur" la page 313. Tableau 13-5 dcrit les diffrents types d'vnements qui dclenchent diffrents types de notifications. Tableau 13-5 Notification
Echec d'authentification
Types de Notification Description

Les checs de connexion dclenchent ce type de notification. Vous dfinissez le nombre d'checs de connexion et la priode qui doivent dclencher une notification. Symantec Endpoint Protection vous informe si le nombre d'checs de connexion qui se produisent au cours de la priode dpasse votre paramtre. Il signale le nombre d'checs de connexion qui se sont produits. Les modifications aux clients dclenchent ce type de notification. Les types de modifications qui peuvent dclencher cette notification comprennent l'ajout, le mouvement, le changement de nom ou la suppression d'un client. Les possibilits supplmentaires sont que l'tat du dtecteur non gr d'un client, le mode client ou le matriel ont t modifis. Vous pouvez choisir parmi les vnements de conformit, de protection contre les menaces rseau, de trafic, de paquet, de contrle de priphriques et de contrle d'applications. Vous pouvez galement choisir le type et l'ampleur de la manifestation qui devrait dclencher cette notification et la priode. Les types comprennent les occurrences sur n'importe quel ordinateur, les occurrences sur un unique ordinateur et les occurrences sur des ordinateurs distincts. Certains de ces types requirent que vous activiez galement la consignation dans la politique associe. Un botier Enforcer hors ligne dclenche ce type de notification. La notification vous indique le nom de chaque module Enforcer, son groupe et la priode de son dernier tat.
La liste des clients a chang
Alerte de scurit client
Enforcer est arrt
316
Notification
Application force ou commerciale dtecte
Description
La dtection d'une application de la liste des applications commerciales ou de la liste des applications observer de l'administrateur dclenche cette notification. Les nouvelles applications apprises dclenchent ce type de notification. Les nouveaux risques dclenchent ce type de notification. Les tlchargements de nouveaux packages logiciels dclenchent ce type de notification. Vous dfinissez le nombre et le type d'occurrences des nouveaux risques et la priode qui devraient dclencher ce type de notification. Les types comprennent les occurrences sur n'importe quel ordinateur, les occurrences sur un unique ordinateur et les occurrences sur des ordinateurs distincts. Les tats de sant du serveur hors ligne, mdiocre ou critique dclenchent cette notification. La notification liste le nom du serveur, l'tat de sant, la raison et le dernier tat. La dtection d'un unique vnement de risque dclenche cette notification. La notification liste un certain nombre de dtails au sujet du risque, incluant l'utilisateur et l'ordinateur impliqus et la mesure prise par Symantec Endpoint Protection. Les vnements systme tels que les activits du serveur et du module Enforcer, les checs de rplication, les problmes de sauvegarde et de restauration et les erreurs systme dclenchent cette notification. La notification liste le nombre d'vnements de ce type qui ont t dtects. Les ordinateurs autonomes dclenchent cette notification. La notification liste des dtails tels que l'adresse IP, l'adresse MAC et le systme d'exploitation pour chaque ordinateur.
Nouvelle application apprise
Nouveau risque dtect
Nouveau package logiciel
Propagation de risque
Etat du serveur
Evnement de risque unique
Evnement systme
Ordinateurs autonomes
317
Notification
Dfinitions de virus primes
Description
Vous dfinissez le dlai "prim" en configurant la notification. Vous dfinissez le nombre d'ordinateurs et le nombre de jours dont les dfinitions de l'ordinateur doivent tre ges pour dclencher cette notification.
En utilisant les paramtres Conditions de notification, vous pouvez configurer une alerte de scurit client par occurrences sur tout ordinateur, sur un ordinateur unique ou sur plusieurs ordinateurs. Vous pouvez galement configurer ces options pour une propagation de risque. Vous pouvez vouloir crer une notification de protection contre les menaces rseau dclenche quand un vnement de trafic correspond aux critres dfinis pour une rgle de filtrage. Pour crer ce type de notification, vous devez effectuer les tches suivantes :
Dans la liste Rgles de politique de pare-feu, cochez l'option Envoyer une alerte par message lectronique dans la colonne Consigner des rgles dont vous souhaitez recevoir des notifications. Sur l'onglet Notifications, configurez une alerte de scurit client pour les vnements de la protection contre les menaces rseau, de paquet ou de trafic.
Se reporter "Configurer des notifications pour la protection contre les menaces rseau" la page 573. Pour une description de chaque option configurable, vous pouvez cliquer sur Plus d'infos sur la console Symantec Endpoint Protection Manager. Plus d'infos affiche l'aide contextuelle. Remarque : Vous pouvez filtrer la vue des Conditions de notification que vous avez cre, en utilisant la zone de liste Afficher les types de notification. Pour tre sr que les nouvelles notifications cres sont affiches, vrifiez que l'option Tout est slectionne dans cette zone de liste. Pour crer une notification
1 2 3 4
Dans la console, cliquez sur Contrleurs. Sur l'onglet Notifications, cliquez sur Conditions de notification. Cliquez sur Ajouter, puis slectionnez le type de notification que vous voulez ajouter, partir de la liste qui s'affiche. Dans la nouvelle fentre qui s'affiche, dans la zone de texte Nom de la notification, saisissez un nom descriptif.
318
Spcifiez les options de filtre que vous voulez. Par exemple, pour certains types de notifications, vous pouvez limiter la notification des domaines, groupes, serveurs, ordinateurs, risques ou applications spcifiques. Spcifiez les paramtres de notification et les actions que vous voulez voir se produire quand cette notification est dclenche. Vous pouvez cliquer sur Aide pour consulter les descriptions d'options disponibles pour tous les types de notifications. Si vous slectionnez Excuter le fichier batch ou excutable comme action effectuer, tapez le nom du fichier. Les noms de chemin d'accs ne sont pas autoriss. Le fichier batch ou le fichier excutable excuter doit se trouver dans le rpertoire suivant : lecteur:\Program Files\Symantec\Symantec Endpoint Protection Manager\ bin Si vous slectionnez Envoyer un message lectronique comme action effectuer, la notification par email dpend de l'option du nom d'utilisateur du serveur de messagerie. Le nom d'utilisateur configur pour le serveur de messagerie dans la bote de dialogue Proprits de serveur doit tre de la forme utilisateur@domaine. Si ce champ est laiss vide, les notifications sont envoyes par SYSTEM@nom d'ordinateur. Si le serveur de notification a un nom utilisant des caractres sur deux octets (DBCS), vous devez spcifier le champ de nom d'utilisateur avec un nom de compte d'email de la forme utilisateur@domaine.
Cliquez sur OK.
Pour crer une notification de protection contre les menaces rseau
1 2 3 4 5 6
Dans la console, cliquez sur Contrleurs. Sur l'onglet Notifications, cliquez sur Conditions de notification. Cliquez sur Ajouter et slectionnez Alerte de scurit client. Tapez un nom pour cette notification. Si vous voulez limiter cette notification des domaines, groupes, serveurs ou ordinateurs spcifiques, spcifiez les options de filtrage que vous voulez. Slectionnez un des types suivants de manifestation :

Occurrences sur des ordinateurs distincts Occurrences sur tout ordinateur Occurrences sur un ordinateur
Pour spcifier le type d'activit de protection contre les menaces rseau, cochez l'une des cases suivantes :
319
Pour les attaques et les vnements que le pare-feu ou la prvention d'intrusion dtecte, cochez Evnements de protection contre les menaces rseau. Pour les rgles de filtrage dclenches et enregistres dans le journal Paquets, cochez Evnements de paquets. Pour les rgles de filtrage dclenches et enregistres dans le journal Trafic, cochez Evnements de trafic.
Eventuellement, modifiez les conditions de notification par dfaut pour dfinir le nombre d'occurrences dans le nombre de minutes que vous voulez voir dclencher cette notification. Cochez Envoyer un message lectronique , puis tapez les adresses lectroniques des personnes que vous voulez informer quand ces critres sont remplis.
10 Cliquez sur OK.

L'option Envoyer une alerte par message lectronique dans la colonne Consigner de la liste Rgles de filtrage de la politique est prsent oprationnelle. Quand cette notification est dclenche, le courrier lectronique est envoy. Se reporter "Configurer les messages lectroniques pour les vnements de trafic" la page 574.
A propos de la modification des notifications existantes

Vous pouvez modifier les paramtres d'une notification existante. Toutes les entres prcdentes gnres partir de la notification affichent des messages dans le journal des notifications en fonction de vos nouveaux paramtres. Si vous voulez conserver vos messages de notification prcdents dans la vue du journal des notifications, ne modifiez les paramtres d'aucune notification existante. Au lieu de cela, crez une notification avec un nouveau nom. Ensuite, dsactivez la notification existante en dslectionnant les actions que vous avez configures sous Que doit-il se produire lorsque cette notification est dclenche. Se reporter "Cration des notifications d'administrateur" la page 314.
320
Chapitre
14
Grer des domaines et des administrateurs


Grer des domaines et des comptes administrateur A propos des domaines Ajout d'un domaine Spcifier le domaine courant A propos des administrateurs Ajouter un compte d'administrateur A propos des droits d'accs Configurer les droits d'accs pour un administrateur limit Basculer entre un administrateur et un administrateur limit Verrouillage d'un compte d'administrateur aprs de trop nombreuses tentatives de connexion Rinitialisation du mot de passe administrateur admin Installer l'authentification pour les comptes administrateur Renommer un compte administrateur Modifier le mot de passe d'un administrateur
322
Grer des domaines et des administrateurs Grer des domaines et des comptes administrateur
Grer des domaines et des comptes administrateur

Vous grez des domaines et des comptes administrateur sur la page Admin. Tableau 14-1 Tche
Dcidez si vous souhaitez ajouter des domaines multiples
Administration de compte Description

Dcidez si vous souhaitez ajouter ajouter des domaines supplmentaires pour des entreprises multiples. Se reporter "A propos des domaines" la page 323. Se reporter "Ajout d'un domaine" la page 324. Se reporter "Spcifier le domaine courant" la page 325.
Dcidez qui a besoin d'un compte
Dcidez qui doit accder Symantec Endpoint Protection Manager. Dcidez si l'accs devrait tre restreint ou sans restriction. Ces administrateurs peuvent afficher et grer le contenu de leur propre domaine, mais ils ne peuvent pas afficher et grer le contenu d'autres domaines. Se reporter "A propos des administrateurs" la page 326.
Crez des comptes
Crez un compte pour les administrateurs et les utilisateurs qui ont besoin de l'accs Symantec Endpoint Protection Manager. Se reporter "Ajouter un compte d'administrateur" la page 329.
Modifiez des comptes
Au besoin, vous pouvez modifier des comptes aprs que vous les avez cr. Se reporter "Basculer entre un administrateur et un administrateur limit" la page 333.
Verrouiller un compte Vous pouvez verrouiller un compte administrateur aprs que administrateur quelqu'un a essay d'ouvrir une session Symantec Endpoint Protection Manager trop de fois. Se reporter "Verrouillage d'un compte d'administrateur aprs de trop nombreuses tentatives de connexion" la page 333.
Grer des domaines et des administrateurs A propos des domaines
323
Tche
Rinitialiser les mots de passe
Description
Vous pouvez effectuer les tches suivantes pour des mots de passe :
Rinitialiser le mot de passe de compte d'administrateur admin.
Se reporter "Rinitialisation du mot de passe administrateur admin" la page 334. Modifier le mot de passe d'un administrateur Se reporter "Modifier le mot de passe d'un administrateur" la page 337.
A propos des domaines

Un domaine est un conteneur structural dans la console Symantec Endpoint Protection Manager utilis pour organiser une hirarchie des groupes, des clients, des ordinateurs et des politiques. Vous installez des domaines pour grer vos ressources rseau. Les domaines dans Symantec Endpoint Protection Manager ne sont pas associs aux domaines de Microsoft. Si votre entreprise est grande, avec des sites dans plusieurs rgions, vous pouvez avoir besoin d'une vue unique des informations de gestion. Cependant, vous pouvez dlguer l'autorit administrative, sparer physiquement les donnes de scurit ou avoir une plus grande flexibilit dans la faon dont les utilisateurs, les ordinateurs et les politiques sont organiss. Si vous tes un fournisseur de services de supervision (MSP), vous pouvez avoir besoin de grer plusieurs socits indpendantes, aussi bien que des fournisseurs d'accs Internet. Pour rpondre ces besoins, vous pouvez crer plusieurs domaines. Par exemple, vous pouvez crer un domaine spar pour chaque pays, rgion ou entreprise. Quand vous installez un serveur de gestion, la console inclut un domaine. Chaque domaine ajout par vos soins partage les mmes serveur de gestion et base de donnes. Chaque domaine fournit une instance supplmentaire de la console. Toutes les donnes de chaque domaine sont compltement spares. Cette sparation empche les administrateurs d'un domaine d'afficher les donnes des autres domaines. Vous pouvez ajouter un compte administrateur de sorte que chaque domaine ait son propre administrateur. Ces administrateurs peuvent afficher et grer le contenu de leur propre domaine, mais ils ne peuvent pas afficher et grer le contenu d'autres domaines. Se reporter "Ajouter un compte d'administrateur" la page 329.
324
Grer des domaines et des administrateurs Ajout d'un domaine
Figure 14-1
Prsentation des domaines de Symantec Endpoint Protection Manager

Symantec Endpoint Protection Manager
Client A
Client B
Client C
https
https
https
Base de donnes SEPM (spare par domaine et client)
Console SEPM
Console SEPM
Console SEPM
Domaine A
Domaine B
Domaine C
Quand vous ajoutez le domaine, au dbut, le domaine est vide. Vous devez configurer le domaine pour qu'il soit le domaine courant. Vous ajoutez alors des groupes, des clients, des ordinateurs et des politiques ce domaine. Se reporter "Ajout d'un domaine" la page 324. Se reporter "Spcifier le domaine courant" la page 325. Vous pouvez copier des politiques et des clients d'un domaine l'autre. Pour copier des politiques entre les domaines, vous exportez la politique du domaine d'origine et vous importez la politique dans le domaine de destination. Pour copier des clients entre les domaines, vous pouvez utiliser l'outil SylinkDrop. Cet outil remplace le fichier de communication sur un client pour permettre au client de parler un serveur de gestion diffrent. L'outil SylinkDrop se trouve dans le dossier Tools\NoSupport\Sylinkdrop sur le CD 3. Se reporter "Exporter une politique" la page 109. Se reporter "Rcuprer les paramtres de communication client en utilisant l'outil SylinkDrop" la page 205.
Ajout d'un domaine

Vous pouvez ajouter un domaine si vous voulez utiliser plusieurs domaines. Par exemple, si vous grez plusieurs socits indpendantes, vous pouvez vouloir avoir un domaine spar pour chaque entreprise.
Grer des domaines et des administrateurs Spcifier le domaine courant
325
Se reporter "A propos des domaines" la page 323. Remarque : Vous pouvez utiliser un ID de domaine pour la reprise aprs incident. Si tous les serveurs de gestion de votre entreprise sont dfaillants, vous devez recrer le serveur de gestion en utilisant le mme ID que l'ancien serveur. Vous pouvez obtenir l'ancien ID de domaine depuis le fichier sylink.xml dans n'importe quel client. Pour ajouter un domaine
1 2 3 4 5 6 7
Dans la console, cliquez sur Admin. Dans la page Admin, cliquez sur Domaines. Sous Tches, cliquez sur Ajouter domaine. Dans la bote de dialogue Ajouter un domaine, tapez un nom de domaine et un nom de socit facultatif. Dans la zone de texte Liste de contacts, tapez ventuellement des informations supplmentaires, telles que le nom de la personne responsable du domaine. Pour ajouter un ID de domaine, cliquez sur Avanc et tapez la valeur dans la zone de texte. Cliquez sur OK.
Spcifier le domaine courant

Aprs que vous ajoutez un nouveau domaine dans la console de Symantec Endpoint Protection Manager, le domaine est vide. Pour ajouter de nouveaux groupes, clients, politiques et administrateurs au domaine, vous devez d'abord spcifier quel est le domaine courant. Dans le volet nom du domaine, le texte (Domaine courant) suit le nom de domaine. Le nom de domaine par dfaut est Par dfaut. Si vous avez beaucoup de domaines, vous devez parcourir la liste Affichage des dommaines pour afficher le domaine courant. Si vous vous tes connect la console en tant qu'administrateur systme, vous pouvez afficher tous les domaines quel que soit le domaine courant. Mais vous ne pouvez afficher que les administrateurs et administrateurs limits qui ont t crs dans le domaine courant. Si vous vous tes connect la console en tant qu'administrateur ou administrateur limit, vous ne pouvez voir que le domaine auquel vous avez accs. Si vous supprimez le domaine actuel, le serveur de gestion ferme votre session. Vous ne pouvez supprimer un domaine que s'il n'est pas le domaine courant et le seul domaine.
326
Grer des domaines et des administrateurs A propos des administrateurs
Pour spcifier le domaine courant
1 2 3
Dans la console, cliquez sur Admin. Dans la page Admin, cliquez sur Domaines. Ajoutez et puis slectionnez un nouveau domaine. Se reporter "Ajout d'un domaine" la page 324.
4 5 6
Sous Tches, cliquez sur Administrer le domaine. Dans la bote de dialogue Administrer domaine, pour confirmer, cliquez sur Oui. Cliquez sur OK.
A propos des administrateurs

Vous utilisez des administrateurs pour grer la structure organisationnelle et la scurit du rseau de votre entreprise. Pour une petite entreprise, vous pouvez seulement avoir besoin d'un administrateur. Pour une grande entreprise avec plusieurs sites et domaines, vous auriez besoin de plusieurs administrateurs, dont une partie ont plus de droits d'accs que d'autres. Pour vous aider administrer le rseau, la console Symantec Endpoint Protection Manager offre diffrents types de rles d'administrateur : administrateur systme, administrateur et administrateur limit. L'administrateur systme est le super administrateur d'un rseau. Les administrateurs systme peuvent afficher et modifier l'organisation tout entire. Un administrateur et un administrateur limit sont tous deux un niveau en dessous d'un administrateur systme. Un administrateur peut afficher et grer toutes les tches d'un seul domaine. Un administrateur limit peut seulement grer certaines tches dans le domaine. Par exemple, un administrateur limit peut seulement grer un nombre limit de groupes dans un domaine. Tableau 14-2 indique les responsabilits de chaque rle d'administrateur.
327
Tableau 14-2
Rles et responsabilits types de l'administrateur Responsabilits

Un administrateur systme peut effectuer les tches suivantes :

Rle d'administrateur
Administrateur systme
Grer tous les domaines.
Crer et grer tous les autres comptes administrateur systme, comptes administrateur et administrateur limit pour tous les domaines. Grer les bases de donnes et les serveurs de gestion.

Grer les modules d'application Enforcer. Afficher et utiliser tous les paramtres de console.
Administrateur
Un administrateur peut effectuer les tches suivantes :

Gre un seul domaine.
Crer et grer des comptes administrateur et des comptes administrateur limit dans un seul domaine. Ces droits incluent les notifications, paramtres de scurit, paramtres de groupe et paramtres de politique. Ne peut pas grer des bases de donnes ou des serveurs de gestion. Ne peut pas grer des modules d'application Enforcer.
Peut afficher et utiliser tous les paramtres de console pour un seul domaine.
328
Rle d'administrateur
Administrateur limit
Responsabilits
Un administrateur limit peut effectuer les tches suivantes :
Effectuer les tches dans un domaine mais ne peut pas grer un domaine. Grer les rapports, excuter les commandes distantes et configurer les politiques pour les groupes spcifiques dans un seul domaine. Les administrateurs limits qui n'ont pas accs une politique spcifique et des paramtres relatifs ne peuvent pas afficher ou modifier la politique. En outre, ils ne peuvent pas appliquer, remplacer ou retirer une politique. Ne peut pas crer d'autres comptes administrateur limits. Seulun administrateur systme ou un administrateur peut configurer les droits pour l'administrateur limit. Gre les droits de mot de passe pour son compte personnel uniquement. Peut afficher Domicile, Contrles ou signaler des pages dans la console seulement s'il a recu les droits lui permettant d'effectuer des rapports.
Vous pouvez dfinir un rle d'administrateur pour chaque type d'administrateur dans votre socit. Par exemple, une grande entreprise peut utiliser les types d'administrateurs suivants :
Un administrateur qui installe le serveur de gestion et les packages d'installation client. Aprs que le produit soit install, un administrateur responsable des oprations prend la relve. Un administrateur d'oprations met jour les serveurs, bases de donnes et installe des correctifs. Un administrateur d'antivirus, qui cre et met jour l'antivirus et les politiques antivirus et le Politiques LiveUpdate sur les clients. Un administrateur de bureau, qui est responsable de la scurit et cre et met jour les politiques de pare-feu et des politiques de prvention d'intrusion pour les clients. Un administrateur de service de support, qui cre des rapports et a accs aux politiques en lecture seule. L'administrateur d'antivirus et l'administrateur de bureau lisent les rapports que l'administrateur de service de support envoie.
Grer des domaines et des administrateurs Ajouter un compte d'administrateur
329
Dans ce scnario, l'administrateur qui installe le serveur de gestion et l'administrateur d'oprations devraient tre des administrateurs systme. L'administrateur d'antivirus et l'administrateur de bureau devraient tre des administrateurs pour leur domaine uniquement. L'administrateur de service de support devrait tre un administrateur limit. Lorsque vous installez Symantec Endpoint Protection Manager, un administrateur systme par dfaut appel admin est cr. Vous pouvez ensuite crer un compte pour tous les administrateurs que vous ajoutez. Se reporter "Ajouter un compte d'administrateur" la page 329.
Ajouter un compte d'administrateur

A mesure que votre rseau se dveloppe ou volue, il se peut que vous trouviez le nombre d'administrateurs insuffisant pour rpondre vos besoins. Vous pouvez ajouter un ou plusieurs administrateurs. Lorsque vous ajoutez un administrateur, vous spcifiez ses fonctions et ses contraintes. En tant qu'administrateur systme, vous pouvez ajouter un autre administrateur systme, un administrateur ou un administrateur limit. En tant qu'administrateur d'un domaine, vous pouvez ajouter d'autres administrateurs et administrateurs limits et configurer leurs droits. Se reporter "A propos des administrateurs" la page 326. Avertissement : Si vous crez un nouveau compte d'administrateur pour vous-mme, vous pouvez remplacer votre propre nom d'utilisateur et mot de passe de connexion. Pour ajouter un administrateur
1 2 3 4
Dans la console, cliquez sur Admin. Dans la page Admin, cliquez sur Administrateurs. Sous Tches, cliquez sur Ajouter un administrateur. Dans la bote de dialogue Ajouter un administrateur, entrez le nom de l'administrateur. Ce nom est celui avec lequel l'administrateur se connecte et par lequel il est reconnu dans l'application.
Eventuellement, entrez le nom complet de l'administrateur dans la deuxime zone de texte.
330
Grer des domaines et des administrateurs A propos des droits d'accs
Entrez puis confirmez le mot de passe. Le mot de passe doit contenir au moins six caractres. Tous les caractres sont autoriss.
Pour configurer la mthode d'authentification, cliquez sur Modifier. La valeur par dfaut est Authentification de serveur de gestion Symantec. Vous pouvez configurer le dlai d'expiration du mot de passe pour la mthode par dfaut ou modifier la mthode d'authentification. Se reporter "Installer l'authentification pour les comptes administrateur" la page 335.
8 9
Cliquez sur OK. Slectionnez l'un des types d'administrateur suivante :

Administrateur systme Administrateur les administrateurs peuvent excuter des rapports sur tous les groupes. Si vous avez migr depuis Symantec AntiVirus 10.x et voulez que l'administrateur excute des rapports pour ces groupes de serveurs migrs, cliquez sur Droits sur les rapports. Administrateur limit Se reporter "Configurer les droits d'accs pour un administrateur limit" la page 331.
10 Cliquez sur OK.
A propos des droits d'accs

Par dfaut, les administrateurs ont accs toutes les fonctions dans un domaine unique. Ils peuvent galement excuter des rapports sur tous les groupes du domaine, except les groupes qui ont migr depuis Symantec AntiVirus 10.x. Vous devez configurer de manire explicite les droits de rapport ces groupes migrs. Les administrateurs limits par dfaut n'ont aucun droit d'accs. Vous devez configurer de manire explicite les droits de rapport, les droits sur les groupes, les droits de commande et les droits de politique pour ce type d'administrateur. Remarque : Certaines parties de l'interface utilisateur ne sont pas la disposition des administrateurs limits quand vous limitez les droits d'accs. Quand vous limitez les droits, vous limitez les types de journaux que l'administrateur limit peut afficher ou manipuler dans l'onglet Contrles. Vous
Grer des domaines et des administrateurs Configurer les droits d'accs pour un administrateur limit
331
limitez galement les paramtres disponibles dans l'onglet Politiques de la page Clients. Les administrateurs ont par dfaut tous les droits d'accs, except des droits de rapport aux groupes de serveurs de Symantec AntiVirus 10.x. Les administrateurs limits n'ont aucun droit d'accs par dfaut ; vous devez explicitement configurer les droits. Tableau 14-3 Types de droits d'accs Types de droits d'accs Description
Droits de reporting Pour les administrateurs, indique les groupes de serveurs de Symantec AntiVirus excut 10.x pour lequel l'administrateur peut afficher des rapports. Les administrateurs peuvent afficher tous les autres rapports. Pour les administrateurs limits, indique tous les ordinateurs pour lesquels l'administrateur peut excuter des rapports. Indique galement les groupes de serveurs qui excutent Symantec AntiVirus 10.x pour lequel l'administrateur peut afficher des rapports. Droits de Groupe Pour les administrateurs limits seulement, indique quels groupes l'administrateur limit peut afficher et grer (accs complet), peut afficher uniquement (accs en lecture seule) ou ne peut pas afficher (aucun accs). Pour les administrateurs limits seulement, indique quels commandes l'administrateur limit peut excuter sur les ordinateurs client. L'administrateur limit peut seulement excuter ces commandes sur les clients et les groupes auxquels elles ont un accs total. Les droits de commande sont seulement disponibles si le reporting des droits ou les droits de groupe sont configurs pour l'administrateur limit. Droits de type de politique Pour les administrateurs limits seulement, indique quelles politiques et paramtres lis aux politiques l'administrateur peut grer.
Droits de Commande
Se reporter "Configurer les droits d'accs pour un administrateur limit" la page 331.
Configurer les droits d'accs pour un administrateur limit

Si vous ajoutez un compte pour un administrateur limit, vous devez galement spcifier les droits d'accs de l'administrateur. Vous devez spcifier que les droits
332
Grer des domaines et des administrateurs Configurer les droits d'accs pour un administrateur limit
d'accs crs pour l'administrateur limit sont dans un tat dsactiv et l'empchent de se connecter au serveur de gestion. Se reporter "A propos des droits d'accs" la page 330. Remarque : Assurez-vous que vous accordez des droits de cration de rapports aux administrateurs limits qui utiliseront Symantec Protection Center pour accder la console Symantec Endpoint Protection Manager. Les droits de cration de rapport sont ncessaires pour intgrer Symantec Endpoint Protection Manager avec Symantec Protection Center. Se reporter "A propos de la gestion des comptes Symantec Protection Center" la page 49. Pour configurer les droits pour un administrateur limit
1 2 3
Dans la console, cliquez sur Admin. Sur la page Administrateur, cliquez sur Administrateurs. Slectionnez un administrateur limit. Vous pouvez galement configurer les droits d'accs quand vous crez un compte administrateur limit. Se reporter "Ajouter un compte d'administrateur" la page 329.
4 5
Sous Tches, cliquez sur Modifier les proprits administrateur, puis sur Droits d'accs. Sur l'onglet Droits d'accs, assurez-vous qu'Administrateur limit est slectionn et effectuez l'une des actions suivantes :

Cochez Afficher les rapports et cliquez sur Droits sur les rapports. Cochez Afficher les groupes et cliquez sur Droits sur les groupes. Cochez l'option Excuter des commandes distance et puis cliquez sur Droits de commande. Cochez Grer les politiques, puis cliquez sur Droits de type de politique. Vous pouvez autoriser l'administrateur crer uniquement des politiques non partages pour un emplacement en cochant Autoriser uniquement la modification de politiques spcifiques un emplacement.
Cliquez sur OK.
Grer des domaines et des administrateurs Basculer entre un administrateur et un administrateur limit
333
Basculer entre un administrateur et un administrateur limit

Vous pouvez passer d'un administrateur un administrateur limit et vous pouvez passer d'un administrateur limit un administrateur. Vous pourriez vouloir modifier le type d'administrateur si les responsabilits de vos administrateurs changent. Par exemple, vous pourriez vouloir qu'un administrateur limit puisse crer d'autres comptes d'administrateur. Ou, vous pourriez vouloir passer d'un administrateur un administrateur limit pour limiter les droits d'accs. Pour passer d'un administrateur un administrateur limit
1 2 3 4 5
Dans la console, cliquez sur Administration. Dans la page Admin, cliquez sur Administrateurs. Sous Afficher les administrateurs, slectionnez l'administrateur. Sous Tches, cliquez sur Edit Administrator Properties, puis sur Droits d'accs. Dans l'onglet Droits d'accs, excutez l'une des tches suivantes :
Cliquez sur Administrateur. Si vous avez migr depuis Symantec AntiVirus 10.x et voulez que l'administrateur excute des rapports pour ces groupes de serveurs migrs, cliquez sur Droits sur les rapports. Cliquez sur Administrateur limit. Configurez les droits pour l'administrateur limit.
Cliquez sur OK.
Verrouillage d'un compte d'administrateur aprs de trop nombreuses tentatives de connexion

Vous pouvez verrouiller le compte de l'administrateur aprs un certain nombre de tentatives de connexion. Vous pouvez galement configurer le serveur de gestion pour envoyer un message lectronique l'administrateur au sujet du compte verrouill. La notification peut alerter l'administrateur qu'un autre utilisateur a essay d'ouvrir une session avec les informations d'authentification de l'administrateur. Par dfaut, les comptes administrateur sont verrouills aprs 5 tentatives d'ouverture de session. La valeur des tentatives de connexion est rinitialise 0 aprs que l'administrateur s'est connect avec succs et ensuite, s'est dconnect.
334
Grer des domaines et des administrateurs Rinitialisation du mot de passe administrateur admin
L'administrateur a le nombre complet de tentatives pour se connecter nouveau ultrieurement. Aprs que l'administrateur a atteint la limite de tentatives de connexion infructueuses, le compte est verrouill. L'administrateur doit alors attendre le nombre de minutes spcifi avant d'essayer de se connecter nouveau. Pour verrouiller un compte d'administrateur aprs de trop nombreuses tentatives de connexion
1 2 3 4 5
Dans la console, cliquez sur Administration. Sur la page Admin (Admin), cliquez sur Administrators (Administrateurs). Sous View Administrators (Afficher les administrateurs), slectionnez l'administrateur. Sous Tasks (Tches), cliquez sur Edit Administrator Properties (Modifier les proprits d'administrateur). Sur l'onglet Gnral, dans la zone de texte Courrier lectronique, tapez l'adresse lectronique de l'administrateur. Le serveur de gestion envoie un message lectronique cette adresse lectronique lorsque le serveur de gestion verrouille le compte d'administrateur. Vous devez slectionner la case cocher Send email alert when account is locked (Envoyer une alerte par message lectronique lorsque le compte est verrouill) pour envoyer le messsage lectronique.
Sous Log On Attempt Threshold (Seuil de Tentative de Connexion), dplacez le curseur pour dfinir le nombre de tentatives de connexion incorrectes permises. Pour verrouiller le compte lorsque l'administrateur a dpass le nombre de tentatives de connexion, cliquez sur Lock this account when log on attempts exceed the threshold (Verrouiller ce compte lorsque les tentatives de connexion dpassent le seuil). Cochez ou dslectionnez le Envoyer une alerte par courrier lectronique quand le compte est verrouill, puis dfinissez le nombre de minutes. Cliquez sur OK.
8 9
Rinitialisation du mot de passe administrateur admin

Vous pouvez utiliser le resetpass.bat pour rinitialiser le mot de passe pour le compte d'administrateur Symantec Endpoint Protection Manager.
Grer des domaines et des administrateurs Installer l'authentification pour les comptes administrateur
335
Remarque : Si vous modifiez le nom admin du compte d'administrateur, puis excutez resetpass.bat, le nom du compte redevient admin. Se reporter "Ajouter un compte d'administrateur" la page 329. Pour rinitialiser le mot de passe d'administrateur
1 2 3
Ouvrez l'Explorateur Windows sur l'ordinateur qui excute Symantec Endpoint Protection Manager. Recherchez le dossier <Drive>:\Program Files\Symantec\Symantec Endpoint Protection Manager\Tools. Cliquez deux fois sur le fichier excutable resetpass.bat. Le mot de passe est rinitialis sur admin.
Modifiez le mot de passe immdiatement.
Avertissement : N'utilisez pas le compte de "admin" lors de l'installation d'Active Directory Authentication. Utilisez un nouveau compte administrateur pour utiliser Active Directory Authentication. Pour plus d'informations, consultez le document de la base de donnes du support technique de Symantec, How to setup a SEPM administrator account to use your Active Directory authentication (Comment installer un compte administrateur SEPM pour utiliser votre authentification Active Directory).
Installer l'authentification pour les comptes administrateur

Lorsque vous ajoutez un administrateur, vous pouvez spcifier la mthode d'authentification qu'utilise le serveur de gestion pour authentifier les comptes administrateurs. Vous pouvez authentifier les administrateurs en utilisant le serveur de gestion avec RSA SecurID. Vous devez vrifier que vous disposez d'un serveur RSA existant et que vous avez dj install et configur le serveur RSA SecurID sur un autre ordinateur. Vrifiez galement que le serveur SecurID RSA peut communiquer avec l'agent SecurID. Vous pouvez activer la scurit RSA pour des comptes administrateur sur Symantec Endpoint Protection Manager. Les mcanismes suivants de connexion RSA sont pris en charge :
Jeton RSA SecurID (pas les jetons logiciels RSA)
336
Grer des domaines et des administrateurs Renommer un compte administrateur
Carte SecurID RSA Carte de pav numrique RSA (pas les cartes puce RSA)
Pour installer l'authentification des comptes administrateur
Ajoutez un compte administrateur. Se reporter "Ajouter un compte d'administrateur" la page 329.
2 3 4
A la page Administrateurs, sous Afficher les administrateurs, slectionnez l'administrateur. Sous Tches, cliquez sur Modifier proprits de l'administrateur puis cliquez sur Authentification. Dans l'onglet Authentification, slectionnez l'une des options d'authentifications suivantes que vous souhaitez utiliser pour authentifier le compte de l'administrateur :
Authentification du serveur de gestion Symantec, puis slectionnez quand le mot de passe d'authentification doit expirer. Se reporter "Ajout de serveurs de rpertoires" la page 354. Authentification RSA SecurID Se reporter "Configuration de Symantec Endpoint Protection Manager pour utiliser l'authentification RSA SecurID" la page 370. Authentification du rpertoire Tapez ensuite le nom du serveur de rpertoires et du compte de l'administrateur.
Cliquez sur OK.
Renommer un compte administrateur

Pour modifier des responsabilits ou des affectations, vous pouvez modifier le nom que vous avez donn un compte administrateur. Pour renommer un compte administrateur
1 2 3 4
Dans la console, cliquez sur Administration. Dans la page Admin, cliquez sur Administrateurs. Sous Afficher les administrateurs, slectionnez l'administrateur renommer. Sous Tches, cliquez sur Renommer l'administrateur.
Grer des domaines et des administrateurs Modifier le mot de passe d'un administrateur
337
5 6
Dans la bote de dialogue Renommer l'administrateur pour nom, modifiez le nom du compte. Cliquez sur OK.
Modifier le mot de passe d'un administrateur

Pour des raisons de scurit, vous pouvez devoir modifier le mot de passe d'un administrateur. Lorsque vous configurez le serveur de gestion dans l'Assistant de configuration du serveur de gestion, vous slectionnez une installation simple ou avance. Si vous slectionnez l'installation simple, le mot de passe que vous saisissez est identique au mot de passe de chiffrement. Si vous modifiez le mot de passe de l'administrateur, le mot de passe de chiffrement ne change pas. Pour modifier le mot de passe d'un administrateur
1 2 3 4 5
Dans la console, cliquez sur Administration. Sur la page Admin, cliquez sur Administrateurs. Sous Afficher les administrateurs, slectionnez l'administrateur voulu. Sous Tches, cliquez sur Modifier le mot de passe de l'administrateur. Entrez et confirmez le nouveau mot de passe. Le mot de passe doit comporter six caractres ou plus et tous les caractres sont permis.
Cliquez sur OK.
338
Grer des domaines et des administrateurs Modifier le mot de passe d'un administrateur
Section
Tches administratives avances
Chapitre 15. Grer des sites Chapitre 16. Gestion des serveurs Chapitre 17. Gestion des serveurs de rpertoires Chapitre 18. Gestion des serveurs de messagerie Chapitre 19. Gestion des serveurs proxy Chapitre 20. Gestion des serveurs RSA Chapitre 21. Gestion des certificats de serveur Chapitre 22. Gestion des bases de donnes Chapitre 23. Rplication des donnes Chapitre 24. Gestion de la protection contre les interventions
340
Chapitre
15
Grer des sites


A propos de la gestion de site A propos de la rplication de site sur plusieurs sites de l'entreprise A propos des sites distants Modification des proprits du site Sauvegarde d'un site Suppression de sites distants
A propos de la gestion de site

Symantec Endpoint Protection organise les installations de composants dans les sites. Un site comporte un ou plusieurs serveurs de gestion et une base de donnes (MS SQL ou intgre). Il peut galement comprendre un ou plusieurs modules d'application Enforcer, lesquels sont gnralement stocks ensemble, dans les mmes locaux d'entreprise. Les grandes socits installent gnralement de nombreux sites. Le nombre de sites ncessaires varie en fonction du nombre de locaux et de filiales de l'entreprise ainsi que des zones affectes aux diffrents sous-rseaux. La direction de l'entreprise et les services informatiques sont gnralement chargs de dterminer le nombre et l'emplacement de ces sites. Le site local est la console Symantec Endpoint Protection Manager sur laquelle vous tes connect. Toutefois, cela ne signifie pas ncessairement que le site est physiquement local. Ce site peut se trouver dans une autre ville. Les sites distants correspondent aux sites lis au site local en tant que partenaires de rplication. Vous pouvez centralement grer la scurit du rseau partir de toute console sur laquelle vous pouvez grer des sites locaux et des sites distants.
342
Grer des sites A propos de la gestion de site
Pour les sites locaux et distants, vous pouvez effectuer les tches suivantes partir d'un site particulier :
Modifier la description d'un site. Se reporter "Modification des proprits du site" la page 343. Dfinir la console pour fermer une session aprs un certain temps. Se reporter "Modification des proprits du site" la page 343. Effacer les clients qui n'ont pas t connects depuis un certain temps. Se reporter "Modification des proprits du site" la page 343. Configurer les seuils des journaux. Planifier des rapports quotidiens et hebdomadaires. Configurer la journalisation externe pour filtrer les journaux et les transfrer vers un fichier ou un serveur Syslog. Modifier le nom et la description d'une base de donnes. Se reporter "Modification du nom et de la description d'une base de donnes" la page 391.
Lorsque vous vous trouvez sur un site particulier, vous pouvez effectuer les tches suivantes pour un site local uniquement :
Sauvegarder le site local immdiatement. Se reporter "Sauvegarde d'une base de donnes Microsoft SQL" la page 383. Se reporter "Sauvegarde d'une base de donnes intgre" la page 388. Modifier la planification de sauvegarde. Se reporter "Planification des sauvegardes automatiques de la base de donnes" la page 389. Supprimer un serveur slectionn (uniquement si plusieurs serveurs de gestion sont connects une seule base de donnes Microsoft SQL). Ajouter une connexion un partenaire de rplication du mme site. Se reporter "Ajouter et dconnecter un partenaire de rplication" la page 414. Mettre jour le certificat de serveur. Se reporter "A propos des types de certificats de serveur" la page 373. Rechercher des informations dans la base de donnes.
Ces listes ne sont pas compltes. Elles donnent simplement une ide des types de tche que vous pouvez effectuer localement ou distance. Il est impossible d'effectuer certaines tches partir d'un site distant. Pour installer un nouveau site, vous devez accder un ordinateur spcifique sur lequel vous avez install un serveur de gestion ou un module d'application Enforcer. Toutefois,
Grer des sites A propos de la rplication de site sur plusieurs sites de l'entreprise
343
vous pouvez vous connecter sur un site distance pour effectuer d'autres tches qui peuvent tre effectues uniquement sur la console d'un site local. Se reporter "Connexion la console Symantec Endpoint Protection Manager." la page 39.
A propos de la rplication de site sur plusieurs sites de l'entreprise

Aprs l'installation du premier site dans une entreprise, vous pouvez installer des sites supplmentaires comme partenaires de rplication. Vous pouvez ajouter des partenaires de rplication en installant un deuxime site et les sites ultrieurs. Consultez le Guide d'Installation de Symantec Endpoint Protection et de Symantec Network Access Control pour plus d'informations sur la faon dont configurer le premier site pendant l'installation initiale.
A propos des sites distants

Vous pouvez afficher d'autres sites partir de l'onglet Serveurs. Si vous tes connect aux autres consoles Symantec Endpoint Protection Manager, vous pouvez galement modifier des proprits de serveur du site distant. Vous pouvez effectuer les tches suivantes sur des sites distants :

Supprimer un site distant et ses partenariats de rplication. Modifier la description du serveur distant. Modifier l'accs la console de site distance. Installer un serveur de messagerie pour un site distant. Planifier une synchronisation de serveur de rpertoire pour un site distant. Configurer une connexion du serveur du site distant un serveur proxy. Configurer la consignation externe pour envoyer des journaux un fichier ou un serveur Syslog.
Modification des proprits du site

Les proprits du site sont les suivantes :

Nom du site et description de site Spcification du laps de temps pour l'expiration de la console
344
Grer des sites Modification des proprits du site
S'il faut supprimer les clients qui ne se sont pas connects aprs un certain laps de temps Si les applications apprises sont actives ou non pour le site Tailles maximum de journal qui sont conserves sur le site Planification des rapports
Vous pouvez modifier des proprits de site local ou distance partir de la console. Pour modifier des proprits de site
1 2 3 4 5 6
Dans la console, cliquez sur Administration. Dans la page Admin, sous Tches, cliquez sur Serveurs. Dans la page Admin, sous Afficher, dveloppez Site local (nom_site) ou Sites distants. Slectionnez le site dont vous voulez modifier les proprits. Dans la page Admin, sous Tches, cliquez sur Modifier les proprits du site. Dans la bote de dialogue Proprits du site, dans l'onglet Gnral, modifiez la description du site dans la zone Description. Vous pouvez utiliser jusqu' 1024 caractres.
Dans la bote de dialogue Proprits du site, dans l'onglet Gnral, slectionnez une valeur, de 5 minutes Jamais, dans la liste de dlai d'expiration de la console. Le paramtre par dfaut est d'une (1) heure. L'administrateur est automatiquement dconnect de la console quand le dlai d'expiration de la console est atteint.
Dans la bote de dialogue Proprits du site, dans l'onglet Gnral, cochez Supprimer les clients ne s'tant pas connects depuis x jours. Vous pouvez supprimer les utilisateurs qui ne se sont pas connects pendant un nombre spcifi de jours (de 1 99999). Le paramtre par dfaut est activ pendant une priode de trente (30) jours.
Grer des sites Sauvegarde d'un site
345
Dans la bote de dialogue Proprits de site, dans l'onglet Gnral, cochez Suivre chaque application excute par les clients. Les applications apprises aident les administrateurs suivre l'accs au rseau d'un client et l'utilisation d'applications en enregistrant toutes les applications dmarres sur chaque client. Vous pouvez activer ou dsactiver l'apprentissage des applications pour un site spcifique. Si cette option n'est pas active, le suivi des applications ne se produit pas pour ce site. De mme, le suivi des applications ne se produit plus mme s'il est activ pour les clients qui se connectent au site indiqu. Cette option fonctionne comme une option matre.
10 Dans la bote de dialogue Proprits de site, dans l'onglet Gnral, slectionnez

un serveur de rapport dans la liste Slectionner un serveur pour envoyer des notifications et excuter des rapports planifis. Cette option n'est approprie que si vous utilisez une base de donnes Microsoft SQL qui est connecte plusieurs bases de donnes.
11 Cliquez sur OK.
Sauvegarde d'un site

Quand vous sauvegardez des informations sur un site, vous effectuez la mme tche que lorsque vous sauvegardez une base de donnes pour un site. Se reporter "Sauvegarde d'une base de donnes Microsoft SQL" la page 383. Se reporter "Sauvegarde d'une base de donnes intgre" la page 388. Pour sauvegarder un site :
1 2 3 4 5
Dans la console, cliquez sur Administration. Dans la page Administrateur, sous Tches, cliquez sur Serveurs. Dans la page Administrateur, sous Afficher les serveurs, cliquez sur localhost. Dans la page Administrateur, sous Tches, cliquez sur Modifier les paramtres de sauvegarde. Dans la bote de dialogue Site de sauvegarde pour le site local : (Nom du site), slectionnez le nom du serveur de sauvegarde dans la liste des serveurs de sauvegarde. Par dfaut, le chemin d'accs est Program Files\Symantec\Symantec Endpoint Protection Manager\data\backup. Cependant, vous pouvez modifier le nom du chemin de sauvegarde en utilisant l'un des utilitaires de sauvegarde disponibles.
346
Grer des sites Suppression de sites distants
Slectionnez le nombre de sauvegardes conserver dans la liste intitule Nombre de sauvegardes conserver. Vous pouvez slectionner jusqu' 10 sauvegardes que vous pouvez conserver avant qu'une copie de sauvegarde soit automatiquement supprime.
Cliquez sur OK.
Suppression de sites distants

Lorsque vous supprimez un serveur sur le site distant d'une socit, vous devez le supprimer manuellement de tous les serveurs de gestion. Les serveurs sont rpertoris sous Sites distants. La dsinstallation du logiciel d'une console de serveur de gestion ne fait pas disparatre l'icne du volet Serveurs sur les autres consoles. Pour supprimer des sites distants
1 2 3 4 5
Dans la console, cliquez sur Administration. Dans la page Admin, sous Tches, cliquez sur Serveurs. Dans la page Admin, sous Afficher, cliquez sur Sites distants. Dans la page Admin, sous Afficher, dveloppez Sites distants et slectionnez le site que vous prvoyez de supprimer. Cliquez sur Supprimer un site distant. Dans la bote de dialogue Supprimer un site distant, vous tes invit confirmer la suppression du site distant :
La suppression du site distant supprime galement tous les partenariats de rplication auxquels ce site participe. Etes-vous sr de vouloir supprimer ce site ?
Cliquez sur Oui pour supprimer le site distant. Vous pouvez rajouter un site distant qui a t supprim en ajoutant un partenaire de rplication.
Chapitre
16
Gestion des serveurs


A propos de la gestion de serveur A propos des serveurs et des mots de passe tiers Dmarrer et arrter le service de serveur de gestion Octroi ou refus d'accder aux consoles distantes Symantec Endpoint Protection Manager Suppression des serveurs slectionns Exportation et importation des paramtres de serveur
A propos de la gestion de serveur

Vous pouvez grer tous les types de serveurs de faon centralise depuis la page Admin dans la console Symantec Endpoint Protection Manager. La page Admin, sous Afficher les serveurs, rpertorie les regroupements suivants :
Site local La console sur le site local, bases de donnes, partenaires de rplication, tels que d'autres consoles dont les bases de donnes rpliquent et modules d'application Enforcer facultatifs Sites distants La console sur tout site distant, les bases de donnes, les partenaires de rplication, tels que les autres serveurs de gestion dont les bases de donnes sont rpliques, et les modules d'application Enforcer facultatifs
348
Gestion des serveurs A propos des serveurs et des mots de passe tiers
A propos des serveurs et des mots de passe tiers

Tous les serveurs pour lesquels vous pouvez tablir une connexion exigent que vous configuriez des mots de passe tiers dans Symantec Endpoint Protection Manager. Les mots de passe tiers sont automatiquement enregistrs dans la base de donnes cre lors de l'installation du serveur de gestion. Vous tes gnralement invit fournir un mot de passe tiers lors de la configuration des types de serveur suivants :

Serveurs de messagerie Serveurs de rpertoires Serveurs RSA Serveurs proxy
Dmarrer et arrter le service de serveur de gestion

Quand vous installez Symantec Endpoint Protection Manager, la dernire tape de l'assistant de configuration de serveur inclut une case cocher pour la console (slectionne par dfaut). Si vous laissez la case cocher slectionne, la console dmarre automatiquement. Le serveur de gestion s'excute en tant que service automatique. S'il ne dmarre pas automatiquement, vous pouvez le dmarrer (et l'arrter ensuite) en utilisant Services dans Outils d'administration du menu Dmarrer. Remarque : Si vous arrtez le service de serveur de gestion, les clients ne peuvent plus ne se connecter elle. S'il faut que les clients communiquent avec le serveur de gestion afin de se connecter au rseau, l'accs leur est refus jusqu'au redmarrage du service de serveur de gestion. Par exemple, un client doit communiquer avec le serveur de gestion pour russir une vrification de l'intgrit de l'hte. Pour dmarrer le service de serveur de gestion
A partir d'une invite de commande, tapez :

net start semsrv
Gestion des serveurs Octroi ou refus d'accder aux consoles distantes Symantec Endpoint Protection Manager
349
Pour arrter le service de serveur de gestion
A partir d'une invite de commande, tapez :

net stop semsrv
Vous pouvez galement redmarrer la console pour dmarrer le service automatiquement.
Octroi ou refus d'accder aux consoles distantes Symantec Endpoint Protection Manager
Vous pouvez scuriser la console principale en autorisant ou en refusant l'accs aux ordinateurs sur lesquels une console distante est installe. Par dfaut, l'accs est autoris toutes les consoles. Les administrateurs peuvent se connecter la console principale localement ou distance de n'importe quel ordinateur sur le rseau. Outre la possibilit d'accorder ou de refuser globalement l'accs, vous pouvez spcifier des exceptions par adresse IP. La liste d'exceptions refuse automatiquement l'accs si vous avez choisi d'accorder l'accs toutes les consoles distantes. A l'inverse, si vous refusez l'accs toutes les consoles distantes, vous accordez automatiquement l'accs toutes les exceptions. Quand vous crez une exception, l'ordinateur que vous avez spcifi doit avoir une adresse IP statique. Vous pouvez galement crer une exception pour un groupe d'ordinateurs en spcifiant un masque de sous-rseau. Par exemple, vous pouvez autoriser l'accs dans toutes les zones que vous grez. Cependant, vous pouvez vouloir refuser l'accs une console qui se trouve dans un secteur public. Pour autoriser ou refuser l'accs une console distante
1 2 3 4
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, slectionnez le serveur dont vous souhaitez modifier l'autorisation d'accs de console. Sous Tches, cliquez sur Modifier les proprits du serveur. Dans l'onglet Gnral, cliquez sur Accs autoris ou Accs refus.
350
Gestion des serveurs Suppression des serveurs slectionns
Si vous voulez spcifier des adresses IP des ordinateurs qui sont exempts de cette autorisation d'accs la console, cliquez sur Ajouter. Les ordinateurs que vous ajoutez deviennent des exceptions par rapport ceux auxquels l'accs est accord. L'accs est refus ces ordinateurs. Si vous slectionnez Accs refus, les ordinateurs que vous spcifiez deviennent les seuls auxquel l'accs est autoris. Crez une exception pour un ordinateur unique ou un ensemble d'ordinateurs.
Dans la bote de dialogue Refuser l'accs console, cliquez sur l'une des options suivantes :
Ordinateur individuel Pour un ordinateur individuel, tapez l'adresse IP. Groupe d'ordinateurs Pour plusieurs ordinateurs, tapez la fois l'adresse IP et le masque de sous-rseau du groupe.
Cliquez sur OK. Les ordinateurs apparaissent maintenant dans la liste d'exceptions. L'tat d'autorisation de chaque adresse IP/masque apparat. Si vous modifiez Accs autoris pour Accs refus ou vice versa, toutes les exceptions changent galement. Si vous avez cr des exceptions pour refuser l'accs, l'accs leur est maintenant accord.
Cliquez sur Modifier tout pour modifier les adresses IP ou les noms d'hte des ordinateurs qui apparaissent dans la liste d'exceptions. L'diteur d'adresse IP apparat. L'diteur d'adresse IP est un diteur de texte qui vous permet de modifier des adresses IP et des masques de sous-rseau.
Cliquez sur OK. liste, cliquez sur OK.
10 Quand vous avez termin d'ajouter des exceptions la liste ou de modifier la
Suppression des serveurs slectionns

Malgr la dsinstallation d'installations multiples de Symantec Endpoint Protection Manager, il est possible que ces installations continuent s'afficher dans la console du serveur de gestion. Dans ce cas, vous devez supprimer les connexions. Ces situations se prsentent gnralement lorsque vous utilisez une base de donnes Microsoft SQL laquelle plusieurs serveurs de gestion sont connects. Un serveur de gestion dsinstall continue apparatre dans les autres consoles. Vous devez supprimer manuellement les serveurs qui ne sont plus connects.
Gestion des serveurs Exportation et importation des paramtres de serveur
351
Pour supprimer les serveurs slectionns
Arrtez le service Symantec Endpoint Protection Manager. Se reporter "Dmarrer et arrter le service de serveur de gestion" la page 348.
2 3 4 5 6
Dans la console, cliquez sur Administration. Dans la page Administration, cliquez sur Serveurs. Sous Afficher les serveurs, dveloppez Site local (nom de site) et cliquez sur le serveur de gestion que vous voulez supprimer. Cliquez sur Supprimer le serveur slectionn. Cliquez sur Oui pour confirmer que vous voulez supprimer le serveur slectionn.
Exportation et importation des paramtres de serveur

Vous pouvez exporter ou importer des paramtres pour un Symantec Endpoint Protection Manager. Les paramtres sont exports vers un fichier au format .xml. Pour exporter des paramtres de serveur
1 2 3 4 5
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, dveloppez Site local (nom de site de site), puis slectionnez le serveur de gestion que vous voulez exporter. Cliquez sur Exporter les proprits du serveur. Slectionnez un emplacement dans lequel enregistrer le fichier et spcifiez un nom de fichier. Cliquez sur Exporter.
Pour importer des paramtres de serveur
1 2
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, dveloppez Site local (Site nom de site), puis slectionnez le serveur de gestion pour lequel vous voulez importer des paramtres. Cliquez sur Importer les proprits du serveur. Slectionnez le fichier que vous souhaitez importer, puis cliquez sur Importer. Cliquez sur Oui pour confirmer l'importation.
3 4 5
352
Gestion des serveurs Exportation et importation des paramtres de serveur
Chapitre
17
Gestion des serveurs de rpertoires


A propos de la gestion des serveurs de rpertoires Ajout de serveurs de rpertoires Synchronisation des comptes utilisateur entre les serveurs de rpertoire et Symantec Endpoint Protection Manager A propos de l'importation des informations d'utilisateur et de compte d'ordinateur partir d'un serveur de rpertoire LDAP Recherche d'utilisateurs sur un serveur de rpertoires LDAP Importation d'utilisateurs partir d'une liste de rsultats de recherche issue d'un serveur de rpertoires LDAP A propos des units organisationnelles et du serveur LDAP
A propos de la gestion des serveurs de rpertoires

Vous devez configurer Symantec Endpoint Protection Manager pour communiquer avec un serveur de rpertoire. Vous devez tablir une connexion entre les serveurs de rpertoires et le serveur de gestion. Si vous n'tablissez pas une connexion, vous ne pourrez ni importer des utilisateurs partir des serveurs de rpertoires Active Directory ou LDAP, ni les synchroniser avec ceux-ci.
354
Gestion des serveurs de rpertoires Ajout de serveurs de rpertoires
Ajout de serveurs de rpertoires

Les serveurs Active Directory ne permettent pas de filtrer les utilisateurs avant d'importer des donnes. Les serveurs LDAP permettent de filtrer les utilisateurs avant d'importer des donnes. Par consquent, vous pouvez ajouter un serveur Active Directory compatible LDAP en tant que serveur LDAP si vous devez filtrer les donnes. Lorsque vous avez termin d'ajouter un serveur de rpertoires, vous pouvez configurer la synchronisation. Se reporter "Synchronisation des comptes utilisateur entre les serveurs de rpertoire et Symantec Endpoint Protection Manager" la page 355. Pour ajouter des serveurs de rpertoires
1 2 3 4 5 6 7
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, slectionnez le serveur de gestion auquel vous voulez ajouter un serveur de rpertoire. Sous Tches, cliquez sur Modifier les proprits du serveur. Dans la bote de dialogue Proprits du serveur pour nom_site, dans l'onglet Serveurs de rpertoires, cliquez sur Ajouter. Dans la bote de dialogue Ajouter un serveur de rpertoires, entrez le nom du serveur de rpertoires que vous voulez ajouter dans le champ Nom. Dans la bote de dialogue Ajouter un serveur de rpertoire, cochez Active Directory ou LDAP en tant que type de serveur. Dans la bote de dialogue Ajouter un serveur de rpertoires, entrez l'adresse IP, le nom d'hte ou le nom de domaine dans la zone Adresse IP ou nom de serveur. Vous devez taper l'adresse IP, le nom d'hte ou le nom de domaine du serveur de rpertoires que vous voulez ajouter.
Si vous ajoutez un serveur LDAP, entrez le numro de port du serveur LDAP dans la zone Port LDAP. Vous ne pouvez pas modifier les valeurs si vous ajoutez un serveur Active Directory. Le paramtre de port par dfaut est 389.
Si vous ajoutez un serveur LDAP, entrez le DN de base LDAP dans la zone DN de base LDAP. la zone Nom d'utilisateur.
10 Entrez le nom d'utilisateur du compte de serveur du rpertoire autoris dans
Gestion des serveurs de rpertoires Synchronisation des comptes utilisateur entre les serveurs de rpertoire et Symantec Endpoint Protection Manager
355
11 Entrez le mot de passe du compte du serveur de rpertoires dans la zone Mot

de passe.
12 Pour vous connecter au serveur de rpertoire l'aide du protocole SSL (Secure

Sockets Layer), slectionnez Utiliser une connexion scurise. Si vous ne cochez pas cette option, une connexion normale non chiffre est utilise.
13 Cliquez sur OK.
Synchronisation des comptes utilisateur entre les serveurs de rpertoire et Symantec Endpoint Protection Manager
Vous pouvez configurer des serveurs de rpertoire pour importer et synchroniser des utilisateurs avec Symantec Endpoint Protection Manager. Vous devez d'abord ajouter les serveurs de rpertoires avant de pouvoir synchroniser des informations sur les utilisateurs. Pour synchroniser des comptes utilisateur entre les serveurs de rpertoire et Symantec Endpoint Protection Manager
1 2 3 4 5
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, slectionnez le serveur de gestion auquel vous voulez ajouter un serveur de rpertoire. Sous Tches, cliquez sur Modifier les proprits du serveur. Dans la bote de dialogue Proprits du serveur, cliquez sur l'onglet Serveurs de rpertoires. Cochez la case Synchroniser avec les serveurs de rpertoires si ncessaire. Il s'agit du paramtre par dfaut.
Pour dfinir la frquence de synchronisation du serveur de gestion avec le serveur de rpertoires, procdez l'une des actions suivantes :
Pour raliser une synchronisation automatique toutes les 24 heures, cliquez sur Planification automatique. Le paramtre par dfaut est planifi pour synchroniser toutes les 86400 secondes. Vous pouvez galement personnaliser l'intervalle en modifiant le fichier tomcat\etc\conf.properties.
356
Gestion des serveurs de rpertoires A propos de l'importation des informations d'utilisateur et de compte d'ordinateur partir d'un serveur de rpertoire LDAP
Pour spcifier la frquence laquelle vous souhaitez raliser une synchronisation, cliquez sur Synchroniser toutes les et indiquez un nombre d'heures.
Cliquez sur OK.
A propos de l'importation des informations d'utilisateur et de compte d'ordinateur partir d'un serveur de rpertoire LDAP
Les administrateurs peuvent importer des informations sur les comptes d'utilisateur et d'ordinateur partir d'un serveur de rpertoire LDAP l'aide du protocole LDAP. Si vous prvoyez d'importer des informations sur l'utilisateur et les comptes, vous devez d'abord tablir une connexion entre Symantec Endpoint Protection Manager et un serveur de rpertoire. Se reporter "Ajout de serveurs de rpertoires" la page 354. Vous pouvez alors rechercher et importer des informations sur les utilisateurs et les comptes en effectuant les tches suivantes :
Recherchez des utilisateurs sur le serveur LDAP. Se reporter "Recherche d'utilisateurs sur un serveur de rpertoires LDAP" la page 356. Importez les informations sur les comptes utilisateur. Se reporter "Importation d'utilisateurs partir d'une liste de rsultats de recherche issue d'un serveur de rpertoires LDAP" la page 359.
Recherche d'utilisateurs sur un serveur de rpertoires LDAP

Pour importer des informations sur des utilisateurs vers le serveur de gestion, vous devez rechercher ces utilisateurs sur un serveur LDAP. Pour rechercher des utilisateurs sur un serveur de rpertoires LDAP
1 2 3
Dans la console, cliquez sur Clients. Sous Afficher les clients, slectionnez le groupe dans lequel vous voulez importer des utilisateurs. Sous Tches, cliquez sur Importer les utilisateurs de Active Directory et LDAP.
Gestion des serveurs de rpertoires Recherche d'utilisateurs sur un serveur de rpertoires LDAP
357
4 5
Dans la bote de dialogue Importer les utilisateurs Active Directory et LDAP, tapez l'adresse IP ou le nom d'hte dans la zone Serveur. Dans la bote de dialogue Importer les utilisateurs Active Directory et LDAP, saisissez le numro de port du serveur LDAP ou du serveur Active Directory dans la zone Port du serveur. Le numro de port par dfaut est 389.
Si vous souhaitez vous connecter au serveur de rpertoires l'aide de Secure Sockets Layer (SSL), cliquez sur Utiliser une connexion scurise. Si vous ne cochez pas cette case, une connexion non code sera utilise.
358
Gestion des serveurs de rpertoires Recherche d'utilisateurs sur un serveur de rpertoires LDAP
Affichez les utilisateurs en cliquant sur Rpertorier des utilisateurs. Vous pouvez galement taper une requte LDAP afin de localiser les noms des utilisateurs que vous souhaitez importer dans la zone Base de recherche LDAP. Vous pouvez spcifier des options de recherche telles que des paires attribut=valeur. Vous devez sparer les attributs par des virgules.
CN DC L ST O OU C STREET CommonName DomainComponent LocalityName StateOrProvinceName OrganizationName OrganizationalUnitName CountryName StreetAddress
La disponibilit des options varie en fonction des serveurs LDAP. Par exemple, Microsoft Active Directory ne prend pas en charge l'attribut O. L'ordre dans lequel vous spcifiez les paires attribut=valeur est important puisqu'il indique l'emplacement de l'entre dans la hirarchie des rpertoires LDAP. Si vous spcifiez un nom de domaine de type DNS tel que itsupport.sygate.com pendant l'installation d'un serveur de rpertoires, vous pourrez effectuer des recherches sur ce serveur de rpertoires, itsupport tant un nom typique de domaine NetBIOS. Pour effectuer des recherches sur un serveur Active Directory, vous devez spcifier la base de recherche LDAP dans cet ordre :
CN=Users, DC=itsupport, DC=sygate, DC=com
Vous pouvez utiliser des caractres gnriques ou des expressions standard dans la base de recherche. Par exemple :
CN=a*, CN=Users, DC=itsupport, DC=sygate, DC=com
Cette requte renvoie tous les noms d'utilisateur qui commencent par la lettre a.
Gestion des serveurs de rpertoires Importation d'utilisateurs partir d'une liste de rsultats de recherche issue d'un serveur de rpertoires LDAP
359
Un autre exemple reprsente les organismes dans lesquels vous tes susceptible de vouloir effectuer une recherche de rpertoire structurale :
mycorp.com -> engineering.mycorp.com ou sales.mycorp.com
Vous pouvez spcifier l'une ou l'autre de ces options selon l'emplacement o vous souhaitez lancer la recherche sur le rpertoire LDAP.
o=mycorp.com ou o=engineering.mycorp.com
Vous pouvez spcifier une comparaison en plaant des oprateurs logiques > ou < dans le chane de recherche LDAP. Toute requte LDAP aboutissant plus de 1 000 rsultats est susceptible d'chouer. Veillez installer la base de recherche de faon ce moins de 1 000 utilisateurs soient renvoys.
8 9
Saisissez le nom du compte d'utilisateur LDAP dans la zone Compte autoris. Saisissez le mot de passe du compte d'utilisateur LDAP dans la zone Mot de passe. disponibles sur le serveur LDAP. Si la case Afficher uniquement les utilisateurs qui n'appartiennent aucun groupe est coche, seuls les utilisateurs qui n'appartiennent aucun groupe et qui n'ont pas dj t ajouts apparaissent.
10 Cliquez sur Rpertorier des utilisateurs pour afficher une liste des utilisateurs
Importation d'utilisateurs partir d'une liste de rsultats de recherche issue d'un serveur de rpertoires LDAP
Vous pouvez galement importer des utilisateurs partir d'une liste de rsultats de recherche issue d'un serveur LDAP. Pour importer des utilisateurs partir d'une liste de rsultats de recherche issue d'un serveur de rpertoires LDAP
1 2
Dans la console, cliquez sur Clients. Dans l'arborescence Liste des groupes, slectionnez le groupe auquel vous souhaitez ajouter des utilisateurs partir du serveur de LDAP. Cliquez sur Ajouter tout pour ajouter tous les utilisateurs ou slectionnez des utilisateurs particuliers dans la liste avant de cliquer sur Ajouter.
360
Gestion des serveurs de rpertoires A propos des units organisationnelles et du serveur LDAP
Cliquez sur le nom de la zone que vous souhaitez utiliser pour le tri. Vous pouvez trier les rsultats de la recherche par champ dans l'ordre dcroissant ou croissant.
Slectionnez un ou plusieurs utilisateurs dans la liste des utilisateurs LDAP. Vous pouvez utiliser les touches de slection standard de Windows, telles que la touche de Ctrl, pour slectionner des utilisateurs non contigus.
5 6
Cliquez sur Ajouter de sorte que les noms de nouveaux utilisateurs apparaissent dans l'arborescence du groupe. Rptez cette procdure pour ajouter des utilisateurs d'autres groupes jusqu' ce que vous ayez ajout tous les nouveaux utilisateurs aux groupes appropris. Cliquez sur Fermer.
A propos des units organisationnelles et du serveur LDAP

Symantec Endpoint Protection Manager peut automatiquement synchroniser les utilisateurs, les ordinateurs et l'ensemble de la structure de groupe d'une unit organisationnelle (UO) partir d'un serveur Active Directory ou LDAP. Une fois les units organisationnelles importes, vous pouvez attribuer des politiques aux groupes crs. Les units organisationnelles importes ne peuvent pas tre modifies dans la console. L'ajout, la suppression et la modification des units organisationnelles s'effectuent sur le serveur LDAP. Le serveur de gestion reste automatiquement synchronis avec la structure qui est mise en application sur le serveur de rpertoire si vous activez la synchronisation. Vous pouvez galement crer des groupes dans la console et leur assigner des utilisateurs issus de l'unit organisationnelle. Un mme utilisateur peut appartenir la fois au groupe du serveur de gestion et une unit organisationnelle. Dans ce cas, le groupe a prsance sur l'unit organisationnelle et c'est donc la politique du groupe qui s'applique l'utilisateur ou l'ordinateur.
Importation d'units organisationnelles partir d'un serveur Active Directory ou LDAP

Si vous souhaitez importer une unit organisationnelle ou un conteneur, vous devez dj avoir connect Symantec Endpoint Protection Manager un serveur LDAP. Se reporter "Ajout de serveurs de rpertoires" la page 354.
361
Vous ne pouvez pas filtrer les rsultats de la bote de dialogue Importer une unit organisationnelle. Si vous devez filtrer des utilisateurs, vous devez le faire quand vous ajoutez le serveur LDAP au serveur de gestion. Les serveurs Active Directory ne peuvent en aucun cas tre filtrs. La dure de ce processus varie en fonction du nombre d'utilisateurs. Une unit organisationnelle ne peut pas tre place dans plus d'une arborescence de groupe. Pour importer une unit organisationnelle partir d'un serveur LDAP
1 2 3 4 5 6
Dans la console, cliquez sur Clients. Sous Afficher les clients, slectionnez le groupe auquel vous voulez ajouter l'unit organisationnelle ou le conteneur. Sous Tches, cliquez sur le Importer une unit organisationnelle ou un conteneur. Choisissez le domaine. Slectionnez l'unit organisationnelle. Cliquez sur OK.
A propos de la synchronisation des units organisationnelles

L'intgration et la synchronisation avec des serveurs LDAP et Active Directory est une fonction de Symantec Endpoint Protection Manager. Vous pouvez importer des units organisationnelles partir d'autres serveurs et configurer la synchronisation automatique de l'unit organisationnelle importe avec les autres serveurs. Les modifications que vous apportez sur le serveur LDAP n'apparaissent pas immdiatement dans l'unit organisationnelle qui a t importe dans le serveur de gestion. Le temps d'attente dpend de la frquence de synchronisation. Vous pouvez dfinir la frquence de synchronisation en modifiant les proprits du serveur sur la console . Le nom d'utilisateur apparat toujours dans le groupe sur la console, mme si vous avez effectu les tches suivantes :

copi un utilisateur partir d'une unit organisationnelle vers un groupe ; supprim cet utilisateur du serveur LDAP.
La synchronisation se produit uniquement entre le serveur LDAP et l'unit organisationnelle.
362
Chapitre
18
Gestion des serveurs de messagerie


A propos de la gestion des serveurs de messagerie Etablissement de la communication entre Symantec Endpoint Protection Manager et les serveurs de messagerie lectronique
A propos de la gestion des serveurs de messagerie

Si votre rseau prend en charge des serveurs de messagerie lectronique, il peut tre utile de raliser les tches suivantes aprs avoir tabli la communication entre Symantec Endpoint Protection Manager et le serveur de messagerie :
Installez les notifications automatiques par message lectronique pour que les vnements de scurit soient envoys aux administrateurs. Installez les notifications automatiques par message lectronique pour que les vnements de scurit soient envoys aux clients.
Les notifications automatiques par message lectronique peuvent tre envoyes uniquement si vous tablissez une connexion entre le serveur de gestion et au moins un des serveurs de messagerie du rseau. Se reporter "Configurer les messages lectroniques pour les vnements de trafic" la page 574.
364
Gestion des serveurs de messagerie Etablissement de la communication entre Symantec Endpoint Protection Manager et les serveurs de messagerie lectronique
Etablissement de la communication entre Symantec Endpoint Protection Manager et les serveurs de messagerie lectronique
Si vous voulez utiliser la notification de courrier lectronique, vous devez configurer le serveur de messagerie lectronique sur Symantec Endpoint Protection Manager. Pour tablir la communication entre Symantec Endpoint Protection Manager et les serveurs de messagerie lectronique
1 2 3 4 5 6
Dans la console, cliquez sur Admin, puis sur Serveur. Sous Afficher les serveurs, slectionnez le serveur de gestion pour lequel vous voulez tablir une connexion au serveur de messagerie lectronique. Sous Tches, cliquez sur Modifier les proprits du serveur. Dans la bote de dialogue Proprits de serveur, cliquez sur l'onglet de Serveur de messagerie. Tapez l'adresse IP, le nom d'hte ou le nom de domaine du serveur de messagerie dans la zone Adresse du serveur. Tapez le nom d'utilisateur du compte du serveur de messagerie dans la zone Nom d'utilisateur. Vous devez ajouter un nom d'utilisateur uniquement si le serveur de messagerie requiert une authentification.
Dans la bote de dialogue Proprits du serveur, tapez le mot de passe d'un compte du serveur de messagerie dans la zone Mot de passe. Vous devez ajouter un mot de passe uniquement si le serveur de messagerie requiert une authentification.
Cliquez sur OK.
Chapitre
19
Gestion des serveurs proxy


A propos des serveurs proxy Etablissement d'une connexion entre un serveur proxy HTTP et Symantec Endpoint Protection Manager Configuration d'une connexion entre un serveur proxy FTP et Symantec Endpoint Protection Manager
A propos des serveurs proxy

Vous pouvez utiliser les serveurs proxy HTTP et FTP pour grer LiveUpdate. Vous pouvez tablir des connexions entre Symantec Endpoint Protection Manager et les types de serveur suivants :
serveur proxy HTTP Se reporter "Etablissement d'une connexion entre un serveur proxy HTTP et Symantec Endpoint Protection Manager" la page 365. serveur proxy FTP Se reporter "Configuration d'une connexion entre un serveur proxy FTP et Symantec Endpoint Protection Manager" la page 366.
Etablissement d'une connexion entre un serveur proxy HTTP et Symantec Endpoint Protection Manager
En prsence d'un serveur proxy HTTP dans le rseau d'entreprise, vous devez connecter le serveur proxy HTTP Symantec Endpoint Protection Manager. Vous pouvez utiliser le serveur proxy HTTP pour tlcharger automatiquement le contenu LiveUpdate.
366
Gestion des serveurs proxy Configuration d'une connexion entre un serveur proxy FTP et Symantec Endpoint Protection Manager
Pour tablir une connexion entre un serveur proxy HTTP et Symantec Endpoint Protection Manager
1 2 3 4 5 6
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, slectionnez le serveur de gestion auquel vous voulez connecter un serveur proxy HTTP. Sous Tches, cliquez sur Modifier les proprits du serveur. Dans la bote de dialogue Proprits de serveur, cliquez sur l'onglet Serveur proxy. Sous Paramtres proxy HTTP, slectionnez Utiliser les paramtres proxy personnaliss dans la liste. Tapez l'adresse IP du serveur proxy HTTP dans la zone d'adresse du serveur. Une adresse IP ou un nom du serveur valide ayant jusqu' 256 caractres.
Tapez le numro de port du serveur proxy dans la zone Port. Les numros de port valides vont de 0 65535.
8 9
Cochez la case Authentification ncessaire la connexion via serveur proxy. Tapez le nom d'utilisateur du serveur proxy dans la zone approprie. dans la zone Mot de passe.
10 Tapez le mot de passe du serveur proxy auquel vous voulez vous connecter 11 Cliquez sur OK.
Configuration d'une connexion entre un serveur proxy FTP et Symantec Endpoint Protection Manager
Vous pouvez utiliser le serveur proxy HTTP pour tlcharger automatiquement le contenu de LiveUpdate. Pour configurer une connexion entre un serveur proxy FTP et Symantec Endpoint Protection Manager
1 2 3 4
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, slectionnez le serveur de gestion auquel vous voulez connecter un serveur proxy FTP. Sous Tches, cliquez sur Modifier les proprits du serveur. Dans la bote de dialogue Proprits de serveur, cliquez sur l'onglet Serveur proxy.
367
5 6
Sous Paramtres de serveurs proxy FTP, slectionnez Utiliser les paramtres Proxy personnaliss dans la liste d'utilisation Proxy. Tapez l'adresse IP du serveur proxy FTP dans la zone Adresse du serveur. L'adresse IP ou le nom du serveur peut contenir un maximum de 256 caractres.
Saisissez le numro du port du serveur proxy dans le champ Port. Un numro de port valide s'tend de 0 65535.
Cliquez sur OK.
368
Chapitre
20
Gestion des serveurs RSA

A propos des conditions pralables pour l'utilisation de RSA SecurID avec Symantec Endpoint Protection Manager Configuration de Symantec Endpoint Protection Manager pour utiliser l'authentification RSA SecurID Spcification d'une authentification SecurID pour un administrateur Symantec Endpoint Protection Manager Configuration du serveur de gestion pour prendre en charge la communication HTTPS
A propos des conditions pralables pour l'utilisation de RSA SecurID avec Symantec Endpoint Protection Manager
Si vous voulez authentifier des administrateurs utilisant Symantec Endpoint Protection Manager avec RSA SecurID, vous devez activer l'authentification chiffre en excutant l'assistant d'installation de RSA. Avant d'excuter l'assistant, assurez-vous que :

Un serveur RSA ACE est install. L'ordinateur sur lequel vous avez install le serveur de gestion est enregistr comme hte valide sur le serveur RSA ACE Crez le fichier secret de nud pour le mme hte. Le fichier sdconf.rec sur le serveur RSA ACE est accessible sur le rseau.
370
Gestion des serveurs RSA Configuration de Symantec Endpoint Protection Manager pour utiliser l'authentification RSA SecurID
Un fob synchronis de carte ou de cl de SecurID a t attribu un compte du serveur de gestion. Le nom de connexion doit tre activ sur le serveur du RSA ACE. L'administrateur possde le code RSA ou le mot de passe.
Symantec prend en charge les types suivants de connexions RSA :

Jeton RSA SecurID (pas des jetons RSA de logiciel) Carte RSA SecurID Carte de pav numrique RSA (pas de cartes puce RSA)
Pour se connecter au serveur de gestion avec RSA SecurID, l'administrateur a besoin d'un nom de connexion, du jeton (matriel) et d'un code PIN.
Configuration de Symantec Endpoint Protection Manager pour utiliser l'authentification RSA SecurID
Si votre rseau d'entreprise comprend un serveur RSA, vous devez installer le logiciel pour un agent RSA ACE sur l'ordinateur sur lequel vous avez install Symantec Endpoint Protection Manager et le configurer en tant que client d'authentification SecurID. Pour configurer Symantec Endpoint Protection Manager de manire utiliser l'authentification RSA SecurID
Installez le logiciel pour l'agent RSA ACE sur l'ordinateur sur lequel vous avez install le serveur de gestion. Vous pouvez installer le logiciel en excutant le fichier .msi de Windows partir du CD d'agent d'authentification RCA. Copiez les fichiers nodesecret.rec, sdconf.rec et agent_nsload.exe du serveur RSA ACE sur l'ordinateur sur lequel vous avez install le serveur de gestion. A l'invite, saisissez la commande qui suit :
agent_nsload -f nodesecret.rec -p mot de passe pour le fichier nodesecret
2 3
4 5 6 7
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, slectionnez le serveur de gestion auquel vous voulez connecter un serveur RSA. Sous Tches, cliquez sur le Configurer l'authentification de SecurID. Au panneau de bienvenue de l'assistant de configuration de l'authentification SecurID, cliquez sur Suivant.
Gestion des serveurs RSA Spcification d'une authentification SecurID pour un administrateur Symantec Endpoint Protection Manager
371
Au panneau Qualification du panneau Assistant de configuration de l'authentification SecurID, lisez les informations ncessaires afin de pouvoir rpondre toutes les exigences. Cliquez sur Suivant. de l'authentification SecurID, recherchez le dossier dans lequel se trouve le fichier sdconf.rec. Vous pouvez galement taper le nom du chemin d'accs.
10 Au panneau Charger le fichier RSA du panneau Assistant de configuration
11 Cliquez sur Suivant. 12 Cliquez sur Test pour tester votre configuration. 13 Dans la bote de dialogue Tester la configuration, tapez le nom d'utilisateur
et le mot de passe pour votre SecurID puis cliquez sur Test. Il authentifie maintenant avec succs.
Spcification d'une authentification SecurID pour un administrateur Symantec Endpoint Protection Manager
Vous pouvez spcifier que les administrateurs doivent d'abord tre authentifis par SecurID pour pouvoir se connecter la console de gestion. Vous pouvez crer un nouvel administrateur ou modifier les paramtres pour un administrateur existant. La procdure dcrit ici comment spcifier l'authentification pour un nouvel administrateur. Se reporter "Ajouter un compte d'administrateur" la page 329. Pour crer une authentification SecurID pour un administrateur de Symantec Endpoint Protection Manager
1 2 3 4 5 6
Dans la console, cliquez sur Admin, puis sur Administrateurs. Sous Tches, cliquez sur Ajouter un administrateur. Dans la bote de dialogue Ajouter un administrateur, tapez le nom d'un utilisateur que vous avez prcdemment configur pour le client RSA ACE. En regard de Type d'authentification, cliquez sur Modifier. Dans la bote de dialogue Authentification de l'administrateur, slectionnez Authentification RSA SecurID , puis cliquez sur OK. Dans la bote de dialogue Ajouter un administrateur, cliquez sur OK.
372
Gestion des serveurs RSA Configuration du serveur de gestion pour prendre en charge la communication HTTPS
Configuration du serveur de gestion pour prendre en charge la communication HTTPS

Si vous prvoyez d'utiliser la communication HTTPS et l'authentification SSL entre les clients, les serveurs de gestion et les modules d'application Enforcer facultatifs, vous devez ajouter un certificat SSL. Vous devez ajouter le certificat SSL Internet Information Server (IIS) de Microsoft. Vous devez effectuer les tches suivantes dans cet ordre :

Gnrez ou achetez un certificat SSL. Ajoutez le certificat au serveur IIS qui est install sur le mme ordinateur que le serveur de gestion. Configurez les listes de serveurs de gestion devant prendre en charge la communication HTTPS.
Pour ajouter le certificat au serveur IIS
1 2 3 4 5
Cliquez sur Dmarrer > Programmes > Outils d'administration > Internet Information Services (IIS) Manager. Dans l'ordinateur local, slectionnez Serveur Web Symantec sous Sites Web. Cliquez avec le bouton droit de la souris sur Serveur Web Symantec et choisissez Proprits. Dans l'onglet Scurit du rpertoire, cliquez sur Certificat de serveur pour dmarrer l'assistant de certificat de serveur Web. Crez ou importez un certificat de serveur en suivant les tapes de l'assistant. Pour plus d'informations, reportez-vous l'aide en ligne IIS.
Dans l'onglet Site Web, spcifiez le numro du port SSL (443 par dfaut).
Chapitre
21
Gestion des certificats de serveur


A propos des types de certificats de serveur Mettre jour un certificat de serveur Sauvegarde d'un certificat de serveur Recherche du mot de passe keystore
A propos des types de certificats de serveur

Les certificats numriques constituent la norme industrielle pour l'authentification et le chiffrement des donnes sensibles. Pour empcher la lecture des informations lorsqu'elles traversent des routeurs dans le rseau, vous devez chiffrer les donnes. Par consquent vous avez besoin d'un certificat numrique qui utilise le protocole HTTPS. En tant qu'lment de cette procdure scurise, le serveur s'identifie et s'authentifie l'aide d'un certificat de serveur. Symantec utilise le protocole HTTPS pour la communication entre tous les serveurs, clients et modules d'application Enforcer facultatifs d'un rseau. Vous devez galement activer le chiffrement sur Symantec Endpoint Protection Manager pour permettre au serveur de s'identifier et s'authentifier l'aide d'un certificat de serveur. Si vous n'activez pas cette option, l'installation d'un certificat numrique est inefficace. Le serveur de gestion prend en charge les types de certificat suivants :
Fichier keystore JKS (.jks)
374
Gestion des certificats de serveur Mettre jour un certificat de serveur
Un outil Java appel keytool.exe gnre le fichier keystore. Symantec ne prend en charge que le format de la norme cl Java (JKS). Le format Java Cryptography Extension (JCEKS) ncessite une version spcifique de Java Runtime Environment (JRE). Le serveur de gestion prend en charge uniquement un fichier keystore de JCEKS gnr avec la mme version que Java Development Kit (kit de dveloppement Java, JDK) sur le serveur de gestion. Le mot de passe keystore doit contenir la fois un certificat et une cl prive. Le mot de passe keystore doit tre identique au mot de passe cl. Il est en gnral export partir d'Internet Information Services (IIS).

