forefront endpoint protection 2010 avec sccm

5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com

http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 1/9

Forefront EndPoint Protection 2010 avec SCCM :

Présentation et Implémentation

En août 2003 alors que les administrateurs systèmes étaient d¶avantage exposés à la lumière du soleilqu¶à celle de leur écran d¶ordinateur ; MS Blaster l¶un des fléaux informatiques les plus célèbrescommençait à envahir le monde de l¶entreprise. Celui-ci allait changer radicalement la vision de lasécurité au cur des entreprises en lançant une prise de conscience générale. A l¶heure du passageen 2011, il n¶est pas envisageable qu¶une entreprise ne protège pas son parc informatique par unsystème anti-logiciel malveillant performant. Fin 2010, Microsoft annonçait la sortie de la nouvelleversion de sa solution antivirale. Forefront EndPoint Protection était attendu depuis près de 3 ansavec des attentes fortes en matière d¶administration. Cette nouvelle version change de stratégie enproposant une intégration complète à la gamme System Center au travers de System Center Configuration Manager (SCCM) 2007 et System Center Operations Manager (SCOM) 2007. Vous verrez dans cet article comment implémenter Forefront EndPoint Protection et comment l¶utiliser au quotidien. Nous verrons les différents avantages et inconvénients de cette solution et les avancéesproposées.

Notez que cet article n¶abordera pas l¶implémentation de Forefront EndPoint Protection 2010 SecurityManagement Pack. C¶est-à-dire l¶implémentation des Management Packs dans une infrastructureSystem Center Operations Manager.

1. Théorie

1.1 Historique

Microsoft s¶est lancé en 2006 dans le secteur des logiciels antivirus avec Windows OneCare Live.Ce logiciel destiné aux particuliers disposait d¶un mode de licence particulier offrant la possibilité del¶installer sur 3 ordinateurs dans un seul foyer. Au terme d¶un premier renommage pour intégrer lasuite Windows Live. Windows Live OneCare fut arrêté en novembre 2008. Microsoft n¶abandonnapas cependant l¶idée de se lancer sur ce marché jusqu¶alors principalement occupé par Symantec . Enparallèle, la stratégie de Microsoft fut ensuite différente puisque la firme de Redmond s¶est consacré

au marché des antivirus d¶entreprise en proposant Microsoft Client Protection en 2005. Cettepremière version fut ensuite renommée en 2007 :Forefront Client Security (FCS). Cet antivirusreprenant les bases de OneCare fut couronné de succès grâce à la stratégie agressive de Microsoftsur le prix des licences. Fin 2009, Microsoft se relance dans l¶aventure de l¶antivirus dédié auxparticuliers. Fort de son succès avec FCS , Microsoft lance Windows Security Essentials, unantivirus gratuit. Le monde de l¶informatique fut agréablement surpris de la qualité de l¶antivirus et deses performances générales. Aujourd¶hui, FCS se fait vieux et les attentes sont nombreuses. C¶estainsi que Microsoft annonce début 2010 la sortie d¶une nouvelle version de son antivirus d¶entreprisequi sera rebaptisée : Forefront EndPoint Protection.



1.2 Présentation

Forefront EndPoint Protection 2010 signe un changement dans le fonctionnement de la gammed¶antivirus pour entreprise de Microsoft. Contrairement à Forefront Client Security (FCS) qui était

construit sur une version spécifique de Microsoft Operations Manager (MOM) 2005 ; FEP 2010 est luiconstruit sur la base de la gamme System Center. Ainsi, le produit est séparé en deux modules :

y Forefront EndPoint Protection 2010 : Ce module est le corps du produit. Il s¶intègre à SystemCenter Configuration Manager 2007 pour offrir les outils nécessaires à l¶administrationquotidienne des clients (déploiement de l¶agent, application des stratégies«).

y Forefront EndPoint Protection 2010 Security Management Pack anciennement connu sous lenom Forefront EndPoint Protection for Server (FEP-S) durant les phases de bêta. Ce moduleest un pack d¶administration (MP) qui s¶intègre à System Center Operations Manager 2007pour offrir une couche de supervision des services d¶alerte FEP, des jobs de l¶agent SQL quicopie les données de la base de données FEP vers le Data Warehouse FEP, ou encore lesévénements générés par les serveurs FEP.

Note : Nous n¶aborderons pas l¶implémentation de Forefront EndPoint Protection 2010 SecurityManagement Pack dans cet article.

1.3 Fonctionnement

L¶infrastructure Forefront EndPoint Protection 2010 est constituée des éléments suivants :

y La base de données Forefront EndPoint Protection 2010 : La base de données FEPstocke toutes les informations d¶état renvoyées par les clients, les collections, lesappartenances aux collections, les stratégies, etc«

y La base de données de Reporting Forefront EndPoint Protection 2010 : La base dedonnées de Reporting correspond au Data WareHouse (entrepôt de données) qui stockerales données nécessaires aux rapports).

y Le serveur de site Configuration Manager et son extension pour FEP 2010: Ce rôlecorrespond au serveur de site System Center Configuration Manager. Il ajoute simplement lescomposants nécessaires à l¶administration de FEP avec SCCM. Ceci inclut les collectionsFEP, les packages et programmes, les lignes de base FEP pour la gestion des configurationsdésirées.

y FEP 2010 Reporting and Alerts permet l¶installation des composants de supervision del¶infrastructure FEP.

y La console Configuration Manager et son extension pour FEP 2010 correspond àl¶extension de System Center Configuration Manager 2007 nécessaire à l¶ intégration de FEP.

L¶administrateur du parc informatique gère tout à partir de la console d¶administration ConfigurationManager. Les stratégies et les opérations sont appliquées au client FEP au travers du client SCCM.Le client FEP remonte son état en utilisant des lignes de base primordiales au fonctionnement duproduit. Ces données sont stockées dans la base de données FEP. En parallèle l¶administrateur peutaussi utiliser des lignes de base par défaut pour connaître l¶état de conformité du client. De manièrerégulière, une opération de stockage a lieu afin de synchroniser la base de données FEP avecl¶entrepôt de données (Data WareHouse) utilisé pour les rapports.



1.4 La haute disponibilité



Comme expliqué plus tôt, Forefront EndPoint Protection 2010 est une couche supplémentaireapportée à System Center Configuration Manager. Ceci fait de Forefront EndPoint Protection 2010 unpiètre élève dans la cours des produits hautement disponible puisque celui-ci est dépendant desservices de System Center Configuration Manager. En effet, i l est difficile de rendre SCCM hautementdisponible. Vous pouvez rendre certains rôles hautement disponibles comme le Management Point, leSoftware Update Point, ou la base de données. Néanmoins, le serveur de site ne peut faire partie dece plan.

Microsoft recommande l¶utilisation :

y D¶un cluster SQL Server pour la base de données de reporting Forefront EndPoint Protectiony Des Management Packs System Center Operations Manager pour superviser les services

Forefront EndPoint Protection

Pour plus d¶informations, rendez-vous : http://technet.microsoft.com/en-us/library/gg412484.aspx

1.5 Plan de reprise d¶activité

Le plan de reprise d¶activité doit prendre en compte la sauvegarde préalable des différentscomposants comme notamment System Center Configuration Manager 2007. Celle-ci est assurée par une tâche de maintenance qui sauvegarde à la fois la base de données mais aussi l¶ensemble desfichiers de configuration nécessaires. Dans le cadre de Forefront EndPoint Protection, cette tâchesauvegarde les stratégies, les paramétrages effectués dans SCCM et les publications.Vous devez aussi sauvegarder la base de données de reporting Forefront EndPoint Protection(FEPDW_<SITECODE>) en utilisant la solution de sauvegarde SQL Server.

Microsoft propose ensuite deux procédures de restauration. La première concerne la restauration du site System Center Configuration Manager quand il estvictime d¶un Crash », il est alors nécessaire de le remplacer. Vous devez enchainer les étapessuivantes :

1. Restaurer System Center Configuration Manager 2. Restaurer la base de données de Reporting si cela est nécessaire3. Installer Forefront EndPoint Protection en utilisant l¶option reuse existing database »

La seconde procédure est à utiliser lorsque le serveur de la base de données de reporting ForefrontEndPoint Protection est devenu indisponible. Vous devez suivre les étapes :

1. Restaurer SQL Server et la base de données de rapport FEP2. Désinstaller la fonctionnalité de reporting FEP sur le serveur où elle est installée.3. Installer Forefront EndPoint Protection en utilisant l¶option

¡

reuse existing database »

Pour plus d¶informations, consultez : http://technet.microsoft.com/en-us/library/gg477037.aspx

1.6 Licensing

Forefront EndPoint Protection 2010 dispose de licences pour l¶infrastructure serveur et pour lesclients. Les clients peuvent utiliser des licences par utilisateur ou par périphérique. En parallèle, leslicences pour System Center Configuration Manager R2 ou R3 sont nécessaires pour gérer centralement les clients.



On distingue deux suites de produit :

Standalone Products Enterprise CALSuite

Forefront ProtectionSuite

Forefront Endpoint Protection 2010

Forefront Protection 2010 for Exchange Server

Forefront Protection 2010 for SharePoint

Forefront Security for Office CommunicationsServer Forefront Online Protection for Exchange

Forefront TMG Web Protection Service

Other Server CALs and technologies

La suite Entreprise inclut les licences nécessaires pour System Center Configuration Manager et pour le système d¶exploitation.

Côté client, les prix annoncés sont les suivants :

Estimated Prices

Microsoft Forefront Endpoint Protection2010 $8.64 US par utilisateur ou par périphérique, par an

2. Implémentation : Installation duserveur

Cette partie va traiter l¶installation de la solution serveur de Forefront EndPoint Protection. Vouspourrez y retrouver les différents prérequis et la procédure d¶installation.

2.1 Prérequis

2.1.1 Prérequis Matériel

Les prérequis matériels nécessaires à l¶installation d¶un serveur Forefront EndPoint Protection sont lessuivants :

y Mémoire : 2GB de RAMy Espace disque disponible :

o Serveur FEP : 600 MBo Base de données FEP : 1.25 GBo Base de données des rapports FEP : 1.25 GB

Il est à noter que les prérequis peuvent varier en fonction de la répartition des rôles ou de la chargeimposée au serveur.