Fichier keystore PKCS12 (.pfx et .p12) Certificat et fichier de cl prive (formats DER et PEM) Symantec prend en charge les certificats et les cls prives non chiffrs dans le format DER ou PEM. Les fichiers de cl prive PKCS8 chiffrs ne sont pas pris en charge.
Vous pouvez sauvegarder les informations sur le certificat comme mesure de scurit. Si le serveur de gestion est endommag ou si vous avez oubli le mot de passe Keystore, vous pouvez facilement rcuprer le mot de passe. Se reporter "Recherche du mot de passe keystore" la page 377. Pour plus d'informations sur l'installation des certificats de serveur, voir le Guide d'installation de Symantec Endpoint Protection et de Symantec Network Access Control. Se reporter "Mettre jour un certificat de serveur" la page 374. Se reporter "Sauvegarde d'un certificat de serveur" la page 376.
Mettre jour un certificat de serveur

Vous pouvez utiliser l'assistant de mise jour de certificat de serveur pour vous guider le long du processus de mise jour des certificats. Pour mettre jour un certificat de serveur de JKS
1 2 3 4 5
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, cliquez sur le serveur de gestion dont vous souhaitez mettre jour le certificat. Sous Tches, cliquez sur Grer le certificat de serveur. Dans le volet de bienvenue de l'assistant de gestion du certificat de serveur, cliquez sur Suivant. Dans le panneau Grer le certificat de serveur, slectionnez Mettre jour le certificat de serveur, puis cliquez sur Suivant.
Gestion des certificats de serveur Mettre jour un certificat de serveur
375
6 7
Au volet Mettre jour le certificat de serveur, cliquez sur Fichier keystore JKS (.jks) et puis cliquez sur Suivant. Dans le volet Keystore JKS, cliquez sur Parcourir pour localiser le Fichier keystore JKS (.jks) sur le serveur de gestion ou tapez le nom d'accs ce fichier dans le champ de texte, puis cliquez sur Ouvrir. Saisissez le mot de passe de keystore dans la zone de texte de texte Mot de passe de keystore. Saisissez le mot de passe de keystore dans le champ des textes de mot de passe de cl pour la deuxime fois. et puis cliquez sur Suivant. Terminer. Dans le volet indiquant que l'assistant de gestion de certificat de serveur est termin, un message s'affiche, indiquant si le certificat a t ajout avec succs ou non. Vous devez vous dconnecter et redmarrer le serveur de gestion avant que le certificat ne prenne effet.
8 9
10 Dans le volet Manage Server Certificate Wizard is complete, cliquez sur
Pour mettre jour un certificat de serveur PKCS12
1 2 3 4 5 6 7
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, cliquez sur le serveur de gestion dont vous souhaitez mettre jour le certificat. Sous Tches, cliquez sur Grer le certificat de serveur. Dans le volet de bienvenue de l'assistant de gestion du certificat de serveur, cliquez sur Suivant. Dans le panneau Grer le certificat de serveur, slectionnez Mettre jour le certificat de serveur, puis cliquez sur Suivant. Au volet Mettre jour le certificat de serveur, cliquez sur Fichier keystore PKCS12 (.pfx et .p12), puis cliquez sur Suivant. Dans le volet Keystore PKCS12, cliquez sur Parcourir pour localiser le Fichier keystore PKCS12 (.pfx et .p12) sur le serveur de gestion ou tapez le nom d'accs ce fichier dans le champ de texte, puis cliquez sur Ouvrir.
376
Gestion des certificats de serveur Sauvegarde d'un certificat de serveur
8 9
Au volet Keystore PKCS12, saisissez le mot de passe de keystore dans la zone de texte de texte Mot de passe de keystore, puis cliquez sur Suivant. Dans le volet indiquant que l'assistant de gestion de certificat de serveur est termin, cliquez sur Terminer. Dans le volet indiquant que l'assistant de gestion de certificat de serveur est termin, un message s'affiche, indiquant si le certificat a t ajout avec succs ou non. Vous devez vous dconnecter et redmarrer le serveur de gestion avant que le certificat ne prenne effet.
Pour mettre jour les certificats de serveur dcrypts et les cls prives (format DER ou PEM)
1 2 3 4 5 6 7
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, cliquez sur le serveur de gestion dont vous souhaitez mettre jour le certificat. Sous Tches, cliquez sur Grer le certificat de serveur. Dans le volet de bienvenue de l'assistant de gestion du certificat de serveur, cliquez sur Suivant. Dans le panneau Grer le certificat de serveur, slectionnez Mettre jour le certificat de serveur, puis cliquez sur Suivant. Au volet Mettre jour le certificat de serveur, cliquez sur le Fichier de certificat et de cl prive (format DER et PEM), puis cliquez sur Suivant. Au volet Fichier de certificat, cliquez sur Parcourir pour localiser le certificat (format DER et PEM) sur le serveur de gestion ou pour saisir le nom du chemin d'accs pour ce fichier dans la zone de texte de texte Chemin d'accs au certificat, puis cliquez sur Ouvrir. Dans le volet indiquant que l'assistant de gestion de certificat de serveur est termin, cliquez sur Terminer. Dans le volet indiquant que l'assistant de gestion de certificat de serveur est termin, un message s'affiche, indiquant si le certificat a t ajout avec succs ou non. Vous devez vous dconnecter et redmarrer le serveur de gestion avant que le certificat ne prenne effet.
Sauvegarde d'un certificat de serveur

Dans le cas o le serveur de gestion serait endommag, vous devez sauvegarder la cl prive ainsi que les fichiers qui reprsentent le certificat.
Gestion des certificats de serveur Recherche du mot de passe keystore
377
Pour sauvegarder un certificat de serveur :
1 2 3 4 5 6
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, cliquez sur le serveur de gestion dont vous souhaitez sauvegarder le certificat de serveur. Sous Tches, cliquez sur Grer le certificat de serveur. Dans le panneau Bienvenue dans l'Assistant de gestion des certificats de serveur, cliquez sur Suivant. Dans le panneau Grer le certificat de serveur, slectionnez Sauvegarder le certificat de serveur, puis cliquez sur Suivant. Dans le volet Sauvegarder le certificat de serveur, saisissez le nom du chemin d'accs ou cliquez sur Parcourir pour localiser le dossier dans lequel vous voulez sauvegarder la cl prive, puis cliquez sur Ouvrir. Notez que vous sauvegardez le certificat du serveur de gestion dans le mme dossier. Le fichier Keystore JKS est sauvegard pendant l'installation initiale. Un fichier qui est appel servertimestamp.xml est galement sauvegard. Le fichier keystore JKS inclut les paires de cls prives et publiques du serveur et le certificat auto-sign.
7 8
Dans le panneau Certificat de serveur de sauvegarde, cliquez sur Suivant. Dans le panneau Grer le certificat de serveur, cliquez sur Terminer.
Recherche du mot de passe keystore

En cas de sinistre, vous pouvez devoir localiser le mot de passe keystore. Pour plus d'informations sur la reprise aprs incident, consultez le Guide d'installation pour Symantec Endpoint Protection et Symantec Network Access Control. Pour rechercher le mot de passe du mot cl :
Ouvrez Windows Explorer et localisez le dossier dans lequel vous avez sauvegard les fichiers pour le certificat. Par dfaut, Symantec Endpoint Protection Manager sauvegarde le certificat dans le rpertoire rpertoire_installation:\Program Files\Symantec\Symantec Endpoint Protection Manager\Server Private Key Backup.
Ouvrez le fichier server_horodateur.xml et recherchez le mot de passe keystore.
378
Gestion des certificats de serveur Recherche du mot de passe keystore
Chapitre
22
Gestion des bases de donnes


A propos de la gestion des bases de donnes Sauvegarde d'une base de donnes Microsoft SQL Sauvegarde d'une base de donnes intgre Planification des sauvegardes automatiques de la base de donnes Restauration d'une base de donnes Modification du nom et de la description d'une base de donnes Reconfiguration d'une base de donnes Microsoft SQL Reconfiguration d'une base de donnes intgre A propos de la gestion des donnes de journal
A propos de la gestion des bases de donnes

Symantec Endpoint Protection et Symantec Network Access Control prennent en charge une base de donnes Microsoft SQL ou une base de donnes intgre. La base de donnes intgre est gnralement utilise pour les socits avec tout au plus 1000 clients qui se connectent la console Symantec Endpoint Protection Manager. Les organisations de plus grande taille utilisent gnralement la base de donnes Microsoft SQL Server. Si vous installez une base de donnes intgre, le serveur de gestion peut automatiquement installer la base de donnes. Si votre environnement d'entreprise
380
Gestion des bases de donnes A propos de la gestion des bases de donnes
prend dj en charge un serveur Microsoft SQL, vous pouvez tirer profit du matriel et des logiciels existants. Les serveurs Microsoft SQL permettent gnralement de prendre en charge un plus grand nombre de clients. Une base de donnes contient des informations sur les politiques de scurit et d'application. En outre, tous les paramtres de configuration, les donnes concernant les attaques, les journaux et les rapports sont galement inclus dans la base de donnes. Par consquent, vous pouvez contrler les failles de scurit sur le rseau. Les informations de la base de donnes sont stockes dans des tableaux galement appels schmas de bases de donnes. Le schma est fourni aux administrateurs qui peuvent en avoir besoin pour gnrer des rapports spcialiss. Pour plus d'informations sur le schma de base de donnes, tlchargez la Symantec Endpoint Protection ManagerRfrence du schma de base de donnes la plus rcente partir du site site de documentation de Symantec Endpoint Protection.
A propos des conventions de dnomination de base de donnes

Une base de donnes Microsoft SQL utilise des conventions d'appellation diffrentes de celles d'une base de donnes incorpore. Vous pouvez installer une base de donnes Microsoft SQL sur le mme ordinateur que Symantec Endpoint Protection Manager ou sur un autre ordinateur. Dans les deux cas, la base de donnes Microsoft SQL conserve le mme nom que l'ordinateur sur lequel le serveur de base de donnes Microsoft SQL est install. Vous pouvez installer le serveur de gestion et la base de donnes Microsoft SQL sur l'ordinateur appel PolicyMgrCorp. La base de donnes conserve le nom de l'ordinateur sur lequel elle est install. Le nom de base de donnes apparat dans l'arborescence de la page Admin sous Afficher. Il est galement visible dans l'adresse de base de donnes de la base de donnes Microsoft SQL dans le volet Gestion des bases de donnes. Si vous utilisez une base de donnes intgre, le nom de la base de donnes est toujours appel localhost. Le nom, localhost, apparat dans la page Admin sous Afficher. Il figure galement en tant qu'adresse de base de donnes intgre dans le volet Gestion de bases de donnes.
381
A propos de l'Assistant de configuration de serveur de gestion et des outils de base de donnes Symantec
Vous pouvez sauvegarder, planifier et modifier certains paramtres de base de donnes, par exemple le nom de la base, partir de la console de Symantec Endpoint Protection Manager. Cependant, vous pouvez restaurer et modifier des bases de donnes uniquement en utilisant l'Assistant de configuration du serveur de gestion et l'utilitaire Symantec Database Backup and Restore. Vous pouvez utiliser l'Assistant de configuration du serveur de gestion pour modifier tous les paramtres de bases de donnes Microsoft SQL et de bases de donnes intgres. Se reporter "A propos de la reconfiguration d'une base de donnes" la page 382. Vous pouvez utiliser l'utilitaire Outils de base de donnes Symantec pour sauvegarder, restaurer et modifier tous les paramtres de bases de donnes Microsoft SQL et de bases de donnes intgres. Se reporter "A propos de la sauvegarde de la base de donnes" la page 381.
A propos de la sauvegarde de la base de donnes

Quand vous sauvegardez une base de donnes, vous en crez une copie spare. Il y a plusieurs raisons pour sauvegarder votre base de donnes rgulirement. Puisque la taille d'une base de donnes augmente avec le temps, vous devez sauvegarder rgulirement la base de donnes. Sauvegarder des bases de donnes et supprimer l'espace inutilis des bases de donnes est une tape ncessaire dans la maintenance d'une base de donnes de production. En cas de sinistre (corruption de donnes ou panne matrielle, par exemple), vous pouvez restaurer le dernier clich de la base de donnes. Pour obtenir une copie propre de la base de donnes, vous devez retourner au point prcdent le problme. Quelques donnes peuvent devoir tre saisies nouveau dans la base de donnes pendant le processus de restauration. Cependant, la structure principale et la majorit des donnes est conserve l'aide d'une sauvegarde rcente. Vous pouvez sauvegarder la base de donnes partir de la console de Symantec Endpoint Protection Manager ou l'aide de l'utilitaire Symantec Database Backup and Restore. L'utilitaire Symantec Database Backup and Restore est automatiquement install pendant l'installation. Vous pouvez effectuer la sauvegarde de l'une des faons suivantes :
Base de donnes Microsoft SQL uniquement Vous pouvez utiliser Microsoft SQL Server Enterprise Manager pour configurer un plan de maintenance qui permet de planifier des sauvegardes automatiques.
382
Base de donnes incorpore ou Microsoft SQL Vous pouvez effectuer une sauvegarde sur demande et galement planifier les sauvegardes automatiques depuis la console.
Les sauvegardes doivent tre stockes de prfrence sur une unit de disques spare. Il est conseill de sauvegarder le lecteur de disques priodiquement. Se reporter "Sauvegarde d'une base de donnes Microsoft SQL" la page 383. Se reporter "Sauvegarde d'une base de donnes intgre" la page 388.
A propos de la reconfiguration d'une base de donnes

Vous pouvez reconfigurer une base de donnes Microsoft SQL ou une base de donnes intgre pour les raisons suivantes : Vous devez reconfigurer la base de donnes dans un certain nombre de circonstances :

L'adresse IP ou le nom d'hte du serveur de base de donnes ont t modifis. Le port du serveur de base de donnes par lequel il se connecte Symantec Endpoint Protection Manager a t modifi. Le nom de la base de donnes a t modifi. Remarque : Vous pouvez galement modifier le nom de la base de donnes dans le serveur de gestion. Se reporter "Modification du nom et de la description d'une base de donnes" la page 391.
Microsoft SQL uniquement : Le nom de l'utilisateur responsable de la base de donnes a t modifi. Si vous modifiez le nom d'utilisateur du serveur de base de donnes sur un serveur de base de donnes, la console du serveur de gestion ne peut plus se connecter au serveur de base de donnes. Le mot de passe de l'utilisateur responsable de la base de donnes a t modifi. Vous pouvez modifier le mot de passe de l'utilisateur responsable du serveur de base de donnes. Si vous modifiez le mot de passe, le serveur de gestion ne peut plus se connecter au serveur de base de donnes. Microsoft SQL uniquement : Le chemin du client SQL a t modifi. Le dossier Corbeille du client SQL qui se trouve par dfaut dans C:\Program Files\Microsoft SQL Server\80\Tools\Binn a t modifi. Si vous avez modifi le chemin d'accs client SQL sur le serveur de base de donnes de Microsoft SQL, la console ne peut plus se connecter au serveur de base de donnes.
Gestion des bases de donnes Sauvegarde d'une base de donnes Microsoft SQL
383
Vous mettez niveau une base de donnes intgrre vers une base de donnes Microsoft SQL.
Se reporter "Reconfiguration d'une base de donnes Microsoft SQL" la page 392. Se reporter "Reconfiguration d'une base de donnes intgre" la page 394. Consultez le Guide d'installation de Symantec Endpoint Protection et Symantec Network Access Control. Il fournit des informations sur la procdure de mise niveau d'une base de donnes intgre vers une base de donnes Microsoft SQL.
Sauvegarde d'une base de donnes Microsoft SQL

Vous pouvez raliser une sauvegarde la demande d'une base de donnes Microsoft SQL partir de la console Symantec Endpoint Protection Manager ou de l'utilitaire Symantec Database Backup and Restore. L'utilitaire Symantec Database Backup and Restore est automatiquement install pendant l'installation du serveur de gestion. Vous pouvez galement utiliser l'assistant de planification de la maintenance de la base de donnes qui est inclus au logiciel Microsoft SQL Server pour sauvegarder la base de donnes Microsoft SQL. L'assistant de planification de la maintenance de la base de donnes Microsoft SQL peut galement vous aider configurer une planification de sauvegarde et d'autres tches de maintenance. Se reporter "Sauvegarde d'une base de donnes Microsoft SQL" la page 383. Se reporter "Sauvegarde d'une base de donnes SQL Microsoft avec l'assistant de plan de maintenance de base de donnes" la page 384. Consultez le Guide d'installation de Symantec Endpoint Protection et de Symantec Network Access Control. Il fournit des informations sur la manire d'effectuer la sauvegarde d'une base de donnes Microsoft SQL avec l'utilitaire Symantec Database Backup and Restore.
Sauvegarde d'une base de donnes Microsoft SQL

La console inclut une sauvegarde de site que vous pouvez utiliser pour sauvegarder et restaurer ultrieurement la base de donnes. En outre, vous pouvez installer un plan de maintenance sur l'agent Microsoft SQL Server. La procdure suivante inclut les paramtres recommands. Il se peut que vous deviez utiliser diffrents paramtres selon les critres suivants :

La taille de votre socit. La quantit d'espace disque que vous avez rserve pour les sauvegardes. Toutes directives requises de votre entreprise.
384
Pour sauvegarder une base de donnes Microsoft SQL la demande
1 2 3
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, cliquez sur l'icne reprsentant la base de donnes intgre. Sous Tches, cliquez sur Sauvegarder maintenant. Cette mthode sauvegarde toutes les donnes de site, y compris la base de donnes. Vous pouvez vrifier le journal Systme comme le dossier de sauvegarde pour l'tat pendant et aprs la sauvegarde.
Cliquez sur Fermer.
Sauvegarde d'une base de donnes SQL Microsoft avec l'assistant de plan de maintenance de base de donnes
Microsoft SQL Server Enterprise Manager fournit un assistant pour aider installer un plan de maintenance de base de donnes. Vous pouvez utiliser l'assistant de plan de maintenance de base de donnes pour grer la base de donnes et pour planifier des sauvegardes automatiques de la base de donnes Microsoft SQL. Remarque : Assurez-vous que l'agent SQL Server est dmarr. Des droits d'accs Sysadmin sont requis pour excuter l'assistant de plan de maintenance de base de donnes. Consultez la documentation de Microsoft SQL Server pour des dtails sur la faon de mettre jour une base de donnes Microsoft SQL Server. Pour sauvegarder une base de donnes SQL Microsoft en utilisant l'assistant de plan de maintenance de base de donnes dans Microsoft SQL Sever 2000 Enterprise Manager
1 2 3
Dans SQL Server Enterprise Manager, cliquez sur Programmes > Microsoft SQL Server > Enterprise Manager. Dveloppez le nom du serveur o le nom du serveur est le nom du serveur sur lequel la base de donnes est installe. Cliquez deux fois sur le dossier Gestion. L'agent SQL Server affiche une flche verte sur l'icone s'il est dj dmarr. S'il n'est pas dmarr, dmarrez SQL Server Service Manager en slectionnant l'agent SQL Server et en cliquant avec le bouton droit de la souris sur Dmarrer et en slectionnant l'option.
Dveloppez Bases de donnes.
385
5 6 7
Cliquez avec le bouton droit de la souris sur sem5 et slectionnez Toutes les tches > Plan de maintenance. Sur l'cran Bienvenue dans l'assistant de plan de maintenance de base de donnes, cliquez sur Suivant. Dans l'cran de slection de bases de donnes, slectionnez Ces bases de donnes et, ct, cochez sem5 pour sauvegarder la base de donnes. Cliquez ensuite sur Suivant. Sur l'cran de mise jour des informations d'optimisation, slectionnez Supprimer l'espace inutilis des fichiers de base de donnes. Dans la zone de texte Lorsque la base de donnes dpasse , tapez 1024 ou une taille maximale approprie en fonction de la taille de votre entreprise. Quand la base de donnes dpasse la taille spcifie, l'espace inutilis est automatiquement supprim.
8 9
10 Dans la zone de texte Quantit d'espace libre restant aprs rduction,

choisissez 20 % de l'espace de donnes ou une autre valeur rpondant aux besoins de votre entreprise.
11 Les donnes sont optimises chaque semaine et un paramtre par dfaut

acceptable est spcifi. Si vous voulez modifier la planification, cliquez sur Modifier. Dans la bote de dialogue Modifier la planification de la tche priodique qui apparat, spcifiez avec quelle frquence et quand supprimer l'espace inutilis de la base de donnes puis cliquez sur OK.
12 Quand vous avez fini de configurer l'optimisation, cliquez sur Suivant. 13 Sur l'cran de contrle d'intgrit de la base de donnes, cliquez sur Suivant
sans configurer cette option, puisque le serveur de gestion assure l'intgrit de la base de donnes.
14 Dans l'cran Spcifier le plan de sauvegarde de la base de donnes, cochez

les cases Sauvegarder la base de donnes en tant qu'lment du plan de maintenance et Vrifier l'intgrit de la sauvegarde.
15 Slectionnez les supports sur lesquels enregistrer la sauvegarde. 16 Cliquez sur Modifier pour modifier la planification pour la sauvegarde. 17 Dans la bote de dialogue Modifier la planification de la tche priodique,
aprs Se produit, cliquez sur Quotidiennement. Slectionnez la frquence avec laquelle la base de donnes doit tre sauvegarde. Tout les 1 jour est recommand.
18 Cochez Activer la planification.
386
19 Dfinissez l'heure laquelle vous voulez que les sauvegardes se produisent.

Vous pouvez galement choisir une date de dbut et de fin ou aucune de date de fin, le cas chant, et cliquer sur OK.
20 Cliquez sur Suivant. 21 Dans l'cran Spcifier un rpertoire de sauvegarde, choisissez un rpertoire
de sauvegarde en cliquant sur Utiliser le rpertoire de sauvegarde par dfaut (le chemin d'accs par dfaut est \MSSQL\BACKUP) ou Utiliser ce rpertoire.
22 Slectionnez le rpertoire dans lequel vous voulez copier des fichiers.

Le rpertoire doit se trouver sur le mme ordinateur que la base de donnes. Vous devez diriger la sauvegarde vers un lecteur de disque spar.
23 Cochez Crer un sous-rpertoire pour chaque base de donnes. 24 Cliquez sur Supprimer les fichiers antrieurs , puis spcifiez une priode
aprs laquelle les sauvegardes les plus anciennes seront automatiquement supprimes. Veillez disposer de suffisamment d'espace disque pour enregistrer des sauvegardes pour la priode spcifie et cliquez sur Suivant.
25 Procdez comme suit :

Si vous avez slectionn Mettre jour Passez l'tape 41 automatiquement la base de donnes Sem5 pendant la configuration du serveur de base de donnes Si la bote de dialogue de modle de rcupration affiche Simple Si la bote de dialogue de modle de rcupration affiche Complte Passez l'tape 41
Passez l'tape 26
26 Dans l'cran Spcifier le plan de sauvegarde du journal de transactions, cochez

Sauvegarder le journal de transactions en tant qu'lment du plan de maintenance.
27 Slectionnez le support de stockage de la sauvegarde.
387
28 Cliquez sur Modifier pour modifier la planification pour sauvegarder le

journal de transactions. La bote de dialogue Modifier la planification de la tche priodique apparat. La taille maximale du journal de transactions est dfinie 8 Go par dfaut. Si le journal de transactions atteint la taille maximale, il ne fonctionne plus et la base de donnes peut tre corrompue. (Vous pouvez modifier la taille maximale du journal de transactions dans SQL Server Enterprise Manager.)
29 Aprs Se produit, cliquez sur Quotidiennement.

Slectionnez la frquence avec laquelle le journal de transactions doit tre sauvegard. Tout les 1 jour est recommand. Veilez cocher Activer la planification.
30 Slectionnez la frquence de la sauvegarde.

L'option par dfaut (recommande) est Se produit toutes les 4 heures.
31 Slectionnez une date de dbut et une date de fin ou Pas de date de fin, le cas
chant, et cliquez sur OK.
32 Cliquez sur Suivant. 33 Sur l'cran Spcifier un rpertoire de sauvegarde, slectionnez un rpertoire
de sauvegarde en cliquant sur Utiliser le rpertoire de sauvegarde par dfaut ou Utiliser ce rpertoire. Le chemin d'accs par dfaut est \MSSQL\BACKUP.
34 Slectionnez le rpertoire de destination de la copie des fichiers. 35 Cochez Crer un sous-rpertoire pour chaque base de donnes. 36 Cliquez sur Supprimer les fichiers antrieurs : 37 Spcifiez une priode aprs laquelle les sauvegardes les plus anciennes sont
automatiquement supprimes. Assurez-vous que vous avez suffisamment d'espace disque pour enregistrer des sauvegardes pour la priode spcifie, puis cliquez sur Suivant.
38 Sur l'cran Rapports gnrer, cochez Rdiger le rapport dans un fichier

texte dans le rpertoire. Spcifiez le chemin d'accs complet et le nom du fichier texte o vous voulez que le rapport soit gnr.
39 Cochez Supprimer les fichiers texte de rapport antrieurs et laissez cette

option dfinie sur 4 semaines.
388
Gestion des bases de donnes Sauvegarde d'une base de donnes intgre
40 Cochez Envoyer un rapport par courrier lectronique l'oprateur et

spcifiez l'administrateur systme qui le rapport gnr sera envoy par le courrier SQL. Si l'oprateur de courrier lectronique n'est pas disponible, slectionnez Nouvel oprateur, puis cliquez sur Suivant.
41 Dans l'cran Historique de plan de maintenance, cliquez sur Suivant.

Vous devriez utiliser les paramtres par dfaut pour l'historique de plan de maintenance moins que vous ne deviez les modifier.
42 Dans l'cran Historique de plan de maintenance de base de donnes, tapez

un nom pour le plan de maintenance tel que Maintenance de base de donnes SQL, puis cliquez sur Terminer.
43 Lorsque le plan est termin, affichez le message indiquant que le plan a t

cr et cliquez sur OK.
Sauvegarde d'une base de donnes intgre

Vous pouvez effectuer une sauvegarde la demande d'une base de donnes intgre de la console. Consultez le Guide d'Installation de Symantec Endpoint Protection et de Symantec Network Access Control. Il fournit des informations sur la manire d'effectuer la sauvegarde d'une base de donnes intgre avec l'utilitaire Symantec Database Backup and Restore. Pour sauvegarder une base de donnes intgre
1 2 3
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, cliquez sur l'icne reprsentant la base de donnes intgre. Sous Tches, cliquez sur Sauvegarder maintenant. Cette mthode sauvegarde toutes les donnes de site, y compris la base de donnes. Vous pouvez vrifier l'tat du journal du systme ainsi que du dossier de sauvegarde pendant et aprs la sauvegarde.
4 5
Cliquez sur Oui lorsque le message de sauvegarde apparat. Cliquez sur Fermer.
Gestion des bases de donnes Planification des sauvegardes automatiques de la base de donnes
389
Planification des sauvegardes automatiques de la base de donnes

Vous pouvez tablir des planifications pour la sauvegarde automatique des bases de donnes Microsoft SQL et des bases de donnes intgres. Vous pouvez effectuer des sauvegardes la demande des bases de donnes ou dfinir une planification pour les sauvegardes automatiques des bases de donnes Microsoft SQL et des bases de donnes intgres. Toutefois, vous pouvez galement utiliser l'assistant de maintenance de base de donnes du serveur Microsoft SQL pour planifier les sauvegardes automatiques d'une base de donnes Microsoft SQL. En outre, vous pouvez galement recourir l'utilitaire Symantec Database Backup and Restore pour sauvegarder une base de donnes MS SQL ou incorpore. Se reporter "Sauvegarde d'une base de donnes Microsoft SQL" la page 383. Se reporter "Sauvegarde d'une base de donnes intgre" la page 388. Se reporter "Sauvegarde d'une base de donnes SQL Microsoft avec l'assistant de plan de maintenance de base de donnes" la page 384. Consultez le Guide d'installation de Symantec Endpoint Protection et de Symantec Network Access Control. Il fournit des informations sur la manire d'effectuer la sauvegarde d'une base de donnes Microsoft SQL avec l'utilitaire Symantec Database Backup and Restore. Pour planifier des sauvegardes automatiques de base de donnes
1 2
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, cliquez sur l'icne qui reprsente la base de donnes Microsoft SQL ou intgre et dont vous souhaitez modifier les paramtres de sauvegarde. Sous Tches, cliquez sur Modifier les paramtres de sauvegarde. Dans la bote de dialogue Site de sauvegarde pour le site local, cliquez sur Planifier des sauvegardes. Spcifiez la frquence de sauvegarde en slectionnant Horaire, Quotidienne ou Hebdomadaire, puis choisissez l'une des options suivantes :
3 4 5
Si vous choisissez Horaire dans la zone Heure de dbut, entrez le nombre de minutes aprs l'heure laquelle les sauvegardes doivent avoir lieu. Si vous choisissez Quotidienne dans la zone Heure de dbut, entrez l'heure et les minutes pour indiquer le moment auquel les sauvegardes doivent avoir lieu chaque jour.
390
Gestion des bases de donnes Restauration d'une base de donnes
Si vous choisissez Hebdomadaire dans la zone Heure de dbut, entrez l'heure et les minutes pour indiquer le moment auquel les sauvegardes doivent avoir lieu. Si vous choisissez Hebdomadaire, spcifiez la Jour de la semaine pour indiquer le jour o les sauvegardes doivent se produire.
Cliquez sur OK. A l'heure planifie, les sauvegardes se produisent automatiquement et sont places dans un fichier.zip qui est libell avec la date de la sauvegarde. Le fichier de sauvegarde est stock dans un dossier de sauvegarde qui est cr dans le chemin d'accs comme spcifi pour les donnes de serveur racine. Par exemple, un fichier de sauvegarde qui est cr le 1er aot 2007 09h46 est appel 2007-Aug-01_09-46-13-AM.zip.
Restauration d'une base de donnes

Si la base de donnes ne fonctionne plus correctement, vous pouvez la restaurer condition de l'avoir prcdemment sauvegarde. Pour restaurer une base de donnes :
Recherchez le dernier fichier de sauvegarde que vous avez. Ce fichier est en format .zip et libell avec la date. Le fichier est enregistr dans un dossier de sauvegarde qui a t cr dans le chemin d'accs qui a t spcifi pour la racine de donnes de serveur. Configurez l'ordinateur sur lequel vous voulez restaurer la base de donnes en utilisant l'une des mthodes suivantes :
En utilisant un autre ordinateur Si l'ordinateur prcdent a t victime d'une dfaillance matrielle, vous devez installer le systme d'exploitation et le serveur de gestion sur le nouvel ordinateur. Bien que vous remplaciez la base de donnes par de nouvelles donnes, vous devez encore configurer une base de donnes aprs avoir termin l'installation. En utilisant le mme ordinateur Si le matriel et le serveur de gestion fonctionnent correctement, vous pouvez restaurer la base de donnes sur le mme ordinateur. Si vous rencontrez des problmes, vous pouvez dsinstaller le serveur de gestion, le rinstaller, configurer la base de donnes, puis restaurer les donnes.
3 4
Dconnectez-vous de la console de Symantec Endpoint Protection Manager. Arrtez le service Symantec Endpoint Protection Manager en slectionnant Dmarrer > Programmes > Outils d'administration > Services.
Gestion des bases de donnes Modification du nom et de la description d'une base de donnes
391
5 6 7 8 9
Recherchez le service du serveur de gestion et cliquez avec le bouton droit de la souris afin de slectionner Arrter. Slectionnez Dmarrer > Programmes > Symantec Endpoint Protection Manager > Database Back Up and Restore. Cliquez sur Restaurer, puis sur Oui dans la fentre de message qui s'ouvre. Dans la bote de dialogue Restauration de base de donnes, slectionnez la sauvegarde que vous souhaitez appliquer dans la liste. Cliquez sur OK. La restauration de la base de donnes prend quelques minutes. La dure de la restauration dpend de la taille de la base de donnes, du nombre d'utilisateurs, des partenaires de rplication et d'autres critres.
10 Ds que la restauration de la base de donnes est termine, le message suivant

s'affiche :
La base de donnes a t restaure avec succs.
11 Cliquez sur Quitter. 12 Cliquez sur Dmarrer > Programmes > Symantec Endpoint Protection
Manager si vous avez restaur la base de donnes sur un autre ordinateur diffrent parce que vous deviez effacer l'ancien serveur de base de donnes. Autrement la restauration de la base de donnes est termine.
13 Connectez-vous la console . 14 Cliquez sur Admin. 15 Cliquez sur Serveurs. 16 Dans la page d'Administration, sous Tches, cliquez avec le bouton droit de
la souris sur l'ancien serveur de base de donnes et slectionnez Supprimer.
17 Modifiez les critres supplmentaires, tels que des noms d'utilisateur et le

mot de passe, au besoin. Se reporter "Reconfiguration d'une base de donnes Microsoft SQL" la page 392.
Modification du nom et de la description d'une base de donnes

Vous pouvez modifier le nom et la description d'une base de donnes locale ou d'une base de donnes distance.
392
Gestion des bases de donnes Reconfiguration d'une base de donnes Microsoft SQL
Vous pouvez galement modifier le nom de la base de donnes en utilisant l'assistant de configuration du serveur de gestion. Se reporter "Reconfiguration d'une base de donnes Microsoft SQL" la page 392. Pour modifier le nom et la description d'une base de donnes
1 2 3
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, dveloppez Site local. Slectionnez la base de donnes locale ou dveloppez Sites distants pour slectionner la base de donnes d'un site distance dont vous voulez modifier les proprits. Sous Tches, cliquez sur Modifier les proprits de base de donnes. Dans la bote de dialogue Proprits de base de donnes, modifiez le nom de la base de donnes dans le champ Nom. Dans la bote de dialogue Proprits de base de donnes, modifiez la description de la base de donnes dans le champ Description. Cliquez sur OK.
4 5 6 7
Reconfiguration d'une base de donnes Microsoft SQL

Vous devez utiliser l'Assistant de configuration du serveur de gestion pour reconfigurer la base de donnes Microsoft SQL. Se reporter "A propos de la reconfiguration d'une base de donnes" la page 382. Pour reconfigurer une base de donnes Microsoft SQL
1 2 3 4 5 6
Arrtez le service Symantec Endpoint Protection Manager en slectionnant Dmarrer > Tous les programmes > Outils d'administration > Services. Recherchez Symantec Endpoint Protection Manager, cliquez avec le bouton droit de la souris et slectionnez Arrter. Cliquez sur Dmarrer > Tous les programmes > Symantec Endpoint Protection Manager > Assistant de configuration du serveur de gestion. Dans l'cran de bienvenue de l'assistant de configuration du serveur de gestion, cliquez sur Reconfigurer le serveur de gestion. Cliquez sur Suivant pour lancer la reconfiguration. Dans la zone Nom du serveur, modifiez le nom de l'ordinateur sur lequel le serveur de gestion est install.
Gestion des bases de donnes Reconfiguration d'une base de donnes Microsoft SQL
393
Dans la zone Port du serveur, modifiez le numro de port HTTPS que le serveur de gestion coute. Le numro de port par dfaut est 8443.
Modifiez l'emplacement du dossier des donnes du serveur ou localisez le dossier racine o les fichiers de donnes se trouvent. Le dossier racine contient des fichiers de sauvegarde et de rplication ainsi que d'autres fichiers du serveur de gestion. Le nom du chemin d'accs par dfaut est C:\Program Files\ Symantec\Symantec Endpoint Protection Manager\data)
Cliquez sur Suivant.
10 Cliquez sur Microsoft SQL Server. 11 Cliquez sur Suivant. 12 Tapez le nom du serveur de base de donnes dans la zone Serveur de base de
donnes, le cas chant. Tapez l'adresse IP ou le nom d'hte du serveur de base de donnes dans lequel le serveur SQL Server Enterprise Manager (SEM) enregistre des donnes de l'application.
13 Tapez le numro de port du serveur SQL dans la zone Port du serveur SQL.
Le numro de port par dfaut est 1433.
14 Tapez le nom de la base de donnes dans la zone Nom de la base de donnes.

Le nom de la base de donnes Microsoft SQL o les donnes de l'application sont stockes.
15 Tapez le nom de l'utilisateur dans la zone Utilisateur

Ce nom reprsente l'utilisateur qui est responsable de la base de donnes.
16 Tapez le mot de passe dans le champ Mot de passe.

Ce mot de passe est pour l'utilisateur de la base de donnes. Ce champ ne peut pas tre vide.
394
Gestion des bases de donnes Reconfiguration d'une base de donnes intgre
17 Tapez le nom du chemin d'accs client SQL dans Chemin d'accs client SQL.
Par dfaut, le dossier SQL client contient le fichier bcp.exe. Par exemple, C:\Program Files\Microsoft SQL Server\80\Tools\Binn. Le fichier bcp.exe doit se trouver sur l'ordinateur sur lequel vous avez install le serveur de gestion. Ce fichier fait partie du package client SQL Server. Vous devez galement spcifier le nom d'accs correct du client Microsoft SQL dans l'Assistant de configuration du serveur de gestion. Si ce nom n'est pas spcifi correctement ou si le package Microsoft SQL Client n'a jamais t install, vous ne pouvez pas reconfigurer la base de donnes.
18 Cliquez sur Suivant.

La base de donnes est alors cre. Ce processus ne prend que quelques minutes. Un message de base de donnes apparat au cours de ce laps de temps si le service du serveur de gestion est toujours en cours d'excution.
19 Vous pouvez slectionner de dmarrer Symantec Endpoint Protection Manager

et de dmarrer la console de gestion. Ces options sont slectionnes par dfaut.
20 Cliquez sur Terminer.

Vous avez termin la reconfiguration de la base de donnes. Si vous avez maintenu les options de dmarrage slectionnes, la fentre de connexion de la console apparat.
Reconfiguration d'une base de donnes intgre

Vous devez utiliser l'assistant de configuration de serveur de gestion Symantec pour reconfigurer la base de donnes. Se reporter "A propos de la reconfiguration d'une base de donnes" la page 382. Pour reconfigurer une base de donnes intgre :
1 2 3 4 5
Arrtez le service Symantec Endpoint Protection Manager en slectionnant Dmarrer > Programmes > Outils d'administration > Services. Recherchez Symantec Endpoint Protection Manager et cliquez avec le bouton droit de la souris afin de slectionner Arrter. Cliquez sur Dmarrer > Programmes > Symantec Endpoint Protection Manager > Assistant de configuration du serveur de gestion. Dans l'cran de bienvenue de l'assistant de configuration du serveur de gestion, cliquez sur Reconfigurer le serveur de gestion. Cliquez sur Suivant pour lancer la reconfiguration.
Gestion des bases de donnes Reconfiguration d'une base de donnes intgre
395
6 7
Dans la zone Nom du serveur, modifiez le nom de l'ordinateur sur lequel le serveur de gestion est install. Dans la zone Port de serveur, modifiez le numro du port HTTPS cout par le serveur de gestion. Le numro de port par dfaut est 8443.
Modifiez l'emplacement du dossier des donnes du serveur ou localisez le dossier racine o les fichiers de donnes se trouvent. Le dossier racine inclut les fichiers de sauvegarde et de rplication du serveur de gestion, ainsi que d'autres fichiers. Le nom du chemin d'accs par dfaut est C:\Program Files\ Symantec\Symantec Endpoint Protection Manager\data)
Cliquez sur Suivant.
10 Cliquez sur Base de donnes intgre. 11 Cliquez sur Suivant. 12 Entrez le numro de port du serveur dans la zone de texte du port de serveur
de base de donnes. Le numro de port par dfaut est 2638.
13 Saisissez le mot de passe dans la zone de texte Mot de passe.

Ce champ ne peut pas tre vide.
14 Entrez le mot de passe dans la zone de texte Confirmez le mot de passe. 15 Cliquez sur Suivant.
La cration de la base de donnes prend quelques minutes. Un message de base de donnes s'affiche au cours de cette priode si le service du serveur de gestion est toujours en cours d'excution.
16 Vous pouvez choisir de dmarrer Symantec Endpoint Protection Manager et

la console de gestion. Ces options sont slectionnes par dfaut.

Vous avez termin la reconfiguration de la base de donnes. Si vous avez maintenu les options de dmarrage slectionnes, la fentre de connexion de la console apparat.
396
Gestion des bases de donnes A propos de la gestion des donnes de journal
A propos de la gestion des donnes de journal

Vous pouvez configurer un certain nombre d'options pour grer les journaux qui sont enregistrs dans la base de donnes.
A propos des donnes de journal et du stockage

Les donnes de tous les journaux qui sont chargs dans la console de Symantec Endpoint Protection Manager sont stockes dans la base de donnes de la console. Les donnes des types de journaux suivants sont enregistres dans deux tables de base de donnes :

Contrle des applications et des priphriques Audit Enforcer Protection contre les menaces rseau Systme
Les donnes des autres journaux sont enregistres dans une table unique. Vous pouvez dfinir les options de journal pour grer les journaux de base de donnes qui sont enregistrs dans deux tables. Se reporter "Configuration des paramtres de journal pour les serveurs d'un site" la page 398. La table unique qui contient les donnes des autres journaux est gre en utilisant les options de maintenance de base de donnes dans les proprits de site. Vous pouvez dfinir les options de maintenance de base de donnes qui affectent les donnes qui sont enregistres dans une seule table. Se reporter "Configuration des options de maintenance de la base de donnes pour des journaux" la page 404. Pour les journaux qui sont enregistrs dans deux tables, une table (la table A) correspond la table de journal actuelle. Les nouvelles entres de journal sont consignes dans cette table. Quand le seuil ou la date d'expiration de journal est atteint, les nouvelles entres de journal sont consignes dans la deuxime table (table B). Les donnes demeurent dans la table A jusqu' ce que le seuil ou le nombre de jours spcifi dans le champ Expire aprs soit atteint pour la table B. A ce stade, la table A est efface compltement et de nouvelles entres y sont consignes. Les informations dans la table B demeurent jusqu'au prochain basculement. Le basculement d'une table l'autre, aussi appel suppression des donnes des journaux de la base de donnes, se produit automatiquement. L'chance de basculement dpend des paramtres de journal dfinis dans les proprits de site.
397
Le processus est identique indpendamment de si le champ est automatique ou manuel. Vous pouvez supprimer les donnes de journal manuellement aprs avoir sauvegard la base de donnes, si vous prfrez utiliser cette mthode en tant qu'lment de la maintenance courante de base de donnes. Si une suppression automatique intervient, vous risquez de perdre quelques donnes de journal si vos sauvegardes de la base de donnes ne se produisent pas assez frquemment. Si vous effectuez rgulirement une suppression manuelle des donnes de journal aprs une sauvegarde de la base de donnes, vous tes assur de conserver toutes les donnes. Cette procdure est trs utile si vous devez maintenir vos journaux pendant une priode relativement longue (par exemple, une anne). Remarque : La procdure manuelle dcrite dans Suppression manuelle des donnes de journal de la base de donnes n'affecte pas les donnes prsentes dans les journaux qui sont stocks dans une table unique de la base de donnes.
Suppression manuelle des donnes de journal de la base de donnes

Vous pouvez supprimer manuellement les donnes des journaux, mais cette procdure est facultative. Pour supprimer manuellement des donnes de journal de la base de donnes :
Pour empcher la suppression automatique du contenu de la base de donnes avant qu'une sauvegarde se produise, dfinissez l'option des paramtres de journal des proprits de site sur la valeur maximale. Se reporter "Configuration des paramtres de journal pour les serveurs d'un site" la page 398.
2 3
Effectuez la sauvegarde, comme appropri. Sur l'ordinateur o Symantec Endpoint Protection Manager est install, ouvrez un navigateur Web et tapez l'URL suivante : https://localhost:8443/servlet/ConsoleServlet?ActionType=ConfigServer&action =SweepLogs Aprs que vous avez effectu cette tche, les entres de journal pour tous les types de journaux sont enregistres dans la table de base de donnes alternative. La table initiale est conserve jusqu' ce que l'effacement suivant soit lanc.
398
Pour vider tout sauf les entres les plus actuelles, effectuez un deuxime effacement. La table initiale est efface et des entres sont nouveau enregistres. Souvenez-vous des restaurer les valeurs de paramtres de journal de proprits de site.
Donnes consignes des clients hrits

Pour plusieurs raisons, les fonctions de reporting de Symantec Endpoint Protection font appel un dossier temporaire, situ l'emplacement suivant : lecteur:\ Symantec\Symantec Endpoint Protection Manager\Inetpub\Reporting\Temp. Les administrateurs peuvent planifier leurs propres tches automatises afin de nettoyer ce dossier temporaire intervalles rguliers. Si tel est le cas, assurez-vous que vous ne supprimez pas le fichier de LegacyOptions.inc, s'il existe. Si vous supprimez ce fichier, vous perdrez les donnes entrantes des journaux de client Symantec AntiVirus hrits.
Configuration des paramtres de journal pour les serveurs d'un site

Pour faciliter le contrle de l'utilisation de l'espace disque, vous pouvez configurer le nombre d'entres qui sont conserves sur le serveur dans les journaux d'un site. Vous pouvez galement configurer le nombre de jours pendant lesquels les entres sont gardes. Vous pouvez configurer diffrents paramtres pour les diffrents sites. Remarque : Les informations de journal concernant la console de Symantec Endpoint Protection Manager, qui figurent dans l'onglet Journaux de la page Contrles, sont organises en groupes logiques pour plus de lisibilit. Les noms de journaux qui figurent dans l'onglet Paramtres de journal de proprits de site correspondent au contenu des journaux et non aux types de journaux de l'onglet Journaux de la page Contrles. Pour consulter une description de chaque option configurable, vous pouvez cliquer dans la console sur le lien En savoir plus en regard du type de rapport. Le lien En savoir plus affiche l'aide contextuelle. Pour configurer des paramtres de journal pour les serveurs d'un site :
1 2 3 4
Dans la console, cliquez sur Admin. Dans le coin infrieur gauche, cliquez sur Serveurs. Slectionnez le site que vous voulez configurer. Sous Tches, cliquez sur Modifier les proprits de site.
399
Dans l'onglet Paramtres de journal, dfinissez le nombre d'entres et le nombre de jours conserver pour chaque type de journal. Vous pouvez dfinir des tailles pour des journaux de serveur de gestion, des journaux client et des journaux d'Enforcer.
Cliquez sur OK.
A propos de la configuration du regroupement des vnements

Vous pouvez configurer le regroupement des vnements des journaux client deux endroits diffrents dans la console de Symantec Endpoint Protection Manager. Tableau 22-1 dcrit o configurer le regroupement des vnements client et ce que signifient les paramtres. Tableau 22-1 Emplacement Regroupement des vnements client Description
Dans la page Politiques, Politique Utilisez cet emplacement pour configurer le antivirus et antispyware, Divers, regroupement des vnements de risque. Le temps de onglet Gestion des journaux regroupement par dfaut est de 5 minutes. La premire occurrence d'un vnement est immdiatement consigne. Des occurrences ultrieures des mmes vnements sont collectes et le nombre d'occurrences est consign sur le client toutes les 5 minutes. Dans la page Clients, page Politiques, Paramtres de journalisation client Utilisez cet emplacement pour configurer le regroupement d'vnements de protection contre les menaces rseau. Des vnements sont maintenus sur les clients pour la priode d'attnuation avant qu'ils soient collects en un vnement unique puis chargs sur la console. La priode d'attnuation aide ramener les vnements un nombre maniable. La valeur par dfaut de la priode d'attnuation est Auto (automatique). La priode d'inactivit de l'attnuateur dtermine le laps de temps qui doit passer entre les entres de journal avant que l'occurrence suivante soit considre comme une nouvelle entre. L'inactivit par dfaut de l'attnuateur est 10 secondes.
Se reporter "Dfinir des paramtres de gestion des journaux dans une politique antivirus et antispyware" la page 457. Se reporter "Configuration des paramtres de journal client" la page 400.
400
Configuration des paramtres de journal client

Si vous avez install Symantec Endpoint Protection, vous pouvez configurer certaines options de journal client. Vous pouvez configurer le nombre d'entres conserves dans les journaux et le nombre de jours pendant lesquels chaque entre est conserve sur le client. Vous pouvez configurer des paramtres pour les journaux client suivants :

Contrle Paquet Risque Scurit Systme Trafic
Si Symantec Network Access Control est install, vous pouvez activer et dsactiver la consignation et envoyer des journaux Enforcer au serveur de gestion. Vous pouvez galement configurer le nombre d'entres de journal et le nombre de jours pendant lesquels les entres sont conserves sur le client. Pour plus d'informations sur les journaux Enforcer, consultez le Guide de mise en oeuvre de Symantec Network Access Control Enforcement. Pour les journaux Scurit, Risque et Trafic, vous pouvez galement configurer la priode d'attnuation et la priode d'inactivit de l'attnuateur utiliser pour le regroupement des vnements. Vous pouvez indiquer si vous souhaitez ou non charger chaque type de journal client au serveur et la taille maximale des tlchargements. La non-configuration du chargement des journaux client a les consquences suivantes :
Vous ne pouvez pas afficher les donnes de journal client de la console de Symantec Endpoint Protection Manager par le biais de l'onglet Journaux de la page Contrles. Vous ne pouvez pas sauvegarder les journaux client quand vous sauvegardez la base de donnes. Vous ne pouvez pas exporter les donnes de journal client vers un fichier ou un serveur de journal centralis.
401
Pour configurer les paramtres de journal client :
1 2
Dans la console, cliquez sur Clients. Dans l'onglet Politiques, sous Politiques et paramtres indpendants de l'emplacement, sous Paramtres, cliquez sur Paramtres de journalisation client. Dans la bote de dialogue Paramtres de journal client de nom du groupe, dfinissez la taille de fichier maximale et le nombre de jours de conservation des entres de journal. Activez Taille de chargement maximale : pour tous les journaux que vous voulez que les clients transfrent au serveur. Pour le journal Scurit et le journal Trafic, dfinissez la priode d'attnuation et la priode d'inactivit de l'attnuateur. Ces paramtres dterminent la frquence de regroupement des vnements Protection contre les menaces rseau.
4 5
6 7
Spcifie le nombre maximal d'entres qu'un client doit charger en une fois vers le module Symantec Endpoint Protection Manager. Cliquez sur OK.
A propos de la configuration des options de gestion des journaux pour les politiques antivirus et antispyware
Vous pouvez configurer les options suivantes de gestion des journaux pour les politiques antivirus et antispyware :
Les vnements antivirus et antispyware qui sont transfrs partir des clients vers les journaux de protection antivirus et antispyware dans le serveur. Combien de temps les vnements dans les journaux de protection antivirus et antispyware sont maintenus sur le serveur. Comment les vnements frquemment collects sont chargs partir des clients sur le serveur.
Se reporter "Dfinir des paramtres de gestion des journaux dans une politique antivirus et antispyware" la page 457.
Sauvegarde des journaux pour un site

Les donnes des journaux ne sont pas sauvegardes, sauf si vous configurez Symantec Endpoint Protection cet effet. Si vous ne sauvegardez pas les journaux, alors seules vos options de configuration de journal sont enregistres pendant une sauvegarde. Vous pouvez utiliser la sauvegarde pour restaurer votre base de
402
donnes, mais les connexions la base de donnes ne contiennent pas de donnes quand elles sont restaures. Cette option de configuration se trouve au mme endroit que les autres options de sauvegarde des sites locaux, c'est--dire dans la page Serveurs de la page Administrateur. Vous pouvez choisir de conserver jusqu' dix versions de sauvegardes de site. Vous devriez vous assurer que vous avez suffisamment d'espace disque disponible pour conserver toutes vos donnes si vous choisissez de conserver plusieurs versions. Pour sauvegarder les journaux d'un site :
1 2 3 4 5
Dans la console, cliquez sur Admin. Slectionnez un serveur de base de donnes. Sous Tches, cliquez sur Modifier les paramtres de sauvegarde. Dans la zone de groupe Paramtres de sauvegarde, cochez Sauvegarder les journaux. Cliquez sur OK.
A propos du chargement de grandes quantits de donnes de journal client

Si vous avez un grand nombre de clients, vous pouvez avoir un grand volume de donnes de journal client. Vous devriez considrer si vous voulez rduire ou non le volume de donnes en utilisant les configurations suivantes :
Charger seulement certains des journaux client dans le serveur. Se reporter "Configuration des paramtres de journal client" la page 400. Filtrer les vnements de risque et les vnements systme moins importants de sorte que moins de donnes soient transfres au serveur. Se reporter "Dfinir des paramtres de gestion des journaux dans une politique antivirus et antispyware" la page 457.
Si vous prvoyez toujours de charger un grand nombre de donnes de journal client un serveur, vous devez tenir compte des facteurs suivants :

nombre de clients dans votre rseau ; frquence de battement, qui contrle quelle frquence les journaux client sont chargs au serveur ; quantit d'espace dans le rpertoire o les donnes de journal sont enregistres avant d'tre insres dans la base de donnes.
403
Une configuration qui charge un grand volume de donnes de journal client au serveur intervalles frquents peut poser des problmes d'espace. Si vous devez charger un grand volume de donnes de journal client, vous devrez peut-tre rgler quelques valeurs par dfaut pour viter ces problmes d'espace. Pendant le dploiement vers des clients, surveillez l'espace sur le serveur dans le rpertoire de mise en place de journal et rglez ces valeurs si ncessaire. Le rpertoire par dfaut dans lequel les journaux sont convertis en fichiers .dat avant d'tre inscrits dans la base de donnes est lecteur:\Program Files\Symantec\Symantec Endpoint Protection Manager\data\inbox\log. L'emplacement du rpertoire de donnes de serveur est dfini pendant l'installation quand vous tes invit slectionner le dossier de donnes de serveur. Si vous le souhaitez, vous pouvez excuter l'Assistant de configuration du serveur de gestion partir du menu Dmarrer afin de modifier ce rpertoire. Le rpertoire \inbox\log s'ajoute automatiquement au rpertoire configur. La frquence laquelle les journaux client sont chargs est configure dans la page Politiques de la page de Clients, sous Paramtres de communication. Par dfaut, la frquence de chargement des journaux est toutes les cinq minutes. Pour rgler les valeurs qui contrlent l'espace disponible sur le serveur, vous devez modifier ces valeurs dans le registre de Windows. Les cls de registre de Windows que vous devez modifier se trouvent sur le serveur dans HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\ SEPM. Tableau 22-2 affiche une liste des cls de registre de Windows et de leurs valeurs par dfaut, et dcrit leur rle. Tableau 22-2 Cls de registre de Windows qui contiennent des paramtres de tlchargement de journal Valeur par dfaut et description
MaxInboxSpace spcifie l'espace qui est allou au rpertoire o des fichiers journaux sont convertis en fichiers .dat avant qu'ils soient enregistrs dans la base de donnes. La valeur par dfaut est 200 Mo. MinDataFreeSpace MinDataFreeSpace spcifie la quantit minimum d'espace conserver libre dans ce rpertoire. Cette cl est utile pour s'assurer que les autres applications qui utilisent le mme rpertoire ont assez d'espace pour s'excuter sans effets nuisibles sur la performance. La valeur par dfaut est 0.
Nom de valeur
MaxInboxSpace
404
Nom de valeur
Valeur par dfaut et description
IntervalOfInboxSpaceChecking IntervalOfInboxSpaceChecking spcifie la dure d'attente de Symantec Endpoint Protection entre les contrles sur la quantit d'espace qui reste disponible pour les donnes de journal dans la bote de rception. La valeur par dfaut est 30 secondes.
A propos de la gestion des vnements de journal dans la base de donnes

La base de donnes reoit et stocke un flux constant d'entres dans ses fichiers journaux. Vous devez grer les donnes qui sont enregistres dans la base de donnes de sorte que les donnes stockes ne consomment pas tout l'espace disque disponible. Une quantit trop importante de donnes peut entraner l'arrt imprvu de l'ordinateur sur lequel la base de donnes s'excute. Vous devez comprendre vos paramtres de maintenance de la base de donnes par dfaut et les modifier si l'espace disque utilis par la base de donnes semble continuellement augmenter. Si un grand pic apparat dans l'activit risque, il est possible que vous deviez supprimer certaines donnes pour protger l'espace disque disponible sur le serveur.
Configuration des options de maintenance de la base de donnes pour des journaux

Les administrateurs peuvent configurer les options de maintenance de la base de donnes pour les donnes qui sont stockes dans les journaux. Les options de maintenance de la base de donnes vous aident grer la taille de votre base de donnes en spcifiant des paramtres de compression ainsi qu'un dlai de rtention pour les donnes. Pour plus d'informations sur les options de maintenance de la base de donnes, reportez-vous l'aide contextuelle de l'onglet Base de donnes de la bote de dialogue Proprits de site de nom du site. Pour configurer les options de maintenance de la base de donnes pour des journaux
1 2 3
Dans la console, cliquez sur Admin. Slectionnez un site. Sous Tches, cliquez sur Modifier les proprits de site.
405
Dans l'onglet Base de donnes, dfinissez le nombre de jours pendant lesquels les vnements de risque devront tre conservs. Pour conserver le sous-ensemble d'vnements d'infection risque au-del du seuil dfini pour les vnements de risque, cochez la case Ne pas supprimer les vnements d'infection.
5 6
Indiquez la frquence laquelle les vnements de risque identiques devront tre compresss sous forme d'vnement unique. Dfinissez le nombre de jours pendant lesquels les vnements compresss devront tre conservs. Cette valeur inclut le dlai avant que les vnements ne soient compresss. Supposez par exemple que les vnements compresss devront tre supprims tous les dix jours et que les vnements devront tre compresss tous les sept jours. Dans ce cas, les vnements sont supprims trois jours aprs avoir t compresss.
7 8 9
Dfinissez le nombre de jours pendant lesquels les notifications avec et sans accus de rception devront tre conserves. Dfinissez le nombre de jours pendant lesquels les vnements d'analyse devront tre conservs. Dfinissez le nombre de jours pendant lesquels les commandes que vous avez excutes partir de la console et leurs informations d'tat associes devront tre conserves. Une fois ces oprations effectues, Symantec Endpoint Protection ne peut plus distribuer les commandes leurs destinataires respectifs. les vnements de virus inutiliss qui indiquent EICAR comme nom de virus. Le virus de test EICAR est un fichier texte dvelopp par l'Institut europen pour la recherche antivirus informatique (EICAR). Il offre un moyen sr de tester la plupart des logiciels antivirus. Vous pouvez le tlcharger partir du site Web de l'EICAR. Vous pouvez l'utiliser pour vrifier que la partie antivirus de Symantec Endpoint Protection fonctionne.
10 Cochez les cases appropries si vous souhaitez supprimer les dfinitions et
11 Cliquez sur OK.
A propos de l'utilisation de l'utilitaire interactif SQL avec la base de donnes intgre

Si vous choisissez d'utiliser la base de donnes intgre avec Symantec Endpoint Protection ou Symantec Network Access Control, prenez en compte les remarques suivantes. Lorsque vous excutez l'application de base de donnes Interactive SQL (dbisqlc.exe), l'insertion de donnes dans la base de donnes intgre est
406
bloque. Si vous utilisez l'application pendant un certain temps, les fichiers .dat s'accumulent dans les rpertoires lecteur:\Program Files\Symantec\Symantec\ Symantec Endpoint Protection Manager\data\inbox\log. Pour viter l'accumulation de fichiers .dat et redmarrer l'insertion de donnes dans la base de donnes, fermez l'application.
Modification des paramtres d'expiration

Si des erreurs de base de donnes se produisent lorsque vous affichez des rapports ou des journaux contenant de nombreuses donnes, vous pouvez apporter les modifications suivantes :

Modification du dlai d'expiration des connexions au serveur Microsoft SQL Modification du dlai d'expiration des commandes du serveur Microsoft SQL
Les valeurs par dfaut de Reporting sont les suivantes :

Le dlai d'expiration des connexions est de 300 secondes (5 minutes). Le dlai d'expiration des commandes est de 300 secondes (5 minutes).
Si des erreurs de CGI ou de processus arrts surviennent, vous pouvez modifier d'autres paramtres d'expiration. Reportez-vous l'article de la base de connaissances Symantec suivant : "Reporting server does not report or shows a timeout error message when querying large amounts of data (Le serveur Reporting ne gnre pas de rapport ou affiche un message d'erreur signalant un dpassement de dlai)". Pour modifier des paramtres d'expiration
Ouvrez le fichier Reporter.php qui se trouve dans le rpertoire \Program Files\Symantec\Symantec Endpoint Protection Manager\Inetpub\Reporting\ Resources. Utilisez un diteur de texte pour ajouter les paramtres suivants au fichier :

$CommandTimeout =xxxx $ConnectionTimeout =xxxx Les dlais d'expiration sont exprims en secondes. Si vous spcifiez la valeur zro ou laissez le champ vide, les paramtres par dfaut sont utiliss.
A propos de la restauration des journaux systme client corrompus sur les ordinateurs 64 bits
Si un journal Systme est corrompu sur un client 64 bits, un message d'erreur inconnue est susceptible de s'afficher dans les journaux Systme de la console
407
Symantec Endpoint Protection Manager. Lorsqu'un journal systme est corrompu, vous ne pouvez pas en afficher les donnes dans le client et les donnes ne sont pas charges sur la console. Ce problme peut affecter les donnes des journaux et des rapports Etat de l'ordinateur, Risque et Analyse de la console. Pour corriger ce problme, vous pouvez supprimer le fichier journal corrompu et le fichier serialize.dat sur le client. Ces fichiers se trouvent sur le client dans Lecteur:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Logs\date.Log. Une fois ces fichiers supprims, le fichier journal est recr et les entres sont consignes correctement.
408
Chapitre
23
Rplication des donnes


A propos de la rplication des donnes A propos de l'incidence de la rplication Ajouter et dconnecter un partenaire de rplication Planification de la rplication automatique et la demande Rplication des packages client et contenu LiveUpdate Rplication des journaux
A propos de la rplication des donnes

La rplication est le processus consistant partager des informations entre des bases de donnes pour s'assurer que le contenu est cohrent. Vous pouvez utiliser la rplication pour augmenter le nombre de serveurs de base de donnes qui sont la disposition des clients et rduire de ce fait la charge de chacun d'eux. La rplication est habituellement configure pendant l'installation initiale. Consultez le Guide d'Installation pour Symantec Endpoint Protection et Symantec Network Access Control pour plus d'informations sur la faon dont configurer la rplication de donnes pendant une premire installation. Un partenaire de rplication est un autre site dot d'un serveur de base de donnes. Il dispose galement d'une connexion au site que vous tablissez comme site d'exploitation principal ou local. Un site peut avoir autant de partenaires de rplication que ncessaire. Tous les partenaires de rplication partagent une cl de licence commune. Les modifications que vous avez apportes sur n'importe quel partenaire de rplication sont reproduites chez tous les autres partenaires de rplication chaque fois que Symantec Endpoint Protection Manager est planifi pour rpliquer des donnes.
410
Rplication des donnes A propos de la rplication des donnes
Par exemple, vous pouvez installer un site votre bureau principal (site 1) et un deuxime site (site 2). Le site 2 est un partenaire de rplication du premier site. Les bases de donnes sur le site 1 et sur le site 2 sont synchronises en utilisant une planification que vous devez configurer. Si une modification est effectue sur le site 1, elle apparat automatiquement sur le site 2 aprs la rplication. Si une modification est effectue sur le site 2, elle apparat automatiquement sur le site 1 aprs la rplication. Vous pouvez galement installer un troisime site (site 3) qui peut rpliquer les donnes du site 1 ou du site 2. Le troisime site est un partenaire de rplication des deux autres sites. Figure 23-1 illustre comment la rplication des donnes se produit d'un site local deux autres sites.
Rplication des donnes A propos de la rplication des donnes
411
Figure 23-1
Une prsentation de la rplication des donnes entre un site local et deux partenaires
Site 2 Symantec Endpoint Protection Manager Base de donnes MS SQL Rplication
Site 1 Symantec Endpoint Protection Manager
Base de donnes MS SQL
Site 3 Symantec Endpoint Protection Manager
Base de donnes MS SQL
Les partenaires de rplication sont lists la page Administration. Vous pouvez afficher des informations sur les partenaires de rplication en slectionnant le partenaire dans l'arborescence. Tous les sites ont habituellement le mme type de base de donnes. Vous pouvez toutefois configurer la rplication entre les sites en utilisant diffrents types de bases de donnes. En outre, vous pouvez configurer la rplication entre une base de donnes intgre et une base de donnes MS SQL.
Rplication
412
Rplication des donnes A propos de l'incidence de la rplication
Si vous utilisez une base de donnes intgre, vous ne pouvez y connecter qu'un Symantec Endpoint Protection Manager en raison des conditions de configuration. Si vous utilisez une base de donnes MS SQL, vous pouvez connecter plusieurs serveurs de gestion ou partager une base de donnes. Seul le premier serveur de gestion doit tre configur comme partenaire de rplication. Tous les sites qui sont configurs en tant que partenaires de rplication sont considrs comme faisant partie de la mme ferme de site. Au commencement, vous devez installez le premier site, puis installer un deuxime site en tant que partenaire de rplication. Un troisime site pourra tre install et configur pour se connecter l'un ou l'autre des deux premiers sites. Vous pouvez ajouter autant de sites que ncessaire la ferme de sites. Vous pouvez supprimer les partenaires de rplication pour arrter la rplication. Vous pourrez ajouter ce partenaire de rplication ultrieurement pour assurer la cohrence des bases de donnes. Cependant, certains changements peuvent tre en conflit. Se reporter "A propos des paramtres qui sont rpliqus" la page 412. Vous pouvez dfinir la rplication de donnes pendant l'installation initiale ou ultrieurement. Quand vous dfinissez la rplication pendant l'installation initiale, vous pouvez galement dfinir une planification pour la synchronisation des partenaires de rplication.
A propos de l'incidence de la rplication

Si les administrateurs apportent des modifications sur chaque site de rplication simultanment, certains changements peuvent tre perdus. Si vous modifiez le mme paramtre sur les deux sites et si un conflit surgit, le dernier changement est celui qui entre en vigueur quand la rplication se produit. Par exemple, le site 1 (New York) se rplique avec le site 2 (Tokyo) et le site 2 se rplique avec le site 3 (Londres). Vous souhaitez que les clients qui se connectent au rseau New York se connectent galement au Symantec Endpoint Protection Manager New York. Vous ne souhaitez toutefois pas qu'ils puissent se connecter aux serveurs de gestion Tokyo ou Londres.
A propos des paramtres qui sont rpliqus

Quand vous configurez la rplication, les paramtres de communication du client sont galement rpliqus. Par consquent, vous devez vous assurer que les paramtres de communication sont corrects pour tous les sites d'une ferme de site de la manire suivante :
Rplication des donnes A propos de l'incidence de la rplication
413
Crez des paramtres de communication gnriques de sorte que la connexion d'un client soit base sur le type de connexion. Par exemple, vous pouvez utiliser un nom DNS gnrique, tel que symantec.com pour tous les sites d'une ferme de site. A chaque connexion d'un client, le serveur DNS rsout le nom et connecte le client au Symantec Endpoint Protection Manager local. Crez des paramtres de communication spcifiques en attribuant des groupes aux sites de sorte que tous les clients d'un groupe se connectent au serveur de gestion indiqu. Par exemple, vous pouvez crer deux groupes pour les clients du site 1, deux groupes diffrents pour le site 2 et deux autres pour le site 3. Vous pouvez appliquer les paramtres de communication au niveau de groupe pour que les clients se connectent au serveur de gestion.
Vous pouvez dfinir des directives pour grer des paramtres d'emplacement pour les groupes. Ces directives peuvent contribuer empcher des conflits de se produire sur les mmes emplacements. Vous pouvez galement contribuer empcher les conflits pour tous les groupes qui se trouvent dans des sites diffrents.
Mode de fusion des changements pendant la rplication

Lorsque la rplication s'est produite, la base de donnes du site 1 et la base de donnes du site 2 sont identiques. Seules les informations d'identification des serveurs diffrent. Si les administrateurs modifient les paramtres sur tous les sites d'une ferme de site, des conflits peuvent se produire. Par exemple, les administrateurs du site 1 et du site 2 peuvent ajouter chacun un groupe portant le mme nom. Si vous voulez rsoudre ce conflit, les deux groupes existent aprs rplication. Toutefois, l'un d'entre eux est renomm avec un tilde et le chiffre 1 (~1). Si les deux sites ont ajout un groupe nomm Ventes, aprs la rplication, vous pouvez voir deux groupes sur les deux sites. Un groupe est nomm Ventes et l'autre est appel Ventes 1. Cette duplication se produit toutes les fois qu'une politique avec le mme nom est ajoute au mme emplacement sur deux sites. Si les adaptateurs de rseau dupliqus sont crs sur diffrents sites avec le mme nom, un tilde et le chiffre 1 sont ajouts (~1). Les deux symboles sont ajouts un des noms. Si des paramtres diffrents sont modifis sur les deux sites, les changements sont fusionns aprs rplication. Par exemple, si vous modifiez les paramtres de scurit client sur le site 1 et la protection par mot de passe sur le site 2, les deux ensembles de changements apparaissent aprs rplication. Autant que possible, les changements sont fusionns entre les deux sites.
414
Rplication des donnes Ajouter et dconnecter un partenaire de rplication
Si des politiques sont ajoutes aux deux sites, les nouvelles politiques apparaissent sur les deux sites aprs rplication. Des conflits peuvent se produire quand une politique est modifie sur deux sites diffrents. Si une politique est modifie sur plusieurs sites, la dernire mise jour de n'importe quel changement est conserve aprs rplication. Si vous effectuez les tches suivantes avec la rplication prvue pour se produire chaque heure l'heure :

Vous modifiez AvAsPolicy1 sur le site 1 14:00. Vous modifiez la mme politique sur le site 2 14:30.
Seulement les changements termins sur le site 2 apparaissent lorsque la rplication est termine quand la rplication se produit 15:00. Si l'un des partenaires de rplication est dconnect, le site distant peut nanmoins indiquer l'tat comme en ligne.
Ajouter et dconnecter un partenaire de rplication

Si vous voulez rpliquer des donnes avec un autre site, vous l'avez peut-tre dj dfini lors de l'installation initiale. Si vous n'avez pas dfini la rplication pendant l'installation initiale, vous pouvez le faire maintenant en ajoutant un partenaire de rplication. Un ensemble de plusieurs sites est appel ferme de site s'ils sont dfinis en tant que partenaires de rplication. Vous pouvez ajouter n'importe quel site la ferme de site en tant que partenaire de rplication. Consultez le Guide d'Installation de Symantec Endpoint Protection et de Symantec Network Access Control pour plus d'informations. En outre, vous pouvez ajouter un partenaire de rplication qui a t prcdemment supprim en tant que partenaire. Avant de commencer, vous devez avoir les informations suivantes :
Adresse IP ou nom d'hte de l'installation Symantec Endpoint Protection Manager pour laquelle vous voulez crer un partenaire de rplication. Le serveur de gestion auquel vous voulez vous connecter doit avoir dj t un partenaire de rplication. Le serveur de gestion peut galement avoir t partenaire d'un autre site de la mme ferme de sites.
Pour ajouter un partenaire de rplication :
1 2 3
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, slectionnez un site. Sous Tches, cliquez sur Ajouter un partenaire de rplication.
Rplication des donnes Ajouter et dconnecter un partenaire de rplication
415
4 5 6
Dans l'assistant d'ajout d'un partenaire de rplication, cliquez sur Suivant. Saisissez l'adresse IP ou le nom d'hte du serveur de gestion que vous souhaitez dfinir comme partenaire de rplication. Saisissez le numro de port du serveur distant sur lequel vous avez install le serveur de gestion. Le paramtre par dfaut du port de serveur distant est 8443.
7 8 9
Entrez le nom d'utilisateur et le mot de passe de l'administrateur. Cliquez sur Suivant. Dans le volet Planifier la rplication, entrez la date prvue pour la rplication entre les deux partenaires en effectuant l'une des oprations suivantes :
Supprimez la coche de l'option Rplication automatique. Cela entrane une rplication frquente et automatique entre deux sites. Il s'agit du paramtre par dfaut. Par consquent vous ne pouvez pas installer une planification personnalise pour la rplication. Dslectionner Rplication automatique Vous pouvez maintenant installer une planification personnalise pour la rplication :
Slectionnez une Frquence de rplication horaire, quotidienne ou hebdomadaire. Slectionnez le jour spcifique de la rplication dans la liste Jour de la semaine pour installer une planification hebdomadaire.
10 Cliquez sur Suivant. 11 Dans le volet Rplication des fichiers journaux et des packages client, cochez
ou supprimez la coche des options, selon que vous souhaitez ou non rpliquer les journaux. Par dfaut, les options ne sont pas actives.
12 Sur la bote de dialogue Ajouter un partenaire de rplication effectuez l'une

des actions suivantes :
Si la base de donnes a t restaure sur le site du partenaire de rplication, cliquez sur Oui. Vous devez restaurer la base de donnes sur chaque site de partenaire de rplication avant de continuer si vous mettez niveau ou restaurez une base de donnes. Cliquez sur Non si la base de donnes n'a pas t restaure. Restaurez ensuite la base de donnes et redmarrez cette procdure.
416
Rplication des donnes Planification de la rplication automatique et la demande
13 Cliquez sur Suivant. 14 Cliquez sur Terminer.

Le site de partenaires de rplication est ajout sous Partenaires de rplication dans la page Administrateur.
Dconnexion des partenaires de rplication

La suppression d'un partenaire de rplication dconnecte simplement le partenaire de rplication de Symantec Endpoint Protection Manager. Cela ne supprime pas le site. Vous pouvez ajouter le site ultrieurement si ncessaire en ajoutant un partenaire de rplication. Pour supprimer des bases de donnes du processus de rplication :
1 2 3 4 5
Dans la console, cliquez sur Administration. Dans la page Administrateur, sous Afficher les serveurs, cliquez sur Partenaires de rplication. Dveloppez Partenaires de rplication et slectionnez le partenaire dont vous voulez vous dconnecter. Dans la page Administrateur, sous Tches, cliquez sur Supprimer le partenaire de rplication. Saisissez Oui lorsqu'il vous est demand de confirmer que vous voulez supprimer le partenaire de rplication.
Planification de la rplication automatique et la demande

Vous pouvez planifier une rplication automatique ou la demande. Vous pouvez galement spcifier la frquence avec laquelle vous voulez planifier la rplication.
Rplication des donnes la demande

La rplication se produit normalement selon la planification que vous avez configure quand vous avez ajout un partenaire de rplication pendant l'installation. Le site avec le numro d'ID le plus petit lance la rplication programme. Parfois, vous souhaiterez que la rplication se produise immdiatement.
Rplication des donnes Planification de la rplication automatique et la demande
417
Planifier la rplication la demande
1 2
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, dveloppez Partenaires de rplication et slectionnez le partenaire dont vous voulez rpliquer immdiatement la base de donnes. Sous Tches, cliquez sur Rpliquer maintenant. Cliquez sur Oui lorsqu'il vous est demand de confirmer que vous voulez dmarrer immdiatement une rplication unique. Le message suivant apparat :
La rplication a t planifie. Pour plus de dtails sur le rsultat de l'vnement planifi, consultez les journaux systme du serveur aprs un dlai de quelques minutes. Le dlai dpend de la charge du serveur, de la quantit de modifications rpliquer et de la bande passante du canal de communication.
3 4
Cliquez sur OK. La base de donnes est rplique immdiatement. Si vous utilisez une base de donnes Microsoft SQL avec plusieurs serveurs, vous ne pouvez lancer la rplication qu' partir du premier serveur configur sur le site. Si vous essayez d'effectuer la rplication maintenant partir du deuxime serveur, vous recevrez le message suivant :
Seul le premier serveur du site peut effectuer la rplication. Veuillez vous connecter au serveur : <nom premier serveur> pour lancer la rplication
Modification des frquences de rplication

La rplication se produit normalement selon la planification dfinie lorsque vous avez ajout un partenaire de rplication pendant l'installation initiale. Le site avec le numro d'ID le plus petit lance la rplication programme. Quand un partenaire de rplication a t tabli, vous pouvez modifier la planification de rplication. Quand vous modifiez la planification d'un partenaire de rplication, la planification des deux cts est identique aprs la rplication suivante. Pour modifier les frquences de rplication :
1 2 3
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, cliquez sur Partenaires de rplication. Sous Tches, cliquez sur Modifier un partenaire de rplication.
418
Rplication des donnes Rplication des packages client et contenu LiveUpdate
Dans la bote de dialogue Modifier le partenaire de rplication, spcifiez la planification pour la rplication entre les deux partenaires en effectuant une des actions suivantes :
Supprimez la coche de l'option Rplication automatique. Cela entrane une rplication frquente et automatique entre deux sites. Il s'agit du paramtre par dfaut. Par consquent vous ne pouvez pas installer une planification personnalise pour la rplication. Dslectionner Rplication automatique Vous pouvez maintenant installer une planification personnalise pour la rplication.
Slectionnez une Frquence de rplication horaire, quotidienne ou hebdomadaire. Slectionnez le jour spcifique de la rplication dans la liste Jour de la semaine pour installer une planification hebdomadaire.
Cliquez sur OK.
Rplication des packages client et contenu LiveUpdate

Vous pouvez rpliquer ou dupliquer les packages client et le contenu LiveUpdate entre le site local et ce partenaire sur un site distant. Vous pouvez copier la dernire version d'un package client ou du contenu LiveUpdate d'un site local un site distant. L'administrateur du site distant peut ainsi dployer le package client et le contenu LiveUpdate. Consultez le Guide d'Installation pour Symantec Endpoint Protection et Symantec Network Access Control pour plus d'informations sur la faon dont crer et dployer les packages d'installation client sur un site. Si vous dcidez de rpliquer des packages client et le contenu LiveUpdate, vous pouvez dupliquer un grand volume de donnes. Si vous rpliquez de nombreux packages, les donnes peuvent aller jusqu' 5 Go en taille. Les packages d'installation de Symantec Endpoint Protection et Symantec Network Access Control de 32 bits et 64 bits peuvent ncessiter jusqu' 500 Mo d'espace disque. Consultez le Guide d'Installation pour Symantec Endpoint Protection et Symantec Network Access Control pour plus d'informations sur les exigences en matire d'espace disque. Pour rpliquer les packages client et le contenu LiveUpdate
1 2
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, cliquez sur Partenaires de rplication.
Rplication des donnes Rplication des journaux
419
3 4 5
Dveloppez Partenaires de rplication et slectionnez le partenaire de rplication avec lequel vous voulez rpliquer les packages client. Sous Tches, cliquez sur Modifier les proprits du partenaire de rplication. Dans la bote de dialogue Proprits de partenaire de rplication, sous Partenaire, cliquez sur Rpliquer les packages client entre le site local et le site partenaire. Cliquez sur OK.
Rplication des journaux

Vous pouvez spcifier que vous voulez rpliquer ou reproduire des journaux ainsi que la base de donnes d'un partenaire de rplication. Vous pouvez spcifier la rplication des journaux lorsque vous ajoutez des partenaires de rplication ou en modifiant les proprits des partenaires de rplication. Si vous prvoyez de rpliquer des journaux, assurez-vous que vous avez suffisamment d'espace disque pour les journaux supplmentaires sur tous les ordinateurs des partenaires de rplication. Se reporter "Afficher les journaux d'autres sites" la page 298. Pour rpliquer des journaux entre les partenaires de rplication
1 2 3
Dans la console, cliquez sur Admin, puis sur Serveurs. Sous Afficher les serveurs, cliquez sur Partenaires de rplication. Dveloppez Partenaires de rplication et slectionnez le partenaire de rplication pour lequel vous voulez dmarrer la gnration des journaux de rplication. Dans la page Admin, sous Tches, cliquez sur Modifier les proprits du partenaire de rplication. Dans la bote de dialogue Proprits de partenaire de rplication, sous Partenaire, cliquez sur Rpliquer les journaux du site local vers ce site de partenaire ou Rpliquer les journaux de ce partenaire vers le site local Cliquez sur OK.
4 5
420
Rplication des donnes Rplication des journaux
Chapitre
24
Gestion de la protection contre les interventions


A propos de la protection contre les interventions Configuration de la protection contre les interventions
A propos de la protection contre les interventions

La protection contre les interventions assure une protection en temps rel des applications Symantec sur les serveurs et les clients. Il empche les processus non Symantec tels que les vers, les chevaux de Troie, les virus et les risques de scurit, d'affecter les processus Symantec. Vous pouvez configurer le logiciel pour bloquer ou consigner les tentatives de modification des processus Symantec. Remarque : Si vous utilisez des outils de dtection des risques de scurit issus de fournisseurs autres que Symantec et conus pour rechercher et liminer les spywares et logiciels publicitaires indsirables, ces outils ont gnralement un impact sur les processus Symantec. Si vous activez la protection contre les interventions alors qu'un tel type d'analyseur est utilis, la protection contre les interventions gnre un grand nombre de notifications et d'entres de journal. Une pratique d'excellence consiste laisser la protection contre les interventions toujours active. Utilisez le filtrage du journal si le nombre d'vnements gnrs est trop important. Lorsqu'un client est install en tant que client non gr, la protection contre les interventions adopte les valeurs suivantes par dfaut :
La protection contre les interventions est active.
422
Gestion de la protection contre les interventions Configuration de la protection contre les interventions
L'action entreprise par la protection contre les interventions lorsqu'une tentative d'intervention est dtecte consiste bloquer la tentative et de consigner l'vnement. La protection contre les interventions envoie un message par dfaut l'utilisateur lorsqu'une tentative d'intervention est dtecte.
Vous pouvez dsactiver les notifications de protection contre les interventions sur des ordinateurs client. Vous pouvez galement crer des exceptions pour les applications dtectes par la protection contre les interventions. Se reporter "Configuration de la protection contre les interventions" la page 422. Se reporter "Configurer une exception centralise pour la protection contre les interventions" la page 657. Se reporter "Ajout d'une exception centralise pour des vnements de protection contre les interventions" la page 661. Lorsqu'un client est install en tant que client gr, la protection contre les interventions adopte les valeurs suivantes par dfaut :

La protection contre les interventions est active. L'action entreprise par la protection contre les interventions lorsqu'une tentative d'intervention est dtecte consiste consigner l'vnement uniquement. La protection contre les interventions n'envoie aucun message l'utilisateur lorsqu'une tentative d'intervention est dtecte.
Remarque : Si vous activez des notifications quand Symantec Endpoint Protection dtecte une tentative d'intervention, des notifications concernant les processus de Windows sont envoyes aux ordinateurs affects ainsi que des notifications concernant les processus de Symantec. Se reporter "Configuration de la protection contre les interventions" la page 422.
Configuration de la protection contre les interventions

Vous pouvez activer et dsactiver la protection contre les interventions et configurer l'action entreprendre lorsqu'une tentative d'intervention est dtecte. Vous pouvez galement configurer la protection contre les interventions de manire ce que les utilisateurs soient informs lorsqu'une tentative d'intervention est dtecte.
423
Lorsque vous utilisez Symantec Endpoint Protection pour la premire fois, il est conseill d'utiliser l'action Consigner l'vnement uniquement tout en contrlant les journaux chaque semaine. Lorsque vous tes certain qu'aucun faux positif n'est prsent, dfinissez la protection contre les interventions sur Bloquer et consigner l'vnement. Se reporter "A propos de la protection contre les interventions" la page 421. Vous pouvez configurer un message de faon ce qu'il apparaisse sur les clients lorsque Symantec Endpoint Protection dtecte une tentative d'intervention. Par dfaut, les messages de notification apparaissent lorsque le logiciel dtecte une tentative d'intervention. Le message que vous crez peut contenir un mlange de texte et de variables. Les variables sont renseignes l'aide des valeurs qui identifient des caractristiques de l'attaque. Si vous utilisez une variable, vous devez la saisir exactement telle qu'elle apparat. Tableau 24-1 dcrit les variables disponibles pour configurer un message. Tableau 24-1 Variables et descriptions du message de protection contre les interventions Description
Action entreprise par la protection contre les interventions en rponse l'attaque. Numro d'identification du processus ayant attaqu une application Symantec. Nom du processus ayant attaqu une application Symantec. Nom de l'ordinateur attaqu. Date laquelle l'attaque s'est produite. Type de cible attaqu par le processus. Nom du fichier ayant attaqu les processus protgs. Zone du matriel ou des logiciels de l'ordinateur protge contre les interventions. Pour les messages de protection contre les interventions, il s'agit des applications Symantec. Chemin et nom complet du fichier ayant attaqu les processus protgs. Type de tentative d'intervention s'tant produit. Emplacement de la cible que le processus a attaqu.
Champ
[ActionEffectue]
[IDProcessusActeur]
[NomProcessusActeur] [Ordinateur] [DateTrouv] [TypeEntit] [Nomfichier] [Emplacement]
[CheminNomfichier]
[EvnementSystme] [NomCheminCible]
424
Champ
[IDProcessusCible]
Description
Identifiant de processus de la cible que le processus a attaque. Identifiant de la session de terminal au cours de laquelle l'vnement s'est produit. Nom de l'utilisateur connect lorsque l'attaque s'est produite.
[IDSessionTerminalCible]
[Utilisateur]
Pour activer ou dsactiver la protection contre les interventions
1 2 3
Dans la console, cliquez sur Clients. Dans l'onglet Politiques, sous Paramtres, cliquez sur Paramtres gnraux. Dans l'onglet Protection contre les interventions, cochez ou dslectionnez la case Protger les logiciels de scurit Symantec contre les interventions ou interruptions. Cliquez sur l'icne de verrouillage si vous souhaitez que les utilisateurs ne puissent pas modifier ce paramtre. Cliquez sur OK.
4 5
Pour configurer les paramtres de base de la protection contre les interventions
1 2 3
Dans la console, cliquez sur Clients. Dans l'onglet Policies (Politiques), sous Settings (Paramtres), cliquez sur General Settings (Paramtres gnraux). Dans l'onglet Protection contre les interventions, dans les zones de liste, slectionnez l'une des actions suivantes :
Pour bloquer et consigner l'activit non autorise, cliquez sur Bloquer et consigner l'vnement. Pour consigner l'activit non autorise sans interdire son excution, cliquez sur Consigner l'vnement uniquement.
4 5
Cliquez sur l'icne de verrouillage si vous souhaitez que les utilisateurs ne puissent pas modifier ce paramtre. Cliquez sur OK.
425
Pour activer et personnaliser des messages de notification de protection contre les interventions
1 2 3 4
Dans la console, cliquez sur Clients. Dans l'onglet Policies (Politiques), sous Settings (Paramtres), cliquez sur General Settings (Paramtres gnraux). Dans l'onglet Protection contre les interventions, cliquez sur le Afficher un message de notification si une modification est dtecte. Dans la zone de texte, vous pouvez saisir ou supprimer du texte afin de modifier le message par dfaut. Si vous utilisez une variable, vous devez la saisir exactement telle qu'elle apparat.
5 6
Cliquez sur l'icne de verrouillage si vous souhaitez que les utilisateurs ne puissent pas modifier ce paramtre. Cliquez sur OK.
426
Section
Configuration de la protection antivirus et antispyware
Chapitre 25. Paramtres de base de la politique antivirus et antispyware Chapitre 26. Configuration d'Auto-Protect Chapitre 27. Utilisation d'analyses dfinies par l'administrateur
428
Chapitre
25
Paramtres de base de la politique antivirus et antispyware


Bases de la protection antivirus et antispyware A propos de l'utilisation des politiques antivirus et antispyware A propos des virus et des risques de scurit A propos des analyses A propos des actions pour les virus et les risques de scurit dtects par les analyses sur des clients Windows A propos des actions pour les virus et les risques de scurit dtects par les analyses sur des clients Mac Dfinir des paramtres de gestion des journaux dans une politique antivirus et antispyware A propos de l'interaction client avec des options d'antivirus et de protection antispyware Modifier le mot de passe ncessaire pour analyser des lecteurs rseau mapps Configuration du Centre de scurit Windows pour qu'il fonctionne avec le client Symantec Endpoint Protection Afficher un avertissement lorsque les dfinitions sont primes ou manquantes
430
Paramtres de base de la politique antivirus et antispyware Bases de la protection antivirus et antispyware
Spcification d'une URL devant apparatre dans des notifications d'erreur d'antivirus et de protection antispyware Spcifier une URL pour une page d'accueil de navigateur Configuration des options qui s'appliquent aux analyses antivirus et antispyware Transmettre des informations sur des analyses Symantec Gestion des fichiers en quarantaine
Bases de la protection antivirus et antispyware

Vous pouvez apporter une protection antivirus et antispyware aux ordinateurs de votre rseau de scurit en procdant comme suit :
Crez un plan pour ragir face aux virus et aux risques de scurit. Se reporter "A propos de la cration d'un plan pour ragir face aux virus et aux risques de scurit" la page 430. Affichez le statut de votre rseau sur la page d'accueil dans la console. Se reporter "A propos de la page d'accueil de Symantec Endpoint Protection" la page 215. Excutez des commandes via la console pour activer Auto-Protect, lancez une analyse la demande ou mettez jour les dfinitions. Se reporter "Excution de commandes sur des clients partir de la console" la page 81. Se reporter "Excuter des analyses la demande" la page 508. Se reporter "Gestion du contenu pour les clients" la page 140. Utilisez les politiques antivirus et antispyware pour modifier Auto-Protect et les paramtres d'analyse sur les ordinateurs client. Se reporter "Configuration d'Auto-Protect pour le systme de fichiers pour des clients Windows" la page 481. Se reporter "Configurer des options avances d'analyse et de surveillance" la page 484.
A propos de la cration d'un plan pour ragir face aux virus et aux risques de scurit
Pour rpondre de manire rapide et efficace une propagation de virus et de risques de scurit, vous devez laborer une stratgie. Crez un plan pour faire
431
face aux pidmies de virus et dfinissez des actions permettant de traiter les fichiers suspects. Se reporter "Bases de la protection antivirus et antispyware" la page 430. Tableau 25-1 prsente les tches de cration d'un plan antivirus et de lutte contre la propagation des risques de scurit. Tableau 25-1 Tche
Vrifiez que les fichiers de dfinitions sont jour.
Un exemple de plan Description

Vrifiez que les ordinateurs infects comportent les derniers fichiers de dfinitions. Vous pouvez excuter des rapports pour vrifier que les ordinateurs client comportent les dernires dfinitions. Pour mettre jour les dfinitions, effectuez l'une des oprations suivantes : Appliquez une politique LiveUpdate. Se reporter "A propos des politiques LiveUpdate" la page 150. Excutez la commande Update Content pour un groupe ou les ordinateurs slectionns rpertoris dans l'onglet Clients. Excutez la commande Update Content sur les ordinateurs slectionns rpertoris dans le fichier journal d'tat ou des risques de l'ordinateur.
Mappez la topologie du rseau.
Prparez une carte de la topologie de votre rseau pour pouvoir systmatiquement isoler et nettoyer les ordinateurs par segment avant de les reconnecter au rseau local. Votre carte doit contenir les informations suivantes :

Noms et adresses des ordinateurs clients Protocoles rseau Ressources partages
432
Tche
Matrisez les solutions de scurit.
Description
Matrisez la topologie de votre rseau et votre mise en uvre du client dans votre rseau. Matrisez galement la mise en uvre de tous les autres produits de scurit utiliss sur votre rseau. Considrez les points suivants : Quels programmes de scurit protgent les serveurs et stations de travail en rseau ? Quelle est la planification de la mise jour des dfinitions ? Quelles autres mthodes de rcupration des mises jour sont disponibles si les canaux habituels sont attaqus ? Quels fichiers journaux sont disponibles pour effectuer le suivi des virus sur votre rseau ?
Disposez d'un plan de secours.
En cas d'infection catastrophique, il se peut que vous deviez restaurer les ordinateurs client. Assurez-vous que vous disposez d'un plan de secours pour restaurer les ordinateurs vitaux. Les menaces combines (par exemple, les vers) peuvent circuler via des ressources partages sans intervention de l'utilisateur. Pour ragir une infection par un ver informatique, il est essentiel d'isoler les ordinateurs infects en les dconnectant du rseau. Les rapports et journaux de la console de gestion reprsentent une mine d'informations quant aux risques auxquels votre rseau est expos. Vous pouvez utiliser l'encyclopdie de virus de Symantec Security Response pour en savoir plus sur un risque particulier que vous identifiez dans les rapports ou les fichiers journaux. Dans certains cas, vous pouvez trouver des instructions supplmentaires permettant de traiter le risque.
Isolez les ordinateurs infects.
Identifiez le risque.
433
Tche
Ragissez face aux risques inconnus.
Description
Il est souhaitable d'accder au site Web Symantec Security Response pour obtenir des informations jour, lorsque les situations suivantes sont vraies : Vous ne pouvez pas identifier un fichier suspect en examinant les fichiers journaux et les rapports. Les derniers fichiers de dfinitions de virus ne nettoient pas le fichier suspect.
Sur le site Web, il se peut que vous trouviez des informations rcentes sur le fichier suspect. Vrifiez les derniers conseils relatifs aux menaces virales et la scurit. http://www.symantec.com/fr/fr/security_response/
A propos de Symantec Security Response

Vous trouverez sur la page Web de Symantec Security Response des informations jour sur les virus et les risques de scurit. http://www.symantec.com/fr/fr/security_response/ http://www.symantec.com/fr/fr/enterprise/security_response/
A propos de l'affichage de l'tat d'antivirus et de protection antispyware de votre rseau

Vous pouvez rapidement afficher l'tat de votre rseau de scurit sur la page d'accueil de la console. Un rcapitulatif d'tat indique combien d'ordinateurs de votre rseau de scurit comportent un antivirus et une protection antispyware dsactivs. Un rcapitulatif d'action affiche les actions que le client a effectues au niveau des virus et des risques de scurit dtects. La page d'accueil inclut galement la distribution des dfinitions de virus travers le rseau. Se reporter "A propos de la page d'accueil de Symantec Endpoint Protection" la page 215. Vous pouvez galement excuter des rapports et afficher des fichiers journaux. Se reporter "Surveillance de la protection de terminal" la page 207.
434
A propos de l'excution de commandes pour la protection antivirus et antispyware

Vous pouvez rapidement excuter des commandes via la page Clients dans la console ou en utilisant les journaux d'tat d'ordinateur de la page Contrles. Se reporter "Excution de commandes sur des clients partir de la console" la page 81. Se reporter "Excuter des commandes et des actions partir des journaux" la page 304.
A propos de l'activation manuelle d'Auto-Protect

La politique antivirus et contre les logiciels espions par dfaut active Auto-Protect par dfaut. Si les utilisateurs sur des ordinateurs client dsactivent Auto-Protect, vous pouvez rapidement le ractiver via la console. Vous pouvez slectionner les ordinateurs pour lesquels vous voulez activer Auto-Protect via la console dans la page Clients. Vous pouvez galement activer Auto-Protect via un fichier journal que vous gnrez partir de la page Contrles. Se reporter "Activer Auto-Protect pour le systme de fichiers" la page 480.
A propos de l'excution d'analyses la demande

Vous pouvez inclure des analyses planifies en tant qu'lment des politiques antivirus et contre les logiciels espions. Cependant, il se peut que vous deviez excuter manuellement des analyses sur les ordinateurs client. Vous pouvez slectionner les ordinateurs pour lesquels vous souhaitez lancer des analyses la demande, partir de la console de la page Clients. Vous pouvez galement excuter une analyse la demande partir d'un fichier journal que vous gnrez via la page Contrles. Vous pouvez excuter une analyse rapide, complte ou personnalise. Si vous choisissez de lancer une analyse personnalise, le client applique les paramtres des analyses la demande que vous configurez dans la politique d'antivirus et d'antispyware. Se reporter "Excuter des analyses la demande" la page 508.
A propos des politiques antivirus et antispyware

Une politique antivirus et antispyware inclut les types suivants d'options :

Analyses Auto-Protect Analyses dfinies par l'administrateur (planifies et la demande)
435
Analyses proactives des menaces TruScan Options de quarantaine Options de transmission Paramtres divers
Quand vous installez Symantec Endpoint Protection, plusieurs politiques antivirus et antispyware apparaissent dans la liste des politiques de la console. Vous pouvez modifier l'une des politiques prconfigures ou vous pouvez crer de nouvelles politiques. Remarque : Les politiques antivirus et antispyware incluent la configuration pour des analyses proactives des menaces TruScan. Se reporter "A propos des analyses" la page 442.
A propos des politiques antivirus et antispyware prconfigures

Les politiques antivirus et antispyware prconfigures suivantes sont disponibles :

Politique antivirus et antispyware Politique antivirus et antispyware Haute scurit Politique antivirus et antispyware Haute performance
La politique haute scurit est la plus rigoureuse de toutes les politiques antivirus et antispyware prconfigures. Vous devez garder l'esprit qu'elle peut affecter les performances d'autres applications. La politique hautes performances fournit de meilleures performances que la politique haute scurit, mais elle ne fournit pas les mmes dispositifs de protection. Pour dtecter les menaces, elle se fonde principalement sur Auto-Protect pour le systme de fichiers pour analyser les fichiers dont les extensions sont slectionnes. La politique antivirus et antispyware par dfaut contient les paramtres importants suivants :
Auto-Protect pour le systme de fichiers est charg au dmarrage de l'ordinateur et activ pour tous les fichiers. Le courrier lectronique Internet, Microsoft Outlook et Auto-Protect pour Lotus Notes sont activs pour tous les fichiers. L'analyse rseau de la protection automatique du systme de fichiers est active. Les analyses proactives des menaces TruScan sont actives et sont excutes toutes les heures.
436
ActiveScan ne s'excute pas automatiquement quand les nouvelles dfinitions arrivent. Une analyse planifie s'excute une fois par semaine, avec l'optimisation d'analyse dfinie sur Meilleures performances d'application.
La politique hautes performances contient les paramtres importants suivants :
Auto-Protect pour le systme de fichiers est charg quand Symantec Endpoint Protection dmarre et est activ pour les fichiers dont les extensions sont slectionnes. L'analyse rseau de la protection automatique du systme de fichiers est dsactive. Le courrier lectronique Internet, Microsoft Outlook et Auto-Protect pour Lotus Notes sont dsactivs. Les analyses proactives des menaces sont actives et s'excutent une fois toutes les six heures. ActiveScan n'est pas excut automatiquement lorsque de nouvelles dfinitions arrivent. Une analyse planifie s'excute une fois par mois, avec l'optimisation d'analyse dfinie sur Meilleures performances d'application.
La politique haute scurit contient les paramtres importants suivants :
Auto-Protect pour le systme de fichiers est charg au dmarrage de l'ordinateur et activ pour tous les fichiers. Internet Email, Microsoft Outlook et Lotus Notes Auto-Protect sont activs pour tous les fichiers. L'analyse rseau de la protection automatique du systme de fichiers est active. Les analyses proactives des menaces sont actives et s'excutent toutes les heures, ainsi qu' chaque dmarrage d'un nouveau processus. ActiveScan s'excute automatiquement quand de nouvelles dfinitions arrivent. Une analyse planifie s'excute une fois par semaine, avec l'optimisation d'analyse dfinie pour tre quilibre.
A propos du verrouillage de paramtres dans les politiques antivirus et antispyware

Vous pouvez verrouiller quelques paramtres dans une politique antivirus et antispyware. Quand vous verrouillez des paramtres, les utilisateurs ne peuvent pas modifier les paramtres sur les ordinateurs client qui utilisent la politique.
437
A propos des politiques antivirus et antispyware pour des clients hrits

Si votre environnement contient des multiples versions des clients hrits, votre politique antivirus et antispyware pourrait contenir les paramtres qui ne peuvent pas tre appliqus. Vous pourriez devoir configurer et grer des politiques antivirus et antispyware spares pour des clients hrits.
A propos des paramtres par dfaut de prise en charge des fichiers suspects
Grce la politique antivirus et antispyware par dfaut, le client de Symantec Endpoint Protection excute les actions suivantes lorsqu'il identifie un fichier susceptible d'tre infect par un virus :

Le client essaye de rparer le fichier. Si le fichier ne peut pas tre rpar l'aide de l'ensemble de dfinitions actuel, le client transfert le fichier infect dans la zone de quarantaine locale. En outre, le client cre une entre dans le journal des vnements de risque. Le client transmet les donnes au serveur de gestion. Vous pouvez afficher les donnes du journal partir de la console.
Vous pouvez effectuer les actions supplmentaires suivantes pour complter votre stratgie de gestion des virus :
Configurez la fonction de cration de rapports pour tre inform lorsque des virus sont dtects. Se reporter "A propos de l'utilisation de notifications" la page 312. Dfinissez les diffrentes actions de rparation en fonction du type de virus. Par exemple, vous pouvez configurer le client de faon ce qu'il rpare automatiquement les virus macro. Vous pouvez galement configurer une action diffrente pour les cas de figure o le client dtecte un fichier de programme et attribuer une action de sauvegarde pour les fichiers que le client ne peut pas rparer. Se reporter "Configuration des actions pour des dtections connues de virus et de risque de scurit sur les clients Windows" la page 466.
Configurez la zone de quarantaine locale de manire ce que les fichiers infects soient transfrs vers la quarantaine centralise. Vous pouvez configurer la quarantaine centralise de manire ce qu'elle tente une rparation. Lorsque la quarantaine centralise tente une rparation, elle utilise son propre ensemble de dfinitions de virus. Les dfinitions de la quarantaine centralise sont parfois plus appropries que celles de l'ordinateur local. Vous
438
Paramtres de base de la politique antivirus et antispyware A propos de l'utilisation des politiques antivirus et antispyware
pouvez galement configurer le transfert automatique d'chantillons de fichiers infects Symantec Security Response des fins d'analyse. Pour plus d'informations, consultez le Guide de mise en oeuvre de Symantec Central Quarantine.
A propos de l'utilisation de politiques pour grer des lments dans la zone de quarantaine
Quand le client dtecte un virus connu, il place le fichier dans la zone de quarantaine locale de l'ordinateur client. Le client peut galement mettre en quarantaine les lments que les analyses proactives des menaces dtectent. Vous configurez les paramtres de quarantaine dans le cadre d'une politique antivirus et antispyware que vous appliquez aux clients. Vous pouvez dfinir les lments suivants :

Un chemin de rpertoire de quarantaine local Si les clients soumettent manuellement ou non Symantec Security Response les lments mis en quarantaine Si les clients soumettent automatiquement ou non un serveur de quarantaine centralis les lments mis en quarantaine La manire dont la zone de quarantaine locale traite la correction quand de nouvelles dfinitions de virus sont reues
Se reporter "Gestion des fichiers en quarantaine" la page 474. Vous pouvez galement supprimer des lments mis en quarantaine sur vos ordinateurs client du journal des risques de la console. Se reporter "Surveillance de la protection de terminal" la page 207.
A propos de l'utilisation des politiques antivirus et antispyware

Vous crez et modifiez des politiques antivirus et antispyware de la mme manire que vous crez et modifiez d'autres types de politiques. Vous pouvez attribuer, retirer, remplacer, copier, exporter, importer ou supprimer une politique antivirus et antispyware. Vous attribuez gnralement une politique plusieurs groupes de votre rseau de scurit. Vous pouvez crer une politique non partage un emplacement spcifique si un emplacement particulier ncessite des conditions spcifiques.
Paramtres de base de la politique antivirus et antispyware A propos des virus et des risques de scurit
439
Les procdures de ce chapitre supposent que vous matrisez les bases de la configuration des politiques. Se reporter "Utilisation de politiques pour grer la scurit du rseau" la page 96.
A propos des virus et des risques de scurit

Une politique antivirus et antispyware analyse la fois la prsence de virus et de risques de scurit ; les exemples de risques de scurit sont des spywares, des logiciels publicitaires et d'autres fichiers qui peuvent mettre un ordinateur ou un rseau en danger. Les analyses antivirus et antispyware dtectent les rootkits de niveau noyau. Les rootkits sont les programmes qui essayent de se masquer vis--vis du systme d'exploitation d'un ordinateur et peuvent tre utiliss des fins malveillantes. La politique antivirus et antispyware par dfaut effectue les actions suivantes :
Dtection, limination et rparation des effets secondaires des virus, des vers, des chevaux de Troie et des menaces combines. Dtection, limination et rparation des effets secondaires des risques de scurit tels que les logiciels publicitaires, les composeurs, les outils de piratage, les blagues, les programmes d'accs distance, les spywares, les outils de suivi et autres.
Se reporter "Bases de la protection antivirus et antispyware" la page 430. Tableau 25-2 dcrit les types de risques que le logiciel client analyse. Tableau 25-2 Risque
Virus
Virus et risques de scurit Description

Programmes ou code qui ajoutent une copie d'eux-mmes un autre programme ou document, au moment de leur excution. Quand le programme infect s'excute, le programme de virus joint s'active et s'ajoute d'autres programmes et documents. Quand un utilisateur ouvre un document qui contient un virus macro, le programme de virus joint s'active et s'ajoute d'autres programmes et documents. La plupart des virus produisent un effet, comme l'affichage d'un message, une date particulire. Quelques virus endommagent spcifiquement des donnes. Ces virus peuvent corrompre des programmes, supprimer des fichiers ou reformater des disques.
440
Risque
Robots Web malveillants
Description
Programmes qui excutent des tches automatises sur Internet des fins malveillantes. Des robots Web peuvent tre utiliss pour automatiser des attaques sur des ordinateurs ou pour collecter des informations de sites Web.
Vers
Programmes qui se reproduisent sans infecter d'autres programmes. Certains vers se rpandent en se copiant de disque en disque, tandis que d'autres se reproduisent uniquement dans la mmoire afin de ralentir les ordinateurs. Programmes malveillants qui se masquent dans quelque chose d'inoffensif, comme un jeu ou un utilitaire. Menaces qui combinent les caractristiques des virus, des vers, des chevaux de Troie et des codes malveillants avec les vulnrabilits de serveur et d'Internet pour lancer, transmettre et propager une attaque. Les menaces combines utilisent plusieurs mthodes et techniques pour se propager rapidement et causent des dommages tendus travers un rseau. Programmes autonomes ou ajouts qui collectent, de faon clandestine, des informations personnelles via Internet et relayent ces informations vers un autre ordinateur. Ces logiciels peuvent surveiller vos habitudes de navigation dans un but publicitaire. Ils peuvent galement diffuser des contenus publicitaires. Vous tes susceptible de tlcharger inconsciemment des logiciels publicitaires partir de sites Web (gnralement sous la forme de partagiciel ou graticiel), de courriers lectroniques ou de programmes de messagerie instantane. Parfois, un utilisateur tlcharge son insu un logiciel publicitaire en acceptant le Contrat de licence Utilisateur d'un programme.
Chevaux de Troie
Menaces combines
Logiciel de publicit
Composeurs
Programmes qui utilisent un ordinateur, sans permission de l'utilisateur ou son insu, pour composer par Internet un numro 900 ou accder un site FTP. Habituellement, ces numros sont composs pour engendrer des frais.
441
Risque
Outils de piratage
Description
Programmes utiliss par un pirate pour obtenir un accs non autoris l'ordinateur d'un utilisateur. Une exemple est un programme d'enregistrement automatique des frappes qui piste et enregistre chaque frappe au clavier et envoie ces informations au pirate. Le pirate peut ensuite effectuer des analyses de port ou de vulnrabilit. Les outils de piratage peuvent galement servir crer des virus. Programmes qui altrent ou interrompent le fonctionnement d'un ordinateur d'une manire qui se veut amusante ou effrayante. Par exemple, un programme tlcharg depuis un site Web, dans un courrier lectronique ou dans un programme de messagerie instantane. Il peut, par exemple, dplacer la Corbeille loin de la souris lorsque l'utilisateur tente de le supprimer ou inverser les boutons de la souris. Tous les autres risques de scurit qui ne se conforment pas aux dfinitions strictes des virus, des chevaux de Troie, des vers ou d'autres catgories de risque de scurit. Programmes permettant un accs par Internet partir d'un autre ordinateur afin d'obtenir des informations ou d'attaquer voire d'altrer votre ordinateur. Un utilisateur ou un autre processus peut, par exemple, installer un programme sans que l'utilisateur le sache. Le programme peut tre utilis des fins malveillantes avec ou sans modification du programme d'accs distance d'origine. Programmes autonomes pouvant surveiller secrtement les activits du systme et dtecter des informations comme les mots de passe et autres informations confidentielles et retransmettre ces informations un autre ordinateur. Vous tes susceptible de tlcharger inconsciemment des spywares partir de sites Web (gnralement sous la forme de partagiciel ou graticiel), de courriers lectroniques ou de programmes de messagerie instantane. Parfois, un utilisateur tlcharge son insu un spyware en acceptant le Contrat de licence Utilisateur d'un programme.
Programmes plaisanterie
Autres
Programmes d'accs distant
Spyware
442
Paramtres de base de la politique antivirus et antispyware A propos des analyses
Risque
Logiciel de pistage
Description
Applications autonomes ou ajoutes qui suivent l'itinraire d'un utilisateur sur Internet et envoient les informations au systme cible. Par exemple, l'application peut tre tlcharge depuis un site Web, dans un courrier lectronique ou dans un programme de messagerie instantane. Elle peut ensuite obtenir des informations confidentielles concernant le comportement de l'utilisateur.
Par dfaut, Auto-Protect analyse la prsence des virus, des chevaux de Troie, des vers et des risques de scurit quand il s'excute. Certains risques, tels que Back Orifice, taient dtects comme tant des virus dans les versions antrieures du logiciel client. Ils restent dtectes comme tant des virus afin que le logiciel client puisse continuer protger les anciens systmes.
A propos des analyses

Vous pouvez inclure les types suivants d'analyses dans une politique antivirus et antispyware :
Analyses antivirus et antispyware
Analyses Auto-Protect Se reporter "A propos des analyses Auto-Protect" la page 443. Analyses dfinies par l'administrateur Se reporter "A propos des analyses dfinies par l'administrateur" la page 448.
Analyses proactives des menaces TruScan Se reporter "A propos des analyses proactives des menaces TruScan" la page 450.
Par dfaut, toutes les analyses antivirus et antispyware dtectent des virus et des risques de scurit, tels que des logiciels publicitaires et des spywares ; les analyses mettent en quarantaine les virus et les risques de scurit, puis elles suppriment ou rparent leurs effets secondaires. Les analyses Auto-Protect et dfinies par l'administrateur dtectent les virus et les risques de scurit connus. Les analyses proactives des menaces dtectent les virus et les risques de scurit inconnus en analysant la possibilit d'un comportement malveillant.
443
Remarque : Dans certains cas, vous pouvez installer votre insu une application incluant un risque de scurit tel qu'un logiciel publicitaire ou un spyware. Si Symantec dtermine qu'il n'est pas nuisible pour un ordinateur de bloquer un risque de scurit, le logiciel client bloque celui-ci par dfaut. Pour viter de laisser l'ordinateur dans un tat instable, le logiciel client attend que l'installation de l'application soit termine avant de placer le risque en quarantaine. Il rpare ensuite les effets secondaires du risque.
A propos des analyses Auto-Protect

Les analyses Auto-Protect incluent les types suivants d'analyses :

Analyses Auto-Protect pour le systme de fichiers Analyses Auto-Protect des pices jointes pour Lotus Notes et Outlook (MAPI et Internet) Analyses Auto-Protect pour les messages Internet et les pices jointes de message utilisant les protocoles de communication POP3 ou SMTP ; les analyses Auto-Protect pour messagerie Internet inclut aussi l'analyse heuristique des messages sortants
Remarque : Pour des raisons de performance, Auto-Protect pour messagerie Internet pour POP3 n'est pas pris en charge sur les systmes d'exploitation serveur. Sur un serveur Microsoft Exchange, vous ne devrez pas installer Auto-Protect pour Microsoft Outlook. Auto-Protect analyse continuellement les fichiers et les donnes de message pour rechercher les virus et les risques de scurit ; les virus et les risques de scurit peuvent inclure des spywares et des logiciels publicitaires, car ils sont lus ou enregistrs sur un ordinateur. Vous pouvez configurer Auto-Protect pour analyser seulement des extensions de fichier choisies. Quand il analyse des extensions slectionnes, Auto-Protect peut galement dterminer le type d'un fichier mme si un virus modifie l'extension de fichier. Lorsque vous effectuez la configuration, vous pouvez verrouiller les options d'Auto-Protect sur les clients pour imposer une politique de scurit au niveau de l'entreprise afin d'assurer une protection contre les virus et les risques de scurit. Les utilisateurs ne peuvent pas modifier les options que vous verrouillez. Auto-Protect est activ par dfaut. Vous pouvez afficher l'tat d'Auto-Protect dans la console sous l'onglet Clients ou en gnrant les rapports et les journaux qui
444
affichent l'tat de l'ordinateur. Vous pouvez galement afficher l'tat d'Auto-Protect directement sur le client. Auto-Protect peut analyser les pices jointes de messagerie des applications suivantes :

Lotus Notes 4.5x, 4.6, 5.0 et 6.x Microsoft Outlook 98/2000/2002/2003/2007 (MAPI et Internet)
Si vous utilisez Microsoft Outlook sur MAPI ou le client Microsoft Exchange et que Auto-Protect est activ pour le courrier lectronique, les pices jointes sont immdiatement tlcharges sur l'ordinateur qui excute le client de messagerie. Les pices jointes sont analyses au moment de leurs ouvertures. Si vous tlchargez une pice jointe volumineuse sur une connexion lente, les performances de la messagerie sont affectes. Vous pouvez dsactiver cette fonction pour les utilisateurs qui reoivent souvent des pices jointes de grande taille. Remarque : Si Lotus Notes ou Microsoft Outlook est dj install sur l'ordinateur quand vous effectuez une installation de logiciel client, le logiciel client dtecte l'application de messagerie. Le client installe alors le type de courrier lectronique correct d'Auto-Protect. Les deux types sont installs si vous slectionnez une installation complte quand vous excutez une installation manuelle. Si votre programme de messagerie lectronique ne correspond aucun des formats de donnes pris en charge, vous pouvez protger votre rseau en activant Auto-Protect sur votre systme de fichiers. Si un utilisateur reoit un message avec une pice jointe infecte sur un systme de messagerie de Novell GroupWise, Auto-Protect peut dtecter le virus quand l'utilisateur ouvre la pice jointe. En effet, la plupart des programmes de messagerie lectronique (comme GroupWise) enregistrent les pices jointes dans un rpertoire temporaire lorsque les utilisateurs les lancent depuis le client de messagerie. Si vous activez Auto-Protect sur votre systme de fichiers, Auto-Protect dtecte le virus quand il est enregistr dans le rpertoire temporaire. Auto-Protect dtecte galement le virus si l'utilisateur essaye d'enregistrer la pice jointe infecte sur un lecteur local ou lecteur rseau local. Se reporter "A propos de la configuration d'Auto-Protect" la page 479. Se reporter "A propos de la dtection d'Auto-Protect des processus qui tlchargent continuellement le mme risque de scurit" la page 445. Se reporter "A propos de l'exclusion automatique des fichiers et des dossiers" la page 445.
445
Se reporter "Si les applications de messagerie client utilisent une bote de rception unique" la page 447.
A propos de la dtection d'Auto-Protect des processus qui tlchargent continuellement le mme risque de scurit
Si Auto-Protect dtecte un processus qui tlcharge continuellement un risque de scurit vers un ordinateur client, il peut afficher une notification et consigner la dtection. (Auto-Protect doit tre configur pour envoyer des notifications.) Si le processus continue tlcharger le mme risque de scurit, plusieurs notifications apparaissent sur l'ordinateur de l'utilisateur et Auto-Protect consigne ces vnements. Pour empcher que plusieurs notifications aient lieu et que plusieurs vnements soient consigns, Auto-Protect arrte automatiquement d'envoyer des notifications au sujet du risque de scurit au bout de trois dtections. Auto-Protect arrte galement de consigner l'vnement au bout de trois dtections. Dans certaines situations, Auto-Protect n'arrte pas d'envoyer des notifications et de consigner des vnements pour le risque de scurit. Auto-Protect continue envoyer des notifications et consigner des vnements quand l'un des cas suivants se produit :
Vous ou des utilisateurs sur des ordinateurs client dsactivez le blocage de l'installation des risques de scurit (par dfaut, il est activ). L'action pour le type de risque de scurit des tlchargements de processus est Ignorer.
A propos de l'exclusion automatique des fichiers et des dossiers

Le logiciel client dtecte automatiquement la prsence de certaines applications tierces et produits Symantec. Aprs les avoir dtects, il cre des exclusions pour ces fichiers et ces dossiers. Le client exclut ces fichiers et ces dossiers de toutes les analyses antivirus et antispyware. Le logiciel client cre automatiquement des exclusions pour les lments suivants :

Microsoft Exchange Contrleur de domaine Active Directory Certains produits Symantec
446
Remarque : Pour consulter les exclusions que le client cre sur les ordinateurs 32 bits, vous pouvez examiner le contenu du registre Windows HKEY_LOCAL_MACHINE\Software\Symantec\Symantec Endpoint Protection\AV\Exclusions. Vous ne devez pas modifier ce registre Windows directement. Sur les ordinateurs 64 bits, consultez HKEY_LOCAL_MACHINE\Software\Wow6432Node\Symantec\Symantec Endpoint Protection\AV\Exclusions. Le client n'exclut pas de l'analyse les dossiers systme temporaires car cela pourrait aboutir une vulnrabilit grave de l'ordinateur. Vous pouvez configurer des exclusions supplmentaires en utilisant des exceptions centralises. Se reporter "Configuration d'une politique d'exceptions centralises" la page 649.
A propos de l'exclusion automatique des fichiers et des dossiers pour Microsoft Exchange Server
Si des serveurs Microsoft Exchange sont installs sur l'ordinateur sur lequel vous avez install le client Symantec Endpoint Protection, le logiciel client dtecte automatiquement la prsence de Microsoft Exchange. Quand le logiciel client dtecte un serveur Microsoft Exchange, il cre les exclusions de fichiers et de dossiers appropries pour les analyses Auto-Protect pour le systme de fichiers et toutes les autres analyses. Les serveurs Microsoft Exchange peuvent inclure des serveurs en cluster. Le logiciel client vrifie la prsence de modifications dans l'emplacement des fichiers et dossiers Microsoft Exchange appropris intervalles rguliers. Si vous installez Microsoft Exchange sur un ordinateur o le logiciel client est dj install, les exclusions sont cres quand le client recherche des modifications. Le client exclut les fichiers et les dossiers ; si un fichier unique est dplac d'un dossier exclu, il demeure exclu. Le logiciel client cre des exclusions d'analyse de fichiers et de dossiers pour les versions suivantes de Microsoft Exchange Server :

Exchange 5.5 Exchange 6.0 Exchange 2000 Exchange 2003 Exchange 2007 Exchange 2007 SP1
Pour Exchange 2007, consultez votre documentation utilisateur pour plus d'informations sur la compatibilit avec les logiciels antivirus. Dans certaines
447
circonstances, vous pourriez devoir crer manuellement des exclusions d'analyse pour certains dossiers Exchange 2007. Dans un environnement de cluster, vous pouvez devoir crer des exclusions. Pour plus d'informations, consultez le document suivant dans la base de donnes de Symantec : Empcher Symantec Endpoint Protection 11.0 d'analyser la structure de rpertoire de Microsoft Exchange 2007
A propos de l'exclusion automatique des fichiers et des dossiers issus de produits Symantec
Le client cre des exclusions d'analyses de fichiers et dossiers appropries pour certains produits Symantec quand ils sont dtects. Le client cre des exclusions pour les produits Symantec suivants :

Symantec Mail Security 4.0, 4.5, 4.6, 5.0 et 6.0 pour Microsoft Exchange Symantec AntiVirus/Filtering 3.0 pour Microsoft Exchange Norton AntiVirus 2.x pour Microsoft Exchange Base de donnes intgre et journaux de Symantec Endpoint Protection Manager
A propos de l'exclusion automatique des fichiers et des dossiers Active Directory

Le logiciel client cre des exclusions de fichiers et de dossiers pour la base de donnes, les journaux et les fichiers en fonctionnement du contrleur de domaine Active Directory. Le client contrle les applications qui sont installes sur l'ordinateur client. Si le logiciel dtecte Active Directory sur l'ordinateur client, le logiciel cre automatiquement les exclusions.
Si les applications de messagerie client utilisent une bote de rception unique

Les applications qui stockent tout le courrier lectronique dans un fichier unique comprennent Outlook Express, Eudora, Mozilla et Netscape. Si vos ordinateurs client utilisent une application de messagerie qui utilise une bote de rception unique, crez une exception centralise pour exclure le fichier de bote de rception. L'exception s'applique toutes les analyses antivirus et antispyware aussi bien qu' Auto-Protect. Le client Symantec Endpoint Protection met en quarantaine la bote de rception entire et les utilisateurs ne peuvent pas accder leur courrier lectronique si les cas suivants se produisent :
Le client dtecte un virus dans le fichier de bote de rception pendant une analyse la demande ou une analyse planifie.
448
L'action configure pour le virus est Quarantaine.
Symantec ne recommande gnralement pas d'exclure des fichiers des analyses. Quand vous excluez le fichier de bote de rception des analyses, la bote de rception ne peut pas tre mise en quarantaine ; cependant, si le client dtecte un virus quand un utilisateur ouvre un message, il peut sans risque mettre en quarantaine ou supprimer le message.
A propos des analyses dfinies par l'administrateur

Les analyses dfinies par l'administrateur sont les analyses antivirus et antispyware qui dtectent les virus et les risques de scurit connus. Pour la protection la plus complte, vous devez planifier des analyses occasionnelles pour vos ordinateurs client. A la diffrence d'Auto-Protect, qui analyse les fichiers et le courrier lectronique pendant qu'ils sont lus vers et partir de l'ordinateur, les analyses dfinies par l'administrateur dtectent les virus et les risques de scurit. Les analyses dfinies par l'administrateur dtectent les virus et les risques de scurit en examinant tous les fichiers et processus (ou un sous-ensemble de fichiers et de processus). Les analyses dfinies par l'administrateur peuvent galement analyser la mmoire et les points de chargement. Vous configurez des analyses dfinies par l'administrateur en tant qu'lment d'une politique antivirus et antispyware. Les analyses dfinies par l'administrateur comprennent les types suivants d'analyses :
Analyses planifies Se reporter "A propos des analyses planifies" la page 448. Analyses sur demande Se reporter "A propos des analyses la demande" la page 449.
En gnral, il est conseill de crer une analyse planifie complte excution hebdomadaire et une analyse Active Scan excution quotidienne. Par dfaut, le client Symantec Endpoint Protection gnre une analyse active "Active Scan" pour s'excuter au dmarrage sur les ordinateurs client.
A propos des analyses planifies

Vous pouvez planifier des analyses pour qu'elles s'excutent des moments donns. Les utilisateurs peuvent galement planifier des analyses pour leurs ordinateurs partir des ordinateurs client, mais ils ne peuvent pas modifier ou dsactiver les analyses que vous programmez pour leurs ordinateurs. Le logiciel client excute une analyse planifie la fois. Si plusieurs analyses sont planifies pour le mme moment, elles sont excutes l'une aprs l'autre.
449
Certains paramtres des analyses planifies sont similaires ceux des analyses Auto-Protect, mais chaque type d'analyse est configur sparment. Les exceptions centralises que vous configurez s'appliquent tous les types d'analyses antivirus et antispyware. Si un ordinateur est hors tension lors d'une analyse planifie, l'analyse n'est pas excute, sauf si l'ordinateur est configur pour excuter les analyses manques. Les analyses planifies recherchent les virus et les risques de scurit (comme les logiciels publicitaires et spywares). Se reporter "Configurer une analyse planifie pour des clients Windows" la page 502. Se reporter "Dfinir des options avances pour des analyses dfinies par l'administrateur" la page 511. Tableau 25-3 dcrit les types d'analyses planifies. Tableau 25-3 Type
Active Scan
Types d'analyses planifies Description

Analyse rapidement la mmoire systme et tous les emplacements de l'ordinateur contenant classiquement des virus et des risques de scurit. L'analyse inclut tous les processus excuts en mmoire, les fichiers de registre de Windows importants et des fichiers, tels que config.sys et windows.ini, ainsi que certains dossiers systme importants. Recherche les virus et les risques de scurit dans l'intgralit de l'ordinateur, y compris dans le secteur de dmarrage et la mmoire systme. Recherche les virus et les risques de scurit dans les fichiers et dossiers slectionns.
Analyse complte
Analyse personnalise
A propos des analyses la demande

Vous pouvez excuter une analyse la demande de la console pour examiner les fichiers et les dossiers choisis sur les ordinateurs client slectionns. Les analyses la demande assurent des rsultats rapides pour l'analyse d'une zone du rseau ou d'un disque dur local. Vous pouvez excuter ces analyses de l'onglet Client de la console. Vous pouvez galement excuter ces analyses de l'onglet Contrles de la console. Se reporter "Excuter des analyses la demande" la page 508.
450
Se reporter "Excuter des commandes et des actions partir des journaux" la page 304. L'analyse la demande par dfaut analyse tous les fichiers et dossiers. Vous pouvez modifier les paramtres pour des analyses la demande dans une politique antivirus et antispyware. Dans la politique, vous pouvez spcifier les extensions de fichier et les dossiers que vous voulez analyser. Quand vous excutez une analyse la demande de la page Contrles, l'analyse s'excute sur le client selon les paramtres qui sont configurs dans la politique. Se reporter "Configurer une analyse sur demande pour des clients Windows" la page 505.
A propos des analyses proactives des menaces TruScan

Les analyses proactives des menaces TruScan utilisent des technologies heuristiques pour analyser les comportement similaires ceux des virus ou prsentant un risque pour la scurit. Contrairement aux analyses antivirus et antispyware, qui dtectent les virus et les risques de scurit connus, les analyses proactives des menaces dtectent les virus et les risques de scurit inconnus. Remarque : Parce qu'elle examine les processus actifs sur les ordinateurs client, l'analyse proactive des menaces peut affecter les performances du systme. Le logiciel client excute des analyses proactives des menaces par dfaut. Vous pouvez activer ou dsactiver l'analyse proactive des menaces dans une politique antivirus et antispyware. Les utilisateurs sur les ordinateurs client peuvent activer ou dsactiver ce type d'analyse si vous ne verrouillez pas le paramtre. Bien que vous incluiez des paramtres pour des analyses proactives des menaces dans une politique antivirus et antispyware, vous configurez les paramtres d'analyse diffremment des analyses antivirus et antispyware. Se reporter "A propos des analyses proactives des menaces TruScan" la page 582.
A propos de l'analyse aprs la mise jour des fichiers de dfinitions

Si Auto-Protect est activ, le logiciel client commence immdiatement effectuer l'analyse avec les fichiers de dfinitions mis jour. Quand les fichiers de dfinitions sont mis jour, le logiciel client essaye de rparer les fichiers stocks en quarantaine et analyse les processus actifs. Pour l'analyse proactive des menaces des dtections mises en quarantaine, les fichiers sont analyss pour savoir s'ils sont maintenant considrs comme un virus ou un risque de scurit. Le client analyse les lments mis en quarantaine
451
par des analyses proactives des menaces comme il analyse les lments mis en quarantaine par d'autres types d'analyses. Pour les dtections mises en quarantaine, le logiciel client procde la correction et limine les effets secondaires. Si la dtection proactive de menaces figure maintenant sur la liste blanche de Symantec, le logiciel client restaure et supprime la dtection de la quarantaine ; cependant, le processus n'est pas relanc.
A propos de l'analyse des extensions ou des dossiers slectionns

Pour chaque type d'analyse antivirus et antispyware et pour Auto-Protect, vous pouvez slectionner des fichiers inclure par extension. Pour les analyses dfinies par l'administrateur, vous pouvez galement slectionner des fichiers inclure par dossier. Par exemple, vous pouvez spcifier qu'une analyse planifie analyse seulement certaines extensions et qu'Auto-Protect analyse toutes les extensions. Quand vous slectionnez des extensions de fichier ou des dossiers analyser, vous pouvez slectionner plusieurs extensions ou les dossiers que vous voulez analyser. Les extensions ou les dossiers que vous ne slectionnez pas sont exclus de l'analyse. Dans la bote de dialogue Extensions de fichier, vous pouvez rapidement ajouter des extensions pour tous les programmes ou documents courants. Vous pouvez galement ajouter vos propres extensions. Quand vous ajoutez vos propre extensions, vous pouvez spcifier des extensions comportant jusqu' quatre caractres. Dans la bote de dialogue Modifier les dossiers, slectionnez des dossiers Windows plutt que des chemins de dossier absolus. Il se peut que les ordinateurs client sur votre rseau de scurit utilisent des chemins d'accs ces dossiers diffrents. Vous pouvez slectionner l'un des dossiers suivants :

COMMON_APPDATA COMMON_DESKTOPDIRECTORY COMMON_DOCUMENTS COMMON_PROGRAMS COMMON_STARTUP PROGRAM_FILES PROGRAM_FILES_COMMON SYSTEM WINDOWS
Quand vous analysez des extensions de fichier ou des dossiers slectionns, vous pouvez amliorer les performances de l'analyse. Par exemple, si vous copiez un
452
dossier volumineux ne figurant pas dans la liste des dossiers slectionns, le processus de copie est plus rapide car le contenu du dossier est exclu. Vous pouvez exclure des fichiers de l'analyse par type d'extension ou de rpertoire. Pour exclure des fichiers, dfinissez une politique d'exceptions centralise qui contient les exclusions. Quand vous spcifiez des exclusions dans une politique, les exclusions sont appliques chaque fois que des analyses antivirus et antispyware sont excutes sur des clients comportant cette politique. Se reporter "Configuration d'une politique d'exceptions centralises" la page 649. Quand vous analysez les extensions slectionnes, le logiciel client ne lit pas l'en-tte de fichier pour dterminer le type de fichier. Quand vous analysez les extensions slectionnes, le client analyse seulement les fichiers avec les extensions que vous spcifiez. Avertissement : Parce que le logiciel client exclut des fichiers et des dossiers des analyses, il ne protge pas les fichiers et les dossiers exclus contre les virus et les risques menaant la scurit. Tableau 25-4 dcrit les extensions qu'il est recommand d'analyser. Tableau 25-4 Extensions de fichier recommandes pour l'analyse Description
Le HTML a compil le fichier d'aide pour Microsoft Windows Gestionnaire Gestionnaire ; gestionnaire de compression audio Gestionnaire ; gestionnaire de compression/dcompression audio Fichier ADT ; tlcopie Fichier AX Fichier de traitement par lot Fichier de traitement par lot Binaire Classe Java Fichier de commande
Extension de fichier
CHM
386 ACM ACV
ADT AX BAT BTM BIN CLA CMD
453
COM CPL
Description
Fichier excutable Panneau de configuration d'applet pour Microsoft Windows Script Corel Script de shell UNIX Bibliothque de liaisons dynamiques (Dynamic Link Library) Microsoft Word Microsoft Word Pilote Fichier excutable Fichier d'aide Application HTML HTML HTML HTML Script d'installation Fichier d'initialisation Fichier graphique Fichier graphique JavaScript Encod JavaScript Ichitaro Microsoft Access Microsoft Project Microsoft Office 2000 Classeur Microsoft Office
CSC CSH DLL
DOC DOT DRV EXE HLP HTA HTM HTML HTT INF INI JPEG JPG JS JSE JTD MDB MP? MSO OBD
454
OBT OCX
Description
Classeur Microsoft Office Objet de Microsoft qui joint et inclut le contrle personnalis Recouvrement Format PDF d'Adobe Fichier d'informations de programme Code source de programme PERL (UNIX) Graphique bitmap Presentation Manager Microsoft PowerPoint Microsoft PowerPoint Microsoft PowerPoint Document RTF (Rich Text Format) Tlcopie, cran de veille, clich ou script pour Farview ou Microsoft Windows Script Shell (UNIX) Fichier d'arrire-plan Corel Show Fichier de travail Shell Lotus AmiPro Gestionnaire de priphrique BIOS VESA (fonctions de base) Script Visual Basic Microsoft Office Visio Microsoft Office Visio Microsoft Office Visio Gestionnaire de priphrique virtuel Fichier script Windows Fichier de paramtres hte de script Windows
OV? Pdf PIF PL PM POT PPT PPS RTF SCR
SH SHB SHS SMM SYS VBE VBS VSD VSS VST VXD WSF WSH
Paramtres de base de la politique antivirus et antispyware A propos des actions pour les virus et les risques de scurit dtects par les analyses sur des clients Windows
455
XL? XL? ACCD ? DOC DOT Pp ? Pp ?
Description
Microsoft Excel Microsoft Excel Microsoft Office Access Microsoft Office Word Microsoft Office Word Microsoft Office PowerPoint Microsoft Office PowerPoint
A propos de l'exclusion de fichiers et de dossiers spcifiques

La politique de scurit de votre entreprise peut autoriser certains risques de scurit sur vos ordinateurs. Vous pouvez configurer le client pour exclure ces risques de toutes les analyses antivirus et antispyware. Vous pouvez exclure des fichiers et des dossiers spcifiques d'Auto-Protect et des analyses dfinies par l'administrateur. Par exemple, vous pouvez exclure le chemin d'accs C:\Temp\Install ou les dossiers qui contiennent un risque de scurit autoris. Vous pouvez exclure les fichiers qui dclenchent des alertes faussement positives. Par exemple, si vous avez utilis un autre programme d'analyse de virus pour nettoyer un fichier infect, le programme peut ne pas compltement supprimer le code de virus. Le fichier peut tre inoffensif mais le code de virus dsactiv peut faire que le logiciel client enregistre un faux positif. Adressez-vous au support technique de Symantec si vous n'tes pas sr qu'un fichier est infect. Quand vous crez une exclusion, elle s'applique tous les types d'analyses antivirus et antispyware que vous excutez. Vous crez une exclusion en tant qu'lment d'une exception centralise. Se reporter "Configuration d'une politique d'exceptions centralises" la page 649.
A propos des actions pour les virus et les risques de scurit dtects par les analyses sur des clients Windows
De nombreuses options d'analyse semblables sont disponibles pour diffrents types d'analyse. Cependant, les actions que vous pouvez attribuer quand une
456
Paramtres de base de la politique antivirus et antispyware A propos des actions pour les virus et les risques de scurit dtects par les analyses sur des clients Windows
analyse trouve des virus et des risques de scurit sont diffrentes en fonction des systmes d'exploitation client. Pour des ordinateurs Windows, vous pouvez attribuer la premire et la deuxime action que le logiciel prend quand une analyse la demande, planifie ou d'Auto-Protect trouve des virus et des risques de scurit. Vous pouvez dfinir une premire et une seconde action particulires effectuer lorsque le client dcouvre les types suivants de risques :

Virus macro Virus non-macro Tous les risques de scurit (logiciels publicitaires, spywares, blagues, composeurs, outils de piratage, programmes d'accs distance, outils de suivi et autres) Catgories individuelles de risque de scurit, comme les spywares Actions personnalises pour un risque spcifique
Par dfaut, le client Symantec Endpoint Protection tente d'abord de nettoyer un fichier infect par un virus. Si le logiciel client ne peut pas nettoyer le fichier, il effectue les actions suivantes :

Place le fichier en quarantaine sur l'ordinateur infect Refuse l'accs au fichier Consigne l'vnement
Par dfaut, le client place tous les fichiers infects par des risques de scurit en quarantaine sur l'ordinateur infect. Le client tente galement de supprimer ou rparer les effets secondaires du risque. Par dfaut, la quarantaine contient un enregistrement de toutes les actions que le client a effectues. Vous pouvez remettre l'ordinateur client dans l'tat prcdant la tentative de suppression et de rparation par le client. Si un risque de scurit ne peut pas tre mis en quarantaine et rpar, la deuxime action est de consigner le risque. Pour des dtections d'analyse proactive des menaces TruScan, les actions dpendent de votre choix d'utiliser des paramtres par dfaut grs par Symantec ou de dfinir les actions vous-mme. Vous devez configurer les actions pour les analyses proactives des menaces dans une partie distincte de la politique antivirus et antispyware. Se reporter "Spcification des actions et des niveaux de sensibilit pour dtecter des chevaux de Troie, des vers et des enregistreurs de frappe" la page 594.
Paramtres de base de la politique antivirus et antispyware A propos des actions pour les virus et les risques de scurit dtects par les analyses sur des clients Mac
457
Se reporter "A propos des actions pour les virus et les risques de scurit dtects par les analyses sur des clients Mac" la page 457.
A propos des actions pour les virus et les risques de scurit dtects par les analyses sur des clients Mac
Pour les ordinateurs client Mac, vous pouvez choisir si le logiciel doit rparer tous les fichiers infects dtects par une analyse. Vous pouvez galement choisir si le logiciel doit mettre en quarantaine tous les fichiers infects qu'il ne peut pas rparer. Ces options sont disponibles pour des analyses planifies et des analyses Auto-Protect. Se reporter "A propos des actions pour les virus et les risques de scurit dtects par les analyses sur des clients Windows" la page 455.
Dfinir des paramtres de gestion des journaux dans une politique antivirus et antispyware
Vous pouvez inclure des paramtres de gestion des journaux dans la politique antivirus et antispyware. Par dfaut, les clients envoient toujours certains types d'vnements au serveur de gestion (tels que les vnements Arrt d'analyse ou Dmarrage d'analyse). Vous pouvez choisir d'envoyer ou de ne pas envoyer d'autres types d'vnements (tel que l'vnement Fichier non analys). Les vnements que les clients envoient au serveur de gestion affectent les informations des rapports et des journaux. Vous devez dterminer les types d'vnements transfrer au serveur de gestion. Vous pouvez rduire la taille des journaux et la quantit d'informations incluses dans les rapports, si vous slectionnez seulement certains types d'vnements. Vous pouvez galement configurer la dure de conservation des lments de journal par le client . L'option n'affecte aucun vnement que les clients envoient la console de gestion. Vous pouvez utiliser l'option pour rduire la taille relle du journal sur les ordinateurs client. Vous pouvez cliquer sur Aide pour obtenir plus d'informations sur les options utilises dans cette procdure.
458
Paramtres de base de la politique antivirus et antispyware A propos de l'interaction client avec des options d'antivirus et de protection antispyware
Pour dfinir des paramtres de gestion des journaux pour une politique antivirus et antispyware
1 2
A la page Politique antivirus et antispyware, sous Paramtres Windows, cliquez sur Divers. Sur l'onglet Gestion des journaux, sous Filtrage des vnements des journaux antivirus et antispyware, slectionnez les vnements transfrer au serveur de gestion. Sous Conservation du journal, slectionnez la frquence de suppression des lignes de journal par le client. Sous Regroupement des vnements des journaux, slectionnez la frquence d'envoi des vnements regroups au serveur. Lorsque vous avez termin la configuration de cette politique, cliquez sur OK.
3 4 5
A propos de l'interaction client avec des options d'antivirus et de protection antispyware

Vous pouvez configurer les paramtres spcifiques dans la politique qui contrlent l'interaction client. Vous pouvez afficher et personnaliser des messages d'avertissement sur les ordinateurs infects. Par exemple, si les utilisateurs ont un spyware sur leurs ordinateurs, vous pouvez les informer qu'ils ont viol votre politique d'entreprise. Vous pouvez inclure un message dans la notification indiquant que les utilisateurs doivent dsinstaller l'application immdiatement. Pour les clients Windows et Mac, vous pouvez afficher un avertissement lorsque les dfinitions sont primes ou manquantes. Pour les clients Windows, vous pouvez galement effectuer l'une des actions suivantes :

Configurer des options de progression d'analyse pour des analyses planifies. Dfinir des options d'analyse pour des clients. Modifier le mot de passe ncessaire pour analyser des lecteurs mapps. Spcifier la manire dont le Centre de scurit Windows interagit avec le client Symantec Endpoint Protection. Spcifier une URL inclure dans des notifications d'erreur d'antivirus et de protection antispyware.
Paramtres de base de la politique antivirus et antispyware Modifier le mot de passe ncessaire pour analyser des lecteurs rseau mapps
459
Spcifier une URL pour rediriger un navigateur Internet si un risque de scurit essaye de modifier l'URL.
Remarque : Vous pouvez galement verrouiller des paramtres de politique de sorte que les utilisateurs ne puissent pas modifier les paramtres.
Modifier le mot de passe ncessaire pour analyser des lecteurs rseau mapps
Symantec Endpoint Protection exige que les utilisateurs sur des ordinateurs client fournissent un mot de passe avant de pouvoir analyser un lecteur rseau mapp. Par dfaut, ce mot de passe est symantec. Remarque : Si les utilisateurs analysent des lecteurs rseau, l'analyse peut affecter la performance d'ordinateur client. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilises dans la procdure. Pour modifier le mot de passe ncessaire pour analyser des lecteurs mapps
1 2 3 4 5 6
A la page Politique antivirus et antispyware, sous Paramtres Windows, cliquez sur Divers. Dans l'onglet Divers, sous Analyser le lecteur rseau, cochez la case Exiger un mot de passe avant l'analyse des lecteurs rseau mapps. Cliquez sur Modifier le mot de passe. Dans la bote de dialogue de configuration de mot de passe, saisissez un nouveau mot de passe et confirmez-le. Cliquez sur OK. Lorsque vous avez termin la configuration de la politique, cliquez sur OK.
Configuration du Centre de scurit Windows pour qu'il fonctionne avec le client Symantec Endpoint Protection
Le Centre de scurit Windows fournit des alertes sur vos ordinateurs client si un logiciel de scurit n'est pas jour ou si des paramtres de scurit doivent tre
460
Paramtres de base de la politique antivirus et antispyware Configuration du Centre de scurit Windows pour qu'il fonctionne avec le client Symantec Endpoint Protection
renforcs. Il est inclus avec le Service Pack 2 de Windows XP, Windows Vista et Windows 7. Utilisez une politique antivirus et antispyware pour configurer certains paramtres de Centre de scurit Windows sur les ordinateurs client utilisant le Service Pack 2 de Windows XP. Remarque : Vous ne pouvez pas utiliser une politique antivirus et antispyware pour configurer le Centre de scurit Windows sur les ordinateurs client utilisant Windows Vista ou Windows 7. Tableau 25-5 Options de configuration de la manire dont le Centre de scurit Windows fonctionne avec le client Quand l'utiliser ?
Option
Dsactiver Windows Security Center
Description
Vous permet de dsactiver de manire Dsactiver le Centre de scurit Windows de permanente ou temporairement le Centre de manire permanente pour que vos scurit Windows sur vos ordinateurs client utilisateurs client ne reoivent pas les alertes de scurit qu'il envoie. Les utilisateurs client Options disponibles : peuvent toujours recevoir des alertes Jamais Le Centre de scurit Windows est Symantec Endpoint Protection. toujours activ sur l'ordinateur client. Dsactiver le Centre de scurit Windows de Une fois Le Centre de scurit Windows manire permanente pour que vos est dsactiv seulement une fois. Si un utilisateurs client ne reoivent pas les alertes utilisateur l'active, il n'est alors plus de scurit qu'il envoie. Vous pouvez dsactiv. configurer le Centre de scurit Windows Toujours Le Centre de scurit Windows pour afficher Symantec Endpoint Protection est dsactiv de manire permanente sur des alertes. l'ordinateur client. Si un utilisateur l'active, il est immdiatement dsactiv. Restaurer Le Centre de scurit Windows est activ si la politique antivirus et antispyware le dsactivait prcdemment. Vous permet de dfinir l'affichage des alertes d'antivirus Symantec Endpoint Protection du client dans la zone de notification de Windows. Activez ce paramtre pour que vos utilisateurs client reoivent Symantec Endpoint Protection des alertes ainsi que d'autres alertes de scurit dans la zone de notification de Windows de leurs ordinateurs.
Afficher les alertes antivirus dans le Centre de scurit Windows
Paramtres de base de la politique antivirus et antispyware Afficher un avertissement lorsque les dfinitions sont primes ou manquantes
461
Option
Afficher un message du Centre de scurit Windows lorsque les dfinitions sont primes
Description
Vous permet de dfinir le nombre de jours aprs lequel le Centre de scurit Windows considre que des dfinitions primes. Par dfaut, le Centre de scurit Windows envoie ce message aprs 30 jours.
Quand l'utiliser ?
Dfinissez cette option pour que le Centre de scurit Windows informe vos utilisateurs client au sujet des dfinitions primes plus souvent que la frquence par dfaut (30 jours).
Remarque : Sur les ordinateurs client, le

client Symantec Endpoint Protection vrifie toutes les 15 minutes la date de premption, la date des dfinitions et la date actuelle. Gnralement, aucun tat de premption n'est signal au Centre de scurit Windows, car les dfinitions sont habituellement mises jour automatiquement. Si vous mettez jour manuellement les dfinitions, vous devrez patienter 15 minutes avant que l'tat exact s'affiche dans le Centre de scurit Windows.
Configurer le Centre de scurit Windows pour fonctionner avec Symantec Endpoint Protection
1 2
A la page Politique antivirus et antispyware, sous Paramtres Windows, cliquez sur Divers. Sous Centre de scurit Windows, dfinissez les options que les politiques de scurit de votre entreprise requirent.
Remarque : L'tat du produit Symantec est toujours disponible dans la console de gestion, que le Centre de scurit Windows soit actif ou non.
Afficher un avertissement lorsque les dfinitions sont primes ou manquantes