2.1.2 Prérequis Logiciels

L¶installation de l¶infrastructure Forefront EndPoint Protection 2010 nécessite certains prérequis parmiles suivants :

y

Système d¶exploitation : Windows Server 2003 SP2 ou plusy Aucune version de FEP ne doit être installée sur le serveur y Aucune autre protection antivirus doit être installé sur le serveur y Windows Installer 3.1 ou plus doit être présenty Le .NET Framework 3.5 SP1 doit être installéy Les Prérequis SQL Server :

o Vous pouvez utiliser : SQL Server 2005 SP3 Standard ou Entreprise, SQL Server 2008 Standard ou Entreprise, SQL Server 2008 R2 Standard ou Entreprise.

o Le SPN (Service Principal Name) du compte de service exécutant SQL Server doitêtre enregistré auprès du domaine. Pour plus d¶informations, je vous renvoiesur : http://technet.microsoft.com/fr-fr/library/bb735885.aspx

o Le service de l¶agent SQL Server doit être lancé et dans un mode de démarrageautomatique.



o Le compte utilisateur exécutant l¶installation de FEP sera propriétaire des bases dedonnées et jobs suivants :

FEPDB_XXX (database) FEPDW_XXX (database) FEP_DataWarehouseMaintenance_FEPDW_XXX (job) FEP_DB_Maintenance_FEPDB_XXX (job) FEP_GetNewData_FEPDW_XXX (job) FEP_GetNewDataOnInstall_FEPDW_XXX (job)

o SQL Server Analysis Services : Le compte utilisateur exécutant l¶installation de FEP doit faire partie du rôle

¢ server admini strat or » sur le serveur SQL Server Analysis. Ce service doit être installé sur le même serveur et sur la même instance

SQL Server qui héberge la base de données de Reporting. Ce scénario doitêtre envisagé si vous souhaitez éclater les rôles Forefront EndPointProtection.

L¶ordinateur exécutant SQL Server Analysis Services doit disposer desexceptions firewall suivantes :

SQL Server (TCP 1433) ouvert pour le traffic entrant SQL Server Analysis Services (TCP 2383) ouvert pour le traffic

entrant Pour plus d¶informations sur la configuration Firewall pour l¶accès àSQL Server, rendez-voussur : http://go.microsoft.com/fwlink/?LinkId=128365

o SQL Server Reporting Services doit être installé et correctement configuré pour assurer la fonctionnalité de rapports

o SQL Server Integration Services doit être installé

y System Center Configuration Manager 2007 Service Pack 2 doit être installé avec l¶ensembledes rôles par défaut. La fonctionnalité Reporting Services de SCCM R2/R3 doit être installéeet convenablement configurée.

y Les agents du client Configuration Manager suivants doivent être activés et configurés :o Hardware Inventoryo Advertised Programso Desired Configuration Management

Pour activer ces agents, ouvrez la console d¶administration System Center Configuration Manager sur le site où vous souhaitez installer Forefront EndPoint Protection. Déroulez l¶arborescence SiteDatabase => Site Management => <SITECODE> - <SITENAME> => Site Settings => Client Agents :



Ouvrez les différents agents cités plus haut et assurez-vous que ceux-ci sont activés et correctementconfigurés :



y Les machines où vous installerez les composants d¶extension de la console ConfigurationManager 2007 pour Forefront EndPoint Protection 2010 (ceci inclut la console du serveur desite, les consoles sur les postes des administrateurs«) nécessitent l¶installation dela KB2271736 afin d¶ajouter la classe WMI ManagementClass. Vous pouvez télécharger lamise à jour à partir de ce lien : http://go.microsoft.com/fwlink/?LinkId=203936

y Aucun redémarrage ne doit être en attente avant de commencer l¶installation de ForefrontEndPoint Protection.

Vous trouverez plus d¶informations sur les prérequis sur la documentationTechnet : http://technet.microsoft.com/en-us/library/ff823830.aspx

L¶installation et la configuration de ces prérequis (SQL Server«) afin d¶assurer la validité del¶installation de Forefront EndPoint Protection ne sera pas détaillée dans cet article.


http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 10/

Pour ce qui est de la gestion des sites Configuration Manager au travers d¶une hiérarchie avecForefront EndPoint Protection 2010, je vous renvoie vers le lien de la documentationTechnet : http://technet.microsoft.com/en-us/library/gg412503.aspx

2.2 Installation

Procurez-vous les sources de Forefront EndPoint Protection 2010 dans l¶architecture de la machineoù vous aller installer le produit. Lancez l¶exécutable £ serversetup.exe ».

Une fois l¶assistant d¶installation ouvert, renseignez les informations d¶enregistrement du produit :

Sur l¶écran suivant, acceptez les termes du contrat de licence :



La page suivante vous propose les options d¶installation. On retrouve 4 types d¶installation :

y Basic Topology : Cette topologie est la plus simple. Elle permet l¶installation de l¶ensembledes composants (base de données, extension du serveur de site SCCM, extension de laconsole et composants de reporting) sur le serveur de site SCCM. Elle permet ainsi decentraliser l¶ensemble des fonctionnalités sur une même machine et réduit ainsi les étapes deconfiguration de l¶assistant.

y Basic topology with remote reporting database permet l¶installation de l¶extension duserveur de site, de la base de données FEP, de l¶extension de la console, et des composantsde rapports sur le serveur en cours. Elle permet néanmoins le déport de la base de donnéesde Reporting (Data warehouse) sur une autre machine.

y Advanced topology autorise la personnalisation complète de l¶installation. Vous pouvez ainsichoisir de répartir les rôles comme bon vous semble.

y Install only Configuration Manager Console Extension for FEP 2010 rend possiblel¶installation seule de l¶extension Forefront EndPoint Protection 2010 pour la consoleConfiguration Manager 2007. Cette option se prête généralement au scénario permettant auxadministrateurs de la solution de mettre à jour la console sur leur poste de travail.

Dans le cadre de cet article, nous aborderons le cas le plus général : La topologie basique. Nousallons donc concentrer l¶ensemble des rôles sur une seule et unique machine : notre serveur de siteSCCM. Néanmoins, nous allons passer par l¶option d¶installation la plus personnalisable àsavoir Advanced Topology pour détailler au mieux les options offertes.



Sur l¶écran suivant, vous pouvez choisir ce que vous souhaitez installer :

y Configuration Manager Site Server FEP 2010 Extension : L¶extension FEP pour le serveur de site permet l¶ajout des collections FEP, des packages et programmes, des lignes de baseFEP pour la gestion des configurations désirées. Cette option d¶installation doit être exécutéesur le serveur de site SCCM.

y FEP 2010 Reporting and Alerts permet l¶installation des composants de supervision del¶infrastructure FEP. Si vous n¶installez pas ce composant sur le serveur de site SCCM, vousdevez configurer les permissions DCOM adéquates pour l¶accès aux consoles. Vous pouvezpour cela consulter le lien suivant : http://technet.microsoft.com/en-us/library/gg477021.aspx#BKMK_ToInstallFEP2010ReportingAndAlerts.Notez que cette option installe le client FEP 2010 sur la machine avec des paramétragespersonnalisés.

y Configuration Manager Console Extension for FEP 2010 installe les fichiers nécessaires àl¶intégration des composants d¶administration dans la console System Center ConfigurationManager 2007.



La page suivante permet la configuration des informations de la base de données FEP. Celle-ci doitêtre installée sur le même serveur/instance qui héberge la base de données Configuration Manager.Vous pouvez personnaliser le nom de la base de données FEP :



L¶écran Reporting Configuration permet de spécifier les informations nécessaires à l¶installation desfonctionnalités de Reporting. Vous pouvez ainsi y entrer le nom du serveur, l¶instance et le nom de labase de données qui hébergeront les données de Reporting (Data warehouse). Enfin vous devezspécifier les informations du compte utilisé par le serveur de rapport pour accéder à la base dedonnées de Reporting FEP 2010.



L¶étape suivante vous permet de configurer les options de mise à jour du produit et de participation auprogramme d¶amélioration :



La page suivante vous permet de joindre le programme Microsoft SpyNet. Ce programme est uneinitiative de Microsoft comme il en existe chez ses concurrents permettant de rejoindre unecommunauté afin d¶enrayer la propagation des logiciels malveillants et indésirables. Le programmepermet par exemple d¶être avisé des logiciels non analysés et de savoir si les autres membres ontpermis ou refusés les changements initiés par ceux-ci. Le programme permet notamment à Microsoftde détecter plus rapidement les menaces et ainsi de consolider les besoins d¶analyse sur lesvéritables alertes.On distingue deux types d¶abonnements :

y Basic SpyNet membership permet d¶envoyer à Microsoft des informations concernant leslogiciels malveillants détectés. Ces informations peuvent être l¶origine du logiciel, l¶actionentrepris, son échéance (succès ou échec) .

y Advanced SpyNet membership permet d'être avisé des logiciels dont les risques n'ont pas

été analysés, vous pouvez voir si d'autres membres de la communauté permettent ourefusent les logiciels ou les changements effectués par les logiciels. Ces informations peuventvous aider à prendre votre décision. De la même façon, vos choix sont ajoutés aux différentsclassements et aident les autres membres à prendre une décision. Vous pouvez être avertiface à un logiciel qui n'a pas encore été classé en fonction des risques.



L¶écran suivant permet de spécifier le répertoire d¶installation et d¶obtenir une vision des prérequisd¶espace disque :



L¶étape suivante correspond à la vérification des prérequis. Si vous avez raté un prérequis, vousobtiendrez un écran avec des erreurs comme suit :



Vous pouvez obtenir plus de détail sur l¶erreur en cliquant sur ¤ More« ». Ceci vous permettra derésoudre le problème :



Sinon si vous avez suivi la partie 2.1.2 et correctement configuré l¶ensemble des prérequis cités vousdevez obtenir l¶écran suivant :



L¶écran qui suit correspond au résumé d¶installation. Vous pouvez rapidement revoir les différentesoptions et procéder à l¶installation :



Lorsque l¶installation est déroulée, l¶ensemble des composants doivent être installés avec succès :

Avant de fermer l¶assistant d¶installation, vous pouvez vérifier les mises à jour sur Microsoft Update.Vous devrez ensuite procéder au redémarrage de l¶ordinateur pour finaliser l¶installation :

Vous pouvez consulter les fichiers de journalisation liés à l¶installation dans : c:\Pr og ramData\Micr osof t F oref r ont\Support\Server\ServerSetup_<Date>_<Heure>.l og

2.3 Migration FCS vers FEP



Comme expliqué plus tôt, Forefront EndPoint Protection 2010 introduit un véritable changement dansle fonctionnement de la gamme d¶antivirus pour entreprise de Microsoft. Contrairement à ForefrontClient Security (FCS) qui était construit sur une version spécifique de Microsoft Operations Manager (MOM) 2005 ; FEP 2010 est lui construit sur la base de la gamme System Center. De ce fait, ceciimplique des changements en profondeur.