Vous pouvez afficher des messages d'avertissement personnaliss sur les ordinateurs client lorsque leurs dfinitions de virus et de risques de scurit sont primes ou manquantes. Vous pouvez galement alerter les utilisateurs si vous n'avez pas planifi de mises jour automatiques.
462
Paramtres de base de la politique antivirus et antispyware Spcification d'une URL devant apparatre dans des notifications d'erreur d'antivirus et de protection antispyware
Pour afficher un avertissement concernant les dfinitions
1 2
A la page Politique antivirus et antispyware, sous Paramtres Windows, cliquez sur Divers. Dans l'onglet Notifications, sous Notifications, slectionnez l'une des options suivantes ou les deux :

Afficher un avertissement lorsque les dfinitions sont primes Afficher un avertissement lorsque Symantec Endpoint Protection s'excute sans dfinition de virus
Pour la premption des dfinitions de virus et de risques de scurit, dfinissez la dure (en jours) pendant laquelle les dfinitions peuvent tre primes avant affichage de l'avertissement. Pour les dfinitions de virus et de risques de scurit manquantes, dfinissez le nombre de tentatives de correction que Symantec Endpoint Protection doit observer avant affichage de l'avertissement. Cliquez sur Message d'avertissement pour chaque option que vous avez coche, puis personnalisez le message par dfaut. Dans la bote de dialogue de confirmation, cliquez sur OK. Si vous avez termin de configurer cette politique, cliquez sur OK.
5 6 7
Spcification d'une URL devant apparatre dans des notifications d'erreur d'antivirus et de protection antispyware
Dans de rares cas, les utilisateurs peuvent voir apparatre des erreurs sur des ordinateurs client. Par exemple, l'ordinateur client peut rencontrer des dpassements de tampon ou des problmes de dcompression pendant les analyses. Vous pouvez spcifier URL qui pointe vers le site du support technique de Symantec ou vers une URL personnalise. Par exemple, vous pouvez, la place, spcifier un site Web interne. Remarque : L'URL apparat galement dans le journal des vnements systme pour l'ordinateur client sur lequel l'erreur se produit.
Paramtres de base de la politique antivirus et antispyware Spcifier une URL pour une page d'accueil de navigateur
463
Pour spcifier une URL devant apparatre dans des notifications d'erreur d'antivirus et de protection antispyware
1 2 3
A la page de Politique antivirus et antispyware, sous Paramtres Windows, cliquez sur Divers. Dans l'onglet Notifications, slectionnez Afficher les messages d'erreur avec un lien vers une solution. Slectionnez l'une des options suivantes :
Afficher l'URL d'un article de la base de connaissances du support technique de Symantec. Afficher une URL personnalise
4 5 6
Cliquez sur Personnaliser le message d'erreur si vous voulez personnaliser le message. Entrez le texte personnalis que vous voulez inclure, puis cliquez sur OK. Si vous avec termin la configuration de cette politique, cliquez sur OK.
Spcifier une URL pour une page d'accueil de navigateur

Vous pouvez spcifier une URL utiliser comme page d'accueil quand le client Symantec Endpoint Protection rpare un risque de scurit qui a dtourn une page d'accueil de navigateur. Pour spcifier une URL pour une page d'accueil de navigateur
1 2 3
A la page Politique antivirus et antispyware, sous Paramtres Windows, cliquez sur Divers. Dans l'onglet Divers, sous Protection du navigateur Internet, tapez l'URL. Si vous avez fini de configurer cette politique, cliquez sur OK.
Configuration des options qui s'appliquent aux analyses antivirus et antispyware

Quelques options d'analyse sont communes toutes les analyses antivirus et antispyware. Les analyses antivirus et antispyware incluent la fois Auto-Protect et des analyses dfinies par l'administrateur. La politique inclut les options suivantes :
Configurer les analyses d'extensions de fichiers ou de dossiers slectionns.
464
Paramtres de base de la politique antivirus et antispyware Configuration des options qui s'appliquent aux analyses antivirus et antispyware
Configurer les exceptions centralises pour les risques de scurit. Configurer les actions pour les virus connus et les dtections de risque de scurit. Grer les messages de notification sur les ordinateurs infects. Personnaliser et afficher les notifications sur les ordinateurs infects. Ajouter des avertissements dans les messages lectroniques infects. Avertir les expditeurs de messages infects Avertir les utilisateurs de messages infects.
Des informations au sujet des actions et des notifications pour les analyses proactives des menaces sont incluses dans une section spare. Se reporter "Configuration des notifications pour les analyses proactives des menaces TruScan" la page 596.
Configurer des analyses des extensions de fichier choisies

Le client Symantec Endpoint Protection peut effectuer des analyses plus rapides en les limitant aux fichiers portant des extensions spcifiques. Les analyses qui analysent seulement des extensions slectionne offrent moins de protection aux ordinateurs ; cependant, quand vous analysez seulement des extensions slectionnes vous pouvez slectionner les types de fichier que les virus attaquent typiquement. Quand vous analysez des extensions slectionnes, vous pouvez rendre les analyses plus efficaces et utiliser moins de ressources informatiques. Vous pouvez configurer les extensions analyser pour quilibrer les conditions suivantes :

La quantit de protection que votre rseau requiert Le laps de temps et les ressources requis pour assurer la protection
Par exemple, vous pouvez choisir de n'analyser que les fichiers portant certaines extensions, susceptibles d'tre infects par un virus ou un risque de scurit. Lorsque vous choisissez de n'analyser que certaines extensions, vous excluez automatiquement de l'analyse tous les fichiers qui portent d'autres extensions. Quand vous excluez des fichiers des analyses, vous diminuez la quantit de ressources informatiques requises pour excuter l'analyse. Avertissement : Quand vous slectionnez les extensions que vous voulez analyser, aucune autre extension n'est protge des virus et des risques de scurit.
465
Vous pouvez cliquer sur Aide pour obtenir des informations supplmentaires sur les options utilises dans la procdure. Pour inclure seulement des fichiers avec des extensions particulires pour Auto-Protect ou des analyses dfinies par l'administrateur
1 2 3
Dans l'onglet Dtails de l'analyse, sous Types de fichier, cliquez sur Analyser les extensions slectionnes uniquement. Cliquez sur Slectionner des extensions. Dans la bote de dialogue Extensions de fichier, vous pouvez effectuer les actions suivantes :

Ajoutez vos propres extensions en les saisissant et en cliquant sur Ajouter. Pour supprimer une extension, slectionnez-la et cliquez sur Supprimer. Pour ramener la liste sa valeur par dfaut, cliquez sur Utiliser dfaut. Cliquez sur Ajouter les programmes communs pour ajouter toutes les extensions de programme. Cliquez sur Ajouter les documents commun pour ajouter toutes les extensions de document.
Si vous avez termin avec la configuration pour cette politique, cliquez sur OK.
Configurer les analyses des dossiers slectionns

Vous pouvez configurer des dossiers slectionns analyser par certaines analyses dfinies par l'administrateur. Ces analyses dfinies par l'administrateur comprennent des analyses planifies personnalises et des analyses la demande. Vous ne pouvez pas configurer de dossiers slectionns pour Auto-Protect. Se reporter "A propos de l'analyse des extensions ou des dossiers slectionns" la page 451. Vous pouvez cliquer sur Aide pour obtenir plus d'informations sur les options utilises dans cette procdure. Pour configurer les analyses des dossiers slectionns
1 2
Sur la page Politique antivirus et antispyware, cliquez sur Analyses dfinies par l'administrateur. Sur l'onglet Analyses, effectuez l'une des oprations suivantes :

Cliquez sur Ajouter. Sous Analyses planifies, slectionnez une analyse existante, puis cliquez sur Modifier.
466
Sous Analyse sur demande de l'administrateur, cliquez sur Modifier.
Sur l'onglet Dtails de l'analyse, dans la liste droulante Type d'analyse, cliquez sur Analyse personnalise. Les analyses la demande sont prdfinies sur Analyse personnalise.
4 5
Sous Analyse, cliquez sur Modifier les dossiers. Dans la bote de dialogue Modifier les dossiers, cliquez sur Analyser les dossiers slectionns, puis, dans la liste des dossiers, slectionnez les dossiers que cette analyse analyse. Le champ Dossiers slectionns affiche tous vos choix.
6 7
Cliquez sur OK jusqu' ce que vous reveniez la page Analyses dfinies par l'administrateur. Lorsque vous avez termin la configuration de cette politique, cliquez sur OK.
A propos des exceptions de risques de scurit

Si vous voulez que des risques de scurit subsistent sur votre rseau, vous pouvez ignorer les risques de scurit quand ils sont dtects sur des ordinateurs client. Si un utilisateur a configur des actions personnalises pour un risque de scurit que vous avez dfini pour tre ignor, ces actions personnalises ne sont pas effectues. Remarque : Lorsque vous ajoutez un risque de scurit la liste des exclusions, le client Symantec Endpoint Protection ne consigne plus aucun vnement impliquant ce risque de scurit. Vous pouvez configurer le client pour consigner le risque mme si vous incluez le risque dans la liste des exceptions. Que le risque soit consign ou non, les utilisateurs ne sont notifis d'aucune manire quand le risque est prsent sur leurs ordinateurs. Vous pouvez utiliser une politique Exceptions centralises pour dfinir des exceptions. Se reporter "Configuration d'une politique d'exceptions centralises" la page 649.
Configuration des actions pour des dtections connues de virus et de risque de scurit sur les clients Windows
Les actions permettent de spcifier la rponse des clients lorsqu'une analyse antivirus et antispyware dtecte un virus connu ou un risque de scurit. Ces
467
actions s'appliquent aux analyses Auto-Protect et dfinies par l'administrateur. Vous configurez sparment les actions pour les analyses proactives des menaces. Se reporter "A propos des analyses proactives des menaces TruScan" la page 582. Les actions aident dfinir le mode de rponse du logiciel client lorsqu'il dtecte un virus connu ou un risque de scurit. Pour des ordinateurs de client Windows, vous pouvez attribuer une premire action et une deuxieme action au cas o la premire action n'est pas possible. Le client Symantec Endpoint Protection utilise ces actions quand il dcouvre un virus ou un risque de scurit tel qu'un logiciel publicitaire ou un spyware. Les types de virus et de risques de scurit sont rpertoris dans l'arborescence. Vous configurez les actions diffremment pour des ordinateurs client Mac. Se reporter "Configuration des actions pour des dtections connues de virus et de risque de scurit sur les clients Mac" la page 468. Pour plus d'informations sur les options utilises dans les procdures, cliquez sur Aide. Remarque : Pour les risques de scurit, soyez prudents lors de l'utilisation de l'action de suppression. Dans certains cas, la suppression d'un risque de scurit peut empcher les applications de fonctionner correctement.
Avertissement : Si vous configurez le logiciel client pour supprimer les fichiers affects par le risque de scurit, il ne peut pas restaurer les fichiers. Pour sauvegarder les fichiers affects par les risques de scurit, configurez le logiciel client pour les mettre en quarantaine. Pour configuration des actions pour des dtections connues de virus et de risque de scurit sur des clients Windows
Sur l'onglet Actions, sous Dtection, slectionnez un type de virus ou de risque de scurit. Par dfaut, chaque sous-catgorie de risque de scurit est automatiquement configure pour utiliser les actions dfinies pour la catgorie Risques de scurit entire.
Pour configurer une instance spcifique d'une catgorie de risques de scurit pour utiliser diffrentes actions, cochez Remplacer les actions configures pour les risques de scurit, puis dfinissez les actions pour cette catgorie uniquement.
468
Sous Oprations pour, slectionnez la premire et la deuxime mesure que le logiciel client prend lorsqu'il dtecte cette catgorie de virus ou de risque de scurit. Vous pouvez verrouiller des actions de sorte que les utilisateurs ne puissent pas modifier l'action sur les ordinateurs client qui utilisent cette politique. Pour les risques de scurit, utilisez l'action Supprimer avec prcaution. Dans certains cas, la suppression d'un risque de scurit peut empcher les applications de fonctionner correctement.
4 5
Rptez l'tape 3 pour chaque catgorie pour laquelle vous voulez dfinir des actions (virus et risques de scurit). Une fois que vous avez termin de configurer cette politique, cliquez sur OK.
Configuration des actions pour des dtections connues de virus et de risque de scurit sur les clients Mac
Les actions permettent de spcifier la rponse des clients lorsqu'une analyse d'antivirus et d'antispyware dtecte un virus ou un risque de scurit connu. Ces actions s'appliquent aux analyses Auto-Protect et dfinies par l'administrateur. Pour les ordinateurs client Mac, choisissez si vous voulez rparer les fichiers ou mettre en quarantaine les fichiers qui ne peuvent pas tre rpars. Vous configurez des actions diffremment pour les ordinateurs Windows. Se reporter "Configuration des actions pour des dtections connues de virus et de risque de scurit sur les clients Windows" la page 466. Pour configurer des actions pour des dtections connues de virus et de risque de scurit sur les clients Mac
Dans l'onglet de Paramtres communs, sous Actions, vrifiez l'une ou l'autre des options suivantes :

Rparer automatiquement les fichiers infects Mettre en quarantaine les fichiers ne pouvant pas tre rpars
Vous pouvez verrouiller des actions de sorte que les utilisateurs ne puissent pas modifier l'action sur les ordinateurs client qui utilisent cette politique.
Une fois que vous avez termin de configurer cette politique, cliquez sur OK.
A propos des messages de notification sur les ordinateurs infects

Vous pouvez activer un message de notification personnalis sur les ordinateurs infects quand une analyse dfinie par l'administrateur ou Auto-Protect trouve
469
un virus ou un risque de scurit. Ces notifications peuvent alerter les utilisateurs pour qu'ils passent en revue leur activit rcente sur l'ordinateur client. Par exemple, un utilisateur pourrait tlcharger une application ou afficher une page Web aboutissant une infection par un spyware. Vous pouvez galement afficher la bote de dialogue Rsultats de l'analyse sur l'ordinateur infect lorsqu'une analyse File System Auto-Protect trouve un virus ou un risque de scurit. Remarque : La langue du systme d'exploitation sur lequel vous excutez le client peut ne pas savoir interprter certains caractres des noms de virus. Si le systme d'exploitation ne peut pas interprter les caractres, ceux-ci s'affichent comme des points d'interrogation dans les notifications. Par exemple, certains noms de virus Unicode peuvent contenir des caractres deux octets. Sur les ordinateurs qui excutent le client sur un systme d'exploitation en anglais, des points d'interrogation s'affichent la place de ces caractres. Pour les analyses de messagerie Auto-Protect, vous pouvez galement configurer les options suivantes :

Insrer un avertissement dans le message lectronique Envoyer un message lectronique l'expditeur Envoyer le message lectronique d'autres destinataires.
Se reporter "Configurer des options de notification pour Auto-Protect" la page 492. Les notifications des rsultats d'analyse proactive des menaces sont configurs sparment. Se reporter "Configuration des notifications pour les analyses proactives des menaces TruScan" la page 596.
Personnaliser et afficher des notifications sur les ordinateurs infects

Vous pouvez concevoir un message personnalis qui doit s'afficher sur les postes infects lorsqu'un virus ou un risque de scurit est dtect. Vous pouvez taper directement dans la zone de message pour ajouter ou modifier le texte. Quand vous excutez une analyse distante, vous pouvez informer l'utilisateur d'un problme en affichant un message sur l'cran de l'ordinateur infect. Vous pouvez personnaliser le message d'avertissement en incluant des informations telles que le nom du risque, le nom du fichier infect et l'tat du risque. Un message d'avertissement pourrait ressembler l'exemple suivant :
470
Type d'analyse : Analyse planifie Evnement : Risque dtect NomRisqueScurit: Stoned-C Fichier : C:\Autoexec.bat Emplacement : C: Ordinateur : ACCTG-2 Utilisateur : JSmith Action effectue : Nettoy(s)
Tableau 25-6 dcrit les champs de variables disponibles pour les notifications. Tableau 25-6 Nom
Type d'analyse
Champs de message de notification Champ

ConsignPar
Description
Type d'analyse ( la demande, planifie, etc...) qui a dtect le virus ou le risque de scurit. Type d'vnement tel que "Risque dtect". Nom du virus ou du risque de scurit dtect. Chemin d'accs complet et nom du fichier infect par le virus ou le risque de scurit. Lecteur de l'ordinateur sur lequel le virus ou le risque de scurit a t dtect. Nom de l'ordinateur sur lequel le virus ou le risque de scurit a t dtect. Nom de l'utilisateur qui tait connect lorsque le virus ou le risque de scurit a t dtect. Action effectue en rponse la dtection du virus ou du risque de scurit. Il peut s'agir de l'action principale ou secondaire configure. Date laquelle le virus ou le risque de scurit a t dtect.
Evnement
Evnement
Risque de scurit NomRisqueScurit dtect Fichier CheminNomfichier
Emplacement
Emplacement
Ordinateur
Ordinateur
Utilisateur
Utilisateur
Action effectue
ActionEffectue
Date de dtection DateTrouv
Paramtres de base de la politique antivirus et antispyware Transmettre des informations sur des analyses Symantec
471
Pour afficher des messages de notification sur les ordinateurs infects
Sur la page Politique antivirus et antispyware, cliquez sur l'une des options suivantes :

Analyses dfinies par l'administrateur : Auto-Protect pour le systme de fichiers Auto-Protect pour le courrier lectronique Internet Auto-Protect pour Microsoft Outlook Auto-Protect pour Lotus Notes
2 3 4
Si vous avez slectionn Analyses dfinies par l'administrateur, sur l'onglet Analyses, cliquez sur Ajouter ou Modifier. Sur l'onglet Notifications, cochez la case Afficher un message de notification sur l'ordinateur infect et modifiez le corps du message de notification. Cliquez sur OK.
Transmettre des informations sur des analyses Symantec

Vous pouvez spcifier que des informations sur des dtections de l'analyse proactive des menaces et des informations sur Auto-Protect ou les dtections d'analyse sont automatiquement envoyes Symantec Security Response. Les informations transmises par les clients aident Symantec dterminer si une menace dtecte est relle. Si Symantec dtermine que la menace est relle, Symantec peut gnrer une signature pour traiter la menace. La signature est incluse dans une version mise jour des dfinitions. Pour les dtections proactives de menaces TruScan, Symantec peut mettre jour ses listes de processus autoriss ou rejets. Quand un client envoie des informations sur un processus, les informations incluent les lments suivants :

Le chemin d'accs l'excutable L'excutable Les informations d'tat interne Les informations sur le fichier et les points de registre de Windows qui se rapportent la menace La version de contenu utilise par l'analyse proactive des menaces
472
Aucune coordonne permettant d'identifier l'ordinateur client n'est envoye. Les informations sur les taux de dtection aident potentiellement Symantec affiner les mises jour de dfinitions de virus. Les taux de dtection indiquent les virus et les risques de scurit les plus dtects par des clients. Symantec Security Response peut supprimer les signatures qui ne sont pas dtectes et fournir une liste de dfinitions de virus segmente aux clients qui la demandent. Les listes segmentes amliorent les performances des analyses antivirus et antispyware. Quand une analyse proactive des menaces fait une dtection, le logiciel client vrifie si des informations sur le processus ont t dj envoyes. Si les informations ont t envoyes, le client n'envoie pas les informations de nouveau. Remarque : Quand les analyses proactives des menaces dtectent des lments sur la liste des applications commerciales, les informations sur ces dtections ne sont pas transfres Symantec Security Response. Si vous activez la transmission pour des processus, les lments qui sont mis en quarantaine par des analyses proactives des menaces sont mis jour. Quand les lments sont mis jour, la fentre Quarantaine indique que les chantillons ont t transmis Symantec Security Response. Le logiciel client n'informe pas des utilisateurs et la console de gestion ne donne pas une indication quand des dtections avec d'autres types d'actions sont transmises. D'autres types d'actions incluent la consignation ou l'arrt. Vous pouvez transmettre des chantillons de quarantaine Symantec. Se reporter "Transmettre des lments en quarantaine Symantec" la page 477.
A propos de la limitation des soumissions

Les clients peuvent soumettre ou ne pas soumettre des chantillons Symantec selon les informations suivantes :

La date du fichier de contrle des donnes de soumission Le pourcentage des ordinateurs autoriss envoyer des soumissions
Symantec publie son fichier SCD (Submission Control Data) et l'inclut en tant qu'lment d'un package LiveUpdate. Chaque produit Symantec comporte son propre fichier SCD. Le fichier contrle les paramtres suivants :

Le nombre de soumissions qu'un client peut soumettre en un jour La dure d'attente avant que le logiciel client relance des soumissions Le nombre de nouvelles tentatives des soumissions ayant chou
473
Quelle adresse IP du serveur Symantec Security Response reoit la soumission
Si le fichier SCD est prim, les clients arrtent d'envoyer des soumissions. Symantec considre le fichier SCD comme prim quand un ordinateur client n'a pas rcupr de contenu LiveUpdate depuis 7 jours. Si les clients arrtent la transmission des soumissions, le logiciel client ne collecte pas les informations de soumission et ne les envoie pas ultrieurement. Quand les clients recommencent transmettre les soumissions, ils n'envoient que les informations relatives aux vnements se produisant aprs le redmarrage de la transmission. Les administrateurs peuvent galement configurer le pourcentage d'ordinateurs autoriss soumettre des informations. Chaque ordinateur client dtermine s'il doit ou non soumettre des informations. L'ordinateur client slectionne de manire alatoire un nombre allant de 1 100. Si le nombre est infrieur ou gal au pourcentage dfini dans la politique de cet ordinateur, l'ordinateur soumet des informations. Si le nombre est suprieur au pourcentage configur, l'ordinateur ne soumet pas d'informations.
Configurer des options de soumission

Vous pouvez activer ou dsactiver les transmissions pour les clients Windows dans une politique antivirus et antispyware. Par dfaut, les soumissions sont actives. Pour obtenir plus d'informations sur les options utilises dans cette procdure, cliquez sur Aide. Pour spcifier si des informations sont envoyes ou non concernant les processus dtects par les analyses proactives des menaces TruScan
1 2
A la page Politique antivirus et antispyware, sous Paramtres Windows, cliquez sur Transmissions. Sous Analyses proactives des menaces TruScan, activez ou dsactivez la case Autoriser les ordinateurs clients transmettre les processus dtects par les analyses. Quand vous slectionnez ce paramtre, vous pouvez modifier le pourcentage d'ordinateurs client autoriss soumettre des informations sur des processus. Si vous avez activ les soumissions, utilisez la flche vers le haut ou vers le bas pour slectionner le pourcentage ou tapez la valeur dsire dans la zone de texte. Si vous avez termin de configurer cette politique, cliquez sur OK.
3 4
474
Paramtres de base de la politique antivirus et antispyware Gestion des fichiers en quarantaine
Pour indiquer si des informations sont envoyes ou non concernant Auto-Protect et les taux de dtection d'analyse manuelle
1 2
A la page Politique antivirus et antispyware, sous Paramtres Windows, cliquez sur Transmissions. Sous Taux de dtection, cochez ou dcochez Autoriser les ordinateurs client transmettre les taux de dtection de menaces. Quand vous slectionnez ce paramtre, vous pouvez modifier le pourcentage d'ordinateurs client autoriss soumettre des taux de dtection de menaces.
Une fois la dfinition de la politique termine, cliquez sur OK.
Gestion des fichiers en quarantaine

La gestion des fichiers en quarantaine inclut ce qui suit :

Spcifier un rpertoire de quarantaine local Transmettre des lments en quarantaine Symantec Configurer des actions effectuer la rception de nouvelles dfinitions de virus
A propos des paramtres de quarantaine

Utilisez la politique antivirus et contre les logiciels espions pour configurer les paramtres de quarantaine client. La gestion des paramtres de quarantaine reprsente un aspect important de votre stratgie antivirus.
Spcifier un rpertoire de quarantaine local

Si vous ne voulez pas utiliser le rpertoire de quarantaine par dfaut pour enregistrer des fichiers en quarantaine sur des ordinateurs client, vous pouvez spcifier un rpertoire local diffrent. Vous pouvez utiliser l'expansion de chemin d'accs en incluant le signe pourcentage quand vous tapez le chemin d'accs. Par exemple, vous pouvez taper %COMMON_APPDATA%. Les chemins relatifs ne sont pas autoriss. Le logiciel prend en charge les paramtres d'expansion suivants :
%COMMON_APPDATA% Il s'agit gnralement du chemin d'accs C:\ Documents and Settings\All Users\ Application Data
475
%PROGRAM_FILES%
Il s'agit gnralement du chemin d'accs C:\Program Files. Il s'agit gnralement du chemin d'accs C:\Program Files\Common. Il s'agit gnralement du chemin d'accs C:\ Documents and Settings\All Users\Start Menu\Programs Il s'agit gnralement du chemin d'accs C:\ Documents and Settings\All Users\Start Menu\Programs\Startup Il s'agit gnralement du chemin d'accs C:\ Documents and Settings\All Users\Desktop Il s'agit gnralement du chemin d'accs C:\ Documents and Settings\All Users\ Documents Il s'agit gnralement du chemin d'accs C:\ Windows\System32 Il s'agit gnralement du chemin d'accs C:\Windows.
%PROGRAM_FILES_COMMON%
%COMMON_PROGRAMS%
%COMMON_STARTUP%
%COMMON_DESKTOPDIRECTORY%
%COMMON_DOCUMENT%
%SYSTEM%
%WINDOWS%
Pour spcifier un rpertoire de quarantaine local
1 2 3
Dans la page Politique antivirus et antispyware, cliquez sur Quarantaine. Dans l'onglet Divers, sous Options de quarantaine locales, cliquez sur Spcifier le rpertoire de quarantaine. Dans la zone de texte, tapez le nom d'un rpertoire local sur les ordinateurs client. Vous pouvez utiliser l'expansion de chemin d'accs en incluant le signe pourcentage quand vous tapez le chemin d'accs. Par exemple, vous pouvez taper %COMMON_APPDATA%, mais des chemins relatifs ne sont pas permis. Lorsque vous avez termin la configuration de la politique, cliquez sur OK.
Configurer des options de nettoyage automatique

Quand le logiciel client dtecte un fichier suspect, il le place dans le dossier de quarantaine local de l'ordinateur infect. La fonction de nettoyage de la quarantaine supprime automatiquement les fichiers en quarantaine lorsqu'ils atteignent un ge donn. La fonction de nettoyage de la quarantaine supprime automatiquement les fichiers en quarantaine lorsque le rpertoire o ils se trouvent atteint une taille donne.
476
Vous pouvez configurer ces options dans la politique antivirus et antispyware. Vous pouvez individuellement configurer le nombre de jours pour conserver les fichiers rpars, de sauvegarde et en quarantaine. Vous pouvez galement dfinir la taille maximum de rpertoire qui est permise avant que des fichiers soient automatiquement supprims de l'ordinateur client. Vous pouvez utiliser l'un de ces paramtres ou utiliser les deux en mme temps. Si vous configurez les deux types de limites, les fichiers antrieurs la dure de conservation que vous avez dfinie sont purgs en premier. Si la taille du rpertoire dpasse toujours la limite de taille que vous dfinissez, alors les fichiers les plus anciens sont supprims un un. Les fichiers sont supprims jusqu' ce que la taille de rpertoire tombe au-dessous de la limite. Par dfaut, ces options ne sont pas actives. Pour configurer des options de nettoyage automatique
1 2 3 4
Sur la page Politique antivirus et antispyware, cliquez sur Quarantaine. Dans l'onglet Nettoyer, sous Fichiers rpars, cochez ou dcochez l'option Activer la suppression automatique des fichiers rpars. Dans la zone Supprimer aprs, tapez une valeur ou cliquez sur une flche pour slectionner la priode en jours. Cochez Supprimer les fichiers les plus anciens pour limiter la taille du dossier , puis tapez la taille maximale de rpertoire exprime en mgaoctets. Le paramtre par dfaut est 50 Mo. Sous Fichiers de sauvegarde, cochez ou dcochez l'option Activer la suppression automatique des fichiers de sauvegarde. Dans la zone Supprimer aprs, entrez une valeur ou cliquez sur une flche pour slectionner l'intervalle de temps en jours. Cochez Supprimer les fichiers les plus anciens pour limiter la taille du dossier , puis tapez la taille maximale de rpertoire exprime en mgaoctets. Le paramtre par dfaut est 50 Mo. Sous Fichiers en quarantaine, activez ou dsactivez l'option Activer la suppression automatique des fichiers mis en quarantaine dont la rparation n'a pu tre effectue. Dans la zone Supprimer aprs, tapez une valeur ou cliquez sur une flche pour slectionner la priode en jours. dossier , puis tapez la taille maximale de rpertoire exprime en mgaoctets. Le paramtre par dfaut est 50 Mo.
5 6 7
10 Cochez Supprimer les fichiers les plus anciens pour limiter la taille du
11 Lorsque vous avez termin la configuration de la politique, cliquez sur OK.
477
Transmettre des lments en quarantaine un serveur de quarantaine centralise

Vous pouvez activer des lments en quarantaine pour les transfrer de la quarantaine locale un serveur de quarantaine centralise. Configurez le client pour transfrer les lments si vous utilisez un serveur de quarantaine centralise dans votre rseau de scurit. Le serveur de quarantaine centralise peut transfrer les informations Symantec Security Response. Les informations transmises par les clients aident Symantec dterminer si une menace dtecte est relle. Remarque : Seuls les lments en quarantaine qui sont dtects par des analyses d'antivirus et de protection contre les logiciels espions peuvent tre envoys un serveur de quarantaine centralise. Des lments en quarantaine qui sont dtects par des analyses proactives des menaces ne peuvent pas tre envoys. Pour activer la transmission des lments en quarantaine un serveur de quarantaine
1 2
Dans la page Politique antivirus et antispyware, cliquez sur Transmissions. Sous Elments en quarantaine, slectionnez Permettre aux ordinateurs client de transmettre automatiquement les lments en quarantaine un serveur de quarantaine. Tapez le nom du serveur de quarantaine. Tapez le numro de port utiliser, puis slectionnez le nombre de secondes pour relancer une connexion. Lorsque vous avez termin de configurer les paramtres de la politique, cliquez sur OK.
3 4 5
Transmettre des lments en quarantaine Symantec

Vous pouvez configurer le logiciel client pour que les utilisateurs puissent transmettre Symantec Security Response leurs fichiers infects ou suspects, ainsi que les effets secondaires connexes, pour analyse. Quand les utilisateurs envoient des informations, Symantec peut affiner ses processus de dtection et de rparation. Les fichiers transmis Symantec Security Response deviennent la proprit de Symantec Corporation. Dans certains cas, ces fichiers peuvent tre partags avec la communaut des diteurs de solutions antivirus. Si Symantec partage des fichiers, Symantec utilise un chiffrement standard et peut rendre des donnes anonymes pour aider protger l'intgrit du contenu et la confidentialit.
478
Se reporter "Transmettre des informations sur des analyses Symantec" la page 471. Dans certains cas, Symantec pourrait rejeter un fichier. Par exemple, Symantec pourrait rejeter un fichier parce que le fichier ne semble pas tre infect. Vous pouvez activer la retransmission des fichiers si vous voulez que les utilisateurs puissent retransmettre des fichiers slectionns. Les utilisateurs peuvent retransmettre des fichiers une fois par jour. Pour activer la transmission des lments en quarantaine Symantec
1 2 3
A la page Politique antivirus et antispyware, sous Paramtres Windows, cliquez sur Transmissions. Sous Elments en quarantaine, cochez la case Permettre la transmission manuelle des lments en quarantaine Symantec Security Response. Lorsque vous avez termin la configuration de la politique, cliquez sur OK.
Configurer des actions effectuer la rception de nouvelles dfinitions de virus

Vous pouvez configurer les mesures que vous voulez prendre quand les nouvelles dfinitions arrivent sur des ordinateurs client. Par dfaut, le client analyse de nouveau les lments en quarantaine et rpare et restaure automatiquement les lments. Vous devriez normalement toujours utiliser ce paramtre. Pour configurer des actions pour les nouvelles dfinitions
1 2
Dans la page Politique antivirus et antispyware, cliquez sur Quarantaine. Dans l'onglet Gnral, sous A la rception de nouvelles dfinitions de virus, slectionnez l'une des options suivantes :
Automatiquement rparer et restaurer les fichiers mis en quarantaine en mode silencieux Rparer les fichiers mis en quarantaine en mode silencieux sans les restaurer Demander l'utilisateur Ne rien faire
Lorsque vous avez termin la configuration de la politique, cliquez sur OK.
Chapitre
26
Configuration d'Auto-Protect

A propos de la configuration d'Auto-Protect A propos de types d'Auto-Protect Activer Auto-Protect pour le systme de fichiers Configuration d'Auto-Protect pour le systme de fichiers pour des clients Windows Configuration d'Auto-Protect pour le systme de fichiers pour les clients Mac Configurer Auto-Protect pour messagerie Internet Configurer Auto-Protect pour messagerie Microsoft Outlook Configuration d'Auto-Protect pour messagerie Lotus Notes Configurer des options de notification pour Auto-Protect
A propos de la configuration d'Auto-Protect

Auto-Protect se configure dans le cadre d'une politique antivirus et contre les logiciels espions. Vous pouvez aussi activer Auto-Protect manuellement pour un groupe de clients ou des ordinateurs et des utilisateurs particuliers. Vous pouvez verrouiller ou dverrouiller de nombreuses options d'Auto-Protect dans une politique antivirus et contre les logiciels espions. Quand vous verrouillez une option, les utilisateurs des ordinateurs client ne peuvent pas modifier l'option. Par dfaut, les options sont dverrouilles.
480
Configuration d'Auto-Protect A propos de types d'Auto-Protect
Certaines options d'Auto-Protect sont semblables aux options d'autres analyses antivirus et de protection contre les logiciels espions. Se reporter "Configuration des options qui s'appliquent aux analyses antivirus et antispyware" la page 463.
A propos de types d'Auto-Protect

Auto-Protect protge le systme de fichiers et les pices jointes que les clients reoivent. Vous pouvez configurer les types suivants d'Auto-Protect :

Auto-Protect pour le systme de fichiers Auto-Protect pour la messagerie Internet Auto-Protect pour Microsoft Outlook Auto-Protect pour Lotus Notes
Par dfaut, tous les types d'Auto-Protect sont activs. Si vos ordinateurs client excutent d'autres produits de protection de messagerie, tels que Symantec Mail Security, il se peut que vous ne deviez pas activer Auto-Protect pour le courrier lectronique. Se reporter "A propos des analyses Auto-Protect" la page 443.
Activer Auto-Protect pour le systme de fichiers

Les paramtres d'Auto-Protect sont inclus dans la politique antivirus et antispyware que vous appliquez aux ordinateurs client. Par dfaut, Auto-Protect pour le systme de fichiers est activ. Vous pouvez verrouiller le paramtre de sorte que les utilisateurs sur les ordinateurs client ne puissent pas dsactiver Auto-Protect pour le systme de fichiers. Il se peut que vous deviez activer Auto-Protect via la console si vous autorisez les utilisateurs modifier le paramtre ou dsactivez Auto-Protect pour le systme de fichiers. Vous pouvez activer Auto-Protect pour le systme de fichiers via l'onglet Clients de la console. Vous pouvez galement activer manuellement Auto-Protect pour le systme de fichiers via les journaux d'tat d'ordinateur. Se reporter "Excuter des commandes et des actions partir des journaux" la page 304. Si vous voulez dsactiver Auto-Protect, vous devez dsactiver le paramtre dans la politique antivirus et antispyware applique au groupe.
Configuration d'Auto-Protect Configuration d'Auto-Protect pour le systme de fichiers pour des clients Windows
481
Pour activer Auto-Protect pour le systme de fichiers
Dans la console, cliquez sur Clients, puis, sous Afficher les clients, slectionnez le groupe qui inclut les ordinateurs pour lesquels vous voulez activer Auto-Protect. Dans le volet droit, slectionnez l'onglet Clients. Effectuez l'une des oprations suivantes :
2 3
Dans le volet gauche, sous Afficher les clients, cliquez avec le bouton droit de la souris sur le groupe pour lequel vous voulez activer Auto-Protect. Dans le volet droit, dans l'onglet Clients, slectionnez les ordinateurs et les utilisateurs pour lesquels vous voulez activer Auto-Protect, puis cliquez avec le bouton droit de la souris sur cette slection.
Cliquez sur une des commandes suivantes :

Excuter la commande sur le groupe > Activer Auto-Protect Excuter la commande sur les clients > Activer Auto-Protect
Dans le message qui apparat, cliquez sur OK. Si vous voulez activer ou dsactiver Auto-Protect pour le courrier lectronique, vous devez inclure le paramtre dans la politique antivirus et antispyware.
Configuration d'Auto-Protect pour le systme de fichiers pour des clients Windows

Quand vous configurez Auto-Protect pour le systme de fichiers en tant qu'lment d'une politique antivirus et antispyware, vous configurez les paramtres qui dfinissent comment Auto-Protect et ses fonctions associes se comportent. Vous spcifiez galement si vous voulez analyser les lecteurs de disquette, les lecteurs rseau ou les deux. Remarque : Configurez Auto-Protect pour le systme de fichiers pour les clients Mac sparment. Se reporter "Configuration d'Auto-Protect pour le systme de fichiers pour les clients Mac" la page 487.
482
Remarque : Quand vous configurez les options d'Auto-Protect, vous pouvez cliquer sur l'icne de verrou ct des paramtres d'Auto-Protect. Les utilisateurs avec les ordinateurs client qui utilisent cette politique ne peut pas modifier les paramtres verrouills. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilises dans les procdures. Pour configurer Auto-Protect pour le systme de fichiers
1 2 3
Dans la page de la politique antivirus et antispyware, sous Paramtres Windows, cliquez sur Auto-Protect pour le systme de fichiers. Dans l'onglet Dtails de l'analyse, activez ou dsactivez la case Activer Auto-Protect pour le systme de fichiers. Sous Analyse, sous Types de fichier, cliquez sur l'une des options suivantes :

Analyser tous les fichiers Analyser les extensions slectionnes uniquement
Se reporter "Configurer des analyses des extensions de fichier choisies" la page 464.
Sous Options supplmentaires, activez ou dsactivez la case Rechercher les risques de scurit et Bloquer l'installation du risque de scurit. Se reporter "A propos de l'analyse et et du blocage des risques de scurit Auto-Protect" la page 483.
5 6 7
Sous Paramtres rseau, activez ou dsactivez la case Rseau pour activer ou dsactiver les analyses Auto-Protect des fichiers rseau. Si vous avez activ la case Rseau, cliquez sur Paramtres rseau. Dans la bote de dialogue Paramtres rseau, effectuez l'une des oprations suivantes :
Permettez ou interdisez Auto-Protect de faire confiance aux fichiers des ordinateurs distants qui excutent Auto-Protect. Configurez les options de cache rseau pour les analyses d'Auto-Protect.
8 9
Cliquez sur OK. Sous les Paramtres des disquettes, activez ou dsactivez la case Rechercher les virus de secteur de dmarrage lors de l'accs la disquette.
483
10 Si vous avez coch Vrifier les disquettes pour des virus de secteur de
dmarrage une fois accd, dfinissez l'action que vous voulez entrprendre quand un virus de secteur de dmarrage est trouv. Vous pouvez le nettoyer de la zone de dmarrage ou le consigner et l'ignorer.
11 Dans l'onglet Actions, dfinissez les options.

Se reporter "Configuration des actions pour des dtections connues de virus et de risque de scurit sur les clients Windows" la page 466. Vous pouvez galement dfinir des options de rsolution pour activer Auto-Protect pour le systme de fichiers.
12 Dans l'onglet Notifications, dfinissez les options de notification.

Se reporter "Configurer des options de notification pour Auto-Protect" la page 492.
13 Dans l'onglet Avanc, dfinissez l'une des options suivantes :

Dmarrage et arrt Recharger les options
14 Sous Options supplmentaires, cliquez sur Cache de fichier ou sur Risk

Tracer.
15 Configurez le cache du fichier ou les paramtres Risk Tracer, puis cliquez sur
OK.
16 Si vous avec termin la configuration de cette politique, cliquez sur OK.
A propos de l'analyse et et du blocage des risques de scurit Auto-Protect

Par dfaut, Auto-Protect effectue les oprations suivantes :
Il recherche les risques de scurit tels que les logiciels publicitaires et les logiciels espions. Il met en quarantaine les fichiers infects. Il supprime ou rpare les effects secondaires des risques de scurit
Dans le cas o le blocage de l'installation d'un risque de scurit n'affecte pas la stabilit de l'ordinateur, Auto-Protect bloque galement l'installation par dfaut. Si Symantec dtermine que le blocage d'un risque de scurit peut compromettre la stabilit d'un ordinateur, alors Auto-Protect permet l'installation du risque. De plus, Auto-Protect effectue immdiatement l'opration configure pour le risque. De temps autre, il se peut nanmoins que vous deviez dsactiver temporairement l'analyse des risques de scurit dans Auto-Protect pour le systme de fichiers et
484
la ractiver ensuite. Il peut galement tre ncessaire de dsactiver le blocage des risques de scurit pour contrler le moment o Auto-Protect ragit certains risques de scurit. Remarque : La recherche des risques de scurit ne peut pas tre dsactive pour les autres types d'analyse. Vous pouvez toutefois configurer Symantec Endpoint Protection afin d'ignorer le risque de scurit et consigner la dtection. Vous pouvez galement exclure des risques spcifiques globalement de tous les types d'analyses en les ajoutant la liste d'exceptions centralises. Se reporter "A propos des politiques d'exceptions centralises" la page 645.
Configurer des options avances d'analyse et de surveillance

Vous pouvez configurer des options avances d'analyse et de surveillance pour des analyses Auto-Protect des fichiers et des processus. Les options permettent de dterminer le moment o les fichiers sont analyss et contiennent des paramtres d'analyse heuristiques. L'analyse heuristique en tant qu'lment d'Auto-Protect est diffrente de l'analyse proactive de menace. L'analyse heuristique en tant qu'lment d'Auto-Protect analyse des fichiers pour chercher un comportement malveillant, alors que l'analyse proactive de menace examine les processus actifs pour localiser des comportements malveillants. Se reporter "A propos des analyses proactives des menaces TruScan" la page 582. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilises dans les procdures. Pour configurer des options avances d'analyse et de surveillance
1 2 3 4
Sur la page Politique antivirus et antispyware, cliquez sur Fichier systme Auto-Protect. Dans l'onglet Dtails de l'analyse, sous Analyse, cliquez sur Analyse et suivi avancs. Sous Analyse des fichiers, spcifiez quelles activits dclenchent des analyses. Sous Paramtres de dtection de Bloodhound (TM), cochez ou supprimez la coche pour Activer la dtection de virus de Bloodhound (TM). Vous pouvez galement modifier le niveau de protection.
5 6
Cliquez sur OK. Si vous avez termin avec la configuration pour cette politique, cliquez sur OK.
485
A propos de Risk Tracer

Risk Tracer identifie la source des infections virales du rseau bases sur le partage sur vos ordinateurs client. Lorsque Auto-Protect dtecte une infection, il envoie des informations Rtvscan, le service principal de Symantec Endpoint Protection. RtvScan dtermine si l'infection a une origine locale ou distante. Si l'infection est issue d'un ordinateur distant, Rtvscan peut faire les actions suivantes :

Chercher et noter le nom NetBIOS de l'ordinateur et son adresse IP. Chercher et noter qui tait connect l'ordinateur lors de l'envoi. Afficher les informations dans la bote de dialogue Proprits d'un risque.
Par dfaut, RtvScan interroge les sessions rseau toutes les secondes, puis met ces informations en mmoire cache sous la forme d'une liste source secondaire d'ordinateurs distants. Ces informations maximisent la frquence avec laquelle Risk Tracer peut avec succs identifier l'ordinateur distant infect. Par exemple, un risque peut fermer le partage rseau avant que RtvScan ne puisse enregistrer la session rseau. Risk Tracer utilise alors la liste source secondaire pour tenter d'identifier l'ordinateur distant. Vous pouvez configurer ces informations dans la bote de dialogue Auto-Protect - Options avances. Les informations de Risk Tracer apparaissent dans la bote de dialogue Proprits d'un risque et sont uniquement disponibles pour les entres de risque provoques par des fichiers infects. Quand Risk Tracer dtermine que l'activit d'hte local a entran une infection, il liste la source comme hte local. Risk Tracer liste une source comme inconnue quand les conditions suivantes sont vraies :

Il ne peut pas identifier l'ordinateur distant. L'utilisateur authentifi pour un partage de fichiers se rfre plusieurs ordinateurs. Cette condition peut se produire si l'ID d'un utilisateur est associ plusieurs sessions rseau. Par exemple, plusieurs ordinateurs peuvent tre connects un serveur de partage de fichiers avec le mme ID de l'utilisateur de serveur.
Vous pouvez enregistrer la liste complte des ordinateurs distants multiples qui infectent actuellement l'ordinateur local. Dfinissez la valeur de chane HKEY_LOCAL_MACHINE\Software\Symantec\Symantec Endpoint Protection\ AV\ProductControl\Debug sur "THREATTRACER X" de l'ordinateur client local. La valeur de THREATTRACER active la sortie de dbogage et le X vrifie que seule la sortie de dbogage pour Risk Tracer apparat. Vous pouvez galement ajouter L pour diriger la consignation vers le fichier journal
486
<Dossier_Programme_SAV>\vpdebug.log. Pour garantir que la fentre de dbogage n'est pas affiche sur l'ordinateur, ajoutez XW. Vous pouvez tester cette fonctionnalit en utilisant le fichier de virus test Eicar.com (inoffensif), disponible l'adresse www.eicar.org Risk Tracer inclut galement une option pour bloquer les adresses IP des ordinateurs source. Pour que cette option entre en vigueur, vous devez dfinir l'option correspondante dans la politique de pare-feu pour activer ce type de blocage automatique. Se reporter "Configuration d'Auto-Protect pour le systme de fichiers pour des clients Windows" la page 481.
A propos du cache de fichier

Auto-Protect utilise un cache de fichier de sorte se souvenir des fichiers propres de la dernire analyse. Le cache de fichier persiste travers des dmarrages. Si l'ordinateur client s'arrte et redmarre, le systme de fichiers Auto-Protect se souvient des fichiers propres et ne les analyse pas. Le systme de fichiers Auto-Portect analyse nouveau les fichiers dans les situations suivantes :

L'ordinateur client tlcharge de nouvelles dfinitions. Auto-Protect dtecte que les fichiers pourraient avoir t modifis quand Auto-Protect ne s'excutait pas.
Vous pouvez dsactiver le cache de fichier si vous voulez toujours qu'Auto-Protect analyse tous les fichiers. Si vous dsactivez le cache de fichier, vous pourriez affecter les performances de vos ordinateurs client. Vous pouvez galement dfinir les paramtres suivants :
La taille de cache de fichier La taille du cache par dfaut est de 10 000 fichiers par volume. Vous pouvez modifier la taille d'antmmoire si vous voulez que le systme de fichiers Auto-Protect analyse nouveau plus ou moins de fichiers. Si Auto-Protect analyse ou non nouveau le cache lors du chargement de nouvelles dfinitions Vous pourriez vouloir dsactiver ce paramtre pour amliorer les performances du systme de fichiers Auto-Protect. Se reporter "Configuration d'Auto-Protect pour le systme de fichiers pour des clients Windows" la page 481.
Configuration d'Auto-Protect Configuration d'Auto-Protect pour le systme de fichiers pour les clients Mac
487
Configuration d'Auto-Protect pour le systme de fichiers pour les clients Mac

Configurez Auto-Protect pour le systme de fichiers en tant qu'lment d'une politique antivirus et antispyware. Configurez les paramtres qui dfinissent le comportement d'Auto-Protect et de ses fonctions associes. Pour des clients Mac, vous spcifiez ce qui suit : les fichiers et les dossiers analyser, et si vous voulez analyser les disques ou les priphriques installs.

Les actions prises par Auto-Protect quand il trouve un risque Les fichiers et les dossiers analyser ou exclure des analyses Analyse des disques ou des priphriques installs
Remarque : Configurez sparment Auto-Protect pour le systme de fichiers pour les clients Windows. Se reporter "Configuration d'Auto-Protect pour le systme de fichiers pour des clients Windows" la page 481. Cliquez sur Aide pour en savoir plus propos des options utilises dans les procdures. Pour configurer Auto-Protect pour le systme de fichiers pour des clients Mac
1 2
Dans la page de la politique antivirus et antispyware, sous Paramtres Mac, cliquez sur Auto-Protect pour le systme de fichiers. En haut de l'onglet de Dtails de l'analyse, cliquez sur l'icne de verrou pour verrouiller ou dverrouiller tous les paramtres d'Auto-Protect de systme de fichiers. Cochez ou dcochez l'une des options suivantes :

Activer Auto-Protect pour le systme de fichiers Rparer automatiquement les fichiers infects Mettre en quarantaine les fichiers ne pouvant pas tre rpars Analyser les fichiers compresss
488
Configuration d'Auto-Protect Configurer Auto-Protect pour messagerie Internet
Sous Dtails gnraux de l'analyse, spcifiez les fichiers analyss par Auto-Protect. Remarque : Pour exclure des fichiers de l'analyse, slectionnez Analyser tout sauf les dossiers spcifis, puis ajoutez une politique d'exceptions centralises pour spcifier les fichiers exclure. Se reporter "Configuration d'une exception centralise pour des fichiers ou dossiers sur des clients Mac" la page 654.
5 6
Sous Dtails de l'analyse des disques installs, cochez ou dcochez l'une des options disponibles. Pour plus d'informations, consultez l'aide. Dans l'onglet de Notifications, dfinissez l'une des options de notification, puis cliquez sur OK. Se reporter "Configurer des options de notification pour Auto-Protect" la page 492.
Configurer Auto-Protect pour messagerie Internet

Auto-Protect pour messagerie Internet protge les messages entrants et les messages sortants qui utilisent le protocole de communication de POP3 ou de SMTP au-dessus de Secure Sockets Layer (SSL). Quand Auto-Protect pour messagerie Internet est activ, le logiciel client analyse le texte de corps du courrier lectronique et toutes les pices jointes qui sont inclus. Vous pouvez permettre Auto-Protect de prendre en charge prendre en charge du courrier lectronique chiffr au-dessus des connexions de POP3 et de SMTP. Auto-Protect dtecte les connexions bloques et n'analyse pas les messages chiffrs. Mme si Auto-Protect pour messagerie Internet n'analyse pas les messages chiffrs, il continue protger des ordinateurs des virus et des risques de scurit dans les pices jointes. Auto-Protect pour le systme de fichiers analyse les pices jointes lorsque vous enregistrez les pices jointes sur le disque dur. Remarque : Auto-Protect pour messagerie Internet n'est pas pris en charge pour les ordinateurs 64 bits. Auto-Protect pour messagerie Internet ne prend pas non plus en charge l'analyse de messagerie POP3 sur les systmes d'exploitation serveur. Le client Symantec Endpoint Protection fournit galement une analyse heuristique du courrier lectronique sortant. L'analyser heuristique utilise la dtection de
Configuration d'Auto-Protect Configurer Auto-Protect pour messagerie Internet
489
virus Bloodhound pour identifier les risques qui peuvent tre contenus dans les messages sortants. Quand le client analyse les messages sortants, l'analyse aide empcher la propagation des risques. Ces risques incluent les vers qui peuvent utiliser des clients de messagerie pour se rpliquer et se distribuer travers un rseau. L'analyse de messagerie ne prend pas en charge les clients de messagerie suivants :

Clients IMAP Clients AOL Messagerie HTTP comme Hotmail et Yahoo! Mail
Pour plus d'informations sur les options utilises dans les procdures, cliquez sur Aide. Pour configurer Auto-Protect pour messagerie Internet
1 2 3
A la page Politique antivirus et antispyware, sous Paramtres Windows, cliquez sur Auto-Protect pour le courrier lectronique Internet. Dans l'onglet Dtails de l'analyse, cochez ou dcochez Activer Auto-Protect pour le courrier lectronique Internet. Sous Analyse, sous Types de fichier, cliquez sur l'une des options suivantes :

4 5 6
Cochez ou supprimez la coche Analyser les fichiers dans les fichiers compresss. Cliquez sur OK. Dans l'onglet Actions, dfinissez les options. Se reporter "Configuration des actions pour des dtections connues de virus et de risque de scurit sur les clients Windows" la page 466.
7 8
Cliquez sur OK. Dans l'onglet Notifications, sous Notifications par message lectronique, activez ou dsactivez les options suivantes :

Insrer un avertissement dans le message lectronique Envoyer un message lectronique l'expditeur Envoyer le message lectronique d'autres destinataires
490
Configuration d'Auto-Protect Configurer Auto-Protect pour messagerie Microsoft Outlook
Cliquez sur OK. connexions chiffres de POP3 ou de SMTP.
10 Dans l'onglet Avanc, sous Connexions chiffres, activez ou dsactivez les 11 Sous Heuristique de ver d'envoi de courrier de masse, cochez ou supprimez
la coche Heuristique de ver sortant.
12 Si vous avec termin la configuration de cette politique, cliquez sur OK.
Configurer Auto-Protect pour messagerie Microsoft Outlook

Par dfaut, Auto-Protect analyse les pices jointes de Microsoft Outlook. Vous pouvez personnaliser les paramtres d'analyse. Pour plus d'informations sur les options utilises dans les procdures, cliquez sur Aide. Pour configurer Auto-Protect pour Microsoft Outlook
1 2 3
A la page Politique antivirus et antispyware, sous Paramtres Windows, cliquez sur Auto-Protect pour Microsoft Outlook. Dans l'onglet Dtails de l'analyse, cochez ou supprimez la coche Activer Auto-Protect pour Microsoft Outlook. Sous Analyse, sous Types de fichier, cliquez sur l'une des options suivantes :

4 5
Cochez ou supprimez la coche Analyser les fichiers dans les fichiers compresss. Dans l'onglet Actions, dfinissez les options. Se reporter "Configuration des actions pour des dtections connues de virus et de risque de scurit sur les clients Windows" la page 466.
Dans l'onglet Notifications, cochez ou dcochez les options suivantes :

Insrer un avertissement dans le message lectronique Envoyer un message lectronique l'expditeur
Configuration d'Auto-Protect Configuration d'Auto-Protect pour messagerie Lotus Notes
491
Envoyer le message lectronique d'autres destinataires
Si vous avec termin la configuration de cette politique, cliquez sur OK.
Configuration d'Auto-Protect pour messagerie Lotus Notes

Par dfaut, Auto-Protect analyse les pices jointes de Lotus Notes. Vous pouvez personnaliser les paramtres d'analyse. Pour plus d'informations sur les options utilises dans les procdures, cliquez sur Aide. Pour configurer Auto-Protect pour Lotus Notes
1 2 3
A la page Politique antivirus et antispyware, sous Paramtres Windows, cliquez sur Auto-Protect pour Lotus Notes. Dans l'onglet Dtails de l'analyse, cochez ou dcochez pour Activer Auto-Protect pour Lotus Notes. Sous Analyse, sous Types de fichier, cliquez sur l'une des options suivantes :

4 5
Cochez ou supprimez la coche pour Analyser les fichiers dans les fichiers compresss. Dans l'onglet Actions, dfinissez les options. Se reporter "Configuration des actions pour des dtections connues de virus et de risque de scurit sur les clients Windows" la page 466.
Dans l'onglet Notifications, cochez ou dcochez les options suivantes :

Insrer un avertissement dans le message lectronique Envoyer un message lectronique l'expditeur Envoyer le message lectronique d'autres destinataires
Si vous avez fini de configurer les paramtres de politique, cliquez sur OK.
492
Configuration d'Auto-Protect Configurer des options de notification pour Auto-Protect
Configurer des options de notification pour Auto-Protect

Par dfaut, les rsultats des analyses d'Auto-Protect pour le systme de fichiers apparaissent sur les ordinateurs infects. Vous pouvez configurer la politique antivirus et antispyware de sorte que les rsultats n'apparaissent pas sur des ordinateurs client. Vous pouvez personnaliser le message de notification qui s'affiche sur les ordinateurs client lorsque Auto-Protect effectue une dtection. Se reporter "Personnaliser et afficher des notifications sur les ordinateurs infects" la page 469. Pour les logiciels de messagerie pris en charge, vous pouvez galement configurer Auto-Protect pour l'excution des actions suivantes :

Insrer un avertissement dans le message lectronique Envoyer un message lectronique l'expditeur Envoyer le message lectronique d'autres destinataires.
Vous pouvez personnaliser les messages que vous envoyez pour informer les utilisateurs. Remarque : Soyez prudent quand vous configurez des options pour informer les expditeurs et les autres utilsiateurs sur les messages infects. L'adresse du message infect pourrait tre usurpe. Si vous envoyez des notifications, vous pourriez gnrer du spam et entraner une augmentation de trafic sur votre rseau. Les champs variables que vous personnalisez pour des messages de notifications et des messages normaux sont lgrement diffrents. Vous pouvez personnaliser les informations dans le corps du message et les informations dans le champ d'infection. Tableau 26-1 dcrit les types d'informations que vous pouvez personnaliser pour le corps du message. Tableau 26-1 Champ
Utilisateur
Champs de corps de message Description

Nom de l'utilisateur qui tait connect lorsque le virus ou le risque de scurit a t dtect.
493
Champ
DateTrouv
Description
Date laquelle le virus ou le risque de scurit a t dtect. Adresse lectronique qui a envoy le courrier lectronique avec la pice jointe infecte. Liste des adresses auxquelles le courrier lectronique avec la pice jointe infecte a t envoy.
ExpditeurEmail
ListeDestinatairesEmail
Tableau 26-2 dcrit les types d'informations que vous pouvez personnaliser pour les champs d'infection. Tableau 26-2 Champ
NomRisqueScurit ActionEffectue
Champs d'informations sur l'infection Description

Nom du virus ou du risque de scurit dtect. Action effectue en rponse la dtection du virus ou du risque de scurit. Il peut s'agir de la premire action configure ou de la seconde. Etat du fichier : Infect, Non infect ou Supprim. Cette variable de message n'est pas utilise par dfaut. Pour afficher ces informations, ajoutez manuellement cette variable au message.
Etat
Nomfichier CheminNomfichier
Nom du fichier infect par le virus ou le risque de scurit. Chemin d'accs complet et nom du fichier infect par le virus ou le risque de scurit. Nom de l'ordinateur sur lequel le virus ou le risque de scurit a t dtect. Nom de l'utilisateur qui tait connect lorsque le virus ou le risque de scurit a t dtect. Date laquelle le virus ou le risque de scurit a t dtect. Nom de la pice jointe contenant le virus ou le risque de scurit. Domaine de l'application affect. Par exemple, le nom de stockage pourrait tre Auto-Protect pour le systme de fichiers ou Auto-Protect pour Lotus Notes.
Ordinateur
Utilisateur
DateTrouv
NomPicejointeOrigine
NomStockage
494
Afficher des rsultats d'Auto-Protect sur les ordinateurs infects

Si vous voulez que les utilisateurs affichent les rsultats des analyses Auto-Protect des fichiers et des processus, vous pouvez afficher les rsultats sur les ordinateurs infects. Vous pouvez galement dsactiver l'affichage si vous ne voulez pas que les rsultats apparaissent sur des ordinateurs client. Pour plus d'informations sur les options utilises dans les procdures, cliquez sur Aide. Pour afficher les rsultats d'Auto-Protect sur les ordinateurs infects
1 2 3
Sur la page Politique antivirus et antispyware, cliquez sur Auto-Protect pour le systme de fichiers. Sur l'onglet Notifications, slectionnez ou dslectionnez l'option Afficher la bote de dialogue des rsultats d'Auto-Protect sur l'ordinateur infect. Si vous avez fini de configurer les paramtres de politique, cliquez sur OK.
Ajouter des avertissements dans les messages lectroniques infects.

Pour les logiciels de messagerie pris en charge, vous pouvez configurer Auto-Protect de manire automatiquement insrer un avertissement dans le corps des messages lectroniques infects. Un message d'avertissement est important si le client Symantec Endpoint Protection ne parvient pas liminer le virus dcrit dans le message. L'avertissement est galement important si une pice jointe infecte est dplace, conserve, supprime ou renomme. Le message d'avertissement vous indique le nom du virus dtect et dcrit l'action effectue. Vous pouvez ajouter le texte suivant au dbut du message lectronique associ la pice jointe infecte : Symantec Endpoint Protection a trouv un risque de scurit dans une pice jointe de [ExpditeurEmail]. Pour chaque fichier infect, les informations suivantes sont galement ajoutes au message lectronique :

Nom de la pice jointe de fichier Nom du risque Mesure prise Etat d'infection du fichier
Vous pouvez personnaliser l'objet et le corps du message. Le message lectronique contient un champ appel ExpditeurEmail. Vous pouvez personnaliser le message par dfaut.
495
Pour le destinataire, le message s'affiche sous la forme suivante :

Symantec Endpoint Protection a trouv un risque de scurit dans une pice jointe provenant de Bernard.Dupond@masocit.com.
Pour plus d'informations sur les options utilises dans les procdures, cliquez sur Aide. Pour ajouter des avertissements dans les messages lectroniques infects.
A la page Politique antivirus et antispyware, sous Paramtres Windows, cliquez sur l'une des options suivantes :

Auto-Protect pour la messagerie Internet. Auto-Protect pour Microsoft Outlook. Auto-Protect pour Lotus Notes.
2 3
Sur l'onglet Notifications, sous Notifications par message lectronique, cochez Insrer un avertissement dans le message lectronique. Cliquez sur Avertissement et effectuez l'une des actions suivantes :

Cliquez sur OK pour accepter le message par dfaut. Personnalisez le message d'avertissement.
Lorsque vous avez termin la configuration de cette politique, cliquez sur OK.
Envoi d'un avertissement aux expditeurs d'un message infect

Pour un logiciel de messagerie pris en charge, vous pouvez configurer Auto-Protect afin de rpondre automatiquement l'expditeur d'un message lectronique contenant une pice jointe infecte. Remarque : Soyez prudent quand vous configurez des options pour informer les expditeurs de messages infects. L'adresse du message infect pourrait tre usurpe. Si vous envoyez des notifications, vous pourriez gnrer du spam et entraner une augmentation de trafic sur votre rseau. Vous pouvez galement configurer Auto-Protect pour envoyer un message de rponse par dfaut avec l'objet suivant : Risque de scurit trouv dans le message "[ObjetEmail]" Le corps du message informe l'expditeur de la pice jointe infecte :
496
Symantec Endpoint Protection a trouv un risque de scurit dans une pice jointe que vous [ExpditeurEmail] avez envoy [ListeDestinatairesEmail]. Pour vous assurer que les destinataires peuvent utiliser les fichiers envoys, excutez une analyse virus sur votre ordinateur, supprimez tous les fichiers infects, puis renvoyez cette pice jointe. Pour chaque fichier infect, les informations suivantes sont galement ajoutes au message lectronique :

Vous pouvez galement personnaliser ce message. Pour informer des expditeurs de messages infects

Auto-Protect pour la messagerie Internet. Auto-Protect pour Microsoft Outlook. Auto-Protect pour Lotus Notes
2 3 4
Sur l'onglet Notifications, sous Notifications par message lectronique, cochez Envoyer un message lectronique l'expditeur. Cliquez sur Expditeur. De la bote de dialogue Envoyer un message lectronique l'expditeur, sur l'onglet Message, sous Texte du message, effectuez l'une des actions suivantes :

Cliquez sur OK pour accepter le message par dfaut. Tapez un objet, un corps du message et des informations d'infection qui s'afficheront dans chaque message, puis cliquez sur OK. Pour plus d'informations sur les variables que vous pouvez utiliser dans le message, cliquez sur Aide.
Pour Auto-Protect pour le message lectronique uniquement, sur l'onglet Serveur de messagerie, saisissez les informations suivantes :

Nom et port de serveur de messagerie Nom d'utilisateur et mot de passe
497
Chemin d'accs invers pour le courrier lectronique
Notifier d'autres utilisateurs de messages infects

Pour un logiciel de messagerie pris en charge, vous pouvez configurer Auto-Protect pour prvenir les destinataires chaque fois qu'un message lectronique contenant une pice jointe infecte est ouvert. Remarque : Soyez prudent quand vous configurez des options pour informer d'autres utilisateurs au sujet des messages infects. L'adresse du message infect pourrait tre usurpe. Si vous envoyez des notifications, vous pourriez gnrer du spam et entraner une augmentation de trafic sur votre rseau. Vous pouvez envoyer un message d'autres utilisateurs avec l'objet suivant : Risque de scurit trouv dans le message "[ObjetEmail]" Le corps du message inclut des informations sur l'expditeur de la pice jointe infecte : Symantec Endpoint Protection a trouv un risque de scurit dans une pice jointe de [ExpditeurEmail]. Pour chaque fichier infect, les informations suivantes sont galement ajoutes au message lectronique :

Vous pouvez galement personnaliser ce message. Pour informer d'autres utilisateurs de messages infects

Auto-Protect pour la messagerie Internet. Auto-Protect pour Microsoft Outlook.
498
Auto-Protect pour Lotus Notes.
2 3 4
Sur l'onglet Notifications, sous Notifications par message lectronique, cochez Envoyer un message lectronique d'autres destinataires. Cliquez sur Autres. Dans la bote de dialogue Envoyer le message lectronique d'autres destinataires, dans l'onglet Autres, fournissez une ou plusieurs adresses lectroniques auxquelles des notifications doivent tre envoyes. Cliquez sur l'onglet Message et saisissez l'objet, le corps du message et les informations sur l'infection qui doivent s'afficher dans chaque message. Pour plus d'informations sur les variables que vous pouvez utiliser dans le message, cliquez sur Aide.
Pour Auto-Protect pour le message lectronique uniquement, sur l'onglet Serveur de messagerie, saisissez les informations suivantes :

Nom et port de serveur de messagerie Nom d'utilisateur et mot de passe Chemin d'accs invers pour le courrier lectronique
7 8
Cliquez sur OK. Lorsque vous avez termin la configuration de cette politique, cliquez sur OK.
Configurer des notifications de progression pour des analyses Auto-Protect pour messagerie Internet
Vous pouvez activer ou dsactiver des options d'indicateur de progression pour des analyses Auto-Protect pour messagerie Internet. Vous pouvez configurer les options suivantes :
Affichage d'une fentre de progression sur l'ordinateur client quand un message est envoy. Affichage d'une icne dans la zone de notification pour indiquer l'tat de transmission du message.
Les deux options sont actives par dfaut.
499
Pour configurer des notifications de progression
1 2
A la page Politique antivirus et antispyware, sous Paramtres Windows, cliquez sur Auto-Protect pour le courrier lectronique Internet. Sur l'onglet Notifications, sous Notifications de progression, cochez ou dcochez les options suivantes :
Afficher un indicateur de progression quand le courrier lectronique est envoy. Afficher une icne de zone de notification.
500
Chapitre
27
Utilisation d'analyses dfinies par l'administrateur


A propos de l'utilisation d'analyses dfinies par l'administrateur Configurer une analyse planifie pour des clients Windows Configuration d'une analyse planifie pour les clients Mac Configurer une analyse sur demande pour des clients Windows Configuration d'une analyse sur demande pour les clients Mac Excuter des analyses la demande Configurer des options de progression d'analyse pour des analyses dfinies par l'administrateur Dfinir des options avances pour des analyses dfinies par l'administrateur
A propos de l'utilisation d'analyses dfinies par l'administrateur

Les analyses dfinies par l'administrateur incluent les analyses planifies antivirus et antispyware et les analyses la demande. Vous configurez des options pour ces types d'analyses dans le cadre d'une politique antivirus et antispyware. Vous utilisez des analyses planifies et des analyses la demande pour complter la protection qu'Auto-Protect apporte. Auto-Protect assure la protection quand
502
Utilisation d'analyses dfinies par l'administrateur Configurer une analyse planifie pour des clients Windows
vous lisez et crivez des fichiers. Les analyses planifies et les analyses la demande peuvent analyser les fichiers figurant sur vos ordinateurs client. Elles peuvent galement protger la mmoire, les points de chargement et autres emplacements importants sur vos ordinateurs client. Remarque : Pour les clients grs, Symantec Endpoint Protection fournit une analyse planifie par dfaut qui examine l'ensemble des fichiers, dossiers et emplacements sur les ordinateurs clients. Certaines options des analyses dfinies par l'administrateur sont semblables aux options des analyses Auto-Protect. Ces options incluent les actions de dtection et les notifications que vous spcifiez. Se reporter "Configuration des options qui s'appliquent aux analyses antivirus et antispyware" la page 463.
Configurer une analyse planifie pour des clients Windows

Vous configurez des analyses planifies en tant qu'lment d'une politique antivirus et antispyware. Les paramtres d'analyse sont diffrents pour les clients Windows et Mac Se reporter "Configuration d'une analyse planifie pour les clients Mac" la page 504. Vous pouvez enregistrer vos paramtres d'analyse planifie comme modle. Vous pouvez utiliser n'importe quelle analyse que vous enregistrez comme modle en tant que base pour une politique antivirus et antispyware diffrente. Les modles d'analyse permettent de faciliter la configuration de plusieurs politiques antivirus et antispyware. Un modle d'analyse planifie est inclus par dfaut dans la politique. L'analyse planifie par dfaut analyse tous les fichiers et rpertoires. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilises dans cette procdure. Configurer une analyse planifie pour des clients Windows
1 2 3
Dans la page de politique antivirus et antispyware, sous Paramtres Windows, cliquez sur Analyses dfinies par l'administrateur. Dans l'onglet Analyses, sous Analyses planifies, cliquez sur Ajouter. Dans la bote de dialogue Ajouter une analyse planifie, cliquez sur Crer une analyse planifie.
Utilisation d'analyses dfinies par l'administrateur Configurer une analyse planifie pour des clients Windows
503
4 5 6 7 8
Cliquez sur OK. Dans la bote de dialogue Ajouter une analyse planifie, dans l'onglet Dtails de l'analyse, tapez un nom et une description pour cette analyse planifie. Cliquez sur Active Scan, Analyse complte ou Analyse personnalise. Si vous avez slectionn Personnalise, sous Analyse, vous pouvez spcifier les dossiers analyser. Sous Types de fichier, cliquez sur Analyser tous les fichiers ou Analyser les extensions slectionnes uniquement. Se reporter "Configurer des analyses des extensions de fichier choisies" la page 464.
Sous Amliorer l'analyse en vrifiant, cochez ou dsactivez la case Mmoire, Emplacementsd'infectionscourants ou Emplacementsderisquesdescurit et de virus connus.
10 Cliquez sur Options d'analyse avances. 11 Dfinissez les options pour les fichiers compresss, la migration de stockage
ou l'optimisation des performances.
12 Cliquez sur OK pour enregistrer les options d'analyse avances de cette

analyse.
13 Dans l'onglet Planification, sous Planification d'analyse, dfinissez la

frquence et l'heure auxquelles l'analyse doit s'excuter.

Se reporter "Configuration des actions pour des dtections connues de virus et de risque de scurit sur les clients Windows" la page 466. Vous pouvez galement dfinir des options de rsolution pour l'analyse.
15 Dans l'onglet Notifications, dfinissez les options.

Se reporter "A propos des messages de notification sur les ordinateurs infects" la page 468.
16 Pour enregistrer l'analyse sous la forme d'un modle, cochez Enregistrer une
copie sous la forme d'un modle d'analyse planifie.
17 Cliquez sur OK.
504
Utilisation d'analyses dfinies par l'administrateur Configuration d'une analyse planifie pour les clients Mac
Configuration d'une analyse planifie pour les clients Mac

Vous configurez des analyses planifies en tant qu'lment d'une politique antivirus et antispyware. Les paramtres d'analyse sont diffrents pour les clients Windows et Mac Se reporter "Configurer une analyse planifie pour des clients Windows" la page 502. Vous pouvez enregistrer vos paramtres d'analyse planifie comme modle. Vous pouvez utiliser n'importe quelle analyse que vous enregistrez comme modle en tant que base pour une politique antivirus et antispyware diffrente. Les modles d'analyse permettent de faciliter la configuration de plusieurs politiques antivirus et antispyware. Un modle d'analyse planifie est inclus par dfaut dans la politique. L'analyse planifie par dfaut analyse tous les fichiers et rpertoires. Pour configurer une analyse planifie pour des clients Mac
1 2 3 4 5 6
Dans la page de politique antivirus et antispyware, sous Paramtres Mac, cliquez sur Analyses dfinies par l'administrateur. Dans l'onglet Analyses, sous Analyses planifies, cliquez sur Ajouter. Dans la bote de dialogue de Ajouter une analyse planifie, cliquez sur Crer une analyse planifie puis cliquez sur OK. Dans la bote de dialogue Ajouter une analyse planifie, dans l'onglet Dtails de l'analyse, saisissez un nom et une description pour cette analyse. Sous Analyser lecteurs et dossiers, spcifiez les lments analyser. Dplacer le curseur pour dfinir la priorit de l'analyse. La priorit d'analyse sur des clients Mac est quivalente au rglage d'accord ou des performances sur des clients Windows. La priorit haute signifie que l'analyse s'excute aussi rapidement que possible, mais les autres applications s'excutent plus lentement pendant l'analyse. La priorit basse signifie que les autres applications s'excutent aussi rapidement que possible, mais que l'analyse s'excute plus lentement. La priorit moyenne quilibre la vitesse d'excution des applications et des analyses.
7 8 9
Dans l'onglet Planification, sous Planification d'analyse, dfinissez la frquence et l'heure auxquelles l'analyse doit tre excute. Pour enregistrer l'analyse sous la forme d'un modle, cochez Enregistrer une copie sous la forme d'un modle d'analyse planifie. Cliquez sur OK.
Utilisation d'analyses dfinies par l'administrateur Configurer une analyse sur demande pour des clients Windows
505
Configurer une analyse sur demande pour des clients Windows

Vous pouvez configurer des options pour les analyses personnalises que vous voulez excuter la demande. Vous excutez les analyses la demande manuellement dans la page Clients. Vous pouvez galement excuter les analyses la demande dans la page Contrles de la console de gestion. Vous ne pouvez pas configurer un nom d'analyse ou une description pour les options d'analyse. Le client utilise les options toutes les fois que vous excutez une analyse la demande personnalise de la console de gestion sur l'ordinateur client. Remarque : Vous pouvez excuter une analyse active ou une analyse complte sur demande. Se reporter "A propos des analyses dfinies par l'administrateur" la page 448. Les paramtres pour des analyses la demande sont semblables aux paramtres pour des analyses planifies. Se reporter "Configurer une analyse planifie pour des clients Windows" la page 502. Les paramtres d'analyse pour des clients Windows et pour des clients Mac sont diffrents. Se reporter "Configuration d'une analyse sur demande pour les clients Mac" la page 506. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilises dans cette procdure. Pour configurer des paramtres pour des analyses sur demande pour des clients Windows
1 2 3
Dans la page de politique antivirus et antispyware, sous Paramtres Windows, cliquez sur Analyses dfinies par l'administrateur. Dans l'onglet Analyses, sous Analyse sur demande de l'administrateur, cliquez sur Edition. Dans la bote de dialogue Modifier l'analyse sur demande de l'administrateur, dans l'onglet Dtails de l'analyse, sous Analyse, cliquez sur Modifier les dossiers. Par dfaut, l'analyse inclut tous les dossiers.
506
Utilisation d'analyses dfinies par l'administrateur Configuration d'une analyse sur demande pour les clients Mac
4 5
Dans la bote de dialogue Modifier les dossiers, slectionnez les dossiers dsirs et cliquez sur OK. Dans la bote de dialogue Modifier l'analyse sur demande de l'administrateur, sous Types de fichier, cliquez sur Analyser tous les fichiers ou Analyser les extensions slectionnes uniquement. Se reporter "A propos de l'analyse des extensions ou des dossiers slectionns" la page 451.
Sous Enhance the scan by checking, cochez ou dsactivez les cases Mmoire, Emplacements d'infections courants ou Emplacements de risques de scurit et de virus connus. Cliquez sur Options d'analyse avances. Dfinissez les options pour les fichiers compresss, la migration de stockage ou l'optimisation des performances. Cliquez sur OK pour enregistrer les options avances de cette analyse.
7 8 9

Se reporter "Configuration des actions pour des dtections connues de virus et de risque de scurit sur les clients Windows" la page 466. Vous pouvez galement dfinir des options de rsolution pour l'analyse.
11 Dans l'onglet Notifications, dfinissez les options.

Se reporter "A propos des messages de notification sur les ordinateurs infects" la page 468.
12 Cliquez sur OK.
Configuration d'une analyse sur demande pour les clients Mac

Vous pouvez configurer des options pour les analyses personnalises excuter la demande. Vous excutez les analyses sur demande manuellement dans la page Clients. Vous pouvez galement excuter les analyses sur demande dans la page Contrles de la console de gestion. Toutes les fois que vous excutez une analyse sur demande sur des clients Mac, vous excutez une analyse personnalise. Les options d'analyse rapide et d'analyse complte sont disponibles seulement pour les clients Windows. Les paramtres pour des analyses sur demande sont semblables aux paramtres pour des analyses planifies. Cependant, vous ne pouvez pas configurer un nom d'analyse ou une description pour une analyse sur demande.
Utilisation d'analyses dfinies par l'administrateur Configuration d'une analyse sur demande pour les clients Mac
507
Se reporter "Configuration d'une analyse planifie pour les clients Mac" la page 504. Les paramtres d'analyse pour les clients Windows et Mac sont diffrents. Se reporter "Configurer une analyse sur demande pour des clients Windows" la page 505. Vous pouvez cliquer sur Aide pour obtenir plus d'informations sur les options utilises dans cette procdure. Avertissement : Si vous ne choisissez pas Rparer automatiquement les fichiers infects, aucun fichier infect n'est mis en quarantaine, mme si vous choisissez Mettre en quarantaine les fichiers qui ne peuvent pas tre rpars. Le logiciel demande si vous voulez rparer un fichier infect. Si vous ne rparez pas le fichier, il reste dans l'ordinateur. Si vous choisissez Rparer automatiquement les fichiers infects et si vous ne choisissez pas Mettre en quarantaine les fichiers qui ne peuvent pas tre rpars, tous les fichiers infects seront supprims. Pour configurer une analyse sur demande pour des clients Mac
1 2 3
Dans la page de politique antivirus et antispyware, sous Paramtres Mac, cliquez sur Analyses dfinies par l'administrateur. Dans l'onglet Analyses, sous Analyse sur demande de l'administrateur, cliquez sur Edition. Dans l'onglet de Dtails de l'analyse, sous Analyser lecteurs et dossiers, slectionnez les lments que vous voulez inclure dans cette analyse.
508
Utilisation d'analyses dfinies par l'administrateur Excuter des analyses la demande
Sous Actions, cochez ou dcochez les options suivantes.

Rparer automatiquement les fichiers infects Symantec Endpoint Protection essaye automatiquement de rparer le fichier infect quand un risque est identifi. Si vous ne choisissez pas cette option, toute rparation doit tre effectue manuellement. Symantec Endpoint Protection met automatiquement en quarantaine tous les fichiers qui ne peuvent pas tre rpars.
Mettre en quarantaine les fichiers ne pouvant pas tre rpars
Dans l'onglet Notifications, dfinissez l'une des options, puis cliquez sur OK. Se reporter "A propos des messages de notification sur les ordinateurs infects" la page 468.
Excuter des analyses la demande

Vous pouvez excuter une analyse manuelle ou la demande, distance avec la console de gestion de l'une des manires suivantes :

Dans l'onglet Clients Des journaux d'tat d'ordinateur que vous gnrez dans l'onglet Ecrans Se reporter "Excuter des commandes et des actions partir des journaux" la page 304.
Pour des ordinateurs client Windows, vous pouvez excuter une analyse sur demande rapide, complte, ou personnalise. Par dfaut, les articles suivants sont inclus dans l'analyse :

Tous les rpertoires Tous les types de fichier Mmoire Emplacements d'infections courants Emplacements de risques de scurit et de virus connus
Pour des ordinateurs client Mac, vous ne pouvez excuter qu'une analyse sur demande personnalise. L'analyse personnalise utilise les paramtres configurs pour des analyses la demande dans la politique antivirus et antispyware.
Utilisation d'analyses dfinies par l'administrateur Excuter des analyses la demande
509
Se reporter "Configurer une analyse sur demande pour des clients Windows" la page 505. Se reporter "Configuration d'une analyse sur demande pour les clients Mac" la page 506. Vous pouvez cliquer sur Aide pour obtenir plus d'informations sur les options utilises dans les procdures. Remarque : Si vous mettez une commande de redmarrage sur un ordinateur client qui excute une analyse la demande, l'analyse s'arrte et l'ordinateur client redmarre. L'analyse ne redmarre pas. Pour excuter une analyse la demande sur un groupe
1 2 3 4 5 6 7
Dans la console, cliquez sur Clients. Sous Afficher les clients, cliquez avec le bouton droit de la souris sur le groupe qui inclut les ordinateurs analyser. Cliquez sur Excuter la commande sur le groupe > Analyser. Dans la bote de dialogue Slection d'un type d'analyse, slectionnez Analyse rapide, Analyse complte, ou Analyse personnalise. Cliquez sur OK. Dans la fentre de message qui s'affiche, cliquez sur Oui. Dans la fentre de confirmation qui s'affiche, cliquez sur Oui.
Pour excuter une analyse la demande sur un ordinateur ou un utilisateur
1 2 3 4 5 6 7
Dans la console, cliquez sur Clients. Dans le panneau droit, sous Clients, slectionnez les ordinateurs et les utilisateurs analyser. Cliquez avec le bouton droit de la souris sur la slection, puis cliquez sur Excuter la commande sur les clients > Analyser. Dans la fentre de message qui s'affiche, cliquez sur Oui. Dans la bote de dialogue Slection d'un type d'analyse, slectionnez Analyse rapide, Analyse complte, ou Analyse personnalise. Cliquez sur OK. Dans la fentre de confirmation qui s'affiche, cliquez sur Oui.
510
Utilisation d'analyses dfinies par l'administrateur Configurer des options de progression d'analyse pour des analyses dfinies par l'administrateur
Configurer des options de progression d'analyse pour des analyses dfinies par l'administrateur
Vous pouvez configurer si la bote de dialogue Rsultats de l'analyse doit apparatre sur des ordinateurs client. Si vous permettez l'affichage de la bote de dialogue sur des ordinateurs client, des utilisateurs peuvent toujours suspendre ou retarder une analyse dfinie par l'administrateur. Vous pouvez permettre des utilisateurs d'arrter une analyse entirement. Des options permettent galement de configurer comment des utilisateurs peuvent suspendre ou retarder des analyses. Vous pouvez permettre l'utilisateur d'excuter les actions d'analyse suivantes :
Pause Quand un utilisateur suspend une analyse, la bote de dialogue Rsultats de l'analyse reste ouverte jusqu' ce que l'analyse soit relance ou abandonne. Si l'ordinateur est mis hors tension, l'analyse suspendue est abandonne. Quand un utilisateur met en sommeil une analyse planifie, il peut choisir la dure de la mise en sommeil, une heure ou trois heures. Le nombre de mises en sommeil est configurable. Quand une analyse est en sommeil, la bote de dialogue Rsultats de l'analyse est ferme. Elle rapparat quand l'analyse reprend. Quand un utilisateur arrte une analyse, l'analyse s'arrte en gnral immdiatement. Si un utilisateur arrte une analyse alors que le logiciel client analyse un fichier compress, l'analyse ne s'arrte pas immdiatement. Dans ce cas, l'analyse s'arrte ds que l'analyse du fichier compress est termine. Une analyse arrte ne redmarre pas.
Mise en sommeil
Stop
Une analyse suspendue redmarre automatiquement au bout d'un dlai spcifi. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilises dans cette procdure. Pour configurer des options de progression d'analyse pour des analyses dfinies par l'administrateur
1 2
Dans la page Politique antivirus et antispyware, cliquez sur Analyses dfinies par l'administrateur. Dans l'onglet Avanc, sous Options de progression d'analyse, cliquez sur Afficher la fentre de progression ou Afficher la progression de l'analyse si un risque est dtect.
Utilisation d'analyses dfinies par l'administrateur Dfinir des options avances pour des analyses dfinies par l'administrateur
511
3 4 5 6
Pour fermer automatiquement l'indicateur de progression d'analyse au terme de l'analyse, cochez la case Fermer la fentre de progression aprs l'analyse. Cochez l'option Autoriser l'utilisateur abandonner l'analyse. Cliquez sur Options de pause. Dans la bote de dialogue Options de pause de l'analyse, effectuez l'une des actions suivantes :
Pour limiter le temps pendant lequel un utilisateur peut suspendre une analyse, cochez la case Limiter la dure de la mise en pause de l'analyse et tapez un nombre de minutes. La valeur doit tre comprise entre 3 et 180. Pour limiter le nombre de fois o un utilisateur peut retarder (ou mettre en sommeil) une analyse, dans la zone Nombre maximal d'opportunits de rptition, tapez un nombre entre 1 et 8. Par dfaut, un utilisateur peut retarder une analyse d'une heure. Pour modifier cette limite trois heures, cochez la case Autoriser les utilisateurs rpter l'analyse pendant 3 heures.
Cliquez sur OK.
Dfinir des options avances pour des analyses dfinies par l'administrateur
Vous pouvez dfinir des options avances pour des analyses planifies et des analyses la demande. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilises dans la procdure. Pour dfinir des options avances pour des analyses dfinies par l'administrateur
1 2
Dans la page de la politique antivirus et de protection antispyware, cliquez sur Analyses dfinies par l'administrateur. Dans l'onglet Avanc, sous Analyses planifies, activez ou dsactivez les options suivantes :

Diffrer les analyses planifies en cas d'utilisation des batteries Autoriser l'excution des analyses planifies par l'utilisateur s'excuter lorsque l'auteur de l'analyse n'est pas connect Afficher des notifications sur les dtections lorsque l'utilisateur se connecte
512
Utilisation d'analyses dfinies par l'administrateur Dfinir des options avances pour des analyses dfinies par l'administrateur
Sous Analyses de dmarrage et dclenches, activez ou dsactivez les options suivantes :
Excuter des analyses de dmarrage lorsque des utilisateurs se connectent Autoriser les utilisateurs modifier les analyses de dmarrage Excuter une analyse Active Scan la rception de nouvelles dfinitions de virus
Cliquez sur OK.
Section
Configuration de la protection contre les menaces rseau
Chapitre 28. Paramtres de base de protection contre les menaces rseau Chapitre 29. Configuration de la prvention d'intrusion Chapitre 30. Personnalisation de la protection contre les menaces rseau
514
Chapitre
28
Paramtres de base de protection contre les menaces rseau


A propos de la protection contre les menaces rseau et des attaques A propos du pare-feu A propos de l'utilisation des politiques de pare-feu A propos des rgles de filtrage Ajouter des rgles vierges Ajouter des rgles avec un assistant Ajouter des rgles hrites d'un groupe parent Importation et exportation de rgles Copier et coller des rgles Modification de l'ordre des rgles Activer et dsactiver des rgles Activation du filtrage de trafic intelligent Activation des paramtres de trafic et des paramtres furtifs Configuration de l'authentification point point
516
Paramtres de base de protection contre les menaces rseau A propos de la protection contre les menaces rseau et des attaques
A propos de la protection contre les menaces rseau et des attaques

Les attaques rseau exploitent la manire dont les ordinateurs transfrent les donnes. Le client peut protger les ordinateurs en contrlant les informations qui entrent et sortent sur l'ordinateur et en bloquant des tentatives d'attaque. Sur Internet, les informations circulent sous la forme de paquets. Chaque paquet comprend un en-tte contenant des informations sur l'ordinateur l'origine de l'envoi, le destinataire, le mode de traitement des donnes du paquet et le port de rception du paquet. Les ports sont les canaux qui divisent le flux d'informations qui vient d'Internet en chemins d'accs spars que les applications individuelles prennent en charge. Les programmes Internet excuts sur un ordinateur sont l'coute d'un ou de plusieurs ports et acceptent les informations qui y sont envoyes. Les attaques rseau tirent profit des faiblesses de programmes Internet spcifiques. Les attaquants utilisent les outils qui envoient les paquets contenant le code de programmation malveillant un port particulier. Si un programme vulnrable cette attaque est l'coute de ce port, le code permet au pirate d'accder l'ordinateur, de le dsactiver, voire de le contrler. Le code de programmation servant gnrer les attaques peut tre inclus dans un seul paquet ou se rpartir sur plusieurs paquets. Vous pouvez installer le client avec des paramtres par dfaut pour la protection contre les menaces rseau. Dans la plupart des cas vous n'avez pas besoin de modifier les paramtres. Il est gnralement sr de laisser les paramtres inchangs. Cependant, si vous avez une connaissance dtaille des rseaux, vous pouvez apporter de nombreuses modifications au pare-feu client pour affiner votre protection. Se reporter "Comment Symantec Endpoint Protection protge les ordinateurs contre des attaques rseau" la page 516.
Comment Symantec Endpoint Protection protge les ordinateurs contre des attaques rseau
Le client Symantec Endpoint Protection inclut les outils suivants qui protgent vos ordinateurs contre les tentatives d'intrusion :
Paramtres de base de protection contre les menaces rseau A propos du pare-feu
517
Pare-feu
Surveille l'ensemble des connexions Internet et cre un bouclier qui qui bloque ou limite les tentatives de visualisation des informations sur l'ordinateur. Se reporter "A propos du pare-feu" la page 517.
Analyse toutes les informations entrantes et sortantes des structures de donnes qui sont typiques d'une attaque. Se reporter "A propos du systme de prvention d'intrusion" la page 541.
A propos du pare-feu
Le pare-feu Symantec Endpoint Protection est un logiciel qui fournit une barrire entre l'ordinateur et Internet. Le pare-feu empche les utilisateurs non autoriss d'accder aux ordinateurs et aux rseaux qui se connectent Internet. Il dtecte les ventuelles attaques de pirates, protge les informations personnelles et limine les sources indsirables de trafic rseau. Figure 28-1 Flux d'informations sur un rseau lorsqu'un ordinateur est quip d'un pare-feu
Le pare-feu contrle les tentatives d'accs partir d'Internet
Ordinateur client
Internet
Le pare-feu autorise ou bloque le trafic rseau spcifi par la politique de pare-feu
Toutes les informations qui entrent ou quittent le rseau priv doivent passer par le pare-feu qui examine les paquets d'informations. Le pare-feu bloque les paquets qui ne rpondent pas aux critres de scurit spcifis. La manire dont le pare-feu
518
Paramtres de base de protection contre les menaces rseau A propos de l'utilisation des politiques de pare-feu
examine les paquets d'informations consiste utiliser une politique de pare-feu. Les politiques de pare-feu se composent d'une ou plusieurs rgles qui fonctionnent ensemble pour permettre ou bloquer l'accs des utilisateurs au rseau. Seul le trafic autoris peut passer. La politique de pare-feu dfinit le trafic autoris. Le pare-feu fonctionne l'arrire-plan. Vous dterminez le niveau d'interaction entre les utilisateurs et le client en autorisant ou en bloquant leur possibilit de configurer les rgles du pare-feu et les paramtres du pare-feu. Les utilisateurs peuvent interagir avec le client seulement quand il les informe des nouvelles connexions rseau et des problmes ventues, ou ils peuvent avoir l'accs complet l'interface utilisateur. Se reporter "A propos des rgles de filtrage" la page 519. Se reporter "A propos de l'utilisation des politiques de pare-feu" la page 518.
A propos de l'utilisation des politiques de pare-feu

Symantec Endpoint Protection Manager comprend une politique de pare-feu par dfaut avec des rgles de filtrage et des paramtres du pare-feu pour l'environnement de bureau. L'environnement de bureau est normalement sous la protection des pare-feu d'entreprise, des filtres de paquet de frontire ou des serveurs d'antivirus. Par consquent, il est normalement plus scuris que la plupart des environnements de domicile, o il n'existe qu'une protection de frontire limite. Lorsque vous installez la console pour la premire fois, elle ajoute automatiquement une politique de pare-feu par dfaut chaque groupe. Chaque fois que vous ajoutez un nouvel emplacement, la console copie automatiquement une politique de pare-feu l'emplacement par dfaut. Si la protection par dfaut n'est pas approprie, vous pouvez personnaliser la politique de pare-feu pour chaque emplacement, comme pour un site domestique ou un site client. Si vous ne voulez pas de la politique de pare-feu par dfaut, vous pouvez la modifier ou la remplacer par une autre politique partage. Les politiques de pare-feu incluent les lments suivants :
Rgles de filtrage Les rgles de filtrage sont des composants de politique qui contrlent comment le pare-feu protge les ordinateurs du trafic entrant et des applications malveillantes. Le pare-feu vrifie automatiquement tous les paquets entrant et sortants par rapport ces rgles et autorise ou bloque les paquets en fonction des informations spcifies dans les rgles. Se reporter "A propos des rgles de filtrage" la page 519.
Paramtres de base de protection contre les menaces rseau A propos des rgles de filtrage
519
Filtres de trafic intelligents
Autorise les types de trafic requis sur la plupart des rseaux tels que le trafic DHCP, DNS et WINS. Se reporter "Activation du filtrage de trafic intelligent" la page 537.
Paramtres de trafic et de furtivit
Dtecte et bloque le trafic en provenance de certains pilotes, protocoles et d'autres sources. Se reporter "Activation des paramtres de trafic et des paramtres furtifs" la page 538.
Paramtres d'authentification point point
Empche un ordinateur distant de se connecter un ordinateur client tant que l'ordinateur client n'a pas authentifi cet ordinateur distant. Se reporter "Configuration de l'authentification point point" la page 539.
Vous pouvez dfinir un emplacement pour le contrle client ou le contrle mixte afin que l'utilisateur puisse personnaliser la politique de pare-feu. Se reporter "Configurer des paramtres de protection contre les menaces rseau pour la commande mlange" la page 559. Vous crez et modifiez des politiques de pare-feu de la mme manire que vous crez et modifiez d'autres types de politiques. Vous pouvez attribuer, retirer, remplacer, copier, exporter, importer ou supprimer une politique de pare-feu. Vous attribuez gnralement une politique plusieurs groupes de votre rseau de scurit. Vous pouvez crer une politique non partage un emplacement spcifique si un emplacement particulier ncessite des conditions spcifiques. Il est conseill de matriser les principes de base de la configuration de politique pour travailler avec les politiques. Se reporter "Utilisation de politiques pour grer la scurit du rseau" la page 96.
A propos des rgles de filtrage

Les rgles de filtrage contrlent la manire dont le client protge l'ordinateur client du trafic entrant et sortant malveillant. Le pare-feu vrifie automatiquement tous les paquets entrants et sortants en fonction de ces rgles. Le pare-feu autorise ou bloque alors les paquets en fonction des informations spcifies dans les rgles. Quand un ordinateur essaye de se connecter un autre ordinateur, le pare-feu compare le type de connexion sa liste de rgles de filtrage. Se reporter "A propos des lments d'une rgle de filtrage" la page 520.
520
Se reporter "A propos de l'ordre de traitement des rgles" la page 525. Se reporter "A propos de l'inspection Stateful" la page 528.
A propos des lments d'une rgle de filtrage

Gnralement une rgle de pare-feu dcrit les conditions dans lesquelles une connexion rseau peut tre autorise ou refuse. Vous utilisez les critres suivants pour dfinir une rgle de pare-feu :
Dclencheurs Applications, htes, protocoles et cartes rseau Lorsque le pare-feu value la rgle, tous les dclencheurs doivent tre vrais pour qu'une correspondance positive se produise. Si aucun dclencheur n'est vrai par rapport au paquet actuel, le pare-feu ne peut pas appliquer la rgle. Vous pouvez combiner les dfinitions de dclencheeur pour former des rgles plus complexes, comme d'identifier un protocole particulier par rapport une adresse de destination spcifique. Se reporter "A propos des dclencheurs d'application" la page 521. Se reporter "A propos des dclencheurs d'hte" la page 521. Se reporter "A propos des dclencheurs de service de rseau" la page 523. Se reporter "A propos des dclencheurs de carte rseau" la page 524. Conditions Planification et tat d'cran de veille Les paramtres conditionnels ne dcrivent pas un aspect d'une connexion rseau. Au lieu de cela, les paramtres conditionnels dterminent l'tat actif d'une rgle. Vous pouvez dfinir une planification ou identifier un tat d'cran de veille qui dtermine quand une rgle est considre active ou inactive. Les paramtres conditionnels sont facultatifs et non significatifs s'ils ne sont pas dfinis. Le pare-feu n'value pas les rgles inactives. Actions Autoriser ou bloquer et consigner ou ne pas consigner Les paramtres d'action spcifient quelles mesures le pare-feu prend quand il trouve une correspondance avec une rgle. Si la rgle correspond et est slectionne en rponse un paquet reu, le pare-feu excute toutes les actions. Le pare-feu autorise ou bloque le paquet et consigne ou ne consigne pas le paquet. Si le pare-feu permet le trafic, il laisse le trafic spcifi par la rgle accder votre rseau. Si le pare-feu bloque le trafic, il bloque le trafic spcifi par la rgle de sorte qu'il n'accde pas au rseau.
Une rgle qui combine tous les critres pourrait permettre le trafic de l'adresse IP 192.58.74.0 sur le port distant 80 entre 9 heures et 17 heures chaque jour.
521
Se reporter "A propos des rgles de filtrage" la page 519.
A propos des dclencheurs d'application

Quand l'application est le seul dclencheur dfini dans une rgle qui autorise le trafic, le pare-feu permet l'application d'effectuer n'importe quelle opration rseau. L'application est la valeur significative, pas les oprations rseau que l'application effectue. Par exemple, supposez que vous autorisiez Internet Explorer et ne dfinissiez aucun autre dclencheur. Les utilisateurs peuvent accder aux sites distants qui utilisent HTTP, HTTPS, FTP, Gopher et n'importe quel autre protocole que le navigateur Web prend en charge. Vous pouvez dfinir des dclencheurs supplmentaires pour dcrire les protocoles rseau et les htes particuliers avec lesquels la communication est autorise. Il peut tre difficile de dpanner des rgles bases sur les applications parce qu'une application peut utiliser des protocoles multiples. Par exemple, si le pare-feu traite une rgle qui autorise Internet Explorer avant une rgle qui bloque FTP, l'utilisateur peut encore communiquer avec FTP. L'utilisateur peut entrer une URL base sur FTP dans le navigateur, tel que ftp://ftp.symantec.com. Il n'est pas recommand d'utiliser des rgles d'application pour contrler le trafic au niveau rseau. Par exemple, une rgle qui bloque ou limite l'utilisation d'Internet Explorer n'aura aucun effet si l'utilisateur utilise un autre navigateur Web. Le trafic que l'autre navigateur Web gnre sera compar toutes les autres rgles except la rgle d'Internet Explorer. Les rgles bases sur les applications sont plus efficaces quand elles sont configures pour bloquer les applications qui envoient et reoivent le trafic. Remarque : Si Trend Micro PC-cillin IS 2007 et le client Symantec Endpoint Protection sont installs sur le mme ordinateur, les rgles de pare-feu pour un navigateur Web spcifique ne fonctionnent pas. Trend Micro PC-cillin fournit le trafic web son propre logiciel de proxy. Dans Trend Micro PC-cillin, vous devez dsactiver les contrles d'accs du site Web et l'option de prvention des menaces de donnes. Se reporter "A propos des lments d'une rgle de filtrage" la page 520.
A propos des dclencheurs d'hte

Quand vous dfinissez des dclencheurs d'hte, vous spcifiez l'hte des deux cts de la connexion rseau dcrite. Traditionnellement, le moyen d'exprimer la relation entre les htes est dsign comme tant la source ou la destination d'une connexion rseau.
522
Vous pouvez dfinir la relation entre les htes de l'une ou l'autre des manires suivantes :
Source et destination L'hte source et l'hte de destination dpendent de la direction du trafic. Dans un cas, l'ordinateur client local peut tre la source, tandis que dans un autre cas l'ordinateur distant peut tre la source. La relation entre la source et la destination est plus gnralement utilise dans les pare-feu rseau. Local et distant L'hte local est toujours l'ordinateur client local et l'hte distant est toujours un ordinateur distant plac ailleurs sur le rseau. Cette expression du rapport d'hte est indpendante de la direction du trafic. La relation local et distant est plus gnralement utilise dans les pare-feu bass sur l'hte et constitue un moyen plus simple pour observer le trafic.
Figure 28-2 illustre la relation entre la source et la destination par rapport la direction du trafic. Figure 28-2 Le rapport entre les htes source et les htes de destination
Source
` Client SEP HTTP
Destination
Symantec.com
Destination
` Client SEP RDP
Source
` Autre client
Figure 28-3 illustre la relation entre l'hte local et l'hte distant par rapport la direction du trafic.
523
Figure 28-3
Le rapport entre les htes locaux et distants
Local
` Client SEP HTTP
Distant
Symantec.com
Local
` Client SEP RDP
Distant
` Autre client
Vous pouvez dfinir plusieurs htes source et plusieurs htes de destination. Les htes que vous dfinissez de chaque ct de la connexion sont valus en utilisant une instruction OR (OU). La relation entre les htes slectionns est value en utilisant une instruction AND (ET). Par exemple, considrez une rgle qui dfinit un hte local unique et plusieurs htes distants. Lorsque le pare-feu examine les paquets, l'hte local doit correspondre l'adresse IP approprie. Cependant, les cts opposs de l'adresse peuvent tre en correspondance avec n'importe quel hte distant. Par exemple, vous pouvez dfinir une rgle pour autoriser la communication HTTP entre l'hte local et symantec.com, yahoo.com ou google.com. La rgle unique revient trois rgles. Se reporter "Ajout d'htes et de groupes d'htes une rgle" la page 562. Se reporter "A propos des lments d'une rgle de filtrage" la page 520.
A propos des dclencheurs de service de rseau

Un dclencheur de service rseau identifie un ou plusieurs protocoles rseau qui sont significatifs par rapport au trafic rseau dcrit. Vous pouvez dfinir les types de protocoles suivants :
TCP UDP ICMP Ports ou plages de ports Ports ou plages de ports Type et code
524
IP
Numro de protocole (type d'IP) Exemples : Type 1 = ICMP, Type 6 = TCP, Type 17 = UDP
Ethernet
Type de structure Ethernet Exemples : Type 0x0800 = IPv4, Type = 0x8BDD = IPv6, Type 0x8137 = IPX
Quand vous dfinissez des dclencheurs de service bass sur TCP ou bass sur UDP, vous identifiez les ports des deux cts de la connexion rseau dcrite. Traditionnellement, les ports sont dsigns comme source ou comme destination d'une connexion rseau. Vous pouvez dfinir la relation du service rseau de l'une ou l'autre des manires suivantes :
Source et destination Le port source et le port de destination dpendent de la direction du trafic. Dans un cas l'ordinateur client local peut dtenir le port source, tandis que dans un autre cas l'ordinateur distant peut dtenir le port source. L'ordinateur d'hte local possde toujours le port local et l'ordinateur distant possde toujours le port distant. Cette expression de la relation de ports est est indpendante de la direction du trafic.
Local et distant
Vous spcifiez la direction du trafic quand vous dfinissez le protocole. Vous pouvez dfinir plusieurs protocoles. Par exemple, une rgle peut inclure les protocoles ICMP, IP et TCP. La rgle dcrit plusieurs types de connexion qui peuvent intervenir entre les ordinateurs client identifis ou utiliss par une application. Se reporter "A propos des lments d'une rgle de filtrage" la page 520.
A propos des dclencheurs de carte rseau

Lorsque vous dfinissez un dclencheur de carte rseau, la rgle est approprie seulement au trafic qui est transmis ou reu en utilisant le type spcifi de carte. Vous pouvez spcifier un des types de cartes suivants :

Ethernet Sans fil A distance Tout VPN
525
Cartes virtuelles spcifiques
Quand vous dfinissez un type particulier de carte, vous devez considrer son utilisation. Par exemple, si une rgle permet le trafic HTTP sortant des cartes Ethernet, HTTP est autoris par toutes les cartes installes du mme type. Il existe une seule exception si vous spcifiez galement des adresses d'hte local. L'ordinateur client peut utiliser des serveurs avec plusieurs cartes d'interface rseau et les stations de travail qui relient deux segments de rseau ou plus. Pour contrler le trafic relativement une carte particulire, le schma d'adressage de chaque segment doit tre utilis plutt que la carte elle-mme. Se reporter "A propos des lments d'une rgle de filtrage" la page 520.
A propos de l'ordre de traitement des rgles

Les rgles de filtrage sont classes squentiellement, de la priorit la plus leve la priorit la plus basse ou du haut vers le bas dans la liste Rgles. Le pare-feu examine les rgles dans cet ordre. Si la premire rgle ne spcifie pas comment traiter un paquet, le pare-feu examine la deuxime pour obtenir des informations sur la manire de traiter un paquet. Ce processus se poursuit jusqu' ce que le pare-feu trouve une correspondance. Une fois qu'il a trouv une correspondance, le pare-feu effectue l'action que la rgle spcifie et les rgles de priorit infrieure suivantes ne sont pas examines. Par exemple, si une rgle qui bloque tout le trafic est rpertorie en premier et est suivie d'une rgle qui autorise tout le trafic, le client bloque tout le trafic. Tableau 28-1 Ordre de traitement des rgles de filtrage, des signatures IPS et des paramtres Paramtre
Signatures IPD personnalises Paramtres de prvention d'intrusion, paramtres de trafic et paramtres furtifs Filtres intelligents de trafic Rgles de filtrage Vrification d'analyse de port Signatures IPS tlcharges via LiveUpdate
Priorit
Premier Second
Troisime Quatrime Cinquime Sixime
La liste Rgles contient une ligne de dmarcation bleue. La ligne de dmarcation dfinit la priorit des rgles dans les situations suivantes :
Quand un sous-groupe hrite des rgles d'un groupe parent.
526
Quand le client est dfini sur un contrle mixe. Le pare-feu traite les rgles de serveur et les rgles client. liste Rgles
Figure 28-4
Se reporter "A propos des rgles de filtrage" la page 519.
A propos des rgles hrites

Le pare-feu traite les rgles de filtrage hrites dans la liste Rgles, comme suit :
Au-del de la ligne sparatrice bleue, les rgles dont hrite la politique priment sur les rglent que vous crez. Sous la ligne de dmarcation bleue, les rgles que vous crez ont la priorit sur les rgles dont la politique hrite.
Figure 28-5 indique dans quel ordre la liste Rgles organise les rgles lorsqu'un sous-groupe hrite des rgles d'un groupe parent. Dans cet exemple, le groupe de ventes est le groupe parent. Le groupe de ventes de l'Europe hrite du groupe de ventes.
527
Figure 28-5
Groupe Vente
Exemple d'hritage des rgles de filtrage

Groupe Vente Europe
Vente Europe hrite des rgles de filtrage de Vente
Groupe Vente Europe Rgle 1

Prioritaire
Rgle 1
Rgle 3 Rgle 3
Ligne bleue
Ligne bleue
Ligne bleue
Rgle 2
Rgle 4
Rgle 4
Prioritaire
Rgle 2
Se reporter "Ajouter des rgles hrites d'un groupe parent" la page 534.
A propos des rgles de serveur et des rgles de client

Il existe deux catgories de rgles : les rgles de serveur et les rgles de client. Les rgles de serveur sont les rgles que vous crez dans Symantec Endpoint Protection Manager et qui sont tlcharges vers le client Symantec Endpoint Protection. Les rgles de client sont les rgles que l'utilisateur cre sur le client. Tableau 28-2 dcrit le rapport entre le niveau de contrle de l'utilisateur du client et l'interaction de l'utilisateur avec les rgles de filtrage. Tableau 28-2 Etat de niveau de contrle et de rgle de l'utilisateur
Niveau de contrle de Interaction utilisateur l'utilisateur

Contrle du serveur Le client reoit des rgles du serveur mais l'utilisateur ne peut pas les afficher. L'utilisateur ne peut pas crer des rgles de client. Le client reoit des rgles de serveur. L'utilisateur peut crer des rgles de client, qui sont fusionnes avec les rgles de serveur et les paramtres de scurit de client. Le client ne reoit pas les rgles de serveur. L'utilisateur peut crer des rgles de client. Vous ne pouvez pas afficher les rgles de client.
Contrle mixte
Contrle client
528
Se reporter "Configuration des paramtres d'interface utilisateur" la page 183. Pour les clients du contrle mixte, le pare - feu traite les rgles de serveur et les rgles de client dans un ordre prcis. Tableau 28-3 tablit l'ordre de traitement des rgles de serveur, des rgles de client et des paramtres de client par le pare-feu. Tableau 28-3 Priorit
Premier
Priorit de traitement des rgles de serveur et des rgles de client Type ou paramtre de rgle
Rgles de serveur avec niveaux de priorit levs (rgles au-dessus de la ligne bleue de la liste Rgles) Rgles de client Rgles de serveur avec niveaux de priorit infrieurs (rgles en dessous de la ligne bleue de la liste Rgles) Sur le client, les rgles de serveur en dessous de la ligne bleue sont traites aprs les rgles de client.
Second Troisime
Quatrime Cinquime
Paramtres de scurit de client Paramtres de client spcifiques des applications
Sur le client, les utilisateurs peuvent modifier une rgle ou un paramtre de scurit de client, mais les utilisateurs ne peuvent pas modifier une rgle de serveur. Avertissement : Si le client est en contrle mixte, les utilisateurs peuvent crer une rgle de client qui autorise tout le trafic. Cette rgle remplace toutes les rgles de serveur en dessous de la ligne bleue. Se reporter "Modification de l'ordre des rgles" la page 536.
A propos de l'inspection Stateful

Le pare-feu utilise une inspection dynamique des paquets, processus qui surveille les informations sur les connexions en cours, telles que les adresses IP source et de destination, les ports et les applications. Le client prend des dcisions sur le trafic en utilisant ces informations de connexion avant d'examiner les rgles de filtrage. Par exemple, si une rgle de filtrage autorise un client se connecter un serveur Web, le pare-feu consigne les informations de connexion. Lorsque le serveur rpond, le pare-feu dcouvre qu'une rponse du serveur Web au client est attendue
529
et autorise le trafic du serveur Web vers le client ayant initi la connexion sans inspecter la base de rgle. Une rgle doit autoriser le trafic sortant initial avant que le pare-feu ne consigne la connexion. L'inspection dynamique des paquets permet de simplifier les bases de rgle dans la mesure o il est inutile de crer des rgles qui autorisent le trafic dans les deux sens, pour le trafic habituellement transmis dans un seul sens. Le trafic client gnralement initi dans une direction inclut Telnet (port 23), HTTP (port 80) et HTTPS (port 443). Les clients initient ce trafic vers la sortie de sorte qu'il vous suffit de crer une rgle autorisant le trafic sortant pour ces protocoles. Le pare-feu autorise le trafic de retour. En ne configurant que des rgles sortantes, vous augmentez la scurit client comme suit :

En rduisant la complexit de la base de rgle. En supprimant la possibilit qu'un ver ou autre programme malveillant puisse tablir des connexions avec un client sur les ports configurs pour le trafic sortant uniquement. Vous pouvez galement ne configurer que des rgles de trafic entrant pour le trafic vers des clients qui n'en sont pas les initiateurs.
L'inspection Stateful prend en charge toutes les rgles qui rgissent le trafic TCP. L'inspection Stateful ne prend pas en charge les rgles qui filtrent le trafic ICMP. Pour le trafic ICMP, vous devez crer les rgles autorisant le trafic dans les deux directions lorsque c'est ncessaire. Par exemple, si vous souhaitez que les clients utilisent la commande ping et reoivent des rponses, vous devez crer une rgle autorisant le trafic ICMP dans les deux directions. Le pare-feu tant tat, il vous suffit de crer des rgles qui tablissent une connexion, et non les caractristiques d'un paquet particulier. Tous les paquets propres une connexion autorise sont implicitement autoriss en tant que constituant intgral de cette mme connexion. Se reporter "A propos des rgles de filtrage" la page 519.
A propos des connexions UDP

Dans le cas des communications UDP, le client analyse le premier datagramme UDP et applique l'action effectue sur celui-ci tous les datagrammes UDP suivants de la session en cours. Le trafic entrant ou sortant entre les mmes ordinateurs est considr comme faisant partie de la connexion UDP. Pour le trafic UDP l'tat activ, quand une connexion UDP est tablie, la communication UDP entrante est autorise, mme si la rgle de filtrage la bloque. Par exemple, si une rgle bloque les communications UDP entrantes pour une application spcifique mais que vous choisissez d'autoriser un datagramme UDP sortant, toutes les communications UDP entrantes sont autorises pour la session
530
Paramtres de base de protection contre les menaces rseau Ajouter des rgles vierges
actuelle de l'application. Pour le trafic UDP sans tat, vous devez crer une rgle de filtrage pour autoriser la rponse de communication UDP entrante. Une session UDP expire au bout de 40 secondes si l'application ferme le port.
Ajouter des rgles vierges

Quand vous crez une nouvelle politique de pare-feu, elle inclut plusieurs rgles par dfaut. Les rgles par dfaut vous donnent la protection de base pour un environnement de bureau. Si vous avez besoin de rgles de pare-feu supplmentaires, vous pouvez les ajouter. Vous pouvez ajouter des rgles comme suit :

Ajoutez une rgle vierge la liste, puis configurez-la manuellement. Excutez l'assistant de cration de rgles de filtrage. Se reporter "Ajouter des rgles avec un assistant" la page 533.
Pour simplifier la gestion de la base de rgle, vous devez spcifier le trafic entrant et sortant dans la rgle autant que possible. Vous n'avez pas besoin de crer des rgles entrantes pour le trafic tel que HTTP. Le client Symantec Endpoint Protection utilise l'inspection "Stateful" pour le trafic TCP et n'a pas besoin d'une rgle pour filtrer le trafic de retour initi par les clients. Se reporter "A propos de l'inspection Stateful" la page 528. Pour ajouter des rgles vierges
Dans la console, ouvrez une politique de pare-feu. Se reporter "Modifier une politique" la page 104.
2 3 4 5
Dans la page Politique de pare-feu, cliquez sur Rgles. Dans l'onglet Rgles, sous la liste Rgles, cliquez sur Ajouter une rgle vierge. Dans la zone de texte Nom, entrez le nom de la rgle. Dans le champ Gravit, cliquez sur la liste droulante et slectionnez une des options suivantes :

Critique Majeur Mineur Information
531
Cliquez avec le bouton droit de la souris sur le champ Application, cliquez sur Edition et dans la bote de dialogue Liste d'applications, dfinissez une application. Se reporter "Ajouter des applications une rgle" la page 570.
7 8
Cliquez sur OK, puis sur OK de nouveau. Cliquez avec le bouton droit de la souris sur le champ Hte, cliquez sur Edition et dans la liste Hte, dfinissez un hte. Se reporter "Ajout d'htes et de groupes d'htes une rgle" la page 562.
Cliquez sur OK, puis sur OK de nouveau. Edition, puis dfinissez une planification. Se reporter "Ajout de planifications une rgle" la page 572.
10 Cliquez avec le bouton droit de la souris sur le champ Heure, cliquez sur
11 Cliquez sur OK, puis sur OK de nouveau. 12 Cliquez avec le bouton droit de la souris sur le champ Service, puis cliquez
sur Modifier pour ajouter ou configurer un service de rseau personnalis. Se reporter "Ajout des services rseau une rgle" la page 565.
13 Cliquez sur OK. 14 Cliquez avec le bouton droit de la souris sur le champ Adaptateur et
slectionnez un ou plusieurs des lments suivants :

Tous les adaptateurs Tout VPN A distance Ethernet Sans fil Plus d'adaptateurs Vous pouvez ajouter des adaptateurs spcifiques au fabricant en les slectionnant dans une liste
Se reporter "Ajouter des adaptateurs rseau" la page 568.
15 Cliquez avec le bouton droit de la souris sur le champ Ecran de veille et

slectionnez l'tat de ce dernier :

Activ Dsactiv N'importe lequel
532
16 Cliquez avec le bouton droit de la souris sur le champ Opration et

slectionnez l'action que vous voulez que le pare-feu effectue quand le trafic correspond la rgle :

Autoriser Bloquer Demander
17 Cliquez avec le bouton droit de la souris sur le champ Consignation et

slectionnez une ou plusieurs actions de consignation que vous voulez que le pare-feu prenne quand le trafic correspond la rgle :

Enregistrer dans le journal de trafic Enregistrer dans le journal des paquets Envoyer une alerte par message lectronique Se reporter "Configurer les messages lectroniques pour les vnements de trafic" la page 574.
Le champ Cr n'est pas modifiable. Si la politique est partage, le champ affiche le terme Partag. Si la politique n'est pas partage, le champ affiche le nom du groupe auquel la politique non-partage est attribue.
18 Cliquez avec le bouton droit de la souris sur le champ Description et puis

cliquez sur Edition.
19 Dans la bote de dialogue Saisissez la description, tapez une description

facultative pour la rgle et cliquez sur OK.
20 Quand vous avez termin d'ajouter la rgle, effectuez l'une des oprations
suivantes :

Ajoutez une nouvelle rgle. Ajoutez les paramtres de filtrage de trafic intelligent ou les paramtres de trafic et de discrtion. Se reporter "Activation du filtrage de trafic intelligent" la page 537. Se reporter "Activation des paramtres de trafic et des paramtres furtifs" la page 538. Si vous en avez termin avec la configuration de la politique, cliquez sur OK.
21 Le cas chant, attribuez la politique un emplacement.

Se reporter "Affectation d'une politique partage" la page 105.
Paramtres de base de protection contre les menaces rseau Ajouter des rgles avec un assistant
533
Ajouter des rgles avec un assistant

Utilisez l'assistant de rgle de filtrage pour crer l'un des types de rgles suivants :
Rgles d'application Une rgle qui est base sur un processus spcifique en cours d'excution qui tente d'utiliser des ressources rseau. Rgles de l'hte Une rgle qui est base sur les terminaux clients des connexions rseau. Une rgle qui est base sur les protocoles qui sont utiliss par des connexions rseau.
Rgles de service
Il se peut que vous deviez inclure deux critres ou plus pour dcrire le trafic rseau spcifique, tel qu'un protocole particulier qui provient d'un hte spcifique. Vous devez configurer la rgle aprs l'avoir ajoute, parce que l'assistant de rgle de filtrage ne configure pas de nouvelles rgles avec plusieurs critres. Quand vous vous tes familiaris avec la faon dont des rgles sont dfinies et traites, ll se peut que vous vouliez ajouter des rgles vierges et configurer les divers champs selon les besoins. Une rgle vierge autorise tout le trafic. Se reporter "Ajouter des rgles vierges" la page 530. Pour ajouter des rgles avec un assistant
2 3 4 5 6 7 8 9
Sur la page de politique de pare-feu, cliquez sur Rgles. Dans l'onglet Rgles, sous la liste Rgles, cliquez sur Ajouter une rgle. Dans l'assistant de rgle de filtrage, cliquez sur Suivant. Dans le panneau Slectionner un type de rgle, slectionnez un des types de rgles. Cliquez sur Suivant. Entrez les donnes sur chaque panneau pour crer le type de rgle que vous avez slectionn. Pour des applications et des htes, cliquez sur Ajouter d'autres pour ajouter des applications et des services supplmentaires. Lorsque vous avez termin, cliquez sur Terminer. quel champ pour modifier la rgle.
10 Dans la liste Rgles, cliquez avec le bouton droit de la souris sur n'importe 11 Quand vous avez termin la configuration de cette politique, cliquez sur OK.
534
Paramtres de base de protection contre les menaces rseau Ajouter des rgles hrites d'un groupe parent
Ajouter des rgles hrites d'un groupe parent

Vous pouvez ajouter des rgles en hritant seulement les rgles d'un groupe parent. Pour hriter les rgles d'un groupe parent, la politique du sous-groupe doit tre une politique non partag. Remarque : Si le groupe hrite toutes ses politiques d'un groupe parent, cette option est indisponible. Des rgles hrites sont automatiquement actives. La politique du sous-groupe peut hriter seulement des rgles de filtrage qui sont actives sur le groupe parent. Quand vous avez hrit des rgles, vous pouvez les dsactiver, mais vous ne pouvez pas les modifier. Quand les nouvelles rgles sont ajoutes la politique du groupe parent, les nouvelles rgles sont automatiquement ajoutes la politique d'hritage. Quand les rgles hrites apparaissent dans la liste Rgles, elles sont ombres en violet. Au-dessus de la ligne bleue, les rgles hrites sont ajoutes au-dessus des rgles que vous avez cres. Au-dessous de la ligne bleue, les rgles hrites sont ajoutes au-dessous des rgles que vous avez cres. Une politique de pare-feu hrite galement des rgles par dfaut, ainsi la politique de pare-feu du sous-groupe peut avoir deux jeux de rgles par dfaut. Vous pouvez vouloir supprimer un jeu de rgles par dfaut. Si vous voulez supprimer les rgles hrites, vous annulez l'hritage plutt que de les supprimer. Vous devez supprimer toutes les rgles hrites plutt que les rgles slectionnes. Pour ajouter des rgles hrites d'un groupe parent
2 3
Sur la page de politique de pare-feu, cliquez sur Rgles. Dans l'onglet Rgles, au-dessus de la liste Rgles, cochez Hriter des rgles de filtrage du groupe parent. Pour supprimer les rgles hrites, supprimez la coche Hriter des rgles de filtrage du groupe parent.
Cliquez sur OK.
Paramtres de base de protection contre les menaces rseau Importation et exportation de rgles
535
Importation et exportation de rgles

Vous pouvez exporter et importer les rgles et paramtres d'une autre politique de pare-feu, ce qui vous vite d'avoir les rcrer. Par exemple, vous pouvez importer un groupe de rgles partiel d'une politique dans une autre. Pour importer des rgles, vous devez d'abord exporter les rgles vers un fichier .dat et avoir accs ce fichier. Les rgles sont ajoutes dans l'ordre o elles apparaissent dans la politique parente, par rapport la ligne bleue. Vous pouvez ensuite modifier leur ordre de traitement. Pour exporter des rgles
2 3 4
Dans la page Firewall Policy, cliquez sur Rgles. Dans la liste Rgles, slectionnez les rgles que vous voulez exporter, cliquez avec le bouton droit de la souris et cliquez sur Exporter. Dans la bote de dialogue Exporter la politique, localisez un rpertoire pour enregistrer le fichier .dat, tapez un nom de fichier et puis cliquez sur Exporter.
Pour importer des rgles
2 3 4 5 6
Sur la page de politique de pare-feu, cliquez sur Rgles. Cliquez avec le bouton droit de la souris sur la liste Rgles, puis cliquez sur Importer. Dans la bote de dialogue Importer la politique, localisez le fichier .dat qui contient les rgles de filtrage importer et cliquez sur Importer. Dans la bote de dialogue Entre, tapez le nouveau nom de la politique, puis cliquez sur OK. Cliquez sur OK.
Copier et coller des rgles

Vous pouvez copier et coller des rgles de la mme politique ou d'une politique diffrente.
536
Paramtres de base de protection contre les menaces rseau Modification de l'ordre des rgles
Pour copier et coller des rgles
2 3 4 5
Dans la page Politique de pare-feu, cliquez sur Rgles. Dans l'onglet Rgles, cliquez avec le bouton droit de la souris sur la rgle que vous voulez copier, puis cliquez sur Copier la rgle. Cliquez avec le bouton droit de la souris sur la ligne o vous voulez coller la rgle, puis cliquez sur Coller la rgle. Cliquez sur OK.
Modification de l'ordre des rgles

Le pare-feu traite la liste des rgles de pare-feu de haut en bas. Vous pouvez dterminer comment le pare-feu traite les rgles de pare-feu en modifiant leur ordre. Lorsque vous modifiez l'ordre, ce changement ne concerne que l'emplacement slectionn. Pour modifier l'ordre des rgles
2 3
Dans la page de politique de pare-feu, cliquez sur Rgles, puis slectionnez la rgle que vous voulez dplacer. Effectuez l'une des oprations suivantes :

Pour traiter cette rgle avant la rgle prcdente, cliquez sur Vers le haut. Pour traiter cette rgle aprs la rgle qui se trouve au-dessous de elle, cliquez sur Vers le bas.
Cliquez sur OK.
Activer et dsactiver des rgles

Les rgles doivent tre actives pour que le pare-feu les traite. Vous pouvez dsactiver une rgle de filtrage si vous devez accorder un accs spcifique un ordinateur ou un programme. La rgle est dsactive pour tous les emplacements s'il s'agit d'une politique partage et pour un seul emplacement s'il s'agit d'une politique spcifique un emplacement. La rgle est galement dsactive pour toutes les politiques hrites.
Paramtres de base de protection contre les menaces rseau Activation du filtrage de trafic intelligent
537
Pour activer et dsactiver des rgles
2 3 4
Dans la page Politique de pare-feu, cliquez sur Rgles. Dans l'onglet Rgles, slectionnez la rgle que vous voulez activer ou dsactiver, puis cochez ou dcochez la case dans la colonne Active. Cliquez sur OK.
Activation du filtrage de trafic intelligent

Les filtres de trafic intelligents permettent la communication entre certains services rseau de sorte que vous n'avez pas besoin de dfinir les rgles qui permettent explicitement ces services. Les filtres de trafic intelligents permettent d'effectuer les demandes sortantes et les rponses entrantes sur les connexions rseau configures pour utiliser DHCP, DNS et WINS. Les filtres permettent aux clients DHCP, DNS ou WINS de recevoir une adresse IP d'un serveur tout en protgeant les clients contre des attaques partir du rseau.
Si le client envoie une demande au serveur, le client attend cinq secondes pour permettre une rponse entrante. Si le client n'envoie pas de demande au serveur, chaque filtre ne permet pas le paquet.
Les filtres intelligents permettent le paquet si une demande a t faite. Ils ne bloquent pas des paquets. Les rgles de filtrage permettent ou bloquent des paquets. Remarque : Pour configurer ces paramtres dans le contrle mixte, vous devez galement activer ces paramtres dans la bote de dialogue Paramtres de contrle mixtes de l'interface utilisateur du client. Se reporter "A propos du contrle mixte" la page 182. Pour activer le filtrage de trafic intelligent
2 3
Dans la page Politique de pare-feu, cliquez sur Filtres de trafic intelligents. Si elles ne sont pas dj coches, cochez les cases suivantes votre gr :
538
Paramtres de base de protection contre les menaces rseau Activation des paramtres de trafic et des paramtres furtifs
Activer le DHCP intelligent Activer le DNS intelligent Activer le WINS intelligent
Pour plus d'informations sur ces options, cliquez sur Aide.
4 5
Cliquez sur OK. Le cas chant, attribuez la politique un emplacement. Se reporter "Affectation d'une politique partage" la page 105.
Activation des paramtres de trafic et des paramtres furtifs

Vous pouvez permettre divers paramtres du trafic et paramtres furtifs de navigation web de se protger contre certains types d'attaques rseau sur le client. Vous pouvez permettre des paramtres de trafic de dtecter et de bloquer le trafic qui communique par les pilotes, NetBIOS et les anneaux jeton. Vous pouvez galement configurer des paramtres pour dtecter le trafic qui utilise des attaques moins visibles. Vous pouvez galement contrler le comportement du trafic IP ne correspondant aucune rgle de filtrage. Ds que le pare-feu termine certaines oprations, la commande est transmise un certain nombre de composants. Chaque composant est conu pour effectuer un type diffrent d'analyse de paquet. Remarque : Pour configurer ces paramtres en mode contrle mixte, vous devez galement les activer dans la bote de dialogue Paramtres de contrle mixtes de l'interface utilisateur du client. Se reporter "A propos du contrle mixte" la page 182. Pour activer les paramtres de trafic et les paramtres furtifs
2 3
Dans la page Politique de pare-feu, cliquez sur Paramtres de trafic et de furtivit. Si une case cocher n'est pas dj coche, cochez toute cases cocher de la zone de groupe Paramtres du trafic et la zone de groupe Paramtres furtifs. Pour plus d'informations sur ces options, cliquez sur Aide.
Paramtres de base de protection contre les menaces rseau Configuration de l'authentification point point
539
4 5
Cliquez sur OK. Le cas chant, attribuez la politique un emplacement. Se reporter "Affectation d'une politique partage" la page 105.
Configuration de l'authentification point point

Vous pouvez utiliser l'authentification point point pour autoriser un ordinateur client distant (homologue) se connecter un autre ordinateur client (authentificateur) sur le mme rseau d'entreprise. L'authentificateur bloque temporairement le trafic TCP et UDP entrant de l'ordinateur distant jusqu' ce que ce dernier russisse la vrification de l'intgrit de l'hte. La vrification de l'intgrit de l'hte permet de contrler les caractristiques suivantes de l'ordinateur distant :
Symantec Endpoint Protection et Symantec Network Access Control sont installs sur l'ordinateur distant. L'ordinateur distant rpond aux conditions requises par les politiques d'intgrit de l'hte.
Si l'ordinateur distant russit la vrification de l'intgrit de l'hte, l'authentificateur autorise sa connexion. Si l'ordinateur distant choue la vrification de l'intgrit de l'hte, l'authentificateur continue de le bloquer. Vous pouvez galement spcifier le dlai de blocage de l'ordinateur distant avant toute nouvelle tentative de reconnexion l'authentificateur. Il est possible de toujours autoriser la connexion pour certains ordinateurs distants, mme s'ils chouent la vrification de l'intgrit de l'hte. Si vous n'activez pas de politique d'intgrit de l'hte pour l'ordinateur distant, celui-ci russit la vrification. Les informations d'authentification point point sont affiches dans le journal de conformit de client Enforcer et dans le journal de trafic de protection contre les menaces rseau. Remarque : L'authentification point point est possible en mode commande serveur et commande mixte, mais pas en mode contrle client.
Avertissement : N'activez pas l'authentification point point pour les clients installs sur le mme ordinateur que le serveur de gestion. Dans ce cas, le serveur de gestion ne peut pas charger les politiques vers l'ordinateur distant si ce dernier choue la vrification de l'intgrit de l'hte.
540
Paramtres de base de protection contre les menaces rseau Configuration de l'authentification point point
Pour configurer l'authentification point point
2 3 4
Dans la page Politique de pare-feu, cliquez sur Paramtres d'authentification point point. Dans le volet Paramtres d'authentification point point, cochez Activer l'authentification point point. Configurez chacune des valeurs figurant dans la liste de cette page. Pour plus d'informations sur ces options, cliquez sur Aide.
Pour autoriser des ordinateurs distants se connecter l'ordinateur client sans authentification, cochez Exclure les htes de l'authentification, puis cliquez sur Htes exclus. L'ordinateur client autorise le trafic vers les ordinateurs figurant dans la liste des htes.
6 7 8 9
Dans la bote de dialogue Htes exclus, cliquez sur Ajouter pour ajouter les ordinateurs distants dont l'authentification n'est pas ncessaire. Dans la bote de dialogue Hte, dfinissez l'hte l'aide de l'adresse IP, de la plage d'IP, ou du sous-rseau, puis cliquez sur OK. Dans la bote de dialogue Htes exclus, cliquez sur OK. Quand vous avez termin la configuration de cette politique, cliquez sur OK.
10 Le cas chant, attribuez la politique un emplacement.

Chapitre
29
Configuration de la prvention d'intrusion


A propos du systme de prvention d'intrusion Configuration de la prvention d'intrusion Cration de signatures IPS personnalises
A propos du systme de prvention d'intrusion

Le systme de prvention d'intrusion (IPS) est la deuxime couche du client Symantec Endpoint Protection assurant la dfense aprs le pare-feu. Le systme de prvention d'intrusion est un systme bas sur le rseau qui fonctionne sur chaque ordinateur sur lequel le client est install et le systme de prvention d'intrusion est activ. Si une attaque connue est dtecte, une ou plusieurs technologies de prvention d'intrusion peuvent automatiquement la bloquer. Le systme de prvention d'intrusion analyse chaque paquet qui entre et sort des ordinateurs du rseau pour des signatures d'attaque. Les signatures d'attaque sont les squences de paquets qui identifient la tentative d'un attaquant de s'infiltrer dans un systme d'exploitation connu ou d'exploiter la vulnrabilit d'un programme. Si les informations correspondent une attaque connue, IPS rejette automatiquement le paquet. IPS peut galement interrompre la connexion avec l'ordinateur qui a envoy les donnes pendant un laps de temps spcifi. Cette fonction est appele intervention active et elle protge les ordinateurs de votre rseau contre tout dommage.
542
Configuration de la prvention d'intrusion A propos du systme de prvention d'intrusion
Le client inclut les types suivants de moteurs IPS pour identifier les signatures d'attaque.
Signatures IPS de Symantec Les signatures IPS de Symantec utilisent un moteur bas sur flux pour analyser des paquets multiples. Les signatures IPS Symantec interceptent les donnes rseau dans la couche de session et capturent les segments de message envoys entre une application et la pile rseau. Se reporter "A propos des signatures IPS Symantec" la page 542. Signatures IPD personnalises Les signatures IPS personnalises utilisent un moteur bas sur paquet qui analyse chaque paquet individuellement. Se reporter "A propos des signatures IPS personnalises" la page 543.
Le systme de prvention d'intrusion consigne les attaques dtectes dans le journal de scurit. Vous pouvez permettre aux signatures IPS personnalises de consigner des attaques dtectes dans le journal des paquets.
A propos des signatures IPS Symantec

IPS Symantec examine les paquets de deux manires. Elle analyse chaque paquet individuellement pour rechercher les modles de donnes non conformes aux spcifications et pouvant bloquer la pile TCP/IP. Elle contrle galement les paquets en tant que flux d'informations. Elle procde un contrle en recherchant les commandes orientes sur un service particulier pour exploiter ou bloquer le systme. Par ailleurs, IPS peut mmoriser la liste des modles ou modles partiels de paquets prcdents et appliqur ces informations aux inspections suivantes des paquets. Pour dtecter et bloquer les activits rseau douteuses, IPS s'appuie sur une vaste liste de signatures d'attaque. L'quipe Symantec Security Response fournit la liste des menaces connues, que vous pouvez mettre jour sur le client en utilisant Symantec LiveUpdate. Tlchargez les signatures vers la console, puis utilisez une politique de contenu LiveUpdate pour les tlcharger vers le client. Le moteur Symantec IPS et le jeu correspondant de signatures IPS sont installs sur le client par dfaut. Se reporter "Configuration d'une politique de contenu LiveUpdate" la page 153. Vous pouvez galement modifier le comportement des signatures IPS Symantec. Se reporter "Modifier le comportement des signatures IPS Symantec" la page 546.
Configuration de la prvention d'intrusion A propos du systme de prvention d'intrusion
543
A propos des signatures IPS personnalises

Le client contient un moteur IPS supplmentaire qui prend en charge les signatures bases sur paquet. Tant le moteur bas sur flux que celui bas sur paquet dtectent les signatures dans les donnes rseau qui attaquent la pile TCP/IP, les composants du systme d'exploitation et la couche application. Cependant, les signatures bases sur paquet peuvent dtecter des attaques dans la pile TCP/IP plus tt que les signatures bases sur flux. Le moteur bas sur paquet ne dtecte pas les signatures couvrant plusieurs paquets. Le moteur IPS bas sur paquet est plus limit, car il ne bufferise pas les correspondances partielles et analyse seulement les rsultats d'activation de paquets uniques. les signatures bases sur paquet examinent un paquet unique qui correspond une rgle. La rgle est base sur divers critres, tels que le port, le protocole, la source ou l'adresse IP de destination, le numro d'indicateur TCP ou une application. Par exemple, une signature personnalise peut contrler les paquets de donnes qui sont reus pour la chane "phf" dans GET / cgi-bin/phf? comme indicateur d'une attaque de programme CGI. Chaque paquet est valu pour ce modle spcifique. Si le paquet de trafic correspond la rgle, le client permet ou bloque le paquet et consigne ventuellement l'vnement dans le journal des paquets. Une signature IPS personnalise inclut les lments suivants :
Nom descriptif Le nom et la description apparaissent dans le journal de scurit et sur option dans le journal des paquets. Description facultative Gravit Fournit un niveau de gravit pour l'vnement dans le journal de scurit si l'vnement dclenche la signature. Direction du trafic Contenu Le contenu est la syntaxe. Utilisez la syntaxe standard suivante :
rgle type_protocole, [options_protocole,] [options_protocole_IP,] message, contenu...
rgle type_protocole, [options_protocole,] [option_protocole_IP,] = description du trafic message = chane de texte qui apparat dans le journal de scurit.
544
Configuration de la prvention d'intrusion Configuration de la prvention d'intrusion
contenu = chane compare au composant de charge utile dans le paquet pour une correspondance possible.
Application facultative En option, vous pouvez fournir le nom de l'application qui dclenche la signature. Le moteur IPS peut alors faire correspondre la signature pour seulement les applications spcifies au lieu de toutes les applications. En fournissant le nom de l'application, vous pouvez galement aider rduire les faux positifs que d'autres applications peuvent gnrer. Opration effectuer quand l'vnement dclenche la signature. Quand une signature est dclenche, le trafic est permis ou bloqu et cette action est consigne dans le journal de scurit. Vous devriez bloquer le trafic si la gravit est leve. Permettez le trafic si vous voulez seulement contrler le trafic. Vous pouvez en option enregistrer l'vnement dans le journal des paquets. Le journal des paquets contient un vidage mmoire du paquet de la transaction.
Les signatures peut entraner des faux positifs car ils sont souvent bass sur des expressions rgulires et des correspondances de chanes. Les signatures personnalises utilisent les deux critres pour rechercher des chanes en essayant de correspondre un paquet. Le client n'inclut pas les signatures personnalises par dfaut. Vous crez des signatures IPS personnalises. Se reporter "Cration de signatures IPS personnalises" la page 550.
Configuration de la prvention d'intrusion

Les paramtres IPS par dfaut protgent les ordinateurs client contre une grande varit de menaces. Vous pouvez personnaliser les paramtres par dfaut de votre rseau. Vous pouvez personnaliser les paramtres IPS des faons suivantes :
Activez les paramtres de prvention d'intrusion. Se reporter "Activation des paramtres de prvention d'intrusion" la page 545. Modifiez le comportement des signatures d'attaque spcifiques. Se reporter "Modifier le comportement des signatures IPS Symantec" la page 546. Excluez l'analyse de certains ordinateurs. Se reporter "Installation d'une liste des ordinateurs exclus" la page 549. Bloquez automatiquement un ordinateur attaquant. Se reporter " Blocage d'un ordinateur attaquant" la page 548.
545
Activez les notifications de prvention d'intrusion. Se reporter "Configurer des notifications pour la protection contre les menaces rseau" la page 573. Crez des signatures IPS personnalises. Se reporter "Cration de signatures IPS personnalises" la page 550.
A propos de l'utilisation des politiques de prvention d'intrusion

Except les signatures IPS personnalises et les notifications de prvention d'intrusion, lorsque vous configurez la prvention d'intrusion, vous crez une politique de prvention d'intrusion. Pour les signatures IPS personnalises, vous crez une bibliothque IPS personnalise. Vous crez et modifiez les politiques de prvention d'intrusion de la mme manire que vous crez et modifiez d'autres types de politiques. Vous pouvez attribuer, retirer, remplacer, copier, exporter, importer ou supprimer une politique de prvention d'intrusion ou une bibliothque de prvention d'intrusion personnalise. Vous attribuez gnralement une politique plusieurs groupes de votre rseau de scurit. Vous pouvez crer une politique non partage un emplacement spcifique si un emplacement particulier ncessite des conditions spcifiques. Les procdures de ce chapitre supposent que vous matrisez les bases de la configuration des politiques. Se reporter "Utilisation de politiques pour grer la scurit du rseau" la page 96.
Activation des paramtres de prvention d'intrusion

Vous pouvez bloquer certains types d'attaques sur le client, selon la technologie de prvention d'intrusion que vous slectionnez. Vous devez permettre aux paramtres de prvention d'intrusion d'activer le moteur de signatures IPS de Symantec ou le moteur personnalis de signatures IPS. Si vous n'activez pas ce paramtre, le client ignore les signatures d'attaque possibles. Remarque : Pour configurer ces paramtres en commande mixte, vous devez galement activer ces paramtres dans la bote de dialogue Paramtres de contrle mixtes de l'interface utilisateur du client. Se reporter "Configurer des paramtres de protection contre les menaces rseau pour la commande mlange" la page 559.
546
Pour plus d'informations sur ces options, cliquez sur Aide. Pour activer des paramtres de prvention d'intrusion
Dans la console, ouvrez une politique de prvention d'intrusion. Se reporter "Modifier une politique" la page 104.
2 3
Sur la page de politique de prvention d'intrusion, cliquez sur Paramtres. Sur la page de Paramtres, slectionnez les cases cocher suivantes qui s'appliquent :

Activer la prvention d'intrusion Activer la dtection de dni de service Activer la dtection d'analyse de port
Quand vous avez termin de configurer cette politique, cliquez sur OK. Se reporter "Installation d'une liste des ordinateurs exclus" la page 549.
Modifier le comportement des signatures IPS Symantec

Vous pouvez vouloir modifier le comportement par dfaut des signatures IPS Symantec pour les raisons suivantes :
Pour rduire la possibilit d'un faux positif. Certaines activits de rseau inoffensives peuvent ressembler des signatures d'attaque. Si vous recevez des avertissements rpts portant sur des attaques potentielles et dclenchs par des comportements inoffensifs, vous pouvez exclure la signature d'attaque correspondante. Pour rduire la consommation des ressources en rduisant le nombre de signatures d'attaque pour lesquelles le client procde une vrification. En revanche, vous devez vous assurer qu'une signature d'attaque ne reprsente aucune menace avant de l'exclure du blocage.
Vous pouvez modifier l'action que le client effectue quand l'IPS identifie une signature d'attaque. Vous pouvez galement dcider si le client consigne ou non l'vnement dans le journal de scurit. Remarque : Pour modifier le comportement d'une signature IPS personnalise que vous crez ou importez, modifiez la signature directement.
547
Pour modifier le comportement des signatures IPS Symantec
2 3 4
Dans la page de politique de prvention d'intrusion, cliquez sur Exceptions. Dans la page Exceptions, cliquez sur Ajouter. Dans la bote de dialogue Ajouter des exceptions de prvention d'intrusion, effectuez l'une des actions suivantes pour filtrer les signatures :
Pour afficher les signatures dans une catgorie particulire, slectionnez une option dans la liste droulante Afficher la catgorie. Pour afficher les signatures classes avec une gravit particulire, slectionnez une option dans la liste droulante Afficher la gravit.
Slectionnez une ou plusieurs signatures IPS. Pour rendre le comportement de toutes les signatures identique, cliquez sur Slectionner tout.
6 7 8
Cliquez sur Suivant. Dans la bote de dialogue Opration de la signature, redfinissez l'action de Bloquer Autoriser ou de Autoriser Bloquer. Vous pouvez ventuellement modifier l'opration de consignation de l'une ou l'autre des manires suivantes :

Redfinissez l'option Consigner le trafic sur Ne pas consigner le trafic. Redfinissez l'option Ne pas consigner le trafic sur Consigner le trafic.
Cliquez sur OK. Si vous voulez supprimer l'exception et retourner au comportement d'origine de la signature, slectionnez la signature et cliquez sur Supprimer.
10 Cliquez sur OK. 11 Si vous souhaitez modifier le comportement d'autres signatures, rptez les
tapes 3 10.
12 Une fois que vous avez termin de configurer cette politique, cliquez sur OK.
Pour supprimer l'exception
Dans la page de politique de prvention d'intrusion, cliquez sur Exceptions.
548
3 4
Dans le volet Exceptions, slectionnez l'exception que vous voulez supprimer et cliquez sur Supprimer. Quand vous tes invit confirmer la suppression, cliquez sur Oui.
Blocage d'un ordinateur attaquant

Si le client Symantec Endpoint Protection dtecte une attaque rseau, il peut bloquer automatiquement la connexion pour s'assurer que l'ordinateur client est sr. Le client active une intervention active qui bloque automatiquement toute la communication vers et depuis l'ordinateur attaquant pendant un laps de temps dfini. L'adresse IP de l'ordinateur attaquant est bloque pour un unique emplacement. L'adresse IP du pirate est consigne dans le journal de scurit. Dans le contrle du client, les utilisateurs peuvent dbloquer une attaque en arrtant l'intervention active dans le journal de scurit. Si vous dfinissez le client pour un contrle mixte, vous pouvez spcifier si le paramtre peut tre activ ou non par l'utilisateur sur le client. S'il n'est pas activ, vous devez l'activer dans la bote de dialogue Paramtres de contrle mixte de l'interface utilisateur du client. Se reporter "Configurer des paramtres de protection contre les menaces rseau pour la commande mlange" la page 559. Les signatures IPS mises jour, les signatures de dni de service mises jour, les analyses de port et l'usurpation d'adresse MAC dclenchent galement une intervention active. Pour bloquer un ordinateur attaquant
2 3 4
Sur la page de politique de prvention d'intrusion, cliquez sur Paramtres. Sur la page de Paramtres, slectionnez Bloquer automatiquement l'adresse IP d'un attaquant. Dans la zone de texte Nombre de secondes du blocage de l'adresse IP ... secondes, spcifiez le nombre de secondes pendant lesquelles les pirates potentiels sont bloqus. Introduisez un nombre compris entre une et 999 999 secondes.
Quand vous avez termin de configurer cette politique, cliquez sur OK.
549
Installation d'une liste des ordinateurs exclus

Le client Symantec Endpoint Protection peut dfinir quelques activits Internet normales comme des attaques. Par exemple, certains fournisseurs d'accs Internet analysent les ports de l'ordinateur afin de vrifier que vous respectez leur contrat. Ou, vous pouvez avoir quelques ordinateurs dans votre rseau interne que vous voulez installer des fins du test. Vous pouvez crer une liste des ordinateurs pour lesquels le client ignore les signatures d'attaque ou ne vrifie pas le trafic pour dtecter les attaques par dni de service. Le client autorise tout le trafic entrant et sortant qui transite par ces htes, quels que soient les rgles et les paramtres du pare-feu ou les signatures IPS. Remarque : Vous pouvez galement configurer une liste d'ordinateurs qui permet tout le trafic entrant et le trafic sortant moins qu'une signature IPS ne dtecte une attaque. Dans ce cas-ci, vous crez une rgle de pare-feu qui autorise tous les htes. Pour configurer une liste des ordinateurs exclus
2 3 4 5
Sur la page de politique de prvention d'intrusion, cliquez sur Paramtres. Si ce n'est dj fait, slectionnez Activer les htes exclus et cliquez sur Htes exclus. Dans la bote de dialogue Htes exclus, cliquez sur Ajouter. Dans la bote de dialogue Hte, dans la liste droulante, slectionnez un des types d'hte suivants :

Adresse IP Intervalle IP Sous-rseau
Entrez les informations appropries qui sont associes au type d'hte que vous avez slectionn. Pour plus d'informations sur ces options, cliquez sur Aide.
7 8
Cliquez sur OK. Rptez 4 et 7 pour ajouter des priphriques et des ordinateurs supplmentaires la liste des ordinateurs exclus.
550
Configuration de la prvention d'intrusion Cration de signatures IPS personnalises
Pour modifier ou supprimer des htes exclus, slectionnez une ligne et cliquez sur Edition ou sur Supprimer.
10 Cliquez sur OK. 11 Quand vous avez fini de configurer la politique, cliquez sur OK.
Cration de signatures IPS personnalises

Vous pouvez enregistrer vos propres signatures pour identifier une intrusion spcifique et pour rduire la possibilit de signatures qui entranent un faux positif. Plus vous ajoutez d'informations une signature personnalise, plus celle-ci est efficace. Quand vous crez une bibliothque personnalise, vous pouvez organiser des signatures en groupes pour les grer plus facilement. Vous devez ajouter au moins un groupe de signatures une bibliothque personnalise de signatures avant d'ajouter les signatures au groupe. Vous pouvez copier et coller des signatures entre les groupes et entre les bibliothques. Avertissement : Vous devez tre familiaris avec les protocoles TCP, UDP ou ICMP pour dvelopper des signatures de prvention d'intrusion. Une signature incorrectement forme peut corrompre la bibliothque IPS personnalise et endommager l'intgrit des clients. Pour crer des signatures IPS personnalises, vous devez effectuer les tapes suivantes :

Crez une bibliothque IPS personnalise. Ajoutez une signature.
Pour crer une bibliothque IPS personnalise
1 2 3
Dans la console, cliquez sur Politiques et cliquez sur Prvention d'intrusion. Sous Tches, cliquez sur Ajouter des signatures de prvention d'intrusion personnalise. Dans la bote de dialogue Signatures personnalises de prvention d'intrusion, tapez un nom et description facultative pour la bibliothque. Le groupe NetBIOS Groupe est un groupe de signatures tmoin avec une signature tmoin. Vous pouvez modifier le groupe existant ou ajouter un nouveau groupe.
Pour ajouter un nouveau groupe, sur l'onglet Signatures, sous la liste Groupes de signatures, cliquez sur Ajouter.
551
Dans la bote de dialogue Groupe de signatures de prvention d'intrusion, tapez un nom de groupe et une description facultative et cliquez sur OK. Le groupe est activ par dfaut. Si le groupe de signatures est activ, toutes les signatures au sein du groupe sont actives automatiquement. Pour conserver le groupe pour rfrence mais le dsactiver, supprimez la coche Activer ce groupe.
Ajoutez une signature personnalise.
Pour ajouter une signature personnalise
1 2 3 4
Crez une bibliothque IPS personnalise. Sur l'onglet Signatures, sous Signatures pour ce groupe, cliquez sur Ajouter. Dans la bote de dialogue Ajouter une signature, tapez un nom et une description facultative pour la signature. Dans la liste droulante Gravit, slectionnez un niveau de gravit. Les vnements qui correspondent aux conditions de signature sont consigns avec cette gravit.
5 6
Dans la liste droulante Sens, spcifiez la direction du trafic que vous voulez que la signature vrifie. Dans le champ Contenu, tapez la syntaxe de la signature. Pour plus d'informations sur la syntaxe, cliquez sur Aide.
7 8
Si vous voulez qu'une application dclenche la signature, cliquez sur Ajouter. Dans la bote de dialogue Ajouter une application, tapez le nom de fichier et une description facultative pour l'application. Par exemple, pour ajouter l'application Internet Explorer, entrez iexplore ou iexplore.exe en tant que nom de fichier. Si vous ne spcifiez pas de nom de fichier, n'importe quelle application peut dclencher la signature.
Cliquez sur OK. L'application ajoute est active par dfaut. Si vous voulez dsactiver l'application plus tard, dcochez la case de la colonne Enabled (Activ).
10 Dans la zone de groupe Action, slectionnez l'action que vous voulez que le
client effectue quand la signature dtecte l'vnement :
Bloquer Identifie et bloque les vnements ou les attaques et les enregistre dans le Journal de Scurit. Identifie et autorise les vnements ou les attaques et les enregistre dans le Journal de Scurit.
Autoriser
552
11 Pour enregistrer l'vnement ou l'attaque dans le journal des paquets, cochez

Ecrire dans le journal des paquets.
12 Cliquez sur OK.

La signature ajoute est active par dfaut. Si vous voulez dsactiver la signature plus tard, dcochez la case de la colonne Enabled (Activ).
13 Pour ajouter des signatures supplmentaires au groupe de signatures, rptez

les tapes 2 12. Pour modifier ou supprimer une signature, slectionnez-la et cliquez sur Modifier ou Supprimer.
14 Si vous avez termin avec la configuration de cette bibliothque, cliquez sur

OK.
15 Si vous y tes invit, attribuez les signatures IPS personnalises un groupe.