Forefront EndPoint Protection 2010 ne permet pas une migration à proprement parler avec des

scénarios In-Place ou Side-by-Side.

Voici la marche à suivre :

1. Dans la console FCS, documentez l¶ensemble des paramétrages de chacune des stratégiesque vous utilisiez pour pouvoir ensuite les recréer dans FEP.

2. Dans WSUS, désactiver l¶approbation sur les packages d¶installation FCS.3. Installez Forefront Endpoint Protection avec votre infrastructure System Center Configuration

Manager 20074. Recréez les stratégies FEP avec les paramétrages que vous avez documentés en amont sur

votre serveur FCS.5. Déployez massivement le client FEP. Celui-ci procédera à la migration de vos postes de

travail en désinstallant le client FCS et en procédant à l¶installation du nouveau client FEP.6. Désinstallez ensuite l¶infrastructure FCS une fois que l¶ensemble des clients auront été migrés

sur FEP.

2.4 Migration FCS vers FEP

L¶installation de Forefront EndPoint Protection 2010 (FEP) correctement déroulée, vous pouvez ouvrir la console d¶administration de System Center Configuration Manager 2007. Nous allons détailler dans cette partie les brefs changements apportés à la console d¶administration.

Déroulez l¶arborescence Site Database => Computer Management => Collections. On retrouve ainsi une collection FEP Collections contenant différentes sous collections. Ces souscollections sont bloquées et ne peuvent être supprimées. Le contenu des requêtes dynamiques ainsique les paramétrages sont eux aussi non modifiables. Ces collections permettent ainsi de vous

donner un aperçu de l¶état des clients avec notamment des informations sur :

y L¶état des définitions (date)y L¶état du déploiement du client FPS (En échec, En attente, déployé, non ciblé«)y Une collection dédié aux opérations ; Cette collection peut être utilisé pour toutes les

opérations sur le client FEP (Lancement d¶un scan «)y L¶état de la distribution des stratégies (distribuée, en attente, en échec)y L¶état de la protection (Activé, non reportée, service désactivé)

y L¶état de la sécurité (Scan complet requis, infecté, redémarrage requis «)

Toujours dans l¶arborescence Site Database => Computer Management. Vous retrouvez lenud Forefront EndPoint Protection :



Dans la partie Software Distribution, on retrouve trois packages :

y Microsoft Corporation FEP ±Deployment 1.0 contient deux programmes permettantl¶installation et la désinstallation du client FEP.

y Microsoft Corporation FEP ± Operations 1.0 fournit trois programmes fournissantdifférentes opérations de maintenance

y Microsoft Corporation FEP ± Policies 1.0 fournit deux programmes permettant d¶appliquer les politiques par défaut.

Associé à ces packages, on retrouve deux dossiers dédiés aux publications : FEP Operations et FEP

Policies.

Nous détaillerons le nud Forefront EndPoint Protection ainsi que les packages plus loin dansl¶implémentation.

3. Implémentation : Installation duclientMaintenant que l¶infrastructure serveur est correctement installée et fonctionnelle, nous pouvonspasser à l¶installation et au déploiement à grande échelle du client.

3.1 Prérequis

Cette partie liste les différentes considérations à prendre en compte lors de l¶installation du client sur une machine.

3.1.1 Prérequis Matériel

Les prérequis matériels nécessaires à l¶installation d¶un client Forefront EndPoint Protection sont lessuivants :

y CPU :o Windows XP : 500 MHz ou pluso Windows Vista ou Windows 7 : 1.0 GHz ou plus

y Mémoire :o Windows XP : 256 MB de RAM ou pluso Windows Vista ou Windows 7 : 1 GB de RAM ou plus

y Espace disque disponible : 300 MB

3.1.2 Prérequis Logiciels



L¶installation de l¶infrastructure Forefront EndPoint Protection 2010 nécessite certains prérequis parmiles suivantes :

y Systèmes d¶exploitation : Windows XP SP3 (x86), Windows VISTA RTM ou plus (x86 ou x64),Windows 7 RTM (x86 ou x64), Windows 7 XP mode, Windows Server 2003 SP2 (x86 ou x64),Windows Server 2008 RTM ou plus (x86 ou x64), Windows Server 2008 R2 (x64) ou plus,Windows 2008 R2 Server Core (x64) Notez que la version Server Core de Windows Server 2008 n¶est pas supportée par le clientFEP. Les versions : Windows 7 Starter, Windows Home Premium, Windows Vista Basic, WindowsVista Home Premium, Windows XP Home Edition supportent l¶installation manuelle des clientsmais ne peuvent recevoir les stratégies (policies) du serveur.

y Un client System Center Configuration Manager fonctionnel. Le site auquel appartient le clientSCCM doit avoir un serveur FEP installé.

y Windows Installer 3.1y Le package de correctifs de gestionnaire de filtre pour Windows XP SP2 (KB914882)y WFP (Windows Filtering Platform) un pilote de correctif logiciel cumulatif pour Windows Vista,

Windows Server 2008, Windows 7 et Windows Server 2008 R2 (KB981889)

y Windows Update

L¶installation du client Forefront EndPoint Protection procède à la désinstallation automatique desantivirus suivants si ceux-ci sont présents sur la machine :

y Symantec Endpoint Protection version 11y Symantec Corporate Edition version 10y McAfee VirusScan Enterprise version 8.5 and version 8.7 and its agenty Forefront Client Security version 1 and the Operations Manager agent

y TrendMicro OfficeScan version 8 and version 10

Vous trouverez plus d¶informations sur les prérequis de déploiements du client Forefront EndPointProtection sur : http://technet.microsoft.com/en-us/library/ff823900.aspx

3.2 Installation

Après avoir revu les prérequis, nous allons pouvoir commencer la procédure de déploiement demasse du client. Nous n¶aborderons pas dans cet article l¶installation manuelle du client. Pour cela, jevous renvoie vers la documentation Technet : http://technet.microsoft.com/en-us/library/ff823774.aspx ou http://technet.microsoft.com/en-us/library/gg412485.aspx

3.2.1 Distribution du package

Après avoir installé Forefront EndPoint Protection vous disposez des packages et des programmesnécessaires à l¶installation du client. Néanmoins, vous devez d¶abord rendre disponible ce package

sur les points de distribution de votre environnement. Pour cela, ouvrez la console d¶administrationSystem Center Configuration Manager 2007. Déroulez l¶arborescence : Site Database => C omputer Manag ement => S of tware Di stributi on => Packag e => M icr osof t C orporati on FEP ± Depl oyment 1.0 => Di stributi on P oint s :



Cliquez droit sur le nud Distribution Points et sélectionnez New Distribution Points. L¶assistants¶ouvre, passez l¶écran de bienvenue. A l¶étape Copy Package, sélectionnez les points de distribution sur lesquels vous souhaitez rendredisponible le package :



Après avoir fermé l¶écran de confirmation, dirigez-vous dans Package Status => Package Status =><SITECODE> - <SITENAME> et validez que le package a bien été déployé sur le point dedistribution :



3.2.2 Création de la publication

Maintenant que le package est disponible nous allons pouvoir créer la publication nécessaire à ladistribution et l¶installation du client FEP sur les machines. Pour cela, dirigez-vous dans lenud Programs du package Micr osof t C orporati on FEP ± Depl oyment 1.0 . Cliquez droit sur leprogramme Install, sélectionnez Di stribute puis S of tware.



Passez l¶écran de bienvenue, vous pouvez ensuite choisir quelle collection sera la cible dudéploiement. Vous pouvez ainsi cibler une collection existante ou créer une nouvelle collection. FEPnous fournit des collections proposant des requêtes dynamiques. Parmi celles-ci, on retrouve descollections donnant le statut du déploiement. L¶utilisation de la collection

¥

N ot Targeted » permet decibler les clients Configuration Manager ne disposant pas déjà du client FEP.



Spécifiez ensuite le nom de la publication et le commentaire associé :



La page suivante permet de configurer le comportement de la publication vis-à-vis des souscollections. Par défaut la publication est propagée et héritée par les clients des sous collections de¦ N ot Targeted ».

L¶étape Adverti sement Schedule permet de spécifier les informations (date et heure) de publication duprogramme et si celui-ci doit expirer :



Sur l¶écran Assi g n Pr og ram, cochez § Yes, assign the program´ et spécifiez les informationsd¶assignement (date et heure) :



Validez le résumé et la confirmation pour procéder à la création de la publication.

Dans l¶état cette publication assigne et procède à l¶installation du client sur les postes de travail dèsque possible. Le programme est configuré pour s¶exécuter en silencieux sans qu¶aucune notificationne dérange l¶utilisateur.

3.2.3 Validation du déploiement

On se connecte sur le client et on rafraichie les différentes stratégies afin de récupérer les ordres depublication. Après quelques minutes, on peut confirmer que plusieurs processus sont en coursd¶exécution : cscript.exe, epplauncher.exe, FEPInstall.exe.



On retrouve aussi un dossier caché à la racine du disque local contenant l¶ensemble des binaires

nécessaires à l¶installation :



Après installation, le client FEP procède à la récupération des mises à jour auprès de son serveur :



L¶installation du client a opéré l¶installation du correctif de sécurité WPF (KB981889) :



Sur le client toujours, vous retrouvez différents fichiers de journalisation relative au client ForefrontEndPoint Protection 2010. Ceux-ci sont stockés dans :

y %ProgramData%\Microsoft \Microsoft Security Client \Support pour Windows 7, WindowsServer 2008, et Windows Server 2008 R2

y %allusersprofile%\Microsoft \Microsoft Security Client \Support pour Windows XP,Windows Vista, et Windows Server 2003

Fichier de journalisation Description

EppSetup.log Fichier de journalisation principal del¶installation.