Se reporter "Affectation d'une politique partage" la page 105. Vous pouvez galement attribuer des bibliothques IPS personnalises multiples un groupe. Se reporter "Attribution de multiples bibliothques IPS personnalises un groupe" la page 552.
Attribution de multiples bibliothques IPS personnalises un groupe

Aprs avoir cr une bibliothque IPS personnalise, vous l'attribuez un groupe plutt qu' un emplacement particulier. Vous pouvez ultrieurement attribuer au groupe des bibliothques IPS personnalises supplmentaires. Pour attribuer de multiples bibliothques IPS personnalises un groupe
1 2 3 4
Dans la console, cliquez sur Clients. Sous Afficher les clients, slectionnez le groupe auquel vous souhaitez attribuer les signatures personnalises. Dans l'onglet Politiques, sous Politiques et paramtres indpendants de l'emplacement, cliquez sur Prvention d'intrusion personnalise. Dans la bote de dialogue Prvention d'intrusion personnalise pour nom de groupe, vrifiez la case cocher de la colonne Active de chaque bibliothque IPS attribuer ce groupe. Cliquez sur OK.
553
Modifier l'ordre des signatures

Le moteur IPS de signatures personnalises vrifie les signatures dans l'ordre dans lequel elles sont rpertories dans la liste des signatures. Une seule signature est dclenche par paquet. Quand une signature correspond un paquet de trafic entrant ou sortant, le moteur IPS arrte de vrifier les autres signatures. Pour que le moteur IPS excute les signatures dans l'ordre correct, vous pouvez modifier l'ordre des signatures dans la liste de signatures. Si plusieurs signatures correspondent, dplacez vers le haut les signatures prsentant une priorit plus leve. Par exemple, si vous ajoutez un groupe de signatures pour bloquer le trafic TCP dans les deux directions sur le port de destination 80, vous pouvez ajouter les signatures suivantes :

Bloquer l'ensemble du trafic sur le port 80 Autoriser l'ensemble du trafic sur le port 80
Si la signature Bloquer l'ensemble du trafic est rpertorie en premier, la signature Autoriser l'ensemble du trafic n'est jamais excute. Si la signature Autoriser l'ensemble du trafic est rpertorie en premier, la signature Bloquer l'ensemble du trafic n'est jamais excute et l'ensemble du trafic HTTP est toujours autoris. Pour modifier l'ordre des signatures
1 2
Ouvrez une bibliothque IPS personnalise. Ajoutez ou modifiez une signature. Se reporter "Pour ajouter une signature personnalise" la page 551.
Dans l'onglet Signatures, dans la table Signatures pour ce groupe, slectionnez la signature que vous souhaitez dplacer, puis effectuez l'une des oprations suivantes :
Pour traiter cette signature avant la signature situe au-dessus d'elle, cliquez sur Vers le haut. Pour traiter cette signature aprs la signature situe au-dessous elle, cliquez sur Vers le bas.
Une fois que vous avez termin de configurer cette bibliothque, cliquez sur OK.
Copier et coller des signatures

Vous pouvez copier et coller des signatures au sein du mme groupe de signatures, entre des groupes de signatures ou entre des bibliothques de signatures. Par exemple, vous pouvez vous rendre compte que vous avez ajout une signature au
554
mauvais groupe de signatures. Ou bien, vous pouvez vouloir avoir deux signatures presque identiques. Pour copier et coller des signatures
1 2
Ouvrez une bibliothque IPS personnalise. Dans l'onglet Signatures de la bote de dialogue Signatures de prvention d'intrusion personnalises, dans les signatures pour ce tableau de groupe, cliquez avec le bouton droit de la souris sur la signature copier, puis cliquez sur Copier. Cliquez avec le bouton droit de la souris sur la liste de signatures, puis cliquez sur Coller. Quand vous avez fini de configurer cette bibliothque, cliquez sur OK.
3 4
Dfinir des variables pour des signatures

Quand vous ajoutez une signature IPS personnalise, vous pouvez utiliser des variables pour reprsenter des donnes modifiables dans les signatures. Si les donnes changent, vous pouvez modifier la variable au lieu de modifier les signatures dans toute la bibliothque. Pour pouvoir utiliser les variables dans la signature, vous devez les dfinir. Les variables que vous dfinissez dans la bibliothque de signatures personnalise peuvent tre utilises dans n'importe quelle signature de cette bibliothque. Vous pouvez copier et coller le contenu de la variable d'chantillon existante pour dmarrer en tant que base la cration de contenu. Pour dfinir des variables
1 2 3 4
Crez une bibliothque IPS personnalise. Dans la bote de dialogue Signatures personnalises de prvention d'intrusion, cliquez sur l'onglet Variables. Cliquez sur Ajouter. Dans la bote de dialogue Ajouter une variable, tapez un nom pour la variable, ainsi qu'une description si vous le souhaitez.
555
Ajoutez une chane de contenu pour la valeur de la variable, en entrant au maximum 255 caractres. Quand vous entrez la chane de contenu de la variable, observez les rgles de syntaxe que vous utilisez pour entrer des valeurs dans le contenu de signature.
Cliquez sur OK. Une fois la variable ajoute au tableau, vous pouvez l'utiliser dans n'importe quelle signature dans la bibliothque personnalise.
Pour utiliser des variables dans des signatures
Dans l'onglet Signatures, ajoutez ou modifiez une signature. Se reporter "Pour ajouter une signature personnalise" la page 551.
Dans la bote de dialogue Ajouter une signature ou Modifier la signature, dans le champ Contenu, tapez le nom de la variable avec un symbole dollar ($) devant. Par exemple, si vous crez une variable nomme HTTP pour spcifier des ports HTTP, tapez ce qui suit : $HTTP
3 4
Cliquez sur OK. Une fois que vous avez termin de configurer cette bibliothque, cliquez sur OK.
556
Chapitre
30
Personnalisation de la protection contre les menaces rseau


Activer et dsactiver la protection contre les menaces rseau Configurer des paramtres de protection contre les menaces rseau pour la commande mlange Ajouter des htes et des groupes d'htes Modifier et supprimer les groupes d'htes Ajout d'htes et de groupes d'htes une rgle Ajout de services rseau Modifier et supprimer des services rseau personnaliss Ajout des services rseau une rgle Activation du partage des fichiers et des imprimantes du rseau Ajouter des adaptateurs rseau Ajout de cartes rseau une rgle Modifier et supprimer les adaptateurs rseau personnaliss Ajouter des applications une rgle Ajout de planifications une rgle
558
Personnalisation de la protection contre les menaces rseau Activer et dsactiver la protection contre les menaces rseau
Configurer des notifications pour la protection contre les menaces rseau Installation de la surveillance d'application rseau
Activer et dsactiver la protection contre les menaces rseau

Par dfaut, la protection contre les menaces rseau est active. Vous pouvez dsactiver la protection contre les menaces rseau sur des ordinateurs slectionns. Par exemple, il peut tre ncessaire d'installer un correctif sur les ordinateurs client qui sinon obligeraient le pare-feu bloquer l'installation. Si vous dsactivez la protection contre les menaces rseau, elle est automatiquement active quand les cas suivants se produisent :

L'utilisateur arrte et redmarre l'ordinateur client. L'emplacement client passe de contrle de serveur contrle de client. Vous avez configur le client pour activer la protection au bout d'un certain laps de temps. Une nouvelle politique de scurit qui active la protection est tlcharge vers le client.
Vous pouvez galement activer manuellement la protection contre les menaces rseau via les journaux d'tat d'ordinateur. Se reporter "Excuter des commandes et des actions partir des journaux" la page 304. Vous pouvez galement accorder l'utilisateur de l'ordinateur client l'autorisation d'activer ou de dsactiver la protection. Cependant, vous pouvez remplacer le paramtre du client. Ou vous pouvez dsactiver la protection sur le client mme si les utilisateurs l'ont active. Vous pouvez activer la protection mme si les utilisateurs l'ont dsactive. Se reporter "Configuration des paramtres d'interface utilisateur" la page 183. Pour activer et dsactiver la protection contre les menaces rseau pour un groupe
1 2 3
Dans la console, cliquez sur Clients. Sous Afficher les clients, slectionnez un groupe pour lequel vous voulez activer ou dsactiver la protection. Effectuez l'une des oprations suivantes :
Pour tous les ordinateurs et utilisateurs du groupe, cliquez avec le bouton droit de la souris sur le groupe, cliquez sur Excuter la commande sur le
Personnalisation de la protection contre les menaces rseau Configurer des paramtres de protection contre les menaces rseau pour la commande mlange
559
groupe, puis sur Activer la protection contre les menaces rseau ou Dsactiver la protection contre les menaces rseau.
Pour les utilisateurs ou les ordinateurs slectionns dans un groupe, dans l'onglet Clients, slectionnez les utilisateurs ou les ordinateurs. Cliquez ensuite avec le bouton droit de la souris sur la slection, puis cliquez sur Excuter la commande sur les clients > Activer la protection contre les menaces rseau ou Dsactiver la protection contre les menaces rseau.
4 5
Pour confirmer l'action, cliquez sur Oui. Cliquez sur OK.
Configurer des paramtres de protection contre les menaces rseau pour la commande mlange
Vous pouvez installer le client de sorte que les utilisateurs n'aient aucun contrle, un contrle complet ou un contrle limit sur les paramtres de protection contre les menaces rseau qu'ils peuvent configurer. Quand vous configurez le client, utilisez les directives suivantes :
Si vous dfinissez le client sur la commande de serveur, l'utilisateur ne peut crer aucune rgles de filtrage ni activer des paramtres de pare-feu et de prvention d'intrusion. Si vous dfinissez le client sur la commande client, l'utilisateur peut crer des rgles de filtrage et activer tous les paramtres de pare-feu et de prvention d'intrusion. Si vous dfinissez le client sur la commande mlange, l'utilisateur peut crer des rgles de filtrage et vous dcidez quels paramtres de pare-feu et de prvention d'intrusion l'utilisateur peut activer.
Se reporter "Configuration des paramtres d'interface utilisateur" la page 183. Pour configurer des paramtres de protection contre les menaces rseau pour la commande mlange
1 2 3
Dans la console, cliquez sur Clients. Sous Afficher les clients, slectionnez le groupe dont vous souhaitez modifier le niveau de contrle de l'utilisateur. Dans l'onglet Politiques, sous Politiques et paramtres dpendants de l'emplacement, sous un emplacement, dveloppez Paramtres spcifiques aux emplacements. A la droite de Paramtres de contrle d'interface utilisateur client, cliquez sur Tches > Modifier les paramtres.
560
Personnalisation de la protection contre les menaces rseau Ajouter des htes et des groupes d'htes
5 6
Dans la bote de dialogue Paramtres de mode de contrle, cliquez sur Contrle mixte et cliquez sur Personnaliser. Dans l'onglet Paramtres de contrle client/serveur, sous les catgories Politique de pare-feu et Politique de prvention d'intrusion, faites une des actions suivantes :
Pour rendre un paramtre client configurable par les utilisateurs, cliquez sur Client. Pour configurer un paramtre client, cliquez sur Serveur.
7 8 9
Cliquez sur OK. Cliquez sur OK. Pour chaque paramtre de pare-feu et de prvention d'intrusion que vous dfinissez sur Serveur, activez ou dsactivez le paramtre dans la politique de pare-feu ou la politique de prvention d'intrusion. Se reporter "Activation du filtrage de trafic intelligent" la page 537. Se reporter "Activation des paramtres de trafic et des paramtres furtifs" la page 538. Se reporter "Configuration de la prvention d'intrusion" la page 544.
Ajouter des htes et des groupes d'htes

Un groupe d'htes est une collection de noms de domaine de DNS, de noms d'hte DNS, d'adresses IP, d'intervalles IP, d'adresses MAC ou de sous-rseaux groups sous un nom. Les groupes d'htes ont pour but d'viter d'avoir ressaisir les adresses et les noms d'hte. Par exemple, vous pouvez ajouter des adresses IP multiples, une la fois, en suivant une rgle de filtrage. Ou alors, vous pouvez ajouter des adresses IP multiples un groupe d'htes, puis ajouter le groupe la rgle de filtrage. Lorsque vous incorporez des groupes d'htes, vous devez dcrire le lieu d'utilisation des groupes. Si vous dcidez par la suite de supprimer un groupe d'htes, vous devez d'abord supprimer le groupe d'htes de toutes les rgles qui font rfrence au groupe. Lorsque vous ajoutez un groupe d'htes, il apparat au bas de la liste des htes. Vous pouvez accder la liste des htes du champ Hte dans une rgle de filtrage. Se reporter "A propos des dclencheurs d'hte" la page 521. Se reporter "Modifier et supprimer les groupes d'htes" la page 561.
Personnalisation de la protection contre les menaces rseau Modifier et supprimer les groupes d'htes
561
Procdure de cration de groupes d'htes
1 2 3 4 5
Dans la console, cliquez sur Politiques. Dveloppez les Composants de politique, puis cliquez sur Groupes d'htes. Sous Tches, cliquez sur Ajouter un groupe d'htes. Dans la bote de dialogue Groupe d'htes, saisissez un nom puis cliquez sur Ajouter. Dans la bote de dialogue Hte, dans la liste droulante Type, slectionnez l'un des htes suivants :

Domaine DNS Hte DNS Adresse IP Intervalle IP Adresse MAC Sous-rseau
6 7 8 9
Entrez les informations appropries pour chaque type d'hte. Cliquez sur OK. Ajoutez des htes supplmentaires, au besoin. Cliquez sur OK.
Modifier et supprimer les groupes d'htes

Vous pouvez modifier ou supprimer tous les groupes d'htes ajouts. Vous ne pouvez modifier ni supprimer un groupe d'htes par dfaut. Avant de supprimer un groupe d'htes personnalis, vous devez supprimer le groupe d'htes de toutes les rgles qui font rfrence au groupe. Les paramtres que vous modifiez changent dans toutes les rgles qui font rfrence au groupe. Se reporter "Ajouter des htes et des groupes d'htes" la page 560. Pour modifier les groupes d'htes
1 2 3
Dans la Console, cliquez sur Politiques > Composants de politique > Groupes d'htes. Dans le volet Groupes d'htes, slectionnez le groupe d'htes modifier. Sous Tches, cliquez sur Modifier le groupe d'htes.
562
Personnalisation de la protection contre les menaces rseau Ajout d'htes et de groupes d'htes une rgle
Dans la bote de dialogue Groupe d'htes, modifiez optionnellement le nom de groupe, slectionnez un hte, puis cliquez sur Modifier. Pour supprimer l'hte du groupe, cliquez sur Supprimer, puis sur Oui.
5 6 7
Dans la bote de dialogue Hte, modifiez le type d'hte ou modifiez les paramtres d'hte. Cliquez sur OK. Cliquez sur OK.
Pour supprimer des groupes d'htes
1 2 3 4
Dans la Console, cliquez sur Politiques > Composants de politique > Groupes d'htes. Dans le volet Groupes d'htes, slectionnez le groupe d'htes supprimer. Sous Tches, cliquez sur Supprimer le groupe d'htes. Lorsque vous tes invit confirmer, cliquez sur Supprimer.
Ajout d'htes et de groupes d'htes une rgle

Pour bloquer le trafic ou d'un serveur spcifique, bloquez le trafic par l'adresse IP plutt que par nom de domaine ou nom d'hte. Autrement, il se peut que l'utilisateur puisse accder l'quivalent de l'adresse IP du nom d'hte. Pour ajouter des htes et des groupes d'htes une rgle
2 3
Sur la page de politique de pare-feu, cliquez sur Rgles. Dans l'onglet Rgles, dans la liste Rgles, slectionnez la rgle que vous souhaitez modifier, cliquez avec le bouton droit de la souris sur le champ Hte et cliquez sur Edition. Dans la bote de dialogue Liste des htes, effectuez l'une des oprations suivantes :

Cliquez sur Source/Destination. Cliquez sur Local/Distant.
Dans Source et Destination ou les tableaux locaux et distants, effectuez l'une des oprations suivantes :
Pour activer un groupe d'htes que vous avez ajout par l'intermdiaire de la liste Composants de politique, allez l'tape 10.
Personnalisation de la protection contre les menaces rseau Ajout de services rseau
563
Se reporter "Ajouter des htes et des groupes d'htes" la page 560.
Pour ajouter un hte pour la rgle slectionne seulement, cliquez sur Ajouter.
Dans la bote de dialogue Hte, slectionnez un type d'hte de la liste droulante Type et entrez les informations appropries pour chaque type d'hte. Pour plus de dtails sur chaque option de cette bote de dialogue, cliquez sur Aide.
7 8 9
Cliquez sur OK. Ajoutez les htes supplmentaires, au besoin. Dans la bote de dialogue Liste des htes, pour chaque hte ou groupe d'htes pour lequel vous voulez dclencher la rgle de filtrage, assurez-vous que la case cocher de la colonne Active est slectionne.
10 Cliquez sur OK pour revenir la liste Rgles.
Ajout de services rseau

Les services rseau permettent aux ordinateurs en rseau d'envoyer et de recevoir des messages, des fichiers partags et d'imprimer. Un service rseau utilise un ou plusieurs protocoles ou ports pour transmettre un type de trafic spcifique. Par exemple, le service HTTP utilise les ports 80 et 443 dans le protocole TCP. Vous pouvez crer une rgle de pare-feu qui autorise ou bloque des services rseau. La liste des services rseau vite de retaper un protocole et un port pour chaque rgle que vous crez. Vous pouvez slectionner un service rseau dans une liste par dfaut des services rseau utiliss couramment. Vous pouvez alors ajouter le service rseau la rgle du pare-feu. Vous pouvez galement ajouter des services rseau la liste par dfaut. Se reporter "Ajout des services rseau une rgle" la page 565. Remarque : IPv4 et IPv6 sont deux protocoles de couche rseau qui sont utiliss sur Internet. Le pare-feu bloque les attaques qui transitent par IPv4, mais pas par IPv6. Si vous installez le client sur les ordinateurs qui excutent Microsoft Vista, la liste Rgles inclut plusieurs rgles par dfaut qui bloquent le type de protocole Ethernet d'IPv6. Si vous supprimez les rgles par dfaut, vous devez crer une rgle qui bloque IPv6.
564
Personnalisation de la protection contre les menaces rseau Modifier et supprimer des services rseau personnaliss
Si vous voulez autoriser ou bloquer un service rseau qui n'est pas dans la liste par dfaut, vous pouvez l'ajouter. Vous devez connatre le type de protocole et les ports qu'il utilise. Pour ajouter un service rseau personnalis qui est accessible de n'importe quelle rgle de pare-feu, vous l'ajoutez par l'intermdiaire de la liste Composants de politique. Pour ajouter un service rseau personnalis la liste par dfaut
1 2 3 4 5
Dans la console, cliquez sur Politiques. Dveloppez Composants de politique, puis cliquez sur Services rseau. Sous Tches, cliquez sur Ajouter un service rseau. Dans la bote de dialogue Service rseau, tapez le nom du service et cliquez sur Ajouter. De la liste droulante Protocole, slectionnez l'un des protocoles suivants :

TCP UDP ICMP IP Ethernet
Les options changent selon le protocole que vous slectionnez. Pour plus d'informations, cliquez sur Aide.
6 7 8
Remplissez les champs appropris, puis cliquez sur OK. Ajoutez un ou plusieurs protocoles supplmentaires, le cas chant. Cliquez sur OK. Vous pouvez ajouter le service n'importe quelle rgle de pare-feu.
Modifier et supprimer des services rseau personnaliss

Vous pouvez modifier ou supprimer tous les services rseau personnalises que vous avez ajouts. Vous ne pouvez modifier ni supprimer un service rseau par dfaut. Avant que vous puissiez supprimer un service rseau personnalis, vous devez le supprimer de toutes les rgles qui font rfrence au service. Se reporter "Ajout de services rseau" la page 563.
Personnalisation de la protection contre les menaces rseau Ajout des services rseau une rgle
565
Pour modifier les services rseau personnaliss
1 2 3 4 5
Dans la console, cliquez sur Politiques > Composants de politique > Services rseau. Dans le volet Services rseau, slectionnez le service modifier. Sous Tches, cliquez sur Modifier le service rseau. Dans la bote de dialogue Service rseau, modifiez le nom du service ou slectionnez le protocole et cliquez sur Modifier. Modifiez les paramtres de protocole. Pour plus d'informations au sujet des options dans cette bote de dialogue, cliquez sur Aide.
6 7
Pour supprimer les services rseau personnaliss
1 2 3 4
Dans la console, cliquez sur Politiques > Composants de politique > Services rseau. Dans le volet Service rseau, slectionnez le service supprimer. Sous Tches, cliquez sur Supprimer le service rseau. Lorsque vous tes invit confirmer, cliquez sur Oui.
Ajout des services rseau une rgle

Vous pouvez ajouter un service rseau personnalis par une rgle de pare-feu. Cependant, ce service rseau n'est pas ajout la liste par dfaut. Vous ne pouvez accder l'adaptateur personnalis partir d'aucune autre rgle. Se reporter "Ajout de services rseau" la page 563. Pour ajouter des services rseau une rgle
2 3
Sur la page de politique de pare-feu, cliquez sur Rgles. Dans l'onglet Rgles, dans la liste Rgles, slectionnez la rgle que vous voulez modifier, cliquez avec le bouton droit de la souris sur le champ Service, puis cliquez sur Edition. Dans la bote de dialogue Liste des services, cochez la case Activer pour chaque service devant dclencher la rgle.
566
Personnalisation de la protection contre les menaces rseau Activation du partage des fichiers et des imprimantes du rseau
5 6 7
Pour ajouter un service supplmentaire pour la rgle slectionne seulement, cliquez sur Ajouter. Dans la bote de dialogue Protocole, slectionnez un protocole de la liste droulante Protocole. Compltez les champs appropris. Pour plus d'informations en ces options, cliquez sur Aide.
8 9
10 Cliquez sur OK.
Activation du partage des fichiers et des imprimantes du rseau

Vous pouvez permettre au client de partager ses fichiers ou d'accder des fichiers et des imprimantes partags sur le rseau local. Pour empcher des attaques bases sur le rseau, vous pouvez dsactiver le partage des fichiers et des imprimantes du rseau. Vous activez le partage des fichiers et des imprimantes du rseau en ajoutant des rgles de filtrage. Les rgles de filtrage autorisent l'accs aux ports pour l'accs aux fichiers et aux imprimantes ainsi que leur partage. Vous crez une rgle de filtrage permettant au client de partager ses fichiers. Vous crez une deuxime rgle de filtrage afin que le client puisse accder d'autres fichiers et imprimantes. Si le client est en contrle client ou en contrle mixte, les utilisateurs sur le client peuvent activer ces paramtres automatiquement en les configurant dans la protection contre les menaces rseau. En contrle mixte, une rgle de filtrage de serveur qui spcifie ce type de trafic peut remplacer ces paramtres. En contrle de serveur, ces paramtres ne sont pas disponibles sur le client. Pour permettre aux clients d'accder aux fichiers et imprimantes
2 3
Dans la page Politique de pare-feu, cliquez sur Rgles. Ajoutez une rgle vide, puis tapez son nom dans la colonne Nom. Se reporter "Ajouter des rgles vierges" la page 530.
Cliquez avec le bouton droit de la souris sur le champ Service, puis cliquez sur Modifier.
Personnalisation de la protection contre les menaces rseau Activation du partage des fichiers et des imprimantes du rseau
567
5 6 7 8 9
Dans la bote de dialogue Liste des services, cliquez sur Ajouter. Dans la bote de dialogue Protocole, dans la liste droulante Protocole, cliquez sur TCP, puis cliquez sur Local/Distant. Dans la liste droulante Port distant, tapez 88, 135, 139, 445. Cliquez sur OK. Dans la bote de dialogue Liste des services, cliquez sur Ajouter. sur UDP.
10 Dans la bote de dialogue Protocole, dans la liste droulante Protocole, cliquez 11 Dans la liste droulante Port local, tapez 137, 138. 12 Dans la liste droulante Port distant, tapez 88. 13 Cliquez sur OK. 14 Dans la bote de dialogue Liste des services, assurez-vous que les deux services
sont activs et cliquez sur OK.
15 Dans l'onglet Rgles, vrifiez que le champ Action a pour valeur Autoriser. 16 Si vous en avez termin avec la configuration de la politique, cliquez sur OK. 17 Le cas chant, attribuez la politique un emplacement.
Se reporter "Affectation d'une politique partage" la page 105. Pour permettre aux autres ordinateurs d'accder aux fichiers sur le client
2 3
Sur la page de politique de pare-feu, cliquez sur Rgles. Ajoutez une rgle vide, puis tapez son nom dans la colonne Nom. Se reporter "Ajouter des rgles vierges" la page 530.
4 5 6 7 8 9
Cliquez avec le bouton droit de la souris sur le champ Service, puis cliquez sur Modifier. Dans la bote de dialogue Liste des services, cliquez sur Ajouter. Dans la liste droulante Protocole de la bote de dialogue Protocole, cliquez sur TCP, puis sur Local/Distant. Dans la liste droulante Port local, tapez 88, 135, 139, 445. Cliquez sur OK. Dans la bote de dialogue Liste des services, cliquez sur Ajouter.
568
Personnalisation de la protection contre les menaces rseau Ajouter des adaptateurs rseau
10 Dans la liste droulante Protocole de la bote de dialogue Protocole, cliquez

sur UDP.
11 Dans la liste droulante Port local, tapez 88, 137, 138. 12 Cliquez sur OK. 13 Dans la bote de dialogue Liste des services, vrifiez que les deux services
sont activs et cliquez sur OK.
14 Dans l'onglet Rgles, vrifiez que le champ Action a pour valeur Autoriser. 15 Quand vous avez termin de configurer la politique, cliquez sur OK. 16 Le cas chant, attribuez la politique un emplacement.
Ajouter des adaptateurs rseau

Vous pouvez appliquer une rgle de filtrage spare chaque adaptateur rseau. Par exemple, vous pouvez vouloir bloquer le trafic par un VPN un emplacement de bureau, mais pas un emplacement domestique. Vous pouvez slectionner un adaptateur rseau partir d'une liste par dfaut partage entre les politiques de pare-feu et les rgles de filtrage. Les adaptateurs les plus communs sont inclus dans la liste par dfaut dans la liste Composants de politique. Les adaptateurs communs incluent les adaptateurs VPN, Ethernet, sans-fil, Cisco, Nortel et Enterasys. Utilisez la liste par dfaut afin de ne pas devoir ressaisir chaque adapteur rseau pour chaque rgle que vous crez. Remarque : Le client ne filtre pas et ne dtecte pas le trafic rseau des PDA (assistant numrique personnel). Se reporter "Ajout de cartes rseau une rgle" la page 569. Se reporter "Modifier et supprimer les adaptateurs rseau personnaliss" la page 570. Pour ajouter un adaptateur rseau personnalis la liste par dfaut
1 2 3 4
Dans la console, cliquez sur Politiques > Composants de politique > Adaptateurs rseau. Sous Tches, cliquez sur Ajouter un adaptateur rseau. Dans la bote de dialogue Adaptateur rseau, dans la liste droulante Adaptateur, slectionnez un adaptateur. Dans le champ Nom de l'adaptateur, tapez une description optionnelle.
Personnalisation de la protection contre les menaces rseau Ajout de cartes rseau une rgle
569
Dans la zone de texte Identification de l'adaptateur, tapez un nom sensible la casse de marque pour l'adaptateur. Pour trouver la marque de l'adaptateur, ouvrez une ligne de commande sur le client, puis tapez le texte suivant :
ipconfig/all
Cliquez sur OK. Vous pouvez alors ajouter l'adaptateur n'importe quelle rgle de filtrage.
Ajout de cartes rseau une rgle

Vous pouvez ajouter une carte rseau personnalise partir d'une rgle de pare-feu. Cependant, cette carte n'est pas ajoute la liste partage. Vous ne pouvez accder la carte personnalise partir d'aucune autre rgle. Se reporter "Ajouter des adaptateurs rseau" la page 568. Pour ajouter une carte rseau une rgle
2 3
Sur la page de politique de pare-feu, cliquez sur Rgles. Dans l'onglet Rgles, dans la liste Rgles, slectionnez la rgle que vous souhaitez modifier, cliquez avec le bouton droit de la souris sur le champ Adaptateur, puis cliquez sur Adaptateurs supplmentaires. Dans la bote de dialogue Adaptateur rseau, effectuez l'une des oprations suivantes :
Pour dclencher la rgle pour n'importe quel adaptateur, mme s'il n'est pas repertori, cliquez sur Appliquer cette rgle tous les adaptateurs, puis passez l'tape 8. Pour dclencher la rgle pour les adaptateurs slectionns, cliquez sur Appliquer cette rgle aux adaptateurs suivants, puis cochez la case de la colonne Active pour chacun des adaptateurs devant dclencher la rgle.
5 6
Pour ajouter un adaptateur personnalis pour la rgle slectionne seulement, cliquez sur Ajouter. Dans la bote de dialogue Adaptateur rseau, slectionnez le type d'adaptateur et tapez la marque de l'adaptateur dans la zone de texte Identification de l'adaptateur. Cliquez sur OK.
570
Personnalisation de la protection contre les menaces rseau Modifier et supprimer les adaptateurs rseau personnaliss
8 9
Modifier et supprimer les adaptateurs rseau personnaliss

Vous pouvez modifier ou supprimer tous les adaptateurs rseau personnaliss que vous avez ajouts. Vous ne pouvez modifier ni supprimer un adaptateur rseau par dfaut. Avant que vous puissiez supprimer un adaptateur personnalis, vous devez le supprimer de toutes les rgles qui font rfrence l'adaptateur. Les paramtres que vous modifiez changent dans toutes les rgles qui qui font rfrence l'adaptateur. Se reporter "Ajouter des adaptateurs rseau" la page 568. Pour modifier un adaptateur rseau personnalis
1 2 3 4 5 6
Dans la console, cliquez sur Politiques. Sous Composants de politique, cliquez sur Adaptateurs rseau. Dans le volet Adaptateurs rseau, slectionnez l'adaptateur personnalis modifier. Sous Tches, cliquez sur Modifier l'adaptateur rseau. Dans la bote de dialogue Adaptateur rseau, modifiez le type d'adaptateur, le nom ou le texte d'identification d'adaptateur. Cliquez sur OK.
Pour supprimer un adaptateur rseau personnalis
1 2 3 4 5
Dans la console, cliquez sur Politiques. Sous Composants de politique, cliquez sur Adaptateurs rseau. Dans le volet Adaptateurs rseau, slectionnez l'adaptateur personnalis supprimer. Sous Tches, cliquez sur Supprimer l'adaptateur rseau. Lorsque vous tes invit confirmer, cliquez sur Oui.
Ajouter des applications une rgle

Vous pouvez dfinir des informations sur les applications que les clients excutent et inclure ces informations dans une rgle de filtrage. Par exemple, vous pourriez vouloir autoriser des versions antrieures de Microsoft Word.
Personnalisation de la protection contre les menaces rseau Ajouter des applications une rgle
571
Vous pouvez dfinir des applications des manires suivantes :
Vous pouvez dfinir les caractristiques d'une application en entrant manuellement les informations. Si vous n'avez pas assez d'informations, vous pouvez vouloir rechercher la liste d'applications assimiles. Vous pouvez dfinir les caractristiques d'une application en recherchant la liste d'applications assimiles. Les applications de la liste d'applications assimiles sont les applications excutes par des ordinateurs client de votre rseau.
Pour dfinir des applications
2 3 4 5
Sur la page Politique de pare-feu, cliquez sur Rgles. Dans l'onglet Rgles, dans la liste Rgles, cliquez avec le bouton droit de la souris sur le champ Application , puis cliquez sur Modifier. Dans la bote de dialogue Liste d'applications, cliquez sur Ajouter. Dans la bote de dialogue Ajouter une application, entrez l'un ou plusieurs des champs suivants :

Chemin d'accs et nom de fichier Description Taille, en octets Date de dernire modification de l'application Signature du fichier
6 7
Pour rechercher des applications dans la liste des applications assimiles
1 2 3 4
Sur la page Politique de pare-feu, cliquez sur Rgles. Dans l'onglet Rgles, slectionnez une rgle, cliquez avec le bouton droit de la souris sur le champ Application puis cliquez sur Modifier. Dans la bote de dialogue Liste des applications, cliquez sur Ajouter partir de. Dans la bote de dialogue Rechercher des applications, recherchez une application. Se reporter "Recherche d'informations sur les applications que les ordinateurs excutent" la page 123.
572
Personnalisation de la protection contre les menaces rseau Ajout de planifications une rgle
5 6 7
Sous la table Rsultats de la requte, pour ajouter l'application la liste des applications, slectionnez l'application, cliquez sur Ajouter, puis sur OK. Cliquez sur Fermer. Cliquez sur OK.
Ajout de planifications une rgle

Vous pouvez dfinir une priode pendant laquelle une rgle est active ou non. Pour ajouter des planifications une rgle
2 3 4 5
Sur la page de politique de pare-feu, cliquez sur Rgles. Dans l'onglet Rgles, slectionnez la rgle que vous souhaitez modifier, cliquez avec le bouton droit de la souris sur le champ Heure, puis cliquez sur Edition. Dans la bote de dialogue Liste de planifications, cliquez sur Ajouter. Dans la bote de dialogue Ajouter une planification, configurez l'heure de dbut et l'heure de fin dfinissant la priode d'activit ou de non activit de la rgle. Dans la liste droulante Mois, slectionnez Tous ou un mois spcifique. Slectionnez l'une des cases cocher suivantes :

6 7
Tous les jour Week-end Jours de la semaine Spcifier les jours Si vous slectionnez Spcifier les jours, slectionnez un ou plusieurs jours de la liste.
8 9
Cliquez sur OK. Dans la liste Planification, effectuez l'une des oprations suivantes :
Pour maintenir la rgle active pendant ce temps, dsactivez la case cocher Toute heure l'exception de. Pour rendre la rgle inactive pendant ce temps, activez la case cocher Toute heure l'exception de.
10 Cliquez sur OK.
Personnalisation de la protection contre les menaces rseau Configurer des notifications pour la protection contre les menaces rseau
573
Configurer des notifications pour la protection contre les menaces rseau

Par dfaut, les notifications apparaissent sur les ordinateurs client quand le client dtecte divers vnements de protection contre les menaces rseau. Vous pouvez activer certaines de ces notifications. Les notifications actives affichent un message standard. Vous pouvez ajouter du texte personnalis au message standard. Tableau 30-1 affiche les types d'vnements que vous pouvez activer et configurer. Tableau 30-1 Notifications de protection contre les menaces rseau Type de notification
Pare-feu
Type de notification
Afficher une notification lorsque le client bloque une application Texte supplmentaire afficher si l'action d'une rgle de filtrage est 'Demander' Afficher les notifications de prvention d'intrusion
Description
Une rgle de pare-feu sur le client bloque une application. Vous pouvez activer ou dsactiver cette notification et lui ajouter du texte Les applications sur le client essayent d'accder au rseau. Cette notification est toujours active et ne peut pas tre dsactive.
Pare-feu
Le client dtecte une attaque de prvention d'intrusion. Vous pouvez activer ou dsactiver cette notification via le contrle de serveur ou le contrle mixte.
Pour configurer des notifications de pare-feu
2 3 4
Dans la page Politique de pare-feu, cliquez sur Rgles. Dans l'onglet Notifications, cochez Afficher une notification lorsque le client bloque une application. Pour ajouter du texte personnalis au message standard qui s'affiche quand l'action d'une rgle est dfinie sur Demander, cochez Texte supplmentaire afficher si l'action d'une rgle de filtrage est "Demander". Pour l'une ou l'autre des notifications, cliquez sur Dfinir le texte supplmentaire.
574
Personnalisation de la protection contre les menaces rseau Configurer des notifications pour la protection contre les menaces rseau
6 7
Dans la bote de dialogue Saisissez du texte supplmentaire, saisissez le texte supplmentaire afficher dans la notification, puis cliquez sur OK. Quand vous avez termin de configurer cette politique, cliquez sur OK.
Pour configurer des notifications de prvention d'intrusion
1 2
Dans la console, cliquez sur Clients et slectionnez un groupe sous Afficher les clients. Dans l'onglet Politiques, sous Politiques et paramtres dpendants de l'emplacement, sous un emplacement, dveloppez Paramtres spcifiques aux emplacements. A droite de Paramtres de contrle de l'interface utilisateur du client, cliquez sur Tches, puis sur Modifier les paramtres. Dans la bote de dialogue Paramtres de contrle de l'interface utilisateur du client pour nom du groupe, cliquez sur Contrle des serveurs ou Contrle mixte. Prs de Contrle mixte ou de Contrle des serveurs, cliquez sur Personnaliser. Si vous cliquez sur Contrle mixte, dans l'onglet Paramtres de contrle du client/serveur, prs de Afficher/Masquer les notifications de prvention d'intrusion, cliquez sur Serveur. Cliquez ensuite sur l'onglet Paramtres de l'interface utilisateur du client.
3 4
6 7 8 9
Dans la bote de dialogue ou l'onglet Paramtres de l'interface utilisateur du client, cliquez sur Afficher les notifications de prvention d'intrusion. Pour activer un bip quand la notification apparat, cliquez sur Utiliser des effets sonores pour la notification des utilisateurs. Dans le champ Dure (en secondes) daffichage des notifications, indiquez le nombre de secondes pendant lesquelles la notification doit s'afficher. Pour ajouter du texte la notification standard qui apparat, cliquez sur Texte supplmentaire. supplmentaire afficher dans la notification, puis cliquez sur OK.
10 Dans la bote de dialogue Texte supplmentaire, saisissez le texte 11 Cliquez sur OK. 12 Cliquez sur OK.
Configurer les messages lectroniques pour les vnements de trafic

Vous pouvez configurer Symantec Endpoint Protection Manager pour qu'il vous envoie un message lectronique chaque fois que le pare-feu dtecte une violation
Personnalisation de la protection contre les menaces rseau Installation de la surveillance d'application rseau
575
de rgle, une attaque ou un vnement. Par exemple, vous pouvez souhaiter savoir quel moment un client bloque le trafic venant d'une adresse IP particulire. Pour configurer les messages lectroniques pour les vnements de trafic
2 3
Sur la page Politique de pare-feu, cliquez sur Rgles. Dans l'onglet Rgles, slectionnez une rgle, cliquez avec le bouton droit de la souris sur le champ Consignation et effectuez les actions suivantes :
Pour envoyer un message de courrier lectronique lors du dclenchement de la rgle de filtrage, cochez Envoyer une alerte par message lectronique. Pour gnrer un vnement de journal lors du dclenchement d'une rgle de filtrage, cochez les cases Ecrire dans le journal de trafic et Ecrire dans le journal de paquet.
4 5
Quand vous avez termin de configurer cette politique, cliquez sur OK. Configurer une alerte de scurit. Se reporter "Cration des notifications d'administrateur" la page 314.
Configurer un serveur de messagerie. Se reporter "Etablissement de la communication entre Symantec Endpoint Protection Manager et les serveurs de messagerie lectronique" la page 364.
Installation de la surveillance d'application rseau

Vous pouvez configurer le client pour dtecter et contrler n'importe quelle application qui s'excute sur l'ordinateur client et qui est en rseau. Les applications rseau envoient et reoivent le trafic. Le client dtecte si le contenu d'une application change. Le contenu d'une application change pour les raisons suivantes :

Un cheval de Troie a attaqu l'application. L'application a t mise jour avec une nouvelle version ou une mise jour.
Si vous suspectez qu'un cheval de Troie ait attaqu une application, vous pouvez utiliser la surveillance d'application de rseau pour configurer le client afin qu'il bloque l'application. Vous pouvez galement configurer le client pour demander aux utilisateurs d'autoriser ou de bloquer l'application.
576
La surveillance d'application Rseau suit le comportement d'une application dans le journal de scurit. Si le contenu d'une application est modifi trop frquemment, il est probable qu'un cheval de Troie ait attaqu l'application et que la scurit de l'ordinateur client n'est pas assure. Si le contenu d'une application est modifi peu frquemment, il est probable qu'un correctif ait t install et que la scurit de l'ordinateur client n'est pas en cause. Vous pouvez utiliser ces informations pour crer une rgle de pare-feu qui autorise ou bloque une application. Vous pouvez ajouter des applications une liste de sorte que le client ne les surveille pas. Vous pouvez vouloir exclure les applications que vous pensez tes l'abri d'une attaque de cheval de Troie, mais qui ont des mises jour frquentes et automatiques de correctif. Vous pouvez vouloir dsactiver la surveillance d'application de rseau si vous tes confiant que les ordinateurs client reoivent la protection adquate de l'antivirus et de la protection antispyware. Vous pouvez galement vouloir rduire le nombre de notifications qui demandent aux utilisateurs d'autoriser ou de bloquer une application rseau. Pour installer la surveillance d'application rseau
1 2 3 4 5
Dans la Console, cliquez sur Clients. Sous Afficher les clients, slectionnez un groupe et puis cliquez sur Politiques. Dans l'onglet Politiques, sous Politiques et paramtres indpendants de l'emplacement, cliquez sur le Contrle des applications rseau. Dans la bote de dialogue Contrle des applications rseau pour nom de groupe, cliquez sur Activer le contrle des applications rseau. Dans la liste droulante Lorsqu'une modification est dtecte pour une application, slectionnez la mesure que le pare-feu prend sur l'application qui s'excute sur le client :
Demander Demande l'utilisateur d'autoriser ou de bloquer l'application. Bloquer le trafic Empche l'application de s'excuter. Autoriser et consigner Permet l'application de s'excuter et enregistre les informations dans le journal de scurit. Le pare-feu prend cette mesure sur les applications qui ont t modifies seulement.
Si vous avez slectionn Demander, cliquez sur Texte supplmentaire.
577
7 8
Dans la bote de dialogue Texte supplmentaire, tapez le texte que vous voulez voir apparatre sous le message standard, puis cliquez sur OK. Pour exclure une application de la surveillance, sous Liste des applications non contrles, effectuez l'une des oprations suivantes :
Pour dfinir une application manuellement, cliquez sur Ajouter, compltez un ou plusieurs champs et cliquez sur OK. Pour dfinir une application partir d'une liste des applications apprises, cliquez sur Ajouter partir de. Se reporter "Recherche d'informations sur les applications que les ordinateurs excutent" la page 123. La fonction des applications apprises doit tre active. Se reporter "Configuration du serveur de gestion pour la collecte d'informations sur les applications que les ordinateurs client excutent" la page 122.
La liste des applications apprises surveille les applications en rseau et hors rseau. Vous devez slectionner des applications en rseau seulement de la liste des applications apprises. Aprs avoir ajout des applications la liste Applications non contrle, vous pouvez les activer, les dsactiver, les modifier ou les supprimer.
Pour activer ou dsactiver une application, slectionnez la case cocher dans la colonne Active.
10 Cliquez sur OK.
578
Section
Configuration de la protection proactive contre les menaces
Chapitre 31. Configuration des analyses proactives des menaces de TruScan Chapitre 32. Configurer l'application et le contrle des priphriques Chapitre 33. Personnalisation des politiques de contrle des applications et des priphriques
580
Chapitre
31
Configuration des analyses proactives des menaces de TruScan


A propos des analyses proactives des menaces TruScan A propos de l'utilisation des paramtres par dfaut de Symantec A propos des processus dtects par les analyses proactives des menaces TruScan A propos de la gestion des faux positifs dtects par les analyses proactives des menaces TruScan A propos de les processus que les analyses proactives des menaces TruScan ignorent Comment les analyses proactives des menaces TruScan fonctionnent avec la quarantaine Comment les analyses proactives des menaces TruScan fonctionnent avec des exceptions centralises Comprendre les dtections proactives de menaces TruScan Configurer la frquence d'analyse proactive des menaces TruScan Configuration des notifications pour les analyses proactives des menaces TruScan
582
Configuration des analyses proactives des menaces de TruScan A propos des analyses proactives des menaces TruScan
A propos des analyses proactives des menaces TruScan

Les analyses proactives des menaces TruScan reprsentent un degr de protection supplmentaire pour votre ordinateur. L'analyse proactive des menaces complte vos logiciels existants de protection antivirus et antispyware, de prvention d'intrusion et de protection par pare-feu. Les analyses antivirus et antispyware se fondent la plupart du temps sur des signatures pour dtecter des menaces connues. Les analyses proactives des menaces utilisent des technologies heuristiques pour dtecter des menaces inconnues. Les analyses de processus heuristiques analysent le comportement d'une application ou d'un processus. L'analyse dtermine si le processus prsente les caractristiques de menaces telles que les chevaux de Troie, les vers ou les enregistreurs de frappe. Ce type de protection est parfois dsign sous le nom de la protection contre des attaques "zero day". Se reporter "A propos des processus dtects par les analyses proactives des menaces TruScan" la page 583. Remarque : Auto-Protect utilise galement un type d'heuristique appel Bloodhound pour dtecter le comportement suspect dans des fichiers. Les analyses proactives des menaces dtectent le comportement suspect dans des processus actifs. Les paramtres concernant les analyses proactives des menaces sont ajouts en tant qu'lment d'une politique antivirus et antispyware. Un grand nombre de paramtres peuvent tre verrouills de sorte que les utilisateurs sur des ordinateurs client ne puissent pas les modifier. Vous pouvez configurer les paramtres suivants :

Quels types de menaces analyser Combien de fois excuter des analyses proactives des menaces Si les notifications doivent apparatre sur l'ordinateur client quand une dtection proactive de menaces se produit
Les analyses proactives des menaces TruScan sont actives quand les paramtres Rechercher les chevaux de Troie et les vers ou Rechercher les enregistreurs de frappe sont activs. Si l'un de ces deux paramtres est dsactiv, la page Etat du client Symantec Endpoint Protection affiche la protection proactive contre les menaces comme tant dsactive. L'analyse proactive des menaces est active par dfaut.
Configuration des analyses proactives des menaces de TruScan A propos de l'utilisation des paramtres par dfaut de Symantec
583
Remarque : Puisque les analyses proactives des menaces analysent les anomalies de comportement des applications et des processus, elles peuvent affecter les performances de votre ordinateur.
A propos de l'utilisation des paramtres par dfaut de Symantec

Vous pouvez dcider comment vous voulez grer les dtections des menaces proactives. Vous pouvez utiliser les paramtres par dfaut de Symantec ou spcifier le niveau de sensibilit et l'action de dtection. Si vous choisissez de permettre Symantec de grer les dtections, le logiciel client dtermine l'action et le niveau de sensibilit. Le moteur d'analyse qui s'excute sur l'ordinateur client dtermine les paramtres par dfaut. Si vous choisissez de grer les dtections, vous pouvez dfinir une action de dtection unique et un niveau spcifique de sensibilit. Pour rduire les dtections faussement positives, Symantec recommande d'utiliser initialement les paramtres par dfaut grs par Symantec. Aprs un certain temps, vous pouvez observer le nombre de faux positifs que les clients dtectent. Si ce nombre est faible, vous pouvez ajuster progressivement les paramtres d'analyse proactive des menaces. Par exemple, pour la dtection des chevaux de Troie et des vers, vous pouvez placer le curseur de sensibilit lgrement plus haut que le paramtre par dfaut. Vous pouvez observer les rsultats des analyses proactives des menaces excutes avec la nouvelle configuration. Se reporter "Comprendre les dtections proactives de menaces TruScan" la page 591. Se reporter "Spcification des actions et des niveaux de sensibilit pour dtecter des chevaux de Troie, des vers et des enregistreurs de frappe" la page 594.
A propos des processus dtects par les analyses proactives des menaces TruScan
Les analyses proactives des menaces dtectent les processus qui se comportent comme les chevaux de Troie, les vers ou les enregistreurs de frappe. Les processus affichent gnralement un type de comportement qu'une menace peut exploiter (par exemple, ouvrir un port sur l'ordinateur d'un utilisateur). Vous pouvez configurer des paramtres pour certains types de dtections proactives de menaces. Vous pouvez activer ou dsactiver la dtection des processus qui se comportent comme des chevaux de Troie, des vers ou des
584
Configuration des analyses proactives des menaces de TruScan A propos des processus dtects par les analyses proactives des menaces TruScan
enregistreurs de frappe. Par exemple, vous pouvez dtecter les processus qui se comportent comme des chevaux de Troie et des vers, mais pas les processus qui se comportent comme des applications d'enregistreur de frappe. Symantec maintient jour une liste des applications commerciales qui pourraient tre utilises des fins malveillantes. Cette liste inclut les applications commerciales qui enregistrent les frappes de clavier de l'utilisateur. Elle inclut galement les applications qui contrlent un ordinateur client distance. Vous souhaiterez peut-tre savoir si ces types d'applications sont installs sur des ordinateurs client. Par dfaut, les analyses proactives des menaces dtectent ces applications et consignent l'vnement. Vous pouvez spcifier diffrentes actions de remdiation. Vous pouvez configurer le type d'action de remdiation que le client effectue quand il dtecte les types particuliers d'applications commerciales. La dtection inclut les applications commerciales qui contrlent ou enregistrent les frappes de clavier d'un utilisateur ou contrlent l'ordinateur d'un utilisateur distance. Si une analyse dtecte un enregistreur de frappe commercial ou un programme commercial de tlintervention, le client utilise l'action qui est dfinie dans la politique. Vous pouvez galement permettre l'utilisateur de contrler les actions. Les analyses proactives des menaces dtectent galement les processus qui se comportent comme des logiciels publicitaires et des spywares. Vous ne pouvez pas configurer la manire dont les analyses proactives des menaces traitent ces types de dtection. Si les analyses proactives des menaces dtectent des logiciels publicitaires ou des spywares que vous voulez autoriser sur vos ordinateurs client, crez une exception centralise. Se reporter "Configuration d'une politique d'exceptions centralises" la page 649. Tableau 31-1 dcrit les processus dtects par les analyses proactives des menaces. Tableau 31-1 Processus dtects par les analyses proactives des menaces TruScan Description
Type de processus
Chevaux de Troie et vers Processus qui affichent les caractristiques des chevaux de Troie ou des vers. Les analyses proactives des menaces utilisent des technologies heuristiques pour rechercher les processus qui se comportent comme des chevaux de Troie ou des vers. Ces processus peuvent tre ou ne pas tre des menaces. Se reporter "Spcification des actions et des niveaux de sensibilit pour dtecter des chevaux de Troie, des vers et des enregistreurs de frappe" la page 594.
Configuration des analyses proactives des menaces de TruScan A propos des processus dtects par les analyses proactives des menaces TruScan
585
Type de processus
Enregistreurs de frappe
Description
Processus qui montrent les caractristiques des enregistreurs de frappe. Les analyses proactives des menaces dtectent les enregistreurs de frappe commerciaux, mais elles dtectent galement les processus inconnus qui montrent un comportement d'enregistreur de frappe. Les enregistreurs de frappes sont des applications d'enregistrement de frappes qui capturent les frappes de l'utilisateur. Ces applications peuvent tre utilises pour recueillir des informations sur les mots de passe et autres informations essentielles. Elles peuvent tre ou ne pas tre des menaces. Se reporter "Spcification des actions et des niveaux de sensibilit pour dtecter des chevaux de Troie, des vers et des enregistreurs de frappe" la page 594.
Applications commerciales
Applications commerciales connues qui pourraient tre utilises des fins malveillantes. Les analyses proactives des menaces dtectent plusieurs types diffrents d'applications commerciales. Vous pouvez configurer des actions pour deux types : enregistreurs de frappe et programmes de contrle distance. Se reporter "Spcifier des actions pour les dtections d'application commerciale" la page 595.
Logiciels publicitaires et Processus qui montrent les caractristiques des logiciels spywares publicitaires et des spywares Les analyses proactives des menaces utilisent des technologies heuristiques pour dtecter les processus inconnus qui se comportent comme des logiciels publicitaires et des spywares. Ces processus peuvent tre ou ne pas tre des risques.
Se reporter "Spcifier les types de processus que les analyses proactives des menaces dtectent" la page 593. Vous pouvez configurer le logiciel client pour qu'il envoie ou non Symantec des informations sur les dtections proactives de menaces. Incluez ce paramtre en tant qu'lment d'une politique antivirus et antispyware. Se reporter "Transmettre des informations sur des analyses Symantec" la page 471.
586
Configuration des analyses proactives des menaces de TruScan A propos de la gestion des faux positifs dtects par les analyses proactives des menaces TruScan
A propos de la gestion des faux positifs dtects par les analyses proactives des menaces TruScan
Les analyses proactives des menaces TruScan renvoient parfois des faux positifs. Ces analyses recherchent les applications et les processus prsentant un comportement suspect plutt que les virus ou les risques de scurit connus. De par leur nature, ces analyses signalent gnralement les lments que vous ne penseriez pas dtecter. Pour la dtection des chevaux de Troie, des vers ou des enregistreurs de frappe, vous pouvez choisir d'utiliser l'action et les niveaux de sensibilit par dfaut que Symantec spcifie. Ou vous pouvez choisir de grer les actions de dtection et les niveaux de sensibilit vous-mme. Si vous grez les paramtres vous-mme, vous risquez de dtecter de nombreux faux positifs. Si vous voulez grer les actions et les niveaux de sensibilit, soyez conscient de l'impact rsultant sur votre rseau de scurit. Remarque : Si vous changez le niveau de sensibilit, vous pouvez changer le nombre total de dtections. Si vous modifiez le niveau de sensibilit, il se peut que vous rduisiez le nombre de faux positifs que les analyses proactives des menaces produisent. Si vous modifiez les niveaux de sensibilit, Symantec vous recommande de le faire graduellement et de vrifier les rsultats. Si une analyse proactive des menaces dtecte un processus que vous dterminez comme ne constituant pas un problme, vous pouvez crer une exception. Grce une exception, les analyses futures ne signalent pas le processus. Les utilisateurs sur les ordinateurs client peut galement crer des exceptions. En cas de conflit entre une exception dfinie par l'utilisateur et une exception dfinie par l'administrateur, l'exception dfinie par l'administrateur l'emporte. Se reporter "Configuration d'une politique d'exceptions centralises" la page 649. Tableau 31-2 prsente les tches de cration d'un plan de gestion des faux positifs.
Configuration des analyses proactives des menaces de TruScan A propos de la gestion des faux positifs dtects par les analyses proactives des menaces TruScan
587
Tableau 31-2 Tche
Plan de gestion des faux positifs Description

Les politiques antivirus et antispyware incluent les paramtres grs par Symantec. Ce paramtre est activ par dfaut. Quand ce paramtre est activ, Symantec dtermine les actions effectues lors des dtections de ces types de processus. Symantec dtermine galement le niveau de sensibilit utilis pour les analyser. Quand Symantec gre les dtections, les analyses proactives des menaces effectuent une action base sur la manire dont l'analyse interprte la dtection. L'analyse effectue l'une des actions suivantes au niveau de la dtection : Mise en quarantaine L'analyse effectue cette action pour les dtections constituant probablement des menaces relles. Journal uniquement L'analyse effectue cette action pour les dtections constituant probablement des faux positifs.
Assurez-vous que Symantec gre les chevaux de Troie, les vers et les dtections d'enregistreur de frappe.
Remarque : Si vous choisissez de grer l'action de dtection,

choisissez une action. Cette action est toujours effectue pour ce type de dtection. Si vous dfinissez l'action sur Quarantaine, le client met en quarantaine toutes les dtections de ce type. Assurez-vous que le contenu de Symantec est actuel. Vrifiez que les ordinateurs qui produisent des faux positifs comportent le dernier contenu de Symantec. Le dernier contenu inclut les informations sur les processus que Symantec juge correspondre des faux positifs connus. Ces faux positifs connus sont exclus de la dtection de l'analyse proactive des menaces. Vous pouvez excuter un rapport via la console pour savoir quels ordinateurs excutent la dernire version du contenu. Se reporter "Surveillance de la protection de terminal" la page 207. Vous pouvez mettre jour le contenu par l'une des actions suivantes : Appliquez une politique LiveUpdate. Se reporter "A propos des politiques LiveUpdate" la page 150. Excutez la commande Update pour les ordinateurs slectionns rpertoris dans l'onglet Clients. Excutez la commande Update sur les ordinateurs slectionns rpertoris dans le fichier journal d'tat ou des risques de l'ordinateur.
588
Configuration des analyses proactives des menaces de TruScan A propos de les processus que les analyses proactives des menaces TruScan ignorent
Tche
Assurez-vous que les soumissions sont actives.
Description
Les paramtres de soumission sont inclus en tant qu'lment de la politique antivirus et antispyware. Assurez-vous que les ordinateurs client sont configurs pour envoyer automatiquement Symantec Security Response des informations sur les processus dtects par les analyses proactives des menaces. Ce paramtre est activ par dfaut. Se reporter "Transmettre des informations sur des analyses Symantec" la page 471.
Crez des exceptions pour les faux positifs que vous dcouvrez.
Vous pouvez crer une politique qui inclut des exceptions pour les faux positifs que vous dcouvrez. Par exemple, vous pouvez excuter un processus ou une application spcifique sur votre rseau de scurit. Vous savez que le processus peut s'excuter en toute scurit dans votre environnement. Si les analyses proactives des menaces TruScan dtectent le processus, vous pouvez crer une exception de sorte que les analyses futures ne le dtectent pas. Se reporter "Configuration d'une politique d'exceptions centralises" la page 649.
A propos de les processus que les analyses proactives des menaces TruScan ignorent
Les analyses proactives des menaces TruScan autorisent certains processus et dispensent ces processus des analyses. Symantec gre cette liste de processus. Symantec remplit gnralement cette liste avec les applications qui sont des faux positifs connus. Les ordinateurs client de votre rseau de scurit reoivent priodiquement des mises jour de cette liste quand ils tlchargent un nouveau contenu. Les ordinateurs client peuvent tlcharger le contenu de diffrentes manires. Le serveur de gestion peut envoyer le contenu mis jour. Vous ou vos utilisateurs peut galement excuter LiveUpdate sur les ordinateurs client. Les analyses proactives des menaces TruScan ignorent certains processus. Ces processus peuvent inclure les applications pour lesquelles Symantec n'a pas assez d'informations ou les applications qui chargent d'autres modules. Vous pouvez galement spcifier que les analyses de menaces proactives TruScan ignorent certains processus. Vous spcifiez que les analyses proactives des menaces ignorent certains processus en crant une exception centralise. Les utilisateurs des ordinateurs client peuvent galement crer des exceptions pour des analyses proactives des menaces. Si une exception dfinie par
Configuration des analyses proactives des menaces de TruScan Comment les analyses proactives des menaces TruScan fonctionnent avec la quarantaine
589
l'administrateur est en conflit une exception dfinie par l'utilisateur, les analyses proactives des menaces appliquent seulement l'exception dfinie par l'administrateur. L'analyse ignore l'exception de l'utilisateur. Se reporter "Comment les analyses proactives des menaces TruScan fonctionnent avec des exceptions centralises" la page 590.
Comment les analyses proactives des menaces TruScan fonctionnent avec la quarantaine
Vous pouvez configurer des analyses proactives des menaces pour mettre en quarantaine des dtections. Les utilisateurs des ordinateurs client peut restaurer des lments mis en quarantaine. Le client Symantec Endpoint Protection peut galement restaurer automatiquement des lments mis en quarantaine. Quand un client reoit de nouvelles dfinitions, il ranalyse les lments mis en quarantaine. Si les lments mis en quarantaine sont considrs comme malveillants, le client consigne l'vnement. Les ordinateurs client reoivent rgulirement des mises jour de listes de processus et applications corrects dfinis par Symantec. Quand de nouvelles listes sont disponibles sur des ordinateurs client, les lments mis en quarantaine sont vrifis par rapport ces listes. Si ces listes jour autorisent des lments mis en quarantaine, le client les restaure automatiquement. En outre, les administrateurs ou les utilisateurs peuvent crer des exceptions pour des dtections des menaces proactives. Quand les dernires exceptions autorisent les lments mis en quarantaine, le client les restaure. Les utilisateurs peut afficher les lments mis en quarantaine sur la page d'Afficher la quarantaine dans le client. Le client ne soumet pas les lments que les analyses proactives des menaces mettent en quarantaine un serveur de quarantaine centralise. Les utilisateurs peuvent soumettre automatiquement ou manuellement des lments de la quarantaine locale Symantec Security Response. Se reporter "Transmettre des lments en quarantaine Symantec" la page 477.
590
Configuration des analyses proactives des menaces de TruScan Comment les analyses proactives des menaces TruScan fonctionnent avec des exceptions centralises
Comment les analyses proactives des menaces TruScan fonctionnent avec des exceptions centralises
Vous pouvez crer vos propres listes d'exception pour que le client de Symantec Endpoint Protection vrifie quand il excute des analyses proactives des menaces. Vous crez ces listes en crant des exceptions. Les exceptions spcifient le processus et la mesure prendre quand une analyse proactive des menaces dtecte un processus spcifi. Vous pouvez crer des exceptions seulement pour les processus qui ne sont pas inclus dans la liste dfinie par Symantec des processus et des applications connus. Par exemple, vous pourriez vouloir crer une exception pour effectuer l'une des oprations suivantes :

Ignorer un certain enregistreur de frappe commercial Mettre en quarantaine une application particulire qui ne doit pas s'excuter sur des ordinateurs client Permettre une application spcifique de tlintervention de s'excuter
Pour viter les conflits entre les exceptions, les analyses de menaces proactives utilisent l'ordre de priorit suivant :

Exceptions dfinies par Symantec Exceptions dfinies par l'administrateur Exceptions dfinies par l'utilisateur
La liste dfinie par Symantec a toujours la priorit sur les exceptions dfinies par l'administrateur. Les exceptions dfinies par l'administrateur ont toujours la priorit sur les exceptions dfinies par l'utilisateur. Vous pouvez utiliser une politique d'exceptions centralises pour spcifier que des processus dtects connu sont autoriss en dfinissant l'action de dtection ignorer. Vous pouvez galement crer une exception centralise pour spcifier qu'on ne permet pas certains processus en dfinissant l'action Mettre en quarantaine ou Terminer. Les administrateurs peuvent obliger une dtection des menaces proactive en crant une exception centralise qui spcifie un nom de fichier pour des analyses proactives des menaces dtecter. Quand l'analyse proactive des menaces dtecte le fichier, le client consigne l'instance. Puisque les noms de fichier ne sont pas uniques, des processus multiples peuvent utiliser le mme nom de fichier. Vous pouvez utiliser des dtections obligatoires pour vous aider crer des exceptions pour ignorer, mettre en quarantaine ou terminer un processus particulier.
Configuration des analyses proactives des menaces de TruScan Comprendre les dtections proactives de menaces TruScan
591
Quand une analyse proactive des menaces sur l'ordinateur client consigne la dtection, celle-ci fait partie d'une liste des processus connus. Vous pouvez slectionner dans la liste quand vous crez une exception des analyses proactives des menaces. Vous pouvez dfinir une action particulire pour la dtection. Vous pouvez galement utiliser le journal proactif de dtection sous l'onglet Contrles dans la console pour crer l'exception. Se reporter "Configuration d'une politique d'exceptions centralises" la page 649. Se reporter "Affichage des journaux" la page 296. Les utilisateurs peuvent crer des exceptions sur l'ordinateur client par une des mthodes suivantes :

La liste Afficher la quarantaine La bote de dialogue des rsultats de l'analyse Exceptions centralises
Un administrateur peut verrouiller une liste d'exceptions de sorte qu'un utilisateur ne puisse crer aucune exception. Si un utilisateur a cr des exceptions avant que l'administrateur n'ait verrouill la liste, les exceptions cres par l'utilisateur sont dsactives.
Comprendre les dtections proactives de menaces TruScan

Quand une analyse proactive des menaces TruScan dtecte des processus qu'elle signale comme potentiellement malveillants, certains de ces processus sont gnralement des processus lgitimes. Certaines dtections ne fournissent pas assez d'informations pour pouvoir tre classes comme menaces ou faux positifs ; ces processus sont considrs comme "inconnus." Une analyse proactive des menaces examine le comportement des processus actifs pendant qu'elle s'excute. Le moteur d'analyse recherche des comportements tels que l'ouverture de ports ou la capture de frappes de clavier. Si un processus implique une quantit suffisante de ces types de comportements, l'analyse signale ce processus comme constituant une menace potentielle. L'analyse ne signale pas le processus s'il n'affiche aucun comportement suspect pendant l'analyse. Par dfaut, les analyses proactives des menaces dtectent les processus qui se comportent comme des chevaux de Troie, des vers ou des enregistreurs de frappe. Vous pouvez activer ou dsactiver ces types de dtection dans une politique antivirus et antispyware.
592
Remarque : Les paramtres d'analyse proactive des menaces n'ont aucun effet sur les analyses antivirus et antispyware, qui utilisent des signatures pour dtecter les risques connus. Le client dtecte d'abord les risques connus. Se reporter "Spcifier les types de processus que les analyses proactives des menaces dtectent" la page 593. Le client utilise les paramtres par dfaut de Symantec pour dterminer quelle mesure prendre au niveau des lments dtects. Si le moteur d'analyse dtermine que l'lment n'a besoin d'aucune correction, le client consigne la dtection. Si le moteur d'analyse dtermine que l'lment doit tre corrig, le client met en quarantaine l'lment. Remarque : Les options Rechercher les chevaux de Troie et les vers et Rechercher les enregistreurs de frappe ne sont actuellement pas prises en charge sur les systmes d'exploitation Windows Server et Windows XP Professionnel 64 bits. L'option Rechercher les enregistreurs de frappe n'est pas non plus prise en charge par Windows 7. Vous pouvez modifier les options dans la politique antivirus et antispyware des clients qui s'excutent sur des systmes d'exploitation de serveur, mais les analyses ne s'excutent pas. Dans l'interface utilisateur client des systmes d'exploitation de serveur, les options d'analyse ne sont pas disponibles. Si vous activez les options d'analyse dans la politique, elles sont slectionnes et non disponibles. Les paramtres par dfaut de Symantec sont galement utiliss pour dterminer la sensibilit de l'analyse proactive des menaces. Quand le niveau de sensibilit est plus lev, plus de processus sont signals. Quand le niveau de sensibilit est plus bas, moins de processus sont signals. Le niveau de sensibilit n'indique pas le niveau de certitude relatif la dtection. De mme, il n'affecte pas le taux de dtections de faux positifs. Plus le niveau de sensibilit est lev, plus l'analyse dtecte des faux positifs et des vrais positifs. Utilisez les paramtres par dfaut de Symantec pour mieux rduire le nombre de faux positifs que vous dtectez. Vous pouvez dsactiver les paramtres par dfaut de Symantec. Quand vous dsactivez les paramtres par dfaut de Symantec, vous pouvez configurer les actions et le niveau de sensibilit pour la dtection des chevaux de Troie, des vers ou des enregistreurs de frappe. Dans l'interface utilisateur client, les paramtres par dfaut qui apparaissent ne refltent pas les paramtres par dfaut de Symantec. Ils refltent les paramtres par dfaut utiliss quand vous grez manuellement les dtections.
593
Pour les applications commerciales, vous pouvez spcifier la mesure que le client prend quand une analyse proactive des menaces fait une dtection. Vous pouvez spcifier des actions distinctes pour la dtection d'un enregistreur de frappe commercial et la dtection d'une application commerciale de tlintervention. Se reporter "Spcification des actions et des niveaux de sensibilit pour dtecter des chevaux de Troie, des vers et des enregistreurs de frappe" la page 594. Se reporter "Spcifier des actions pour les dtections d'application commerciale" la page 595. Remarque : Les utilisateurs sur des ordinateurs client peuvent modifier les paramtres d'analyse proactive des menaces si les paramtres sont dverrouills dans la politique antivirus et antispyware. Sur l'ordinateur client, les paramtres d'analyse proactive des menaces TruScan apparaissent sous Protection proactive contre les menaces.
Spcifier les types de processus que les analyses proactives des menaces dtectent
Par dfaut, les analyses proactives des menaces TruScan dtectent les chevaux de Troie, les vers et les enregistreurs de frappe. Vous pouvez dsactiver la dtection des chevaux de Troie et des vers ou des enregistreurs de frappe. Se reporter "Comprendre les dtections proactives de menaces TruScan" la page 591. Vous pouvez cliquer sur Aide pour plus d'informations sur les options de type de processus de l'analyse. Pour spcifier les types de processus que les analyses proactives des menaces TruScan dtectent
1 2
Dans la page Politique antivirus et antispyware, cliquez sur Analyses proactives des menaces TruScan. Dans l'onglet Dtails de l'analyse, sous Analyse, cochez ou dslectionnez Rechercher les chevaux de Troie et les vers et Rechercher les enregistreurs de frappe. Cliquez sur OK.
594
Spcification des actions et des niveaux de sensibilit pour dtecter des chevaux de Troie, des vers et des enregistreurs de frappe
Les analyses proactives des menaces TruScan diffrent des analyses antivirus et antispyware. Les analyses d'antivirus et antispyware recherchent des risques connus. Les analyses proactives des menaces recherchent des risques inconnus bass sur le comportement de certains types de processus ou d'applications. Les analyses dtectent n'importe quel comportement semblable au comportement des chevaux de Troie, des vers ou des enregistreurs de frappe. Se reporter "Comprendre les dtections proactives de menaces TruScan" la page 591. Quand vous permettez Symantec de grer les dtections, l'action de dtection est Mettre en quarantaine pour les vrais positifs et Consigner suelement pour les faux positifs. Quand vous grez les dtections vous-mme, vous pouvez configurer l'action de dtection. Cette action est toujours utilise quand les analyses proactives des menaces effectuent une dtection. Par exemple, vous pourriez spcifier que le client de Symantec Endpoint Protection consigne la dtection des processus qui se comportent comme des chevaux de Troie et des vers. Quand le client effectue une dtection, il ne met pas le processus en quarantaine, il consigne seulement l'vnement. Vous pouvez configurer le niveau de sensibilit. Les analyses proactives des menaces effectuent plus de dtections (vrais positifs et faux positifs) quand vous dfinissez le niveau de sensibilit plus haut. Remarque : Si vous activez ces paramtres, vous risquez de dtecter beaucoup de faux positifs. Vous devez connatre les types de processus que vous excutez dans votre rseau de scurit. Vous pouvez cliquer sur Aide pour plus d'informations sur les options de l'analyse et sa sensibilit. Pour spcifier l'action et la sensibilit des chevaux de Troie, des vers ou des enregistreurs de frappe
1 2
Dans la page Politique antivirus et antispyware, cliquez sur Analyses proactives des menaces TruScan. Dans l'onglet Dtails de l'analyse, sous Analyse, assurez-vous que vous slectionnez Rechercher les chevaux de Troie et les vers et Rechercher les enregistreurs de frappe.
595
3 4
Pour l'un ou l'autre type de risque, dsactivez la case Utiliser les paramtres par dfaut dfinis par Symantec. Pour l'un ou l'autre type de risque, dfinissez l'action sur Journal, Supprimer ou Mise en quarantaine. Des notifications sont envoyes si une action est dfinie sur Mettre en quarantaine ou sur Terminer, et si vous avez activ les notifications. (Les notifications sont actives par dfaut.) Utilisez l'action Terminer avec prudence. Dans certains cas, vous pouvez entraner la perte de fonctionnalit d'une application.
Dplacez la case de dfilement vers la gauche ou la droite ou augmenter, respectivement la sensibilit. Cliquez sur Basse ou Eleve.
Cliquez sur OK.
Spcifier des actions pour les dtections d'application commerciale

Vous pouvez modifier l'action effectue quand une analyse proactive des menaces TruScan fait une dtection. Si vous dfinissez l'action sur Ignorer, les analyses proactives des menaces ignorent les applications commerciales. Se reporter "Comprendre les dtections proactives de menaces TruScan" la page 591. Vous pouvez cliquer sur Aide pour obtenir plus d'informations sur les options utilises dans les procdures. Pour spcifier des actions pour les dtections d'application commerciale
1 2
Dans la page Politique antivirus et antispyware, cliquez sur Analyses proactives des menaces TruScan. Dans l'onglet Dtails de l'analyse, sous Application commerciale dtecte, dfinissez l'opration effectuer : Ignorer, Consigner, Arrter ou Mettre en quarantaine. Cliquez sur OK.
596
Configuration des analyses proactives des menaces de TruScan Configurer la frquence d'analyse proactive des menaces TruScan
Configurer la frquence d'analyse proactive des menaces TruScan

Vous pouvez configurer la frquence d'excution des analyses proactives des menaces TruScan en incluant le paramtre dans une politique antivirus et antispyware. Remarque : Si vous modifiez la frquence des analyses proactives des menaces, cela peut affecter la performance des ordinateurs client. Se reporter "A propos des analyses proactives des menaces TruScan" la page 582. Vous pouvez cliquer sur Aide pour plus d'informations sur les options de frquence de l'analyse. Pour configurer la frquence d'analyse proactive des menaces
1 2
Dans la page Politique antivirus et antispyware, cliquez sur Analyses proactives des menaces TruScan. Dans l'onglet Frquence d'analyse, sous Frquence d'analyse, dfinissez une des options suivantes :
A la frquence d'analyse par dfaut Le logiciel de moteur d'analyse dtermine la frquence d'analyse. Il s'agit du paramtre par dfaut. A une frquence d'analyse personnalise Si vous activez cette option, vous pouvez indiquer que le client analyse les nouveaux processus ds qu'il les dtecte. Vous pouvez galement configurer le temps de frquence d'analyse.
Cliquez sur OK.
Configuration des notifications pour les analyses proactives des menaces TruScan
Par dfaut, des notifications sont envoyes aux ordinateurs client toutes les fois qu'il y a une dtection de l'analyse proactive des menaces TruScan. Vous pouvez dsactiver les notifications si vous ne voulez pas que l'utilisateur soit notifi. Se reporter "A propos des analyses proactives des menaces TruScan" la page 582. Les notifications avertissent l'utilisateur qu'une analyse proactive des menaces a dtect une menace que l'utilisateur doit rsoudre. L'utilisateur peut utiliser la
Configuration des analyses proactives des menaces de TruScan Configuration des notifications pour les analyses proactives des menaces TruScan
597
bote de dialogue Notifications pour corriger le problme. Certaines dtections d'analyse proactive des menaces ne ncessitent aucune intervention. Pour ces dtections, le client Symantec Endpoint Protection consigne la dtection, mais n'envoie pas de notification. Remarque : Si vous dfinissez l'utilisation par les dtections des paramtres par dfaut de Symantec, des notifications ne sont envoyes que si le client recommande une rsolution pour le processus. Les utilisateurs peuvent galement rsoudre des dtections en affichant le journal des menaces et en slectionnant une action. Vous pouvez crer une exception centralise pour exclure un processus de la dtection ; les utilisateurs des ordinateurs client peuvent galement crer des exceptions. Se reporter "A propos des politiques d'exceptions centralises" la page 645. Vous pouvez cliquer sur Aide pour obtenir des informations supplmentaires sur les options de notification de l'analyse. Pour configurer des notifications pour les analyses proactives des menaces TruScan
1 2
Dans la page Politique antivirus et antispyware, cliquez sur Analyses proactives des menaces TruScan. Dans l'onglet Notifications, cochez ou dcochez les options suivantes :

Afficher un message en cas de dtection Afficher un avertissement avant la fin d'un processus Afficher un avertissement avant l'arrt d'un service
Cliquez sur OK.
598
Configuration des analyses proactives des menaces de TruScan Configuration des notifications pour les analyses proactives des menaces TruScan
Chapitre
32
Configurer l'application et le contrle des priphriques


A propos du contrle des applications et des priphriques A propos de la structure d'une politique de contrle des applications et des priphriques A propos du contrle des applications A propos du contrle des priphriques A propos de l'utilisation du contrle des applications et des priphriques Crer un ensemble de rgles par dfaut de contrle des applications Cration d'une politique de contrle des applications et des priphriques Configuration du contrle des applications pour une politique de contrle des applications et des priphriques Configuration d'un contrle des priphriques pour une politique de contrle des applications et des priphriques
600
Configurer l'application et le contrle des priphriques A propos du contrle des applications et des priphriques
A propos du contrle des applications et des priphriques