MSSecurityClient_Setup_epp_install.log Fichier de journalisation del¶installation de l¶extensiond¶administration et de l¶interfaceutilisateur.

MSSecurityClient_Setup_FEP_install.log Fichier de journalisation del¶installation de l¶extension

Configuration Manager.

MSSecurityClient_Setup_mp_ambits_install.log Fichier de journalisation del¶installation du service Antimalware.

MSSecurityClient_Setup_epploc_x86_Install or MSSecurityClient_Setup_epploc_x64_Install

Fichier de journalisation del¶installation des ressourceslocalisées.

MSSecurityClient_Setup_amloc-%locale% _install Fichier de journalisation del¶installation des ressourceslocalisées pour le serviceantimalware.

MSSecurityClient_Setup_KB981889 _Install.evtx Le fichier de journalisation pour l¶installation du correctif KB981889. Seulement sur Windows7 ou Windows Server 2008 R2.

MSSecurityClient_Setup_dw20shared_Install.log Le fichier de journalisation pour l¶installation de Dr. Watson(seulement sur Windows XP, etseulement s¶il n¶était pas présent).

S ource : Technet

Sur la console d¶administration Configuration Manager, vous pouvez aussi suivre les différents états

des machines lors du déploiement du client SCCM avec la collection Deployment Status et ses souscollections :

y Removed : Les ordinateurs dans cette collection sont des machines qui disposaient du clientFEP avant qu¶ils soientt désinstallés manuellement.

y Failed liste les machines où le déploiement a échouéy Pending : comporte les machines où le déploiement n¶a pas encore démarré. Ceci peut se

traduire par des machines connectées n¶ayant pas encore reçu la publication.y Out of date : donne les machines disposant d¶un client FEP d¶une ancienne versiony Deployed : liste toutes les machines où le client s¶est correctement déployé.



3.3 Présentation du client

Voici quelques informations importantes prenant part lors de l¶installation du client Forefront EndPointProtection :

y Le client s¶installe automatiquement dans le dossier %programfiles%\Microsoft Security Clienty L¶installation du client active automatiquement Windows Update et configure l¶installation

automatique des mises à jour.

Notez que pour les serveurs de fichiers, il peut être important de désactiver la protection en temps réelpour éviter des problèmes de performance. Pour cela, vous devez créer une stratégie spécifique àces machines.

Le client Forefront est constitué de plusieurs parties :



La page d¶accueil permet d¶avoir un bref aperçu de l¶état du client et des définitions antivirales. Il estpossible à partir de cet écran de lancer des opérations de scan (complet ou partiel).

La page Update permet de connaître la date de création des définitions, la date de dernièrevérification et les versions des définitions de virus et de logiciels malveillants. Il est possible d¶initier àpartir de cet écran, la procédure de mise à jour du client via Microsoft Update, WSUS et les différentscheminS UNC renseignéS comme source des définitions.

L¶écran History permet de visualiser l¶ensemble des objets détectés par Forefront EndPoint Protectioncomme potentiellement nuisibles.



La page Settings permet de configurer l¶ensemble des paramétrages du client Forefront EndPointProtection. On retrouve ainsi :

y Les programmations des scansy Les actions par défaut lorsqu¶une menace est trouvéey Les paramétrages de la protection en temps réely Les répertoires ou fichiers exclus de la recherchey Les types de fichiers exclus de la recherchey Les processus exclus de la recherchey Les paramétrages avancés (notifications, paramétrages de recherche, suppression des

fichiers«)

Par défaut, la stratégie dédiée au poste de travail n¶autorise aucune modification de paramétrage.

3.4 Test de l'antivirus

Cette partie traite du test de l¶antivirus Forefront EndPoint Protection. Nous allons soumettre celui-ciau test EICAR fournit par le groupe européen de la sécurité Informatique. Ce fichier est un faux négatif utilisé pour tester les antivirus. Il n¶a aucune incidence sur le système. Depuis sa création en 2006, ce

fichier de test a été largement utilisé et n¶a plus vraiment d¶intérêt. Il permet néanmoins de tester lafonction de protection en temps réel avec analyse du flux http et https pour détecter ce genre demenace juste après le téléchargement. Il a aussi servi à générer les alertes fournies par Forefront quevous verrez plus loin dans cet article.

Dirigez-vous sur http://www.eicar.org :

Il est possible de tester l¶antivirus en téléchargeant les fichiers zippéS ou non sur les protocoleshttp/https. Une fois le téléchargement lancé, le client Forefront EndPoint Protection lève une alerte etpropose de nettoyer la machine :



L¶action de nettoyage proposée est la suppression du fichier incriminé. Vous pouvez changer d¶actionen fonction du niveau de sévérité détecté et appliquer les actions.

Une fois l¶action terminée, Forefront vous donne le statut de l ¶action :

Vous pouvez ensuite visualiser dans l¶historique du client, l¶ensemble des éléments qui ont étédétectés et les différentes actions qui ont été appliquées :

De la même manière si on désactive la protection en temps réel et qu¶on télécharge le fichier, celui-cin¶est pas neutralisé lors du téléchargement mais lors de l¶analyse de la machine :

4. Administration

Les tâches d¶administration du produit passent par dif férentes composantes comme la gestion desstratégies s¶appliquant aux clients, la gestion des mises à jour, la gestion des opérations demaintenance, la gestion des alertes, ou la surveillance de l¶état de l¶infrastructure au travers desrapports. Cette partie vous permettra d¶aborder tous ces concepts.

4.1 Gestion des stratégies (Policies) La gestion des stratégies est la tâche la plus importante qu¶un administrateur doit opérer sur l¶infrastructure FEP. Les stratégies (Policies) sont un ensemble d¶éléments/paramétrages s¶appliquantau client Forefront EndPoint Protection. Elles permettent de régir le comportement du client. Onretrouve ainsi la gestion :

y De la programmation des scansy De la protection en temps réely Des notifications,



y Des actions face à une menacey Des exceptions (fichiers, types de fichiers, processus«)

y Les répertoires ou fichiers exclus de la recherche

Pour visualiser les stratégies, ouvrez la console d¶administration Configuration Manager. Déroulez

l¶arborescence Site Database => Computer Management => Forefront EndPoint Protection =>Policies.

4.1.1 Les stratégies par défaut

Forefront EndPoint Protection fournit deux stratégies par défaut s¶appliquant à tous les clients :

y Default Server Policy s¶applique à toutes les machines de type serveur. Elle est appliquée autravers d¶une publication (Assign FEP policy Default Desktop Policy) sur lacollection Depl oy ed S ervers.

y Default Desktop Policy s¶applique à toutes les stations de travail. Elle est appliquée autravers d¶une publication (Assign FEP policy Default Server Policy) sur la collection Depl oy ed

Deskt o ps.



Vous ne pouvez pas supprimer les stratégies par défaut et ce afin d¶assurer le bon fonctionnement del¶infrastructure. De cette façon, une stratégie est toujours appliquée à un client FEP. Vous pouveznéanmoins facilement éditer les propriétés de la stratégie pour modifier les différents paramètres.

Il est conseillé de ne pas les modifier car celles-ci ont été construite comme un standard s¶appliquantaux deux types de profil. Si vous souhaitez appliquer des paramètres spécifiques, vous pouvez créer une nouvelle stratégie (Policy) qui prendra le dessus sur la stratégie par défaut.

Nous n¶allons pas détailler ici écran par écran les différents paramétrages. Néanmoins, vous pouveztrouver des tableaux regroupant les principales différences entre les deux stratégies.

Note : Nous détaillerons la signification de chaque paramètre lors de la création des stratégiespersonnalisées.

Voici les paramétrages pour chacune des stratégies par défaut en ce qui concerne les analysesprogrammées :

Scheduled Scans (params) Default Desktop Policy Default Server Policy Activé Oui Non

Type d¶analyse Analyse Hebdomadaire rapide Aucune

Programmation (Jour) Samedi -Programmation (heure) 03h00 -

Vérification des mises à jour avant de démarrer l¶analyse

Oui -

Analyse uniquement quandl¶ordinateur n¶est pas utilisé

Oui -

Randomiser le démarrage del¶analyse programmée(intervalle de 30 min)

Oui -

Force une analyse lors dudémarrage du poste si plusde deux analyses ont étémanquées

Non -

Limite l¶utilisation CPUdurant les analyses

Oui (50%) Oui (30%)

Autorise l¶utilisateur àconfigurer l¶usageprocesseur pour les analyses

Non Non

Contrôle de l¶utilisateur sur les analyses programmées

Aucun contrôle Aucun contrôle

Le tableau suivant récapitule les actions utilisées par défaut lors de la découverte d¶une menace :

Default Actions (params) Default Desktop Policy Default Server Policy

Sévère Utilise l¶action recommandée Utilise l¶action recommandéeHaute Utilise l¶action recommandée Utilise l¶action recommandéeMoyenne Mise en quarantaine Mise en quarantaine

Faible Autorise Autorise

Ce tableau rassemble les paramètres des deux stratégies par défaut en ce qui concerne la protectionen temps réel :



Real-time protection (params) Default Desktop Policy Default Server Policy

Activée Oui Oui

Analyse des fichiers système Analyse des fichiers entrants etsortants

Analyse des fichiers entrants etsortants

Analyse tous les fichierstéléchargés et pièces jointes

Oui Non

Utilise la supervision du

comportement

Oui Oui

Active la protection contreles exploits réseau

Oui Non

Autorise l¶utilisateur àconfigurer les paramétragesde la protection en tempsréelle

Non Oui

Vous trouvez ci-dessous trois tableaux regroupant les exclusions de répertoires, de fichiers, de typesde fichiers et de processus pour les stratégies par défaut :

Excluded files and locations Default Desktop Policy Default Server Policy %windir %\SoftwareDistribution \ Datastore

Datastore.edb Res*.log

Res*.jrs

Edb.chk

Tmp.edb


Res*.jrs

Edb.chk

Tmp.edb%windir %\Security \Database *.edb, *.sdb, *.log

*.chk, *.jrs

*.edb, *.sdb, *.log

*.chk, *.jrs%ALLUSERSPROFILE%\NTuser.pol Oui Oui

%SystemRoot%\system32 \ GroupPolicy \registry.pol

Oui Oui

Excluded files types Default Desktop Policy Default Server Policy

Aucun Auc

Excluded processes Default Desktop Policy Default Server Policy Aucun Auc

Voici les différences entre les deux stratégies en ce qui concerne les paramétrages avancés du clientForefront EndPoint Protection :

Advanced Default Desktop Policy Default Server Policy Analyse des fichiers archivés Oui OuiAnalyse des lecteurs réseau lors desanalyses complètes

Non Non



Analyse des périphériques de stockageamovibles (Clé USB«)

Non Non

Créer un point de restauration systèmeavant de nettoyer l¶ordinateur

Non Non

Afficher un message de notification àl¶utilisateur lorsque une opération(analyse complète, téléchargement de

définitions«) est nécessaire

Non Non

Suppression des fichiers en quarantaine Non NonAutorise l¶utilisateur à configurer lapériode de suppression automatique desfichiers en quarantaine

Non Non

Autorise l¶utilisateur à exclure desrépertoires, fichiers, type de fichiers etprocessus

Non Oui

Overrides Default Desktop Policy Default Server Policy Aucun Auc

Ce tableau résume les différences en ce qui concerne Microsoft SpyNet :

Microsoft SpyNet Default Desktop Policy Default Server Policy Activé Oui OuiAbonnement Basic BasicAutorise l¶utilisateur à changer lesparamétrages SpyNet

Non Non

Le tableau Updates regroupe les paramétrages de mises à jour du client pour les deux stratégies :

Updates Default Desktop Policy Default Server Policy Vérification des définitions (intervalle) Toutes les 8 heures Toutes les 8 heures

Force la mise à jour des définitions sicelle-ci a échoué il y a

1 jour 1 jour

Mise à jour à partir d¶un partage defichier

Non Non

Mise à jour à partir de WSUS ou SCCM Oui OuiMise à jour à partir de Microsoft Update Oui Oui

Voici un récapitulatif des paramétrages de gestion du Firewall Windows pour les deux stratégies par défaut :

Windows Firewall Default Desktop Policy Default Server Policy

Gestion de Windows Firewall Activée DesactivéeRéseau Domaine : Etat du Firewall Activé -



Connexions entrantes Bloquées -Affichage d¶une notification Oui -Réseaux Privés : Etat du Firewall Activé -

Connexions entrantes Bloquées -Affichage d¶une notification Oui -

Réseaux Publics :

Etat du Firewall Activé -Connexions entrantes Bloquées -Affichage d¶une notification Oui -

4.1.2 Création de stratégies personnalisées

Après avoir décortiqué les stratégies par défaut fournies avec Forefront EndPoint Protection, nousallons entrer dans le vif du sujet et voir comment créer une stratégie personnalisée. Nous détailleronsdans cette partie l¶ensemble des étapes de création et d¶édition. Vous trouverez ici la définition de

chaque paramètre.

Pour créer votre stratégie (Policy) personnalisée, ouvrez la console d¶administration ConfigurationManager. Déroulez l¶arborescence Site Database => Computer Management => ForefrontEndPoint Protection => Policies. Cliquez droit sur le nud P olicies et sélectionnez N ew P olic y :

L¶assistant de création d¶une stratégie s¶ouvre. Nous allons créer une stratégie personnalisée qui

s¶appliquera à tous les ordinateurs portables (profils itinérants, commerciaux, consultants«). Entrez lenom de la stratégie et la description :

Sur l¶écran Policy Type, vous devez choisir le type de stratégie que vous souhaitez créer. Lesdifférentes options proposées sont des modèles qui vous permettront d¶adapter la stratégie au besoinémis. On retrouve ainsi 4 types principaux :

y

Standard desktop policy : fournit des paramétrages pour les postes de travail standard. Uneanalyse rapide a lieu par semaine et l¶utilisation du processeur est limitée à 50%y High-security Policy : Cette stratégie donne un niveau de sécurité maximum en incluant des

analyses rapides tous les jours et une analyse complète par semaine. L¶utilisation processeur n¶est pas limitée et la configuration du Firewall est optimisée pour éviter les intrusions.

y Performance optimized policy : Cette stratégie offre une configuration permettant uneprotection sécurité minimale tout en offrant un niveau de performance maximum. L¶usageprocesseur est limité à 30% et une analyse rapide a lieu toutes les semaines.

y Policy template : Cette option permet de sélectionner des modèles de sécurité pour des casbien particuliers comme des rôles serveurs. Les modèles incluent ainsi des paramétrages



spécifiques aux rôles comme des exclusions de fichiers ou de processus. Voici la l iste desmodèles offerts :

o Microsoft SQL Server 2005o Microsoft SQL Server 2008o Internet Information Services (IIS) 6 et 7o System Center Configuration Manager 2007o Microsoft Exchange Server 2007/2010o

FEP Exchange et Microsoft Forefront Protection 2010 for Exchange Server (FPE)o Microsoft SharePoint 2010o Microsoft Office SharePoint® Server 2007 et Microsoft Forefront Protection 2010 for

SharePoint (FPSP)o Domain Controller o Microsoft Hyper-V (host)o Terminal Serviceso DNS Server o DHCP Server o File Serviceso System Center Operations Manager 2007o Server (stratégie par défaut recommandée par Microsoft pour des serveurs)

Nous aborderons plus tard dans cette partie la création d¶une stratégie dédiée à un rôle serveur.

Sélectionnez le type de stratégie ̈ S tandard deskt o p polic y » puis passez à l¶écran suivant :

Sur l¶écran Scheduled Scans, vous pouvez choisir de programmer des analyses en cochant©

schedule t y pe and ti me of scan ». Vous pouvez sélectionner le type et la fréquence des analysesen choisissant :

y Une analyse rapide par semainey Une analyse complète par semainey Une analyse rapide par jour y Une analyse complète par jour

y Une analyse rapide par jour et une analyse complète par semaine.

Vous devez ensuite choisir la programmation (jour et heure) de ces analyses.

La page suivante permet d¶ajouter des exclusions à l¶analyse. Par défaut, on retrouve les exclusionshabituelles du dossier Software Distribution. Il peut être intéressant d¶exclure certains fichiers commedes bases de données afin d¶optimiser le fonctionnement de certains programmes.



A l¶étape Updates, vous pouvez spécifier les différentes méthodes utilisées pour mettre à jour le clientForefront et déployer les nouvelles définitions antivirales. Vous pouvez ainsi :

y Autoriser la mise à jour en utilisant un chemin réseau (UNC)y Autoriser la mise à jour via SCCM ou WSUS (coché par défaut)

y Autoriser la mise à jour à partir de Microsoft Updates (coché par défaut)

L¶écran Client Configuration permet de configurer les interactions entre l¶utilisateur et le client. Vouspouvez ainsi choisir de laisser l¶utilisateur configurer la protection en temps réel ou encore lesprogrammations d¶analyse. Vous pouvez aussi cocher

S how noti f icati on messages t o users on« » pour afficher des notifications à l¶utilisateur lorsque des actions sont nécessaires. Ceci peut secaractériser par le lancement d¶une analyse complète ou le téléchargement des dernières définitions

de virus et de logiciels malveillants.

Validez l¶écran de résumé pour procéder à la création de la stratégie :

Une fois créée, on retrouve notre stratégie dans la liste des stratégies disponibles :

Maintenant que la stratégie est créée, je vous propose de rentrer plus en détail dans les paramétrages

offerts par ces stratégies. Pour cela dans l¶arborescence S ite Database => C om puter M anagement => F oref r ont E nd P oint P r otecti on => P olicies, cliquez droit sur la stratégie et choisissezP r o perties



Une fois la fenêtre des propriétés ouverte, on se retrouve dans l¶onglet General. Cet onglet présentele nom et la description de la stratégie. Vous pouvez y retrouver les collections qui se voient assigner la stratégie.

On retrouve aussi la date de création et de modification ainsi que le numéro de version de la stratégie.Le numéro de version est incrémenté à chaque fois que la stratégie est modifiée.

Ouvrez l¶onglet Antimalware. Dans la partie Scheduled scans, on retrouve les paramétragessuivants :

y S chedule t y pe and ti me of scan : Ce paramétrage permet d¶activer l¶analyse du poste detravail et configure ainsi le type d¶analyse et la programmation

y S can t y pe : permet de configurer le type d¶analyse parmi les choix suivants :o Une analyse rapide par semaineo Une analyse complète par semaineo Une analyse rapide par jour o Une analyse complète par jour o Une analyse rapide par jour et une analyse complète par semaine.

y S can Ti me offre la possibilité de configurer l¶heure à laquelle doit avoir lieu l¶analyse journalière

y W eekl y scan donne deux champs permettant de configurer le jour et l¶heure à laquelle doitavoir lieu l¶analyse hebdomadaire.

y C heck for def initi on updates before starting a scan permet de vérifier les mises à jour dedefinition avant de lancer une analyse.

y S can onl y when the c om puter is not in use : Cette option permet de lancer une analyseuniquement lorsque la machine n¶est pas utilisée par une personne. Elle utilise pour cela letemps d¶inactivité déjà utilisé pour lancer l¶économiseur d¶écran.

y R and omize scheduled scan start ti mes : Ce paramètre s¶il est activé permet de lancer

l¶analyse dans un intervalle de temps aléatoire compris entre la date de programmation et les30 prochaines minutes. Cette option permet d¶éviter que tous les postes de travail ciblés par lastratégie démarrent en même temps l¶analyse.

y F orce a scan upon restart when tw o or more scheduled scans are missed : Cette optionpermet de forcer l¶analyse au démarrage lorsque deux ou plusieurs analyses programméesont été ratées. Ceci est très pratique si le poste de travail a été hors ligne (éteint, en veille«)pendant une période plus ou moins longue.

y Li mit pr ocessor usage during scans t o the foll owing percentage : permet de limiter l¶usage processeur alloué à l¶analyse du poste de travail à un pourcentage maximum.

y All ow users on endpoint c om puters t o c onf igure pr ocessor usage li mits for scans :Cette option donne le droit à l¶utilisateur de configurer lui-même la limite d¶usage duprocesseur alloué à l ¶analyse.

y U ser¶s c ontr ol on scheduled scans : Cette option permet de régir le contrôle que peut avoir l¶utilisateur sur les analyses programmées. On retrouve les options suivantes :

o Aucun contrôleo Autorise le changement de l¶heure d¶analyse seulemento Contrôle total : Autorise l¶activation, la désactivation ou le paramétrage du type et de

la programmation de l¶analyse.