Vous voulez utiliser le contrle des applications et des priphriques pour les raisons suivantes :
Pour empcher un programme malveillant de pirater des applications sur les ordinateurs client. Pour viter une suppression involontaire de donnes des ordinateurs client. Pour limiter les applications pouvant tre excutes sur un ordinateur client. Pour rduire la possibilit d'infection d'un ordinateur par des menaces de scurit partir d'un priphrique.
Le contrle des applications et des priphriques est mis en oeuvre sur les ordinateurs clients l'aide d'une politique de contrle des applications et des priphriques. Une politique de contrle des applications et des priphriques offre les types de protection suivants aux ordinateurs client :
Le contrle des applications permet la surveillance des appels API Windows effectus sur les ordinateurs clients et le contrle de l'accs aux fichiers, dossiers, cls de registre de Windows et processus des clients. Il protge les ressources du systme des applications. Se reporter "A propos du contrle des applications" la page 602. Contrle des priphriques pour grer les dispositifs priphriques qui peuvent s'attacher aux ordinateurs. Se reporter "A propos du contrle des priphriques" la page 608.
Lorsque vous crez une nouvelle politique de contrle des applications et des priphriques, vous pouvez dfinir chacun des deux types de protection. Vous avez galement l'option d'ajouter d'abord, soit le contrle d' application, soit le contrle de priphrique, puis l'autre type de protection ultrieurement. Se reporter "A propos de la structure d'une politique de contrle des applications et des priphriques" la page 601. Vous pouvez appliquer uniquement une politique de contrle des applications et des priphriques chaque emplacement au sein d'un groupe. Si vous voulez mettre en oeuvre les deux types de protection, vous devez dfinir le contrle des applications et celui des priphriques dans la mme politique. Se reporter "A propos de l'utilisation du contrle des applications et des priphriques " la page 609.
Configurer l'application et le contrle des priphriques A propos de la structure d'une politique de contrle des applications et des priphriques
601
Remarque : L'information dans ce chapitre s'applique uniquement aux ordinateurs client 32 bits. Les Politiques de contrle des applications et des priphriques ne fonctionnent pas sur les ordinateurs client 64 bits.
A propos de la structure d'une politique de contrle des applications et des priphriques

La partie contrle des applications d'une politique de contrle des applications et des priphriques peut contenir plusieurs ensembles de rgles et chaque ensemble contient une ou plusieurs rgles. Vous pouvez configurer des proprits pour un ensemble de rgles, des proprits, des conditions et des actions pour chaque rgle. Les rgles contrlent les tentatives d'accs aux entits informatiques, telles que les fichiers et les cls de registre de registre de Windows que Symantec Endpoint Protection contrle. Configurez ces diffrents types de tentatives comme des conditions. Pour chaque condition, vous pouvez configurer des mesures prendre lorsque les conditions sont runies. Configurez les rgles appliquer certaines applications uniquement ; vous pouvez ventuellement les configurer de faon exclure l'application de ces mesures d'autres applications. Se reporter "A propos des proprits de rgle de contrle des applications" la page 605. Se reporter "A propos des conditions de rgle de contrle des applications" la page 605. Se reporter "A propos des proprits de condition de rgle de contrle des applications" la page 606. Se reporter "A propos des actions de condition de rgle de contrle des applications" la page 607. Le contrle des priphriques est compos d'une liste de priphriques bloqus et d'une liste de priphriques exclus du blocage. Vous pouvez y ajouter des lments et grer leur contenu. Figure 32-1 illustre les composants de contrle des applications et des priphriques et les relations qui existent entre eux.
602
Configurer l'application et le contrle des priphriques A propos du contrle des applications
Figure 32-1
Structure de la politique de contrle des applications et des priphriques
A propos du contrle des applications

Le contrle des application permet de surveiller et de contrler le comportement des applications. Vous pouvez bloquer ou autoriser l'accs des cls de registre de Windows, fichiers et dossiers spcifiques. Vous pouvez galement bloquer ou autoriser des applications lancer ou terminer d'autres processus. Vous pouvez dfinir les applications autorises tre xcutes et celles qui ne peuvent pas tre termines par des processus irrguliers. Vous pouvez dfinir les applications pouvant appeler des bibliothques de liens dynamiques (DLL); Avertissement : Le contrle des applications est une fonction de scurit avance que seuls les administrateurs expriments peuvent configurer. Le contrle des applications est mis en oeuvre l'aide d'ensembles de rgles dfinissant la mthode de contrle des applications. Le contrle des applications est un ensemble de commandes autorisant ou bloquant une action. Vous pouvez crer autant d'ensembles de rgles que ncessaires dans une politique. Vous
603
pouvez galement configurer les ensembles de rgles actifs un moment donn en utilisant l'option Activ pour chaque ensemble de rgles. Vous pouvez utiliser le contrle des applications pour protger les ordinateurs client de la manire suivante :

Protger des cls de registre de Windows et des valeurs spcifiques. Rpertoires de sauvegarde, comme le rpertoire \WINDOWS\system. Empcher les utilisateurs de modifier des fichiers de configuration. Protge les fichiers de programmes importants comme le rpertoire priv de Symantec sur lequel l'ordinateur client est install. Protge des processus spcifiques ou exclut des processus de la protection. Contrle l'accs aux DLL.
Se reporter "Cration d'une politique de contrle des applications et des priphriques" la page 611. Se reporter "A propos du mode test" la page 603. Se reporter "A propos des rgles et des groupes de rgles de contrle des applications" la page 604.
A propos du mode test

Lorsque vous crez un ensemble de rgles de contrle des applications, vous le crez dans le mode par dfaut, qui est le mode Test (consigner seulement). Le mode Test vous permet de tester vos rgles avant de les activer. En mode Test, aucune action n'est applique, mais les actions configures sont consignes comme si elles taient appliques. En mode Test, vous pouvez attribuer la politique aux groupes et aux emplacements et gnrer un journal de contrle client. Examinez les journaux de contrle client pour y rechercher des erreurs et apportez les corrections ncessaires la rgle. Lorsque la politique fonctionne comme prvu, vous pouvez changer le mode en mode Production pour mettre en oeuvre l'ensemble de rgles de contrle des applications. La meilleure mthode consiste excuter tous les ensembles de rgle en mode Test pendant une priode de temps avant de les passer en mode Production. Cette mthode rduit le risque de problmes pouvant survenir lorsque vous n'anticipez pas toutes les ramifications possibles d'une rgle. Se reporter "Modification du mode d'un ensemble de rgles de contrle des applications" la page 623.
604
A propos des rgles et des groupes de rgles de contrle des applications

Les ensembles de rgles se composent des rgles et de leurs conditions. Une rgle est un ensemble de conditions et d'actions qui s'appliquent un ou des processus donns. Une pratique d'excellence consiste crer un ensemble de rgles qui inclut toutes les actions qui autorisent, bloquent et surveillent une tche donne. Suivez ce principe pour vous aider tenir vos rgles organises. Par exemple, supposez que vous dsirez bloquer les tentatives d'criture sur tous les lecteurs amovibles et que vous souhaitez bloquer les applications contre les interventions avec une application particulire. Pour atteindre ces objectifs, vous devez crer deux ensembles de rgles diffrents. Vous ne devez pas crer toutes les rgles ncessaires l'accomplissement de ces deux objectifs avec un ensemble de rgles. Remarque : Actuellement, Symantec Endpoint Protection Manager ne prend pas en charge les ensembles de rgles spcifiant le blocage de tentatives d'critures sur des CD ou des lecteurs de DVD. Vous pouvez slectionner l'option dans le politique de contrle des applications et des priphriques. Elle ne sera cependant pas applique. Vous pouvez en revanche crer un politique de contrle des applications et des priphriques qui bloque les applications accdant en criture aux CD ou lecteurs de DVD. Vous devez galement crer une politique d'intgrit de l'hte dfinissant la cl de registre de Windows de manire bloquer les tentatives d'criture sur les CD ou les lecteurs de DVD. Pour obtenir des informations actuelles, consultez le document suivant de base de donnes Symantec : Aprs avoir install une politique de contrle des applications et des priphriques pour bloquer l'criture de CD, cette opration n'est pas bloque comme prvu, et la tentative d'criture n'est pas consigne Vous appliquez une rgle une ou plusieurs applications pour dfinir les applications que vous surveillez. Les rgles contiennent des conditions. Ces conditions surveillent l'application ou les applications qui sont dfinies dans la rgle pour les oprations spcifies. Les conditions dfinissent ce que vous voulez autoriser les applications faire ou les empcher de faire. Les conditions contiennent galement les actions prendre lorsque l'opration qui est spcifie dans la condition est respecte. Remarque : Souvenez-vous que les actions s'appliquent toujours au processus qui est dfini dans la rgle. Elles ne s'appliquent pas aux processus qui sont dfinis dans la condition.
605
Se reporter "Cration d'un groupe de rgles de contrle d'applications et ajout d'une nouvelle rgle au groupe" la page 613. Se reporter "A propos des proprits de rgle de contrle des applications" la page 605. Se reporter "A propos des conditions de rgle de contrle des applications" la page 605. Se reporter "A propos des proprits de condition de rgle de contrle des applications" la page 606. Se reporter "A propos des actions de condition de rgle de contrle des applications" la page 607.
A propos des proprits de rgle de contrle des applications

Vous pouvez configurer les proprits suivantes pour une rgle :

Un nom Une description (facultative) Si la rgle est active ou dsactive Une liste des applications sur lesquelles la rgle doit tre applique Une liste des applications sur lesquelles la rgle ne doit pas tre applique (facultative)
Se reporter "A propos de la structure d'une politique de contrle des applications et des priphriques" la page 601.
A propos des conditions de rgle de contrle des applications

Les conditions sont des oprations pouvant tre autorises ou refuses pour les applications. Tableau 32-1 dcrit les conditions de rgle de contrle des applications pouvant tre configures pour une rgle. Tableau 32-1 Condition Types de conditions de rgle Description
Tentatives d'accs au registre Autoriser ou bloquer l'accs aux paramtres de registre de Windows d'un ordinateur client. Vous pouvez autoriser ou bloquer l'accs aux cls, valeurs et donnes spcifiques de registre de Windows.
606
Condition
Description
Tentatives d'accs au fichier Autoriser ou bloquer l'accs aux fichiers ou dossiers spcifis et au dossier sur un ordinateur client. Vous pouvez limiter la seuveillance des fichiers et dossiers des types spcifiques de disque. Tentatives de lancement de processus Tentatives d'arrt du processus Autoriser ou bloquer la possibilit de lancement d'un processus sur un ordinateur client. Autoriser ou bloquer la possibilit de terminer un processus sur un ordinateur client Vous pouvez par exemple vouloir bloquer l'arrt d'une application particulire. Cette condition recherche les applications essayant d'arrter une applicaton spcifie.
Remarque : Cette condition empche les autres applications

ou procdures de terminer le processus. Elle n'empche pas la fin de l'application l'aide de mthodes usuelles de sortie d'une application, comme en cliquant sur Quitter dans le menu Fichier. Tentatives de chargement de Autoriser ou bloquer la possibilit de chargement d'un DLL DLL sur un ordinateur client. Vous pouvez dfinir les fichiers DLL dont vous voulez bloquer ou autoriser le chargement dans une application. Vous pouvez utiliser des noms de fichiers, des caractres gnriques, des listes de signature et des expressions standards spcifiques. Vous pouvez galement limiter la surveillance des DLL sur les DLL lancs partir d'un type de disque particulier.
Se reporter "A propos de la structure d'une politique de contrle des applications et des priphriques" la page 601. Se reporter "Ajout de conditions une rgle" la page 615. Se reporter "Configuration des proprits de condition d'une rgle" la page 616. Se reporter "Configurer les actions prendre lorsqu'une condition est remplie" la page 618.
A propos des proprits de condition de rgle de contrle des applications

Vous pouvez configurer les proprits suivantes pour une condition de rgle :
Un nom
607
Une description (facultative) Si la condition de rgle est active ou dsactive Une liste des entits informatiques qui devront tre contrles pour la condition Une liste des entits informatiques qui devront tre exclues du contrle pour la condition (facultative)
Se reporter "A propos de la structure d'une politique de contrle des applications et des priphriques" la page 601.
A propos des actions de condition de rgle de contrle des applications

Vous pouvez configurer certaines actions prendre lorsqu'une condition est remplie. Les actions suivantes peuvent tre configures lorsqu'une tentative d'application se produit :

Continuer le traitement d'autres rgles. Autoriser l'application pour accder l'entit. Bloquer l'accs l'entit pour l'application. Arrter le processus d'application.
Par exemple, vous pouvez configurer un ensemble d'actions excuter lorsqu'un processus tente de lire une entit contrle. Vous pouvez configurer un ensemble diffrent d'actions devant se produire lorsque le mme processus tente de crer, supprimer ou crire sur une entit contrle. Vous pouvez configurer une action dans chaque cas pour autant de processus que vous le souhaitez. Vous pouvez galement configurer un contrle des applications pour consigner les tentatives et afficher un message personnalis l'utilisateur lorsqu'une tentative s'est produite. Avertissement : Utiliser prudemment l'action de processus Terminer car elle peut ne pas avoir l'effet escompt lorsque vous l'utilisez dans une rgle. Elle arrte le processus qui effectue l'action configure, pas le processus que l'utilisateur lance actuellement. Par exemple, supposez que vous dsirez arrter Winword.exe chaque fois qu'un processus lance Winword.exe. Vous dcidez de crer une rgle, et vous la configurez avec la condition Lancer les tentatives de processus et Arrter l'action du processus. Vous appliquez la condition Winword.exe et vous appliquez la rgle tous les processus. On peut s'attendre ce que cette rgle arrte Winword.exe, mais ce
608
Configurer l'application et le contrle des priphriques A propos du contrle des priphriques
n'est pas ce que fait une rgle avec cette configuration. Si vous essayez de lancer Winword.exe depuis Windows Explorer, une rgle avec cette configuration arrte Explorer.exe, pas Winword.exe. Se reporter "A propos de la structure d'une politique de contrle des applications et des priphriques" la page 601.
A propos du contrle des priphriques

Utilisez le contrle des priphriques pour grer l'accs des priphriques aux ordinateurs client. Le contrle des priphriques offre l'administrateur un meilleur niveau de contrle sur les priphriques autoriss accder aux ordinateurs. Vous pouvez construire une liste de priphriques qui doivent tre bloqus l'accs de l'ordinateur et une liste de priphriques dont l'accs est autoris. Biens qu'un priphrique soit physiquement connect un ordinateur, l'accs l'ordinateur peut toujours lui tre interdit. Vous pouvez bloquer ou autoriser des priphriques USB, infrarouge, FireWire et SCSI, ainsi que des ports sries et parallles. Vous pouvez galement autoriser d'autres types de priphrique (comme les disques durs USB) tre exclus du blocage. Vous pouvez galement choisir de dfinir le contrle des priphriques en utilisant soit Windows GUID, soit l'ID de priphrique. Vous pouvez mettre en application le contrle des priphriques en construisant des listes d'quipements. Tableau 32-2 liste des exemples de combinaisons de configuration d'un port et d'un priphrique et l'effet de chaque combinaison sur le priphrique qui tente d'accder l'ordinateur client. Tableau 32-2 Configuration
Port bloqu + priphrique exclu Port bloqu + priphrique bloqu
Combinaisons de configuration de ports et de priphriques Rsultat

Priphrique actif Le priphrique ne fonctionne pas.
Remarque : Vous ne devez jamais bloquer

un clavier.
Vous pouvez dcider, par exemple, de bloquer tous les ports, mais d'exclure une souris USB afin qu'elle puisse tre connecte un ordinateur client. Dans ce scnario, la souris USB travaille sur l'ordinateur client, bien que ce port soit bloqu. Se reporter "A propos du contrle des applications et des priphriques" la page 600. Se reporter "Configuration d'un contrle des priphriques pour une politique de contrle des applications et des priphriques" la page 623.
Configurer l'application et le contrle des priphriques A propos de l'utilisation du contrle des applications et des priphriques
609
A propos de l'utilisation du contrle des applications et des priphriques

Par dfaut, une Politique de contrle d'applications et de priphriques est disponible sur le serveur de gestion. Toutefois, le pilote par dfaut de la Politique de contrle d'applications et de priphriques est dsactiv sur le client. Pour activer le pilote, vous devez activer une rgle existante ou ajouter et activer une nouvelle rgle dans la politique. Une fois la politique tlcharge vers l'ordinateur client, une notification demande l'utilisateur de redmarrer l'ordinateur client. L'utilisateur doit redmarrer le client pour permettre la politique de protger l'ordinateur client. Si la politique de contrle des applications et des priphriques par dfaut n'assure pas la protection dont vous avez besoin, vous pouvez effectuer les oprations suivantes :

Modifier la politique par dfaut. Crer une politique personnalise.
Se reporter "Configuration du contrle des applications pour une politique de contrle des applications et des priphriques" la page 612. Si vous retirez ou dsactivez la Politique de contrle d'applications et de priphriques, le pilote est dsactiv et le client n'est pas protg. Pour activer la protection de nouveau, l'utilisateur doit redmarrer l'ordinateur client de nouveau. Avertissement : Une politique de contrle d'applications et de priphriques est un outil puissant qui permet de crer des politiques d'application personnalises pour votre environnement. Toutefois, les erreurs de configuration peuvent dsactiver un ordinateur ou un serveur. L'ordinateur client peut tomber en panne ou sa communication avec Symantec Endpoint Protection Manager peut tre bloque lors de la mise en oeuvre d'une politique de contrle d'applications et de priphriques. Si ce type de panne se produit, vous risquez de ne pas pouvoir configurer l'ordinateur client distance. La seule solution serait peut tre d'effectuer une restauration locale de l'ordinateur. Symantec recommande d'utiliser d'abord une politique en mode essai avant de la dployer. Vous pouvez alors examiner les erreurs dans le journal de contrle. Les vnements de contrle d'applications et de priphriques sont enregistrs dans le journal de contrle du client. Vous pouvez les afficher sur la console dans le journal de contrle des applications et le journal de contrle des priphriques.
610
Configurer l'application et le contrle des priphriques Crer un ensemble de rgles par dfaut de contrle des applications
Crer un ensemble de rgles par dfaut de contrle des applications

La partie contrle des applications d'une politique de contrle des applications et des priphriques se compose des ensembles de rgles de contrle des applications. Chaque ensemble de rgles de contrle des applications se compose d'une ou plusieurs rgles. Des rgles de commande d'application par dfaut sont installes avec Symantec Endpoint Protection Manager. Les ensembles de rgles par dfaut sont dsactivs lors de l'installation. Remarque : Ne modifiez pas ces ensembles de rgles de contrle des applications par dfaut. Si les groupes de rgles et les contrles par dfaut ne rpondent pas vos exigences, vous pouvez crer des groupes de rgles de contrle des applications personnaliss. Si vous voulez utiliser les ensembles de rgles par dfaut d'une politique de contrle des applications et des priphriques, vous devez les activer. Se reporter "A propos des rgles et des groupes de rgles de contrle des applications" la page 604. Pour crer un ensemble de rgles par dfaut de contrle des applications :
1 2 3
Dans la console, cliquez sur Politiques. Sous Afficher les politiques, cliquez sur Contrle des applications et des priphriques. Dans la page Politiques de contrle des applications et des priphriques, cliquez sur la politique laquelle vous voulez ajouter un ensemble de rgles par dfaut de contrle des applications. Sous Tches, cliquez sur Modifier la politique. Dans le volet Politique de contrle des applications et des priphriques, cliquez sur Contrle des applications. Pour revoir la configuration dans un ensemble de rgles par dfaut de contrle des applications, cliquez sur le nom sous Ensemble de rgles, puis sur Modifier. Prenez soin de n'effectuer aucune modification.
4 5 6
7 8 9
Lorsque vous avez termin la rvision de la configuration des rgles et des conditions, cliquez sur Annuler. Cochez la case en regard de chaque ensemble de rgles activer. Cliquez sur OK.
Configurer l'application et le contrle des priphriques Cration d'une politique de contrle des applications et des priphriques
611
Cration d'une politique de contrle des applications et des priphriques

Vous pouvez crer une nouvelle politique de contrle des applications et des priphriques. Une fois que vous avez cr une nouvelle politique, vous pouvez crer un ou plusieurs ensembles de rgles de contrle des applications, ou des listes de contrle des priphriques matriels ou les deux. Vous ne devez pas crer une politique qui ne contient qu'un contrle des priphriques et une autre qui ne contient qu'un contrle des applications. Une politique de contrle des applications et des priphriques doit contenir le contrle des applications et le contrle des priphriques si vous souhaitez mettre en oeuvre les deux. Vous pouvez uniquement attribuer une politique de contrle des applications et des priphriques la fois un groupe un emplacement. Se reporter "A propos de la structure d'une politique de contrle des applications et des priphriques" la page 601. Pour crer et attribuer une politique de contrle des applications et des priphriques
1 2 3 4
Dans la console Symantec Endpoint Protection Manager, cliquez sur Politiques. Sous Afficher les politiques, cliquez sur Contrle des applications et des priphriques. Sous Tches, cliquez sur Ajouter une politique de contrle des applications et des priphriques. Dans le volet Prsentation, dans le champ Policy name (nom de politique), tapez le nom de la nouvelle politique de contrle des applications et des priphriques. Le nom par dfaut pour une nouvelle politique est Nouvelle politique de contrle des applications et des priphriques.
Dans le champ Description, tapez une description de la nouvelle politique. Ces informations sont facultatives; elles ne sont utilises qu' titre de rfrence.
612
Configurer l'application et le contrle des priphriques Configuration du contrle des applications pour une politique de contrle des applications et des priphriques
Si vous ne souhaitez pas immdiatement mettre en oeuvre la politique, dslectionnez Enable this policy (Activer cette politique). Les nouvelles politiques sont actives par dfaut.
Cliquez sur OK. Se reporter "Configuration du contrle des applications pour une politique de contrle des applications et des priphriques" la page 612. Se reporter "Configuration d'un contrle des priphriques pour une politique de contrle des applications et des priphriques" la page 623.
Configuration du contrle des applications pour une politique de contrle des applications et des priphriques
Pour configurer un contrle des applications, vous devez effectuer les tches suivantes :
Crer un nouvel ensemble de rgles de contrle des applications. Se reporter "Cration d'un groupe de rgles de contrle d'applications et ajout d'une nouvelle rgle au groupe" la page 613. Ajouter une ou plusieurs rgles l'ensemble de rgles. Se reporter "Cration d'un groupe de rgles de contrle d'applications et ajout d'une nouvelle rgle au groupe" la page 613. Ajouter une ou plusieurs conditions aux rgles. Se reporter "Ajout de conditions une rgle" la page 615. Se reporter "Configuration des proprits de condition d'une rgle" la page 616. Configurer les mesures prendre lorsque les conditions sont runies. Se reporter "Configurer les actions prendre lorsqu'une condition est remplie" la page 618. Appliquer les conditions aux entits. Se reporter "Application d'une rgle des applications spcifiques et exclusion d'une rgle pour certaines applications" la page 619. Eventuellement, exclure l'application des conditions des entits. Se reporter "Application d'une rgle des applications spcifiques et exclusion d'une rgle pour certaines applications" la page 619. Appliquer les rgles des processus.
613
Se reporter "Application d'une rgle des applications spcifiques et exclusion d'une rgle pour certaines applications" la page 619.
Eventuellement, exclure l'application des rgles des processus. Se reporter "Application d'une rgle des applications spcifiques et exclusion d'une rgle pour certaines applications" la page 619. Activer les rgles. Se reporter "Cration d'un groupe de rgles de contrle d'applications et ajout d'une nouvelle rgle au groupe" la page 613. Activer l'ensemble des rgles. Se reporter "Crer un ensemble de rgles par dfaut de contrle des applications" la page 610. Se reporter "Dsactivation des ensembles de rgles de contrle des applications et des rgles individuelles dans une politique de contrle des applications et des priphriques" la page 622.
Cration d'un groupe de rgles de contrle d'applications et ajout d'une nouvelle rgle au groupe
Un nouveau groupe de rgles d'applications contient une ou plusieurs rgles dfinies par l'administrateur. Chaque groupe de rgles et chaque rgle comportent des proprits. Chaque rgle peut galement comporter une ou plusieurs conditions permettant de surveiller les applications et leur accs des fichiers, dossiers, cls de registre Windows et processus donns. Vous pouvez crer plusieurs rgles et les ajouter un seul groupe de rgles de contrle d'applications. Crez le nombre de rgles et de groupes de rgles dont vous avez besoin pour mettre en oeuvre la protection que vous souhaitez. Vous pouvez supprimer des rgles de la liste des rgles et modifier leur position dans la hirarchie des groupes de rgles comme vous le souhaitez. Vous pouvez galement activer et dsactiver des groupes de rgles ou des rgles individuelles au sein d'un groupe. L'ordre dans lequel les rgles sont rpertories est important pour le fonctionnement du contrle d'applications. Les rgles de contrle d'applications fonctionnent comme la plupart des rgles de filtrage rseau, dans le sens o elles font toutes les deux appel la fonction de premire correspondance de rgle. S'il existe plusieurs rgles pour lesquelles les conditions sont vraies, seule la rgle suprieure est applique, sauf si l'action configure pour la rgle est de Continuer traiter d'autres rgles. Vous devez prendre en compte l'ordre des rgles et leurs conditions lorsque vous les configurez afin d'viter toute consquence inattendue. Envisagez le scnario suivant : Supposez qu'un administrateur souhaite empcher tous les utilisateurs
614
de dplacer, copier et crer des fichiers sur des lecteurs USB. L'administrateur dispose d'une rgle existante avec une condition qui autorise l'accs en criture au fichier Test.doc. L'administrateur ajoute une seconde condition ce groupe de rgles existant pour bloquer tous les lecteurs USB. Dans ce scnario, les utilisateurs sont toujours en mesure de crer et de modifier un fichier Test.doc sur les lecteurs USB. Puisque la condition Autoriser l'accs en criture Test.doc vient avant Bloquer l'accs en criture aux lecteurs USB dans la rgle, la condition Bloquer l'accs en criture aux lecteurs USB n'est pas traite lorsque la condition qui la prcde dans la liste est vraie. Vous pouvez vrifier la structure des groupes de rgles par dfaut pour voir la faon dont ils sont conus. Avertissement : Seuls les administrateurs avancs peuvent crer des groupes de rgles de contrle d'applications. Les erreurs de configuration dans les groupes de rgles utiliss dans une politique de contrle et d'application peuvent dsactiver un ordinateur ou un serveur. L'ordinateur client peut tomber en panne ou sa communication avec Symantec Endpoint Protection Manager peut tre bloque. Pour crer un groupe de rgles et lui ajouter des rgles
Crez une nouvelle politique de contrle d'applications et de priphriques. Se reporter "Ajouter une politique partage." la page 101.
2 3
Dans le volet Contrle d'applications, cliquez sur Ajouter. Dans la bote de dialogue Ajouter un groupe de rgles de contrle d'applications, dslectionnez Activer la consignation pour ne pas consigner des vnements concernant ces rgles. La consignation est active par dfaut.
4 5 6 7
Dans la zone de texte Nom du groupe de rgles, modifiez le nom par dfaut du groupe de rgles. Dans le champ Description, tapez une description. Modifiez le nom par dfaut de la rgle dans la zone de texte Nom de rgle, puis tapez une description de la rgle. Si vous ne souhaitez pas activer immdiatement cette nouvelle rgle, dslectionnez Activer cette rgle.
615
8 9
Pour ajouter une deuxime rgle, cliquez sur Ajouter, puis sur Ajouter une rgle. Cliquez sur OK. Une fois le groupe de rgles et la rgle crs, vous devez dfinir les applications auxquelles la rgle doit s'appliquer. Le cas chant, vous pouvez galement dfinir les applications auxquelles la rgle ne doit pas s'appliquer. Vous pouvez ensuite ajouter des conditions la rgle et configurer les actions prendre lorsque les conditions sont remplies. Se reporter "Application d'une rgle des applications spcifiques et exclusion d'une rgle pour certaines applications" la page 619.
Ajout de conditions une rgle

Lorsque vous appliquez une rgle au moins une application, vous pouvez ajouter et configurer des conditions pour la rgle. Les conditions ont des proprits et des actions. Les proprits d'une condition spcifient ce que la condition recherche. Ses actions dfinissent ce qu'il se passe lorsque la condition est remplie. Se reporter "Configuration du contrle des applications pour une politique de contrle des applications et des priphriques" la page 612. Pour ajouter une condition une rgle
1 2
Dans le volet de contrle de l'application, cliquez sur l'ensemble de rgle que vous avez cr, puis cliquez sur Edition. Dans la bote de dialogue Edit Application Control Rule Set (Modifier l'ensemble des rgles de contrle des applications), cliquez sur la rgle laquelle vous souhaitez ajouter une condition. Dans la liste Rgles, cliquez sur Ajouter, puis cliquez sur Add Condition (Ajout de condition). Slectionner l'une des conditions suivantes :

3 4
Registry Access Attempts (Tentatives d'accs au registre) File and Folder Access Attempts (Tentatives d'accs au fichier et dossier) Launch Process Attempts (Lancer les tentatives de processus) Terminate Process Attempts (Arrter les tentatives de processus) Load DLL Attempts (Charger les tentatives de DLL)
Vous pouvez ajouter, configurer et supprimer des conditions depuis une rgle lorsque cela est ncessaire.
616
Configuration des proprits de condition d'une rgle

Les proprits de condition incluent le nom et la description et indiquent si la condition est active ou dsactive. Les proprits de condition incluent galement l'application de la condition aux entits et, le cas chant, l'exclusion de certaines entits auxquelles la condition ne s'appliquent pas. Remarque : Lorsque vous appliquez une condition toutes les entits dans un dossier spcifique, une pratique d'excellence consiste utiliser nom_dossier\* ou nom_dossier\*\*. Un astristique inclut tous les fichiers et dossiers dans le dossier nomm. Utilisez nom_dossier\*\* pour inclure chaque fichier et dossier dans le dossier nomm, ainsi que chaque fichier et dossier dans chaque sous-dossier. Se reporter "Configuration du contrle des applications pour une politique de contrle des applications et des priphriques" la page 612. Pour configurer des proprits de condition
1 2 3 4
Dans la bote de dialogue Modifier un groupe de rgles de contrle des applications, cliquez sur la condition que vous voulez appliquer. Si vous le souhaitez, changez le nom par dfaut indiqu dans la zone de texte Nom, puis, le cas chant, ajoutez une description. Pour activer immdiatement cette condition, cochez la case Activer cette condition. A droite de Appliquer l'entit suivante (entit reprsentant les processus, les cls de registre Windows, les fichiers et les dossiers ou les DLL), cliquez sur Ajouter. Dans la bote de dialogue Ajouter une dfinition d'entit, configurez l'un des groupes d'options suivants :
Pour Tentatives d'accs au registre, tapez le nom de la cl de registre Windows, ainsi que sa valeur et ses donnes. Cliquez sur Utiliser la correspondance de caractres gnriques (* et ? pris en charge) ou Utiliser la correspondance d'expressions standard. Pour Tentatives d'accs aux fichiers et dossiers, tapez le nom du fichier ou du dossier. Cliquez sur Utiliser la correspondance de caractres gnriques (* et ? pris en charge) ou Utiliser la correspondance d'expressions standard. Si vous le souhaitez, cochez des types de lecteurs spcifiques sur lesquels apparier les fichiers et dossiers. Si vous le souhaitez, cochez Apparier uniquement les fichiers s'excutant sur le type d'ID de priphrique suivant, puis tapez un type d'ID de
617
priphrique dans le champ de texte ou cliquez sur Slectionner afin de slectionner un type d'ID de priphrique dans la liste de la bote de dialogue Slection de priphrique pour n'apparier que les processus qui s'excutent sur les priphrique prsentant ce type d'ID.
Pour Tentatives de lancement de processus, tapez le nom du processus. Cliquez sur Utiliser la correspondance de caractres gnriques (* et ? pris en charge) ou Utiliser la correspondance d'expressions standard. Si vous le souhaitez, cochez des types de lecteurs spcifiques sur lesquels apparier le processus. Si vous le souhaitez, cochez Apparier uniquement les processus s'excutant sur le type d'ID de priphrique suivant, puis tapez un type d'ID de priphrique dans le champ de texte ou cliquez sur Slectionner afin de slectionner un type d'ID de priphrique dans la liste de la bote de dialogue Slection de priphrique pour n'apparier que les processus qui s'excutent sur les priphrique prsentant ce type d'ID. Si vous le souhaitez, cliquez sur Options pour apparier les processus en fonction de la signature de fichier et pour n'apparier que les processus comportant un argument dsign. Vous pouvez choisir d'apparier les arguments exactement ou en appariant les expressions standard. Pour Tentatives d'arrt de processus ou Tentatives de chargement de DLL, tapez le nom du processus. Cliquez sur Utiliser la correspondance de caractres gnriques (* et ? pris en charge) ou Utiliser la correspondance d'expressions standard. Si vous le souhaitez, cochez des types de lecteurs spcifiques sur lesquels apparier le processus. Si vous le souhaitez, cochez Apparier uniquement les processus s'excutant sur le type d'ID de priphrique suivant, puis tapez un type d'ID de priphrique dans le champ de texte ou cliquez sur Slectionner afin de slectionner un type d'ID de priphrique dans la liste de la bote de dialogue Slection de priphrique pour n'apparier que les processus qui s'excutent sur les priphrique prsentant ce type d'ID. Si vous le souhaitez, cliquez sur Options pour apparier les processus en fonction de la signature de fichier.
6 7
Cliquez sur OK. A droite du volet Ne pas appliquer cette rgle aux processus suivants, cliquez sur Ajouter, puis rptez le processus de configuration selon les besoins. Les options s'appliquant aux exclusions sont les mmes que celles s'appliquant aux inclusions.
618
8 9
Cliquez sur les commandes appropries pour effectuer vos slections et tapez les informations requises dans les zones de texte. Cliquez sur OK. Aprs avoir dfini les proprits de la condition, vous devez configurer les actions s'effectuant lorsque la condition est remplie. Se reporter "Configurer les actions prendre lorsqu'une condition est remplie" la page 618.
Configurer les actions prendre lorsqu'une condition est remplie

Les actions suivantes sont disponibles pour toutes les conditions :
Continuer le traitement d'autres rgles Vous permet d'uniquement consigner l'vnement, puis de continuer le traitement d'autres rgles dans la liste Pour toutes les autres actions, l'ordinateur client arrte le traitement des rgles lorsque le premier critre correspond Autoriser l'accs Bloquer l'accs Arrter le processus Permet la poursuite de l'opration Empche l'opration Arrte l'application qui a effectu la demande
Remarque : Une pratique d'excellence consiste utiliser l'action Bloquer l'accs pour empcher une condition plutt que d'utiliser l'action Arrter le processus. L'action Arrter le processus doit tre utilise uniquement dans des configurations avances. Se reporter "Configuration du contrle des applications pour une politique de contrle des applications et des priphriques" la page 612. Pour configurer les actions prendre lorsqu'une condition est remplie
Dans la bote de dialogue Edit Application Control Rule Set (Modifier l'ensemble des rgles de contrle des applications), cliquez sur la condition pour laquelle vous souhaitez configurer des actions. Dans l'onglet Actions, effectuez l'une des oprations suivantes :
Pour la condition Lancer les tentatives de processus et la condition Arrter les tentatives de processus, cliquez sur une des options suivantes : Continue processing other rules (Poursuivre le traitement d'autres
619
rgles), Allow access (Permettre l'accs), Block access (Bloquer l'accs) ou Terminate process (Arrter le processus).
Pour la condition Tentatives d'accs au DLL, cliquez sur une des options suivantes : Continue processing other rules (Poursuivre le traitement d'autres rgles), Allow access (Permettre l'accs), Block access (Bloquer l'accs) ou Terminate process (Arrter le processus). Pour la condition Tentatives d'accs au registre et la condition Tentatives d'accs au fichier et au dossier, vous pouvez configurer deux ensembles d'actions. Un ensemble s'applique lorsqu'il y a une tentative de lecture; l'autre ensemble s'applique lorsqu'il y a une tentation de cration, suppression ou d'criture. Sous Tentative de lecture, cliquez sur une des options suivantes : Continue processing other rules (Poursuivre le traitement d'autres rgles), Allow access (Permettre l'accs), Block access (Bloquer l'accs) ou Terminate process (Arrter le processus).
Si vous le souhaitez, slectionnez Enable logging (Activer la consignation), puis slectionnez un niveau de gravit attribuer aux entres qui sont consignes. Si vous le souhaitez, slectionnez Notify user (Informer les utilisateurs), puis, tapez le texte que vous souhaitez faire apparatre l'utilisateur. Rptez les tapes 2 4 pour configurer les mmes options pour les tentatives de cration, de suppression et d'criture. Cliquez sur OK.
4 5 6
Application d'une rgle des applications spcifiques et exclusion d'une rgle pour certaines applications
Vous pouvez appliquer une rgle des applications et exclure certaines applications des actions de la rgle. Vous spcifiez une liste contenant les applications auxquelles la rgle s'applique (les inclusions). Vous spcifiez une autre liste contenant les applications auxquelles la rgle ne s'applique pas (les exclusions). Pour lier une rgle une application donne, dfinissez cette application dans la zone de texte Appliquer cette rgle aux processus suivants. Si vous souhaitez lier la rgle toutes les applications sauf un groupe d'applications donn, utilisez les paramtres suivants :
Dans la zone de texte Appliquer cette rgle aux processus suivants, dfinissez un caractre gnrique pour tous les processus (*). Dans la zone de texte Ne pas appliquer cette rgle aux processus suivants, rpertoriez les applications ncessitant une exception.
620
Vous pouvez dfinir autant d'applications que vous le souhaitez pour chaque liste. Remarque : Chaque rgle doit comporter au moins une application dans la zone de texte Appliquer cette rgle aux processus suivants. Lorsque vous ajoutez des applications une rgle, vous pouvez utiliser les mthodes suivantes pour spcifier l'application :

Le nom du processus Les caractres gnriques Les expressions standard Les signatures de fichiers Les types de lecteurs partir desquels l'application a t lance L'identifiant du priphrique
Se reporter "Configuration du contrle des applications pour une politique de contrle des applications et des priphriques" la page 612. Pour appliquer une rgle des applications spcifiques
1 2
Dans la bote de dialogue Modifier le groupe de rgle de contrle d'applications, cliquez sur la rgle que vous souhaitez appliquer. Si vous souhaitez configurer une application laquelle appliquer la rgle, droite de l'option Appliquer cette rgle aux processus suivants, cliquez sur Ajouter. Dans la bote de dialogue Ajouter une dfinition de processus, configurez les lments suivants :

Tapez le nom de l'application que vous voulez rechercher dans cette rgle. Cliquez sur Rechercher avec les caractres gnriques (* et ? pris en charge) ou Rechercher avec les expressions standard pour rechercher le nom. Le cas chant, vrifiez les types de lecteurs spcifiques sur lesquels rechercher le processus. Le cas chant, slectionnez Rechercher uniquement les processus s'excutant sur le type d'identifiant de priphrique suivant, puis tapez un type d'identifiant de priphrique dans la zone de texte ou cliquez sur Slectionner pour en slectionner un dans la liste de la bote de dialogue Slection des priphriques pour rechercher uniquement les processus qui s'excutent sur les priphriques de ce type d'identifiant.
621
Le cas chant, cliquez sur Options pour rechercher les processus en fonction de la signature du fichier et pour rechercher uniquement les processus disposant d'un argument dsign. Vous pouvez choisir de rechercher les arguments de faon exacte ou l'aide des expressions standard.
Cliquez sur OK. Vous pouvez rpter les tapes 2 4 pour ajouter autant d'applications que vous le souhaitez.
Si vous souhaitez configurer une ou plusieurs applications exclure de la rgle, droite de l'option Ne pas appliquer cette rgle aux processus suivants, cliquez sur Ajouter. Rptez la configuration des applications exclure, comme vous le souhaitez. Vous disposez des mmes options lorsque vous dfinissez une application exclure que lorsque vous appliquez la rgle une application.
Une fois les applications dfinies, cliquez sur OK.
Modification de l'ordre dans lequel les ensembles de rgles de contrle des applications sont appliqus.
Vous pouvez contrler l'ordre dans lequel les ensembles de rgles de contrle des applications sont appliqus. Vous pouvez galement contrler l'ordre dans lequel des rgles individuelles dans un ensemble de rgle sont appliques. Se reporter "Configuration du contrle des applications pour une politique de contrle des applications et des priphriques" la page 612. Pour modifier l'ordre dans lequel les ensembles de rgles de contrle des applications sont appliqus.
1 2 3 4 5 6 7
Dans la console, cliquez sur Politiques. Dans le volet Afficher les politiques, cliquez sur Contrle des applications et des priphriques. Cliquez sur la politique que vous souhaitez modifier. Sous Tches, cliquez sur Edit the Policy (Modifier la politique). Cliquez sur Contrle des applications. Cliquez sur l'ensemble de rgles de contrle des applications que vous souhaitez dplacer. Cliquez sur Move Up (Vers le haut) ou Move Down (Vers le bas) pour changer sa priorit dans la liste.
622
8 9
Rptez les deux tapes prcdentes pour chaque ensemble de rgle que vous souhaitez remettre en priorit. Cliquez sur OK.
Dsactivation des ensembles de rgles de contrle des applications et des rgles individuelles dans une politique de contrle des applications et des priphriques
Vous devez dsactiver un ensemble spcifique de rgles de contrle des applications dans une politique de contrle des applications et des priphriques sans retirer ou supprimer toute la politique. Se reporter "Configuration du contrle des applications pour une politique de contrle des applications et des priphriques" la page 612. Pour dsactiver un ensemble de rgles de contrle des applications dans une politique de contrle des applications et des priphriques :
1 2 3 4 5 6 7
Dans la console, cliquez sur Politiques. Sous Afficher les politiques, cliquez sur Contrle des applications et des priphriques. Cliquez sur la politique contenant l'ensemble de rgles dsactiver. Sous Tches, cliquez sur Modifier la politique. Cliquez sur Contrle des applications. Dcochez la case en regard de l'ensemble de rgles dsactiver. Cliquez sur OK. Vous avez dsactiv un seul ensemble de rgles sans dsactiver toute la politique.
Pour dsactiver une seule rgle dans une politique de contrle des applications et des priphriques :
1 2 3 4 5 6
Dans la console, cliquez sur Politiques. Sous Afficher les politiques, cliquez sur Contrle des applications et des priphriques. Cliquez sur la politique contenant la rgle dsactiver. Sous Tches, cliquez sur Modifier la politique. Cliquez sur Contrle des applications. Cliquez sur l'ensemble de rgles contenant la rgle dsactiver et cliquez ensuite sur Modifier.
Configurer l'application et le contrle des priphriques Configuration d'un contrle des priphriques pour une politique de contrle des applications et des priphriques
623
7 8 9
Sous Rgles, cliquez sur la rgle dsactiver dans la liste des rgles. Sur l'onglet Proprits, dcochez Activer cette rgle. Dans la bote de dialogue Modifier l'ensemble de rgles de contrle des applications, cliquez sur OK.
10 Cliquez sur OK.

prsent, vous avez dsactiv une seule rgle subordonne sans dsactiver toute la politique ou l'ensemble des rgles.
Modification du mode d'un ensemble de rgles de contrle des applications

Quand vous crez un ensemble de rgles de contrle des applications pour la premire fois, vous le crez en mode Test. Aprs avoir test l'ensemble de rgles dans une politique, vous pouvez passer au mode Production. Se reporter "A propos du mode test" la page 603. Pour modifier le mode d'un ensemble de rgles de contrle des applications
1 2 3 4 5 6 7 8 9
Dans la console, cliquez sur Politiques. Sous Afficher les politiques, cliquez sur Contrle des applications et des priphriques. Cliquez sur la politique qui contient l'ensemble de rgles de contrle des applications que vous souhaitez modifier. Cliquez sur Modifier la politique. Cliquez sur Contrle des applications. Cliquez sur l'ensemble de rgles que vous souhaitez modifier. Sous Test/Production, cliquez sur la flche de liste droulante correspondante pour afficher la liste des modes. Cliquez sur le nouveau mode. Cliquez sur OK.
Configuration d'un contrle des priphriques pour une politique de contrle des applications et des priphriques
Utilisez un contrle des priphriques pour grer les priphriques matriels. Vous pouvez modifier cette liste tout moment.
624
Configurer l'application et le contrle des priphriques Configuration d'un contrle des priphriques pour une politique de contrle des applications et des priphriques
Se reporter "A propos du contrle des priphriques" la page 608. Se reporter "A propos des priphriques matriels" la page 625. Pour ajouter le contrle des priphriques
1 2 3 4 5 6 7
Dans le volet Politique de contrle des applications et des priphriques, cliquez sur Contrle des priphriques. Sous Priphriques bloqus, cliquez sur Ajouter. Examinez la liste des priphriques et cliquez sur un ou plusieurs priphriques que vous voulez empcher d'accder l'ordinateur client. Cliquez sur OK. Sous Priphriques ne devant pas tre bloqus, cliquez sur Ajouter. Examinez la liste des priphriques et cliquez sur les priphriques que vous ne voulez pas bloquer quand ils accdent l'ordinateur client. Si vous ne souhaitez pas consigner les informations de contrle des priphriques, dslectionnez Consigner les priphriques bloqus. Les informations sont consignes par dfaut.
Si vous souhaitez que les utilisateurs soient avertis, slectionnez Avertir les utilisateurs lorsque les priphriques sont bloqus. Si vous avez activ la notification, cliquez sur Dfinir le texte du message, puis tapez le texte que les utilisateurs doivent voir.
Cliquez sur OK.
Chapitre
33
Personnalisation des politiques de contrle des applications et des priphriques


A propos des priphriques matriels Obtention d'un ID de classe ou de priphrique Ajouter un quipement la liste des priphriques matriels Modifier un quipement dans la liste des priphriques matriels A propos de l'autorisation d'utiliser des applications, des correctifs et des utilitaires Cration et importation d'une liste de signatures de fichiers A propos du verrouillage du systme Configurer le verrouillage du systme
A propos des priphriques matriels

Vous pouvez utiliser une liste d'quipements par dfaut pour ajouter un priphrique spcifique un fournisseur une politique de contrle des applications et des priphriques. Cette liste limine le besoin de retaper ces priphriques chaque fois que vous voulez en ajouter un d'une rgle existante.
626
Personnalisation des politiques de contrle des applications et des priphriques A propos des priphriques matriels
Deux valeurs numriques identifient les priphriques : les ID de priphrique et de classe. Vous pouvez utiliser l'une ou l'autre de ces valeurs pour identifier les priphriques de la liste Priphriques matriels. Se reporter "A propos des ID de priphrique" la page 626. Se reporter "A propos des identificateurs de classe" la page 626. La console Symantec Endpoint Protection Manager inclut les listes des priphriques qui peuvent tre bloqus et de ceux qui peuvent tre exclus du blocage, selon le cas. Un administrateur peut ajouter, supprimer ou modifier les priphriques des listes en question. Remarque : Vous ne pouvez modifier ni supprimer les priphriques par dfaut.
A propos des identificateurs de classe

L'identificateur de classe se rapporte au GUID Windows. A chaque type de priphrique est associ la fois une Classe et un ClassGuid. Le ClassGuid est une valeur hexadcimale au format suivant : {00000000-0000-0000-0000-000000000000} Se reporter "Obtention d'un ID de classe ou de priphrique" la page 627. Se reporter "A propos des priphriques matriels" la page 625.
A propos des ID de priphrique

Un ID de priphrique est l'ID le plus spcifique d'un priphrique. La syntaxe d'un ID de priphrique comprend certaines chanes descriptives qui rendent sa lecture plus facile que celle d'une ID de classe Lorsque vous ajoutez un ID de priphrique, vous pouvez utiliser un ID de priphrique spcifique. Vous pouvez galement utiliser un caractre gnrique dans la chane d'ID de priphrique pour indiquer un groupe de priphriques moins spcifique. Vous pouvez utiliser un astrisque (*) pour indiquer zro caractre ou des caractres supplmentaires, ou un point d'interrogation (?) pour indiquer un caractre unique de toute valeur. L'lment suivant est un ID de priphrique pour un priphrique USB SanDisk spcifique : USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER_MICRO&REV_2033 \0002071406&0 L'lment suivant est un ID de priphrique avec un caractre gnrique qui indique tout priphrique USB SanDisk :
Personnalisation des politiques de contrle des applications et des priphriques Obtention d'un ID de classe ou de priphrique
627
USBSTOR\DISK&VEN_SANDISK* L'lment suivant est un ID de priphrique avec un caractre gnrique qui indique tout priphrique d'unit USB : USBSTOR\DISK* L'lment suivant est un ID de priphrique avec un caractre gnrique qui indique tout priphrique de stockage USB : USBSTOR* Se reporter "Obtention d'un ID de classe ou de priphrique" la page 627. Se reporter "A propos des priphriques matriels" la page 625.
Obtention d'un ID de classe ou de priphrique

L'outil Symantec DevViewer permet d'obtenir l'ID de classe (GUID) ou l'ID de priphrique. Vous pouvez utiliser le Gestionnaire de priphriques Windows pour obtenir l'ID de priphrique. Aprs avoir obtenu un ID de priphrique, vous pouvez le modifier avec un caractre gnrique pour indiquer un groupe de priphriques moins spcifique. Pour obtenir un ID de classe ou de priphrique l'aide de l'outil DevViewer
Sur le disque du produit, localisez le dossier \TOOLS\NOSUPPORT\DEVVIEWER, puis tlchargez l'outil DevViewer.exe sur l'ordinateur client. Sur l'ordinateur client, excutez DevViewer.exe. Dveloppez l'arborescence Priphrique et localisez le priphrique pour lequel vous souhaitez obtenir l'ID de priphrique ou le GUID. Dans le volet droit, cliquez avec le bouton droit de la souris sur l'ID de priphrique (il commence par [id de priphrique]) puis cliquez sur Copier ID de priphrique. Cliquez sur Quitter. Sur le serveur de gestion, collez l'ID de priphrique dans la liste de matriels.
2 3 4
5 6
Pour obtenir un ID de priphrique partir du Panneau de configuration
1 2 3
Dans la barre des tches Windows, cliquez sur Dmarrer > Paramtres > Panneau de configuration > Systme . Sur l'onglet Matriel, cliquez sur Gestionnaire de priphriques. Dans la liste Gestionnaire de priphriques, cliquez deux fois sur le priphrique concern.
628
Personnalisation des politiques de contrle des applications et des priphriques Ajouter un quipement la liste des priphriques matriels
Sur l'onglet Dtails de la bote de dialogue Proprits du priphrique, slectionnez l'ID de priphrique. Par dfaut, l'ID de priphrique est la premire valeur affiche.
5 6
Appuyez sur la combinaison de touches Ctrl+C pour copier la chane de l'ID. Cliquez sur OK ou sur Annuler. Se reporter "Ajouter un quipement la liste des priphriques matriels" la page 628.
Ajouter un quipement la liste des priphriques matriels

Aprs avoir obtenu un ID de classe ou de priphrique pour un quipement, vous pouvez ajouter celui-ci la liste des priphriques matriels par dfaut. Vous pouvez alors accder cette liste par dfaut partir de la partie contrle des priphriques de la politique de contrle des applications et des priphriques. Se reporter "A propos des priphriques matriels" la page 625. Pour ajouter des quipements la liste des priphriques matriels
1 2 3 4
Dans la console, cliquez sur Politiques. Sous Composants de politique, cliquez sur Priphriques matriels. Sous Tches, cliquez sur Ajouter un priphrique matriel. Entrez le nom du priphrique que vous voulez ajouter. Les ID de classe et de priphrique sont, par convention, placs entre des accolades.
5 6
Slectionnez ID de classe ou ID de priphrique et collez l'ID que vous avez copi dans le Gestionnaire de priphriques Windows ou l'outil DevViewer. Vous pouvez utiliser des caractres gnriques pour dfinir un ensemble d'ID de priphriques. Par exemple, vous pouvez utiliser la syntaxe suivante : *IDE\CDROM*. Se reporter "Obtention d'un ID de classe ou de priphrique" la page 627.
Cliquez sur OK.
Personnalisation des politiques de contrle des applications et des priphriques Modifier un quipement dans la liste des priphriques matriels
629
Modifier un quipement dans la liste des priphriques matriels

Vous pouvez modifier les priphriques matriels que vous avez ajouts la liste. Les priphriques par dfaut qui sont rpertoris ne peuvent pas tre modifis. Se reporter "A propos des priphriques matriels" la page 625. Pour modifier un quipement dans la liste des priphriques matriels
1 2 3 4 5 6
Dans la console, cliquez sur Politiques. Sous Composants de politique, cliquez sur Priphriques matriels. Dans la liste Priphriques matriels, cliquez sur le priphrique que vous souhaitez modifier. Cliquez sur Modifier le priphrique matriel. Modifiez le nom, l'ID de classe ou l'ID de priphrique du priphrique. Cliquez sur OK. Les informations mises jour sur le priphrique sont affiches dans la liste Identification.
A propos de l'autorisation d'utiliser des applications, des correctifs et des utilitaires

Symantec Endpoint Protection Manager permet de protger les ordinateurs client des attaques ralises par le biais d'applications non approuves. Elle vous donne deux possibilits. D'abord elle vous permet d'utiliser des signatures de fichier pour identifier les applications approuves, les correctifs et les utilitaires qui peuvent s'excuter sur les ordinateurs client. Vous dcidez ensuite de l'action entreprendre lorsque les applications non autorises essayent d'accder aux ordinateurs client. Si vous activez le verrouillage du systme, vous pouvez alors configurer Symantec Endpoint Protection Manager de manire consigner uniquement les applications non approuves ou utiliser le verrouillage du systme pour protger ces ordinateurs client en proie une attaque par des programmes non autoriss. Se reporter "A propos du verrouillage du systme" la page 636. Pour utiliser le verrouillage du systme, crez d'abord une liste de signatures de fichiers pour chaque type de client dans votre environnement. Une liste de signatures de fichiers est une liste d'applications autorises pour cet ordinateur client. Vous ajoutez ensuite chacune de ces signatures de fichier une liste de
630
Personnalisation des politiques de contrle des applications et des priphriques Cration et importation d'une liste de signatures de fichiers
signatures de fichier stocke dans Symantec Endpoint Protection Manager. Pour terminer, vous configurez l'action entreprendre sur le client lorsqu'une application non autorise essaye d'accder cet ordinateur. Par exemple, crez une liste de signatures de fichiers pour chaque type de client dans votre environnement. Supposez que votre environnement contient des clients Windows Vista 32 bits, Windows Vista 64 bits et Windows XP Service Pack 2. Excutez le fichier Checksum.exe sur une image de chacun des trois types de clients existant dans votre environnement. Checksum.exe gnre des signatures de fichier pour toutes les applications de chaque type de client et les place dans une liste de signatures de fichier. Dans cet exemple, vous vous retrouvez avec trois listes de signatures de fichiers : une pour chaque image. Ensuite, utilisez Symantec Endpoint Protection pour crer une liste de signatures de fichiers laquelle vous ajoutez chacune des trois listes que vous avez gnres : une liste de signatures de fichiers pour chaque type de client. Puis dfinissez la mesure Symantec Endpoint Protection prendre lorsqu'une application non approuve essaye d'accder un ordinateur client. Vous pouvez dsactiver le verrouillage du systme et permettre l'accs l'application. Vous pouvez choisir de consigner seulement les applications non autorises. Pour la plupart des protections, vous pouvez activer le verrouillage du systme sur l'ordinateur client auquel l'application non autorise essaye d'accder. Se reporter "Cration et importation d'une liste de signatures de fichiers" la page 630.
Cration et importation d'une liste de signatures de fichiers

Une liste des signatures de fichier se compose d'une liste de sommes de contrle ou des signatures de fichier pour chaque application sur cet ordinateur client avec les chemins d'accs au fichier de ces applications. Vous pouvez crer une liste des signatures de fichier d'une image de logiciel qui inclut toutes les applications que les utilisateurs peuvent excuter sur leurs ordinateurs. Se reporter "A propos de l'autorisation d'utiliser des applications, des correctifs et des utilitaires" la page 629. Pour crer une liste de signatures de fichier, vous pouvez recourir l'utilitaire Checksum.exe install avec Symantec Endpoint Protection sur l'ordinateur client. Vous pouvez excuter cette commande sur chaque image d'ordinateur dans votre environnement afin de crer une liste de signatures de fichier pour ces images. Le fichier Checksum.exe se trouve dans l'emplacement suivant : C:\Program Files\Symantec\Symantec Endpoint Protection
631
Vous pouvez excuter cet outil partir de l'invite de commandes. Checksum.exe cre un fichier texte qui contient une liste de tous les excutables figurant sur cet ordinateur et leurs sommes de contrle correspondantes. Se reporter "Cration d'une liste de signatures de fichiers" la page 631. Vous pouvez utiliser Symantec Endpoint Protection Manager pour importer des listes des signatures de fichier pour chaque type d'ordinateur client dans une liste des signatures de fichier matre. Vous pouvez galement ajouter des signatures de fichier pour des fichiers individuels que vous voulez approuver. Par exemple, crez une liste de signatures de fichiers pour chaque type de client dans votre environnement. Supposez que votre environnement contient des clients Windows Vista 32 bits, Windows Vista 64 bits et Windows XP Service Pack 2. Excutez l'utilitaire des sommes de contrle sur une image de chacun des trois types de clients existant dans votre environnement. Vous pouvez alors importer les trois listes des signatures de fichier dans Symantec Endpoint Protection Manager. Se reporter "Importer une liste des signatures de fichier dans Symantec Endpoint Protection Manager" la page 633. Vous pouvez galement fusionner des listes de signatures de fichiers multiples qui existent dans une politique partage. Se reporter "Fusionner des listes de signatures de fichier dans Symantec Endpoint Protection Manager " la page 634. Vous pouvez galement supprimer des signatures de fichier si vous ne les utilisez plus dans votre configuration. Se reporter "Suppression d'une liste de signatures de fichier" la page 635.
Cration d'une liste de signatures de fichiers

Vous pouvez utiliser Checksum.exe pour crer une liste de signatures de fichier. La liste des signatures de fichiers nomme chaque fichier et somme de contrle correspondante qui rside sur l'image d'ordinateur client. Cet outil est fourni avec Symantec Endpoint Protection sur le client. Se reporter "Cration et importation d'une liste de signatures de fichiers" la page 630. Voici un exemple du fichier de sortie de Checksum.exe qui a t excut sur une image d'ordinateur. Le format de chaque ligne est checksum_du_fichier espace nom_chemin_complet_de_EXE_ou_DLL.
0bb018fad1b244b6020a40d7c4eb58b7 c:\dell\openmanage\remind.exe
632
35162d98c2b445199fef95e838feae4b 77e4ff0b73bc0aeaaf39bf0c8104231f f59ed5a43b988a18ef582bb07b2327a7 60e1604729a15ef4a3b05f298427b3b1 4f3ef8d2183f927300ac864d63dd1532 dcd15d648779f59808b50f1a9cc3698d eeaea6514ba7c9d273b5e87c4e1aab30 0a7782b5f8bf65d12e50f506cad6d840 9a6d7bb226861f6e9b151d22b977750d d97e4c330e3c940ee42f6a95aec41147
c:\dell\pnp\m\co\HSFCI008.dll c:\dell\pnp\m\co\HSFHWBS2.sys c:\dell\pnp\m\co\HSF_CNXT.sys c:\dell\pnp\m\co\HSF_DP.sys c:\dell\pnp\m\co\HXFSetup.exe c:\dell\pnp\m\co\MdmXSdk.dll c:\dell\pnp\m\co\MDMXSDK.sys c:\dell\pnp\mgmt\drac2wdm.sys c:\dell\pnp\mgmt\racser.sys c:\dell\pnp\n\bc\b57xp32.sys
Pour crer une liste de signatures de fichiers
Accdez l'ordinateur qui contient l'image pour laquelle vous voulez crer une liste de signatures de fichiers. Le logiciel client Symantec Endpoint Protection doit tre install sur cet ordinateur. Ouvrez une fentre d'invite de commande. Accdez au rpertoire contenant le fichier Checksum.exe. Par dfaut, il se trouve dans l'emplacement suivant : C:\Program Files\Symantec\Symantec Endpoint Protection
2 3
Tapez la commande suivante :

checksum.exe fichier_sortie lecteur
fichier_de_sortie tant le nom du fichier texte qui contient les sommes de contrle de tous les excutables figurant sur le lecteur spcifi. Le fichier de sortie est un fichier texte (fichier_de_sortie.txt). Voici un exemple de la syntaxe que vous utilisez :
checksum.exe cdrive.txt c:\
Cette commande cre un fichier nomm cdrive.txt. Elle contient les sommes de contrle et les chemins d'accs de tous les excutables et fichiers DLL situs sur le lecteur C de l'ordinateur client sur lequel elle a t excute.
Modifier une liste de signatures de fichier dans Symantec Endpoint Protection Manager
Vous ne pouvez pas directement modifier une liste de signatures de fichier existante. Au lieu de cela, vous pouvez ajouter une liste de signatures existante avec une liste cre partir de l'utilitaire Checksum.exe. Sinon, vous pouvez fusionner une liste de signatures existante avec une autre liste de signatures importe.
633
Se reporter "Cration et importation d'une liste de signatures de fichiers" la page 630. Pour fusionner des listes de signatures dans une nouvelle liste avec un nom diffrent, utilisez l'Assistant d'ajout de signatures de fichier. Se reporter "Fusionner des listes de signatures de fichier dans Symantec Endpoint Protection Manager " la page 634. Pour modifier une liste de signatures de fichier
1 2 3 4 5 6
Dans la console, cliquez sur Politiques. Sous Afficher les politiques, largissez Composants de politique, puis cliquez sur Liste de signatures de fichier. Dans le panneau Listes des signatures de fichier, slectionnez la liste des signatures modifier. Cliquez sur Modifier. Dans Assistant de modification des signatures de fichier, cliquez sur Suivant. Effectuez l'une des oprations suivantes :
Cliquez sur Annexer un fichier de signatures cette signature de fichier pour ajouter un nouveau fichier au fichier existant et cliquez sur Suivant. Cliquez sur Ajouter une autre signature de fichier cette signature de fichier pour fusionner les listes des signatures de fichier dj importes.
Dans le panneau Importer la signature de fichier, cliquez sur Naviguer pour localiser le fichier ou saisir le chemin d'accs de la liste des signatures de fichier dans la zone de texte. Dans le panneau Fusionner plusieurs signatures de fichier, slectionnez les signatures de fichier fusionner.
8 9
Cliquez sur Suivant. Cliquez sur Fermer.
Importer une liste des signatures de fichier dans Symantec Endpoint Protection Manager
Vous pouvez ajouter une liste des signatures de fichier une politique partage en important un fichier. Vous devez avoir dj cr la liste.
634
Se reporter "Cration et importation d'une liste de signatures de fichiers" la page 630. Se reporter "Cration d'une liste de signatures de fichiers" la page 631. Pour importer une liste de signatures de fichiers vers une politique partage
1 2 3 4 5 6 7 8 9
Dans la console, cliquez sur Politiques. Sous Afficher les politiques, largissez Composants de politique, puis cliquez sur Liste des signatures de fichier. Sous Tches, cliquez sur Ajouter une liste de signatures de fichier. Dans Bienvenue dans l'assistant d'ajout de signatures de fichier, cliquez sur Suivant. Dans le panneau Informations sur la nouvelle signature de fichier, saisissez un nom et une description pour la nouvelle liste fusionne. Cliquez sur Suivant. Dans le panneau Crer une signature de fichier, cliquez sur Crer la signature de fichier en important un fichier de signatures de fichiers. Cliquez sur Suivant. Cliquez sur Parcourir pour rechercher le fichier ou tapez entirement le chemin d'accs de la liste de signatures de fichier dans la zone de texte.
10 Cliquez sur Suivant. 11 Cliquez sur Fermer. 12 Cliquez sur Terminer.

La liste apparat sous Listes des signatures de fichier.
Fusionner des listes de signatures de fichier dans Symantec Endpoint Protection Manager
Vous pouvez fusionner des listes de signatures de fichiers multiples qui existent dans une politique partage. Vous devez avoir dj ajout les listes que vous voulez fusionner avant de commencer cette tche. Se reporter "Cration et importation d'une liste de signatures de fichiers" la page 630. Se reporter "Importer une liste des signatures de fichier dans Symantec Endpoint Protection Manager" la page 633.
635
Pour fusionner des listes de signatures de fichier
1 2 3 4 5 6 7
Dans la console, cliquez sur Politiques. Sous Afficher les politiques, largissez Composants de politique et cliquez sur Liste de signatures de fichier. Sous Tches, cliquez sur Ajouter une liste de signatures de fichier. Dans Bienvenue dans l'assistant d'ajout de signatures de fichier, cliquez sur Suivant. Dans le panneau Informations sur la nouvelle signature de fichier, saisissez un nom et une description pour la nouvelle liste fusionne. Cliquez sur Suivant. Dans le panneau Crer une signature de fichier, cliquez sur Crer la signature de fichier en combinant plusieurs signatures de fichier existantes. Cette option est disponible seulement si vous avez des listes de signatures dj importes.
8 9
Cliquez sur Suivant. Slectionnez les listes de signatures fusionner.
10 Cliquez sur Suivant. 11 Cliquez sur Fermer. 12 Cliquez sur Terminer.