Dans la partie Default actions, on retrouve les paramétrages liés aux actions par défaut face à desniveaux de menaces détectés. Ces niveaux de menace (sévère, haute, moyenne ou faible) sontdéterminés par Microsoft en fonction de la sévérité de celle-ci :

y Action recommandée par Microsoft : Ce paramétrage peut potentiellement procéder à tous lesscénarios d¶action.

y Remove : Cette action supprime la menace.y Quarantaine : Cette action met en quarantaine la menacey Allow (Autorise) : Cette action autorise la menace.

La partie Real-time protection rassemble les options concernant le module de protection en tempsréel :

y E nable real-ti me pr otecti on permet d¶activer la protection en temps réelley S can sy stem f iles : Cette option permet de définir quels fichiers système vous souhaitez

analyser. (Par défaut l¶option analyse les fichiers entrants et sortants)y S can all d ownl oaded f iles and attachments : Cette option permet d¶analyser tous les

fichiers téléchargés ou toutes les pièces jointes reçues en temps réel.y U se behavi or monit oring : permet d¶activer la supervision des comportements. Ce

mécanisme est utilisé par Forefront pour surveiller le comportement du système pour bloquer les menaces inconnues.

y E nable pr otecti on against netw ork-based expl oits : Ce paramètre active la protectioncontre les attaques par le réseau.

y All ow users on endpoint c om puters t o c onf igure real-ti me pr otecti on settings : autorisel¶utilisateur à modifier les paramétrages de la protection en temps réel.

L¶écran E xcluded f iles and l ocati ons permet d¶ajouter des exceptions à l¶analyse faite par ForefrontEndPoint Protection pour éviter que certains fichiers ou répertoires soient analysés. Ceci peutpermettre d¶améliorer les performances de certaines applications (par exemple dans le cadre debases de données) mais augmente le risque des machines.

L¶écran E xcluded f ile t y pes permet d¶ajouter des exceptions pour certains types de fichiers.



L¶écran E xcluded pr ocesses permet d¶ajouter des exceptions pour certains processus afin d¶éviter d¶interférer avec le comportement de certaines applications et rendre l¶exécution plus performante.

La partie Advanced offre des paramétrages supplémentaires :

y S can archived f iles : Cette option permet d¶analyser les fichiers archivésy S can netw ork drives when running a f ull scan : Ce paramétrage permet d¶analyser les

lecteurs réseau lorsqu¶une analyse complète est lancée.y S can removable st orage devices : Cette option permet de procéder à l¶analyse des

périphériques de stockage amovibles (Clé USB«).y C reate a sy stem rest ore point before cleaning c om puters : Ce paramètre permet de créer

un point de restauration système avant toute tentative de nettoyage de la machine si unemenace a été détectée.

y S how noti f icati on messages t o users on endpoint c om puters when they need t o per for m the foll owing acti ons : Cette option permet d¶afficher des notifications à l¶utilisateur lorsqu¶il est nécessaire de procéder à des analyses complètes, aux téléchargements desmises à jour de définitions antivirales

y Delete quarantined f iles af ter : permet de supprimer automatiquement les fichiers mis enquarantaine après une période donnée.

y All ow users on endpoint c om puters t o c onf igure quarantined delete peri od : Cetteoption donne le droit à l¶utilisateur de modifier la période de suppression automatique desfichiers en quarantaine.

y All ow users on endpoint c om puters t o exclude f iles and l ocati ons, f ile t y pes, and pr ocesses : Ce paramètre donne le droit à l¶utilisateur de modifier les exceptions de fichiers,

répertoires, types de fichiers, et processus.

La partie Overrides permet de spécifier des exceptions permettant d¶outrepasser le comportementdes actions recommandées. Vous pouvez ainsi pour certaines menaces (vous trouverez la l istesur : http://www.microsoft.com/security/portal/Threat/Encyclopedia/Browse.aspx), spécifiez des

actions particulières qui prendront le dessus sur l¶action recommandée.

L¶écran de configuration Microsoft SpyNet permet de configurer l¶abonnement à SpyNet. Vouspouvez ainsi désactiver l¶abonnement ou choisir le type. L¶option All ow users on endpoint



c om puters t o change S py N et settings » autorise l¶utilisateur final de modifier lui-même lesparamètres de SpyNet.

L¶onglet Updates offre différents paramétrages permettant de modifier le comportement de mis à jour du client :

y Vous pouvez ainsi choisir à quelle fréquence vous souhaitez que le client procède à lavérification des mises à jour de définition. Ceci peut avoir lieu à heure fixe ou à intervallerégulier en heure.

y F orce a def initi on update when def initi on updates have f ailed : Ce paramètre permet deforcer la mise à jour des définition si une mise à jour de définition a échoué à un intervalle de jour configuré.

y Vous pouvez ensuite choisir par quel moyen le client Forefront EndPoint Protection pourrarécupérer ses mises à jour de définition :

o En utilisant un chemin réseauo En utilisant la distribution des mises à jour par SCCM ou WSUo En utilisant Microsoft Updates

y Enfin vous pouvez spécifiez les chemins réseau si vous avez choisi cette méthode de mise à jour.

L¶onglet Windows Firewall permet de spécifier les paramètres de configuration influant sur le firewall

Windows.

y M anage W ind ows F irewall permet d¶activer la gestion du firewall par le client Forefront. Cette option déverrouille la configuration des options suivantes pour les différents types deréseau (domaine, privé, public) :

o Etat du firewall : Cette option permet d¶activer/désactiver le firewall en fonction duréseau

o I nc oming c onnecti ons : permet de spécifier le comportement du firewall face auxconnexions entrantes (bloquées«)

o Display a noti f icati on permet d¶afficher des notifications lorsqu¶une exception doitêtre enregistrée.

4.1.3 Création d¶une stratégie basée sur un modèle pour un rôle serveur

Nous avons vu comment créer une stratégie personnalisée assez standard basée sur les typesdisponibles. Ceux-ci se prêtent principalement à une utilisation pour les postes de travail. Microsoft



propose néanmoins des modèles spécifiques aux serveurs et aux différents rôles et produits qu¶ilspeuvent héberger.

Nous allons créer une stratégie à destination des serveurs de site System Center ConfigurationManager. Celle-ci devra prendre en considération les différents mécanismes des serveurs cibles.

Procéder à la création d¶une nouvelle stratégie. Une fois l¶assistant ouvert, entrez le nom de la

stratégie et sa description.

Sur l¶écran Policy Type, cochez P olic y tem plate » et choisissez le modèle

FEP C onf igurati onM anager 2007 including Def aults » :

Validez l¶écran de résumé pour procéder à la création :

Une fois créée, nous pouvons éditer cette stratégie spécifique au produit System Center ConfigurationManager 2007. Nous pouvons remarquer dans les paramétrages Antimalware => Excluded f iles and Locati ons qu¶il y a de nombreuses exclusions associées au chemin d¶installation de System Center Configuration Manager :

Ces modèles sont un bon moyen d¶adapter facilement le comportement du client Forefront EndPointProtection au rôle et produits sur lequel il est installé.

4.1.4 Création d¶une stratégie basée sur un modèle pour un rôle serveur

Après avoir créé nos stratégies, nous allons pouvoir les assigner aux clients Forefront cibles de laconfiguration. La première étape consiste à créer les collections et l¶arborescence des collectionsnécessaires à votre infrastructure. Vous pouvez créer les collections au niveau de FEP Collections=> Deployment Status => Deployment Succeeded. Pour plus de clarté, j¶ai créé une arborescenceséparée et totalement dédiée à l¶application des stratégies personnalisées :



Ce découpage est bien entendu présenté à titre indicatif ; vous êtes libre d¶organiser celles-ci selonvos besoins.

Pour assigner une stratégie, rendez-vous dans la console d¶administration Configuration Manager etdéroulez l¶arborescence Site Database => Computer Management => Forefront EndPointProtection => Policies. Cliquez droit sur la stratégie que vous souhaitez déployer etsélectionnez « Assign P olic y « » :

Une fenêtre s¶ouvre. Celle-ci permet d¶ajouter des collections qui seront la cible de la stratégie.Cliquez sur

Add« » pour les ajouter. Vous pouvez ensuite cocher la case

I nclude

subc ollecti ons » si vous souhaitez que la publication se propage aux sous-collections :

Une fois ajoutée, nous pouvons voir que la publication est assignée à la collection que nous avonschoisie :

4.1.5 Edition de la priorité

Un client Forefront EndPoint Protection peut se voir attribuer plusieurs stratégies mais il n¶enappliquera qu¶une seule. Un client se voit toujours attribué au moins une stratégie. Les deux stratégiespar défaut ne peuvent être supprimées pour cette raison et assure ainsi un service minimum » sur

les nouveaux clients.

Afin de pouvoir au mieux gérer l¶application d¶une et une seule stratégie sur chaque client ; celles-ci sevoient attribuer une priorité. Cette priorité permet au client de s¶avoir quelle stratégie doit s¶appliquer siplusieurs lui sont proposées. Plus le numéro de priorité est faible ; moins la stratégie est prioritaire. Ainsi si un client se voit attribuer une stratégie avec un numéro de priorité 15 et la stratégie par défaut(priorité 1) ; ce sera bien la stratégie avec la priorité 15 qui sera appliquée.

Les deux stratégies par défaut ont la propriété la plus faible (respectivement 1 pour la stratégie postede travail et 2 pour les serveurs).



Note : Lors de la création d¶une nouvelle stratégie, celle-ci se voit assigner la priorité maximale.

Il est possible d¶éditer la priorité des stratégies. Pour cela, ouvrez la console d¶administration etdéroulez l¶arborescence Site Database => Computer Management => Forefront EndPointProtection => Policies. Cliquez droit sur le nudPolicies et sélectionnez

E dit P olic y P recedence« » .

Une fenêtre s¶ouvre afin de vous permettre de déplacer vers le haut (en donnant une prioritésupérieure) ou vers le bas (en donnant une priorité inférieure) chaque stratégie.

Veuillez noter qu¶il n¶est pas possible de modifier la priorité des stratégies par défaut.

4.1.6 Edition de la priorité

Voici les paramétrages pour chacun des types de stratégie en ce qui concerne les analysesprogrammées :

Scheduled Scans(params)

Standard DesktopPolicy

High-security Policy Performance-optimized policy

Activé Oui Oui Oui

Type d¶analyse Analyse Hebdomadairerapide

Analyse journalièrerapide et

hebdomadairecomplète

AnalyseHebdomadaire

rapide

Programmation (Jour) Samedi Samedi (3h00) SamediProgrammation (heure) 03h00 02h00 03h00Vérification des mises à jour avant de démarrer l¶analyse

Oui Oui Oui

Analyse uniquement

quand l¶ordinateur n¶estpas utilisé

Oui Non Oui

Randomiser ledémarrage de l¶analyseprogrammée (intervallede 30 min)

Oui Oui Oui

Force une analyse lorsdu démarrage du postesi plus de deuxanalyses ont étémanquées

Non Oui Non



Limite l¶utilisation CPUdurant les analyses

Oui (50%) Non Oui (30%)

Autorise l¶utilisateur àconfigurer l¶usageprocesseur pour lesanalyses

Non Non Non

Contrôle de l¶utilisateur

sur les analysesprogrammées

Aucun contrôle Aucun contrôle Aucun contrôle

Le tableau suivant récapitule les actions utilisées par défaut lors de la découverte d¶une menace :

Default Actions(params)



Sévère Utilise l¶actionrecommandée

Utilise l¶actionrecommandée


Haute Utilise l¶actionrecommandée



Moyenne Mise en quarantaine Mise en quarantaine Mise enquarantaine

Faible Autorise Autorise Autorise

Ce tableau rassemble les paramètres des types de stratégie en ce qui concerne la protection entemps réel :

Real-time protection(params)



Activée Oui Oui Oui

Analyse des fichiers

système


entrants et sortants


entrants et sortants


entrants et sortantsAnalyse tous lesfichiers téléchargés etpièces jointes

Oui Oui Oui

Utilise lasupervision ducomportement

Oui Oui Oui

Active la protectioncontre les exploitsréseau

Oui Oui Oui

Autorise l¶utilisateur àconfigurer lesparamétrages de laprotection en temps

réelle

Non Non Non

Vous trouvez ci-dessous trois tableaux regroupant les exclusions de répertoires, de fichiers, de typesde fichiers et de processus pour des types de stratégie :

Excluded files and locations Standard DesktopPolicy

High-securityPolicy

Performance-optimized

policy



%windir %\SoftwareDistribution \ Datastore


Res*.jrs

Edb.chk

Tmp.edb


Res*.jrs

Edb.chk

Tmp.edb


Res*.jrs

Edb.chk

Tmp.edb%windir %\Security \Database *.edb, *.sdb, *.log

*.chk, *.jrs

*.edb, *.sdb, *.log

*.chk, *.jrs

*.edb, *.sdb,*.log

*.chk, *.jrs%ALLUSERSPROFILE%\NTuser.pol Oui Oui Oui

%SystemRoot%\system32 \ GroupPolicy \registry.pol

Oui Oui Oui

Excluded files types Standard DesktopPolicy

High-securityPolicy

Performance-optimized policy

Aucun Aucun Aucun

Excluded processes Standard Desktop

Policy High-security

Policy Performance-

optimized policy Aucun Aucun Aucun

Voici les différences entre les types de stratégie en ce qui concerne les paramétrages avancés duclient Forefront EndPoint Protection :

Advanced Standard DesktopPolicy

High-securityPolicy


Analyse des fichiers archivés Oui Oui Oui

Analyse des lecteurs réseau lorsdes analyses complètes

Non Non Non

Analyse des périphériques destockage amovibles (Clé USB«)

Non Non Non

Créer un point de restaurationsystème avant de nettoyer l¶ordinateur

Non Non Non

Afficher un message denotification à l¶utilisateur lorsque une opération (analyse

complète, téléchargement dedéfinitions«) est nécessaire

Non Non Non

Suppression des fichiers en

quarantaine Non Non Non

Autorise l¶utilisateur àconfigurer la période desuppression automatique desfichiers en quarantaine

Non Non Non

Autorise l¶utilisateur à excluredes répertoires, fichiers, type de

Non Non Non



fichiers et processus

Overrides Standard DesktopPolicy

High-securityPolicy


Aucun Aucun Aucun

Ce tableau résume les différences concernant Microsoft SpyNet :

Microsoft SpyNet Standard DesktopPolicy

High-securityPolicy


Activé Oui Oui Oui

Abonnement Basic Basic BasicAutorise l¶utilisateur à changer

les paramétrages SpyNet

Non Non Non

Le tableau Updates regroupe les paramétrages de mises à jour du client pour les types de stratégie:

Updates Standard DesktopPolicy

High-securityPolicy


Vérification des définitions(intervalle)

Toutes les 8 heures Toutes les 8 heures Toutes les 8heures

Force la mise à jour desdéfinitions si celle-ci a échoué ily a

1 jour 1 jour 1 jour

Mise à jour à partir d¶un partagede fichier Non Non Non

Mise à jour à partir de WSUS ouSCCM

Oui Oui Oui

Mise à jour à partir de MicrosoftUpdate

Oui Oui Oui

Voici un récapitulatif des paramétrages de gestion du Firewall Windows pour les types de stratégie :

Windows Firewall Standard DesktopPolicy

High-securityPolicy


Gestion deW

indows Firewall Activée Activée DesactivéeRéseau Domaine :

Etat du Firewall Activé Activé -

Connexions entrantes Bloquées Bloquées -Affichage d¶une notification Oui Oui -Réseaux Privés : Etat du Firewall Activé Activé -Connexions entrantes Bloquées Bloquées -

Affichage d¶une notification Oui Oui -Réseaux Publics :



Etat du Firewall Activé Activé -Connexions entrantes Bloquées Bloquées -Affichage d¶une notification Oui Oui -

4.1.7 Fonctionnement de l¶intégration des stratégies à System Center Configuration

Manager

Cette partie va vous permettre de comprendre comment Forefront EndPoint Protection 2010 s¶intègreaux différents mécanismes de System Center Configuration Manager 2007.

La création d¶une stratégie n¶est ni plus ni moins qu¶associée à la création d¶un nouveau programmedans le package Microsoft Corporation FEP ± Policies 1.0 :

Ce package est remis à jour automatiquement tous les jours à heure fixe afin de prendre enconsidération les différents changements :



L¶assignation d¶une stratégie correspond à la création d¶une publication (Advertisement) pour leprogramme associé à la stratégie sur une collection donnée avec les différents paramétragesnécessaires.



Ainsi, il existe deux publications par défaut qui s¶appliquent tous les jours. Dès lors que vous assignezune stratégie, celle-ci se voit créer une publication qui est appliquée dès que possible pour que leschangements de stratégies soient appliqués le plus rapidement possible.

4.2 Gestion des mises à jour

La gestion des mises à jour de définitions est une étape importante dans la gestion des clientsForefront EndPoint Protection. Microsoft publie des mises à jour de définitions plusieurs fois par jour

pour actualiser les nouvelles menaces qui se présentent. Vous pouvez mettre à jour les clients dedifférentes façons :

y Via Microsoft Updates : Le client se connecte aux serveurs de mise à jour de Microsoft.y Via un chemin réseau: Vous l¶avez vu dans la gestion des stratégies ; il est possible de créer

un répertoire faisant office de dépôt des mises à jour. Le client récupère alors manuellementles définitions à partir de ce dossier.

y Via System Center Configuration Manager ou Windows Server Updates Services :L¶administrateur déploie et approuve les mises à jour massivement.



Chacune de ces méthodes possèdent un avantage. La mise à jour via Microsoft Updates peutpermettre aux clients déconnectés du réseau de quand même bénéficier des mises à jour dedéfinitions. L¶utilisation d¶un chemin réseau permet aux clients ne disposant pas d¶un accès Internetou d¶une infrastructure de déploiement (points de distribution...) d¶accéder aux mises à jour. Enfinl¶utilisation de SCCM ou WSUS permet à l¶administrateur de mieux contrôler le déploiement desdéfinitions. Il est possible d¶utiliser l¶ensemble de ces méthodes conjointement.

Nous n¶aborderons ici que les méthodes de déploiement massives à savoir la gestion des mises à jour par System Center Configuration Manager 2007 et Windows Server Updates Services. Il faut savoir que le système de gestion des mises à jour par SCCM ne se prête pas vraiment à la gestion desmises à jour de définitions. Néanmoins, nous verrons les différentes méthodes (officielles ou non) àsavoir :

y Gestion manuelle par SCCMy Gestion automatique par WSUS (méthode officielle)y Gestion automatique par SCCM (méthode non officielle)

Notez que pour réaliser cette partie, vous devez disposer des connaissances nécessaires dans lagestion des mises à jour par WSUS et SCCM. Nous ne détaillerons pas l¶installation et la configurationde l¶infrastructure de déploiement de mises à jour.

4.2.1 Gestion manuelle des mises à jour par SCCM

Comme expliqué plus haut, le processus de gestion des mises à jour via System Center ConfigurationManager ne se prête pas à la mise à jour des définitions FEP. En effet, les mises à jour de définitionsont lieu plusieurs fois par jour. La gestion des mises à jour via SCCM nécessite des opérationsmanuelles. Ceci signifie que l¶administrateur devra procéder aux opérations suivantes au moins unefois par jour s¶il veut que son infrastructure soit à jour.