La liste des signatures fusionne apparat sous Listes des signatures de fichier.
Suppression d'une liste de signatures de fichier

Vous pouvez supprimer toutes les listes de signatures de fichier dont vous n'avez plus besoin. Avant de supprimer une liste de signatures de fichier d'une politique partage, assurez-vous que celle-ci n'est plus ncessaire au niveau du groupe. Se reporter "Cration et importation d'une liste de signatures de fichiers" la page 630. Pour supprimer une liste de signatures de fichier :
1 2 3
Dans la console, cliquez sur Politiques. Sous Afficher les politiques, dveloppez Composants de politique, puis cliquez sur Liste de signatures de fichier. Dans le volet Liste de signatures de fichier, cliquez sur la liste supprimer.
636
Personnalisation des politiques de contrle des applications et des priphriques A propos du verrouillage du systme
4 5
Sous Tches, cliquez sur Supprimer la liste. Cliquez sur Oui pour confirmer. La liste de signatures de fichier est supprime de Symantec Endpoint Protection Manager, mais elle reste sur l'ordinateur l'emplacement d'o vous l'avez importe.
A propos du verrouillage du systme

Le verrouillage du systme est un paramtre de protection que vous pouvez utiliser pour contrler les applications qui peuvent s'excuter sur l'ordinateur client. Vous pouvez crer une liste de signatures de fichiers qui contient les sommes de contrle et les emplacements de toutes les applications dont l'utilisation est autorise par votre entreprise. Le logiciel client comprend un outil Checksum.exe que vous pouvez utiliser pour crer une liste de signatures de fichier. L'avantage du verrouillage du systme est qu'il peut tre appliqu mme si l'utilisateur n'est pas connect au rseau. Vous pouvez utiliser le verrouillage du systme pour bloquer la quasi-totalit des chevaux de Troie, logiciels espions ou programmes malveillants qui essayent de s'excuter ou se charger dans une application existante. Par exemple, vous pouvez empcher le chargement de ces fichiers dans Internet Explorer. Le verrouillage du systme s'assure que votre systme demeure dans un tat connu et digne de confiance. Les applications qui s'excutent sur l'ordinateur client peuvent inclure les fichiers excutables suivants :

.exe .com .dll .ocx
Symantec recommande de mettre en application le verrouillage du systme via les tapes suivantes :
Obtenez une image de logiciel approuve : Crez une image logicielle qui inclut toutes les applications que vous voulez que les utilisateurs puissent utiliser sur leurs ordinateurs. Utilisez cette image pour crer une liste de signatures de fichiers.
Personnalisation des politiques de contrle des applications et des priphriques A propos du verrouillage du systme
637
Consignez les applications dsapprouves :
Activez le verrouillage du systme en consignant les applications qui ne sont pas incluses dans la liste des signatures de fichier. Vous pouvez alors ajuster votre signature de fichier pour inclure les applications requises par des utilisateurs. Vous pouvez leur donner un avertissement appropri avant de bloquer les applications dsapprouves. ajoutez les excutables que vous voulez autoriser mme s'ils ne figurent pas dans la signature de fichier. Imposez le verrouillage du systme et bloquez les applications dsapprouves.
Ajoutez les applications autorises
Activez le verrouillage du systme
Vous avez la possibilit de dfinir l'affichage d'un message personnalis adress aux utilisateurs dont les applications sont bloques. Se reporter "Prrequis au verrouillage du systme" la page 637. Se reporter "Configurer le verrouillage du systme" la page 638. Se reporter "A propos de l'autorisation d'utiliser des applications, des correctifs et des utilitaires" la page 629.
Prrequis au verrouillage du systme

Vous devez satisfaire les conditions suivantes pour pouvoir activer le verrouillage du systme :
Crez la liste des signatures de fichiers Vous devez avoir cr une liste de signatures de fichiers qui inclut les applications autorises. Cette liste peut tre cre partir d'une image d'ordinateur installe rgulirement sur les ordinateurs des utilisateurs. Crez cette liste sur un ordinateur qui excute le client. Aprs avoir cr les listes de signatures, vous devez les ajouter au gestionnaire.
Ajoutez une ou plusieurs listes de signatures de fichiers
Fusionnez les listes de signatures de Vous pouvez fusionner des listes de signatures de fichiers fichiers multiples. Par exemple, vous pouvez utiliser diffrentes images pour diffrents groupes dans votre entreprise.
Mettez en application le verrouillage du systme par les tapes suivantes :
638
Personnalisation des politiques de contrle des applications et des priphriques Configurer le verrouillage du systme
Configurez et testez le verrouillage du systme
Avant de bloquer les excutables dsapprouvs, vous pouvez ajouter une ou plusieurs listes de signatures de fichiers. Ajoutez les applications devant toujours tre autorises et consignez les rsultats dans le journal de contrle.
Vrifiez la liste des applications non Au bout de quelques jours de tests du verrouillage, autorises vous pouvez afficher la liste des applications non autorises. Cette liste affiche les applications dsapprouves que les utilisateurs dans le groupe excutent. Vous pouvez dcider d'ajouter ou non plus d'applications la liste de signatures de fichiers ou la liste des applications autorises. Activez le verrouillage du systme. Vous pouvez ensuite activer le verrouillage du systme bloquant les applications qui ne sont pas incluses dans les listes de signatures de fichiers.
Se reporter "A propos du verrouillage du systme" la page 636.
Configurer le verrouillage du systme

Pour configurer le verrouillage du systme, suivez les deux tapes suivantes :
A l'tape 1, vous contrlez les applications qui s'excutent sur les ordinateurs client. Vous pouvez galement suivre ces applications dans la liste des applications dsapprouves. La liste des applications dsapprouves inclut les applications que les clients excutent mais qui ne sont pas rpertories dans la liste des signatures de fichiers des applications approuves. Le client ne bloque pas les applications dsapprouves. Avant de bloquer ces applications, vous pouvez suivre les applications que les clients utilisent des fins informationnelles. Vous pouvez galement vrifier si des applications apparaissent dans la liste des applications dsapprouves. Si un test est en cours, l'tat indique depuis combien de temps il s'excute et si des exceptions se sont produites. Excutez le verrouillage du systme en mode de test suffisamment longtemps pour dtecter les applications dsapprouves qui s'excutent sur les ordinateurs client. Activez alors le verrouillage du systme. Se reporter "A propos du verrouillage du systme" la page 636. Se reporter "Prrequis au verrouillage du systme" la page 637. A l'tape 2, vous activez le verrouillage du systme. Aprs avoir lanc le verrouillage du systme en mode de test suffisamment longtemps pour dtecter les applications non autorises qui s'excutent, dfinissez les paramtres suivants :
639
Approuver l'utilisation de ces applications supplmentaires
Ajoutez les applications la liste des applications approuves ou ajoutez les applications l'image o vous avez cr la signature de fichier. Vous pouvez informer un utilisateur qu'il ne peut plus accder un ordinateur. Vous pouvez galement lui signifier que les applications spcifies peuvent tre utilises une date ultrieure spcifique que vous indiquez. Vous faites alors le ncessaire pour verrouiller le systme cette date. Aucune autre mesure n'est ncessaire.
Notifier les utilisateurs
Continuer consigner l'utilisation des applications dsapprouves
Remarque : Vous pouvez galement crer des rgles de filtrage afin d'autoriser les applications approuves sur le client. Pour configurer le verrouillage du systme
1 2 3 4
Dans la console, cliquez sur Clients. Sous Afficher les clients, trouvez le groupe pour lequel vous voulez configurer le verrouillage du systme. Dans l'onglet Politiques, cliquez sur Verrouillage du systme. Dans la bote de dialogue Verrouillage du systme pour nom du groupe, cliquez sur Etape 1 : Consigner les applications non autorises uniquement pour activer cette protection en mode test. Cette option consigne les applications rseau dsapprouves en cours d'excution sur les ordinateurs client.
Cliquez sur Etape 2 : Activer le verrouillage du systme pour activer cette protection. Cette tape bloque les applications dsapprouves que les clients essayent d'excuter. Sous Applications approuves, ajoutez ou supprimez des listes de signatures de fichier ou des fichiers. Se reporter "Modifier une liste de signatures de fichier dans Symantec Endpoint Protection Manager" la page 632.
640
Cochez Tester avant suppression pour les listes des signatures de fichier ou les applications tester avant de les supprimer dfinitivement. Quand vous cochez cette option, les applications associes sont consignes dans le journal de contrle en tant qu'applications non approuves. Cependant, les applications ne sont pas bloques sur vos ordinateurs client. Vous pouvez supprimer dfinitivement la liste des signatures de fichier ou les applications ultrieurement.
Pour afficher la liste des applications dsapprouves, cliquez sur Afficher les applications dsapprouves. Dans la bote de dialogue Applications dsapprouves, passez en revue les applications. Cette liste indique le moment de l'excution de l'application, le nom d'hte de l'ordinateur, le nom d'utilisateur client et le nom du fichier excutable.
Dterminez la manire de traiter les applications dsapprouves. Vous pouvez ajouter les noms des applications que vous voulez autoriser dans la liste des applications approuves. Vous pouvez ajouter l'excutable l'image d'ordinateur la prochaine fois que vous crez une signature de fichier.
10 Cliquez sur Fermer. 11 Pour spcifier les excutables qui sont toujours autoriss mme s'ils ne sont
pas inclus dans la liste des signatures de fichiers, dans la liste Nom du fichier, cliquez sur Ajouter.
12 Dans la bote de dialogue Ajouter une dfinition de fichier, entrez le nom

d'accs complet du fichier excutable (.exe ou dll.). Vous pouvez spcifier les noms avec une syntaxe de chane normale ou d'expression standard. Les noms peuvent comporter des caractres gnriques (* pour tous les caractres et ? pour un seul). Le nom peut galement comprendre des variables d'environnement tel que %ProgramFiles% pour reprsenter le rpertoire Program Files ou %windir% pour le rpertoire d'installation de Windows.
13 Laissez l'option Utiliser les caractres gnriques (prise en charge de * et ?)

slectionne par dfaut ou cliquez sur Utiliser les expressions standard si vous avez utilis des expressions standard dans le nom de fichier.
14 Si vous voulez autoriser le fichier uniquement lorsqu'il s'excute sur un type

de lecteur spcifique, slectionnez Slectionner seulement les fichiers sur les types de lecteur suivants. Ensuite, dslectionnez les types de lecteur que vous ne voulez pas inclure. Par dfaut, tous les types de lecteur sont slectionns.
641
15 Pour slectionner les fichiers par type d'ID de priphrique, cochez l'option
Slectionner seulement les fichiers sur les types d'ID de priphrique suivants, puis cliquez sur Slectionner.
16 Cliquez sur un priphrique de la liste, puis sur OK. 17 Cliquez sur OK. 18 Pour afficher un message sur l'ordinateur client quand le client bloque une
application, slectionnez l'option Informer l'utilisateur si une application est bloque.
19 Pour enregister un message personnalis, cliquez sur Notification, tapez le

message et cliquez sur OK.
20 Cliquez sur OK.
642
Section
Configuration des exceptions centralises
Chapitre 34. Configuration des politiques d'exceptions centralises
644
Chapitre
34
Configuration des politiques d'exceptions centralises


A propos des politiques d'exceptions centralises Configuration d'une politique d'exceptions centralises Configurer des restrictions client pour des exceptions centralises Cration d'exceptions centralises partir des vnements de journal
A propos des politiques d'exceptions centralises

Les politiques d'exceptions centralises contiennent des exceptions pour les types d'analyses suivants :
Analyses antivirus et antispyware Se reporter "Configuration d'une exception centralise pour l'analyse antivirus et antispyware sur des clients Windows" la page 650. Se reporter "Configuration d'une exception centralise pour des fichiers ou dossiers sur des clients Mac" la page 654. Analyse proactive des menaces TruScan Se reporter "Configuration d'une exception centralise pour les analyses proactives des menaces TruScan" la page 655. Analyses des protections contre les interventions Se reporter "Configurer une exception centralise pour la protection contre les interventions" la page 657.
646
Configuration des politiques d'exceptions centralises A propos des politiques d'exceptions centralises
Remarque : Les analyses antivirus et antispyware incluent toutes les analyses d'Auto-Protect, les analyses planifies, les analyses la demande ou les analyses dfinies par l'utilisateur. Gnralement, les exceptions sont des risques ou des processus que vous voulez que le logiciel client exclue des analyses. Si vous utilisez des exceptions sur des ordinateurs client, vous pouvez rduire le temps d'analyse. Si vous rduisez le temps d'analyse, vous augmentez la performance du systme sur les ordinateurs client. Pour les analyses proactives des menaces TruScan, vous pouvez souhaiter que le logiciel client dtecte un processus spcifique non dtect par dfaut. Vous pouvez crer une exception pour forcer la dtection. Lorsque la dtection s'affiche dans la liste des processus dtects, vous pouvez crer une autre exception pour spcifier une action pour la dtection. Se reporter "Configurer une exception pour obliger les analyses proactives des menaces TruScan dtecter un processus" la page 656. Remarque : Pour les analyses antivirus et antispyware ou de protection contre les interventions, utilisez des exceptions centralises pour spcifier les lments particuliers exclure des analyses. Toutefois, pour les analyses proactives des menaces, utilisez des exceptions centralises pour spcifier des actions pour les processus dtects ou pour forcer une dtection. Lorsque vous crez une politique d'exceptions centralises, ces exceptions s'appliquent toutes les analyses de ce type sur l'ordinateur client qui utilise la politique. Vous pouvez inclure toutes les exceptions dans la mme politique. A la diffrence d'autres politiques, la console Symantec Endpoint Protection Manager n'inclut pas une politique d'exceptions centralises par dfaut. Vous devez crer une nouvelle politique. Vous pouvez crer des politiques d'exceptions centralises dans la page Politiques, ou vous pouvez crer des politiques d'exceptions centralises dans la page Clients de la console de gestion. Vous pouvez ajouter des exceptions une politique d'exceptions centralises en utilisant les journaux de la console de gestion. Vous devez crer une politique d'exceptions centralises avant de pouvoir utiliser cette mthode pour crer des exceptions. Se reporter "Cration d'exceptions centralises partir des vnements de journal" la page 658.
647
A propos de l'utilisation des politiques d'exceptions centralises

Vous crez et modifiez des politiques d'exceptions centralises comme vous crez et modifiez d'autres types de politiques. Vous pouvez attribuer, retirer, remplacer, copier, exporter, importer ou supprimer une politique d'exceptions centralises. Vous attribuez gnralement une politique plusieurs groupes de votre rseau de scurit. Vous pouvez crer une politique non partage et spcifique un emplacement si un emplacement particulier requiert des critres spcifiques. Pour travailler avec des politiques d'exceptions centralises, vous devez matriser les bases de la configuration de politique. Se reporter "Utilisation de politiques pour grer la scurit du rseau" la page 96.
A propos des exceptions centralises pour les analyses antivirus et antispyware

Vous pouvez vouloir exclure un risque de scurit particulier des analyses antivirus et antispyware. Vous pouvez vouloir exclure des analyses des fichiers, des dossiers ou des extensions de fichier spcifiques. Remarque : Vous pouvez configurer des exceptions pour des clients Mac seulement pour des fichiers ou des dossiers. Lorsque vous excluez un risque de scurit, les analyses ignorent le risque. Vous pouvez configurer l'exception de sorte que les analyses consignent la dtection. Dans l'un ou l'autre cas, le logiciel client n'informe pas les utilisateurs lorsqu'il dtecte les risques de scurit spcifis. Lorsque vous excluez des fichiers, des dossiers ou des extensions, les analyses ignorent les fichiers, les dossiers ou les extensions. Se reporter "Configuration d'une exception centralise pour l'analyse antivirus et antispyware sur des clients Windows" la page 650. Remarque : Les exceptions centralises s'appliquent toutes les analyses antivirus et antispyware. Vous ne pouvez pas crer diffrentes exceptions pour diffrents types d'analyses. Par exemple, vous pouvez vouloir crer une exception centralise pour exclure une extension de fichier particulire. Le logiciel client exclut ainsi l'extension des analyses Auto-Protect et de toutes les analyses dfinies par l'administrateur et par l'utilisateur. Les analyses dfinies par l'administrateur et par l'utilisateur incluent les analyses planifies et les analyses la demande.
648
A propos des exceptions centralises pour les analyses proactives des menaces TruScan
Vous pouvez vouloir exclure certains processus des analyses proactives des menaces. Vous devez dterminer qu'il est sr d'excuter les processus que vous souhaitez exclure sur les ordinateurs client de votre rseau de scurit. Pour exclure un processus dtect, vous dfinissez l'action de dtection sur ignorer. Vous pouvez galement crer une exception centralise pour spcifier que certains processus ne sont pas autoriss. Pour spcifier que des processus ne sont pas autoriss, vous dfinissez l'action de dtection sur la mise en quarantaine ou l'arrt. Se reporter "Ajouter une exception centralise pour des vnements d'analyse proactive des menaces TruScan" la page 660. Vous pouvez imposer une dtection proactive de menaces en crant une exception centralise qui spcifie un nom de fichier. Lorsque l'analyse proactive des menaces dtecte le fichier, le client consigne l'instance. Puisque les noms de fichier ne sont pas unique, plusieurs processus peuvent utiliser le mme nom de fichier. Vous pouvez utiliser une dtection obligatoire pour vous aider crer une exception afin de mettre en quarantaine ou terminer un processus associ au fichier. Se reporter "Comment les analyses proactives des menaces TruScan fonctionnent avec des exceptions centralises" la page 590.
A propos des exceptions centralises pour la protection contre les interventions

La protection contre les interventions protge les ordinateurs client contre des processus qui interfrent avec les processus de Symantec et des objets internes. Lorsque la protection contre les interventions dtecte un processus pouvant modifier les paramtres de configuration de Symantec ou les valeurs de registre de Windows, elle bloque le processus. Il peut tre ncessaire de permettre une application de modifier des paramtres Symantec. Vous pouvez vouloir arrter la protection contre les interventions pour certaines zones du registre ou certains fichiers de l'ordinateur client. Dans certains cas, la protection contre les interventions peut bloquer un lecteur d'cran ou une autre application de technologie d'aide. Vous pouvez crer une exception centralise de sorte que l'application puisse s'excuter sur les ordinateurs client. Se reporter "Ajout d'une exception centralise pour des vnements de protection contre les interventions" la page 661.
Configuration des politiques d'exceptions centralises Configuration d'une politique d'exceptions centralises
649
A propos des interactions de client avec les exceptions centralises

Les exceptions dfinies par l'administrateur ont toujours la priorit sur les exceptions dfinies par l'utilisateur. Sur les ordinateurs client, les utilisateurs ne peuvent pas afficher la liste des exceptions dfinies par l'administrateur. Un utilisateur peut uniquement afficher les exceptions qu'il a cres. Par dfaut, les utilisateurs des ordinateurs client ont des droits de configuration limits sur les exceptions centralises. Par dfaut, les utilisateurs ont les restrictions suivantes :
Les utilisateurs ne peuvent pas crer d'exceptions pour imposer des dtections pour des analyses proactives des menaces. Les utilisateurs ne peuvent pas slectionner dans une liste de processus dtects pour crer une exception pour des analyses proactives des menaces. Cependant, les utilisateurs peuvent slectionner un fichier sur l'ordinateur client pour crer une exception d'analyse proactive des menaces. Les utilisateurs ne peuvent crer aucune exception pour la protection contre les interventions.
Vous pouvez restreindre des utilisateurs sur des ordinateurs client de sorte qu'ils ne puissent pas crer d'exceptions pour des analyses antivirus et antispyware ou pour des analyses proactives des menaces. Se reporter "Configurer des restrictions client pour des exceptions centralises" la page 658.
Configuration d'une politique d'exceptions centralises

La configuration d'une politique d'exceptions centralises se fait de la mme manire que pour d'autres types de politiques. Vous pouvez cliquer sur Aide pour obtenir plus d'informations sur les options utilises dans les procdures. Pour configurer une politique d'exceptions centralises
1 2
Dans la page de politique d'exceptions centralises, cliquez sur Exceptions centralises. Sous Exceptions centralises, cliquez sur Ajouter, puis effectuez l'une des actions suivantes :
Cliquez sur Exceptions Windows > Exceptions de risques de scurit, ou Exceptions Mac > Exception de risques de scurit pour un fichier ou
650
un dossier. Puis, ajoutez les exceptions de risque de scurit inclure dans la politique. Se reporter "Configuration d'une exception centralise pour l'analyse antivirus et antispyware sur des clients Windows" la page 650. Se reporter "Configuration d'une exception centralise pour des fichiers ou dossiers sur des clients Mac" la page 654.
Cliquez sur Exceptions Windows > Exceptions d'analyse proactive des menaces TruScan, puis ajoutez une exception d'analyse proactive des menaces inclure dans la politique. Se reporter "Configuration d'une exception centralise pour les analyses proactives des menaces TruScan" la page 655. Cliquez sur Windows Exceptions > Exception de protection contre les interventations, puis ajoutez une exception d'analyse proactive des menaces inclure dans la politique. Se reporter "Configurer une exception centralise pour la protection contre les interventions" la page 657.
3 4
Rptez l'tape 2 pour ajouter d'autres d'exceptions. Si vous avez termin de configurer cette politique, cliquez sur OK.
Configuration d'une exception centralise pour l'analyse antivirus et antispyware sur des clients Windows
Vous pouvez crer des exceptions pour des risques de scurit connus, des fichiers, des dossiers ou des extensions de fichier. Les exceptions s'appliquent toutes les analyses antivirus et antispyware qui s'excutent sur les ordinateurs client qui utilisent la politique. Remarque : Vous pouvez crer une exception seulement pour des fichiers ou des dossiers de clients Mac. Se reporter "Configuration d'une exception centralise pour des fichiers ou dossiers sur des clients Mac" la page 654. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilises dans la procdure.
651
Pour configurer une exception centralise pour l'analyse antivirus et antispyware sur des clients Windows
1 2
Sur la page Politique d'exceptions centralises, cliquez sur Exceptions centralises. Sous Exceptions centralises, cliquez sur Ajouter > Exceptions Windows > Exceptions de risques de scurit, puis effectuez l'une des oprations :
Cliquez sur Risques connus, puis configurez l'exception. Se reporter "Configurer des exceptions centralises pour des risques de scurit connus" la page 651. Cliquez sur Fichier, puis configurez l'exception. Se reporter "Configuration d'une exception centralise pour un fichier pour des clients Windows" la page 652. Cliquez sur Dossier, puis configurez l'exception. Se reporter "Configuration d'une exception centralise pour un dossier pour des clients Windows" la page 653. Cliquez sur Extensions, puis configurez l'exception. Se reporter "Configurer une exception centralise pour une extension de fichier" la page 653.
3 4
Cliquez sur OK. Si vous avez termin de configurer cette politique, cliquez sur OK.
Configurer des exceptions centralises pour des risques de scurit connus

Les risques de scurit que le logiciel client dtecte apparaissent dans la bote de dialogue Exceptions de risques de scurit connus. Se reporter "Configuration d'une exception centralise pour l'analyse antivirus et antispyware sur des clients Windows" la page 650. La liste des risques de scurit connus inclut des informations sur la gravit du risque. Vous pouvez cliquer sur Aide pour plus d'informations sur les options d'exceptions centralises pour les risques de scurit connus. Pour configurer des exceptions centralises pour des risques de scurit connus
1 2
Sur la page Politique d'exceptions centralises, cliquez sur Exceptions centralises. Sous Exceptions centralises, cliquez sur Ajouter > Exceptions Windows > Exceptions de risques de scurit > Risques connus.
652
Dans la bote de dialogue Exceptions de risques de scurit connus, slectionnez un ou plusieurs risques de scurit que vous voulez exclure des analyses antivirus et antispyware. Cochez Consigner lorsque le risque de scurit est dtect si vous voulez consigner la dtection. Si vous ne cochez pas cette option, le client ignore le risque quand il dtecte les risques slectionns. Le client ne consigne donc pas la dtection.
5 6
Configuration d'une exception centralise pour un fichier pour des clients Windows
Vous ajoutez des exceptions pour des fichiers individuellement. Si vous voulez crer des exceptions pour plus d'un fichier, rptez la procdure. Se reporter "Configuration d'une exception centralise pour l'analyse antivirus et antispyware sur des clients Windows" la page 650. Pour configurer une exception centralise pour un fichier pour des clients Windows
1 2 3
Sur la page Politique d'exceptions centralises, cliquez sur Exceptions centralises. Sous Exceptions centralises, cliquez sur Ajouter > Exceptions Windows > Exceptions de risques de scurit > Fichier. Sous Exception de fichier risques de scurit, dans la liste droulante Variable de prfixe, slectionnez un dossier commun. Lorsque vous slectionnez un prfixe, l'exception peut tre utilise sur diffrents systmes d'exploitation Windows. Slectionnez [AUCUN] si vous souhaitez saisir le chemin absolu et le nom de fichier. Remarque : Les chemins d'accs de dossier pour des clients Windows doivent tre dnots l'aide d'une barre oblique arrire.
Dans la zone de texte Fichier, saisissez le nom du fichier. Si vous avez slectionn une variable de prfixe, le chemin d'accs doit tre relatif au prfixe. Si vous avez slectionn [AUCUN], saisissez le nom de chemin d'accs complet du fichier.
653
5 6
Configuration d'une exception centralise pour un dossier pour des clients Windows
Vous ajoutez des exceptions pour des dossiers individuellement. Si vous voulez crer des exceptions pour plus d'un dossier, rptez la procdure. Se reporter "Configuration d'une exception centralise pour l'analyse antivirus et antispyware sur des clients Windows" la page 650. Pour configurer une exception centralise pour un dossier pour des clients Windows
1 2 3
Sur la page Politique d'exceptions centralises, cliquez sur Exceptions centralises. Sous Exceptions centralises, cliquez sur Ajouter > Exceptions Windows > Exceptions de risques de scurit > Dossier. Sous Exception de dossiers risques, dans la liste droulante Variable de prfixe, slectionnez un dossier commun. Lorsque vous slectionnez un prfixe, l'exception peut tre utilise sur diffrents systmes d'exploitation Windows. Slectionnez [AUCUN] si vous souhaitez saisir le chemin absolu et le nom de fichier. Remarque : Les chemins d'accs de dossier pour des clients Windows doivent tre dnots l'aide d'une barre oblique arrire.
Dans la zone de texte Dossier, saisissez le nom du dossier. Si vous avez slectionn une variable de prfixe, le chemin d'accs doit tre relatif au prfixe. Si vous avez slectionn [AUCUN], saisissez le nom de chemin d'accs complet.
5 6
Configurer une exception centralise pour une extension de fichier

Vous pouvez ajouter des extensions de fichier multiples une exception. Aprs avoir cr l'exception, vous ne pouvez pas crer une autre exception d'extension pour la mme politique. Vous devez modifier l'exception existante.
654
Se reporter "Configuration d'une exception centralise pour l'analyse antivirus et antispyware sur des clients Windows" la page 650. Remarque : Vous ne pouvez ajouter qu'une seule extension la fois. Si vous entrez des noms d'extension multiples dans la zone de texte Ajouter, la politique traite l'entre comme un seul nom d'extension. Pour configurer une exception centralise pour une extension de fichier
1 2 3 4 5 6
Sur la page Politique d'exceptions centralises, cliquez sur Exceptions centralises. Sous Exceptions centralises, cliquez sur Ajouter > Exceptions Windows > Exceptions de risques de scurit > Extension. Dans la zone de texte, tapez l'extension que vous voulez exclure, puis cliquez sur Ajouter. Rptez l'tape 3 pour ajouter d'autres extensions l'exception. Cliquez sur OK. Si vous avez termin de configurer cette politique, cliquez sur OK.
Configuration d'une exception centralise pour des fichiers ou dossiers sur des clients Mac
Si vous configurez une exception centralise pour des fichiers ou dossiers sur des clients Mac, vous devez slectionner l'option approprie dans la politique antivirus et antispyware pour les analyses Auto-Protect. Se reporter "Configuration d'Auto-Protect pour le systme de fichiers pour les clients Mac" la page 487. Se reporter "Configuration d'une politique d'exceptions centralises" la page 649. Pour configurer une exception centralise pour des fichiers ou dossiers sur des clients Mac
1 2
Sur la page Politique d'exceptions centralises, cliquez sur Exceptions centralises. Sous Exceptions centralises, cliquez sur Ajouter > Exceptions Mac > Exceptions de risques de scurit pour le fichier ou le dossier.
655
Sous Exception de fichier ou dossier risques de scurit, dans la liste droulante Variable de prfixe, slectionnez un dossier commun. Slectionnez [AUCUN] pour saisir le chemin absolu et le nom de fichier. Remarque : Les chemins d'accs de dossier pour les clients Mac doivent tre dnots l'aide d'une barre oblique arrire.
Dans la zone de texte Dossier, saisissez le nom du dossier. Si vous slectionnez une variable de prfixe, le chemin d'accs doit tre relatif au prfixe. Si vous slectionnez [AUCUN], saisissez le nom de chemin d'accs complet.
5 6
Cliquez sur OK. Une fois la dfinition de la politique termine, cliquez sur OK.
Configuration d'une exception centralise pour les analyses proactives des menaces TruScan
Vous pouvez configurer des exceptions pour exclure des processus dtects des futures analyses proactives des menaces. Vous pouvez galement obliger une analyse proactive des menaces dtecter un processus particulier. Pour configurer une exception centralise pour les analyses proactives des menaces TruScan
1 2
Sur la page Politique d'exceptions centralises, cliquez sur Exceptions centralises. Cliquez sur Ajouter > Exceptions Windows > Exceptions d'analyse proactive des menaces TruScan, puis effectuez l'une des oprations suivantes :
Cliquez sur Processus dtects. Se reporter "Configurer une exception centralise pour un processus dtect" la page 656. Cliquez sur Traiter. Se reporter "Configurer une exception pour obliger les analyses proactives des menaces TruScan dtecter un processus" la page 656.
3 4
656
Configurer une exception centralise pour un processus dtect

Vous pouvez crer une exception pour un processus que les analyses proactives des menaces TruScan dtectent. Quand vous crez une exception pour un processus dtect, vous choisissez dans une liste de dtections. La console de gestion peuple la liste avec les dtections que le client consigne dans votre rseau de scurit. La liste de dtection apparat vide si les ordinateurs client de votre rseau n'ont encore fait aucune dtection. Vous pouvez obliger des analyses proactives des menaces dtecter un processus particulier. Quand une analyse proactive des menaces dtecte le processus et que la console de gestion reoit l'vnement, le processus apparat dans la liste des processus dtects. Se reporter "Configurer une exception pour obliger les analyses proactives des menaces TruScan dtecter un processus" la page 656. Pour configurer une exception centralise pour un processus dtect
1 2 3 4 5 6
Sur la page Politique d'exceptions centralises, cliquez sur Exceptions centralises. Cliquez sur Ajouter > Exceptions Windows > Exceptions d'analyse proactive des menaces TruScan > Processus dtects. Slectionnez les processus pour lesquels vous voulez crer une exception. Dans la zone droulante Action, slectionnez Ignorer, Terminer, Mettre en quarantaine ou Consigner seulement. Cliquez sur OK. Si vous avez termin de configurer cette politique, cliquez sur OK.
Configurer une exception pour obliger les analyses proactives des menaces TruScan dtecter un processus
Vous pouvez configurer une exception pour obliger les analyses proactives des menaces dtecter un processus. Vous pourriez configurer ce type d'exception quand les analyses proactives des menaces ne dtectent pas actuellement un processus particulier. Quand de futures analyses auront dtect le processus spcifi, vous pourrez crer une autre exception pour traiter le processus. Se reporter "Configurer une exception centralise pour un processus dtect" la page 656.
657
Pour configurer une exception pour obliger les analyses proactives des menaces TruScan dtecter un processus
1 2 3
Sur la page Politique d'exceptions centralises, cliquez sur Exceptions centralises. Cliquez sur Ajouter > Exceptions Windows > Exceptions d'analyse proactive des menaces TruScan > Processus. Dans la bote de dialogue, tapez le nom du processus. Par exemple, vous pouvez taper le nom d'un fichier excutable comme suit : foo.exe
4 5
Configurer une exception centralise pour la protection contre les interventions

Vous pouvez configurer des exceptions centralises pour la protection contre les interventions. Vous devez connatre le nom du fichier associ l'application que vous voulez autoriser. Par exemple, la protection contre les interventions peut bloquer une application de technologie d'aide, telle qu'un lecteur d'cran. Vous devez connatre le nom du fichier associ l'application de technologie d'aide. Vous pouvez alors crer une exception pour permettre l'application de s'excuter. Se reporter "Configuration d'une politique d'exceptions centralises" la page 649. Pour configurer une exception centralise pour la protection contre les interventions
1 2 3
Sur la page Politique d'exceptions centralises, cliquez sur Exceptions centralises. Cliquez sur Ajouter > Exceptions Windows > Exception de protection contre les interventions. Dans la bote de dialogue Ajouter une exception la protection contre les interventions, dans la liste droulante Variable de prfixe, slectionnez un dossier commun. Lorsque vous slectionnez un prfixe, l'exception peut tre utilise sur diffrents systmes d'exploitation Windows. Slectionnez [AUCUN] si vous souhaitez saisir le chemin absolu et le nom de fichier.
658
Configuration des politiques d'exceptions centralises Configurer des restrictions client pour des exceptions centralises
Dans la zone de texte Fichier, saisissez le nom du fichier. Si vous avez slectionn un prfixe, le chemin d'accs doit tre relatif au prfixe. Si vous avez slectionn [AUCUN] comme prfixe, saisissez le nom de chemin d'accs complet.
5 6
Configurer des restrictions client pour des exceptions centralises

Vous pouvez configurer des restrictions de sorte que les utilisateurs des ordinateurs client ne puissent pas crer d'exceptions pour des analyses antivirus et antispyware ou pour des analyses proactives des menaces TruScan. Par dfaut, les utilisateurs sont autoriss configurer des exceptions. Pour les analyses proactives des menaces, les utilisateurs ont des privilges de configuration limits. Se reporter "A propos des interactions de client avec les exceptions centralises" la page 649. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilises dans la procdure. Remarque : Les utilisateurs des ordinateurs client ne peuvent jamais crer d'exceptions pour la protection contre les interventions, indpendamment des paramtres de restriction. Pour configurer des restrictions client pour des exceptions centralises
1 2 3
Sur la page Politique d'exceptions centralises, cliquez sur Restrictions de client. Sous Restrictions de client, cochez ou dcochez Exceptions de risque de scurit et Exceptions d'analyse proactive des menaces TruScan. Si vous avez termin de configurer cette politique, cliquez sur OK.
Cration d'exceptions centralises partir des vnements de journal

Vous pouvez crer des exceptions centralises partir des vnements de journal pour les analyses antivirus et antispyware ou les analyses proactives des menaces.
Configuration des politiques d'exceptions centralises Cration d'exceptions centralises partir des vnements de journal
659
Quand vous crez des exceptions partir des vnements de journal, vous ajoutez un risque, un fichier, un dossier, une extension ou un processus la politique d'exceptions centralises. Vous spcifiez la politique d'exceptions centralises quand vous crez l'exception. Se reporter "A propos des journaux" la page 287. Pour crer des exceptions centralises partir des vnements de journal
1 2
Dans l'onglet Contrles, cliquez sur l'onglet de Journaux. Dans la liste droulante Type de journal, slectionnez l'une des options suivantes :

Risque Analyse proactive des menaces TruScan Contrle des applications et des priphriques
3 4 5
Si vous avez slectionn Contrle des applications et des priphriques, slectionnez Contrle des applications dans la liste de contenu du journal. Cliquez sur Afficher le journal. Suivez les instructions pour ajouter des exceptions centralises pour le type de journal que vous avez slectionn. Se reporter "Ajouter une exception centralise pour des vnements de risque" la page 659. Se reporter "Ajouter une exception centralise pour des vnements d'analyse proactive des menaces TruScan" la page 660. Se reporter "Ajout d'une exception centralise pour des vnements de protection contre les interventions" la page 661.
Ajouter une exception centralise pour des vnements de risque

Vous pouvez ajouter une exception centralise pour des vnements de risque. Se reporter "Cration d'exceptions centralises partir des vnements de journal" la page 658. Pour ajouter une exception centralise pour des vnements de risque
1 2
Sur la page Journaux de risque, slectionnez un ou plusieurs vnements pour lesquels vous voulez ajouter une exception centralise. En regard de Action, slectionnez l'une des options suivantes :

Ajouter le risque la politique d'exception centralise Ajouter le fichier la politique d'exception centralise
660
Ajouter le dossier la politique d'exception centralise Ajouter l'extension la politique d'exception centralise
3 4
Cliquez sur Dmarrer. Dans la bote de dialogue, vous pouvez supprimer l'un des risques, fichiers, dossiers ou extensions associs l'vnement. Si vous supprimez des lments, vous ne les incluez pas dans l'exception. Si aucun lment n'apparat dans les listes de risques, fichiers, dossiers ou extensions, vous ne pouvez pas crer d'exception.
5 6 7
Pour les risques de scurit, cochez sur Consigner lorsque le risque de scurit est dtect si vous voulez que le logiciel client consigne la dtection. Slectionnez toutes les politiques d'exceptions centralises qui doivent utiliser cette exception. Cliquez sur OK.
Ajouter une exception centralise pour des vnements d'analyse proactive des menaces TruScan
Vous pouvez ajouter une exception centralise pour des vnements d'analyse proactive des menaces. Se reporter "Cration d'exceptions centralises partir des vnements de journal" la page 658. Pour ajouter une exception centralise pour des vnements d'analyse proactive des menaces TruScan
Sur la page Journaux d'analyse proactive contre les menaces TruScan, slectionnez un ou plusieurs vnements pour lesquels vous voulez ajouter une exception centralise. En regard de Action, slectionnez Ajouter le processus la politique d'exception centralise. Cliquez sur Dmarrer. Dans la bote de dialogue, dans la liste droulante Rponse, slectionnez l'action de dtection pour le processus. En option, vous pouvez supprimer tous les processus que vous ne voulez pas inclure dans l'exception.
2 3 4
5 6
Slectionnez les politiques d'exceptions centralises qui doivent inclure cette exception. Cliquez sur OK.
661
Ajout d'une exception centralise pour des vnements de protection contre les interventions
Vous pouvez ajouter une exception centralise pour des vnements de protection contre les interventions. La fonction Protection contre les interventions doit dj avoir bloqu l'application que vous voulez autoriser. Une fois que la protection contre les interventions a bloqu l'application, l'ordinateur client consigne l'vnement et l'envoie au serveur de gestion. Vous pouvez utiliser l'vnement de journal pour crer l'exception. Se reporter "Cration d'exceptions centralises partir des vnements de journal" la page 658. Pour ajouter une exception centralise pour des vnements de Protection contre les interventions
Dans la page Journaux du contrle des application et des priphriques, slectionnez un ou plusieurs vnements pour lesquels vous voulez ajouter une exception centralise. Par exemple, vous pourriez slectionner un ou plusieurs vnements qui s'appliquent aux applications de technologie d'aide que vous voulez excuter.
2 3 4
En regard d'Action, slectionnez Ajouter le fichier la politique d'exception centralise. Cliquez sur Dmarrer. Pour supprimer un fichier que vous ne voulez pas inclure dans l'exception, slectionnez le fichier et cliquez sur Supprimer. Rptez cette tape pour supprimer d'autres fichiers.
5 6
Slectionnez les politiques d'exceptions centralises qui doivent inclure cette exception. Cliquez sur OK.
662
Annexe
Utilisation de l'interface de ligne de commande

Cette annexe traite des sujets suivants :
Commandes Windows pour le service client
Commandes Windows pour le service client

Vous pouvez manipuler le client directement depuis la ligne de commande sur un ordinateur client Windows en utilisant la commande smc pour le service de client. Vous pouvez vouloir utiliser cette commande dans un script qui excute les paramtres distance. Par exemple, si vous devez arrter le client pour installer une application sur des clients multiples, vous pouvez arrter et redmarrer chaque service client. Le service client doit s'excuter pour que vous utilisiez les paramtres de ligne de commande, except le paramtre de smc -start. Les paramtres de ligne de commande ne distinguent pas les majuscules et les minuscules. Tableau A-1 dcrit les paramtres que vous pouvez excuter si les utilisateurs sont membres de n'importe quel groupe d'utilisateurs Windows. Tableau A-1 Paramtre
smc -checkinstallation
Paramtres que tous les membres de Windows peuvent utiliser Description

Vrifie si le service client de smc est install. Retourne 0, -3
smc -checkrunning
Vrifie si le service client de smc s'excute. Retourne 0, -4
664
Utilisation de l'interface de ligne de commande Commandes Windows pour le service client
Paramtre
smc -dismissgui
Description
Ferme l'interface utilisateur client de Symantec Endpoint Protection ou Symantec Network Access Control, y compris l'icone de zone de notification. Le client s'excute toujours et protge l'ordinateur client. Retourne 0
smc -exportlog
Exporte le contenu entier d'un journal vers un fichier .txt. Pour exporter un journal, utilisez la syntaxe suivante : smc -exportlog type_journal 0 -1 fichier_sortie o : log_type est :

0 = journal systme 1 = journal de scurit 2 = journal du trafic 3 = journal des paquets 4 = journal de contrle Par exemple, vous pourriez saisir la syntaxe suivante : smc -exportlog 2 0 -1 c:\temp\TrafficLog O : 0 reprsente le dbut du fichier -1 reprsente la fin du fichier Vous pouvez seulement exporter le journal de contrle, le journal des paquets, le journal de scurit, le journal systme et le journal du trafic.
output_file est le nom du chemin d'accs et le nom de fichier que vous attribuez au fichier export. Retourne 0, -2, -5 smc -runhi Si Symantec Network Access Control est install, excute une vrification d'intgrit de l'hte. Retourne 0 smc -showgui Affiche l'interface utilisateur client de Symantec Endpoint Protection ou Symantec Network Access Control. Retourne 0
665
Paramtre
smc -updateconfig
Description
Vrifie si le fichier de configuration sur le serveur de gestion est plus rcent que le fichier de configuration sur le client. Le fichier de configuration inclut tous les paramtres sur le serveur de gestion, tel que les politiques, groupes, paramtres de journal, paramtres de scurit et paramtres d'interface utilisateur. Si le fichier de configuration client est prim, updateconfig tlcharge le fichier de configuration le plus rcent et remplace le fichier de configuration existant, serdef.dat. Retourne 0
Vous pouvez excuter les paramtres dans Tableau A-2 seulement si les conditions suivantes sont remplies :
Le client excute Windows 2003/XP/Vista ou Windows Server 2008 et les utilisateurs sont membres du groupe d'administrateurs Windows. Le client excute Windows 2003/XP et les utilisateurs sont membres du groupe de super-utilisateurs.
Si le client excute Windows Vista et que le contrle de compte d'utilisateur est activ, l'utilisateur devient automatiquement membre la fois des groupes d'administrateurs et d'utilisateurs. Pour utiliser les paramtres suivants, l'utilisateurs doit uniquement tre membre du groupe d'administrateurs. Tableau A-2 Paramtres que les membres du groupe d'administrateurs peuvent utiliser Description
Exporte le fichier de configuration du client vers un fichier.xml. Le fichier de configuration inclut tous les paramtres sur le serveur de gestion, tel que les politiques, groupes, paramtres de journal, paramtres de scurit et paramtres d'interface utilisateur. Vous devez spcifier le nom du chemin d'accs et le nom de fichier. Par exemple, vous pouvez taper la commande suivante : smc -exportconfig C:\My Documents\MyCompanyprofile.xml Retourne 0, -1, -5, -6
Paramtre
smc -exportconfig
666
Paramtre
smc -importconfig
Description
Remplace le contenu du fichier de la configuration actuelle du client par un fichier de configuration import. Le client doit s'excuter pour importer le contenu du fichier de configuration. Vous devez spcifier le nom du chemin d'accs et le nom de fichier. Par exemple, vous pouvez taper la commande suivante : smc -importconfig C:\My Documents\MyCompanyprofile.xml. Retourne 0, -1, -5, -6
smc -exportadvrule
Exporte les rgles de pare-feu du client vers un fichier .sar. Les rgles exportes peuvent seulement tre importes dans un client autonome ou un client gr en mode de commande client ou mixte. Le client gr ignore ces rgles dans le mode de commande de serveur. Vous devez spcifier le nom du chemin d'accs et le nom de fichier. Par exemple, vous pouvez taper la commande suivante : smc -exportadvrule C:\myrules.sar Retourne 0, -1, -5, -6
smc -importadvrule
Ajoute les rgles de pare-feu importes par la liste existante des rgles de pare-feu du client. Ces rgles ne remplacent pas les rgles existantes. Le client liste la fois les rgles existantes et les rgles importes, mme si chaque rgle a les mmes nom et paramtres. Vous ne pouvez importer les rgles de filtrage que dans un client autonome ou un client gr en mode de commande client ou mixte. Le client gr ignore ces rgles dans le mode de commande de serveur. Pour importer des rgles de pare-feu, importez un fichier .sar. Par exemple, vous pouvez taper la commande suivante : smc -importadvrule C:\myrules.sar Une entre est ajoute au journal systme aprs avoir import les rgles. Retourne 0, -1, -5, -6
smc -start
Dmarre le service client Symantec Endpoint Protection ou Symantec Network Access Control. Retourne 0, -1
667
Paramtre
smc -stop
Description
Arrte le service client Symantec Endpoint Protection ou Symantec Network Access Control et le dcharge de la mmoire. Retourne 0, -1
Quand vous importez des fichiers de configuration et des rgles de filtrage, notez que les rgles suivantes s'appliquent :
Vous ne pouvez pas importer de fichiers de configuration ou de rgles de filtrage directement depuis un lecteur rseau mapp. Le client ne prend pas en charge les chemins d'accs UNC (convention de nommage universelle).
Codes d'erreur
Tableau A-3 affiche les codes d'erreur que la commande smc renvoie quand les paramtres requis sont errons ou sont manquants. Tableau A-3 Code d'erreur
0 -1
Codes d'erreur smc Description

La commande a russi. L'utilisateur ne se trouve pas dans le groupe des administrateurs Windows ou le groupe des utilisateurs Windows avec pouvoir. Si le client excute Windows Vista, l'utilisateur n'est pas un membre du groupe d'administrateurs de Windows. Paramtre incorrect. Il se peut que vous ayez tap le paramtre de faon incorrecte ou que vous ayez ajout une option incorrecte aprs le paramtre.
-2
-3 -4 -5
Le service client smc n'est pas install. Le service client smc ne s'excute pas. Fichier d'entre incorrect. Par exemple, les paramtres importconfig, exportconfig, updateconfig, importadv, exportadvrule et exportlog requirent le nom de chemin et le nom de fichier exact.
668
Code d'erreur
-6
Description
Le fichier d'entre n'existe pas. Par exemple, les paramtres importconfig, updateconfig et importadvrule ncessitent le chemin d'accs, le nom de fichier de configuration (.xml) ou le nom de fichier de rgles de pare-feu exacts (.sar).
Saisie d'un paramtre si le client est protg par mot de passe

Vous pouvez dfinir la protection par mot de passe sur le client si vous ou un utilisateur diffrent arrtez le service clientle ou importez ou exportez le fichier de configuration. Vous devez saisir le mot de passe si le client est protg par mot de passe pour les paramtres suivants :
-stop Le client demande un mot de passe avant que vous ou l'utilisateur arrte le client. Le client demande un mot de passe avant que vous puissiez importer le fichier de configuration. Le client demande un mot de passe avant que vous puissiez importer le fichier de configuration.
-importconfig
-exportconfig
Se reporter "Protection du client par mot de passe" la page 185. Remarque : Le mot de passe est limit 15 caractres ou moins. Pour taper un paramtre si le client est protg par mot de passe
1 2
Sur l'ordinateur client, dans la barre des tches, cliquez sur Dmarrer > Excuter. Dans la bote de dialogue Excuter, tapez cmd
669
Dans l'invite MS-DOS de Windows, tapez l'un des paramtres suivants :

smc -paramtre -p mot de passe smc -p mot de passe -paramtre
O : le paramtre est -stop, -importconfig ou -exportconfig. mot de passe est le mot de passe que vous avez spcifi dans la console. Par exemple, vous pouvez saisir l'une ou l'autre des syntaxes suivantes :
smc -exportconfig c:\profile.xml -p mot de passe, soit smc -p mot de passe -exportconfig c:\profile.xml
Fermez l'invite de commandes.
670
Annexe
A propos des paramtres de communication entre le client et le serveur


Les paramtres de communication entre le client et le serveur, ainsi que les autres paramtres client sont stocks dans les fichiers sur l'ordinateur client. Tableau B-1 Nom de fichier
SerDef.dat
Fichiers client Description

Fichier chiffr qui stocke les paramtres de communication par emplacement. Chaque fois que l'utilisateur modifie des emplacements, le fichier SerDef.dat est lu, et les paramtres de communication appropris pour le nouvel emplacement sont appliqus au client. Stocke les paramtres de communication globale. Ce fichier est rserv un usage interne et ne doit pas tre modifi. Il contient les paramtres issus de Symantec Endpoint Protection Manager. Si vous modifiez ce fichier, la plupart des paramtres seront crass par les paramtres de serveur de gestion la prochaine fois que le client se connecte au serveur de gestion.
sylink.xml
672
A propos des paramtres de communication entre le client et le serveur A propos des paramtres de communication entre le client et le serveur
Nom de fichier
SerState.dat
Description
Un fichier chiffr qui stocke des informations sur l'interface utilisateur, tel que la taille de l'cran du client, si la console du client pour la protection contre les menaces rseau apparat et si les services Windows apparaissent. Lorsque le client dmarre, il lit ce fichier et reprend depuis l'tat d'interface graphique dans lequel il tait avant d'tre arrt.
Annexe
Informations de gestion et de protection du client par la plate-forme


Fonctions de gestion par plate-forme Fonctions de protection client par plate-forme Paramtres de politique antivirus et antispyware disponibles pour Windows et Mac Paramtres de politique LiveUpdate disponibles pour Windows et Mac
Fonctions de gestion par plate-forme

Le tableau suivant prsente les options de gestion disponibles pour les plates-formes clients Windows et Mac. Tableau C-1 Installation, gestion et mise jour Symantec Endpoint Protection (Windows et Mac seulement) Windows Mac
Non
Fonctionnalit
Dploiement du client distance Oui depuis Symantec Endpoint Protection Manager Gestion de client partir de Symantec Endpoint Protection Manager Oui
Oui
674
Informations de gestion et de protection du client par la plate-forme Fonctions de gestion par plate-forme
Fonctionnalit
Mise jour des dfinitions de virus et de produit partir du serveur de gestion Excution des commandes partir du serveur de gestion
Windows
Oui
Mac
Non
Analyse Mise jour de contenu et analyse Redmarrage des ordinateurs client Activation d'Auto-Protect Redmarrage des ordinateurs client Activation d'Auto-Protect Activation de la protection contre les menaces rseau Dsactivation de la protection contre les menaces rseau
Analyse Mise jour de contenu et analyse Redmarrage des ordinateurs client Activation d'Auto-Protect Redmarrage des ordinateurs client Activation d'Auto-Protect
Mise jour de contenu Mise jour de contenu
Installation des mises jour en utilisant des fournisseurs de mises jour groupes
Oui
Non
Excution de Intelligent Updater Oui Mises jour de package pour des Oui outils tiers dans le serveur de gestion Dfinition des analyses alatoires Oui Dfinition des mises jour alatoires Oui
Oui Non*
Non Oui
*Cependant, vous pouvez excuter Intelligent Updater pour obtenir des mises jour de contenu Mac. Vous pouvez alors pousser les mises jour aux clients Mac l'aide d'un outil tiers tel que Apple Remote Desktop. Se reporter "Utiliser l'Intelligent Updater pour tlcharger des mises jour du contenu d'antivirus pour la distribution" la page 167.
Informations de gestion et de protection du client par la plate-forme Fonctions de protection client par plate-forme
675
Se reporter "Utiliser l'Intelligent Updater pour tlcharger des mises jour du contenu d'antivirus pour la distribution" la page 167. Se reporter "Paramtres de politique antivirus et antispyware disponibles pour Windows et Mac" la page 676. Se reporter "Paramtres de politique LiveUpdate disponibles pour Windows et Mac" la page 678. Se reporter "Fonctions de protection client par plate-forme" la page 675.
Fonctions de protection client par plate-forme

Le tableau suivant prsente les diffrentes fonctions de protection disponibles sur les diffrentes plates-formes clients. Tableau C-2 Fonction client Protection client de Symantec Endpoint Protection Windows XP, Windows Vista, Windows 7, 64 bits Windows Server 2003, Windows Server 2008, 32 bits Windows Mac Server 2003, Windows Server 2008, 64 bits Linux
Windows 2000 Professional Edition, Windows XP, Windows Vista, Windows 7, 32 bits
Oui Oui
Analyses planifies Analyses sur demande
Oui Oui Oui
Oui Oui Oui
Oui Oui Oui
Oui Oui Oui
Oui Oui Oui
Auto-Protect pour le systme Oui de fichiers Auto-Protect pour messagerie Internet Oui
Non
Non
Non
Non
Non
Auto-Protect pour Microsoft Oui Outlook Auto-Protect pour Lotus Notes Analyses proactives des menaces TruScan Pare-feu Oui
Non
Oui
Non
Non
Non
Non
Oui
Non
Non
Non
Oui
Oui
Oui
Oui
Non
Non
Oui
Oui
Oui
Oui
Non
Non
676
Informations de gestion et de protection du client par la plate-forme Paramtres de politique antivirus et antispyware disponibles pour Windows et Mac
Fonction client
Windows 2000 Professional Edition, Windows XP, Windows Vista, Windows 7, 32 bits
Oui Oui
Windows XP, Windows Vista, Windows 7, 64 bits
Windows Server 2003, Windows Server 2008, 32 bits
Windows Mac Server 2003, Windows Server 2008, 64 bits
Linux
Prvention des intrusions Contrle d'application et contrle de priphrique Intgrit de l'hte Protection contre les interventions
Oui Non
Oui Oui
Oui Non
Non Non
Non Non
Oui Oui
Oui Non
Oui Oui
Oui Non
Non Non
Non Non
Se reporter "Fonctions de gestion par plate-forme" la page 673. Se reporter "Paramtres de politique antivirus et antispyware disponibles pour Windows et Mac" la page 676. Se reporter "Paramtres de politique LiveUpdate disponibles pour Windows et Mac" la page 678.
Paramtres de politique antivirus et antispyware disponibles pour Windows et Mac

Tableau C-3 affiche les diffrences entre les paramtres de politique disponibles pour les clients Windows et Mac.
Informations de gestion et de protection du client par la plate-forme Paramtres de politique antivirus et antispyware disponibles pour Windows et Mac
677
Tableau C-3
Paramtres de politique antivirus et antispyware (Windows et Mac uniquement) Mac
Paramtre de politique
Dfinition des actions pour des analyses
Windows
Vous pouvez spcifier les premires et Vous pouvez spcifier l'une ou l'autre des deuximes actions quand diffrents types actions suivantes : de virus ou de risque sont trouvs. Vous Rparer automatiquement les fichiers pouvez dfinir les lments suivants : infects Nettoyer Mettre en quarantaine les fichiers ne pouvant pas tre rpars Mettre en quarantaine

Supprimer Conserver La rsolution est automatiquement associe aux actions.
Spcifier la rsolution si un Vous pouvez dfinir les actions de virus ou un risque est trouv rsolution suivantes : Sauvegarder des fichiers avant la rparation Terminer les processus

Arrter les services Personnalise seulement Non
Dfinir le type d'analyse Ressayer les analyses planifies Dfinir les analyses pour vrifier des emplacements supplmentaires (amlioration d'analyse) Configurer des analyses de migration de stockage Configurer des exceptions d'analyse
Active, complte, personnalise Oui
Oui
Non
Oui
Non
Configurer seulement la politique d'exceptions centralises
Spcifiez le paramtre dans la politique antivirus et antispyware et configurez la politique d'exceptions centralises
Se reporter "Fonctions de gestion par plate-forme" la page 673. Se reporter "Paramtres de politique LiveUpdate disponibles pour Windows et Mac" la page 678. Se reporter "Fonctions de protection client par plate-forme" la page 675.
678
Informations de gestion et de protection du client par la plate-forme Paramtres de politique LiveUpdate disponibles pour Windows et Mac
Paramtres de politique LiveUpdate disponibles pour Windows et Mac

Tableau C-4 prsente les options de politique des paramtres LiveUpdate prises en charge par les clients Windows et Mac. Tableau C-4 Paramtres de politique LiveUpdate (Windows et Mac seulement) Windows Mac
Non Oui
Paramtre de politique
Utiliser le serveur de gestion par dfaut Oui Utiliser un serveur LiveUpdate (interne Oui ou externe) Utiliser un fournisseur de mises jour Oui groupes Activer la gestion de contenu tiers Planification de LiveUpdate Paramtres utilisateur Paramtres de mise jour du produit Oui Oui Oui Oui
Non
Non* Oui Non Oui
*Cependant, vous pouvez excuter Intelligent Updater pour obtenir des mises jour de contenu Mac. Vous pouvez alors pousser les mises jour aux clients Mac l'aide d'un outil tiers tel que Apple Remote Desktop. Se reporter "Utiliser l'Intelligent Updater pour tlcharger des mises jour du contenu d'antivirus pour la distribution" la page 167. Se reporter "Fonctions de gestion par plate-forme" la page 673. Se reporter "Paramtres de politique antivirus et antispyware disponibles pour Windows et Mac" la page 676. Se reporter "Fonctions de protection client par plate-forme" la page 675.
Index
A
Accueil, page Symantec Endpoint Protection liens Security Response 224 personnalisation 222 Active Directory, contrleur de domaine exclusions automatiques 447 Active Directory, serveur filtre 354 importation de donnes utilisateur 60 adaptateurs. Se reporter adaptateurs rseau administrateur propos de 327 ajouter 329 authentification 335 basculer le type de 333 droits d'accs 330 modifier le mot de passe 337 renommer 336 types 326 verrouiller le compte aprs un chec de connexion 333 administrateur de domaine 327 administrateur limit propos de 328 configurer les droits d'accs 332 administrateur systme propos de 327 administrer domaines 325 ajout administrateur 329 d'un groupe 59 ajout de produits Protection Center 51 Analyse journal 295 journaux 261 rapports 261 Analyse proactive contre les menaces TruScan journal 255
Analyse proactive des menaces TruScan exceptions centralises 648 journal 294 analyse proactive des menaces TruScan niveau de sensibilit 594 paramtres par dfaut 583 analyses 448 Voir aussi analyses planifies propos 442 affectation d'actions 456 afficher un message d'avertissement sur le client 469 antivirus et protection antispyware 463 exceptions centralises 647 arrtes 510 Auto-Protect 443 en sommeil 510 exclusion de fichiers de l'analyse 455 excution la demande 508 extensions de fichier recommandes 452 options avances pour des analyses dfinies par l'administrateur 511 options de progression d'analyse 510 slection des fichiers et des dossiers analyser 451 suspendues 510 analyses la demande excution 508 analyses dfinies par l'administrateur 501 Voir aussi analyses la demande Voir aussi analyses planifies analyses manuelles. Se reporter analyses sur demande analyses planifies 448 Voir aussi analyses propos 448 ajouter une politique 502, 504 enregistrer comme modle 502, 504 options avances 511 options de progression d'analyse 510 Analyses proactive de menaces TruScan dtection obligatoire 591
680
Index
analyses proactives des menaces. Se reporter Analyses proactives des menaces TruScan Analyses proactives des menaces TruScan actions 594 dtection des processus 583 exceptions centralises 590 faux positifs 586 frquence 596 ignorer des processus 588 Mise en quarantaine 589 notifications 596 analyses proactives des menaces TruScan applications commerciales 595 exceptions centralises 655 gestion des dtections 591 imposer une dtection 656 Paramtres par dfaut de Symantec 583 processus 593 analyses sur demande configuration sous Mac 506 configurer 505 options avances 511 options de progression d'analyse 510 antivirus et antispyware, politiques politique par dfaut 435 application ajout une rgle 570 dfinition 571 recherche de 571 application apprise enregistrement des rsultats de la recherche 125 applications 571 Voir aussi applications assimiles autorisation 636 recherche de 124 surveillance des applications en rseau 575 applications apprises activation 122 recherche de 124 applications assimiles 571 Voir aussi applications propos 120 liste 571 architecture Symantec Protection Center 46 assistant de configuration du serveur de gestion 381 assistant de rgle de filtrage 533 attaques blocage 516, 548
signatures 541 attaques "zero day" 582 audit journal 289 authentification certificat 373 point point 539 pour les administrateurs 335 Auto-Protect afficher des rsultats sur les ordinateurs infects 494 analyse et blocage de risque de scurit 483 analyses 443 cache de fichier 486 configuration 479 configurer des notifications de progression 498 configurer des options de notification 492 Lotus Notes 491 Microsoft Outlook 490 options avances d'analyse et de surveillance 484 pour le systme de fichiers activation 480 configuration 481 pour le systme de fichiers sur des clients Mac configurer 487 pour messagerie Internet 488 types de 480 Auto-Protect pour le systme de fichiers. Se reporter Auto-Protect Auto-Protect pour messagerie Internet 488 Autre catgorie de risque 441
B
base de donnes Assistant de configuration du serveur de gestion 381 erreur 406 erreur de CGI 406 erreur de processus arrt 406 gestion 379 intgre convention de dnomination 380 maintenance 404 Microsoft SQL conventions de dnomination 380 fichier bcp.exe 394 modification des paramtres d'expiration 406
Index
681
modifier description 391 nom 391 planification de sauvegarde automatique 389 reconfiguration 382 intgre 394 Microsoft SQL 392 restauration procdure 390 sauvegarde 381 automatique 389 taille 381 utilitaire Symantec Database Backup and Restore 381 bibliothques. Se reporter signatures IPS blagues 441 blocage clients de groupes 72 ordinateurs attaquant 548 brouillage de signature du systme d'exploitation 538
C
cache de fichier pour le systme de fichiers Auto-Protect 486 cartes rseau ajout la liste par dfaut 568 ajout une rgle 569 dclencheurs 524 modification et suppression 570 Centre de scurit Windows 459 certificat certificat et fichier de cl prive (formats DER et PEM) 374 Fichier keystore JKS 373 Fichier keystore PKCS12 374 mise jour 374 numrique 373 serveur 373 chevaux de Troie 440, 575 chiffrement 373 ClassGuid 626 client 418 Voir aussi rplication commandes 663 dfinition 64 hors ligne 238 interface utilisateur accs 177 configuration 178179, 183
Journal de contrle 609 mises jour Intelligent Updater 167 outils de distribution tiers 169 protection par mot de passe 185 rgles 527 rplication de package 418 supprimer des packages de mise niveau 137 client gr verrouillage et dverrouillage 178 client Mac Auto-Protect pour le systme de fichiers 487 exceptions centralises 487, 654 clients autogrs distribution des mises jour avec des outils tiers 173 clients hrits 158 politiques antivirus et antispyware pour 437 clients hors ligne 238 clients, types 64 commande mlange configurer des paramtres de protection contre les menaces rseau 559 commande smc 663 commandes client 663 excuter depuis les journaux 304 excution sur des clients partir de la console 81 communication problmes entre le client et le serveur 200 composants produit 30 compte administrateur propos de 322 compte administrateur limit dans Protection Center 51 comptes Protection Center 49 conformit journal 291 journaux 246 rapports 246 connectivit communication entre le client et le serveur 200 mise jour manuelle de la politique 119 utilisation d'un navigateur pour tester 203 utilisation du ping pour tester 202 utiliser Telnet pour tester 203
682
Index
connexion Symantec Protection Center 48 connexion client icne d'tat 197 considrations modes de commutation 69 console propos de 42 augmentation de la priode de dpassement de dlai 343 contenu propos de l'enregistrement des rvisions 148 mthodes de distribution 142 mise jour sur des clients et des serveurs de gestion 140 rvisions qui ne sont pas la dernire version 151 slectionner de faon alatoire 149 contrle client 180 Contrle d'applications configuration 613 contrle d'applications et de priphriques journaux 245, 609 rapports 245 rgles 605 contrle de niveau application 602 contrle de niveau priphrique contrle d'applications et de priphriques 608 contrle des applications et des priphriques journal 290 contrle des applications rseau 575 contrle des applications, ensemble de rgles modes 603, 623 rglage des priorits 621 contrle du serveur 180 contrle mixte 181 propos 182
dpannage avec Rechercher les ordinateurs non grs 133 problmes client 202 redmarrage d'ordinateurs client 76 dplacer groupe 62 dploiement avec Rechercher les ordinateurs non grs 133 distantes, consoles octroi de l'accs 349 distribution de contenu tiers propos 169 activer avec une politique LiveUpdate 170 aux clients grs 170 condition de cl de registre Windows pour les clients autogrs 173 utilisation avec des clients autogrs 173 documentation Symantec Protection Center 54 domaine courant 325 domaines ajout 324 courant 325 donnes client rechercher 77 dossiers analyse slectionne 465 droits d'accs 330
E
enregistrement de produits dans Protection Center 51 envoyer des informations de menace Symantec 471 erreur de CGI base de donnes 406 erreur de processus arrt base de donnes 406 tat clients et ordinateurs 73 tat client afficher 73 tat d'ordinateur journaux 248 rapports 248 tat de l'ordinateur afficher 73 journal 293
D
dbogage, journal. Se reporter journal dclencheurs application 521 carte rseau 524 hte 521 rgles de pare-feu 520 service rseau 523 dclencheurs d'application rgles du pare-feu 521 dclencheurs d'hte rgles du pare-feu 521
Index
683
vnement maintenance de la base de donnes option 404 vnements propos 214 regroupement 399400 exceptions 646 Voir aussi exceptions centralises Signatures IPS 546 exceptions centralises 646 Voir aussi Politiques d'exceptions centralises applications de technologie d'aide 657, 661 client Mac 487, 654 dossiers 653 Evnements d'analyse proactive des menaces TruScan 660 Evnements de protection contre les interventions 661 vnements de risque 659 extensions 653 files 652 imposer une dtection TruScan 656 pour des analyses proactives des menaces 590 pour des analyses proactives des menaces TruScan 648, 655 pour des processus dtects 656 pour les analyses antivirus et antispyware 647 Protection contre les interventions 648 protection contre les interventions 657 risques de scurit connus 651 exceptions IPS 546 exclusions. Se reporter exceptions centralises cres automatiquement 445 exclusions automatiques propos 445 Microsoft Exchange Server 446 pour des produits Symantec 447 pour le contrleur de domaine Active Directory 447 exportation Installation client, packages 132 liste de serveurs de gestion 196 politique 109 rgles du pare-feu 535 extensions analyse slectionne 464
F
faux positifs 544, 586 rduire 550 Fichier keystore JKS 373 Fichier keystore PKCS12 374 fichiers exclusion de l'analyse 455 partage 566 fichiers de dfinitions analyse aprs mise jour 450 configurer des actions pour de nouvelles dfinitions 478 indiquant prim ou manquant 461 fichiers MSI 147 fichiers MSP 147 fichiers suspects 437 filtrage de trafic intelligent 537 filtre groupes 282 filtres enregistrer dans les journaux 299 utilisateurs et ordinateurs 75 format DER 374 PEM 374 Format DER 374 Format PEM 374 Fournisseur de mise jour groupe clients hrits 158 contrle des tlchargements de contenu 162 gestion 156 multiple 158, 164 multiples 162 recherche 165 type 158 unique 158, 162163 Fournisseurs de mise jour groupe multiple 160
G
groupe ajouter 59 blocage 72 dplacer 62 renommer 62 Groupe Ma socit 58 Groupe par dfaut 58 groupe parent. Se reporter hritage
684
Index
groupe, proprits afficher 63 groupes assignation d'une liste de serveurs de gestion 194 dans des packages d'installation client 69 dfinition 58 hritage 63 paramtre par dfaut 58 rechercher 77 spcification d'une liste de serveurs de gestion 192 groupes d'htes ajout une rgle 562 cration 560 modification 561 suppression 561 GUID en tant que contrle des priphriques 608 GUID Windows ID de classe 626
H
hritage activation 63 rgles de filtrage 526 rgles de pare-feu 534 hrite, politique dplacement d'un groupe avec 62 htes ajout une rgle 562 exclusion de la prvention d'intrusion 549 local et distant 522 source et destination 522 htes exclus 549 HTTP, protocole 191 HTTPS, protocole 191
I
icne d'tat. Se reporter connexion client icnes cadenas 178 icnes de cadenas 178 ID de classe propos de 625 ID de priphrique propos de 625626 en tant que contrle des priphriques 608
obtention 627 importation donnes utilisateur depuis une recherche sur un serveur de rpertoires LDAP 359 fichiers de politique limitations 667 informations sur les utilisateurs partir d'un serveur LDAP 356 politique 110 rgles du pare-feu limitations 667 units organisationnelles 360 importing (importation) rgles du pare-feu 535 imprimantes, partage 566 informations utilisateur, collecter 131 inspection. Se reporter inspection Stateful inspection Stateful propos de 528 cration de rgles de trafic 528 Installation client, packages ajout 135 ajouter des mises jour 135 collecter des donnes utilisateur 131 configuration 129130 exportation 132 installation client, packages configuration 129 intgrit de l'hte propos de 37 Intelligent Updater 166167 interface utilisateur propos 177 configuration 183 configurer 178179 intervention active configuration 548 IPv4 563 IPv6 563
J
journal 287 actualisation 297 affichage 296 Analyse 295 Analyse proactive des menaces TruScan 294 audit 289 conformit 291
Index
685
contrle des applications et des priphriques 290 dtail des vnements 298 enregistrement des configurations de filtre 299 erreur de base de donnes 297 tat de l'ordinateur 293 filtrage 299 filtre Dernires 24 heures 300 gestion 404 IIS 205 journal de dbogage, vrification sur le client 204 maintenance de la base de donnes option 404 Protection contre les menaces rseau 294 Risque 295 suppression de paramtres de configuration 301 Systme 296 types 288 vrification des journaux de bote de rception 204 journal des vnements 296 filtre Dernires 24 heures 281, 300 journalisation externe 308 journaux 245 accs distance 298 afficher distance 298 Analyse 261 Analyse proactive contre les menaces TruScan 255 client configuration de la taille 400 conformit 246 contrle d'applications et de priphriques 245 effacement de la base de donnes 397 tat d'ordinateur 248 excuter des commandes 304 exportation de donnes 307 Journal de contrle client 609 Protection contre les menaces rseau 252 rplication 298 Risque 257 suppression de fichiers de la quarantaine 305 serveur configuration de la taille 398 stockage 396 Systme 262
journaux et rapports de pare-feu. Se reporter Protection contre les menaces rseau
L
lecteur d'cran application bloque par la protection contre les interventions 648 liste de serveurs de gestion propos 190 affichage des groupes et des emplacements assigns 195 ajout 191 assignation un groupe et un emplacement 194 collage 196 copie 196 exportation et importation 196 liste par dfaut 190 priorit des serveurs 193 remplacement 195 spcifier pour un groupe 192 liste des signatures de fichier fusionner 634 modification 632 LiveUpdate Administrateur de LiveUpdate 144 au sujet de la mise jour du contenu 140 configuration d'un site pour tlcharger des mises jour 147 configurer une politique de contenu 153 configurer une politique de paramtres 151 fichiers MSI et MSP 147 Fournisseur de mise jour groupe 156, 162 Intelligent Updater 166 mise jour des dfinitions et du contenu 141 modification des politiques de contenu appliques aux groupes 155 options tiers de distribution 142 politiques propos 150 configuration 151, 153 rvisions de contenu 148 signatures et dfinitions 141 types de mises jour 141 utiliser avec la rplication 147 utiliser les outils de distribution tiers 169 logiciel publicitaire 440
686
Index
M
menaces 255, 516 Voir aussi protection contre les menaces rseau Voir aussi Protection proactive contre les menaces combines 439 menaces combines 440 message d'avertissement afficher sur l'ordinateur infect 469 ajout un message lectronique infect 495 exemple 469 messages 488, 497 Voir aussi Auto-Protect pour messagerie Internet Voir aussi messages infects messages de notification pour les analyses antivirus et antispyware 469 messages lectroniques pour les rgles de filtrage 575 messages infects ajout d'un avertissement 494 notifier d'autres utilisateurs 497 notifier des expditeurs 495 Microsoft Exchange Server exclusions automatiques 446 Microsoft SQL gestion de la base de donnes 379 mise niveau des clients 135 un ou plusieurs groupes 136 mise en quarantaine envoyer des lments Symantec 477 options de nettoyage 475 rpertoire local 474 transfrer des lments un serveur de quarantaine centralise 477 mode de production 603 mode Ordinateur 64 mode ordinateur 66 mode test 603 mode Utilisateur 64 mode utilisateur 66 modles pour des analyses planifies 502, 504 modes 623 ordinateur client 64, 66 mot de passe tiers 348 mot de passe tiers 348 mot de passe, modifier administrateur 337
Moteurs IPS bas sur paquet 543 moteurs IPS 542 bass sur le flux 542
N
niveaux de contrle 179 niveaux de contrle de l'utilisateur 179 notifications Analyse proactive des menaces TruScan 596 options d'Auto-Protect 492 Protection contre les menaces rseau 573 numro de srie. Se reporter numro de srie de politique numro de srie de politique affichage sur le client 119 numroteurs 440
O
options d'architecture rseau pour la gestion tiers des mises jour 142 ordinateur client dpannage 202 excution de commandes 76 modes 64, 66 redmarrage 76 ordinateur virtuel slectionner de faon alatoire des tlchargements de contenu simultans 150 ordinateurs rechercher 77 ordinateurs infects affichage des rsultats d'Auto-Protect 494 Outil de dploiement de client Rechercher les ordinateurs non grs 133 outils de piratage 441 outils de suivi 442
P
packages d'installation client propos de 127 Page d'accueil Symantec Endpoint Protection propos 215 utilisation 215 Symantec Network Access Control propos 226 utilisation 226
Index
687
paramtres pare-feu 518, 538 protection contre les menaces rseau 559 paramtres d'expiration base de donnes 406 Paramtres de gestion d'lments 438 quarantaine 474 paramtres de communication client et serveur 671 paramtres de serveur XML 351 paramtres furtifs 538 brouillage de signature du systme d'exploitation 538 remise en squence TCP 538 paramtres grs configuration sur le client 177 paramtres verrouills et dverrouills client 178 pare-feu propos 516517 notifications 573 paramtres de trafic 538 partage des fichiers et des imprimantes 566 PC-cillin 521 plan pour faire face aux pidmies de virus 431 planification sauvegarde la demande de la base de donnes Microsoft SQL avec l'assistant de maintenance de base de donnes 384 sauvegarde automatique de base de donnes 389 sauvegarde de la base de donnes intgre la demande 388 planifications ajout une rgle 572 planifier sauvegarde la demande de la base de donnes Microsoft SQL 383 point point, authentification 539 politique propos 97 ajout d'un politique partage partir d'une politique partage existante 103 ajout d'une politique non partage partir d'une exportation 104 page Clients 102 ajouter page Politique 101
attribuer 105 exporter partage page Politiques 109 hritage 63 importation 110 importation des fichiers de politique 667 LiveUpdate 150 modification 104 modification d'une politique partage page Politiques 104 non partage 100 paramtre par dfaut 96 partage 100 retirer 106 supprimer non partage 108 supprimer partage 107 Politique de contrle d'application et de priphrique rgles dsactivation 622 Politique de contrle des applications et des priphriques 36 politique par dfaut 96 politique partage. Se reporter politique Politiques antivirus et antispyware analyses planifies pour les clients Mac 504 utilisation 438 politiques antivirus et antispyware propos 435 analyses planifies 502 clients hrits 437 configurer la gestion des journaux 457 dfinir les options du Centre de scurit Windows 459 grer l'interaction client 458 options de transmission 471 Politique de haute performance 436 Politique de haute scurit 436 verrouiller des paramtres 436 Politiques d'exceptions centralises 646 Voir aussi exceptions centralises configuration 649 utilisation 647 politiques d'exceptions centralises cration d'exceptions partir des vnements de journal 659 exceptions pour des analyses proactives des menaces TruScan 655 exceptions pour les analyses antivirus et antispyware 650
688
Index
interaction client 649 restrictions client 658 Politiques de contrle d'application et de priphrique rgles priorits 621 Politiques de contrle des applications et des priphriques cration 611 structure 601 types de contrles 600 utilisation 609 Politiques de pare-feu propos 518 ports personnaliss Protection Center 51 prfrences rapports 230 prvention d'intrusion propos 516 propos de 541 activation 545 blocage des ordinateurs attaquants 548 configuration 544 dsactivation sur les ordinateurs spcifis 549 notifications 574 priorits de rgle Politiques de contrle des applications et des priphriques 621 production, mode 623 produit propos de 29 composants 30 fonctions principales 34 produits Symantec exclusions automatiques 447 programmes d'accs distant 441 proprits groupe 63 proprits d'utilisateur et d'ordinateur, affichage 76 Protection antivirus et antispyware bases 430 protection antivirus et antispyware verrouillage et dverrouillage, fonctions 178 Protection contre les interventions exceptions centralises 648 gestion 421 protection contre les interventions exceptions centralises 657
fonctions de verrouillage et de dverrouillage 178 message 423 Protection contre les menaces proactives propos de 36 Protection contre les menaces rseau activation 558 journal 294 journaux 252 rapports 252 protection contre les menaces rseau configurer pour la commande mlange 559 cration de notifications 573 dsactivation 558 prsentation 516 protection par mot de passe analyse de lecteurs mapps 459 client 185 modifier un mot de passe 459 paramtres 668 Protection proactive contre les menaces 582 rapports 255 protocole LDAP 356 protocoles ajout 563 ajout une rgle 565 HTTP 191 HTTPS 191, 373 LDAP 356 modification et suppression 564
Q
Quarantaine propos de 438 suppression de fichiers 305
R
rapport configuration des filtres 244 enregistrement 282 filtre Dernires 24 heures 281 impression 282 prsentation 242 Protection Center 53 type 242 rapports 278 Voir aussi rapports planifis affichage 266
Index
689
afficher la rsolution 266 Analyse 261 audit 245 conformit 246 contrle d'applications et de priphriques 245 enregistrement des paramtres de configuration 276 tat d'ordinateur 248 fuseaux horaires 283 horodatages 283 langue 283 priodes d'analyse du client 283 points importants 283 Protection contre les menaces rseau 252 Protection proactive contre les menaces 255 Risque 257 SSL 283 suppression de paramtres de configuration 276 Symantec AntiVirus hrit 283 Symantec Network Access Control Page d'accueil 226 Systme 262 rapports planifis 278 Voir aussi rapports propos de 278 cration 279 modification 279 suppression 280 rapports rapides cration 275 paramtres de filtre de base 271 rapports sur les favoris Symantec Endpoint Protection personnalisation 222 rechercher groupes, utilisateurs et ordinateurs 77 reconfiguration base de donnes intgre 394 Base de donnes Microsoft SQL 392 de base de donnes 382 redmarrage 76. Se reporter redmarrage commande 81 rgles. Se reporter rgles de filtrage rgles de filtrage propos de 519, 527 activation 536 adaptateurs rseau ajout 568 modification et suppression 570
applications ajout 570 copier 535 groupes d'htes cration 560 modification et suppression 561 hritage 526 messages lectroniques 575 ordre de traitement 525 services rseau ajout 563 modification et suppression 564 rgles de pare-feu actions 520 ajout utilisation d'une rgle vierge 530 applications 521 cartes rseau ajout 569 conditions 520 dclencheurs 520 dclencheurs de carte rseau 524 lments de 520 hritage 534 modification de l'ordre 536 services rseau ajout 565 rgles du pare-feu ajout utilisation de l'assistant 533 client 527 coller 535 dclencheurs de service rseau 523 dsactivation 536 exportation 535 groupes d'htes ajout 562 htes 521 importation 535 limitations 667 liste 525 ordre de traitement changement 536 planifications ajout 572 serveurs 527 rgles vierges 530 regroupement 399 remise en squence TCP 538
690
Index
renommer administrateur 336 groupe 62 rplication ajout de partenaire de rplication 414 dconnexion d'un partenaire de rplication 416 dfinition initiale 409 post installation 409 exemple 412 exemple illustr 411 frquence 417 fusion des donnes 413 journaux 419 LiveUpdate et 147 package client 418 paramtres de communication 412 planification la demande 416 prsentation 409 reporting base 213 journal 287 Prfrences de la page d'accueil 230 Symantec Endpoint Protection Accueil, page 215 retrait d'une politique 106 Risk Tracer 485 blocage d'adresses IP 486 risque limination 233 journal 295 journaux 257 suppression de fichiers de la quarantaine 305 rapports 257 risque de scurit propos des actions des clients Mac 457 risques 439 Voir aussi risques de scurit dtection 439 risques de scurit 439 Voir aussi risques propos des actions des clients Windows 456 actions 437 configuration d'actions 467 ignorer pendant l'analyse 466 le processus continue se tlcharger 445 robots Web 440 rootkits 439
RSA, serveur configurer l'authentification SecurID 370 utiliser avec Symantec Endpoint Protection Manager 369
S
sauvegarde base de donnes 381 base de donnes intgre de la console 388 Base de donnes Microsoft SQL avec l'assistant Microsoft SQL 384 sauvegarder Base de donnes de Microsoft SQL depuis la console 383 SecurID RSA conditions d'authentification 335 SecurID, authentification configurer sur le serveur de gestion 370 spcification pour un administrateur 371 Security Response, site Web Symantec Endpoint Protection accs depuis la page d'accueil 224 serveur ajout d'un serveur de rpertoires 354 journaux 398 proxy FTP 365 proxy HTTP 365 rgles 527 rpertoire 353 serveur de rpertoires propos de 353 serveur de rpertoires LDAP importation informations sur l'utilisateur de 359 units organisationnelles 360 recherche d'utilisateurs 356 serveur proxy serveur proxy FTP 365 serveur proxy HTTP 365 serveur, paramtres exportation et importation 351 serveurs gestion 347 serveurs de rpertoire LDAP filtre 354 importation informations sur l'utilisateur de 356 serveurs de rpertoires ajout 354
Index
691
synchronisation 355 services ajout une rgle 565 ajouter 563 modification et suppression 564 services rseau ajout la liste par dfaut 563 ajout une rgle 565 dclencheurs 523 modification 564 suppression 564 signatures. Se reporter signatures IPS signatures de fichier 630 Signatures IPS personnalis propos 543 bibliothques 552 Symantec exceptions 546 signatures IPS personnalis attribution de bibliothques un groupe 552 bibliothques 550 construction d'une bibliothque 550 copier et coller 554 cration 550 personnalises modification de l'ordre 553 variables 554 Symantec propos de 542 modifier le comportement 546 soumissions 472 configuration d'options pour 473 Spyware 441 structure de groupe propos de 58 Symantec Endpoint Protection Manager dmarrage automatique du service 348 suppression de plusieurs installations 350 Symantec Protection Center. Se reporter Protection Center ajout de produits 49 architecture 46 comptes 49 connexion 48 connexion par dfaut 48 documentation 54
enregistrement/ajout de produits 51 rapport 53 tableau de bord 49 Symantec Security Response 433 soumissions 472 synchronisation serveurs de rpertoires 355 unit organisationnelle 361 Systme journal 296 journaux 262 rapports 262
T
tableau de bord Symantec Protection Center 49 taux de dtection envoi d'informations Symantec 472 technologie d'aide cration d'exceptions centralises 648, 657, 661 test, mode 623 trafic activer le trafic intelligent 537 paramtres 538 trafic DHCP 537 trafic DNS 537 trafic ICMP 529 trafic TCP 529 trafic UDP 529 trafic WINS 537 transmission envoi d'informations Symantec 471 envoyer un serveur de quarantaine centralise 477 envoyer des lments Symantec 477 Trend Micro PC-cillin 521 TruScan envoi d'informations Symantec 471
U
unit organisationnelle importation 60, 360 synchronisation 361 URL apparition dans des notifications d'erreur 462 spcifier la page d'accueil de navigateur 463 utilisateur et ordinateur, proprits affichage 76
692
Index
utilisateur, informations collecter 131 utilisateurs rechercher 77 utilisateurs et ordinateurs filtrage 75 utilisateurs et ordinateurs, dplacer propos 73 utilitaire Symantec Database Backup and Restore 381
V
variables dans les signatures 554 verrouillage du systme activer 638 verrous dans les politiques antivirus et antispyware 436 icnes de cadenas 178 vers 440 virus 439 propos des actions des clients Mac 457 propos des actions des clients Windows 456 actions 437 configuration d'actions 467

Administration Guide SEP11.0.6

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Administration Guide SEP11.0.6

Uploaded by

Copyright:

Available Formats

Guide d'administration de Symantec Endpoint Protection et Symantec Network Access Control

Guide d'administration de Symantec Endpoint Protection et Symantec Network Access Control

Contacter le support technique

Niveau de version du produit Informations concernant le matriel

Ressources de contrat de support

Services d'entreprise supplmentaires

Table des matires

Support technique .............................................................................................. 4

Tches administratives de base ......................... 27

Dmarrage de la console Symantec Endpoint Protection Manager ...................................................... 39

Table des matires

Gestion des groupes et des clients .................................. 55

Gestion des emplacements d'un groupe ........................ 83

Table des matires

Utilisation des politiques ................................................... 95

Table des matires

Utilisation des packages d'installation client .............. 127

Mise jour des dfinitions et du contenu .................... 139

Table des matires

167 168 169 170 171 173 174

Affichage des fonctions dans l'interface utilisateur client ............................................................................... 177

Table des matires

200 202 202 203 203 204 204 205 205

Surveillance de la protection de terminal .................... 207

Table des matires

235 236 236 237 237 238

Affichage et configuration des rapports ....................... 241

Table des matires

281 282 282 283 283

Affichage et configuration des journaux et des notifications .................................................................. 287

Grer des domaines et des administrateurs ................ 321

Table des matires

333 333 334 335 336 337

Tches administratives avances .................... 339

Gestion des serveurs ......................................................... 347

Gestion des serveurs de rpertoires .............................. 353

Table des matires

A propos de la synchronisation des units organisationnelles .......................................................... 361

Gestion des serveurs de messagerie ............................. 363

Gestion des serveurs proxy ............................................. 365

Gestion des serveurs RSA ................................................ 369

Gestion des certificats de serveur .................................. 373

Gestion des bases de donnes ........................................ 379

Table des matires

Rplication des donnes .................................................. 409

Table des matires

416 416 416 417 418 419

Gestion de la protection contre les interventions ................................................................

Configuration de la protection antivirus et antispyware ....................................................... 427

Table des matires

Table des matires

475 477 477 478

Configuration d'Auto-Protect .......................................... 479

Utilisation d'analyses dfinies par l'administrateur ........................................................... 501

Table des matires

Configuration de la protection contre les menaces rseau .................................................... 513

Configuration de la prvention d'intrusion .................. 541

Table des matires

548 549 550 552 553 553 554

Personnalisation de la protection contre les menaces rseau ........................................................... 557

Configuration de la protection proactive contre les menaces ............................................. 579

Table des matires

583 586 588 589 590 591 593

594 595 596 596