Commençons par revoir brièvement les paramétrages de l¶infrastructure System Center ConfigurationManager. Ouvrez la console d¶administration, déroulez l¶arborescence Site Database => SiteManagement => <SITECODE> - <SITENAME> => Site Settings => Client Agents . Ouvrezl¶agent « S of tware U pdates client Agent ». Vérifiez que celui-ci est activé et correctement configuréselon vos besoins :



Cliquez ensuite sur le nud Component Configuration. Ouvrez l¶onglet C lassi f icati ons » etcochez la case

Def initi on U pdates » :



Cliquez ensuite sur l¶onglet P r oducts » et cherchez le produit F oref r ont E nd P oint P r otecti on2010 ». Cochez la case pour activer la synchronisation du produit.



Dans l¶onglet ! Languages », vérifiez que les langues des clients sont cochées pour pouvoir appliquer les mises à jour en fonction des langues locales de votre parc :



Initiez ensuite une synchronisation. Pour cela, dirigez-vous dans l¶arborescence Site Database =>Computer Management => Software Updates => Update Repository. Cliquez droit et sélectionnez" R un S y nchr onizati on » :



Validez le message pour procéder à la synchronisation :

Vous pouvez valider que la synchronisation a eu lieu avec succès en visionnant le f ichier de journalisation # wsy nc mgr.l og » :



La mise à jour de définition apparaît ensuite dans la console dans l¶arborescence : Site Database =>Computer Management => Software Updates => Update Repository => Definition Updates =>Microsoft => Forefront EndPoint Protection 2010 :



Cliquez droit sur la mise à jour et sélectionnez $ Depl oy S of tware U pdates » :



Note : Il est recommandé d¶utiliser des listes de mises à jour (Update List). Néanmoins nousn¶utiliserons pas ce processus pour simplifier l¶article.

L¶assistant s¶ouvre. Celui-ci permet de créer le déploiement qui ciblera les clients. Entrez le nom d¶undéploiement :

Sur la page Deployment Template, vous pouvez choisir d¶utiliser un modèle existant ou d¶en créer unnouveau. Je vais pour ma part utiliser un modèle déjà créé pour les besoins d¶une démonstration.



A l¶étape Deployment Package, créez un nouveau package de déploiement qui identifiera les misesà jour de définition. Vous devez pour cela entrer un nom et un chemin UNC faisant référence aurépertoire source du package :



Sélectionnez ensuite les points de distribution sur lesquels vous souhaitez déployer le package demises à jour.Sur l¶écran Download Location, vérifiez que l¶option

%

Downl oad sof tware updates f r om theI nternet ́ est cochée et passez à l¶étape suivante :



Sur la page Language Selection, cochez les langues que vous utilisez dans votre parc pour rendredisponible les mises à jour à l¶ensemble des clients :



A l¶étape Schedule, vous pouvez programmer le déploiement de la mise à jour. Ainsi vous devezchoisir la date de mise à disposition mais aussi la date de fin. Cette date de fin permet de forcer l¶installation automatique des mises à jour.



Validez l¶écran de résumé pour procéder à la création du déploiement :



Ouvrez une session sur une machine cliente ; celle-ci doit afficher une bulle de notification informantde la disponibilité d¶une mise à jour :



Cliquez sur cette bulle pour ouvrir la fenêtre de gestion des mises à jour logiciel. Cliquezsur Install pour procéder à l¶installation. Notez que si la date de fin est égale à la date de mise àdisposition ; l¶utilisateur n¶aura pas besoin de procéder à ces étapes et se verra forcer l¶installation desmises à jour de définition.

Une fois lancé, le client procède au téléchargement des fichiers de mise à jour :



Enfin l¶installation démarre :



Une fois terminée, la mise à jour a été correctement appliquée au client Forefront comme vous pouvezle voir dans l¶onglet Updates de son interface :

4.2.2 Gestion automatique par WSUS (méthode officielle)

Nous avons vu comment gérer les mises à jour manuellement via System Center ConfigurationManager 2007. La méthode qui suit permet de gérer automatiquement les mises à jour de définitions

via Windows Server Updates Services en utilisant les règles d¶approbation du produit. Cette méthodeest la solution officielle fournie par Microsoft pour résoudre les lacunes de System Center Configuration Manager 2007. Celle-ci a ses avantages : Elle est officielle ! Mais elle dispose aussi denombreux inconvénients :

Elle n¶utilise pas System Center Configuration Manager et le déploiement via les points distribution.Les mises à jour sont déployées via le serveur WSUS. Ainsi la gestion des sites distants est rendueplus difficile.

L¶administrateur ne dispose pas de l¶ensemble des informations de Reporting (installation avec succèsou non«) de System Center Configuration Manager.



Ouvrez la console d¶administration WSUS et dirigez-vous dans le nud Options.

Sélectionnez & Aut omatic A ppr ovals » pour ouvrir la fenêtre de configuration des règlesd¶approbation. Cliquez sur

&

N ew R ule« » pour créer une règle :



Sur la fenêtre Add Rule, cochez'

W hen an update is in a speci f ic classi f icati on´ et ³W hen anupdate is in a speci f ic pr oduct ́. Sélectionnez ensuite la classification Definition Updates et le

produit Forefront EndPoint Protection 2010. Appliquez cette règle à l¶ensemble des ordinateurs.

Note : Vous pouvez choisir de cibler un unique groupe de machines.

Entrez ensuite le nom de la règle et cliquez sur Ok.



Une fois ajoutée, vérifiez que la règle est cochée dans l¶écran Automatic Approvals et cliquezsur OK



Toujours dans les options de la console d¶administration WSUS, sélectionnez S y nchr onizati onS chedule. Choisissez ensuite de procéder à la synchronisation automatique. Vous pouvez choisir la

première synchronisation et la fréquence. Quatre fois par jour permettent de maintenir l¶infrastructureà jour mais vous pouvez aussi accélérer la fréquence en passant à 24 fois par jour à partir de minuit.



Une fois synchronisé, on peut observer à l¶aide de filtre que les mises à jour de définition ont étécorrectement approuvées :



Connectez-vous sur une machine cliente et ouvrez le client Forefront EndPoint Protection. Ouvrezl¶onglet Update et procédez à la mise à jour du client. Le client consulte le serveur WSUS, téléchargeet installe les mises à jour qui lui sont proposées :



Le client est ensuite à jour :



Vous pouvez configurer les paramètres de mise à jour du client via stratégie pour que celui-ci se metteà jour avant les analyses ou via stratégie de groupe pour forcer la consultation des mises à jour.

4.2.3 Gestion automatique par SCCM (méthode non officielle)

Cette méthode de gestion automatique des mises à jour de définitions est proposée par KimOppalfens. Sa solution se rapproche des règles de déploiement automatique (ADR) de System Center Configuration Manager 2012.

Pour faire simple, il faut configurer le Software update Point pour procéder à une synchronisationtoutes les heures. Il faut ensuite créer une règle de filtrage d¶état qui lors de la remontée de l¶event id6702 (synchronisation du serveur WSUS avec succès), lance un exécutable créé par Kim Oppalfens.

Cette exécutable:



y Télécharge les mises à jour spécifiéesy Place les mises à jour dans un packagey Distribue le package sur tous les points de distributiony Déploie ces mises à jour à une collection

Avertissement : Cette solution est à implémenter à vos risques et périls mais elle a le mérited¶apporter une solution viable à un problème quotidien auquel font face les administrateurs

SCCM/FCS/FEP.

Commencez par télécharger les binaires de la solution proposée par Kim : http://www.myitforum.com/absolutenm/templates/Articles.aspx?articleid=20071&zoneid=89 Disposez-les dans un répertoire accessible par le serveur de site. Vous allez peut être devoir éditer lessources pour changer les références vers le SDK. Pour cela, lisez le README.

Créez ensuite une règle de filtrage d¶état. Ouvrez la console d¶administration et déroulezl¶arborescence Site Database => Site Management => <SITECODE> - <SITENAME> => Site Settings=> Status Filter Rules. Cliquez droit sur le nud

(

S tatus F ilter R ules » et sélectionnez)

N ew S tatus F I lter R ules ». L¶assistant s¶ouvre. Entrez le nom de la règle (par exemple :

0

Aut oDepl oy FEP U pdates ») et entrezles informations suivantes :

y Source : ConfigMgr Server y Component : SMS_WSUS_SYNC_MANAGER

y Message ID : 6702



Sur la page Actions, cochez la case 1 R un a pr ogram » puis entrez la ligne de commande :2 "<chemin vers les sources de la solution>\SUM_E2E_Deployment.exe" <NOMDUPROVIDER><ID_DE_LA_COLLECTION_CIBLE_DU_DEPLOIEMENT>. On retrouve par exemple dans mon cas : 3 "<chemin vers les sources de la

solution>\SUM_E2E_Deployment.exe" WTVN-SCCMSS LYN00027

Passez à l¶écran suivant et validez le résumé pour procéder à la création. Fermez ensuite l¶écran de

confirmation.



Note : Vous devez reconfigurer votre Software Update Point pour qu¶il procède à des synchronisationstoutes les heures.

Une fois la synchronisation effectuée ; le processus créé un package4

Latest F oref r ont Def initi onU pdates P ackage » déployé sur tous les points de distribution et comprenant les dernières mises à jour de définitions :



Dans le même temps, un déploiement 5 F oref r ont Aut o- A ppr oved updates » a été créé. Celui-cicible la collection LYN00027 et comporte les mises à jour de définitions :



Ce déploiement ne dispose pas de date de fin forçant le déploiement. Vous pouvez ainsi aisément lemodifier pour correspondre à votre politique de mise à jour :



Connectez-vous ensuite sur un client faisant parti de la collection cible du déploiement. Ce client doitrecevoir un déploiement optionnel de mise à jour des définitions antivirales Forefront EndPointProtection :



Une fois installée, la mise à jour est correctement appliquée au client Forefront :

Vous avez vu dans cette partie, différentes méthodes de gestion des mises à jour de définitions afinde déployer massivement sur le parc informatique. Chacune dispose des avantages etdes inconvénients. Il ne fait aucun doute que la gestion manuelle des mises à jour par System Center Configuration Manager rallonge considérablement le temps quotidien passé à l¶administration duproduit. La solution officielle de Microsoft est un bon compromis. Néanmoins, elle n¶utilise pas lesavantages des points de distribution souvent utilisés pour distribuer les packages au seind¶infrastructure riche en sites distants.

forefront endpoint protection 2010 avec sccm

Documents